云安全聯(lián)盟CSA主席李雨航:美國企業(yè)安全實(shí)踐 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2016-06-28 瀏覽次數(shù): |
信息來源:比特網(wǎng)
2016年6月24-25日,由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術(shù)峰會】在北京珠三角JW萬豪酒店召開。自2012年以來,WOT品牌大會秉承專注技術(shù)、服務(wù)技術(shù)人員的理念已經(jīng)成功舉辦九屆,不僅積累了大量的專家資源,更獲得了廣大IT從業(yè)者和技術(shù)愛好者的認(rèn)可和好評,并成為業(yè)界重要的技術(shù)分享及人脈拓展平臺。 本次【W(wǎng)OT企業(yè)安全技術(shù)峰會】分為11大技術(shù)主題,分別是企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務(wù)安全、威脅情報(bào)與攻擊防護(hù)、漏洞挖掘與分析、安全測試與應(yīng)急處理、技術(shù)管理專場。51CTO.com作為本次大會的主辦方,將通過快速報(bào)道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。 下面是大會主會場上來自云安全聯(lián)盟CSA大中華區(qū)主席李雨航先生帶來的主題為美國企業(yè)安全實(shí)踐的現(xiàn)場演講實(shí)錄。
云安全聯(lián)盟CSA大中華區(qū)主席 李雨航 大家好我是李雨航,一個(gè)企業(yè)安全方面的老兵,我的主要工作經(jīng)驗(yàn)是在美國,有20多年經(jīng)驗(yàn),很高興跟大家分享一下美國企業(yè)安全的一些經(jīng)驗(yàn)。 從企業(yè)的角度我們先把歷史回顧一下,從技術(shù)、商業(yè)、安全三個(gè)維度看問題。早期從60年代開始,美國的企業(yè)當(dāng)時(shí)只有大存儲機(jī),我最開始是在IBM工作。在主機(jī)時(shí)代,從技術(shù)上面來講,都是集中式儲存,計(jì)算,終端是笨終端,網(wǎng)絡(luò)都是私網(wǎng),通過IBM網(wǎng)絡(luò)來連接。從商業(yè)的角度看,企業(yè)投入非常的巨大,只有一些很大的企業(yè)有能力可以購買IBM機(jī)子,每一次升級比較的貴。大家對于安全比較的關(guān)注,大型主機(jī)這個(gè)時(shí)代,安全問題是非常好解決。把登陸的一些問題搞好,安全比較好做了。 到了PC轉(zhuǎn)型,大家也開始采用互聯(lián)網(wǎng)。商業(yè)就是賣許可證,成本降下來了,安全問題變得非常的嚴(yán)重。出現(xiàn)了病毒和黑客攻擊,數(shù)據(jù)分散到了很多儲存的地方,造成很大安全問題。靠物理安全,靠警衛(wèi)解決不了這些問題。但是,經(jīng)過多年企業(yè)的實(shí)踐,總結(jié)了很多的經(jīng)驗(yàn),進(jìn)入了大數(shù)據(jù)云計(jì)算的時(shí)代。這個(gè)時(shí)代實(shí)際上在后端是有中心化趨勢。很多虛擬機(jī),云計(jì)算中心是歸成超級計(jì)算機(jī),端這一塊更厲害。每一個(gè)人有手機(jī),有便攜,以后可能還有物聯(lián)網(wǎng)設(shè)備。這個(gè)終端越來越智能,量越來越大規(guī)模,從商務(wù)角度來講,成本降的非常低。企業(yè)不僅使用計(jì)算資源,在座任何消費(fèi)者,個(gè)人都是可以非常低價(jià)使用計(jì)算資源。那么,安全在這個(gè)時(shí)代就是變得更加的嚴(yán)峻。那么,安全的邊界就會模糊,會消失。傳統(tǒng)的信息安全,是防守不住的。 今天技術(shù)上面來講,主要是有幾個(gè)大的技術(shù)趨勢,移動互聯(lián)網(wǎng),還有物聯(lián)網(wǎng),云計(jì)算,大數(shù)據(jù)。今后還要走向智能時(shí)代,萬物互聯(lián),數(shù)據(jù)爆炸,機(jī)器學(xué)習(xí),人工智能等新興技術(shù),還有很多技術(shù)會涌現(xiàn),大數(shù)據(jù),VR都是非常的火爆。云計(jì)算雖然出來的比較早,但是,現(xiàn)在新一代的技術(shù),容器方面有很多新興的技術(shù),對于傳統(tǒng)的IT,對于我們企業(yè)都會是一個(gè)顛覆性的技術(shù)。對于未來的發(fā)展,我是這樣的理解,以后我們會出現(xiàn)一個(gè)超級的智能機(jī)器的計(jì)算模式。就像人一樣的,我畫了一個(gè)圖。以前是大型主機(jī)分布式,以后就是非常的智能。機(jī)器人它的頭腦就是由大數(shù)據(jù)支撐的,包括AI智能分析,云計(jì)算是一個(gè)心臟的作用,是一個(gè)引擎。那么,物聯(lián)網(wǎng)設(shè)備有成千億,都是超級機(jī)器人感官一樣,移動互聯(lián)網(wǎng),包括以后的5G,就像一個(gè)神經(jīng),網(wǎng)絡(luò)就是一個(gè)神經(jīng)傳遞信號。那么,在這種情況下,實(shí)際上安全就會變得非常的重要。那么,安全,我打一個(gè)比喻,沒有安全,這個(gè)人不管再怎么樣有力量,再聰明,你有了問題,你就會對這個(gè)企業(yè)帶來很大的風(fēng)險(xiǎn)。 那么,美國的企業(yè)他是在這種新的趨勢下發(fā)現(xiàn)了很多的挑戰(zhàn)。還有一些不完全全面,我隨便選幾個(gè)例子。比如說,社交網(wǎng)絡(luò),很多員工上班的時(shí)候,他也在社交網(wǎng)絡(luò)上,大家也是一樣的。一邊兒上班,一邊兒看著微信,這個(gè)就是一個(gè)風(fēng)險(xiǎn)。還有云計(jì)算,虛擬化,給企業(yè)帶來很大挑戰(zhàn)。數(shù)據(jù)要拿出去,大數(shù)據(jù)這個(gè)數(shù)據(jù)爆炸,這個(gè)數(shù)據(jù)給企業(yè)帶來的風(fēng)險(xiǎn)。另外,還有互聯(lián)網(wǎng)模式,是指企業(yè)要發(fā)布業(yè)務(wù),現(xiàn)在非常注重這個(gè)速度,速度一定要非常的快。另外,是指外部合作?,F(xiàn)在不可能有一個(gè)企業(yè)自己來完成自身的業(yè)務(wù)。一定要有合作的單位,供應(yīng)商幾十萬,華為的供應(yīng)商好幾萬。中國這個(gè)概念大一點(diǎn),但是,美國叫做合規(guī),是非常的重要。政府、還有行業(yè)、有很多強(qiáng)制性對于安全上的要求,對于企業(yè)必須的滿足。另外,供應(yīng)鏈,外包,整合,在微軟,歷史上經(jīng)過了很多的并購,組合。最近是叫領(lǐng)兵,微軟是重金把另并買下來了,以前有一個(gè)雅虎。買下來之前,這兩個(gè)企業(yè)要融合,IT系統(tǒng)要打通,簽這個(gè)合約以前,我們就開始把兩個(gè)系統(tǒng)的網(wǎng)絡(luò)連在一起,發(fā)現(xiàn)這個(gè)是非常非常的困難,非常有挑戰(zhàn)性的工作。 還有移動的,還有新一代,在中國90后或者80后跟60后,可能在座也是有70后,跟這些工作方式,思維方式都不一樣了。對于企業(yè)都是會造成不同的風(fēng)險(xiǎn)。還有物聯(lián)網(wǎng),企業(yè)使用移動設(shè)備。剛剛講的這些條件會對企業(yè)帶來非常大的風(fēng)險(xiǎn)。 美國企業(yè)普遍存在的一些風(fēng)險(xiǎn),不是全部,主要是一些數(shù)據(jù),對于企業(yè)保護(hù)數(shù)據(jù)是放在第一位的,是叫做靜止的數(shù)據(jù),數(shù)據(jù)資產(chǎn)是企業(yè)命根子,還有身份訪問管理,軟件安全性缺陷,還有遺忘失竊設(shè)備,還有傳送數(shù)據(jù)。這些都是美國企業(yè)現(xiàn)有的安全風(fēng)險(xiǎn),那么,實(shí)際上這些風(fēng)險(xiǎn)已經(jīng)被黑客利用了。每年安全事件大幅度增加,這個(gè)數(shù)據(jù)泄露沒有寫在里面,這個(gè)數(shù)據(jù)也是成正比的。 在這種情況下,企業(yè)要做安全的。這個(gè)是很早提出來一個(gè)理念,在美國是受到業(yè)界廣泛認(rèn)同。在早期我們把安全防護(hù),安全控制,一般是做在網(wǎng)絡(luò)層面,企業(yè)有一個(gè)防火墻,布一些相應(yīng)的安全措施。大家在一個(gè)墻的里面感到比較的安全。這種做法剛剛也是講到了,因?yàn)榫幹频哪:?,效率非常的低了。長期來講,我們應(yīng)該什么呢?越貼近,保護(hù)的目標(biāo),是越有效,成本也低,效率也高。這個(gè)數(shù)據(jù)最終目標(biāo)叫做什么呢?自我保護(hù)。數(shù)據(jù),本身是不可以保護(hù)自己的。是數(shù)據(jù)和應(yīng)用要結(jié)合在一起,應(yīng)用和數(shù)據(jù)安全將變得越來越重要,可能會比網(wǎng)絡(luò)安全更重要一些。 我下面開始講案例。一個(gè)是美國政府,在座有沒有是政府機(jī)關(guān)事業(yè)單位的?大家都是企業(yè)的,稍微講快一點(diǎn)。美國政府也算一個(gè)客戶,非常大一個(gè)客戶。美國政府它的職員,聯(lián)邦政府有200多員工,有很多的部門,大家也是看到了,都是每一個(gè)部門員工分布的情況,美國政府IT的預(yù)算是比較的充足的。2017年,政府準(zhǔn)備拿出將近900億美金,安全也是其中的一部分,下面還會講到,這個(gè)是一個(gè)奧巴馬都是很熟悉了。邊上是我在微軟一個(gè)朋友,最近被奧巴馬認(rèn)定美國CIO,是負(fù)責(zé)美國聯(lián)邦政府的IT,包括安全。 美國政府IT一些安全風(fēng)險(xiǎn)有主要幾點(diǎn)。第一,技術(shù)上比較的落后,使用的版本都是比較的老舊。另外,他有很多的部門,部門之間是碎片化,而且,IT系統(tǒng)互相沒有打通。另外,這200多萬員工里面有專業(yè)知識非常的少。針對這個(gè)情況做了很多的安全的戰(zhàn)略,措施。比如說,我這里不具體不都講。一定要把漏洞和補(bǔ)丁管理好,這個(gè)是基本要求。企業(yè)打上補(bǔ)丁,把漏洞補(bǔ)住。實(shí)際上,大部分的安全的風(fēng)險(xiǎn)可能都會得到緩解。 最近的美國還出網(wǎng)絡(luò)安全國家計(jì)劃,是準(zhǔn)備明年從IT規(guī)劃里面拿出來190億美金專門來做網(wǎng)絡(luò)安全。剛剛講到了美國以前是有一個(gè)安全顧問。但是,他最近對于安全非常重視,準(zhǔn)備設(shè)計(jì)聯(lián)邦首席信息安全官,向CIO匯報(bào)。大家也是看到了,政府在美國政府官員比企業(yè)少。所以,IT和安全,企業(yè)走在前面的,在企業(yè)安全和IT要領(lǐng)先。最下面是一些各部門的資金分配情況。因?yàn)樵谧鶝]有太多的政府事業(yè)單位來的聽眾。 美國政府在新的技術(shù)趨勢下,它是準(zhǔn)備把傳統(tǒng)的IT逐步地向云轉(zhuǎn)型,它發(fā)表了一個(gè)戰(zhàn)略,估計(jì)可能是要用10年的時(shí)間,戰(zhàn)略已經(jīng)發(fā)布了很早。年以前,2011年,因?yàn)榘讓m跟我們安全聯(lián)盟關(guān)系非常好,是對接美國政府,歐洲區(qū)對接歐盟。亞太區(qū)對接亞太政府,我現(xiàn)在代表大中華區(qū)幫助中國的政府和企業(yè)來把國際的云安全經(jīng)驗(yàn)介紹給大家。所以,美國白宮當(dāng)時(shí)是把云安全聯(lián)盟邀請了。然后2011年云安全聯(lián)盟峰會上正式發(fā)布了美國的云計(jì)算戰(zhàn)略,可能要到2020年,大部分美國的IT實(shí)際上運(yùn)維在云計(jì)算的資源中,采用云服務(wù)的形式。右面大家也是看到了,美國各部門對云計(jì)算包括風(fēng)險(xiǎn)標(biāo)準(zhǔn)做了大量的工作,有很多工作就是云安全聯(lián)盟幫助下進(jìn)行的。 下面講一講微軟的情況。在座的都是企業(yè),微軟可以給大家重點(diǎn)講一下。微軟是比爾蓋茨創(chuàng)立的,我在微軟的時(shí)候,他是CIO,是負(fù)責(zé)微軟企業(yè)本身的IT。它是去年被奧巴馬邀請去做美國的聯(lián)邦政府的CIO,我是幫助做微軟內(nèi)部企業(yè)安全,我職責(zé)還有保護(hù)微軟的產(chǎn)品安全,那個(gè)是另外一部分,就是網(wǎng)絡(luò)安全。在微軟網(wǎng)絡(luò)安全和信息安全,也叫IT安全是分家的。是分成了兩個(gè)不同的部門來做。昨天我在中國網(wǎng)絡(luò)安全大會上給大家講過,有去那個(gè)大會的比較清楚一些。很多大企業(yè)都是這樣的,就把信息安全和網(wǎng)絡(luò)安全是分開,華為也是這樣的。我在華為現(xiàn)在是做網(wǎng)絡(luò)安全。所以,信息安全,我是顧客,華為沒有分享的。并員工年齡層是分布的比較的廣,新員工有不同的文化,對于企業(yè)IT的要求都是不一樣。采用的這些技術(shù),還有郵件,全球化是100多個(gè)國家都是有辦公室。將近1萬名員工在海外,500多個(gè)辦公室。對于這樣一個(gè)大企業(yè),要把安全做好是非常有挑戰(zhàn)性的。 這個(gè)是信息安全的組織架構(gòu),這個(gè)名字按說是改了。是叫做風(fēng)險(xiǎn)管理,主要是信息安全,大家延用這個(gè)詞語,在微軟內(nèi)部其他的部門,如果跟他講風(fēng)險(xiǎn)管理,他就聯(lián)系不到以前的信息安全這個(gè)部門的名稱。所以,是把兩個(gè)放在一起在這個(gè)組織里面,這個(gè)組織是比較大,有500人,他分了G2C合規(guī)風(fēng)險(xiǎn),還有治理,這個(gè)是一個(gè)部門。還有對于新興技術(shù)研究有一個(gè)部門,因?yàn)樾屡d技術(shù)挑戰(zhàn)是對于IT沖擊很大。還有安全運(yùn)維,就是日常的運(yùn)維工作,另外,業(yè)務(wù)連續(xù)性是非常的重要,也是在這個(gè)部門的職責(zé)。另外,對于應(yīng)用還有IT基礎(chǔ)設(shè)施的安全的評估,這個(gè)是專門有一個(gè)部門,就是評估測試保障沒有漏洞。最后,還有一個(gè)工具部門,提供自動化的支撐。 安全管理實(shí)踐,微軟把數(shù)字資產(chǎn)分了三類。對于全員都要做好教育,這個(gè)對于每一個(gè)中國的企業(yè),我相信也是非常的重要,我們因?yàn)橐Wo(hù)企業(yè)的數(shù)字資產(chǎn)數(shù)字資產(chǎn)要分類。高風(fēng)險(xiǎn)投入比較大,就是采取的安全保護(hù)措施比低風(fēng)險(xiǎn),低敏感信息數(shù)據(jù)要采取更加好的防護(hù)。微軟是分了三級,特別是根據(jù)對于業(yè)務(wù)的沖擊,分級是比較好分的。關(guān)鍵怎么樣識別這個(gè)資產(chǎn)?這個(gè)是困難所在,微軟的經(jīng)驗(yàn)是通過各種渠道,把識別資產(chǎn)的方式讓員工熟練地掌握。通過物理的方式,我們有一個(gè)非常有效的一個(gè)尺子,每一個(gè)員工配一個(gè)尺子,可以拉來拉去的,它的資產(chǎn)一拉這個(gè)尺子可以知道結(jié)果,是屬于哪一個(gè)類型。手機(jī)上面的自動化識別工具,還有外部網(wǎng)站,有很多這種自動化的工具,是幫助這些員工可以把這個(gè)資產(chǎn)識別好。微軟管理工具是基于GRC這樣一個(gè)平臺之上,可以把剛剛講的各個(gè)部門的企業(yè)、IT安全管理,都可以實(shí)現(xiàn)自動化。 這是微軟跟美國政府一樣的,也是要把全球IT要全面地向云轉(zhuǎn)型,也是到2020年,大概通過混合云的模式,一部分的私有云,一部分的公有云,逐步把所有的IT的系統(tǒng)要簽到云里面去。對于云計(jì)算,大家也是知道,安全是CIO和業(yè)務(wù)決策者的最重要的擔(dān)心。微軟的做法,一定先做安全合規(guī),把安全合規(guī)做好,就可以把剛剛我講的低敏感和中敏感的數(shù)據(jù)遷移到云中了。當(dāng)然,高敏感的數(shù)據(jù)目前還是不可以放在任何云里面,還需要更先進(jìn)的安全方案。這個(gè)圖有各個(gè)國家,各個(gè)行業(yè),還有各種組織對于云計(jì)算服務(wù)的一些安全要求,它是以證書的形式出現(xiàn)。微軟是拿到了這么30多個(gè)安全合規(guī)的證書。大家看一下,右上角倒數(shù)第二個(gè)是CIC,是安全聯(lián)盟的證書。當(dāng)然,微軟他只拿到了第一級,不如亞馬遜,亞馬遜是拿到第二級。還包括中國的阿里云,也是比微軟拿到的級別要高。 最后的MCF,是微軟IT部門自己根據(jù)自己的情況對于云計(jì)算提出的安全要求。制訂一個(gè)安全框架,這個(gè)是當(dāng)初在微軟領(lǐng)導(dǎo)的一個(gè)項(xiàng)目。所以,大企業(yè)可以自己來制訂對于云計(jì)算安全方面的一個(gè)需求,如果你沒有這個(gè)能力,你可以找業(yè)界近似的安全需求?,F(xiàn)在推出了27017,27018,這個(gè)是以安全聯(lián)盟為基礎(chǔ),對于云計(jì)算的安全和隱私都提出了正式的需求。 我們再看一下消費(fèi)化。端方面對于微軟IT的一些沖擊,這個(gè)微軟的消費(fèi)化,終端方面是分了4大部分。第一,企業(yè)的數(shù)據(jù),因?yàn)橛辛司W(wǎng)上很多其他的應(yīng)用,可能從自己的企業(yè)內(nèi)部轉(zhuǎn)到了互聯(lián)網(wǎng)上,有很多企業(yè)的數(shù)據(jù)從企業(yè)內(nèi)消失的,到了互聯(lián)網(wǎng)上去,主要是通過員工它自己的共享。比如說,大家是一部手機(jī),你這一部手機(jī)既來做業(yè)務(wù),可能自己私人用途也是在這個(gè)手機(jī)上。業(yè)務(wù)數(shù)據(jù)和私人數(shù)據(jù)可能就會混在一起,這個(gè)是一個(gè)風(fēng)險(xiǎn)。 還有應(yīng)用。微軟的企業(yè),很多員工就自己去跑到外面采用一些外部的社交化,還有一些針對中小企業(yè)的一些IT應(yīng)用,中國是微信,大家微信建一個(gè)群聊,聊本公司的工作。業(yè)務(wù)的數(shù)據(jù)又跑到了社交網(wǎng)絡(luò)上去了。另外,還有管理。管理也是的,IT一般是采取中心化管理,有了移動互聯(lián)網(wǎng),很多管理系統(tǒng)不在IT部門控制之下了。當(dāng)然,還有設(shè)備,不管使用蘋果,安桌,還是其他的平板,這些設(shè)備IT部門都不可以制訂策略統(tǒng)一管理,所以,造成了很大的困難。那么,針對這個(gè)情況,微軟是先做了一個(gè)框架,對于消費(fèi)技術(shù)。那么,我們這個(gè)框架是分了4部分。主要識別風(fēng)險(xiǎn),基于風(fēng)險(xiǎn)這樣一個(gè)框架。這種技術(shù)是公司鼓勵的。跟公司戰(zhàn)略配合,公司會鼓勵這種消費(fèi)技術(shù),讓IT拿出預(yù)算,拿出人力來做策略,要正式地支持。 左下角,員工可以用,但是,IT不支持你。比如說,安桌,你可以用,我IT部門不來支持你。有一些技術(shù),IT可以作為一定的試點(diǎn)做支持。比如是Iphone,是一些單位標(biāo)準(zhǔn),是要投入一定的力量先做一個(gè)試點(diǎn),看一下以后放到里面來。這個(gè)技術(shù)對于企業(yè)安全危險(xiǎn)太大了。IT一定要想辦法禁止,我們可以從IT的策略,還有從技術(shù)角度,把它給擋住,可能是有一些風(fēng)險(xiǎn)很大的應(yīng)用,我們不可以在企業(yè)里面用的。 微軟最后一個(gè),是叫做可視化的報(bào)告,對于業(yè)務(wù)決策者。對于這些義務(wù)的領(lǐng)導(dǎo),它是會安全做的好還是不好,他們沒有什么感覺。剛剛給大家講了,安全好比是一個(gè)健康,健康到底好不好?可能是IT安全員自己有感覺,你很難跟領(lǐng)導(dǎo)講清楚,你就可以采用這種可視化報(bào)告形式,把你的安全的健康的指數(shù)你呈現(xiàn)給你們的領(lǐng)導(dǎo),呈現(xiàn)給業(yè)務(wù)決策人員。比如說在微軟,健康指數(shù)。包括了補(bǔ)丁,包括了對于病毒的情況,還有數(shù)據(jù)中心,還有終端,各種各樣的情況,我們用可視化方法呈現(xiàn)出來。未來,我們可以利用安全大數(shù)據(jù)衛(wèi)星情報(bào),生態(tài)感知,我們把這個(gè)做的更好,可以做成實(shí)時(shí)的。 那么,對于小企業(yè)來講,我講的微軟這個(gè)方法并不一定使用。因?yàn)橹行∑髽I(yè)員工數(shù)量比較的少,你叫他拿很多的資金和這個(gè)不現(xiàn)實(shí)的。在美國比較好的實(shí)踐,盡量地的采用云計(jì)算技術(shù),有一個(gè)小公司,人是非常的少,他沒有能力來做很多安全的事情。是采用云服務(wù),把IT基礎(chǔ)設(shè)計(jì),還有很多管理交給云廠商只負(fù)責(zé)本身應(yīng)用安全就可以了。這個(gè)公司成長很快,兩年時(shí)間成為一個(gè)獨(dú)角獸,從今年開始不可以算中小公司了。這個(gè)安全通過云服務(wù)的方式由企業(yè)可以低價(jià)獲得。我在第二篇講過云時(shí)代低成本。包括安全,在座這些企業(yè)今后都是可以低價(jià)通過云服務(wù)方式獲得。亞馬遜,華為,企業(yè)云,云服務(wù)商,它他們就是有義務(wù)為中小企業(yè)提供安全服務(wù)。把恐怖安全給中小企業(yè)解決掉。亞馬遜,它是把安全已經(jīng)打造進(jìn)了公司的文化,從研發(fā)測試,就是研發(fā)和運(yùn)維,他們是一體化的。就是團(tuán)隊(duì)和產(chǎn)品團(tuán)隊(duì),實(shí)際上都是一個(gè)整體。另外,這個(gè)云是目前安全功能最多的,亞馬遜不僅業(yè)務(wù)是領(lǐng)先,安全也是領(lǐng)先的。當(dāng)然,其他的廠商,比如說,阿里云,微軟云,華為企業(yè)云,可能很快就可以學(xué)習(xí)他們的先進(jìn)經(jīng)驗(yàn),可以追上來。亞馬遜還建立了生態(tài)體系,安全不是一家可以做的。亞馬遜把業(yè)界所有的安全廠商,比較好的安全方案整合到自己的生態(tài)體系里面,客戶可以根據(jù)你的需要服務(wù)少量費(fèi)用,可以加不同的安全功能。因?yàn)閬嗰R遜安全合規(guī)是做的最多,剛剛大家看到了微軟是30多個(gè),亞馬遜是拿到了50多個(gè)認(rèn)證。之后亞馬遜雖然本身沒有測試團(tuán)隊(duì)。雇傭了大量全球領(lǐng)先的乙方、第三方安全測試團(tuán)隊(duì),對于它的安全做最后的那個(gè)。 最后講一下中國企業(yè)特點(diǎn),我回來了一年多。我感覺到了一個(gè)差異,不一定對,不對的化歡迎大家指出來。美國的員工非常的遵守安全規(guī)章制度,你企業(yè)定了一個(gè)安全政策,他一定是執(zhí)行。中國的員工是什么?不是這樣的。我舉一個(gè)例子,右面這個(gè)圖,我親身的體會,這個(gè)圖是在西雅圖研究院,我經(jīng)常開會,做會議培訓(xùn)。看一下上邊寫了一個(gè),不要把吃的喝的帶進(jìn)來,因?yàn)槲以陂T外面都是放了食品、飲料、讓大家吃飽喝足聽這個(gè)會議。美國有一個(gè)標(biāo)志,非常守規(guī)矩,吃的喝的扔了進(jìn)來。有一次交代了一下中國來的代表團(tuán)成員參加會議。中國員工不聽,吃的喝的都帶到了會場,所以,企業(yè)IT安全策略我感覺是對中國員工是沒有什么效率。中國并廣告非常多,美國是非常非常的慶幸。中國的惡意軟件非常多。還有美國黑客情況很厲害,攻擊造成的后果是非常的大。但是,中國因?yàn)槿丝跀?shù)量大,從事黑產(chǎn)人感覺很多。還有信息化,美國高度依賴信息化,中國感到信息化的程度還不高。另外,安全防護(hù)上,美國政府,不管是政府,大中企業(yè),安全防護(hù)比較得到慰。在中國,我感覺防護(hù)不太到位。大家也是知道很多網(wǎng)站出了事情。實(shí)際上是很多厲害的黑客,并沒有對價(jià)值不高的這些網(wǎng)站系統(tǒng)沒有花力氣攻擊,要真的攻擊,大家會有更多的問題的。 還有一個(gè)是法制的問題。我國法制環(huán)境還不盡完善,還需要其他相應(yīng)的法規(guī)相應(yīng)出臺。這樣對于企業(yè)有幫助。還有企業(yè)決策者,對于安全要有重視,拿出一定比例的預(yù)算來做安全防護(hù)工作。這些建議我就不仔細(xì)讀了。謝謝大家給我機(jī)會分享一下美國企業(yè)的安全實(shí)踐,預(yù)祝中國的企業(yè)安全能夠盡早地趕上超過美國。
|