杨志伟:大家好,大家知道今天赛门铁克几岁了吗?赛门铁克今天25岁了,我们咨询安全方面有着很多年的经验,我们也在不断的做研究。最近几年我们在研究过程中就发现一些新的趋势。这些新趋势,刚刚吴总和郭总也提到过。而从这些新趋势中我们就发现我们有必要改革我们对咨询安全的态度。这个改变我们就把他说成是Security 2.0。Security 2.0不是一个新的产品,他也不是一个新的软件或者是硬件,而是一个新的环境。
刚刚郭总说到现在的企业、用户都非常的喜欢互联网,非常的依赖互联网,因为互联网可以为他们带来很多的竞争优势。所以企业要在更短的时间内,接触到更多的客户,而且要在更多不同情况下,接触到更多的客户,那就需要互联网。如果一家银行要扩展他的生意的话,他们不会说,如果我要双倍的盈利就去开拓一倍的门店,他们更多会投入到互联网,增加他们的业务。企业也会利用互联网更加有效的执行他们的工作。比如说我们这次来上海的时候,在很多年以前我们只能在公司里面才可以读到电子邮件,现在我们可以在任何的地方利用电脑、电话、PDA读到我们的电子邮件。所以企业非常的依赖互联网,因为它可以为我们带来竞争的优势。企业会利用互联网和更多的合作伙伴、供应商沟通。这是一个非常新的经营模式。
但是新的经营模式也带来新的风险,今年年初我们就做了一个研究,你就发现总共有4种不同的风险,IT必须要确保系统在硬件、软件发生故障的情况下,都要确保系统保持在线,数据或者是资讯都可以让他们的访问人看到。IT必须要预防这方面的风险。第二就是安全方面的风险。刚刚郭总说到我们在2006年上半年,就再在了超过2000种不同的资讯安全方面的漏洞,其中80%是容易被人利用的,25%是在一天内被黑客利用的,33%是在六天内被黑客利用。那么如何在互联网保证和防范这方面的风险呢?第三就是法规遵从方面。因为IT是负责管理信息的,所以信息是非常重要的。所以一定有一定的法规去控制IT使用信息,传递信息,所以遵从法规是非常重要的,不遵从法规就是一个风险。因为不得遵从法规在某些情况下,可能会被罚款,或者说公司的名誉受到影响,这是一个很大的风险。最后一个风险就是性能方面的风险,现在企业都把他们和客户的联系带到了互联网上,所以性能变成了很重要的因素,网站的成功与否和他们的性能是有着直接的关系的。
2001年有人做了这样的调查,就是调查网民上网的时候他有多少的耐心,2001年是8秒,2005年又有人做了同样的研究,我们看看他的耐心是几秒——4秒。从2001年到2005年的差了4秒,也就是说一个网页如果不被下载的话,他就会放弃这个网站。所以企业如果要把业务放到网上的时候,性能是非常重要的。当系统性能发生差异的时候,IT需要在很快时间内把这个问题解决掉。
刚刚我就说到Security 2.0是一个新的,我们面对信息安全的一个态度。那Security 2.0之前是什么呢?我们就把它说成是Security 1.0,有四个态度要改变。第一,在1.0的时候,IT把重点都放在信息安全,也就是说他们都在设法去把信息锁起来,只有那些有权接触他们的人才可以接触到。而在Security 2.0中,就不仅要做到这一点。因为企业要设法去发挥这个互联网的潜能,所以IT不仅要把信息安全做到最好,而且IT必须确保信息会以更多不同的方式,在不同的地方和地点,让需要它的用户接触到。现在不仅是要锁起来,而且要在不同的时间和地点,让应该接触到信息的人接触到。在Security 2.0中,资讯安全就像一场仗一样,这是黑客决定时间、地点的仗,要把资讯安全运营化,也就是说企业必须要有很完整的策略对待资讯安全的事件发生,这个策略 至少要确保企业可以很有效的探测到这些事件的发生。第二企业必须知道怎么去应对这些问题,第三企业必须确保他们知道如何跨越这个系统。第三,1.0和2.0有什么区别呢?1.0中,这些攻击都是针对漏洞的,而在2.0中,则是针对人的供给。我们在互联网的风险报告中发现一点,黑客最常用的散播病毒方式是利用电子邮件,所以现在黑客攻击的是人的行为,而不是电脑的漏洞。另外黑客在攻一个企业的时候,他以前关注的是企业的基础设施,他是要攻破基础设施,因为以前他们的目的是要出名,现在的黑客目的就不一样了,黑客的目的是要盗取信息,因为盗取到的信息可以给他们带来经济上的利益。所以现在他们关注的是信息,而不是基础设施,他们可能攻的还是基础设施,但是他们是要偷取信息赚钱。我们谈Security 1.0的时候,就是要保护你的基础设施,而在Security 2.0中,保护基础设施是不够的,我们必须保护信息、和交互。信息就是你的电子邮件,你的文件等等。交互可以是你的电邮,可以是你的MSN、QQ等等的交互,都需要保护。因为黑客攻的可能是你的基础设施,也可能是你的交互。这也是我们这个环节中要讲的如何保护你的信息。
那么信息是什么呢?信息不仅仅是数据,信息可能是客户的资料,可能是员工的资料,如果是一家医院的话,可能是患者的资料,所以这些数据是要受到保护的,这些数据是不可以被泄露的,因为这些都是非常秘密的。信息也可能是知识产权,也可能是信息的机密,这些对公司的信誉都会带来很大的影响,所以信息是非常重要的。
通常我们说保护信息非常重要,那么我们的信息到底受到保护了吗?通常问到这个问题的时候,我们经常就会想到备份。不过仅仅备份是不够的,为什么呢?这些是可以保护信息不被消灭掉,但是信息除了这个风险以外,还有泄露的风险,我们考虑泄露的时候,就要考虑到信息怎么样在互联世界传出去的。我们可以采取各种各样的方式把信息拷贝出来,那么就要考虑所有的方式才可以保证这个信息的安全。
电脑的科技越来越发达,所以我们有更多的方式来接触到信息,要保证我们可以做到信息保护,IT也要考虑到这些所有的信息以及带来的风险。
信息泄露非常的严重,我们做了一个研究,发现信息泄露70%是因为内部员工造成的,超过一半是因为内部员工疏忽的问题造成的,其中25%是违法的行为造成的。只有13%是黑客造成的。所以信息泄露如果我们要做的最好的话,我们就必须要研究一下怎么样防止内部的人员把这个信息泄露出去。信息泄露非常的严重,金钱上的损失非常大。除了金钱上的损失,信息上的损失也是非常大的,
赛门铁克对信息保护就有了一个解决方案,他叫做赛门铁克Information Foundation 2007,他可以防止信息流失,可以降低外部威胁带来的风险,他集成了内容存档和电子发现。如果真的有人做了有意无意的信息泄露的时候,马上企业就会发现到。
接下来我们就请我们上海的同事为于先生大家演示一下Information Foundation 2007。
于先生:因为我在安全界做了很多年,有一点非常重要,就是我们的信息泄露,很多的行业,特别是金融行业,技术敏感行业这些信息都是企业的生命。这些信息都可能被内部的员工泄露出去,要防范起来非常的难,以前我们没有一个有效的手段来防范。现在我们赛门铁克有了这样的一套技术手段,非常的有效截取我们的信息来保护Information Foundation 。
我现在就扮演一个企业内部网管,那么我们怎么样利用这样一个有效的手段,保护我们的信息呢?当我上班的时候发现有一封邮件安全网关系统的告警信息,上面有着信息,他的信息是说在公司里面有一个人发送了禁止的信息。那么我们是怎么样达到这样的功能的呢?我们看一下如何设定,我们来到邮件网关的界面,登录后我们看到有一个设置,在这个设置中我做了一些特别设置,比如说向外面发出邮件或者是进来的邮件进行了这样的过滤,一旦发现就会主动的拦截下来。大家看一下,我要过滤什么信息。这些东西我们在前面已经做好了这样的模板,当发送的所有邮件中有我设定信息的时候,他就会拦截下来进行报警。
接下来我们看如何处理这个事情,我进入Information Foundation 2007系统,进入这个界面以后,我发现了刚刚了拦截邮件信息,我看的非常的清楚,我们看到这个邮件是10M大的附件邮件。现在我还不清楚,这个人有没有权限,如果我发现他有权限的,他是合法的员工,我就可以让你发出去。如果我发现这个人不是合法的员工他没有发送邮件的权限的话,我就会截下来,我的信息不会传出去。
那么如果员工不是用邮件发出去的,比如说他可能利用MSN和QQ发送出去的。我发现我们的网关非常的强大,他可以截取MSN的信息,同时也可以看到,他在公网也发了一封邮件,我们看到MSN的信息和公网的邮件的内容都非常的可以,那么我们打开这个附件看一下,发现里面都是我们的机密信息,那么我们就要通知我们的法务部门,然后将这封邮件专发给法务部门,让他们来处理。
同时我们这时候又会想,可能之前这个人在以前也做过这样的人,那么我就可以锁定他,可以对他以前2006年到2007年所发送的所有邮件进行审计,一下子就可以看到他一共发送了2万多个邮件。如果我非常的关心他发出去的邮件,我可以做一个过滤,我们看他从公司邮箱发出去的邮件,我们发现有1.3万封。那么我们再看有关的公司信息的邮件,再做一次过滤,我们发现有7封,我们再看一下,这7封全部都是属于公司安全的信息,那么这个人就很可疑了。然后我们把这些信息进行备份,以便于以后在处理的时候留下证据。这就是整个的一个企业安全信息操作。
我们看到这个网管也并不需要很强的网络安全知识就可以避免一起公司信息泄露的事件。
杨志伟:谢谢我们上海的同事。刚刚我们讲到了赛门铁克Information Foundation 2007可以从一个解决方案中解决从探测到阻止到调查都可以在这其中解决。
我们发现管理多个造成数据丢失的源头,一个状态在使用中的信息,一个是存储的信息,一个是被传送的信息。刚刚介绍的Information Foundation 2007就可以照顾到四种正在被传送的信息。
我们说到信息保护的时候,我们会说最重要的系是要保护端点,因为端点是最容易出事情的,也是最难管理的。我们要确保端点没有病毒,没有间谍软件,没有木马程序。但是要真正的保护端点,企业也要了解,企业可能也会被端点伤害到,因为一个被病毒侵害的端点,如果连接到企业网络内部的话,那么风险就会很大了。假如说我的这台电脑有病毒,上面没有防病毒软件,然后拿回公司,连接到公司的网上,马上公司的网络可能就会被干扰到。那么这就要做到一个端点忠诚的方案,赛门铁克就有这样的方案,第一他可以确保端点是遵从安全性策略,才可以成功的连接到公司的内部网络里面,他可以做做一个探测,比如说在这个例子里面,他可以检查这个端点中有没有防病毒软件,第二,看这个端点的防病毒软件有没有最新的签名,第三,看有没有防火墙,第四看有没有更新Service Pack,最后看有没有升级补丁,有的话才会连接到公司的网络中。
那么,在使用一台并不熟悉的电脑的时候,比如说我们在网吧使用一台电脑连接网上银行,如何保护他们的安全呢?接下来我们再请我们我们的同事演示一下赛门铁克Security On Demand。
于先生:各位大家好,接下来我在为大家演示一下Security On Demand。
首先我打开IE,我要访问一个网站。现在我的电脑上没有任何的安全。这个时候他侦测到了,我访问网络了,他发现你的电脑上面必须得有安全措施,那么他就会跳出一个安装包,他会要求你下载一个Java的插件。
杨志伟:这是网站供应的吗?
于先生:对,这个是我们和那个网站合作以后他们提供的。我们下载以后,我们看到有一个虚拟的桌面,这时候我们发现我们的桌面变了。在这个桌面里面,你只能运行一些制订的程序,非法的程序,病毒就运行不起来。在这个虚拟桌面中,无论你有任何的操作,当你推出虚拟桌面的时候,你的虚拟桌面的东西不会存在你的本地硬盘里面。如果在虚拟桌面中做网上交易,对信息的清理是非常干净的。当我们进入虚拟桌面以后,我就可以登陆我的服务器了。下面我要保存几个文档保存到我的虚拟桌面进行编辑。做完了以后,我现在出去玩了,我们做一个记录,这里有句话我们看到,所有的信息会被清除。也就是说在所有虚拟桌面上的东西都会被清除。
杨志伟:也就是说我用一个网吧电脑做在线网上银行操作的话,就可以保证安全吗?
于先生:对。你可以在安全的设置中进行设置,以确保那些杀毒软件不认识的木马程序运行起来。这个虚拟桌面他最终退出的时候,凡是在这个虚拟程序中被改过的程序,都会被清除掉。如果你觉得IE不安全,那么我们可以检测出来,进行报警,让你不要使用这台电脑。
当我离开这台终端的时候,会清除所有虚拟桌面上的信息。这个方案可以帮助我们的行业用户提供很好的解决方案。谢谢。
杨志伟:谢谢。今天我们在上海正式发布我们下一代的端点保护的产品,就是Symantec Endpoint Protection 11.0,我们上一个产品是10.2,这是今天最重要的环节。那么Symantec Endpoint Protection 11.0中有了六大功能。这包括了不少于七个不同的科技。这里我就要向大家一一的解释一下。这是一个非常重要的产品。
谈到端点保护,第一我们就想到防病毒,赛门铁克在防病毒方面占据了世界领先的地位。我们的防病毒软件方面的成绩是其他竞争对手无法比拟的。第二就是防间谍软件,我们拥有最好的防间谍软件,在探测和清除rookit方面是世界第一的,因为我们所拥有的技术是世界领先的。我们和微软已经合作很多年了,我们很清楚的知道这个rookit所在,然后清除掉,这个技术是其他竞争对手所没有的。
第三是防火墙,在Symantec Endpoint Protection 11.0中,我们有业内最易于管理的桌面防火墙(Sygate)适应性策略,具备补丁程序位置感知。
第四是入侵拦截,这是一个非常重要的科技,其实他里面有两个科技,一个是基于漏洞的保护,我们刚刚说到要保护端点不被病毒侵入的时候,我们首先想到的是签名制的方法探测和清除,但是这是不够的,因为每一个病毒都会有很多的变种。那么怎么解决这个问题呢?我们基于漏洞的防范就可以解决这个问题,因为无论病毒如何变种,他所攻的漏洞都是一样的。第二个在入侵拦截方面的科技就是网络流量检查,提供基于漏洞的保护。他基于一个应用的行为去探测到底是不是电脑病毒,他不是靠签名制的方式去查别,因为一个病毒进入电脑以后,他和普通的应用是不一样了。一般来说,病毒进入电脑以后,他会上网去下载更多的资料,或者是在客户PC上搜寻更多的资料发到网上去,他是普通的应用是完全不一样的。所以基于这种应用的探测则可以防止这些未知的病毒。
第五是设备拦截,设备控制阻止数据丢失,应用控制拦截零时差攻击。
第六是网络准入控制,起用网络准入控制,包括NAC的代理,这是赛门铁克端点保护的一个选择。接下来我们请我的同事再来介绍下Symantec Endpoint Protection11.0是如何进行设备控制和应用控制的。
于先生:大家好。可能大家以前接触的都是外部的管理,或者是蓝牙不允许你用,或者是USB不允许用。但是大家有没有考虑过灵活呢?比如说一个企业不允许USB使用会不会非常的不方便。我现在可以通过设备的控制来进行一个平衡,比如说我可以允许word稳当的拷贝,但是并不允许其他的软件进行拷贝,比如说病毒就无法通过USB拷贝,那么我们就可以达到安全的目的谢谢大家。
杨志伟:刚刚我们花了很多的时间,来介绍Symantec Endpoint Protection 11.0的功能。我们接着来介绍,我们使用单控制台,系统资源占用更少,我们对系统的要求非常低,而且也非常的快。这也是我们的一个突破。说了那么多都是有关资讯风险和漏洞,以及端点的保护,安全上面的一些挑战。
接下来说一下遵从方面的挑战,企业把信息都交给IT管理,那IT在管理信息的时候,就必须确保他在存储、传送或者是在使用信息的时候都有适当的管控。企业必须知道,他们要遵从的策略是什么?比如说内定的一些策略,有一些企业可能要遵从地方政府或者是外部的一些要求。知道这些要求以后,IT就必须要从这些要求和政策中拟定出控管,把这些控管都安置好了之后就可以达到遵从了。但是这只是一个开始,要维持遵从才是关键,那么如何维持遵从呢?就要把这些控管自动化,如果这些控管不能自动化的话,就很难去检查一个企业,一个IT部门遵从的程度。
赛门铁克就可以帮助我们很大程度的帮助我们,让我们知道这些管控都是遵从的。自动化以后有一个好处是可以大大提升我们对控管检查的效率和准确性,有了这样的自动化以后,我们也可以很轻松的汇报我们的工作。
说到很全面的照顾到资讯安全的问题,我们建议从三个方面着手,第一是确保端点的安全,赛门铁克的Symantec Endpoint Protection 11.0就可以很有效的做到这点,第二是确保信息基础架构是很好的,在这方面,必须要确保外来的威胁是低的,而且确保信息不被遗漏,要有有效的架构和平台去做归档。以便做很有效的调查。第三就是进行有效的策略管理,要知道法规,然后将所有的控管自动化,只有自动化才可以很快的告诉他们,哪些系统是遵从的,哪些是不遵从的。
说到这里就要结束了,现在我想和大家重复三个关键。第一,标准化自动化您的安全策略,第二,在信息存储,使用以及传送等过程中提供保护,第三,简化并强化端点的安全性。就说到这里谢谢大家。(责任编辑:李磊)
