12月12日，全球首個探討產業(yè)互聯(lián)網的大型會議，2014 CVW﹒產業(yè)互聯(lián)網大會在北京亦莊召開，并通過紐約時代廣場大屏幕同步呈現(xiàn)。大會由亞信集團、云基地和亦莊經濟技術開發(fā)區(qū)聯(lián)合舉辦，匯聚超過5000名關注互聯(lián)網和傳統(tǒng)產業(yè)發(fā)展的全球IT和傳統(tǒng)行業(yè)領袖和精英，探討“互聯(lián)網進入傳統(tǒng)行業(yè)”、“傳統(tǒng)行業(yè)互聯(lián)網化”的演進以及產業(yè)互聯(lián)網的技術模式和業(yè)務創(chuàng)新。

在下午的“網絡安全@互聯(lián)網”主題論壇上，亞信集團總監(jiān)軒曉荷帶來《打造統(tǒng)一、集中、標準、便捷的信息安全管理模式》的主題演講。

以下是他的演講全文：

軒曉荷：剛才劉紫千說的非常好，我們提的這些問題實際指的很清楚，產業(yè)互聯(lián)網無非把更多企業(yè)對外開放，相互更多合作，更多一些新的業(yè)務模式，更多的小微進來可以做很多事兒。這個過程中，安全是無法回避的問題。作為亞信來說我們側重信息管理模式一些好的實踐和經驗。剛才公安部三所的汪博士提到身份管理，包括寬帶接入認證，包括咱們去10086.cn，亞信都是幫助用戶提供比較好的服務，在訪問控制方面也幫助用戶提供比較好的經驗，今天我主要從這些方面給大家介紹產業(yè)互聯(lián)網過程中，站在亞信的角度來說我們認為比較好的模式是什么樣子的。

最近一段時間，大家如果關注安全并且經?？措娨暱梢钥吹胶芏嗟氖聝?，最典型是暴露三大運營商虛擬做假業(yè)務的問題?？赡苁且驗榈侥甑讻_沖業(yè)務，這個是很簡單的事兒，但是這個就是違規(guī)幫助用戶做訂購，你本來沒有訂，他給你訂了，但是訂了之后立刻退，但是費用已經收了。不僅僅是運營商，包括他們的違規(guī)查詢，咱們去網上可以買到，去釣魚可以買到自己的通話記錄或者客戶資料包括銀行的家庭住址都可以買到，這里存在內外部的合作以及內外部的違規(guī)的竊取查詢這種東西，但是整個驅動因素很簡單。目前這里面存在價值利益的顯性化，這里面特別提到黑產。比如DNS告訴我們運營商里面的DNS，大部分里面種的有東西。但是這個可能是嚇我，我認為也有可能是真的。他也做了另外一件事，包括用34分鐘入侵了一些運營商比較重要的系統(tǒng)。他們本身很少直接去改，去做事兒的，除非碰到有利益的情況。

剛才說的比如說域名這塊，他們做黑產的時候很簡單，他會把你原來一些流量引到自己的廣告上面，根據自己的廣告再收錢。目前我們做產業(yè)互聯(lián)網，把更多企業(yè)往互聯(lián)網上放，這里面的價值利息很楚的需要考慮，如何規(guī)避這些信息。另外就是新技術和新業(yè)務，新方向，這里包括剛才提到的虛擬化環(huán)境之后，這里的虛機之間無法控制，這里面大數據也是面臨這樣的問題。像大數據，咱們上網之后覺得對于業(yè)務有用，分析的比較快，信息更準。但是面臨更大的問題是你信息的安全集中化，原來的時候可以依賴數據庫方面的控制，以及防火墻控制。不同的業(yè)務系統(tǒng)隔開，現(xiàn)在不是了，整個公司在一塊，后面都是文件。而文件是沒有辦法控制的，文件所有的防護控制只能依賴于操作系統(tǒng)帳號，操作系統(tǒng)帳號開發(fā)人員、維護人員每個人都有，像這種新的技術對于我們內部維護帶來更多的問題。

我認為這個在互聯(lián)網化過程中，可能安全威脅需要防范的因素和考慮的方面比較多。我們看看這種情況下我們到底怎么做？實際上可以回顧一下我們整個安全的過程。我這里拿的四個階段是拿運營商來說，運營商在04、05年處于買設備階段，買防火墻、買IDS，當時賣的防病毒。后來08年左右運營商啟動安全域，09年開始這里提出來做統(tǒng)一的項目，包括張濱部長提到的金庫模式，這個本身就是在做統(tǒng)一管控，把訪問集中起來，做一個非常好的產物。這個是統(tǒng)一化，現(xiàn)在大家考慮怎樣把安全做到可感知？提高效率。這里有一些量化指標或者數據分析，這里有一系列要做的東西。這里面這幾個階段可以認為是一種，發(fā)展到第三階段和第四階段可以認為是一種統(tǒng)一、集中、標準和便捷信息安全的管控模式，我認為大企業(yè)都可以考慮這樣做。我們也需要考慮這幾個問題，第一就是人員管理。其實中國移動一直在安全的組織上面沒有的，一直到張濱部長帶領，在兩三年之內建立了自己的安全室安全部，這是一個很難的工作。在其他的企業(yè)可能是說提的很兇，但是真給安全配人很少，這里有組織、人員怎么管，然后流程怎么處理。

到底什么是統(tǒng)一、集中、標準、便捷的管控模式？我大概羅列一下。從整個產業(yè)互聯(lián)網，無非分四個層面。第一是人方面的防護，這里面最外層怎樣把它的內部人員和外部人員的接入，以及自己的訪問管控起來。再往里面其實是一些平臺層，再往后面是數據層，再往后面還有云的防護。從產業(yè)鏈互聯(lián)網分成四層，那么四層下面的話我們可以考慮到幾個點。第一是統(tǒng)一的訪問管理，這里面把咱們的運維管控，包括敏感數據的模糊化這一塊可以在統(tǒng)一的防護管理里面去考慮，還有統(tǒng)一的身份管理。從安全方面來說，我們可以考慮集中化的安全管理，包括它的全網的監(jiān)控、合規(guī)管理以及智能分析，分析一些安全事件，這是整個比較大的圖，從技術來說，包括身份、認證、防護數據安全、云桌面的防護等等。從管理來說有些策略、作業(yè)、合規(guī)這幾個方面。

這是亞信總結的，自己在運營商這塊認為比較好的模式。這個模式可以幫助我們解決很多問題，第一可以規(guī)避我們的條狀化建設，靠一個系統(tǒng)考慮它的認證，通過這個可以提供統(tǒng)一的防護標準和要求。另外可以實現(xiàn)集中管理和分析，針對全網考慮這個問題。那么第一點，我這個里面重點提四點，第一點就是面向業(yè)務和運維人員，我們考慮安全支撐，可以考慮帳號權限認證，這里面考慮幾個方面。我這里大概列了一下，它能夠給我們帶來什么好處？第一個就是說，可以讓我們的工作效率更高。原來的時候可能大家訪問一臺機器或者數據庫也好，要一個一個登陸。現(xiàn)在基本上是說，只要你有權限，你進了第一個門，后面點一下可以走了，很快的。在內部的安全監(jiān)控來說，可以實現(xiàn)安全管理的集中化、可視化，這幾個方面，以及安全管理制度，成體系的IT化這幾個方面，大概有十幾個因素需要考慮。

針對運維人員來說，運維主要的后臺特別容易出事兒。最近這幾年無論是非運營商還是運營商，在內部運營去賣客戶資料，后面偷偷改自己的帳戶，這些事兒層出不窮。文件導入下載的時候，同樣也有控制，不是隨便把客戶資料可以拿走，這個可以考慮針對內部運維管控上面有一些手段。最后一點就是大數據，大數據這塊沒有好的解決方案，針對這塊他提出了加密、DRP這幾種方式，但是這集中在大的環(huán)境很難落地。我們現(xiàn)在亞信結合自己的經驗，探討了新的解決方案方式，這種把原來操作系統(tǒng)的模式給大家規(guī)避掉，提供比較好的控制機制。上面的基本是面向內部和業(yè)務，那么我們現(xiàn)在還在跟AWS合作，提供新的解決方案。這個解決方案把我們的一些產品能力，包括帳號、權限、認證以及我們的網關放在AWS云上，這個可以復制，在任何行業(yè)里面的IDC或者云公司可以推這種模式，通過這種模式我們可以面對于中小企業(yè)給他們提供統(tǒng)一的，類似于運營商的管理服務。

這個就不介紹了，這是亞信總體產品的情況，大家在咱們的桌子上白皮書里面都有，可以去看一下。最后說一句話，亞信本身是在大的平臺以及服務方面，會做的比較好，我們做的都是類似運營商，像運營商這種比較大的軟件平臺，以及對應的交付服務。