“中國國際高新技術成果交易會”的重要組成部分——“2014中國高新技術論壇”于11月16-18日在深圳會展中心舉行。上圖為云創新和安全組織執行主席杰瑞-沃特里克。
以下為演講實錄:
杰瑞·沃特里克:非常感謝黃總給我做的介紹,首先我們之前已經聽到了非常精彩的一些對話,一些討論,講了云、講安全,而且講了大數據,我今天在這里可能更多的會在安全這一塊兒給大家做一個演講。
首先包括一些服務的外包,和所謂的管理服務和云計算中間的差異是什么?可能從根本上而言,這些不同的術語它的意思到底是什么?我們可以看一下,傳統的外包是什么?這也是伴隨著我所成長的,所見證的歷史,如果你要外包的話可能需要很大的數據中心,到目前為止已經做了很多這方面的工作。
2、是所謂的管理性的服務。這個概念到底是什么?管理性的服務,它也是代表著IT的服務,還有一個非常好的透明度,靈活性,另外一方面它的可獲得性,可用性也要非常的高,我們需要了解的一點是什么?為什么我們有的時候需要外包,需要一些所謂管理性的服務,因為你要了解一些根本性的相關需求。
3、云計算。云計算到底是什么?云計算這概念代表著,也是一種經過管理的服務,使它的交付模型充分的利用網絡來作為我們的基石,對于整個行業里面,我們可以看到,最開始所謂的云服務的提供上,或者是管理性服務的提供上現在在不斷的涌現,他們已經形成了一種服務,所謂云服務的供應商,他們可以提供很多這些線上的服務。
如果我們再進一步來看,這樣的一個模型,我們從一個大的架構和角度來看,這其中我們覺得一直非常有意思的就是跟具體的IT有關,對一個大的組織而言,IT扮演的角色是什么?首先一個公司有什么樣的風險,從董事會來看,如果你在這個董事會里面可能需要有一些責任,或者對一些問責做出響應,如果出現問題的話,有一些潛在的風險,你必須要做出響應和應對,大家現在每天可能都會遇到一些所謂黑客的攻擊,這個時候也是在董事會里面經常會討論的一些內容,如果坦白的來說,如果我們把它稱作是管理的話,就是你如何來應對IT的風險,如何來解決IT的風險問題,在這里給我們展示的是一個董事會的成員,如何來看待這樣的一個模型,這是一些主流的一些大的企業可能會做的。
這是代表著一個自上而下的一個方法,對于大部分的企業,大的公司會使用,這里包括IT技術架構,個人計算,外包的IT,最右邊的是IT,治理,這個也是我非常關注的領域,就是說IT如何和整個公司治理的架構相契合?
相信大家對于這一類的問題,我之前也是和一些企業的董事會成員就這類話題,這類分析進行探討,現在所發生的一些現狀是什么?我們可以看到大家的意識層面在不斷的提升。
這上面看起來不是非常的清楚,但是我想在這里強調的是什么?我們需要關注的是那些董事會的高管如何來看待安全性?可以看到PWC做的一個研究,2014年的信息安全,我們看到今年的占比當中有超過60%的人覺得它是具有比較好,或者是非常高的,2014年的比例超過70%,另外一些調研,我們覺得調研有時候非常有意思,他可以給到你一些背景、一些概念,或者是對于一些受訪者,他們覺得這個特別的重要,我們也可以看到重中之重的問題。
1、業務的持續性。在我的眼里,在這些受訪者的眼里,比如說網絡風險排在第二位,這個來的要更加重要一些,大部分受訪者的人,他們會關注事件、災難的一些恢復,可能對于他們的數據中心,或者是IT的數據當中如何來恢復這些狀況,恢復是非常重要的,也就是業務的一個可持續性。
2、有關一些現有的技術,可能所帶來的一些風險。
有移動計算,其中也是占了一個比較大的,人們把它視作具有波動性,不確定性的一些東西。另外一個是社交媒體的問題,包括使用像臉譜,或者是其他的社交媒體的一些網絡的一些使用,它也是一個非常大的風險點,是董事會管理的時候比較關注的,有的時候會帶來名譽方面的一些問題,有的時候你發了一條微博,其中涉及到一些其他的公司,最后帶來的一些后果,很有可能是對一些公司的名譽、聲譽帶來巨大的影響。
有多少的公司,具體的時候會進行風險分析,這是內部的風險評估,在這里我們可以看到是71%,也就是這個大約3/4,超過70%的企業內部會做一些信息安全和物理安全,但是比較小的公司只有51%,或者是只有一半的人來做風險評估,在這里我想強調的是,我之前是做審計的,那個時候我會說你們在風險這一塊兒做一些什么防范的機制?你們如果出現一些問題,你們如何來定義他們,如何來應對他們,在這里我們可以看到,調研的結果也證明了風險評估在不同企業里面受重的程度是不一樣的。
你無論在什么樣的業務當中,我們必須要有一個很好的風險管理的組合,我們需要做具體的分析,如果你給哪一家,都要充分的來定義內部出現的風險。
在這里其實是代表著一些標準的框架,我們從安全上面,一個大的角度來看,這其中不同的層級,有網絡級、有應用層級,有運營系統,也包括虛擬化這個層級,也包括物理,我們的數據庫、我們的設備等等。那對于風險可能會出現的一些新的領域,現在主要是在虛擬化這一層,可能比較容易出現風險,在這一側我們會做一些云的一些數據庫或者是自己來開發一些私有的或者是公有的一些平臺。
從云風險管理角度我們要做什么?首先要識別有哪一些風險,第一是治理的缺乏,我之前已經說了,包括一些數據泄露,有很多的一些服務的可獲得性出現的問題,缺少合規,最后一點你缺少數據的質量,可能在這一部分,在風險方面很多公司沒有把這部分內容放在他們的風險管理中。
首先我們以一個所謂的治理上的損失來看,這中間需要做什么樣環節的一些措施,防范的措施,正如我之前所提的,被外包的組織的它的安全方面做的很充分,至少它能夠在你的一些指導方面,在你的一些指引方面可以做的不錯,另外一方面服務水平協議也非常的重要,服務水平的協議是你和供應商之間,包括云服務供應商之間的關系如何,你必須要有一個很清晰的定義,這一點非常的重要。
從安全的角度,我們要把這部分的內容考慮到,整個SLA服務水平協議這個合作當中,如果提到這個,我們也包括合同管理,CSP有效的和管理,我們必須要持續的、有效的去管理這些協議。
我覺得無論是什么樣的類型的服務,比如說CRM這樣的服務,客戶關系服務,可能現在已經是非常標準化的內容,大家可能經常會把它外包,作為一家企業,我們需要的是你要有一個服務供應商認證的報告,第三方的一個認證報告,我們會關注下一個點。
下一個點是有關數據損失、數據泄露的保護,首先數據分級非常的重要,數據的分類和分級對于我們如何來保存這些數據,風險的優先級是不一樣的,我沒有時間講的太多,我就列出我個人覺得比較重要的一部分。
如果要做好風險控制,我們首先要做好風險分類、風險分級,第二個是虛擬化,這個是一個比較新的技術,特別是在云平臺的應用方面,我也會說一些關于黑客的一些攻擊實踐,經常通過所謂的虛擬化,這里我不想講的太技術,另外一方面我們還要做加密,就是要讓數據安全的話,在這里我們會繼續的關注一些業務影響分析,也就是BIA業務影響分析這個概念,非常的重要,它對于我們確保你的數據是得到了一個合適的控制和評估,我們在完成了BIA的分析的時候,你要做一些相關的服務和可用性的測試,定期做測試,數據的主權性也是非常重要的,如果我們把數據外包到外面,你要知道數據到了哪里。
這里有一個客戶的例子,從他們這個角度大家做的是什么?他們沒有數據備份的規范,他們沒有,甚至這個數據已經被流到了另外的一個國家,他們做的反應是什么?我也覺得比較的震驚,他們覺得如果數據到了另外一個國家,就會帶來一些風險,他們也開始非常的重視可能帶來的一些挑戰。
我們要清楚我們的數據和應用是在哪里做備份的,有的時候我們不僅要有一個正式的計劃,還需要一個問責的問題,我之前所提高的認證,我在這里也不會講的太深入,我們看一下一些主要的常見的問題,包括7001這些相關的報告,在這里我們所需要的是什么?當我們找到我們服務供應商的時候,必須要有證書,我強調的這三個證書是所有的CSP,你想要合作的CSP應該具有的,因為它也可以幫助到你更好的去了解需要控制的是什么?或者是云服務的供應商他們所需要的體系是什么?如果他們沒有這樣的認證,我最后想說一點,你必須要有一個定期的審計。
下一步是包括如何來更新你的行動計劃,時間也差不多了,我就不多講了,以上就是我的計劃,非常感謝。
京公網安備 11010502049343號