Top
首页 > 老文章 > 正文

潘柱廷:用中观思想方法追求等级保护工作的实效

asd

潘柱廷:用中观思想方法追求等级保护工作的实效
发布时间:2006-06-16 16:28        来源:        作者:潘柱廷
主持人:下面请来自于启名星辰公司的首席战略家潘柱廷先生,他讲演的题目是“用中观思想方法追求等级保护工作的实效”。 潘柱廷:今天非常高兴有机会把启名星辰对于等级保护一直在不断研究和追求的经验和想法跟大家分享一下。 我的题目也是最近一直在思考的一件事情。为什么叫用中观思想方法追求等级保护的实效?我现在到底要讨论什么事情?今天主要的主题是等级保护,肯定是围绕这样的事情谈我们的理解。我这儿特意谈一下实效。从等级保护这么多年探讨过程中,怎么样追求实效是大家一直追求的东西。我今天用中观的思想方法考虑实效的问题。 大家刚才已经听到国家主管部门的领导和一些企业专家谈了对等级保护的理解,我也谈谈自己的理解。等级保护是自主、指导、监督、强制、专控,是谈技术、物理网络管理等等这样的事情吗?等级保护在建设过程中也提出了很多原则,不管是测评还是定级还是建设中都有很多原则。就等级评估来说也有很多形式,这些都是等级保护相关资料中经常看到的词汇。等级保护到底是什么,谈技术、谈管理,不谈等级保护其他的也会谈技术和管理。等级保护它自己特点是什么?我自己的理解等级化是整个等级保护的精髓。如果我们过渡拘泥于一定要这个流程或者一定要5+5的工作范畴,也许就失去了做这个工作的经,就是等级。 再谈谈实效,做等级保护或者做风险评估,或者做安全建设,大家都希望追求实效,什么叫实效,比如防火墙放在那儿网络还通着,最近网站没有被干掉,这是不是有了呢?我通过的评测拿到了资质是不是有实效呢?什么叫实效呢?我自己的体会不管做什么工作,等级保护是其中一个,其实我们希望是看得见摸得着的。这就是我今天谈的怎么通过等级保护的事情实现实效。首先谈一下管理者,在座有很多管理者,可能是机构的管理者,普遍是行业主管部门的从业人员。提出一个问题,管理者的恐惧是什么?说的白一点你最怕什么事情?不管你是处于什么样的管理形态,您最怕什么东西?我的理解我的回答是“不知道”。不知道什么?我不知道发生了什么情况,不知道下面怎么办?当你作为一个领导者、管理者面临上级管理者向你询问,如果你不知道情况怎么样,如果你不能提出很有效的建议和想法,也就是后面怎么办的时候,那领导对你的看法就会产生变化。上级管理者有可能是你的领导,有可能是你的客户,作为管理者其实我们心目中最恐惧的就是不知道,不知道情况或者不知道怎么办。我们要解决这个问题,等级保护为什么分成五级?怎么达成实效?这个就有一个我们不管做什么事情所期望或者回避的东西,很简单两件事情可以抽象一下,就是要做到情报和信息的可视化。第二个,就是决策指令明确化。就是很清楚要干什么。这作为一个管理者比如运作或者是操作这样等级保护工作的时候这两条是我们应该想办法做到的。再回到等级保护,等级保护的精髓是等级化。它能够通过能级化帮助我们解决等级。等级保护可以把资产等级化、安全边界等级化、内网检测程度等级化,等级化是只等级化到五个等级,一般的机构不会超过三个级别。这就体现了作为一个管理者可以很清晰的在三、五个级别里面把我自己的情况描述出来。 而且它还可以借助于广泛的机构都采用一个相近的等级方法使得国家可以从宏观的层面看到整个事情的情况。这个角度来说哪怕等级保护五个级别觉得不合适,觉得六个合适?这时候你不要发挥,要遵循它。因为推行这样的等级保护工作,使国家从宏观层面达到了整体的可视化。 通过等级化使管理者两个不知道简化的解决了。而且使得我们大家具有同样的沟通语言。比如跟厂商谈需求的时候,如果说我是三级的,监督保护级的,厂商的很自然的会想到监督保护局的方法、策略等等,这样大家交流意见的时候就有很好的共同点能很好的交流。作为等级化来说等级是真正的精髓,是不是能理解也个精髓需要我们在实践中体会。 刚才我阐述了对等级保护和实效的理解。现在谈谈什么叫中观?在三观论来说启名星辰已经提出两年多的时间,三观论并不是一个很狭窄的想法,它是我们做得很快多工作的时候的借鉴。我认为等级保护作为一个国家的使命和任务这是宏观的成层面。比如27号文件,在宏观和微观中需要一个中观的层次起到一个承上启下的作用。三观可以感觉它的思考方法,找到它的一些具体的“味道”。从组织结构上有机构的高层、基层和中层,在管理学有一个很著名的讲师曾志强,他谈到高层一般是求变的,基层要坚持不变,中层是该变的时候变,不该变的时候不变。在我们安全工作里也会有这样的思考,宏观、中观、微观也是比较虚的东西放带宏观上,比较实实在在的东西放地底下,如果光有虚的东西没有实的东西不是一个很好的体系。整个过程中从虚到实需要一个承上启下的东西。回多具体今天谈的等级保护这个事情来说,我为什么说用中观思想做这个事情呢?其实我们不缺乏各种各样的理念和使命。我们在高层面、宏观的理念一点都不缺,现在我们面对各种各样会议的时候,厂商介绍产品的时候,其实也纷繁多样。某种程度上来说我们也不缺微观层面的工具,所以今天我就想多从中观层面探讨这个事情。 谈到中观的思想方法,什么叫中观的思想方法,第一个是面向实效的目标。这是你的一个工作原则,你是追求最高或者是追求最好?还是希望达成一个不太坏的结果?这是完全不同的思想方法,就是说你是追求完美还是追求不坏,如果作为一个使命的追求,长远的追求,作为真正把这个事情具体落实下去做成,你应该追求的是不坏。就是说当你用中观思想追求实效的时候,就是定目标的时候要追求一个不坏的目标。具体到等级保护来说要规避最坏的情况,原则上追求较高的目标,但是首先要做到满足最低目标。等级保护这个工作需求是怎么来得?一个是网内出现病毒了,一种是网站被干掉了,这是由问题导致的需求,你需要被动。还有一种是从主动的角度内部考虑解决,这是体系化的需求。除了来自于内部的要求之外等级保护到现在已经成为一个合规性要求,是来自于外部的压力,而且里一定要需做到。其实27号文它是一个政策性的要求,给你一个正你可以拿着这个政策做。我们当然不希望每一个运作事情的人都不希望自己处在被动的环节,我们要尽量的获得主动。当面对被动的要求我们要尽量去规避被动要求由于达不到所带来的不好的地方,我这里面提一下我的观点,比如谈到等级保护这五个等级。自主保护其实没什么可谈的,谈谈强制级和专控制级。当你的系统别定级成为这一级的话,你一定要用所有的资源完整的达成合规性的要求。 监督级,(三级),我经常跟客户讲当你面对合规性要求的时候一定要就低不就高。要尽量把你的定级定低。什么意思呢?就是当你把级别定高了之后会出现很困难的状况,被合规性的要求压迫做一些事情,这时候可能会造成工作上的一些压力下的缺失,不利于长远的做事情。就低不就高的意思就是作为一个满足最低要求指导保护级做到我应该做的基本工作。监督级一旦出现问题它不会更多的辐射到国家和社会层面。这时候把合规性要求摆在第二级,我用主动的政策行引导和体系化建设解决监督级的要求。如果我去负责这样的事情的话,我会尽量这么做。因为级别越高投入越高,产出是不是完全能够有所说明,这需要时间的检验。当对外就低,比如跟公安部保密局我也希望公安部门应该理解你的具体难处,因为如果等级保护从国家层面整个推进的话也需要可操作性和可落实性的方法。 在单位内部要根据单位的自身情况要对内就高。谈到中观思想的第二个方法,是管理与技术的平衡。管理与技术的平衡上有一个非常经典的说法叫做“三分技术、七分管理”。做安全工作可能会从管理入手,我现在的观点是如果做安全工作从管理入手你就死定了。什么是管理?管理意味着你要改制度管理要改组织结构,管理要给别人写KPI吗?你有什么实力去触动你们机构的管理呢?所以如果想着三分技术七分管理,你从入手你基本上死定了。所以,27号文怎么说的,“坚持管理与技术并重”。我的观点是从管理着眼,看什么看的宽一点,高一点,但是一定要从技术手段入手解决管理和其他问题。是管理驱动技术,实现管理是靠技术,不要靠管理实现管理。因为一般来说做IT的人,在大单位里都是没有多大的言语权和发言权的,这种观点是实事求是的,不要好像从管理入手,只要领导一定要重视或者怎么样,这是过度理想的,不是操作事情的思想方法。从中观的角度,从管理着眼技术入手,这时候要去想到用什么样具体的技术手段和技术方法怎么帮我实现我刚才说的两个不知道。现在是从中观的角度找到着眼点,具体的就是“域”。就是着手和着眼能够看的对象,这个就是“域”,就是安全域。“域”这是一个围棋盘,当你看黑赢还是白赢,我们一般会怎么看呢?我分四个角,再看四个边再看肚皮。我们看四个角都是白的,边上也是白的,这盘棋基本上是白棋胜。真正谈安全域的就是具有相同或相似安全要求和策略的IT要素的集合。它包含了业务、物理环境、人。我们的组织结构就是一种域,如果我们把这种泛化的概念看安全域的话,只要是有区域性的事情就能够成为我们很好的着眼和着手的地方。 资产结构化是安全域基本的事情,比如说我的问题、攻击,包括保护措施这些都会随着安全域的结构化而结构化。简化而又不丢失重要的东西就是要通过结构化简化。安全域是一个简单化的方法,想办法用某种结构抽象和简化整个体系。对咱们国内业界在安全域方法上影响很大的文件就是美国写的信息保护安全框架。这个文件里谈到了四种域,局域计算、飞地边界、网络基础设施。跟这个方法有一些接近,但是有一些不同简单说一下启名星辰的三加一的安全域的方法。就是把所有的介入聚拢在一起,把服务器比如存储系统放在服务域里,还有一个就是互联域放在一起,还有一个就是管理支撑域。接入域一般都是一块一块的,互联域是一张网,而支撑域跟前面几个域是插入的关系。域的划分方法使里在每一个域里的事情变得简化。只要用域的方法看可以有不同的域的思考。比如说电力系统典型的安全域方法是根据每一个域里的业务形态做一、二、三、四区的划分,一区基本都是实时设备的可靠性要求很高,三、二区核心生产相关的系统里。这个地方能够物理隔离是因为二区三区流量不多。 再比如说,为一个银行做的整个安全域的划分方法:这个方法可以看到安全域很典型的结果。安全域最后给你划成了一棵树以树形结构进整个体系进行简化。当资产变成一棵树意味着攻击事件就变成的一棵树,风险和脆弱性就宾客了一棵树,使整个管理由于安全域的管理就能很好的体现出来。 安全域在等级保护上到底能起到哪些作用?等级保护对系统分级,就是安全域的一种方式,安全局是可以被等级化的。原则上说一个系统是四级,整个系统就是四级,但并不要求所有的系统都按照四级保护。真正落实到保护措施的时候一定会落实到一个一个域里,或者落实到一组域。所以不要认为整个大系统整个全机构按四级保护,这个偏离了等级保护的根本方法。 当安全域分了之后可以分阶段安排工作,可以这个域先做那个域后做。安全域可以帮助我们做网络改造分析业务流转。安全域不一定光按网络区分,当你做树形结构的时候,这棵树现在是以业务部门的区域来分享。也许你用这么分,可以分成Unix是一枝,网络设备是一枝,VPN是一枝,域是是一种思想和想法,要通过设备类型分类组成域的结构的时候,你时候你会通过域发现跟Windows新出现的一个漏洞,这时候你就可以对它进行风险控制。 当然也可以谈域的边界域的外界和如果域需要远程接入怎么办?所有事情一定要退到客户端解决问题,这个是粒度太细了。我们要很现实的比较中观的范围真正处理这样的事情。按域的边界考虑,按域的内部、外部考虑围绕一个域的边界会考虑防火墙、UTM。 根据域不同的层次要求投入也能达到真正的效益最佳。我认为安全域应该是成为我们去做等级保护工作的时候一定要做的一件事情。其实你不有意的做也是不自觉的在做,既然这样的话我们为什么不明确提出以安全局的角度去做。 第四个中观思想方法:要擦亮中观思想的眼睛,我刚才讲的安全域是给我们找的着眼看的地方,我用什么东西看?不谈管理手段,我希望用技术手段体现这个事情。比如典型的客户需求,他已经采购了IDS量也比较大,这时候希望建立一个东西,因为IDS在分行运行的时候如果出了事情,分行不报给总行的话,通过什么手段限制和解决呢?不太容易。那就干脆建一个平台,那块报的事情总行一下子就能看到,解决这个事情还是该谁解决谁解决,我只是看到的插手不插手是我的事情。这就是体现了整体看的能力,解决不知道情况的恐惧。对于总行很机构安全负责人,当领导问我最近咱们机构安全情况怎么样?这时候你需要技术手段帮助你。这个例子是在Google上面看到的,是咱们北京市的鸟看图,从这个上面我们可以看到我们公司现在的这栋楼,可视化的管理需要做到这种感觉。可视化需要做到什么感觉呢?(图)这段信息高炉公路,我不是巡逻车也不是收费站,我是在这段整个高速公路网上面升起来的一架攻击直升机,这就是我们希望和需要建立起来的可视化的体系。这就是我们需要的需求。具体的技术现在已经有很多了,安全管理平台成为我们检测和响应能力真正的汇总点。我们需要建立一个系统,建立这样的系统现在技术已经日趋成熟可交付,这个平台在宏观、中观念合乎微观层面都去完成一些事情,它是处在中观层面起到承上启下的作用。 要建这个平台也是帮助我们解决两方面的问题,一个是看的问题,一个是解决下面要做什么事情的问题。比如说监控各种各样的可视化的东西,真正可视化一般是图表形式,另外一种是类似拓扑图的形式。如果有这样的平台作为你的管理工具的话你可以看到一些情况,当领导需要了解情况的时候你可以很方便的用报表的形式给他,或者把他拉到一些环境里面去看。 大家知道神五、神六发射的时候中央领导都要亲临现场,那么神六的现场在哪儿?是发射架那儿吗?其实不是,那个地方看不到卫星的信号,看不到遥测船返回来的信号,所以真正的现场是指挥中心。 我今天谈的就是用中观思想落实等级保护的实效。我认为要把等级这个事情看的很重,各种事情都很明确的跟等级保护五个级别挂钩,等级保护的精髓你已经抓住了。实际操作中我们到底要满足什么事情,哪些事情是时刻在脑子里具体应该解决的,就是两个不知道,不知道该怎么办,不知道下一步怎么解决?看一个防火墙真的帮你解决了下面怎么办的事情吗?这个时候你就要用更好的中观思想真正运作这个事情。运作是要追求实效的目标,不要在等级保护的过程中做开路先锋,重要旗帜性的标杆。其实这种做事情对你本身的机构来说不见得有识效,你扎扎实实的把二级做好,再往三级办,这个才是真正的等级保护实施工作的典范。 从技术和管理平衡来说我认为要抓技术,真正着手抓的一定是这个事情能够实实在在的落到具体的技术上。像等级保护大家做的自评也是拿一个系统给大家,大家围绕这个系统做一些自评估的工作。具体的技术方法我提出两个,因为太多的一讲多以后反而跟没讲一样。所以如果做等级保护一定要马上开始做,因为不做你也无意识的做了就是围绕安全局考虑。 管理平台不是一开始必须要做,而且它也有相当的难度,但是如果想把管理和等级保护工作变成一个长效机制,这可能是两年以后不得不做的事情。另外建大平台风险比较大成功率比较低的话你可以建小平台。我对中观思想运作这个事情怎么获得实效,就是想办法别让自己失败。如果你这次失败了可能没有机会做下一次。所以你一定要把自己的事情变得越简单于好,投入越少越好,对外展现的效果越好越好。这个是我们应该实际做工作应该用的态度和方法,这也是我今天谈整个事情最根本的想法。就是“让你能够持续的继续干这个事情,我机构和这件事情就会走的越来越好”。谢谢大家! 叶红:谢谢潘先生刚才的精彩讲演。今天上午的讲演就到这儿,下午两点以后有三场企业讲演和一场专家沙龙讨论,欢迎大家参加!
(e129)
加载更多

专题访谈

合作站点
stat