CSF2010之高峰论坛：构筑坚实信息世界

2010年中国存储峰会今天在北京富力万丽酒店隆重召开，作为中国存储行业的年度级领袖会议，本次大会以"信息世界 共想明天"为主题，不仅对过去一年中国存储行业所取得的长足发展进行了总结，更对未来一年中国存储行业，乃至整个信息产业的趋势和方向，进行了热烈的讨论，取得了丰硕的成果。

在本次大会上，由DOIT传媒邀请来了业界诸位专家与我们共同探讨了"防范信息风险 构筑坚实的信息世界"，参加的嘉宾分别是，赛门铁克公司中国区售前技术部总监李刚先生，Gartner公司大中华区首席存储分析师张瑾先生，世界银行首席信息安全官James C.Nelms先生以及DOIT传媒集团杜国强先生，以下是现场各位演讲嘉宾的精彩发言：

杜国强: 早上的最后一个环节，我只想跟在座台上几位专家交流一下，谈一下信息安全，信息风险，信息保护等等，但是我统称为信息风险。有时候你会觉得说，信息哪来的风险？任何东西都有一个风险，怎么样从安全的角度来理解。首先我们用一个很简单一句话，我们敢说今天的风险就是你今天的损失。今天你的系统存在风险，就是你奉天的损失。我相信这句话是最根本的一句话，让大家知道。风险管理实际上是一个非常大的，这个课题太了，我们把它局限到一个以信息，或者以IT为风险的管理，在这个风险里面包含很多。

今天代表各位问这几位专家一些问题，我想我刚开始就问一个比较劲爆的问题，危机泄密。危机泄密各位都知道，我想问他们，当然这是发生在一个国家了，我想问他从一个企业的，不管是大公司小公司的角度，怎么样子避免类似的问题发生。问题很简单，是关于危机泄密，对您来说也不是一个保密信息，从公司角度而不是政府的角度来看，怎么样来避免这种泄密的情况？

James C.Nelms: 这是一个很有意思的问题，非常感谢。首先，我想在回问一个问题，就是说任何情况这种信息泄露是一个技术性的问题，还是一个人为的问题。在这个案例上来看，他是否可以避免，几乎没有办法排出人为因素。但是，从技术角度来看，我们可以用不同的技术来很大程度上保护数据，减少风险。比如数据在哪里，存储怎么样使用，这样就可以来确保怎么样由公司来提取这个数据。

数据今天都是移动的，所以我们必须要非常关注保护数据本身。在我的演讲当中也提到这5个层面，有很多技术来保护数据都是内嵌到这些当中，我们从网络，从操作系统，应用等等层面来保护数据。但是，在移动数据的社会当中，为了减少这种泄露的情况，我们必须要保护数据本身。所以说，无论他是用加密技术也好，还是用其他的技术也好，只要人们在使用数据的话，就不可能避免，但是我们可以尽量降低这种风险，谢谢。

杜国强: 因为国际泄密实际上是跟人为，透过很多技术方法来降低这个人为的一些事情发生，他大概提了这么一个概念。第二个问题我大概想问一下，很多人想了解一下信息风险，如果从信息风险大概哪方面，包含哪些地方的东西，是如何体现，我问一下赛门铁克的李刚先生？

李刚: 我谈一些具体的表现形式吧，但是事实上这个比较具有挑战。因为具体的风险表现形式可以说是多种多样，所以我还是把它归一些类，尤其是对中国的IT环境信息风险，我们简要的归一下类。我认为有两个比较大的方面，第一个比较大的方面我们还是要谈一些技术层面，偏技术层面。就是说，中国的IT企业现在最大的一个风险，是IT的复杂性，IT复杂性在没有受到管理的快速膨胀，这个复杂程度越大，带来的各种各样的信息风险就会比较严重，很多的风险表现形式最终可以归纳到这一类，这是第一。

第二我觉得中国第二个跟技术关系稍微远一点，第二就是说在中国IT治理，就是中国的企业IT治理比较缺乏。这个表现在两个方面，一个方面来说IT治理表现在根本就没有IT治理，很弱，这一般体现在一些中小企业。另一个来说的话，表现的比较严重的地方就是在一些大型企业，我们看到所谓IT技术比较成熟，应用比较成熟的企业里面，IT治理我用一句话"浮云表面不落地"，在很多企业我们可以看到很好的IT管理流程，制度，规章等等。

但是，绝大多数都是以文件的形式存放，以贴在墙上的方式存放。是不是真的可以执行下去，这是一个很大的问号。
那么，这里面贯彻执行的力度，说句实话跟中国以外其他的市场用户不太一样，可能贯彻执行力度不一定要有赖于技术。但是，在中国我们身有体会，一定要有技术手段来保障才能够真正的使他真正去进行落地，这是我谈的第二点。

杜国强: 我想说其实很多人在问一个问题，信息风险其实在不同的区域，不同的行业，其实都有不同的。我想看看我们问一下Gartner张先生，信息风险在不同的行业，不管金融，制造，电信，不同区域，华南，华北，华中，还是说大型企业，中型企业等等，或者在这个不同行业，他们的一些做法，或者一些经验分享给大家？

张瑾: 我是这么来看，中国的IT包括刚才说的风险管理，实际上都是属于一个非常不均衡。如果看关键行业，比如说大银行，以及各大电信运营商，他们实际上现在所做到IT管理水平，实际上跟全球最高水平实际上并没有太高差距，甚至有时候某些地方都比较领先，但是他只代表一部分IT用户，我们看到很多IT用户对IT是没有什么具体管理，尤其是风险管理方面实际上是非常薄弱的。

所以，我觉得现在最明显的就是这种不一致性。既有最先进，最好的管理方式，同时也有最落后原来基于人因素，没有任何自动化，职能化的方式都会有。所以，这种不一致产生很多问题，并不意味着电信运营商的解决方案就能够全都复制出来。大家所保护的东西不一样，大家所面临的业务风险是不一样的，我觉得这个市场还有很多发展潜力，以及发展的更多多样性。

杜国强: 好的，再来一个问题，想问世行的专家。其实很直接了，从世行的角度上来看，世行采取什么样的措施来控制这种数据风险？

从世行的角度来讲，我们有一个比较特别的挑战。其中一个就是世行职责，他是一个金融机构，我们有自己的财务管理机制，我们为很多国家管理财务。所以说，我们对信息非常敏感。另外一方面，我们这个银行跟世界简评有关，这方面的数据必须要在世界范围内能够廉价，广泛的传递。

所以说，我们对于保护信息风险这方面，我们有一个两阶段的过程。第一我们需要技术，由银行进行评估。比如说我们用什么样的操作系统，我们买什么产品的时候，抗病毒，杀病毒软件的时候我们会有一定的评估，他是否适应我们世行这个结构架构。

那么，之前我也提过，你的这个组织复杂性越来越高的时候，风险也会越来越高。而且，你要确保你正常运行的成本也会越来越高。那么，如果你使用的这个软件，或者说这个方式不符合你们的组织架构，那就是不行的。

James C.Nelms: 第二在认证架构，刚才在那5个层面解决方案你也看到了，我们有专家在各个层面分布，无论是在应用，还是操作系统等等，商业单位部门也是分这5个层面，就像我刚才也提过管理，管理也是非常重要，我们商业作为一个部门我们有信息安全问题，我们有风险管理的问题，我们也有架构管理的层面。那么，整个管理层他是需要是否做这个工作。

杜国强: 还有一个问题，问一下赛门铁克李先生，我们有没有什么方法，手段来降低，或者规避这些信息风险？也就是说，当我们碰到这些问题的时候，我们有没有一些应对的能力，我想看一下李先生，赛门铁克的李刚做一些描述？

李刚: 好的，是这样的。因为我们刚刚谈到过关于风险的各种不同表现形式的问题，关于技术方面的东西我们在这里面不去多设计，我就谈一下我们刚才所说的治理落地的问题。我们还是回到刚才咱们谈到第一个很有趣的话题，关于危机网站的事情，关于信息泄露的问题。

我很赞同世行James给大家提的观点，你在做IT治理最基本因素需要知道你要有我们讲到信息，你的信息都有哪些，你信息流从业务层面上来看是什么样，从IT层面上来看是什么样的，这些信息哪些是敏感，哪些是不敏感，或者敏感程度是什么样的，当你这些信息发生泄露的时候，造成什么样的损失。所有这些东西，事实上是一个很庞大的业务问题。

刚才我说到了，在中国很多业务问题需要有工具，需要有IT手段把它落地，你可能有一个系统，利用这个系统来帮助你去跟踪业务的动态变化，来回答刚才这样一些问题，这样你所有IT治理，包括信息安全这些决策就能够很容易的变成你的企业员工所能够自觉遵守的一些真正可以落地的规则。

我举例子，比如说某些信息你不能够按照业务流程，按照我们企业治理流程，你不能出现在某些部门，某些人的个人电脑上。这个是最关键的，而不是说这个信息本身需不需要加密，我说的这是第一步，举的这个例子就是这样，这些都是需要有技术手段。刚才我说了把IT治理原则，来真正量化实现。

杜国强: 还有一个问题，我相信其实大家也想了解，我问一下Gartner张先生，从国家的角度，目前对所谓信息风险，安全，这些整体来看，怎么样子降低信息的一些风险管理，国家有没有出台一些法令，法规，或者是一些建议指导，有没有这些积极的方针？ [12:24:22]
杜国强: 实际上现在国家也越来越重视这个问题，实际上国家一直在想推出有关企业内控的法规。应该说，我们现在看到推迟很多次，由于种种原因，我们看到终于可以落地，是一个真正可以执行的法规让大家来遵守。

在企业内控的规范里面，国家已经规定很多相对比较细致的内容，比如哪些东西需要保护，需要怎么保护，以及相关负责部门，或者甚至职位是谁，在这些法律法规已经落地之后，实际上我相信还会有很多行业性法规也会跟着一起出台，比如金融行业，证券行业，以及电信行业会有针对他们自己行业特点项目规范一系列继续出台。出台之后，我相信在中国会有一个，我相信中国还不会马上出现一个这么详尽规则，但是这是一个发展方向，中国会逐渐完善自己的法律法规，在法规方面完善更好。

最后一个问题，保证是各位最有兴趣的。云的数据是无所不在，你也不知道它在哪里，有一个更复杂的东西出来了，移动互联网手机，每个人拿着这个手机可以到处跑，你可以发现云再加上互联网，再加上现在手机移动互联网，对安全，对信息风险怎么办，如何来做？

张瑾: 我先讲一下云的问题，我们Gartner做过很多用户调研。普遍大家都会认为，云里面大家最关心的一个问题就是有关安全，大家觉得似乎放在云上不安全。但是，我想提出一个正好相反的概念，我觉得云在很大程度上可以提升安全。为什么这么讲？大家抛开云的问题不看，大家看看自己企业实际上安全水平达到什么水平，我相信很多企业，尤其是中小企业在安全方面没有足够重视，没有一套纯系统化，能够完全覆盖各个方面的安全管理策略。相反，云的提供商，实际上他是有这些策略，而且这些策略是符合所有法律法规，以及行业的归并，或者是所有IT现在流行最先进，最全面的管理方案。

所以，能够把这些东西以一种服务方式，提供给一些中小企业，我相信对于他们来说更多是提升安全，而不是损失安全。从这个角度来看，我觉得最大问题不是技术问题，不是云真得有什么东西没有覆盖到，还是关键问题。放回几百年前，钱是放在一个罐子里面埋在自己家院子里比较安全，还是放在钱庄里面安全，对于企业云都是一个提升安全而不是损失安全的工具。

我是非常同意你的观点，这个云的技术来讲，实际上也是一样，就像你刚刚所说的。比如说，你要是很好的移动云的话，好好的管理，我们有三种形式的云，一个是公共云，有些人管理这个服务器和数据，还有一个私人云。私人云，是指企业，比如你把东西放上去，把东西拿上来我不会关心这个技术，另外一个是混合型云，也就是说，数据是内部的，服务器是外部管理的，我是非常同意你的说法。

James C.Nelms: 也就是说，这种责任，我们可以把数据和责任下放给别人，我们要看一下你要负什么责任，你要为你的数据负责任，要为你的决定负责任，是不是要把它放上去，有很好的控制之外，云肯定会提高安全性。

杜国强: 你把我的数据放在云的提供上更加安全，但是要把责任归属讲清楚，万一发生问题的时候怎么办。

李刚: 在一个星期之前一个论坛上面，我完全赞成张总这边看法，我们也谈到同样观点。事实上云不是带来了风险，尤其是对中国客户，尤其对中国中小企业来说，云应该是中小企业安全的一个终极解决方案，使之变的更安全。比如像容灾，我们不相信中小企业建立自己的容灾系统，但是云容灾系统显然是一个非常好的方向。

有一个报告，中国云的采纳率是远远高于美国，云模式是提高企业生产率，提高企业IT价值很重要一个革命性方向。中国在这方面落后于美国，落后在什么地方？就是对安全，在这里面又想谈到所谓IT治理问题，很多中国企业，他之所以不敢把他的业务迁移到云上面去，一个很重要的原因他甚至根本不知道自己的敏感信息，或者敏感的业务流程是什么。所以，他采取一种保守策略，干脆什么不往云上面放，但是事实上恰恰相反。

在这里也借这个论坛呼吁，中国的企业真的可以开始认认真真讨论云战略，认真竖立自己企业内部IT。这也是中国优势，政府可以主导来把这个云的安全理念，这种规范，这种第三方审计，这种服务机构迅速引入这个市场里面，使得中国整个国民经济能够更好的进行云革命新的进步。

杜国强: 好的，我想说其实信息风险不管叫安全保护等等，其实这个课题绝对是一个很大的课题。而且这个课题绝对不是技术搞定，必须牵扯到人，牵扯到内部的流程控管等等。这些因素，IT能够把这些人员因素，流程因素更加简化。

未经允许不得转载：DOIT » CSF2010之高峰论坛：构筑坚实信息世界