【中计在线独家】
“阡陌三人行”栏目简介
“阡陌三人行”是中计在线信息化频道(cio.ciw.com.cn)的高端访谈栏目。在每期栏目中,中计在线总编将邀请一名行业用户信息技术主管和一名知名IT厂商高层人士,共同就信息化行业应用的热门话题进行探讨和分析。
通过“阡陌三人行”栏目,IT厂商可以零距离地接触行业用户,倾听行业用户对信息化应用的认知,深入了解行业用户的需求与困惑,展望行业信息化应用的趋势,讲述所在企业的解决方案与方法论。
行业用户则能够与数以百万计的中计在线读者分享信息化应用的宝贵经验,探讨信息化应用中的困惑,剖析信息化应用水平与企业成败的密切关系。
时间:2007年4月19日
地点:赛迪大厦中计在线
人物:
施文洪 CPscure 中国区执行总裁
刚宇 德信无线技术有限公司IT总监
李宁 中计在线总编
李宁:德信作为一个软件研发的公司,在数据安全方面要求会很高,请介绍一下目前德信安全应用方面的情况?
刚宇:德信05年之前是一个个独立分布的公司,05年以后开始整合,整合成一个大的集团。这时候网络方面就需要一个整体的架构,这个架构不单单包括网络安全,数据安全这一块,还包括物理安全、人员安全等等。我们在执行安全的过程当中,根据国际BSI17799定了一些策略,然后把这些策略变成了适合自己的东西,整体来架构一个集团的安全体系。网络安全就是其中的一个部分。
李宁:架构这个体系是不是考虑到公司要上市,还是企业整体信息化需要这样一个架构?
刚宇:一方面是自己内部的需求,因为我们研发企业对一些知识产权保护比较看中。还有对国际客户、对外面的进行的一些措施。
李宁:我们知道公司在上海、深圳、杭州都有分支机构,对于各地之间信息的互通,在网络安全存在什么方面的问题吗?
刚宇:我们利用MPS系列网关服务器实现了网络互联,使整个集团的网络形成了一个内网。
李宁:面对用户需求怎么做安全方面解决方案的规划?有没有针对该公司的特点作出一些有针对性的方案?
施文洪:应该说有!CP Secure公司做产品比较专业,产品相对比较单一。主要做硬件的内容安全网关,更确切一些是两个系列的产品,一个是防病毒、防垃圾邮件,内容过滤三合一的产品;另一个是防蠕虫的产品。我们进入中国大概只有一年的时间,公司总部位于美国加州,在欧洲、中国大陆和台湾等地均设有分支机构。中国大陆的分公司是去年的这个时候建立的,也是最晚建立的。
据我们了解德信是一个很大的移动通信公司,实力较强,前期已经使用了一定的安全设备,当然还存在一些问题,安全讲究的是一个体系的安全,况且他们在北京这一块就有一千多个节点。大多数企业前期都部署了单机版的防病毒软件,后期就出现了版本难统一,管理复杂等问题。大家知道管理一个终端的时候,非常麻烦。因为用户单机的配置大多数情况下不一样,你要进行统一的管理,统一的分发,统一的升级就特别困难。原来做防病毒软件的时候也遇到了大量的问题,理论讲得通但操作起来非常难,因为牵扯到每一个终端,也许机器故障本身不是病毒引起的,可能是自己的操作原因,但都会来找你。另外,每个终端装一些单机版的杀毒软件,服务器又没有专门针对它做优化,导致系统运行效率慢。因为考虑到这样的问题,CP Secure决定把安全这一块提高到网关来做。
现在在网关设备上做的功能越来越多,包括防病毒,防垃圾邮件等等,从理论上来说已经比较先进了。因为这个设备装在硬件上,经过专门的优化,针对特有的功能,性能可以提高很快。不像以前,一个普通的服务器,装上防病毒软件,还要通过代理服务器,这个效率肯定高不了。当时和德信沟通的时候就做了几个方案,机器也做了很长时间的测试,等到正式上线运行的时候,效果很好。
李宁:德信以前有没有尝试过不通过服务器这种方式维护系统安全的?
刚宇:当时考虑安全需求的时候,也在市场上寻求了好多的解决方案,包括软件的、硬件的;国内的、国外的……,还成立了一个项目组,经过一个多月的考察,最终确定下来用CPscure内容安全网关。
李宁:这个产品在日常的管理维护或者控制方面,最大的优势和特点在哪里?
刚宇:这个产品最大的优点是用户无感知,不用去操作它。
李宁:对于信息安全这一块,你觉得大型企业下一步发展的趋势是什么?
施文洪:这个话题比较大,不同企业有不同的考虑。它一定是一个很完整的安全体系才可以。包含了行为的安全,物理的安全,数据备份,灾难的备份等等,还有存储现在也纳入安全领域了。应该说目前全球没有任何一个厂商可以涵盖整体的东西,大部分厂商聚焦在其中一个或者两个或者三个领域来做。有的企业怕数据丢失,一旦数据丢了,损失比较大;还有一类企业,数据丢了没有关系,就怕被偷了;还有一些企业可能数据被拿走了也没有关系,就怕被篡改了。不同的企业涵盖的需求也不一样。你想想,如果银行的数据丢失的话,那是非常恐怖的。如果做研发的数据被偷了,那也是很可怕的。比如说在报社,数据被别人拿到都没有关系,但是最可怕的是被别人改,因此说安全的面太广了,很难说怎么弄。CPscure一个特殊的地方就是聚焦在一个方向。
李宁:任何安全产品都有漏洞的,如果这个安全网关被一些黑客,或者是病毒控制了导致整个公司网络瘫痪了,也是有可能的,在这方面有没有安全的防范措施?
施文洪:产品本身就有一个防范的措施,我们这个安全网关在设计方面有很多考虑,有一个管理口,和通信口是隔离的,这一点相对来说比较安全。跟一些竞争的或者类似的厂商的产品有很大的区别,他们的产品管理口和通信口不隔离的,一旦有病毒的话,可能整个设备都会瘫痪掉。
李宁:现在的企业有很多的移动设备,例如一些员工笔记本在公司用完了会拿回家,家里又没有接入到中央的防病毒网,拿到公司以后,这个产品可以实现对移动设备的监控吗?
施文洪:目前我做这个产品不针对终端的,只在网络上用。
刚宇:一套体系是防毒体系,还有一个加密的体系,一个PC或者笔记本,拿到公司以后要经过防护体系的检查,检查他的笔记本有没有病毒,或者杀毒软件的版本是最新的。
李宁:如果笔记本本身装着杀毒软件,会不会引起一些冲突或者不兼容?
施文洪:这两个机理完全不一样的,不会冲突的。
李宁:德信每天做大量的资产传送的文件,对企业整体的信息安全的控制上,有没有什么心得?你觉得管理像德信这类高科技公司在安全方面需要注意哪些问题?
刚宇:两个方面,一方面是看你有没有一套比较完善的安全管理体系。这个安全体系一旦搭建起来以后,相当于一台机器,会自动地运作,会关注到每一个环节。比如刚才讲到物理安全是一块,信息安全是一块,还有一些容灾,备份防毒等等都是系统不可缺少的部分。如果你的管理系统没有搭建很好的话,有很多的漏洞,不能形成一个安全的体系。你在与其他的客户,或者与其他的合作伙伴合作的时候,就会出现问题。这是一个方面,还有一个方面是因为德信公司发展比较快,人员比较多,最大的安全隐患可能是员工的意识。在这个方面我们还需要加强一些培训,加强安全意识的培训,让大家都有这种安全隐患的意识。
李宁:在安全方面,有哪些具体的措施?
刚宇:刚才讲有一些物理的措施,分级别的,有监控的。计算机信息这一块有一套比较完善的加密体系,你电脑里面的东西可以拿U盘拷到外面不能用的。
李宁:电脑拷到U盘带到外面不能用的。跟PC整体是一起的,可以有效防止信息的泄露的。施总除了德信这块,国内还有比较成功实施的项目还有吗?
施文洪:不少。
李宁:金融和银行有这样的系统吗?
施文洪:金融还没有,我们最多的客户是企业,包括外企,其次政府,还有保险公司、学校等。
李宁:是你们的产品适合这些企业,还是了解市场后有针对性的去做?
施文洪:主要是了解市场后去做的。受到病毒频繁,或者受到病毒邮件困扰的企业都去会用我们的产品。另外也根据企业的情况和我们自己的一些优势,主要选择了企业和政府。还有一些学校和保险公司,做的比较大的是中兴人寿。这个公司成立的时候在广东,后来业务发展搬到了北京,但主干网还是在广东。
刚宇:这倒跟我们的结构比较相象。
施文洪:像河北的一个市政府,湖北省的建设厅,义乌市政府等网络系统的安全项目都是我们的做的。还有一些中学和小学,另外今年让我比较意外的,很多做医药的企业,也开始用我们的产品。
李宁:实施这套系统后,内部有没有出现大规模病毒入侵的情况呢?
刚宇:实施之前这种情况比较常见,上了CP的产品以后,这方面比较放心了。
李宁:从成本的角度来看,上这个产品之前到上这个产品之后,让你的安全方面的支出和总体成本的开支有什么样的一个幅度?说的更细一点,用了这个产品后,在人员数量或者人员工作量,或者企业费用支出的方面,有一个怎样的节省呢?
刚宇:如果有一笔业务机会就此被耽误了,损失的程度,那是无法计算的。
李宁:企业的商业机会不能错过!从这个方面来说是值得的。
刚宇:对。
施文洪:这个我要补充一点,一方面我提到的可能出现这样的问题会把生意机会丢失。另一个方面,大家都在工作,如果病毒爆发,导致整个网络瘫痪,一千多人都在这里等着,还不知道什么问题能解决,这期间造成的损失可不是一时半会能计算出来的。
李宁:像CPscure这个系列的产品感觉大多数是面向集团式的企业,有没有针对中小企业的用户来做的?
施文洪:我们可能做的比较单一,但做得比较深,在安全网关的这类产品当中,我们是比较有竞争力的。这个产品系列我们有七款,从最低端的,面对十几个二十几个用户的,一直到目前最高端的叫CSG 2500这个产品,理论上可以支撑到六七千的用户。而且我们还在研发,下半年可能推出一个CSG 4000的产品。这个产品可以支持一万多人。
李宁:目前德信用的是哪几款产品?
施文洪:CSG 1500。
李宁:可以承受多大的用户数?
施文洪:是这样的,同样1500个人,有的公司里面可能同时上线的有1000个,有的公司可能是500个;还有同样500个人同时上网,可能有的开的窗口比较多,可能有的比较单一。一般地来说,这款产品支持两千多没有问题。同样承受300个用户的产品,可支持300到500个用户。但是假设一个高校的机房,一个面对学生开放的机房,里面有300个机器,300人同时在线的情况非常有可能,学生上机可能这边聊天,那边下载,这开了个窗口打游戏,这种情况下流量特别大,可能会有问题。如果是一款承受500个用户的产品,应用到一个政府的办公网,那情况就好多了,一是同时上网的没有那么多人,还有他们上网的目的很简单,除了内部的办公网以外,可能就只看一些新闻,比如就打开新浪。主要还是并发数,还有网络流量,用户数只是一个相对的。
李宁:关于萨班斯法案您怎么看待这个问题,或者做一些相关的措施呢?
刚宇:萨班斯法案,我们大概准备了一年的时间,今年可能会通过这个法案。
李宁:在实施和部署的时候面临的问题在哪几个方面?
刚宇:还是我刚才讲的,一个是安全体系基础架构的问题,一个是人员的问题。
李宁:把多个各地的分公司整合到一个体系里面,整合的过程中有没有碰到一些困难其实很多企业都面临这个问题,整合调整的时候,发现初始状态没有很好的部署,出现很多的问题,德信在这块主要碰到哪些大的问题,怎么解决的?
刚宇:原来公司是一个个独立的公司,在整合的过程之中,有一个体系拷贝的过程,在一个公司内部这部分可以做到很好,但怎么样才能把这个体系完全不变的拷贝到其他的下属公司,这个过程是非常困难的,存在一个管理的问题。
李宁:把其他的几个体系可以整合到你们这边来,主要是指哪几个方面?
刚宇:比如说好多东西不太统一,如防毒系统,软件的版本方面,还有安全策略等等。
李宁:那样的话要多久?
刚宇:大概半年左右。
李宁:半年之中选择了CPscure的产品。
刚宇:对。
李宁:对上市公司来说数据的安全,以及备份,是非常严格。德信作为一个上市公司在这个方面有肯定有很多的经验,跟大家分享分享?管理这个系统,日常占用最多的时间是哪几个部分?
刚宇:主要还是系统的整合问题。安全这方面是一个IT架设系统最基础的保证。现在已经搭建了一些比较成型的体系,所以今天来讲,这块比较省心。
李宁:因为选择了CPscure的产品,相对比较省事一些,不必花费太多的时间在这里。
刚宇:对。
施文洪:安全从另外一个方面来说,管理比技术更重要!技术只是提供一些设备,让你通过技术手段可以达到你的目的,但是最重要的是这么多的设备,你怎么进行一个非常好的体系设计?这个体系如何建立起来?如果这个体系本身有漏洞的话,你买再好的设备也没有用。关键是你是否按照这个体系的思路进行管理。
像很多企业,有着严密完善的规章制度,但执行起来打折扣的话,这也是无效的。这里面有两个层面的概念,体系设计本身是完整的,那么管理的时候是否可以真正按照这个套路来执行。刚总这个方面肯定很有经验。安全方面我大概做了七年,有很多的用户,跟IT总监经常打交道。安全的整体规划是非常重要的,根据这个体系再考虑下一步的时候,可能目前缺一个什么设备,缺一个什么技术手段就可以解决我的问题。通常企业的安全架构不是一步到位的,需要根据公司的发展情况、现阶段的IT重点还有资金的情况分步来做。有一些企业,今天考虑这个事情,明天考虑那个事情,今天做一些,明天做一些。企业安全的规划体系架构,可以看出一个IT总监的水平!
刚宇:主要讲了三件事情,一个是可用性,二是保密性,最后是完整性。每一个信息的安全都要从这三步出发。你要上什么样的设备,如何保护这个东西,然后让它不受到侵害。如果受到侵害的时候,会有什么样的措施,一系列的风险控制落进行保护。
李宁:像CPscure有没有下一步市场策略调整,除了内容安全网关方面的,在安全服务有没有什么计划?
施文洪:在短时间内应该没有这样的计划。我们现在的产品比较单一,在市场竞争的时候,有时候会遇到问题。但是从另外一个方面来说,因为安全这个范围太大了,如果什么都做的话,可能都做不好,干脆在这个方面做得很精,做深。对我来说并不是做完整的解决方案,只做解决方案的一个部分,这个部分可以做得非常好、非常精,跟别的设备配套。我觉得也是一个深化。应该来说我们企业的定位至少目前还是很清晰的,把内容网关这一部分做深、做透。目前还没有牵扯到防火墙,IDS等方面,只专注这个方面。
李宁:今天我们先谈到这里。感谢两位跟我们一起沟通企业安全方面的问题。如果以后有机会吗,把一些产品拿过来做一些相关的评测,就更好了。
李宁:非常感谢两位。
| 
