主持人Word格式.docx

主持人Word格式.docx

《主持人Word格式.docx》由会员分享，可在线阅读，更多相关《主持人Word格式.docx（12页珍藏版）》请在冰豆网上搜索。

这个要求间接导致了IT方面的相应的要求。

企业内部内控的基本规范，它主要针对大中型企业。

大中型企业的运营都依赖于IP，所以整个IP网络的内控，就成为整个内控当中的一个重要的环节。

这个内控尤其强调了要企业的领导人负责，在年审报告里面要签字，他就有这样一个责任，有这样一个压力，必须对企业内部，包括IT在内整个网络运行的正常情况，是否安全，是否有信息的泄漏，他有一个责任，必须尽责，要求在整体网络建设上有一些要求，这些要求虽然是间接的，但是企业运行必须有这块考虑。

　　主持人：

　　中国的国内企业现在能不能完全达到这个要求?

　　这个来说，因为国内开展内控相关的工作比较晚，我们在讲内控的时候，大部分就是说在IT关注的比较少，在财务相对可能多一些，在金融方面，在IT支撑系统方面关注比较少。

　　再有一点，更多在关注IT建设当中，考虑的比较多就是单一防御，安全防护措施，被动的防御。

作为企业的领导人，很难有把握说最近这一年单位安全状况心中有数，有把握的，我敢签字，敢说企业内控做到了。

上了这么多设备，做了这么多投资，到底怎么样，这些设备发挥多大的效用，抵挡多少次攻击，还有没有隐藏的攻击，他也说不准。

　　而且大中型企业里面领导层是不懂IT，也不懂技术。

　　怎么把这些信息汇总起来成为一些有用的数据很重要。

　　让他能看得懂的一些数据，很形象，很直观的反映出来，这样心里就有底了。

　　所以安全建设的思路在内控的引导下会有一些变化，要向全面性安全过渡。

　　并且是主动管理型的。

　　协同、主动，都是现在考虑的关健词。

　　前两天我看了一个报告，世界经济论坛的报告，对全球信息技术的排名，中国排名第46位，他得出了一个结论，中国对于IT投资还是比较少的，相对GDP来讲比较弱，仅仅比印度稍微高了一点点。

我感觉无论是大型企业，还是中型企业，对于IT包括安全在内投资力度还应该加大。

　　其实中国政府还有一个安全方面的文件，有一个安全等级保护，今年是第三年，也是最后一年了，前两年有些企业对这个不是特别的重视，我从很多网友的反馈当中看到，一些军队，一些院校，或者政府里面，最近一段时间一直都在接受安全的检查，忙于应付，这是最后一年，安全标准必须达标，这些部门IT人员都非常忙。

　　我们可能也有很多网友不是特别熟悉，您给大家讲讲，我们政府对企业的一些安全，还有IT一些新的要求，然后企业怎么去做才能达到这种要求?

　　等级保护这个东西提的挺早，最显著的一个动作，就是07年发了一个文，首先是要求国家主要的政府相关的一些部门，或者是国资委下面的一些央企，或者国有控股的企业，要求按照等级化的思路，进行安全的建设。

其实所谓等级化这个词就是说把安全分为一个个等级，这种等级就相当于把安全做成可预期的，你不需要盲目的去做，根据你现在的状况，和你对安全的要求，达到一定的程度，就够了，是一个适度的原则。

　　这个等级化国家推进的力度现在还是很大的，尤其是中央部委做检查，前段时间由公安部牵头做备案、定级，是不是这阵风过去之后会不会好一些，我们作为企业也跟公安部网络通信保卫处进行沟通和交流，国家的政策就是以后的等级化保护会不断的做下去。

　　去年大部分时间都是定级，你是一级，还是二级，三级，根据你这个单位被损害以后对国家造成的损失。

往后两三年可能是网络的建设，比如说你定为三级，你哪些需要补，哪些需要继续建设。

这两年重点针对国家大的部委，大的企业，就要做定期的检查，至少一年要做一次检查，要抓落实。

等级化的促进对于政府部门来说是一个持续的，我相信在未来一段时间内，这个词还是被很多的提到。

　　您可以举一个例子，国家对一级保护，二级保护，最低级是哪一级?

　　最低是一级，最高是五级。

　　一级最低标准应该达到一个什么样的标准?

　　我们认为一般来说一级就是你要有一些基本的安全防护措施，它对一级要求比较简单，一般政府部门主要都是从二级开始。

比如像对外的网站，尤其是政府有一些门户网站，电子政务的外网，一般都是二级。

涉及到国计民生的，像一些民航部门，交通部门，铁道部，它的系统如果造成破坏，可能对国民经济会导致重要的损失，这会可能定到三级甚至四级，定级主要考虑到你这个东西如果受到破坏，造成的危害。

我们政府部门基本上是定在二级。

　　这主要是针对政府和国有企业的方案，相当于它给安全定了一个标准，您觉得这个标准是不是对一些企业，比如说民营企业，或者普通的企业可不可以用这个标准作为一个标杆，来建造它的安全网络呢?

　　我觉得是可以的，对于偏大一点的企业、中小企业，从投资和回报来讲，经营是本质目的，安全只是它的一个支撑，对于中型的企业来说可以参照企业内部控制的基本规范，它也是鼓励其他的企业照着这个来。

你做的时候可以做适当的裁减，你肯定既要考虑内控的完整性，还要考虑到适应性，量力而行，根据你现在企业发展的规模，你有意识做一些相关的工作，做一些裁减，比如说等级化的要求，对于整个网络从管理的角度，从技术的角度都有一些要求。

我们作为企业来说可以参照它，是企业都要安全问题，可以参照他制订相关的规定，这些规定就是这几个方面，都可以参考。

它强调的是可控的安全，根据你发展的阶段来做一个设置，而不是一次性就把安全做到什么密不透风，没有人可以攻进来，这是不可能的，你要设定阶段性的目标，一步一步来做。

按阶段性一步一步做，等级随着企业发展不断提升。

　　这个思路是对的，一步到位会造成投资的浪费。

　　对。

　　您觉得09年的企业安全呈现哪些特点呢?

　　觉得09年安全的建设什么样呢?

首先，安全建设是一个多层次，立体化的建设，就像传统做安全防御，要拉防线的一种战术，被动的，有一种攻击，有一种威胁，就拉起一道防线，在屋子外面和里面之间，边界上有防火墙，再到后来防火墙也不够了，又是入侵检测，还有UTM，应用层的攻击也来了，又有应用层的防火墙。

这种新的手段出现，老的那些设备还得用，就造成一种你要形成多层次立体化的防御纵深，一条防线不够，可能多条防线，相互配合。

而且安全问题太复杂了，但就网络安全就很复杂，不是说一种产品就能把什么事情都解决了，就算UTM也不能都解决，所以要多层次、立体化的建设，建立防御纵深。

　　再就是我们谈到的有国外萨班斯，有国内萨班斯，有等级化保护，这些相当于我们国家政府外在的一些行业对企业的要求压力，对企业来说是外在的压力，这种外力要求企业不管你自身的情况如何，必须符合到某种程度，我们叫合规性管理，达到一定的标准。

　　国家前不久刑法第七修正案有出台了，其中就有关信息泄漏，尤其是国家机关，金融、交通核心的部门，如果泄漏的一些信息，要承担一定的责罚，这个都存在信息系统里面。

一种可能就是有人非法通过信息系统盗取了这个信息，这个政策出台，很多部门就想我要有防范措施，防止有人通过IT系统把信息窃取，它必须对它的IT进行保护，间接就是内控。

就是相关合规性，法律的要求，促使我们整个企业，金融、证券、电信等等企业，必须在安全方面要有所建设，有所考虑。

这是一种外力。

　　像安全确实是一个不断滚动翻新，你真是防不胜防，道高一尺，魔高一丈，对于我们企业来说不可能投入太大的精力放在安全，它只是一个支撑层面的东西，现在有一个比较好的趋势，就是把专业的事情交给专业的人去做，有一些这样的公司，比较多的就是从事安全服务的外包公司，比如说安全运维的外包，把一些企业日常工作中和安全相关的，或者和整个运维相关的事情，可量化、切分出来，外包给专业的公司，由专业的公司为这些企业提供相关的服务，这也是一个趋势。

　　像现在的云计算，云安全，有一种实际的运用模式。

比如说专业的安全公司，因为它拥有大量的安全专家，大量的资源，它可能在它的企业建立这样一个云安全中心，这个云安全中心为谁服务?

就可以为千千万万普通的企业提供专业化的服务，企业就购买专业公司的服务，来享用相应的安全建设，可以最快享受到最新安全的防御、防护的措施。

企业就相当于为了要向客户提供服务，自己要建立一个后台，建设一个安全的云，它要把大量的知识汇总起来，就像在软件领域已经有了SAAS，软件型服务。

我利用这个云，为这个企业提供一些服务，这也是一个趋势。

说白了，就是减轻用户在安全方面的压力。

　　关于管理系统的融合。

传统的安全建设或者网络建设，建设到一个阶段就是不是部署几个设备就可以解决问题了，多层次、立体化也不是多种设备，多种软件，关键是怎么样能把这些设备协同起来工作，真正地为人服务。

现在很多企业遇到一个瓶颈，就是上的设备越来越多，网络设备基本上都成型了，安全设备不断的网上累，但管理人员还是那两三个人员，他面对的设备数量和网络复杂度不断的增加，不可能登到每个设备去看。

必须有一套管理系统，运维系统帮助他把这个管理起来，管理是09年很热的词，这个管理不仅包括安全管理，还包括网络管理，服务器，设备。

管理人员就那几个，所有的IT资源，支撑的基础设施怎么有效的综合管理起来，这不仅是客户要思考的问题，也是我们企业界要去考虑的问题，怎么样满足客户的需求。

　　我认为是这几个方面。

　　我问您一个小问题，您刚才提到了UTM，有很多用户反映说即使买了UTM，也只是作为VPN的接入设备，如果UTM全开，就相当于大机死了，很慢慢。

它没有专业的防火墙那么好用，所以只是用了UTM很小的一个功能。

以您个人来看，UTM是否还是一个可以发展的比较快，或者能够被更多的人接受的一个产品?

　　我个人认为UTM总体上还是代表了未来的一个发展的趋势，虽然说您刚才提到了一些问题，这个主要是在硬件性能平台方面是存在一个瓶颈，但是我感觉从未来发展来说，从CPU，从一些硬件体系架构的发展方向来说，它的性能肯定是要不断提升的。

未来肯定是要把多种设备，多种功能的东西揉合在一起，这个确实是没有问题的。

　　但是目前UTM怎么用，要么感觉投资浪费，要么感觉性能不够，我们把它用到合理的地方，而不是一概而论。

刚才我们说等级化提供很好的思路，它由于有重点，可控的，我把网络划分成不同安全的等级，网络是一个整体大的部分，有办公网，有生产核心网，还有财务等不同的部门，不同的部门对企业来说关键程度，重要性是不一样的，在不同的等级划分之后，我们会考虑不同的情况用UTM，有些情况比较适合。

比如对于你的一些分支的机构，压力没有那么大，不是大数据处理的部门，你可以考虑一个UTM，节省投资，不用上很多设备，对于你核心的网络，重要的部门，或者这个网络流量特别大，可用性和安全永远是一个矛盾，可以说连通性，安全是一种阻断的概念，您业务量非常大的情况下就不能考虑UTM这种设备。

　　得需要专门的一些安全设备。

　　对，在不同的场合分别的使用，至少UTM在一些分支机构