记者:这样部署成本会很高,怎样考虑?
Greg: 由于量比较大就会有一个折扣。例如在防火墙这层全球有8个网关,在E-mail和PC上有很多,因为量很大就会有折扣。全球统一用一个品牌的系统,防火墙上是统一的,E-mail服务器上、PC上也分别是统一的。因为用一个品牌可以保证经销商更新软件时的全球同步。因为补丁总是伴随着病毒出现,也只有病毒发作之后才推出补丁,对于我们来说关键就是这个时间差,时间长短决定受侵害的程度。而使用统一的软件可以保证在病毒发作后的第一时间自动地得到补丁。由于病毒发作与推出补丁之间的时间永远不可能是零,在这个间隙思科就利用CSA软件。CSA软件装进系统之后,它不知道什么是病毒,但它会把一些没有预定义或者带有攻击性的软件进行屏蔽,虽然对用户有些打扰(有时会弹出窗口,让你进行选择。),目前也不是最优的方式,但仍不失为一个好的预警措施。
记者:CSA与防病毒软件有何区别?
Greg: 最大的区别是CSA可以监视一些非正常的行为,例如可以监测到非法修改注册表的动作;而防病毒软件是侦侧已知的非法行为。其实二者可以相互补充,互为应用。CSA目前也是一个正在推广的产品,也就此正在和一些合作伙伴进行合作。
记者:如果PC系统因为某些原因没有得到及时更新,如何管理?
Greg: 如果员工的系统在第一时间没有得到自动更新,在他下次连接到网络的时候,系统会自动实施更新,这一功能是防病毒厂商提供的。另外我们对防病毒软件的更新也实行一定质量的控制,先要在分步服务器上进行验证,需要1个小时,然后才放到服务器上让员工进行更新。
记者:如果员工的机器在其他地方染毒,如何处理?
Greg: 我举一个自己的例子,上周我得到系统管理员的通知:我的机器染毒,但自己不知道;过了一会儿,又有一个本地的技术工程师提示我,你的机器上的病毒已经被清除了,这项工作也是在我不知情的情况下完成的。由于现在的病毒衍变非常迅速,而且似乎是不可阻挡的,在你觉察之前已经侵害了你的系统。CSA像是一个防火墙,对个人PC起到保护的作用。
利用各种方式加强安全意识
记者:安全小组如何保证员工执行这些安全策略?
Greg: 人的活动在安全网络中是关键因素,这也是我此前提到的。其实技术本身没有安全与否的区分,关键是人。不是说我们不信任我们的员工,而是在有些时候员工不知道。处理这个问题,思科有一个策略:相信员工是第一位的,第二就是很多时候需要提醒员工。
记者:在安全策略上,公司是不是需要加强宣传?
Greg: 举个例子说明,在密码管理上,要求员工在设置密码时必须将数字和字母混合使用;一个密码使用期限不能超过3个月;以前用过的密码不能再用,这些都是强迫性的手段,提醒员工加强安全意识;另外也通过沟通宣传的手段提高大家的意识,譬如通过E-mail的提醒、高层(钱伯斯)或者我们人力资源主管的提醒,利用多种手段达到相同的目的;再有,Info-Sec这个部门还有自己的一个网站,上面专门存放公司这方面所有的政策、流程等。如果员工需要将家中的网络连接到公司,就必须熟悉公司的规定,并按照一定方式进行连接,以确保此连接不会出现什么安全问题,不会给公司带来任何的隐患;还有,思科有一个电子学习的平台,平时会有一些强制性学习的任务,包括关于各个方面的问题,你必须在正确回答问题之后才能通过,而且公司会有统计,记录哪些员工通过,哪些没有通过,类似于考试,这也是一个手段。
记者:这种策略要求每个员工都学习与认识,但如果员工就是没有学,怎么处理?
Greg: 除了Info-Sec制定的这些策略,还有一个监控部门,所有通过防火墙的流量都是被监控的,所有的E-mail都是被查看的,如果有违规的内容,我们都可以发现。如果性质严重,就构成犯罪,会被公司辞退。
记者:监控部门大概有多少人?
Greg: 他们非常低调,从来不做宣传,人数不大清楚。
记者:他们不向你进行汇报吗?
Greg: 他们不是Info-Sec部门的人,是隶属另外一个部门。
记者:这种策略很复杂吗?
Greg:我认为不是很复杂,因为我们的哲学是:简单的就是好的。
记者:如果由于做了不恰当的事而被辞退,这样的消息在公司会公布吗?
Greg: 一般不会公布,如果行为很严重或者具有恶劣影响的,此时我们的管理人员就会发通知。例如去年有员工通过点对点的软件下载非法音乐,这样的做法就是不合适的,我们也进行了提示。另外,思科对员工操守的要求还是非常高的,企业文化上对职业操守有明确的要求。这是完全超越安全的范畴,要求员工必须去学习和了解,包括各种制度等,而且需要上网学习,并点击进入以表示你曾经学习过,这些都会有记录,如果你明知故犯就会比较被动了。思科认为竞争是好的,关键是需要公平的竞争,如果思科发现公司的信息传送给竞争对手,这些都是公司不允许的。
重视前期安全投入
记者:思科在信息安全上的投入大概占公司每年总投入的百分比是多少?
Greg: 这是个非常好的问题,但同时是一个非常难以回答的问题。因为我们的安全是无处不在的,是一个植入性的工程,例如我们的IOS里面也有安全的考虑。在公司每一个层面、每一个环节上都会有安全的花费,如果要匡算的话,大概是15%。安全的花费处在一个不断升级、不断增加的状态。例如现在我们要加密我们所有无线入网的功能,本身就需要花费,再有IP电话也需要认证,这也是安全的费用,因此安全的花费是在不断增长的。我们的无线认证协议(802.1x)保证了无线网络的安全,下一步在有线局域网上也需要实施,这就是花费。
记者:新的病毒出现时,我们的系统如何应对?
Greg: 至少我们没有受到任何影响,因为我们都是标准、统一的应用,不需要很多人去操作,只要有一个人立刻更新防病毒软件,整个公司就安全了。虽然说部署这套系统时需要花很多的钱,但后期的维护费用却是经济的,而且保证业务只受到最小的影响。
我们还有一个职位是网络执勤工程师,他们的工作模式是跟着太阳走,24小时实时监控网络的状况,在新病毒出现时,可以及时发现并发出预警;另外我们还有一个企业管理(Enterprise Management)的系统,当出现异常状况时,同样会发出警示,根据病毒的来源交给其他负责部门处理。由于这个系统具有很强的客户定制性,需要根据不同公司进行开发;再有还是强调统一性,我们的设备,从防火墙到个人PC,都实行了统一标准,例如我们新员工的PC都是IT部门进行安装的,非常统一,细化到硬盘的每个分区、每个目录下放置什么都会交待清楚。
记者:企业网中最不容易经受的考验是什么?
Greg: 最难的是大家把安全当作一种成本,是一种花销。但如果你不考虑安全的话,日后将会有更大的花销。其实,中国的企业是有优势的。例如国外有几十年历史的公司,它必然有很强的传承性,有可能就会成为拖累。思科之所以少受负累,是因为思科是很年轻的公司,我们关注的都是IT,相对受制约比较少,但是很多其他公司在技术上受很多的制约。而中国国内的企业在基础架构上投资比较少,它是一张白纸,可以全新地去做,这是个很好的前提。另外技术本身很关键的一点在于如何管理这些技术。管理说起来很容易,做起来很难。例如思科的平台,最关键的就是标准化平台,实现它是非常困难的,毕竟每个工程师都会有自己的喜好,这些就需要时间和策略。国内的企业有优势,但需要解决管理这些技术的难题。最大的问题是PC(Personal Computer),在实现标准化的情况下不会给公司带来影响。
结束了访谈,体会了安全网络的精髓还是在于人和最初设计的理念,对于一个公司而言,需要设计并制定符合自己的安全策略,并依靠有效的方式、方法来执行这些策略,并在平时进行合理有效地监督、监控,确保策略被有效地实施。
