图文：RSA中国区总经理李东旭

图为：RSA中国区总经理李东旭。

　　2008年4月28日至29日在北京京都信苑举办主题为“构建和谐网络环境，助力绿色科技奥运”的“迎奥运、促和谐，2008年阳光绿色网络研讨会”。会议由工业和信息化部，北京奥组委主办，中国通信学会承办。新浪科技将进行现场直播。

　　图为RSA，EMC信息安全事业部中国区总经理李东旭。

　　以下为实录：

　　RSA， EMC信息安全事业部中国区总经理李东旭。李先生负责RSA按照产品及解决方案中国大陆地区销售推广工作，他拥有十多年IT从业经验，包括IT基础架构及应用软件系统建设等诸多方面，曾经为许多国内著名企业的信息化建设提供咨询服务，在最近的五年中，他一直致力于信息安全领域的解决方案建设，为许多国内外著名企业提供信息安全解决方案，加入RSA以后，以至于认证访问管理信息安全审计以及网上消费者身份保护等领域推广业界领先的解决方案，电信服务业的信息风险管理。

　　李东旭：

　　各位领导，各位来宾，下午好，非常荣幸代表RSA， EMC参加这次盛会，演讲题目电信服务业的信息风险管理。

　　08年中国人最关心的话题就是奥运会，在奥运会期间，全球会有几十万人来到中国和北京，这是对中国运营商服务的一次考验，同时也是我们中国的运营商一次全景展示，我们希望在这样一次盛会当中，能够充分表现中国运营商在信息服务方面的成熟的优势，同时在这个过程当中，信息风险的保障管理也是非常重要的一个话题，也会给来自各国的人各国的嘉宾一个深刻的印象。

　　RSA是一家安全公司，06年9月份被EMC收购了，同样做安全方面。RSA提供解决方案以信息为安全的解决方案，传统的安全解决方案，防病毒监测等都叫边界安全，边界安全非常重要，它是安全基础设施的基本的架构，今天的企业不断全球化，同时也在虚拟化，我们需要开创我们的网络系统和其他的企业做数据的交换，需要通过网络开通电子商务的服务，这样的话，我们的网络不能单纯把需要保护的数据放在中心，单纯的铜墙铁壁，越来越多的安全挑战来自于企业的内部，因此以信息为核心的安全是我们RSA， EMC倡导非常重要的解决方案方向。同时我们也看到，信息已经成为企业当中最有特征性的数据资产，任何一个企业无论所在的办公楼，所用的办公用品，桌椅、电脑这些没有什么差别，你可以在其他的地方都可以买得到，真正有差别的是什么呢？是企业当中所存在的一些基础的数据，包括企业运营方面的数据，企业的客户信息，企业的发展策略、知识产权，这些是真正形成企业核心竞争力的最具有企业独立特征的一些数据资产，对这些资产的保护是非常重要的。

　　对于广大的运营商来讲，我们基本的技术发展的策略和大量的用户的信息是非常重要的，是我们需要保护的。既然这些信息都是资产，同时拥有这些信息的人或者是有责任保护这些信息的人，持有这些信息的人，同样需要善待这些信息，需要尊重这些信息的主人。我们是不是很好地做到了这一点呢？很多统计数据和统计数据表现出来，每年有大量由于数据的泄露，信息的泄露所带来的互联网上的欺诈，交易当中的风险，业带来了大量的实际的经济上的损失。今天的运营商意识到有这个责任，帮助广大的消费者保护好他们的个人信息，到底我们的信息存在哪些风险呢？我们知道互联网安全事实上一直是我们在讨论主要的话题，安全是相对的，数据在网络当中的存在一直是有风险挑战的，这里包括数据在网络当中的传送是否被人家监听，数据在保存过程当中是否由于保存介质损坏造成数据的丢失，是否由于个人信息的泄露带来一些新的网上的交易欺诈，这些都是数据保护的风险。

　　我们需要有一个好的完善的解决方案，帮助我们的企业，保护好我们的数据和资产，特别是作为运营商来讲，你们所持有的一些数据资产涉及到你们所服务的广大的消费者，广大的客户，善待这些信息，既是保护自己，提高自身的竞争力，同时也是尊重和善待我们的广大消费者。

　　作为信息保护来讲，任何一个应用系统，无论是计费系统和客服系统，在建设过程当中考虑这些系统风险控制和信息管理策略，传统的方式都是单一的，一个系统一个系统考虑，我们都知道最简单的木桶原理，我们需要构建一个统一的平台，对所有的应用系统构建一个统一的数据风险管理的标准，能够让所有的信息在所流转和存在的过程当中，得到一致标准的安全保护。

　　信息在产生和消失生命周期的过程当中，都有哪些风险存在呢？或者说存在的过程当中，我们需要如何有地保护它呢？当我们要构建一个针对客户服务系统的时候，在构建这个系统的时候，我们已经考虑到对这个系统安全的保护，所以对于使用这个系统的人，我们要做授权和访问管理等，这样的系统都已经做到了。但是这样还是不够的，因为在我们的系统数据产生和存在的过程当中，涉及到数据存在于各个终端，也涉及到数据在网络当中传送，在应用系统当中使用，在后面的文件和数据库当中的保存，以及在基础架构当中基于磁盘阵列或者光盘介质上的保存等，在全部的环节当中，实际上我们都要考虑对它的安全保护。假如单纯考虑到在应用当中数据自身风险保护的话，而没有考虑到其他的方面，有可能这些数据在存放到硬盘之后，由于存放介质的损坏造成数据丢失，这就是数据风险其中的一个方面。

　　当你能够全盘考虑整个数据安全的时候，你就可以很好地解决这样一个问题，你会在每个环节，在终端这一端要对终端的设备进行管理，在网络当中防治被监听，在应用当中防止出现身份盗用和欺诈，在文件系统和数据库当中防止被篡改和泄漏，在介质保存方面要考虑到悲愤和容错容灾。

　　今天的运营商普遍已经考虑了法规遵从等方面的保护和管理，假如说今天我们在构建一个网络系统，一个应用系统的时候，我们单纯地考虑了审计和管理，防止数据在网络当中存放和传送的时候避免被人家窃取或者是篡改，如果假如说这些数据已经产生了之后，由于管理上的疏忽，在终端又被人家所获得的话，终端就有可能通过各种各样的方式把数据泄露，通过U盘的拷贝或者通过邮件发送出去，涉及到消费者和客户私密的信息会被实时传送出去，这里不仅仅包括我们的客户的VIP信息，客户当中所登记个人隐私信息，甚至还有客户的位置信息非常敏感的私密信息，都有可能通过终端泄漏出去。所以，安全保障的体系，我们的数据风险的管理在信息的生命周期过程当中每个环节都是非常重要的，我们需要整体构建我们的安全和风险管理的解决方案，在每个环节进行掌控，这样的话才能有效地避免数据在其中任何一个环节出现泄露的问题。

　　今天RSA作为EMC旗下的事业部，我们一直倡导以信息为核心的安全管理，大家对EMC相对来说比较熟悉，EMC一直倡导信息生命周期管理，RSA所要做和完成的是，信息的风险管理和安全管理。我们可以在信息整个生命周期当中，存在于终端和网络应用，存在于文件性和数据库当中，存在于最后的存储介质，RSA提供相对应的方案保护信息和数据资产。终端接入网络的时候，可以提供强身份证的机制保证接入的人是合法的人。再一点，我们可以针对终端方面进行数据泄露的控制，无论是用U盘拷贝还是其他方面的方式，我们都可以进行数据的追溯。在网络传送当中也是一样的，接入网络接着UPN，RSA可以提供多种机制，动态口令认证的机制，提供网上身份管理和权限分配和访问控制，假如说在网络当中有敏感数据传送的话，防止数据泄露的系统会及时地发现，这样的敏感信息不可以在网络上随意传送，我们会及时发现阻断和提醒相关的管理机构。在网络当中，特别是安全网络管理当中可以进行实时的审计和监控。

　　在应用方面，应用当中用户身份保护和身份也是非常重要的，RSA有一系列针对企业内部的用户和针对网上消费者登陆保护的机制，防止钓鱼，防止域名攻击，防止木马攻击，还有支持认证，动态口令和PKI强认证。

　　在文件和数据库方面，RSA也提供文件的加密和数据库的加密和相关的一些访问的权限控制的机制。管理在存储方面，RSA提供非常好的解决方案。事实上，我们的信息生命周期过程当中，信息在每一个环节我们都考虑到了如何对它进行风险的管理和控制。

　　如果我们要是想对数据或者信息的风险进行管理的话？哪些数据和信息是需要我们管理的？我们要找关键对业务有影响的信息，能够对我们的业务和销售额有影响的信息，比如客户信息、服务信息、产品信息等。能够降低我们的业务运作成本，满足法规遵从方面需要的系统运行日志信息、审计信息等，再就是保证业务连续性的信息系统，这些相关的信息是首要许爱考虑保护的信息。

　　作为信息风险管理保护需要有投入的，这种投入我们对最有用的资产进行保护，对于增加和成本的控制，对于客户的满意度和客户的响应，业务连续性和我们的法规遵从都是很重要的，这些信息都是我们的敏感信息，同样对象关的安全事件，是基于网络系统和主机系统和终端和数据库应用，他们在运行过程当中产生的日志和安全事件，这些都是安全的信息，我们要首先知道哪些敏感、重要，对我们的业务有帮助的，既然这些信息这么敏感，在应用和网络和基础IT架构当中，怎么样存在，怎么样扭转的，我们对它的流向和存在应该有效地控制，这样的话，我们才知道，在这个过程当中，是不是有可能存在数据传送或者是数据存在的风险，这时候我们怎么样能够有效地控制风险，甚至做一些相应的弥补。

　　我们知道在信息风险管理架构当中，在每一个环节，从终端到数据保存，都是非常重要的，所以我们在每个环节当中都要有一定的措施，包括在数据的产生的过程当中，在应用的运作的过程当中，我们要对它进行审计，对它进行合规性的管理和监控。对于数据产生之后，数据的保存传递，我们要对它进行加密，对于接触的数据的人，接触的系统，对它进行强有力的认证、访问控制。再有对于数据的保存和存在、传送，在这些过程当中，我们都要避免数据的泄露，防止数据的外泄，有一系列的解决方案的存在。事实上我们的数据保护是从左到右全方位的，整个数据生命周期是全方位的，从上到下又是分层次存在的。

　　对于数据安全，第一点要防止数据的泄漏，我们事实上有一系列防止数据泄漏保护套件，对终端数据存在的控制，防止数据在终端当中背靠背和随意打印，防止通过邮件转送出去等，DLP的解决方案，可以帮助我们企业解决防止数据泄漏的问题，这种数据，包括客户的信息，包括服务的信息、知识产权的信息、营销的敏感信息等。数据的加密，在数据存在的过程当中，比如说放在磁盘和数据中心都要有加密器生命周期的管理，RSA在这里面有我们相关的解决方案管理这些加密器的生命周期，保护数据有效的加密。

　　对于信息权限管理套件，信息存在必然被别人使用，必须有人能够使用数据，使用不了的话，为了避免出现风险，使用的权限、使用的范围进行有效的控制，我们在这里有控制文档使用过程的风险管理。

　　身份认证。既然数据都是要被别人用的，这样的网络系统，这样的应用系统都要服务于我们的业务，要接触它和用它，在用的过程当中，我们要对使用人进行有效的身份认证，互联网身份欺诈活动很多，从某项欺诈当中普遍存在的邮件的欺诈，钓鱼网站的欺诈，还有域名攻击以及网上的木马攻击，RSA有这样的解决方案，帮助我们的消费者发现和关闭钓鱼网站。大家可能都是微软IE的使用者，当使用IE7.0的时候，如果不小心登陆钓鱼网站的话，上面会有一个提示，这个提示怎么来的？RSA在全球有一个反欺诈的联盟，微软是我们其中服务的一个对象，当我们发现钓鱼网站会在联盟公布，所有联盟成员会获得，微软也会获得，微软获得会发布到IE7.0上去会有提示，Google也有，都用RSA反欺诈反钓鱼的工具。

　　用户身份凭证的管理，RSA支持多种认证方式，通过动态口径的认证，基于手机上的动态口径认证，基于JAVA和信用卡做认证，非常便捷的解决方案，对于广大消费者都是非常有帮助的认证方式。用户访问管理，包括联合身份管理，不同的网站，不同的域之间能够做到多点登陆，RSA第一个推出联合行动管理解决方案的一家公司，也是国际标准主要的制定者之一。

　　RSA在认证方面，同时防止网上欺诈，对于网上交易的欺诈的监控，对于网上的交易的话，交易过程的监控可以做用户身份的核实等一系列的解决方案，都是围绕着身份认证，从互联网来讲，我们面临最大的问题就是用户身份欺诈的问题，就是在网上所出现这个人，使用相关信息这些人，它是不是合法，它的身份没法识别和有效的查询，这个时候RSA在互联网身份认证和相关的服务就显得特别重要。

　　安全信息事件的管理。所有的这些IT系统，安全系统在运行过程当中，都会对日志、信息和相关的事件进行相应的收集，对它进行有效的关联分析，提供相应的决策的报表，包括符合萨班斯、巴塞尔二，增强安全管理水平，对安全系统和网络运行进行有效的安全监控，优化网络系统运行维护，更有提高效率，及时准确定位这些问题，都是这一系列解决方案重要的功能。

　　RSA所提供的信息安全管理当中，包括了数据的安全，包括了人身份的安全，以及用户的审计。到底我们的用户数据和信息是否存在风险，信息在企业内部的存放是不是符合规则呢？是不是放在该放的地方，是不是在往正确的方向上进行传递，这些都是需要专业的一些服务帮助我们客户一起分析，RSA的专业服务团队可以对我们的客户提供这方面的服务，帮助我们的客户对它的数据优先级以及重要性、存放的方式进行评估、侦测，帮助我们的客户一起规划信息如何保存和管理。

　　今天来讲，我们阅历越来越多运营上的客户都已经意识到数据安全的重要性，作为运营商来讲也意识到数据安全作为自身的竞争力和自身的公信力对于广大消费者信任都是非常重要的影响，借着奥运的机会，我们的运营商在这方面做了很大的努力，不断完善不断有效的规划IT系统，数据风险管理机制，我们希望通过我们有效的安全管理技术保障我们的奥运会顺利成功。谢谢各位。

　　主持人：

　　谢谢李总以信息为核心的安全解决方案。