主讲

　主旨演讲：大数据与信息安全

　　大家早上好!很荣幸能有这个机会代表RSA在咱们这个大数据论坛上分享一下我们的想法，我想在正式开讲前花一分钟介绍一下RSA，RSA是麻省理工学院的三个教授，RSA是他们三个人名字的头一个字母，他们在80年左右创办了一个算法，紧接着用这个算法成立了一家公司RSA，也用这个算法相应的开发了一系列的产品，例如我们大家都知道的动态口令牌、密钥管理、加密等等。2006年RSA被EMC收购，成为EMC旗下的全资子公司。我想提到的是RSA是从2011年开始，RSA全面把自己的战略从传统的安全模式向大数据为核心的新一代的安全模式开始转变，并且采取了大量的基于大数据为核心的安全技术和产品，进行商用，也拥有了大量的客户。所以这也是我为什么想跟大家分享一下，在大数据时代下，我们是怎么思考安全这个领域的。这是几个影子，大数据我们最想说的一句话就是，每一个人每天都在创造无数的数据，而这些数据所形成的大数据，它能够让数据比你自己更了解你自己，这句话意味着我们在这个前提下拥有了无限的可能，你能创造无限的价值，大数据是当今炙手可热的话题。但这个炙手可热的话题最终变成一个能够执行的、能够落地的，能具体到把每一个价值细化出来的，并且影响到我们生活、工作每一个方面，一个真正影响到我们生活的东西。怎么来做呢?今天我分享的方面主要是在安全领域。

　　我们简单看一下一个调查报告，13、14年的调查报告，主要是从CIO、CFO的调查，我们看到他们最关心的问题，排在第一位的就是大数据的问题，排在第二位的问题是安全的问题，这两个问题是很相关的，大数据本身是一个问题，你怎么抓取数据，怎么捕获数据，怎么利用数据，怎么分析数据得到价值。反过来讲当你从大数据拿到价值的时候，你怎么去保护这些价值呢?这就涉及到第二个概念安全。大数据本身改变了安全行业的很多做法，也导致了安全行业有一个翻天覆地的变化。我们说当大数据和信息安全泄漏的时候，我们在监控和响应方面取得了很大的变化，而这个变化其实在根本上改变了安全的方向。我们把它叫做智能化驱动的新一代的安全模式。怎么做?我们看一下(PPT)。在过去的几十年里面的安全，我们更多的是采用边界管理或者是标签式的安全模式，我们会有一个边界，我们区分谁是好人，谁是坏人，谁被授权，谁是非法的进入者，从而来把威胁挡在这个边界之外，或者是我们利用标签的技术对坏人贴上标签，一旦遇到这个标签，这个人就是坏人，我们就把它赶出去，或者消灭，在过去的时代里这种安全模式发挥了巨大的作用，它让我们能够以最少的资源取得最大的效应。所以我们可以看到在过去安全投资的状况，80%的投资集中在防御这一块，当大数据的技术日益成熟的时候，其实我们有能力可以看到我们边界之外更广阔地区的更多的细节，我们能通过这些细节的把控，收集、分析、预测，从而提前判断我们曾经在过去的这种安全模式下所不能提前发现的那些未知的潜在的威胁。我们认为在未来的十年、二十年里面，安全的变化非常巨大，我们会认为投资会更多的涌向监控和响应，这个监控和响应听起来好像比较通常，那它意味着什么呢?我们可以看一看，那么在大数据时代下，我们怎么考虑做新一代的安全?我们怎么去智能化驱动这些安全的领域呢?

　　第一步，思路上很简单，我们第一步要建立对我们整个环境的一个洞察力，我们以前叫数据的全面抓取，或者是全面的可视性，我们通过对数据全面的尽可能详尽的收集，来建立起对整个IT环境最细致的了解，前面嘉宾讲到我们非结构化的数据占的比重非常小，我们的数据有很多种类型，所以怎么把这些数据能够捕获、收集起来，并且变成我们在统一的平台下科技利用、分析、预测的数据，本身是一个很大的技术命题。所以我们的安全思路，第一步也是依据这个来看，我们需要尽可能的利用各种技术，把数据从各个角度收集起来，建立起对环境最详尽的可视性，或者是洞察力，能让我们真正看到前所未见的海量的数据。这个看意思是不一样的，以前我们可能看到很多的数据，这个数据对我们意味着，有可能很多地方都是零，我们不知道它代表着什么，是一种很混乱的状态，所以这个角度是整个大数据安全下最基础的部分。

　　第二部分，当我们拥有了对环境的全面的可视性，我们拥有了多个纬度，多个角度，多个层次，并且可信数据的时候，我们要利用这些数据做大数据分析，这里面从安全的角度我们有一个前提或思路，我们这里面有大量的建模的行为，我们把整个环境里面的各种数据所汇集的东西简单的区分成正常和异常的话，大量的数据，80%甚至更多的数据都是正常的，就跟我们一个人一样，如果你去了解这个人，看一个人，了解这个人的时候，其实他大部分的行为轨迹都是非常正常的，去公司上班，去单位上班，回家，他家在什么地方，公司在什么地方，哪一个IP地址是家里的，哪一个IP地址是公司的，喜欢到哪吃饭，这些我们通过持续的跟踪都可以了解到，但是在这个里面我们怎么找出哪些东西是异常的，往往大部分潜在的威胁隐藏在这个异常里面。如果我们找的细致一点，通过大数据技术的分析，把我们所谓的潜在的风险找出来以后，这还不够，我们要能力采取及时的响应和行动，这个至关重要。前面都属于技术部分的分析，如果没有能把我们分析取得的结果和价值应用到我们的工作和生活当中，其实这个价值它发挥的作用就小很多，所以我们要有一个有效的管理手段和技术平台，能把大数据分析的结果传递到相应的生活、工作、社会等各方面的管理部门、执行部门，让这个价值得以充分的发挥，从而真正影响到我们生活的每一个部分。这是一个闭环，当我们响应完以后，当我们采取完行动以后就会有反馈，这个反馈其实也是一种数据，在我们最早的数据源里面，我们再细致一点，从稍微细致一点的角度来看，这三个环节我们把它映射到安全领域，现在我们能做到的部分，例如我们看到的，我们最熟悉的RSA，就是我们的日志，这在我们中国做得很成熟了，我们把所有的日志抓取出来，在过去很多年里面我们的安全运营中心大部分技术都是采取日志的捕获和分析，去建立对这个环境的安全把控，当然从运营结果来证明了，仅仅有日志这个角度，对这个环境整个的了解度是不够的，所以不能达到非常良好的效果。我们后面还有网络包，我们把所有的网络包捕获下来，截取下来，进入到分析的纬度。第三个终端，我们把终端所有的信息，特别是动态的信息，这是往往容易被忽略的，静态信息是很容易抓取的，大家都很容易了解，我们手机的型号、屏幕、CPU，这些静态信息是很容易抓到的，动态信息往往容易被忽略，因为一个应用在存储，在闪存里面和硬盘里面的状态，和在内存里面运行的状态是否是一致的?这是我们说的动态信息，如果不一致，可能在内存运行的时候遭到了改变，这些信息也意味着有潜在的威胁。Web流量，Web的点击、流量这些都有很多的数据可以分析，还有认证、身份管理的信息，涉及到企业内部的应用系统，人员资产，以及汇报的这种权限管理体系，这些都是我们建立洞察力时候的一个纬度，我们尽可能的从这些各个角度的纬度去抓取到基本数据，我们才能够有最全面的了解，这是大数据分析的基础源头，这个环节如果不能做好，那后面大数据分析就失去了源泉。第二个大数据分析就不说了，从RSA自己的角度，我们自己开发了大数据的分析引擎和平台来做一个分析。 第三个部分我讲讲，从我们分析得到的结果，在前面两个环节我们谈的是技术层面的事情，技术层面的事情一定要把它应用到我们的生活、工作和社会中才能创造真正的价值，所以当我们利用大数据分析所得到的这些，我们所谈到的异常也好，风险也好，分析也好，甚至一些不规范的操作、流程也好，怎么去修正?怎么改变?甚至怎么提高，影响到我们的管理，以及各种社会事务方面的，我们要有一个非常好的一套能响应，利用这个价值能响应这些东西的，我们有很多的角度来看这个把流程控，包括流程怎么管理，包括事件怎么响应，响应的流程是什么样的，优先级怎么划分，响应的权限要怎么管理，包括它怎么符合我们国家的规定，作为合规方面怎么治理，包括不影响业务的连续性等等，这些平台和技术其实建立了一个非常好的桥梁，能把我们利用大数据分析所得出来的一些技术的结果，真正的把它应用到我们的工作中去，从而能改善或者提高我们工作的效率或准确性。

　　再细一点可以看到这一张图(PPT)，跟大家讲的片子有点类似，稍微细一点，刚刚里面缺乏一个内容没有讲到的，下面这个共有和私有的情报信息，这个在我刚刚讲到建立全面可视性里面，或者是洞察力里面的另一个源泉，本身从RSA我们安全公司的角度出发，我们会在全球有一个所谓的威胁情报库，我们通过各种网络，还有跟各种机构的分享，以及我们自身人员在社会上，在整个全球的收取会建立一个情报库。举一个例子，例如在美国有一个全美的银行，风险分享委员会，他们会把这些银行在过去所遇到的哪一个IP地址曾经攻击过哪一个银行，哪一个帐户曾经洗过钱，例如被国际刑警捕获过，或者哪一个人曾经上过银行的黑名单，这些信息他们有一个积累，类似这样的情报，我们会跟类似这样的银行的组织做分享，当然我们也有我们的情报分享给他们，大家建立起一个分享的机制，从而让这种威胁情报库变得非常的丰富，这种情报库跟你本身的环境里面所收集到的数据结合起来，它能够进一步丰富我们的数据来源，进一步加快我们大数据分析的速度和准确性，这是很重要的一部分。这里面大家可以看到，除了安全以外，也不仅仅是讲的安全，因为很多其他的数据，包括内外的数据来源都能创造数据的可视性，从而使我们的大数据分析得到更充分的展现。

　　所以从广义上讲，这就是我们对安全思路的总体改革，在过去四年时间里，RSA也是把自己的所有产品线转移到这条产品线上来，过去RSA的密钥管理、动态口令牌、加密这些产品已经在慢慢淡出RSA的主流战略，我们也认为，就像我们今天的贵阳一样，在很火热的大数据的氛围下，我们也已经开始行动，我们也认为未来一定是大数据的时代，我们不想错过这个时代，所以我们先拥抱这个时代。

　　最后用这一张图来结束我的演讲，我们看到这个湖，这在我们公司里经常提一个概念，叫“数据大湖”，当你跳下去的时候，当你勇敢的跃入这个数据大湖的时候，当你拥抱这个数据大湖的时候，我们会问，请问你看清楚了，底下哪里是暗礁，哪里是鳄鱼，还有哪里是宝藏，在这个过程中除了你要保护这个宝藏，你也要保护自己的安全，谢谢各位!