下午好！我的普通话还在学习中，所以，我用英文来发言。因为有翻译，能够把英文翻成普通话，所以抱歉，下次发言的时候我用普通话吧。

　　南教授给大家介绍了很多技术方面的因素，怎么样保护我们的系统，以及很多的加密和深层的技术的知识，可以利用在我们日常的保护IT的工作中。但是安全只有技术还不够，它是更多有关于战略、流程、人、框架，所以这几个组成部分都是非常重要的。

　　今天我要给大家介绍的是我们的做法和战略是什么，从而构建一个更安全的IT的环境和IT的系统。

　　我会给大家讲的是“纵深防御保护”。大家可以看到，我虽然是一个人，但是我有不同的头衔，所以我介绍一下多重的防御设施。我既在ISACA工作，也在ISSA工作，也在微软工作。

　　在我们讲到安全的时候，首先我们需要了解安全的威胁是什么，今天是哪些威胁，未来会有哪些威胁。从这个幻灯片上大家可以看到，首先是身份的管理，第二是保护形势的严峻，第三单单发布更新是不够的，第四是有关于技术的。就是说攻击变得越来越复杂了，人们用越来越多的方法攻击IT系统。

　　从IT的角度来讲，从80年代的时候我们并不需要管理很多的身份，但是应用越来越复杂，我们现在用了越来越多的功能。人们让你用不同的功能应对业务的发展需求，比如说你进入财务系统的时候，你有很多的网关保护自己的数据。如果你需要访问数据之前，先经过身份的认证，所以身份认证的问题越来越复杂，我们怎么样更好地管理？

　　第二点，单单发布更新还是不够的。在过去的几年中，从过去的系统到现在的系统，我们仍然有一些弱点，所以需要更好地管理。我们想问的是，微软的软件或者是其他公司的软件，没有任何的弱点吗？这是不可能的，人们总是会范错误的。我们可以说，作为其中的一个软件，我们的弱点和别的软件比较起来会更少。

　　在美国，在他们设计软件的时候，比如说送人上月球的时候，他们必须要把错误降低到最少。所以，登月所用的软件，要比其他软件的弱点更少。大家这一点一定要明白，这是我们面临的威胁。除此之外，我们的行为方面也要适应，我们需要找到更好的办法解决这一问题。

　　几年之前，我们可以看到一个趋势，大家可以看到，从发布更新到漏洞被利用的时间越来越短。大家可以看到，这种之间的差别从331天降到了2天或者是1天。所以，如果我们没有非常好的技术来应对这个漏洞被利用的问题的话，我们将会面临很大的威胁。还有黑客的问题，几年之前我们找到黑客的时候，他们想做什么呢？只是想进入我们的系统，然后黑客就很得意，说我打败了你的系统，我就够了，我觉得自己足够成功了。但是，今天的黑客发生了一些变化。他们不是为了破坏你的系统，进入你的系统而进行黑客的系统，但是黑客是否消失了呢？没有，如果大家知道恶意软件，大家就知道黑客，他们更看重的是获得你电脑里面的数据，因为你的数据是最有价值的东西，他们也可以从中获利更多。

　　所以，黑客从过去的以技术为主导的目的，变成了以业务为主导的目的，所以我们需要找到办法保护我们IT环境中的数据。

　　最后一点，他们的攻击变得越来越复杂。ROOTKIT是一个软件包，它可以攻击你的系统，黑客的攻击越来越复杂。这是从主系统发展起来的，这是不同类型的攻击、身份管理和发布更新的频率以及保护的形式。所以，我们讲到安全，其实它是包括很多的因素的，所以今天做CIO的工作很艰巨，我们需要找到一个正确的战略、正确的方法，很好地管理这个系统。

　　刚才我也讲到了这方面的内容，给大家提供了这么多的词让大家记住，它是中文的，所以中国的听众都是可以看得懂，外国的听众都知道，所以没有关系。今天的CIO和CEO都知道这些挑战，他们知道如果不能面临这些挑战，公司和个人都会面临很大的风险。

　　我们讲安全的时候，我们都讲风险管理。他们需要进行一个非常好的管理的风险评估。对于业务本身进行评估，所以他们雇佣了专业的安全专家。像来自ISSA的专家等等，这些国内外的协会可以帮助他们。比如说ISSA、ISACA等等都是得到大家公认的专家。他们有足够的能力，帮助公司和CIO获得一个好的安全战略。

　　所以，通常而言，在美国我们找到这样的一些专业的安全人才，他们就不再是一般的数据库的管理人才，他也不再是一般意义上的管理员。所以，我们可以看到，他们可以赚到更多的钱，因为他们个人的责任也更大。他是帮助CIO解决这些重要的问题的，比如说数据问题，这些都是公司的资产，保护公司的资产不受到侵害。所以，这里面有许多的本地的协会也可以给出帮助，可以帮助我们找到最好的操作规范，来获得相关的信息，来应对在中国的情况。我相信你们也正在不断地推进这一工作，你们也会出现这样一些专业的人士来帮助中国的公司解决这些问题。

　　再简单地讲一下ASICA的情况，在微软我们都讨论这个情况，它是一个机构，它是1969年建立的，我们有几十年的经验，我们有很多的成员来自很多的国家，我们主要帮助他们理解和了解他们的风险有哪些，怎么样应对这些风险。我们还有一些认证的工作，帮助人们实现他个人的事业的发展。我们即将在北京和上海举行一些活动，希望大家参加。

　　那么CSO的任务是什么呢？给大家讲一个故事，在中世纪的时候，有一个人想进入到这个城堡里面去，偷国王或者是王后的财宝，那么他需要怎么做呢？他如何跃过这些障碍呢？首先，他必须要跃过护城河，在护城河可能有鳄鱼等等，所以他必须和它们做斗争，所以他必须游泳或者是找到一条船。他首先必须进入城堡，那么进入城堡的时候有人检查他的身份，所以他有的时候需要伪造自己的身份。那么这个城堡没有地图，你不知道到哪里去，他要不断地摸索才能找到藏宝藏的房间，而且在藏宝室还有保卫，跟他们打架才能把这个宝物偷走。有的时候你打开藏报箱可能什么都没有，这可能只是一个陷阱而已，所以到底有多少的保护的层呢？

　　首先是护城河，然后是伪造身份混到城堡里面去，然后在城堡里面找到藏宝室，并且和看守的士兵和保安打斗，然后获得藏宝箱，但是也许藏宝箱是空的。那么在IT领域我们业面临这一系列的问题，建立系统保护我们的资产，这些资产是我们的数据和信息，这是存储在我们的数据库里面的。所以，这就是我们叫深层防御的战略，可以帮助你们达到这一目的。

　　我们将怎样来保护呢？我们有一个物理的分层，还有应用的层，还有主机层，然后还有内部的网络以及周边的层面。数据是最为重要的一部分，我们要建立起正确的防卫的层面来保护它们，使得这些资产得到合理地保护。

　　我们需要确立一个战略，明确我们将面临哪些危险。那么对于数据本身我们可以加密，我们有ACL、RMS进行保护，至于应用程序我们可以进行强化或者是防病毒等等，也可以改变你使用的习惯。你还可以应用一系列的解决方案，来解决信息的传递的安全问题。对于主机，我们可以进行许多对于主机的增强的措施，你可以下载一些防御的程序，建立所有的这些部件，可以让你更好地保护你的主机。

　　比如说你可能使用一个网络服务器，当你用这个IAS（音译）服务器的时候，你可能不会用到所有的部件，在这种情况下，你要非常好的来保护这些服务，来实现风险的最小化。这意味着你化解了这些风险，保护了网络的功能性。

　　另外，网络层面我们可以用NIDS等等保护网络的安全，我们还可以用防火墙和VPN等等的措施，来防止侵入者进入到你的内部网，以保证我们给正确的人正确的授权。

　　同样地，对于物理层面的保护，我们可以数据中心前面安排保安，可以安装闭路电视，还可以门卡管理等等。

　　还有一种事情也是同样重要的，不是关于技术本身是关于应用的，安全最重要的问题还是人本身。人永远是最薄弱的一个环节，我们必须教育我们的公司员工，让他们有足够的知识来理解这些防护措施。否则，我们依然会面临很大的风险，我们就无法保护我们最为昂贵的资产。同样地，我们还要要一个相关的战略各实施的方案。

　　我们如何来实行某一项解决方案呢？我想请大家来思考一下。首先，给大家这样一个公式，安全策略=安全管理流程+实践中的深层防御。这就对于数据层、主机层等等都是适用的。我们必须要有这样的一些流程和深层的防御，我们要有一个非常好的流程来确保它得以实现。那么它包括哪些成份呢？

　　第一，要有一个监控的层面。我想问大家一个问题，哪一部分是最重要的呢？第一步是什么呢？第一步是开始利益相关方的安全项目。为什么呢？如果一个CIO或者是CEO，或者是相关的利益方，他不能够认识到保护数据的重要性，那么他们会怎么做呢？他们可能只希望花10美元来用于这方面。但你如果告诉他，我们需要100万美元，他会告诉你没有那么大的预算。如果你不了解这个情况，那么你很难说服他们，他们不会投入足够的资源来用于解决安全的问题。比如说微软，那么微软最为重要的资产是什么呢？哪些是能够推动它业务的发展呢？也许有一些人有不同的理解，我认为我们最重要的资产是我们的源代码，这是最为重要的。有的人要侵入我们的忘了，想偷我们的源代码。那么如果把它放到网站上，任何人都可以自由下载，会发生什么呢？第二天，微软的股价将会下跌。对于可口可乐的配方被黑客偷走的话，在全世界会出现和可口可乐同样口味的饮料，那么可口可乐的股价也会下跌，这都是和商业直接密切相关的，和这些股东的权益直接相关的。所以，这些都是安全问题，我们必须要采取一些措施太投入足够多的钱和资源来解决这些问题。如果这一步解决之后，后面的环节就比较容易了。

　　我们要进行商业的风险评估，为什么呢？在我们进行下面的环节之前，我们必须知道我们面临哪些风险，我们需要保护服务器还是桌面机，这些都不是正确的，我们要保护我们的商业。我们要从我们商业发展的角度来看，什么是我们最重要的东西，我们如何来保护它们。那么从各个不同的角度来看，在进行评估之后，我们就知道我们要保护什么，哪些是公司最重要的资产，然后我们进行安全战略负能的阶段。我们要制定策略和公司的流程。微软依然不是有关于技术的，技术只是后面的东西。

　　那么我们讨论的安全的组织架构，这都是如何实施这些战略的基础。我们可以组成一个虚拟的团队，包括安全团队。我们希望动员各个部门的力量参与进来，包括人力资源部门和营销部门，让他们都理解安全性与重要性。

　　下一步，我们就是要找到安全的架构和控制，它是有关于公司的政策和流程。那么安全管理方面，包括了防火墙等等。此后，我们我完成这一部分的工作之后，CIO和CEO都比较高兴，而利益相关方也比较地高兴，认为我们得到保护了。但是，我们如何来确保这一切都能够功能正常呢？我们要进行安全的确保，来确保每一个部分运转正常，我们要进行一系列的测试，看它是否可以防止黑客的侵犯。

　　那么进行这个环节之后，我们要进行安全的监测，通过监测的过程来确保我们整个的流程是有效的。我们进行一年一次的测试，对于大的公司我们有可能需要每季度进行一次，或者是每月一次，来确保我们整个的网络每天都是安全的。

　　那么最后一步是什么呢？是安全的评估。当这一切发生之后，所有的东西都得到了安全的保护，那么一年过后，我们要进行一次回顾。我们到底有多少成功呢？我们要给老板汇报，给CEO汇报，我们花了1000万美元来建立这样一个非常好的网络。那么，我们进行了一系列的硬件和软件的建设。我们怎么可以看到我们的结果呢？没有看到什么事情发生，这是一个非常具有挑战性的任务。我们安全主管需要知道如何来和领导进行沟通，来展示一下这个系统它的功效。这就是最重要的一部分。

　　除此之外我们还有ROSI，这就是安全投资的回报，我们通过这个向领导人介绍安全投资的回报和业务表现。我向大家介绍一下泛泛的办法，告诉大家怎么评估安全管理的效果。当然，我们可以改善安全的水平，来保护我们环境的能力。那么接下来如果你又问我，在技术的角度我能够做什么？需要做什么呢？

　　首先我介绍一下微软的支柱，一个原则就是可信赖的计算策略。大家可能都知道TWC，从2002年的时候微软正式宣布的。因为世界上很多的用户使用我们的技术，所以我们希望用户可以有一个安全的使用技术的环境。比如说，什么叫做可信赖计算策略呢？怎么能够最好地理解呢？你回到家里，然后你看灯，你在开灯之前，你根本不会想那个灯安全吗？我应该开吗？我是否有什么东西不应该碰吗？你很自然地回家开灯。我觉得笔记本电脑、PC机都要有开灯的心态，你打开之前不需要担心，因为安全已经内置在了电脑里面，这就是可信赖计算的总旨。

　　从安全内置来讲有一个可靠性完整。不同的词，但是我们是要帮助你们保护你们的数据，如果没有认证，没有经过身份的认证，没有授权，没有人使用你们的数据。

　　现在介绍一下微软在过去几年在安全方面的进步，我们在技术、安全方面都投入了很多。我们去年在安全相关领域投入了70亿美元，我们希望大家使用我们的技术的时候都是安全的。除此之外我们介绍了一些开放的标准，告诉大家以后怎么样做安全的环境。我们有安全的伙伴，比如说ISACA，还有一些当地的协会，提升公众对安全的认识。

　　再看一下技术，这个图画得非常好，让大家知道微软怎么做到安全。如果大家想把这个技术带回家，可以把这个图拿回去看一下分解，比如说在安全认证方面我们有加密的产品，如果你想确保人们进入你的网络之前，我们有安全安全的异地书。我们有ISP，如果电脑没有这个补丁，他们就没有办法进入网络，在进入网络之前你需要获得这些部件。

　　然后讲一下沟通，外部和内部的沟通，我们有服务器帮助外设的安全和内部的安全。不光是对微软如此，我想任何人都会把这个拿回家，用在自己的IT的网络中。但是你用的是微软的平台，就应该参照这个体系，了解安全是什么。

　　我们讲了安全，讲了管理，我们和IDC做了一个很快的调研。如果IT的投资是100美元，70%是运营，30%是支持一个新的应用。比如说SOB或者是新的业务的运营，让你的企业成长。我们觉得当前的比例是这样的，我们怎么样能把IT更多的预算比例拨到应用这个层面上，我们有这样的一个模型来帮助你们。从解决方案来讲，为了更好地管理你的系统，我们使用System  Center，它里面帮助你监管自己的资产和服务器。我非常喜欢方法和战略，但是你为了这么做，必须要通过MOF，大家可能都知道世界上最重要的管理框架。微软的使用技术的方法，利用的是一系列的解决方案，如果你需要变化，就需要有变化的程序，在IT当中进行你的变化。最后我要感谢大家，因为我的发言时间毕竟不长，我希望大家从较高的层面，了解到安全方面需要做什么。如果大家想了解更多的细节，我还会在这儿，大家可以和我聊天、探讨一下，看你们面临什么样的挑战，看微软能够为你们做什么保护你们的环境，非常感谢！