中信国际电讯CPC再夺「最佳资讯科技综合服务伙伴大奖」
创新方案,扩展基建,全面满足企业ICT需求
![编辑之选2016]()
中信国际电讯CPC一直创新不断,致力提供一系列崭新ICT方案,配合企业不同的发展需要。其中云运算、信息安全,云数据中心及网络服务更是当中四大旗舰产品,为客户提供一站式服务,抓紧每个机遇。
去年,国际间发生多宗入侵网络事故,保安事故不绝如缕,部分因为入侵手法高超,防不胜防;另外则是IT迅速转型,保安技术未能追上形势所致。
更严峻的是,全球皆严重缺乏网络保安专才,难以延聘人手。面对严格监管和法规,加上流动技术、云运算、办公室器材智能化、IoT普及;保护资讯难度更高,外判IT保安服务,蔚然成风。
市场上不少信息安全管理服务(Managed Security Services),透过全天候「安全运作中心」( Security Operation Centre,SOC),提供监察和分析服务,如防火墙和入侵防御系统(Intrusion
Prevention System)管理,甚至通过先进的安全讯息及事件管理(SIEM)技术,从网络设备搜集的日志档(logfile)中作关联分析,找出真正威胁事故,阻截攻击。
但是,信息安全管理服务还须配合适当技术,才能追上形势,迎接新一代IT保安挑战。
中信国际电讯CPC的TrustCSI™ 信息安全管理方案,全面预防、侦测及修正网络威胁;再配合中信国际电讯CPC安全运作中心24x7全天候监察,实时发出安全事故警报。
保安技术不断演进
多年来,中信国际电讯CPC与多家国际著名保安设备供应商合作,不断引入创新技术和推出新的方案,,全面保护企业的网络安全。
中信国际电讯CPC信息科技及安全服务部高级副总裁邝伟基说,随着入侵手法演进,IT保安也不能不求变,必须发展新一代保安技术。
不少企业受进阶持续性渗透攻击(APT)的威胁,并造成严重损失,当中包括不少金融界机构。去年,金管局发出通知,要求金融机构正视APT;中信国际电讯CPC引入著名保安设备供应商的最新技术;推出针对此新兴威胁的TrustCSI™ ATP进阶威胁防护服务,方案整合了统一威胁管理(UTM)、网络应用防火墙(WAF)、电子邮件安全设备(SEG)、沙盒(Sandbox)及全天候的信息安全管理服务(MSS),有效堵截APT入侵。
「首先,TrustCSI™ ATP解决方案有肋客户达致法规遵从需要,符合本港甚至海外监管当局要求。TrustCSI™ 也能协助客户,符合本港以至新加坡上市和金融规管。」邝伟基说,但即使金融机构完全遵守法规,防御也绝不能因此松懈。
机器学习准确辨识未知威胁
邝伟基说:「例如,不少资讯保安总监(CSO)逐渐认识,『零日攻击』是IT保安最大隐忧。恶意软件可轻易变种,避开侦察软件,部分恶意软件更属于度身订造,导致传统防御失效。IT保安业界早有共识,单凭恶意程式的「特征侦测」(Signature-based Detection),例如检查档案独有的Hash值,以过滤和侦察病毒,已无法有效杜绝恶意程式。故此,保安技术引入机器学习和数学分析,以无特征侦测(Signature-less detection)未知威胁,包括APT,是必然趋势。」
中信国际电讯CPC拥有业内最有经验的信息安全专家团队,分析大量日志档的关联数据,即时侦察保安异常行为。随着网络设备大量涌现,加上恶意程式更难于被发现,因此有必要引入新技术,以确保客户受更周全保障。
TrustCSI™ 所采用的新技术,即使没有指纹档(Signature)亦可发现未知威胁,原理是运用数学模式;采用统计学的Bayesian
Probability Theory,或称为有条件的统计或然率计算,收集相关联的数据去建立一个基于客户环境的独特行为模型;再与即时数据进行差距分析,以预测另一项事件出现的可能性以及异常的可能性。
「一部主机若受了感染,如果只集中分析主机本身日志档,可能找不到任何蛛丝马迹。」邝伟基说:「因为先进病毒懂得自我隐藏,甚至修改日志档,删除相关记录;也可暂时按兵不动,避过扫描的各种关卡。」
但病毒要在系统内盗窃或破坏,必须有所行动,过程中产生异于平常的行为,此时网络上的数据与已经建立的行为模型有所差异,通过进一步的数学分析以推断发生安全事件的可能性。再深入一步,将其他主机的不寻常连接,或登入方式和时间等等相关现象再进一步对比,预示另一些设备被感染的可能性。
TrustCSI™ 的新侦察技术,甚至马上录下可疑数据,可以『重播』(Playback)重新呈现连接纪录,病毒入侵和感染的整个过程。邝伟基表示数据包截获(Packet
capture) 的数据可供保安专家进一步深层分析和搜证,甚至作鉴证(Forensics)之用,掀出受攻击的源头。
邝伟基续说:「曾经有企业客户在进行文件批核过程中,未经负责人过目,竟自动被审批,起初以为发生入侵,后来利用TrustCSI™ 的新侦察技术,发现原来编写流程出错,文件无意之间遭自动批核。鉴证功能可破解设计过程中安全漏洞,缩短除错过程。」
迎接IoT时代保安
邝伟基表示,新技术的另一优点,足以应付极之庞复网络环境,迎接未来IoT时代挑战。
流动和IoT设备迅速增长,加上云运算和网络应用的普及;IT防线更长。接入设备愈多,也更难堵塞所有漏洞弱点;有些设备,甚至厂商停止了支援,无从获取修补软件。
「去年,台湾某银行的提款机,遭受黑客入侵;然后操控提款机(ATM)自动吐出7000万新台币,引起了金融界的哗然。」事后,台湾执法机构迅速公布病毒Hash数值,同业可快速侦察,避免了病毒漫延。是次病毒感染提款机事件,令金融机构马上意识到,有些设备难以监察保护,所谓『漏洞管理』(Vulnerability Management),根本上不可能周全。」
提款机可算属于智能周边设备,作业系统却不经常更新,更可能成为弱点。近年,网络威胁已不限于主机或桌面电脑;病毒黑客转攻流动设备,甚至是IP监察镜头、网络打印机、视像会议,甚至连感应器和温度控,都成为了攻击目标,企业也更重视网络登入控制(Network
Access Control),从接入点加强防御,也无从达到百分百保护;仍有机会挂一漏万,病毒从其他弱点乘虚而入。
TrustCSI™ 信息安全管理服务所提供的大数据分析和机器学习能力,能针对上述新形势,实时监察现场所有网络活动,一旦发现异常就录下该段活动封包,SOC再深入分析,即时判断是否受到入侵。
事实上,机器学习更加完善了信息安全的监控,单纯利用SIEM分析的方案缺乏了结合即时客户自身行为的独特性。如果未能将所有日志档加入分析,或者黑客控制了主机,而修改了日志档,都会导致SIEM无从发挥该有的作用;新技术的加入就能通过统计,从周边活动和机器学习,计算出某部设备不寻常活动,从而推断发生安全事件的可能性, SOC则同步对相关事件进行深入的分析。
DataHOUSE™ 云数据中心 助企业拓展全球业务
随着数码化转型,IT基建已成为现代企业拓展业务的先头部队,ICT服务供应商可提供跨国的网络连接、数据中心、云运算等服务,助企业快速拓展海外业务。
另一方面,经营不断全球化,企业也须遵从各地的法规;从数据安全、环境管理、数据所在地(Data Residency)和数据主权(Data
Sovereignty)等,皆面对更加严格的规管。不过,服务供应商亦正致力协助客户克服挑战。
中信国际电讯CPC所经营业务,全部均针对跨国企业需求而设,提供标准化和一站式服务,支援跨国业务;其中包括了TrueCONNECT™ MPLS VPN服务、SmartCLOUD™ 云运算服务、TrustCSI™ 信息安全管理,以及DataHOUSE™企业级云数据中心四大业务,涵盖了虚拟专用网络连接、云运算、资讯保安及数据中心的整全ICT方案。
目前,DataHOUSE™全球设有29个云数据中心,并取得国际管理标准ISO认证。而各项IT基建之中,数据中心所占成本相当高;原因之一是管理和维护数据中心;从供电、后备电源、空调冷却、防火保安、连接监控等各项设备,必须极其可靠,甚至遵从法规要求。另外,数据中心维护成本更不轻,外判数据中心服务,企业可专注于业务发展,不单可减经成本,也较易符合各地法规要求。
现时,不少地区开始关注环保和节能,每天数据中心消耗大量能源,须符合节能减排等目标。不少地区的条例,陆续加入企业可持续发展和环境责任条文,甚至纳入了上市要求。
数据中心回应环境诉求
两年前,香港交易所亦发表文件,阐述了全球交易所,不约而同采取推动企业社会责任(CSR)措施,包括提高上市公司在环境、社会、管治(Environmental, Social and Governance,ESG)等的意识和承担,推动企业公布CSR/可持续发展等报告。今年一月,本港上市公司亦须按规定公布有关资料,否则须解释理由;其他地区交易所亦纷纷有同样要求。上市公司公布ESG,确保企业达到了客户和投资者,对该企业承担社会责任的期望。
中信国际电讯CPC销售总经理范俊俭说,DataHOUSE™ 早已积极改善各地云数据中心的节能和减少碳排放,帮助上市公司分担社会责任,并符合CSR/可持续发展等报告的ESG公布要求。
DataHOUSE™ 服务取得多项ISO认证;包括了ISO 14001环境管理体系认证;也就是须确保企业发展业务同时,也不忽略保护环境。ISO 14001认证代表企业的数据中心,已符合ESG环境责任的部分要求。
保安认证全面保障
数据中心另一重要要求为资讯保安,而DataHOUSE™ 亦很早已取得ISO 27001信息安全管理体系认证。除了国际认证和安全标准,DataHOUSE™ 最近也通过了新加坡金融管理局「威胁及弱点风险评估」(Threat and Vulnerability Risk Assessment;TVRA)规管要求。
![编辑之选2016]()
邝伟基说:「数据中心安全措施;包括了连接、管理、存取、人员出入的各项程序规定,DataHOUSE™ 云数据中心达致的安全水平,比不少自行筹建的数据中心更高。」
不少数据中心用于异地容灾(Disaster Recovery)和数据备份,以求达致商业持续的规管要求。中信国际电讯CPC在全球有超过100个网络据点 (POPs),DataHOUSE™ 均以TrueCONNECT™ 虚拟专用网络互连,具有高度可靠性和抗灾能力,供不少客户容灾和备份之用。
范俊俭说:「DataHOUSE™ 是少数符合多项国际认证的数据中心,在内地主要城市亦有据点,不少国际企业打入中国市场,均借助DataHOUSE™ 加快进程,快速部署位于各地业务。DataHOUSE™ 符合上述国际标准和监管机构要求,毋论部署于任可地点,均保持一致水平。」
中信国际电讯CPC不断扩大DataHOUSE™ 覆盖和数量,除现有的29个数据中心外,今年将于北京和广州新增两座数据中心,全球数目将增加到31个。
助力开拓一带一路商机
范俊俭说,中信国际电讯CPC二月初刚完成收购欧洲电讯商 Linx Telecommunications旗下的电讯业务,业务范围延伸至中亚及中、东欧市场,覆盖了中国「一带一路」经济带的沿线地区。是实上,是次项目包括多个增长潜力优厚的市场;从俄罗斯、东欧、中亚,以至卡萨克斯坦和多个「斯坦」区域。
![编辑之选2016]()
「愈来愈多中国内地和香港公司,以港澳作为跳板和桥梁,发展欧洲和中亚市场。Linx Telecommunications具备了基建优势,甚至一条长达470公里,横跨波罗的海海底光纤网络,,可交付最低延迟、最高速广域连接至欧洲和中亚。另外,Linx Telecommunications人员熟悉当地文化、语言、监管环境;而位于塔林的数据中心更是爱沙尼亚最大的互联网交换中心 (TLL-IX),相信这次收购不但可带来更多商机,更有助提升公司的整体营运效率,为未来发展更上一层楼。」
范俊俭说,中信国际电讯CPC的网络服务已覆盖中国、东南亚、中亚、欧洲等地区,为客户提供端对端的一站式服务;再配合DataHOUSE™ 云数据中心服务,客户可快速部署连接和运算能力,毋须与多家电讯商和服务供应商协调,大大减轻工作负担。
邝伟基说,不少中亚国家充满商机,Linx Telecommunications在欧亚有大量技术人才,娴熟当地语言和合作伙伴,中信国际电讯CPC与Linx Telecommuncations正就服务交付程序作出最后整合,客户若计划在欧洲部署业务,所获服务体验,甚至服务承诺,均完全一致。
范俊俭最后补充说,企业无论于任何地区开展业务,数据中心和网络服务几乎是先决条件,而资讯安全及运算能力更是不可或决。中信国际电讯CPC的全面 ICT 服务正可配合所需,为客户带来最佳用户体验,有助找紧商机,早着先鞭。
