压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

李雨航：大家好，非常榮幸能夠來到中國網絡安全大會。我知道這是第四屆，第二屆的時候我也收到邀請，當時因為簽證的原因沒有能夠來到會場，所以今天就彌補了這個遺憾。我代表云安全聯盟，大家也知道，除了云安全聯盟之外，我還有其他的職務，包括在華為，在一些大學。這次我給大家分享一下國際網絡安全的實踐。

大家可能現在非常清楚，網絡空間我們叫做“第五域”，我把這個定義放在這里，就不細讀了。大家可以看到，我們這個網絡空間包括了很多網，另外它的基礎是有光、電、磁，我把等離子體寫到這里，等離子體可以用來做通訊的工具。下面我花了海陸空天，從人類的發展歷史上來看，我們在物理空間做安全已經做了很長的時間，我們在物理空間做安全這些經驗，在我們做網絡安全的時候有很多值得借鑒的。比如我們人類在陸地上做安全可能有萬年的歷史，在海洋上有千年的歷史，在天空上有百年的歷史，網絡空間和太空是比較新的，可能大概也就是從60年代開始半個世紀的歷史。但是我們在物理空間做網絡安全的經驗，實際上有些是相通的，后面大家可能會看到。

對于網絡空間來講有非常多的威脅，主要的威脅我現在提了這四大方面。從政府、企業甚至消費者來講，他們實際上關心的是自己的一些權益，比如說外國網軍的監聽，大家也知道，政府實際上是非常擔心的，不僅是中美之間，大家可能知道有很多擔心的事件。包括全世界各個國家，比如我在國外走訪的時候，我見到土耳其的總統，他很擔心敘利亞的政府對他的監聽。我到印尼，跟印尼總理聊，他們擔心澳大利亞政府的監聽，這是對于政府層面的威脅。還有網絡進攻，大家也知道黑客這些犯罪分子進攻是越來越猖獗的，大家看網上的這些報告，每年的安全事故，這個數字越來越多。當然還有間諜行動，內部人員的商業泄密，在很多企業都是頻繁發生的。

右下角這個大的威脅是新興技術。大家也知道，我們現在也很多的新興技術涌現，目前移動物聯網、云計算、大數據，以后ICDN、NFV、5G，還有智能，這些新興的技術會對整個網絡空間帶來非常大的安全挑戰。比如前幾天我們在華為有一個內部的戰略大會，我們把全球的頂級科學家，不管是研究機構、大學，還有各大主流廠商，世界五百強的領軍人物都叫過來，大家都展示了他們未來技術的戰略、架構和核心技術。我看到這里邊大家都在做連接，把數據分享。但是對于安全，大家都沒有把它涉及進去。如果在座的有參加黑客大會的，可以看到黑客可以很容易的把各種設備都輕易的攻破，只是現在這些目標太多了，這些黑客的時間有限，他們可能是關注一些價值比較大的目標。

如何應對這個問題呢？在國際上大家已經開展了這方面的工作了。從云安全聯盟的角度也好，還是其他大廠商，在這方面有不少實踐經驗?；旧献鼍W絡安全戰略是跑不出這七個大的領域的，不管是你在哪個單位，你對我剛才前面講的這四大方面的威脅關注多個，或者是關注其中一個。在實踐方面是這七大塊，有的單位可能七塊都要做，有的要重點的做其中某些方面。這個內容是我剛才講的第二屆網絡安全大會當中我本來準備給大家講的，今天我把這個框架給大家說一下。

第一是發展基于風險的方法。

大家都知道，實際上業務并不是對安全很Care，他非常關注業務的上線，業務的成功，安全只是一個保證。我們做安全的人員，比如說你對于一臺服務器做了攻擊，你能夠在里面拿到許可，甚至拿到管理員權限，這是不是就是很嚴重的問題呢？如果這個服務器是企業可能要淘汰的，他根本就不用，這個問題對于企業來講沒有什么風險的，我們評估風險要從業務的角度看問題，給業務帶來的風險。

第二是有了風險之后，我們還要建立優先級。

從大的層面，大家現在也知道，我們到底是把安全的投資放到防護、監控、事態感知還是事后的響應恢復，還是怎么平衡？另外在這個方案上，我們有很多產品，很多產品集成一個方案，哪些產品是風險最大的，我們一定要識別。因為安全和投資是緊密相關的，我們不可能有無限的資源來做安全保障工作。甚至是對于模塊，我們也要識別優先級，比如一個模塊可能牽扯了好幾十個協議，可能有十幾個接口，那么這個里面哪些是高風險的，我們都要做優先級的這種識別。

第三是協調威脅和漏洞警告。

這是非常重要的，因為現在黑產是整個產業，如果出了一個事，可能要形成多個單位。我們各個單位之間的協調，大家的安全互相通報，做安全情報共享，做威脅情報和事態感知都是比較重要的。

第四是打造響應能力。

如果事件發生了，我們一定要快速恢復。如果恢復不了，這個可能造成的影響比攻擊更大。比如幾年前RSA被黑客攻擊了，把數據庫里面RSA的Key都拿去了。當時他發現了這個問題，黑客進攻的時候他都看到了，只是說響應很慢，所以造成的影響太大了。

第五是教育公眾。

剛才陳鐘教授也講了，公眾教育非常重要，技術的漏洞在那里，人的漏洞實際上是更多更大，很多黑客，剛才我講的各種威脅是利用人的漏洞，比如APT的威脅，最開始是利用人的漏洞，利用人的弱點去點擊一個連接，看一個郵件，做一些事情。所以我們對于公眾教育和培養人才，這都是極端重要的。

第六一定要有安全預算投資在核心的技術和研究方面。

我們一定要把安全嵌入，ICT的產品嵌入我們網絡空間的基礎里面，才能夠把這個基礎打好。

第七是全球思維。

我想這也是為什么我們開這個大會，我們要學習國際的先進經驗，另外中國的經驗也要介紹給全球。網絡空間是全球的，并不是某幾個國家的，所以我們必須以全球為范圍，一起把網絡安全的工作做好。

以前這個會議的名字叫Internet Security，今年改成Cyber Security，這個名字改得非常好，網絡安全實際上跟信息安全相關性是非常大的。但實際上差的并不太多，對有些單位網絡安全是指的產品安全，信息安全是保護企業內部的系統。有些單位實際上是不分的，就叫網絡安全或者是叫信息安全。

下面我把幾個案例給大家講一下，作為實際的例子。

第一個案例是云安全聯盟。

云安全聯盟是一個國際行業標準組織，2008年、2009年開始成立，它做的工作是四大塊威脅，選取了新興技術的威脅，從云計算安全起家，對于新興技術的安全做研究，把成果提供給會員和業界。左邊是我們已經做了不少研究工作，現在我們也近千名的專家，分成了30多個工作組，這是其中一部分工作，已經發布了。還有一些工作目前正在進行，比如陳主任剛才講的，移動APP安全，我們也有一個工作組目前在進行這方面的工作，建立標準，建立評估監測方法和工具。這里面有一些研究工作，待會兒我給大家介紹。比如說量子，我們最初起家的是云安全指南，現在已經有第三版了，這個有中文的，大家可以到中文網站下載，如果沒有的話，可以聯系云安全聯盟，我們可以給你提供中文版。我們把這些研究成果提供給我們的會員，我們會員現在在全球有300多家，都是世界五百強的科技公司，還有安全公司。目前在中國也有很多中國的企業加入會員，比如大家看到阿里云、360、華為，還有很多安全公司，騰訊是馬上就要加入了，下個月騰訊的云計算大會上，騰訊會宣布加入CSA的會員。如果在座的單位有興趣，也可以線下跟我聯系。我們的個人會員有7萬多個，在中國有一個公眾號，最后我會給大家，大家關注就會成為個人會員。在全球我們有4個職業大區，有美洲區、歐非區、亞太區，大中華區是最后一個。在全球我們有100多個地方分會，基本上每個超過百萬級的城市都有CSA的分會，在中國已經有了十幾個了，比如北上廣深，都有我們的分會。工作組已經介紹過了，我們是以安全研究作為核心。

在中國我們正在建立第一個產品級的國際安全標準。大家也知道，現在業界有非常多的標準，這些標準一般是針對整個安全體系，主要是管理，比如ISO-27001。除了我后面要講到的，基本上沒有一個統一的安全評估監測標準。我們CSA大中華區最近成立了工作，一個產品級的云安全和大數據的安全標準，包括產品的功能和評估。現在參與的有很多單位，在華的比如華為、亞馬遜、微軟、英特爾、甲骨文、VMware這些主流廠商都在工作組里面，10月份我們可能就要發布這個標準了，這只是一個例子。

在核心技術研發方面我們有很多項目，比如軟件定義邊界，高度安全網絡那些都不講了。我挑一個例子，這是一個未來的量子計算，我們有一個工作組，大家也知道，量子計算還比較遙遠，但是很多科研機關和安全公司已經開始做這方面的準備工作了。這個理論實際上是比較早的，是愛因斯坦在20多年前就提出了量子糾纏理論，這個理論是保障量子加密是絕對安全，有三大物理定律來保障這個絕對安全：一個是量子互補原理；二是量子不可克隆原理；三是量子不可確定的原理。八九十年代逐漸有了量子密鑰分發協議，才走向了實用階段。目前國際上幾個量子公司與云安全聯盟的Quantum Safe，以量子安全的框架為基礎，來做量子安全的工作?，F在大家在市面上實際上已經可以買到一些量子加密機，但是根據我們的試點工作，它在云計算里面實際上目前還不能適用云計算的場景，還有相當長的時間把這個工作完成。

從攻擊者角度來講，量子首先是絕對安全，但是還是可以被攻破的。有幾個大學，比如MIT和多倫多大學的安全研究者，他們就把量子加密攻破了。但是這個攻破并不是說這個理論不行，是實現的問題。剛才我講這個協議，這個信號是要消除噪聲的，因為現在這個噪聲很大。如果要是噪聲不能消減到20%以下，那么黑客可以利用這個漏洞來攻進系統。以后通過對于技術的改進，把噪聲削減，這個量子技術實際上是可以越來越接近理論的。

我們剛才講到網絡安全人才培養是非常重要的，CSA在這方面也是有布局。我們跟西安交大、麻省理工學院有合作，準備開CSO班。大家也知道，網絡安全有很多角色，除了首席網絡安全官，下面還有各種各樣的做研究、做工程、做測試攻擊的，有很大的人才缺口。這個CSA班舉兩個例子，我們的目標是培養人才，要變成企業的CSO，這兩個頭像，一位是前微軟CSO，Schmidt，是領軍人物。第二是華為的全球首席安全官，以前是英國的首席安全官和首席信息官，都是業界成功的榜樣。所以我們現在設立這個班以后，還有其他的課程。最下面這個是C-CCSK，是CSA的一個認證課程，云安全基礎理論。如果大家走到CSA這一步還有距離，可以從最基礎，CCSK起來，在中國我們最近已經辦了好幾期課程了。

第二個案例，CSA的高級會員微軟。

我以前是微軟的首席安全架構師，先看一下微軟的組織架構，微軟在PC時代在安全領域是標桿。實際上這個組織架構，在新興技術的威脅下并不能夠完全的合適，十幾年來，微軟是采用這個組織架構，大家看到他是一種聯邦制的。他有網絡安全TWC，當時2011年我支持比爾·蓋茨一起搞起來的。這個是信息安全，下面是運維管理，物聯網的安全，最右邊這個是物理安全。每個大的安全部門都有自己的CSO，是一種聯邦制。CSO要匯報給一個執行副總裁，最后才到CEO那兒，所以這個安全實際上是比較分散。當然這是有歷史的原因，公司的規模比較大，這些產品都是很分散的。另外每個大的工程團隊，大家也看到，視窗、Office辦公室，這些工程團隊里面也有專門的安全團隊。另外還要跟法務、合規一起整合起來，這是微軟的一個組織上的架構。

做的比較好的地方是Security Development Lifecycle，是安全開發生命周期，這個實踐不僅在微軟應用了十幾年，現在在業界很多公司都已經推出去了，還是比較有效的一個實踐。它的中心思想就是要把安全打入ICT產品研發的流程里面。因為如果依賴安全測試團隊和第三方外部的安全公司，最后做這些檢測實際上已經晚了，那樣投資會非常大，而且會發現問題很多，也不好改。安全最好的辦法就是我們講在安全生命周期的最上游，越往上游做，安全越有效。我就不細講了，在這個周期里面有很多的階段，比如培訓、要求階段，設計、實施、驗證、回應，大家可以到微軟的網站上有很多材料。如果大家需要培訓，云安全聯盟有一個專門的培訓課程。

再下面是安全建模，是Stride模型。這個模型是剛才我講的一部分，怎么樣識別威脅。這個也是微軟用得比較好的，現在受到了全球的承認。比如說歐美這些政府和企業，實際上也是找了很多威脅建模。最后發現，特別是這種ICT開發廠商，實際上跟ICT的流程結合得最好，都是采用微軟的模型。它這是有流程，還有模型，我就不打開了，大家到微軟網站能夠看到詳細的，如果需要培訓的話，云安全聯盟也有培訓課程，在這個流程里面分了四個階段，對于這個威脅是分成了六大威脅，根據這幾大威脅要做一個安全架構圖，特別使數據的流程圖，根據這個流程圖，你就可以比較好的識別這個威脅，可以在設計階段就把這個風險堵住。

第三個案例是華為的例子。

華為是從2011年才開始大規模的對網絡安全進行投入。剛才我講的，華為要把前面三大威脅方面，網絡進攻、新興技術、間諜活動都要包容進去，政府網軍的攻擊他認為可能是這個企業跟政府的網軍力量不太匹配，這方面并不是目標。所以大家可能以前聽到過美國的國安局進攻華為，國安局的力量非常強，不光是美國國安局，英國的國安局相對等的，跟我都是伙伴，都非常熟悉，進攻力量都非常強，就是美國的八大金剛都抵擋不住他們。所以大家對威脅做防范的時候，要根據風險來考慮。

華為要把自己的ICT產品做成最安全的，建立一套網絡安全體系，任正非發表了一個聲明，華為與其他企業的不同點是，他認為安全至上，安全是華為公司最關鍵的戰略。他對客戶承諾，如果出現了安全問題，華為不惜一切代價，要把這個安全問題解決掉。甚至華為公司有了這個業務損失，也要不惜一切代價，以客戶的安全利益至上。所以我想業界還沒有哪個廠商敢于像任正非一樣做這個承諾。

在這個承諾之下，任正非搭建了一個非常龐大的安全體系，當然這也是經過了5年才逐步完善。我來這個大會的前幾天又有了一個新的重組，實際上只是一個微調，還是差不多的組織架構。大家可以看到，華為跟微軟是相當不同的，它是公司化的，任正非發表了聲明以后，他作為第一把手，對安全非常重視，來進行投資。剛才我講過華為的首席安全官，大家看到任正非下面的GICPO，他來作為核心，一個大的首席安全官，掌管全公司、全球所有的網絡安全，包括戰略和執行。因為華為公司很大，搞安全的可能有幾千人，部門也非常多，最新的架構可能有20個以上的安全部門，絕大部分部門都是跟業務整合的，在下面這個框都是跟業務結合起來。這一塊是跟其他廠家不一樣的，大家可以想像成這是華為帝國，這是他的御林軍，藍色的是完全獨立于產品和業務的，我們叫做對云業務產品都不相信，我們要做獨立的審核檢驗，所以等于現在我算是進軍教頭，其他很多部門也是安全的總顧問。

這個框是所有業務的總裁，就是華為所有業務的領導人，董事會的，全部在這個委員會里面。這里面做最重大的決策，比如安全和業務有沖突了，我們業務要上馬，還是因為安全的原因不準他上，是在這個委員會進行決策。當然如果公司是有章程的，我們首席安全官有否決權，很多產品在發布階段就被御林軍擋住了，不準發布。這些產品部門如果安全做得不好，他是會受到懲罰的，有很多懲罰機制，包括輕則扣他獎金，重則降職，甚至是解雇。

這是華為的安全戰略任務，我們分了十大安全戰略任務，支持全面的安全戰略，我就不細講了，大家可以到網上下載，這些資料都是公開的，就是怎么樣建立安全戰略，到我剛才說的獨立的安全保障，到最后產業鏈、制造工業4.0、交付、運營、運維，最后的審計，華為都有很多先進經驗。我們這些先進經驗都是要傳遞給業界的，在全球講了很多，這是任正非在沃達豐，是烏鎮大會上，下面這是我們的首席安全官。

剛才講了，華為有幾千的安全人員，這是我們的頂級安全專家。大家看到，除了我之外還有我們的首席安全官，還有我們的安全研究院院長，他在新加坡，還有我們的安全咨詢業務總經理。當然我們需要很多人，現在空缺很多。我來這個大會，一個是支持宋主席，另外一個是招聘方面給大家透露一個信息，我們需要有這種戰略思維的人才，有攻擊性的人才。剛才大家看到我們的組織架構里面，各個部門都需要很多人，我們需要首席黑客，要有一些進攻型的人才，另外戰略型的都需要，大家有興趣都可以跟我講。

第四個案例，這是我們的一個戰略合作伙伴ISO。

大家很熟悉ISO，安全委員會主席跟ISO是緊密的合作伙伴，我們需要一些標準來打通全球網絡安全的產品互通。這些標準我下面寫了一些，未來的標準是跟剛才陳主任講的移動APP結合得非常緊的，我們移動安全應用的檢測標準會由CSA發布，也將變成ISO的國際標準。

第五個案例，US Government。

我也不講太多了，最近大家聽到了美國的網絡安全行動計劃，投資了1900億美金，所以他這個網絡安全能夠保持在世界領先。

第六個案例，European Union。

今天是一個很重要的日子，今天英國公投，我們尊重英國公民的意愿，我相信英國能夠做出正確的抉擇。

中外的差距與建議，我簡單從高層講一下。一定要有一把手來抓，在國家這個層面我們已經做到了。習主席可以說是中國的CSO，有網信辦的支持，以后需要制定國家戰略，實際上這個戰略已經有了，像習主席在烏鎮大會，在4·19的網絡安全座談會上的講話，把要點實際上都講出來了。在企業方面，大家也要考慮，就是學習國外的先進經驗，建立CSO機制，在網絡安全方面一定要有投入。另外對安全培訓，像剛才陳教授講的，還有安全保障、合規認證，各個方面大家都要有足夠的重視。

今天我就講到這里，我們的公眾號是csa_china，謝謝大家！