压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：本文介紹了網(wǎng)絡安全的特點、本質(zhì)及核心內(nèi)容，全方位的網(wǎng)絡安全應該包括五個維度及要求，在云計算環(huán)境下，我們應該怎么做好數(shù)據(jù)安全及相關(guān)建議。

邵國安????國家信息中心高級工程師

在座各位可能有甲方用戶，可能有云計算的開發(fā)商、技術(shù)總監(jiān)，你的安全理念決定了你的云計算怎么用得好、怎么好用。習大大說了“理念決定行動”，如果僅就云計算考慮安全問題，安全問題是做不好的，一定要從整體來考慮安全問題，才能把云計算以及云計算環(huán)境下的數(shù)據(jù)安全做好。

習主席的“4.29”講話已經(jīng)兩周年了。總書記講到的這些有多少是落地的？比如，全天候全方位感知網(wǎng)絡安全態(tài)勢。網(wǎng)絡安全的指向和含義是不一樣的。全方位包含哪幾個方位？云計算是不是該考慮？比如，終端安全是不是該考慮？比如，云計算應用該怎么考慮？在座各位都有微信，微信就是一朵云，你不用關(guān)心它的安全，那是騰訊公司負責的。但是，在座各位有很多是云計算的建設方，或者是云計算的開發(fā)方，你應該怎么考慮安全問題？我作為甲方，我的運算要放到云服務上去，我應該提出哪些要求？作為開發(fā)方，你是不是要考慮用戶有哪些要求？怎么滿足用戶的需求？兩年過去了，領(lǐng)導的講話我們是認認真真學精神、轟轟烈烈走過場。在這種情況下，我們怎么落地？

怎么樹立正確的安全的理念，對于你的行動是有密切關(guān)聯(lián)的。我問大家三個問題：網(wǎng)絡安全的特點是什么？網(wǎng)絡安全的本質(zhì)是對抗，對抗的背后是什么？網(wǎng)絡安全的核心到底是什么？

網(wǎng)絡安全的特點，它的時效性、復雜性、專業(yè)性及不對稱性。你發(fā)現(xiàn)了攻擊和問題是必須要馬上處理的，這是時效性決定的。如果是共有云，如果你的網(wǎng)絡沒有連上互聯(lián)網(wǎng)，就是專有的私有云，我們不去考慮。只要你連到互聯(lián)網(wǎng)，是不是在任何時間、任何地域都可以訪問到？你永遠不知道你的對手在什么時間、用什么方式對網(wǎng)絡發(fā)起攻擊。這個結(jié)論是正確的。你應該怎么做安全？你的對手都是有國家背景、有組織背景的專業(yè)人士，在座各位有多少本事能夠?qū)姑绹捻敿壓诳停烤W(wǎng)絡安全做到最后一定要通過國家的力量，我們應該怎么辦？

我先提出一些問題，給大家介紹一下我的理念。我們可以拿著習大大的講話去找領(lǐng)導要錢。領(lǐng)導是這么說的，按照領(lǐng)導的要求，我們要達到全天候全方位，我要找專業(yè)的分析人員和專業(yè)團隊，你得給錢。

從安全來說，你首先要保護自己。如果你是做安全的，你永遠不知道你的對手從你這里拿走多少數(shù)據(jù)。你花再多的錢都不敢拍胸脯說百分之百的安全。這種對抗是組織、國家和個人之間在互聯(lián)網(wǎng)上的智力博弈，這種對抗的背后是國家的力量、人才的競爭、技術(shù)的競爭，技術(shù)是第一定律。在美國能用，在我們這里也能用。問題是我們怎么把全球的先進理念用到我們的網(wǎng)絡安全上面來。

在這種情況下，網(wǎng)絡安全的核心是專業(yè)的分析團隊和情報的共享。我們國家現(xiàn)在能做到嗎？大多數(shù)的安全廠商都是賣盒子的，賣盒子是基于對抗的嗎？你的電視機不壞，十年也不會找廠家。但是，你買個防火墻，你放到上面去，你如果不找廠商，可能他也不會找你。放上去有用嗎？沒有情報的共享，今天發(fā)生了問題，過兩天，同樣的事情在其他地方同樣發(fā)生。我們的文化和理念就是大事化小、小事化了，有事情我們自己處理掉，能不報就不報。美國是怎么做的？一類比較重大的安全事件是需要重復研究，通過立法防止此類事件重復發(fā)生。

我摘取了美國網(wǎng)絡安全國家行動計劃里面的一段內(nèi)容，在復雜的網(wǎng)絡情況下，單個機構(gòu)已經(jīng)沒辦法應對，不再讓單個機構(gòu)單獨建造、運行和維護IT設備。也就是集中。這個結(jié)論是對的嗎？我認為是對的。我們國家的理念是誰運營誰負責、誰主管誰負責、誰使用誰負責。現(xiàn)在還是這個理念。2007年中辦發(fā)27號文，里面講的就是這兩段話。到現(xiàn)在已經(jīng)15年了，還是這個理念，還是這個要求。我們的安全應該怎么做？

在我的觀點看來，需要重新認知網(wǎng)絡，對網(wǎng)絡安全的常態(tài)的實時的監(jiān)控，而不是設備放在那里不管了。等級保護是網(wǎng)絡安全的最低要求，對于網(wǎng)絡應用、數(shù)據(jù)的實時監(jiān)控是你應該做的。

重新認知用戶是什么意思？比如，你是一個公務員，你有一張數(shù)字證書嗎？基于單位、基于身份、基于角色的訪問，有多少單位做到了？90%都沒做到。我們是不是應該重新認知用戶？

重新認知流量。如果有異常的流量，是不是應該馬上預警？我們知道嗎？我們基本上都不知道，我只知道上網(wǎng)速度慢了，什么原因造成的？不知道。

要重新認知對手。在互聯(lián)網(wǎng)上，只要做安全，一定要從全球的維度來考慮安全問題，只盯著自己的云計算是做不好安全的。你的對手一定是全球的關(guān)注你的這些黑客，他們有國家和組織背景。在關(guān)注過程中，戰(zhàn)術(shù)、技術(shù)和過程都是你要關(guān)注的。比如，對你進行DDOS攻擊，這是一種戰(zhàn)術(shù)，但它的目的未必是把你的網(wǎng)絡搞癱瘓，目的可能是通過挖掘未知的漏洞來獲取你的數(shù)據(jù)。整個過程是不是我們要必須關(guān)注的？

蘇格拉底說“智慧源于對術(shù)語的定義”。講到網(wǎng)絡安全，每個人對這個術(shù)語的定義都是含糊的。比如，你的產(chǎn)品開發(fā)有沒有基于術(shù)語和概念的定義？華為公司的所有產(chǎn)品首先把概念和術(shù)語定義清楚，再做產(chǎn)品開發(fā)，所以華為能走到世界上去。

我們國家所有的文件出來，第一是什么？指導思想。美國政府有一本專門的術(shù)語定義，包括歐盟、北約，我們是不是應該好好借鑒？我們國家在這個方面做的特別差。除了國家標準有術(shù)語定義以外，其他所有的技術(shù)文檔有一張術(shù)語定義嗎？基本上沒有。

隨便舉一個例子，我們講的網(wǎng)絡攻擊、信息跟美國人的定義是不一樣的，腦子里想的也不一樣。在全球一體化的網(wǎng)絡安全過程中，你怎么跟人家對話？講的都不是一樣，鴨和雞怎么對話？

全方位的網(wǎng)絡安全應該包括哪幾個方位？你們是不是這樣想的？網(wǎng)絡邊界的安全，我給它的定義是國家關(guān)鍵基礎(chǔ)設施和互聯(lián)網(wǎng)連接點的安全，這是網(wǎng)際的安全，我們國家整體缺失，沒有人研究。美國的愛因斯坦是可以對照的，但我們國家是沒有做的；安全防護就是基于動態(tài)的實時的安全防護，你認為我們做的好嗎？基本上也是很差；終端安全，我們國家到目前為止還沒有對終端進行定義，我們的等級保護到2.0還是主機安全，各位的腦子里一會兒是服務器安全，一會兒是終端安全。我對終端的定義，所有的筆記本、一體機、PC終端，還包括你每個人身上的移動智能終端，包括可穿戴設備、物聯(lián)網(wǎng)的前端設備，終端的數(shù)量特別龐大。我們講云管端，端不定義清楚，怎么做安全？我們跟360交流，360認為交換機、路由器也是終端，你們認為對嗎？云管端到底包括哪些方面？我最近看了網(wǎng)絡安全知識體系框架，里面提到連接安全，管就是連接。我們現(xiàn)在講的所有互聯(lián)網(wǎng)，3G、4G、5G，包括WIFI、衛(wèi)星通信，都是屬于連接要關(guān)注的安全問題，包括交換機、路由器。端就是終端，終端可以分成兩大類。按照我的方法論，復雜問題是分解，而不是眉毛胡子一把抓。怎么分解？終端安全是兩大類，一類是人口終端的綁定。還有一類是物聯(lián)網(wǎng)設備跟后臺數(shù)據(jù)、前端的數(shù)據(jù)采集設備；應用安全，云計算是提供基礎(chǔ)設施服務，應用安全是什么？我理解應用安全應該是身份認證、授權(quán)管理、責任認定、應用軟件、源代碼的安全、服務器的安全，我給主機安全的定義是服務器裸機加操作系統(tǒng)。它的定義清楚了，你的安全、目標、指向才會很準確；數(shù)據(jù)安全，應該怎么做？按照我的觀點，云計算一定是今后的發(fā)展趨勢，它的應用會越來越多，數(shù)據(jù)也會越來越多，它帶來的安全風險也會越來越大。云計算上的數(shù)據(jù)安全應該怎么做？數(shù)據(jù)的采集、傳輸、使用、銷毀要進行全生命周期的管控。數(shù)據(jù)安全怎么做？數(shù)據(jù)的分級分類、原數(shù)據(jù)的標準，以及對于敏感重要數(shù)據(jù)的加密存儲。這五個維度是我理解的全方位的安全，希望對你們有點啟發(fā)。展開分析，我們每一塊都做的不好。

這是一個扇形的防御體系，從網(wǎng)際安全到數(shù)據(jù)安全，最重要的是關(guān)注數(shù)據(jù)。數(shù)據(jù)要作為你的資產(chǎn)來保護，網(wǎng)絡是保證暢通。但是，現(xiàn)在眉毛胡子一把抓，講到安全問題，先把網(wǎng)絡分開。你怎么做安全？看來是沒辦法做的。這個圖也不是我發(fā)明的，這是2003年美國的博士艾倫公司跟美國國土安全部做交流時用的一張圖。你的理念決定你的行動，決定你后面該怎么做。在做安全防護的時候，你不僅僅要防范來自外部的網(wǎng)絡攻擊行為，還要防范來自內(nèi)部的網(wǎng)絡數(shù)據(jù)竊取。如果你是甲方用戶，你一定要知道什么時間、什么人、訪問什么數(shù)據(jù)。如果云計算服務商提供不了這些內(nèi)容，你要讓他回去想明白，你的數(shù)據(jù)和應用系統(tǒng)就不能上云。

智慧源于對術(shù)語的定義，術(shù)語一定要定義清楚。現(xiàn)在都在說網(wǎng)際的安全，眉毛胡子一把抓，防火墻也是網(wǎng)際的安全是不對的。

明確界定網(wǎng)絡安全的概念和定義，要形成一致的認識和框架，這是做好網(wǎng)絡安全的基礎(chǔ)。沒有這個基礎(chǔ)，真的是有問題。

這是我們準備出的標準，下一步要上升為國家標準。現(xiàn)在對網(wǎng)絡攻擊的報告是沒有分級分類的。國家安全標準有對安全事件的分級分類，這個標準是已經(jīng)形成的安全事件的分級分類。你說我們的安全設備一點沒有用嗎？還是有點用吧，至少可以擋住30%的網(wǎng)絡攻擊。比如，郵件的暴力破解、拆口令、授權(quán)訪問，還是有一些安全措施可以阻止這些惡意行為的。但是，你該不該分類？該不該統(tǒng)計？如果這些都做不好，你怎么做安全？

在座各位一定有體會，網(wǎng)信辦、公安部發(fā)起的“2018護網(wǎng)行動”，它對你的網(wǎng)絡進行探測、訪問，發(fā)現(xiàn)你的漏洞，這跟黑客攻擊的特征是一樣的，你該不該區(qū)分出來？比如，電子政務的數(shù)據(jù)往美國發(fā)、往臺灣發(fā)、往俄羅斯發(fā)，該不該預警？但這都是正常的，我們的安全設備連個日志都沒有，你能發(fā)現(xiàn)嗎？你的數(shù)據(jù)泄漏怎么辦？

講到云計算，你要把概念弄清楚。現(xiàn)在天天在炒名詞、炒概念，云計算炒三年沒新意了，現(xiàn)在在炒物計算、容器計算、邊緣計算，看問題要看它的本質(zhì)。對我來說，騰訊的云是一個云，跟我法任何關(guān)系，我不用關(guān)心它在哪里，我只要使用就行。如果你是打開機房的門，云服務提供商和建設單位告訴你也是一朵云，你怎么辦？你是不是讓他回去把云搞清楚？打開機房的門，你看見的一定是服務器、交換機和存儲設備。數(shù)據(jù)機是linux，在VM上面再部署應用的操作系統(tǒng)，每一塊都要弄的很清楚，才能把安全放上去。

很多省里面把應用部署到云上去以后就發(fā)現(xiàn)數(shù)據(jù)永久丟失。我的觀點，他們很多的是把鏡像副本快照和備份混為一談。備份定時、定點，是RPO、RTO的概念。你可以離線備份，可以把備份的RPR和RTO分出來。鏡像副本為了保證可靠使用，可能有兩到三個副本，更夸張的可能默認七個副本，占用存儲空間。如果誤操作，這七個副本全部是零。怎么辦？你在做應用遷移的時候，先做好備份。你可以承受的數(shù)據(jù)的時間點，5分鐘，或者半個小時，數(shù)據(jù)丟了就重新輸一遍。這些概念和理念一定要弄清楚。

云計算的特點和安全要求。云計算是什么特點？資源的動態(tài)調(diào)度和業(yè)務的快速部署。這是云計算的最大特點。基于這些最大的特點，還有第三方的引入，也就是云服務商的引入。我的觀點，你應該怎么做安全？基于主動的安全防御、主動的漏洞掃描。核心的問題用戶、云租戶和云服務商的邊界責任一定要通過紙面落實下來。這是一定要做的。有些東西，云服務商跟你交流的時候，胸脯拍的很響。你一定要讓他落到紙面，他就不敢寫了。比如，省里的數(shù)據(jù)不能出省。這個要求很正常吧？貴州省的數(shù)據(jù)哪一天在杭州發(fā)現(xiàn)了，有沒有問題？你問他敢不敢拍胸脯，我的數(shù)據(jù)肯定不出事。

在這種情況下，數(shù)據(jù)安全應該怎么做？全生命周期數(shù)據(jù)的管控一定是我們考慮的，數(shù)據(jù)從產(chǎn)生到傳輸、使用、存儲、銷毀整個全生命周期的管控，它要貫穿于整個云計算數(shù)據(jù)的全過程。

去年的“5.18”爆發(fā)的“想哭病毒”，很短的時間在150個國家爆發(fā)。很多人都在講它造成的危害，但很少有人關(guān)注它背后的根本原因。根本原因是美國國家安全局部分的網(wǎng)絡武器庫的曝光。網(wǎng)絡武器庫曝光以后，所有國家的黑客都在研究這些文件。黑客的感知能力、作戰(zhàn)能力、隱藏能力都在增強。對于做安全防護的人來說，是不是挑戰(zhàn)更大？

2015年，美國OPM指控中國的黑客偷竊了美國聯(lián)邦雇員400萬雇員的個人信息。公安部到美國去賠禮道歉，這個事情是我們有錯。這個黑客是OPM攻擊的主要成員之一，他認為沒事了。去年到美國去開會，開完會就被FBI帶走。我們自己能發(fā)現(xiàn)是哪個黑客來竊取數(shù)據(jù)嗎？我們有這個能力嗎？

在互聯(lián)網(wǎng)上，一定要牢記這兩句話：

“若成為入侵目標，你總會是目標”。全球的黑客關(guān)注中國的政治、經(jīng)濟、軍事、科技，總有一點是他關(guān)注的，你今天處理掉了，他明天又會來，所以要持續(xù)的關(guān)注。這就是安全基于對抗安全的特點。

“你必須放進來的，你就無法進行阻攔”。比如，郵件、門戶網(wǎng)站是必須開放在互聯(lián)網(wǎng)上的，現(xiàn)在的APP90%以上都是通過郵件。在這種情況下，你是不是應該重點關(guān)注用戶、重點關(guān)注人？

在安全理念下，一定要基于對抗做安全，核心是保證數(shù)據(jù)的安全。沒有網(wǎng)絡安全就沒有國家安全，國家的關(guān)鍵基礎(chǔ)設施的安全跟國家安全相關(guān)。保證國家關(guān)鍵基礎(chǔ)設施的安全，保證網(wǎng)絡安全，于無聲處捍衛(wèi)國家安全。這就是我們的使命。