压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

邵國安：各位來賓下午好！既然分會場主要討論安全問題，我有個體會，尤其最近一段時間，我們發現很多相關安全問題，但通知這些用戶單位時發現，90%基本沒什么聲音，不知道他做了沒有，也不知道他解決了沒有。由此，我想到在座各位都是從事安全方面的，不管你是建設、運維還是管理，安全不僅僅給你帶來一個職業，可以養家糊口的工資，更主要的實際是一份責任。下面我介紹一下我做安全時的體會。

國家信息中心還有一塊牌子是政務云應用與集成國家工程實驗室，關于政務云的建設，我們聯合了阿里、華三、華為等國內主流的云計算廠商寫了一個標準，關于政務云安全技術標準，這個標準我們已經正式發了，但不對社會，在我們電子政務外網門戶網站已經發出去了，今天能給大家介紹一下。

我的理解，去年習大大“4·19”講話一周年紀念，我自己工作上的體會，有多少一年里給它落地的?，F在我們的安全理念到底建立起來沒有？原來安全廠商都是賣盒子，上到防火墻，賣個設備基本就沒人再處理了，如果你不找他，沒有項目，沒有錢他就基本不回來找你。但安全是基于一種對抗，如果站在全球角度來考慮安全問題，現在你可以和美國的朋友進行衛星通話，他可以訪問你的門戶網站，只要你連到互聯網，地球上任何人都可以訪問你的郵件，這樣黑客也就進來的，這方面安全你怎么考慮。習大大說“全方位、全天候感知網絡安全態勢”，全天候是什么？7×24，365天；全方位是什么？在座每個人腦袋里，全方位安全到底包括哪幾個方面？可能不一定都是很清晰的。我梳理了一下，我做安全從五個方面考慮安全。

第一，網際安全，這是目前我國還沒有在研究的

第二，網絡安全防護。

第三，終端安全。

第四，應用安全，網絡信用體系基于應用的安全。

第五，數據安全，從數據的產生到傳輸、使用、存儲、銷毀，整個數據生命周期的管理、管控。

做安全全方位應該從這五個維度考慮這個問題。我們國家我自己的管理都做得非常差。

網絡安全態勢感知。

這是全球最大的非涉密專網，國家電子政務外網，國家信息中心還有一塊牌子國家電子政務外網管理中心，負責我國省地縣全國的外網運營、管理和運維工作，我們有很多的標準、管理規范，也出了很多指導意見。從電子政務外網規模來說，到今年年底500萬個公務員在使用這個網絡，大概60萬個局域網絡連到我們這個網絡上，一定是全球最大的非涉密的政府專網，我們這么來定位。

這是大概的網絡架構，國家-省-地，廣域網、城域網。統一的互聯網出口，面向公眾服務的門戶網站群，政務內部自己使用的跨部門業務數據協同共享，有個公共區，不對互聯網開放的，互聯網也訪問不到的；還有一些正常的訪問，從網絡邊界，網絡安全，全國國家-省-地-部分縣的架構，這和政務云、云計算密切關聯。我們基于MPS、VPN來建者我們的網絡，在網絡上面做一些隔離措施，比如縱向的，橫向的，統一的互聯網出口，互聯網出口統一、門戶網站統一，通過互聯網訪問門戶網站只能往那個地方走，不能走到政務網絡里，這樣才能保證網絡和公務員的安全，公務員通過我這個網絡訪問互聯網只能出去不能進來。我們有個安全接入平臺來解決移動辦公、現場指訪相關業務。

因為現在移動辦公很多，OA和你的終端號碼、設備碼都是唯一的，我只要綁定就能夠實現一些業務主動推送。這是可以做到的。

基于此我們建立了統一的安全策略，主要的原則。2015年我們向CNNIC申請了64B的公網地址，這個公網地址不對互聯網開放，叫公網地址私用，解決跨省、跨部門共享數據交換，解決地址沖突的問題。

我們制訂了一個國家電子政務網的戰略目標，國家搞電子政務頂層設計20年現在還叫頂層設計，實際我們缺少一個明確的戰略目標，國家來說也是一樣。我的目標要分5-10年實現。首先要建立國家-省-地三級網絡安全共享與分析中心，將來建立數據共享和數據交換。第二，要建立專業安全的數據分析團隊保證我們團隊的安全，安全今后一定是基于對抗來做安全，核心是什么？一是專業的安全團隊，二是信息共享。從5個維度考慮安全，比如網際的網絡防護，終端的，應用的安全，數據的安全。有很多概念我們還是比較含糊，比如主機安全含不含終端，大多數人肯定認為主機安全肯定含終端。我的理解主機安全是服務器+操作系統（或者叫服務器安全），終端的一體機、筆記本電腦，所有的智能終端，可穿戴設備，今后的物聯網我認為都歸到終端范圍，你的指向或安全目標不明確的話怎么做安全？是沒辦法做的。這是我的安全理念，全天候、全方位感知安全態勢。比如主管的網絡里，72小時對我管的服務器做一次掃描，主動地發現我來網絡當中的問題和漏洞，這樣才能保證安全。安全更多的是責任，發現問題不去處理，今后肯定會給你帶來很大的安全隱患，這一塊我感覺確實做得不好。這也是我們國家做得比較少的。我們準備發一個標準，現在電子政務外網上沒有，今后準備上升為國家標準，就是對安全事件的分級分類。

我國有個標準，已經形成的網絡安全事件再分級分類?，F在我們有很多被你的安全設備阻斷的，主管單位比如網信辦、保密局、公安部，或者你聘請的第三方對你的網絡做滲透測試時怎么來區分？網絡上的特征和黑客攻擊特征是一樣的，你能區分出來嗎？

我們發現異常的跨境數據傳輸，雖然沒有產生后果，但你的數據在泄露，你說你該不該區分出來？你不區分怎么做安全？我們分了8大類，這些事件你能夠分類才能知道我應該對哪方面的安全問題采取措施。

這個基礎上我們寫了一個標準，關于“政務云安全要求”，現在國家公安部正在牽頭，正在做云計算環境的安全等級保護要求，現在還沒發布，但國標的要求只是針對所有國家的云計算環境，它不會針對電子政務寫個要求，我們是作為行業主管單位，由我組織，實際我們差不多花了一年半時間寫了政務云的安全要求，我只對電子政務，其他的電力、銀行自己制訂，這和我沒關系。我們大概統計了一下，就統計到這個月，我理解，我國云計算建設，除了BAT、一些運營商、原來大的IDC公司，各級政務熱中于建設云計算環境。31個省+新疆兵團，現在大概5個省沒有建省一級的政務云平臺；全國352個地市，現在133個地市已經建完，占1/3；全國大概3009個縣，現在在縣一級建政務云165個。我們的觀點，不建議縣里建設云計算環境，今后他的業務應該放到省里或地市，縣里就作為終端來使用。有些縣里有條件，有錢，有些縣里工作能力比地市還強，這種情況下我們也不反對，各個省有各個省的情況。

基于這些原因，我們有個編寫原則，國家標準的基礎上做政務云的標準，首先滿足國家要求。在滿足國家要求的基礎上，對我政府云環境建設提出一些要求，這些主要的要求就體現在，電子政務、政務云、電子政務外網之間的關系，首先要把這些關系說清楚。

1、政務云是各級政務部門所使用的云環境，政務云所使用的環境是政府、黨委、人大、法院、檢察院，上面只要有一個企業的應用我就不認為你是政務云。

2、電子政務一定是政府自己內部電子政務活動的信息系統。

3、電子政務外網，網絡是網絡，云計算環境是云計算環境。

在這方面概念不清楚的話，后面一說做建設，做安全，在邊界，所有整個上面都會模糊，都會有很大的問題。2016年的RSA大會，列出來16項云計算主要問題第一就是數據泄露，政府的應用在集中，數據在集中，是不是風險也在集中，你怎么做相關安全？

在座可能有政府的人，你做安全應該理解，任何單位給你介紹云計算安全，你一定要從數據級開始看他安全怎么做的?，F在跟我交流，按照我的觀點，80%、90%基本都說不清楚，比如你在宿主機上，比如基于KVM上面，上面一定有個Linux，再加Hypervisor層，在Hypervisor層上布虛擬機，再在上面部署應用系統和應用環境，每一層都有相應的安全要求，尤其Hypervisor層的安全要求。在這個基礎上我們做了一個政務云的安全框架。

（圖PPT）這是我們處立一個小伙子畫三個月時間畫出來的圖，首先要把網絡說清楚，建設云環境時，政務外網，一是安全結構平臺和云沒關系，比如和互聯網、三個運營商的VPDN互聯，實際是解決移動辦公。接入平臺是以IPSIG和SSL為核心的，后面是MBM移動設備管理，身份認證和一些相關安全保障措施來解決移動辦公安全接入平臺。整個云南北走向最外面的安全防護肯定少不了。還有基于行為的，對于互聯網和電子政務外網有連接的點就是個網際設備。看美國的“愛因斯坦3”，我們參照“愛因斯坦3”做了網際，實際是基于行為做的管控，我們把網際設備串聯在我的網絡邊界上面。云環境里我們分了三個區。

第一，互聯網的業務區，今后政府門戶網站群，或者向公眾的信息發布系統放在互聯網VPC系統（虛擬專有云）。

第二，各個部門的相關業務，也是在云上。

第三，跨部門協同共享業務交換。去年國務院51號文關于政務數據共享與交換，看所有的文件要求，都是指向政府部門內部的數據共享與交換，這是不對互聯網開放的。這三塊業務在標準上有幾個要求，國標里肯定是看不到的。

1、電子政務業務不得部署在公有云上。

2、互聯網業務，就是計算、存儲和網絡資源池，計算資源和網絡資源和互聯網業務區和政府業務區在宿主機層面要求分開。

3、整個政務云安全等級保護的三級作為一個共享或公共的平臺，按照等保三級的要求來做。現在政務云百分之百基于政府IaaS、資源層面的服務，我有個想法或要求，政府新建的系統，這個云環境，你應該把中間件和操作系統一塊兒建完，把API接口開放出來，新的應用系統在統一的API接口上做開放，就是提供一個PaaS層的服務，再做部分的SaaS服務，比如郵件、視頻會議系統，這些都是SaaS服務。所有政府的用戶使用就行了。

我們考察了一下，按照國標，在使用過程中，VM在同一個時間只能掛在一個存儲件，安全環境下，存儲資源池可以共享的；安全管理要分開，業務流和管理流要分開，整個全過程我們要求可管理、可追溯、可控制，這是我們對政務云安全性要求。我們的想法，除了云含量里提供計算、存儲和網絡資源，對政務云來說，我們希望今后，你可以找個第三方監管給你做安全監管服務。

4、政務云環境里加個密碼資源池，各個政務部門的重要數據，根據他的需要來調用密鑰，對于數據進行加密存儲，這才是政務云今后要做的。后面我做的這幾塊都是現在政府部門建設云環境里比較缺乏的。在座如果有制作這方面研究的，我們可以再做技術交流。

應用系統在集中，數據在及集中，我國2004年的電子簽名法到現在基本不好用?，F在三級等保要求雙因子認證，今后基于云計算環境，基于身份，基于單位，基于角色訪問控制會逐步用起來。我我的觀點，政務云應該以PaaS層的服務為主，基于網絡信任體系的網絡控制來解決它整個應用安全。這樣才能保證我電子政務或中國政府業務或電子業務的云安全。這就是可控制、可追溯、可管理。

這是我的理念。各個省我們基本都跑過，有些省，有些地市在做業務遷移時就發現數據永久丟失，在這上面我們給他分析了一下，主要的原因是備份和鏡像復本開找混為一談，備份是RTO和RPO，你做業務遷移時一定要做好數據備份，副本鏡像和快照是和你的應用系統實時訪問時，云計算會給你做三個副本，如果你誤操作，三個副本數據全是零，這是由誤操作造成你數據的永久丟失。這是一定要注意的。

基于這樣，在我們的技術要求你，要獨立地部署在政務云上，這個政務云既可以放在運營商機房，但和政務云一定要物理分開。現在大概有三個省當地的工信廳，不知道是因為無知還是其他的，因為當地智慧城市建設，把電子政務業務都放到公有云上，它下一步一定要再遷回來，但這個工作量有多大？比如新疆、陜西，我看好幾個省是這樣，有些地市也是這樣，其他具體的安全措施我就不多說了。

理念上來說，不管你自己建還是租用，這些要求你都得提，網信辦有文件，安全的責任不變，你就是放到云上去以后，所有的安全責任都是你自己的，你肯定要提要求。要做到你的數據放到云上之后可控制、可管理、可追溯，尤其是對你自己的信息系統和數據。我自己的數據，我自己的系統，什么人什么時候訪問我的數據我都應該知道，都應該可控。

政務云環境下多了幾個角色。

1、政務云管理部門，這是一定要有的，政務云管理部門每年給云服務提供商提供服務費，還有相關管理責任。

2、云服務商，這些云服務客戶就是這些政務部門。

3、云服務提供方，安全監管服務，監管是代替云管理部門來對整個云環境進行監管，它的主要責任還是云管理上，這個邊界、管理責任都應該很清楚的。這是一些思考，和我們主流建設環境當中很少有人提及的，這里我提個建議和思考給大家考慮。

現在有的時候和搞安全很多年的再來說，網絡威懾他從來沒聽說過，怎么提高網絡威懾力？我的觀點，讓你的對手感覺他攻擊的成本大于他的收益，你的網絡就具備威懾力。我們現在有威懾力嗎？黑客對你的攻擊什么時候來的你不知道，什么時候把你的數據拿走你不知道，哪來的威懾力？我們認為，這個威懾力是今后一定要考慮的。比如通過網際就能夠知道誰，什么時候對我進行郵件暴力破解，我能阻斷掉，我讓對手知道你在公積，才能知道網絡威懾力。

態勢感知平臺，到底怎么來做態勢感知平臺，在整個環境過程當中，1989年美國關于態勢感知模型，第一是有效數據的獲取，第二對于這些數據做關聯分析，第三是圖形化展示。我的想法，因為這里面分的每一個模塊都有詳細的需求，如果有需要我們再交流。通過態勢感知平臺達到什么目的。我們都是為態勢感知而做態勢感知，這就失去意義了。我們說的態勢感知平臺要求，第一時間能夠發現網絡攻擊，第二能夠快速定位，第三能夠采取有效措施，這是態勢感知平臺最終目的。而且這個態勢感知平臺一定要有相關聯，比如和公安部的平臺通過系統互聯，和網信辦和總參，要和各個相關單位情報共享進行系統級的共享。

通報平臺，相關的每一個模塊，我們都是有子項的，各個政府部門的水平都有高低，比如西藏水平很差，我在前端裝監測引擎，我這邊給他提供云安全服務。終端的管理，從整個電子政務外網來說，全國700萬個政務院，3000個事業單位，總共加起來5000萬左右，再加移動終端，大概2億，你說我整個電子政務外網管理終端大概就有2億。這是我們逐步來推進的目標，根據我的戰略目標，大概5-10年來實現這個目標，分國家的工程，每一個工程逐步來實施，逐步達到我最終目標。

謝謝大家！

主持人李學慶：感謝邵處長的青菜演講，很多內容，做政務云的，對大家的幫助還是挺大的。我看邵處長講的每一塊還是非常細的，后面大家針對云上怎么做建設，剛才也提到PaaS層和IaaS、SaaS層，每一層應該怎么去做，下面大家可以和邵處長多聊聊。

開場時，大家都在說WannaCry漏洞，這個事件對整個安全行業來說還是個很好的驅動，包括這個事件出來之后，有很多不是安全圈的人都已經對這個事情非常了解了。大家就能體會到，我們也一直在瞧這個事情，安全無小事。在出現這個事情以后，后邊很多公司連電腦都不敢打開了，每一臺電腦都進行升級。如果安全上面沒有做到位的話，對一個公司安全上的考量以及整個公司的發展還是有很大阻力的。