第一篇：中國(guó)西部機(jī)械產(chǎn)品流通研討會(huì)暨平臺(tái)信息發(fā)布會(huì)活動(dòng)方案

中國(guó)西部機(jī)械產(chǎn)品流通研討會(huì) 暨平臺(tái)信息發(fā)布會(huì)籌辦方案

? 活動(dòng)背景：

改革開(kāi)放30幾年來(lái)，中國(guó)的工業(yè)經(jīng)濟(jì)發(fā)展取得了舉世矚目的成 就，工業(yè)經(jīng)濟(jì)體制逐步完善、工業(yè)規(guī)模顯著擴(kuò)大、工業(yè)經(jīng)濟(jì)效益明顯改善、工業(yè)化水平和國(guó)際化程度持續(xù)上升、工業(yè)競(jìng)爭(zhēng)力和技術(shù)水平不斷提高，中國(guó)已由一個(gè)工業(yè)弱國(guó)轉(zhuǎn)變?yōu)楣I(yè)規(guī)模世界第一的工業(yè)大國(guó)。

然而，中國(guó)工業(yè)“大而不強(qiáng)”。自主創(chuàng)新能力薄弱、基礎(chǔ)機(jī)械發(fā)展滯后、現(xiàn)代制造服務(wù)業(yè)發(fā)展緩慢、產(chǎn)業(yè)發(fā)展方式粗放、流通體制落后已經(jīng)成為阻礙中國(guó)工業(yè)發(fā)展的幾大瓶頸。特別是2007年世界金融危機(jī)以來(lái)，中國(guó)的工業(yè)經(jīng)濟(jì)更是受到了前所未有的沖擊，工業(yè)企業(yè)發(fā)展面臨著前所未有的挑戰(zhàn)。

基于此，人民日?qǐng)?bào)海外版聯(lián)合北新國(guó)際機(jī)械城，在中國(guó)經(jīng)濟(jì)增長(zhǎng)第四極的“XXX經(jīng)濟(jì)區(qū)”盛大舉行本次盛會(huì)，并成立“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)促進(jìn)會(huì)機(jī)械產(chǎn)品流通委員會(huì)”，旨在聯(lián)合全國(guó)機(jī)械產(chǎn)品行業(yè)的有識(shí)之士，共同研討中國(guó)機(jī)械工業(yè)的未來(lái)發(fā)展方向，資源共享，共同發(fā)展，并搭建一個(gè)專業(yè)化、集約化、規(guī)?；?guó)際化、信息化的機(jī)械產(chǎn)品流通平臺(tái)，為中國(guó)機(jī)械工業(yè)的發(fā)展不遺余力的貢獻(xiàn)力量。? 活動(dòng)目的：

1、以中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)促進(jìn)會(huì)機(jī)械產(chǎn)品流通委員會(huì)的成立為契機(jī)，分析當(dāng)前中國(guó)機(jī)械工業(yè)發(fā)展所面臨的機(jī)遇和挑戰(zhàn)，并探討有效的應(yīng)對(duì)之道。

2、通過(guò)各位領(lǐng)導(dǎo)、專家、學(xué)者的現(xiàn)場(chǎng)指導(dǎo)與啟迪，借現(xiàn)代機(jī)械物流、網(wǎng)絡(luò)平臺(tái)、電子商務(wù)等對(duì)現(xiàn)有機(jī)械產(chǎn)品流通體系進(jìn)行提檔升級(jí)，以更

好的適應(yīng)現(xiàn)代機(jī)械工業(yè)發(fā)展。

3、借助該委員會(huì)的影響力和良好的平臺(tái)效應(yīng)，擬以“XXXX機(jī)械城”作為構(gòu)建新型機(jī)械物流大流通平臺(tái)的試點(diǎn)，進(jìn)一步助推“四川省重點(diǎn)項(xiàng)目”的發(fā)展，樹(shù)立樣板工程，為“XXX經(jīng)濟(jì)帶”立足四川，輻射全國(guó)，走向世界注入新的活力，并為我省的物流發(fā)展建設(shè)起到積極的帶動(dòng)、示范作用。? 活動(dòng)內(nèi)容：

1、從世界形勢(shì)、國(guó)家政策、產(chǎn)業(yè)發(fā)展、模式創(chuàng)新、企業(yè)營(yíng)運(yùn)等多角度、多維度剖析當(dāng)前中國(guó)機(jī)械產(chǎn)品流通領(lǐng)域存在的機(jī)遇和挑戰(zhàn)。

2、探討中國(guó)機(jī)械產(chǎn)品流通的嶄新模式，解析機(jī)械產(chǎn)品供應(yīng)鏈管理，前瞻性地分析其市場(chǎng)前景與發(fā)展預(yù)期。

3、為中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)促進(jìn)會(huì)機(jī)械產(chǎn)品流通委員會(huì)的建設(shè)及后續(xù)運(yùn)營(yíng)奠定基礎(chǔ)。

□活動(dòng)時(shí)間：2013年12月10日

□活動(dòng)地點(diǎn)：成都XXXX賓館

□支持單位：省工商業(yè)聯(lián)合會(huì)

□主辦單位：人民日?qǐng)?bào)、中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)促進(jìn)會(huì)聯(lián)合主辦

□協(xié)辦單位：世界杰出華商協(xié)會(huì)

XXX企業(yè)聯(lián)合會(huì)

XXX企業(yè)家協(xié)會(huì)

XXX現(xiàn)代物流協(xié)會(huì) XXX五金機(jī)電商會(huì) XXX五金機(jī)電商會(huì) XX汽車用品行業(yè)協(xié)會(huì)

□承辦單位： 四川XXXX有限公司

□參會(huì)嘉賓：國(guó)內(nèi)外各大機(jī)械行業(yè)商會(huì)及協(xié)會(huì)領(lǐng)導(dǎo)、國(guó)內(nèi)外著名經(jīng)濟(jì)專家、國(guó)內(nèi)外著名機(jī)械企業(yè)家代表、各大媒體記者等

□活動(dòng)人數(shù)：約1000人

第二篇：新課改暨創(chuàng)新教育研討會(huì)活動(dòng)方案

課堂教學(xué)是提高教學(xué)質(zhì)量的主渠道。為促進(jìn)教師深入學(xué)習(xí)教育教學(xué)理論，深入研究新課標(biāo)、新教材、新課堂和新學(xué)情，進(jìn)一步提高教學(xué)效益和質(zhì)量，同時(shí)為教師搭建展示才華的舞臺(tái)和相互學(xué)習(xí)、相互交流、共同提高的機(jī)會(huì)。經(jīng)學(xué)校研究，決定開(kāi)展外實(shí)小第六屆新課改暨創(chuàng)新教育研討會(huì)。

一、研討時(shí)間

2012年3月31日——4月18日。

二、研討地點(diǎn)

多媒體教室。

三、研討內(nèi)容

1、校內(nèi)說(shuō)課大賽

2、論文評(píng)比

四、校內(nèi)說(shuō)課大賽要求

說(shuō)課主題：教與學(xué)方式的進(jìn)一步轉(zhuǎn)變

1、以新課程改革的理念為教學(xué)指導(dǎo)思想。

2、本屆說(shuō)課大賽對(duì)多媒體不作統(tǒng)一要求。

3、使用普通話。

4、說(shuō)課教師說(shuō)課前上交說(shuō)課稿、教學(xué)設(shè)計(jì)各兩份給評(píng)委，并同時(shí)烤盤(pán)到教導(dǎo)處。

5、說(shuō)課競(jìng)賽須先寫(xiě)教學(xué)設(shè)計(jì)，教學(xué)設(shè)計(jì)要求如下：

（1）教材分析：包括本節(jié)教材內(nèi)容的地位、作用、前后聯(lián)系，本節(jié)教材內(nèi)容的取舍增刪的理由，以及所需要的素材和器材。

（2）學(xué)情分析：包括學(xué)生已有的知識(shí)、經(jīng)驗(yàn)、思維水平、認(rèn)知特征，學(xué)生間的差異等。

（3）目標(biāo)確定：即通過(guò)教與學(xué)的活動(dòng)，學(xué)生應(yīng)達(dá)到的理想狀態(tài)，學(xué)生學(xué)習(xí)之后能夠解決哪些問(wèn)題？教學(xué)目標(biāo)應(yīng)根據(jù)課程標(biāo)準(zhǔn)和教學(xué)需要，確定三維目標(biāo)。

（4）活動(dòng)設(shè)計(jì)：是教師與學(xué)生雙邊活動(dòng)的設(shè)計(jì)，是一種彈性設(shè)計(jì)，至少在其中的1-2個(gè)環(huán)節(jié)中有應(yīng)變方案、備用設(shè)計(jì)。

（5）板書(shū)設(shè)計(jì)：體現(xiàn)思路、體現(xiàn)主要內(nèi)容、體現(xiàn)中心，簡(jiǎn)潔、新穎、有特色。

6、說(shuō)賽時(shí)間不超過(guò)15分鐘，延時(shí)2分鐘以上降等。

五、論文評(píng)比要求

1、論文內(nèi)容與各課題研究緊密結(jié)合，與課堂教學(xué)緊密結(jié)合，體現(xiàn)新課程改革的理念。

2、格式要求：

題目：小二，黑體。

字?jǐn)?shù)：1500——3000字之間。

正文：小四，宋體。左上角小五并加邊框，如圖所示：

外實(shí)小第六屆新課改

暨創(chuàng)新教育論文評(píng)選

3、論文一律以教研組為單位，于4月10日放學(xué)前統(tǒng)一上繳一份文本和拷盤(pán)到教導(dǎo)處（拷盤(pán)的電子文本寫(xiě)上×年級(jí)×教研組）

六、評(píng)價(jià)及獎(jiǎng)勵(lì)

1、根據(jù)我區(qū)的說(shuō)課評(píng)價(jià)要點(diǎn)評(píng)課。

2、說(shuō)課競(jìng)賽產(chǎn)生一等獎(jiǎng)4名，二等獎(jiǎng)6名，三等獎(jiǎng)4名。

3、對(duì)說(shuō)課優(yōu)勝的教師將推薦參加我區(qū)課堂大賽。

4、論文評(píng)選將產(chǎn)生一等獎(jiǎng)30名，二等獎(jiǎng)50名，三等獎(jiǎng)30名。獲得者優(yōu)先推薦發(fā)表，同時(shí)在全校教工大會(huì)上進(jìn)行交流。

七、時(shí)間安排

時(shí)間內(nèi)容

第六周各教研組上報(bào)參賽教師名單及課題

第七周各教研組內(nèi)說(shuō)課及拷盤(pán)到教導(dǎo)處（說(shuō)課教師說(shuō)課稿和教學(xué)設(shè)計(jì)）

第八周校內(nèi)說(shuō)課大賽

第九周論文評(píng)選

第十周研討會(huì)總結(jié)表彰

附件

一、名額分配

課堂大賽參賽名額分配

語(yǔ)文：1—6年級(jí)組各一名。

數(shù)學(xué)：低、中、高段各一名。

外語(yǔ)：1——3年級(jí)一名，4——6年級(jí)一名，共2名。

藝體、綜合：（音樂(lè)、體育、美術(shù)）各一名。

二、說(shuō)課安排

姓名年級(jí)學(xué)科內(nèi)容時(shí)間地點(diǎn)

張安全一年級(jí)語(yǔ)文《紀(jì)念》4月8日9：00多媒體教室

鐘英芳二年級(jí)語(yǔ)文《瀑布》4月8日9：20多媒體教室

劉英五年級(jí)語(yǔ)文《童眼詩(shī)心美麗心愿》4月8日9：40多媒體教室

李星六年級(jí)語(yǔ)文《綜合實(shí)踐》4月8日10：00多媒體教室

楊麗四年級(jí)語(yǔ)文《什么樣的眼睛》4月8日10：20多媒體教室

官紅英三年級(jí)語(yǔ)文《我愛(ài)家鄉(xiāng)的…》4月8日10：40多媒體教室

錢燕飛五年級(jí)數(shù)學(xué)《分?jǐn)?shù)除法》4月8日11：00多媒體教室

吳倩三年級(jí)數(shù)學(xué)《平移、旋轉(zhuǎn)》4月8日11：20多媒體教室

魏江容一年級(jí)數(shù)學(xué)《神奇的七巧板》4月8日11：40多媒體教室

李小燕六年級(jí)英語(yǔ)《taichi》4月9日9：00多媒體教室

鐘惠三年級(jí)英語(yǔ)《colourswesee》4月9日9：20多媒體教室

李云三年級(jí)美術(shù)《紅色的畫(huà)》4月9日9：40多媒體教室

何國(guó)英四年級(jí)音樂(lè)《少年阿凡提》4月9日10：00多媒體教室

趙小華體育待定4月9日10：20多媒體教室

三、評(píng)委名單

1、說(shuō)課大賽評(píng)委名單

組長(zhǎng)：

副組長(zhǎng)：

組員：

2、新課改論文評(píng)委名單

組長(zhǎng)：

組員：

第三篇：昂楷科技2013產(chǎn)品發(fā)布會(huì)暨渠道招募活動(dòng)

昂楷科技2013產(chǎn)品發(fā)布會(huì)暨渠道招募活動(dòng)

2013年9月12日，“大數(shù)據(jù)大安全”昂楷科技產(chǎn)品發(fā)布會(huì)暨渠道招募活動(dòng)在深圳威尼斯酒店隆重舉行。昂楷科技總經(jīng)理兼CTO劉永波先生為本次大會(huì)拉開(kāi)序幕，為了讓渠道伙伴更好的把握客戶需求與市場(chǎng)變化方向，劉永波在主題演講中深入分析了大數(shù)據(jù)時(shí)代數(shù)據(jù)安全市場(chǎng)發(fā)展趨勢(shì)，及介紹了昂楷是如何理解與應(yīng)對(duì)的。此后，劉永波還闡述了昂楷2013年上半年已取得的成績(jī)以及未來(lái)的戰(zhàn)略方向，同時(shí)總結(jié)了昂楷如何通過(guò)技術(shù)創(chuàng)新以及快速響應(yīng)，不斷提升產(chǎn)品競(jìng)爭(zhēng)力，為用戶提供滿足需求的產(chǎn)品同時(shí)獲得市場(chǎng)極大地肯定。

昂楷科技廣東省東莞區(qū)域總代，廣東網(wǎng)安科技副總魏書(shū)山先生作為嘉賓發(fā)言。過(guò)去一年，廣東網(wǎng)安科技與昂楷積極配合，主動(dòng)分享生意機(jī)會(huì)，互惠互利，昂楷科技也是不遺余力的對(duì)東莞區(qū)域市場(chǎng)活動(dòng)、人力、技術(shù)等進(jìn)行支持，僅僅九個(gè)月的時(shí)間廣東網(wǎng)安科技已經(jīng)拿下了東莞市大小醫(yī)院十余個(gè)項(xiàng)目，而且預(yù)計(jì)在第四季度又將有十幾家醫(yī)院項(xiàng)目簽約使用昂楷科技APSS醫(yī)院防統(tǒng)方系統(tǒng)。同時(shí)，昂楷科技對(duì)有突出貢獻(xiàn)的經(jīng)銷商，合作伙伴也設(shè)立了豐富的獎(jiǎng)項(xiàng)。

在演示體驗(yàn)區(qū)，昂楷科技AAS數(shù)據(jù)庫(kù)多重審計(jì)系統(tǒng)，F(xiàn)ES文件智能加密系統(tǒng)及WDS網(wǎng)頁(yè)防篡改系統(tǒng)的展位前圍滿了參會(huì)來(lái)賓，對(duì)昂楷的產(chǎn)品表現(xiàn)出濃厚的興趣。

昂楷科技作為數(shù)據(jù)安全整體解決方案的專業(yè)研發(fā)型企業(yè)，致力于為用戶提供最領(lǐng)先、最專業(yè)、最中國(guó)化的數(shù)據(jù)安全解決方案及安全產(chǎn)品，來(lái)促進(jìn)用戶的業(yè)務(wù)發(fā)展。未來(lái)，昂楷還會(huì)堅(jiān)持這樣做下去。

第四篇：2010’海峽兩岸光電論壇暨產(chǎn)業(yè)對(duì)接會(huì)-采購(gòu)對(duì)接專題活動(dòng)——節(jié)能照明產(chǎn)品采購(gòu)對(duì)接與信息發(fā)布會(huì)方案

2010’海峽兩岸光電論壇暨產(chǎn)業(yè)對(duì)接會(huì)

采購(gòu)對(duì)接專題活動(dòng)——節(jié)能照明產(chǎn)品采購(gòu)對(duì)接與信息發(fā)布會(huì)方案

“節(jié)能照明產(chǎn)品采購(gòu)對(duì)接與信息發(fā)布會(huì)”宗旨是為采購(gòu)商、參展商、供應(yīng)商、參觀者和信息發(fā)布者搭建一個(gè)服務(wù)平臺(tái)，為培植海西節(jié)能照明展覽會(huì)和推動(dòng)海西、廈門(mén)市光電產(chǎn)業(yè)更好更快發(fā)展提供服務(wù)。

我們將邀請(qǐng)飛利浦照明、安達(dá)屋集團(tuán)、西屋電氣等1０家左右節(jié)能照明采購(gòu)商來(lái)廈與“2010中國(guó)（廈門(mén)）節(jié)能照明展覽會(huì)”（簡(jiǎn)稱節(jié)能展，下同）的參展商及海峽兩岸部分節(jié)能照明部分知名企業(yè)進(jìn)行產(chǎn)品采購(gòu)或發(fā)布信息。

（一）會(huì)議時(shí)間：2010年4月9日9：00-16：30

（二）會(huì)議地點(diǎn)：中國(guó)廈門(mén)國(guó)際會(huì)議展覽中心二樓（201、203、204、205、207、209、215、212、220九間會(huì)議室）

（三）組織架構(gòu)：

主辦單位：臺(tái)交會(huì)組委會(huì)、福建省信息化局、福建省科學(xué)技術(shù)廳、廈門(mén)市

貿(mào)易發(fā)展局、廈門(mén)市科學(xué)技術(shù)局、廈門(mén)市新興產(chǎn)業(yè)辦公室

承辦單位：福建省光電行業(yè)協(xié)會(huì)、廈門(mén)市光電子行業(yè)協(xié)會(huì)、廈門(mén)產(chǎn)業(yè)

技術(shù)研究院、廈門(mén)市海峽兩岸科技交流與合作協(xié)會(huì)

（四）采購(gòu)產(chǎn)品范圍：

節(jié)能燈和節(jié)能照明電器、LED應(yīng)用產(chǎn)品、太陽(yáng)能硅原材料和太陽(yáng)能光伏應(yīng)用產(chǎn)品。

（五）會(huì)議形式：

1、采購(gòu)商和供應(yīng)商面對(duì)面洽談（本專題活動(dòng)供應(yīng)商需通過(guò)資格審核方能參加。面對(duì)面洽談后若有需要，組委會(huì)將協(xié)助安排參觀考察供應(yīng)商工廠）

2、采購(gòu)、技術(shù)信息發(fā)布

（六）議程規(guī)劃：

4月9日9：00—12：00采購(gòu)洽談

12：10—13：00午餐

13：30—16：30采購(gòu)洽談

（七）費(fèi)用：

1、節(jié)能展的參展商作為供應(yīng)商免費(fèi)優(yōu)先與采購(gòu)商配對(duì)、對(duì)接；

2、若供應(yīng)商需要安排住宿的，組委會(huì)將統(tǒng)一給予安排，費(fèi)用自理。

第五篇：信息安全活動(dòng)周開(kāi)幕式暨技術(shù)研討會(huì)筆記2012

信息安全活動(dòng)周開(kāi)幕式暨技術(shù)研討會(huì)實(shí)錄

主持（沈琪）：尊敬的各位領(lǐng)導(dǎo)，各位來(lái)賓，現(xiàn)場(chǎng)的女士們，先生們，大家早上好！

我是主持人沈琪，很高興相聚，歡迎各位前來(lái)參加“關(guān)注信息數(shù)據(jù)安全，共創(chuàng)網(wǎng)絡(luò)信任環(huán)境”第二屆上海市信息安全活動(dòng)周開(kāi)幕式暨技術(shù)研討會(huì)。在此，我僅代表本次活動(dòng)的主辦方對(duì)各位百忙之中出席本次會(huì)議表示最誠(chéng)摯的謝意和衷心的歡迎，歡迎各位；下面請(qǐng)?jiān)试S我隆重的介紹出席本次會(huì)議的主要嘉賓，他們是：

上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組副組長(zhǎng)、上海市經(jīng)濟(jì)和信息化委員會(huì)主任戴海波先生；

工信部信息安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武先生；

上海市經(jīng)濟(jì)和信息化委員會(huì)副主任、上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任陳躍華先生；

上海市政府新聞辦公室副局級(jí)巡視員蘇蓉娟女士；

上海市國(guó)家保密局副局長(zhǎng)曲力；

共青團(tuán)上海市委信息管理部部長(zhǎng)謝藝偉先生；

上海市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)副隊(duì)長(zhǎng)沈與辛先生；

特別邀請(qǐng)到的專家有：

中國(guó)工程院院士何德全先生；

全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家趙戰(zhàn)生先生；

微軟大中國(guó)區(qū)安全專家馮偉強(qiáng)先生；

啟明星辰首席戰(zhàn)略官潘柱廷先生。

讓我們對(duì)所有領(lǐng)導(dǎo)嘉賓的蒞臨表示熱烈的歡迎和誠(chéng)摯的感謝！

同時(shí)也熱烈歡迎來(lái)自眾人科技、頤東網(wǎng)絡(luò)、山石網(wǎng)科、綠盟科技、網(wǎng)域星云、安言咨詢、安恒信息、網(wǎng)康科技等企業(yè)的行業(yè)專家。歡迎你們的到來(lái)。

同時(shí)本次會(huì)議特別致謝人民銀行上海總部對(duì)本次大會(huì)的支持，并歡迎來(lái)自太平洋保險(xiǎn)、工商銀行數(shù)據(jù)中心、上海農(nóng)商銀行等用戶單位的專家代表。

出席今天的會(huì)議還有：

市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組各成員單位有關(guān)領(lǐng)導(dǎo)，本市200多家信息安全重點(diǎn)單位和信息安全企業(yè)的有關(guān)負(fù)責(zé)同志。

讓我們?cè)俅我詿崃业恼坡暁g迎各位領(lǐng)導(dǎo)和現(xiàn)場(chǎng)朋友的到來(lái)。

首先讓我們有請(qǐng)出上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組副組長(zhǎng)、上海市經(jīng)濟(jì)和信息化委員會(huì)主任戴海波先生，上臺(tái)為各位致詞，并宣布安全周開(kāi)幕，掌聲有請(qǐng)戴海波先生。

上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組副組長(zhǎng)、上海市經(jīng)濟(jì)和信息化委員會(huì)主任戴海波先生

戴海波：尊敬的各位領(lǐng)導(dǎo)，各位來(lái)賓，大家上午好。

金秋十月，我們大家在這里共同參加第二屆上海市信息安全活動(dòng)周，首先我代表上海市經(jīng)濟(jì)和信息化委員會(huì)向各位出席開(kāi)幕式的各位嘉賓表示歡迎，并向長(zhǎng)期以來(lái)關(guān)心和支持上海信息安全發(fā)展的工信部領(lǐng)導(dǎo)和各界人士表示重心的感謝。

今年7月，國(guó)務(wù)院發(fā)布了關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)，這是黨中央，國(guó)務(wù)院，即2003年發(fā)布關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)以來(lái)，在新形勢(shì)下，對(duì)信息安全保障工作做出的重大戰(zhàn)略部署。

近年來(lái)，上海按照國(guó)家安全，圍繞城市安全信息保障建設(shè)，不斷完善信息安全基礎(chǔ)設(shè)施，加強(qiáng)重要信息系統(tǒng)的安全防護(hù)，優(yōu)化綜合監(jiān)管和協(xié)調(diào)機(jī)制，加強(qiáng)相關(guān)宣傳教育和培訓(xùn)工作，初步建立起誠(chéng)實(shí)守信安全的網(wǎng)絡(luò)環(huán)境，經(jīng)受了上海世博會(huì)等重大活動(dòng)安全保障的考驗(yàn)，城市信息安全態(tài)勢(shì)總體可控。隨著互聯(lián)網(wǎng)，云計(jì)算，移動(dòng)互聯(lián)網(wǎng)，等新一代信息技術(shù)的快速發(fā)展，信息數(shù)據(jù)已經(jīng)成為與能源，原材料并重的戰(zhàn)略資源，如何應(yīng)對(duì)信息技術(shù)發(fā)展帶來(lái)的新安全挑戰(zhàn)，有效防范信息安全風(fēng)險(xiǎn)，有效維護(hù)城市信息安全，是上海實(shí)現(xiàn)信息化領(lǐng)先發(fā)展和帶動(dòng)戰(zhàn)略，推進(jìn)智慧城市進(jìn)程中必須面對(duì)和解決的重大問(wèn)題。十二五期間我們將安全國(guó)家和本市部署要求，圍繞建設(shè)可信可靠的區(qū)域信息安全保障目標(biāo)，加快完善城市信息安全基礎(chǔ)設(shè)施，大力促進(jìn)信息安全創(chuàng)新和產(chǎn)業(yè)發(fā)展，著力增強(qiáng)公眾信息安全意識(shí)，提高信息安全風(fēng)險(xiǎn)防范和應(yīng)對(duì)能力，努力提升城市信息安全的保障水平，為上海推進(jìn)創(chuàng)新驅(qū)動(dòng)，轉(zhuǎn)型發(fā)展，加快建設(shè)四個(gè)中心和國(guó)際大都市發(fā)揮應(yīng)有的作用。

本屆信息安全活動(dòng)周以“關(guān)注信息數(shù)據(jù)安全，共創(chuàng)網(wǎng)絡(luò)信任環(huán)境”為主題，切合智慧城市信息安全保障的客觀要求，對(duì)加強(qiáng)重要信息數(shù)據(jù)的保護(hù)，維護(hù)城市安全和公眾利益具有非常重要的意義?；顒?dòng)周將通過(guò)開(kāi)展主題論壇，信息安全技能競(jìng)賽，技術(shù)產(chǎn)品的展覽，專家訪談等系列活動(dòng)，共同探討信息安全熱點(diǎn)問(wèn)題，展示信息安全技術(shù)和產(chǎn)業(yè)發(fā)展的成果，普及信息安全知識(shí)，引導(dǎo)全社會(huì)對(duì)信息因?yàn)榈年P(guān)注，共同營(yíng)造安全可靠的信息化的發(fā)展環(huán)境。

衷心預(yù)祝本屆活動(dòng)周取得圓滿的成功，下面我宣布第二屆上海市信息安全活動(dòng)周正式開(kāi)幕。

主持（沈琪）：再次謝謝戴海波先生的精彩致詞，謝謝。下面的時(shí)間讓我們一起有請(qǐng)出工信部信息安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武先生進(jìn)行演講，掌聲有請(qǐng)。

工信部信息安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武先生

歐陽(yáng)武：第二屆上海市信息安全活動(dòng)周的主題是數(shù)據(jù)安全，今天我應(yīng)大會(huì)組織者的安排，就落實(shí)個(gè)人信息保護(hù)標(biāo)準(zhǔn)，維護(hù)個(gè)人信息安全做一個(gè)簡(jiǎn)短的發(fā)言。

戴海波主任，何德全院士，各位來(lái)賓，各位朋友，非常高興參加第二屆上海市信息安全活動(dòng)周活動(dòng)，首先我代表工信部信息安全協(xié)調(diào)司對(duì)本次活動(dòng)的隆重舉辦表示熱烈的祝賀，對(duì)前來(lái)參加活動(dòng)周的各位來(lái)賓表示熱烈的歡迎。

我們知道，隨著經(jīng)濟(jì)的不斷發(fā)展，個(gè)人信息的經(jīng)濟(jì)價(jià)值逐步顯現(xiàn)，加之信息技術(shù)的廣泛普及，個(gè)人信息的搜集，復(fù)制和交易成本大幅降低，濫用個(gè)人信息的現(xiàn)象也越來(lái)越嚴(yán)重，危害越來(lái)越大，濫用個(gè)人信息，侵害他人隱私已經(jīng)成為網(wǎng)絡(luò)侵權(quán)行為的一種突出表現(xiàn)，在信息化深入發(fā)展的大背景下，探討保護(hù)個(gè)人安全信息問(wèn)題具有十分重要的現(xiàn)實(shí)意義。

第一個(gè)觀點(diǎn)就是，合理利用個(gè)人信息是經(jīng)濟(jì)和社會(huì)發(fā)展的需求，使用個(gè)人信息是開(kāi)展各種社會(huì)活動(dòng)的前提和基礎(chǔ)，合理利用個(gè)人信息不僅有利于商業(yè)企業(yè)開(kāi)展對(duì)路的產(chǎn)品，提供個(gè)性化的服務(wù)，而且可以為我們消費(fèi)者帶來(lái)巨大的便利和效率。比如說(shuō)送貨上門(mén)，產(chǎn)品保修，網(wǎng)絡(luò)銀行，等許多新型服務(wù)無(wú)一不建立個(gè)人信息的合理利用上，個(gè)人信息還是享受服務(wù)的前提和條件，與社會(huì)救助，醫(yī)療保險(xiǎn)，社會(huì)保障等各種公共服務(wù)都需要查驗(yàn)和審核個(gè)人信息，離開(kāi)了個(gè)人信息的利用不利于社會(huì)發(fā)展和政府公共服務(wù)的提供，也為每個(gè)人生活代理不便，濫用個(gè)人信息的現(xiàn)象已經(jīng)十分嚴(yán)重，人民日?qǐng)?bào)和人民網(wǎng)曾經(jīng)做過(guò)一次網(wǎng)上調(diào)查，90%的受訪者表示自己親身遭遇過(guò)個(gè)人信息被泄露，94%的受訪者認(rèn)為當(dāng)前社會(huì)個(gè)人信息泄露問(wèn)題非常嚴(yán)重，79.8%的人表示對(duì)個(gè)人的信息的泄露表示十分的憤怒，據(jù)不完全調(diào)查，泄露個(gè)人信息的渠道主要有幾個(gè)方面，第一個(gè)是通信和互聯(lián)網(wǎng)，第二個(gè)證券交易，房地產(chǎn)買賣，保險(xiǎn)，求職求學(xué)，商場(chǎng)的會(huì)員卡，包括醫(yī)療保險(xiǎn)，都會(huì)有個(gè)人信息泄露的情況發(fā)生，個(gè)人信息從搜集，會(huì)聚，分類，使用，已經(jīng)使用第二條鏈條，很多公司從中受益，但是我們個(gè)人生活因此受到影響。

第三開(kāi)展個(gè)人信息保護(hù)自律是推進(jìn)個(gè)人信息保護(hù)的有效形式。09年2月全國(guó)人大通過(guò)刑法修正案七，某些行業(yè)人員出售個(gè)人的行為定義成刑事犯罪，廣東省人民法院正式判處了第一例泄露個(gè)人信息的案件，加大對(duì)個(gè)人信息的法律保護(hù)是社會(huì)各界的共同愿望，我們贊成在法律保護(hù)方面采取必要的措施，不僅要加大對(duì)違反犯罪活動(dòng)的誠(chéng)摯力度，而且要建設(shè)個(gè)人信息的法律保護(hù)制度，增加行政保護(hù)措施的制度設(shè)計(jì)，但是由于個(gè)人信息使用的特點(diǎn)，僅有法律的保護(hù)是不夠，這是因?yàn)樵趥€(gè)人信息濫用的行為中可以治罪的行為比較少，利用刑事法律覆蓋的范圍相對(duì)較小。很多濫用個(gè)人信息的行為對(duì)受害人的受害主要是精神層面的，民事賠償制度容易陷入無(wú)休止的爭(zhēng)議。第三個(gè)理由是個(gè)人信息一旦被濫用，傷害就已經(jīng)形成，作為懲罰制度很難滿足公眾對(duì)于事情預(yù)防的期望。

第四個(gè)理由是，個(gè)人信息使用廣泛完全依靠政府的監(jiān)管，行政資源難以負(fù)擔(dān)，因此大力提倡企業(yè)和行業(yè)的自律，通過(guò)社會(huì)第三方和輿論的監(jiān)督形成個(gè)人信息良好的保護(hù)措施應(yīng)該成為一種選擇。

最后介紹一下個(gè)人信息保護(hù)的保準(zhǔn)。

既然企業(yè)愿意自律，就必須要有一個(gè)規(guī)范，要有一個(gè)指導(dǎo)，我們了解到企業(yè)都合理使用信息的意愿，也希望保護(hù)和個(gè)人的信息，但是不知道如何去做，工信部對(duì)大量使用計(jì)算機(jī)的現(xiàn)象，組織國(guó)內(nèi)的機(jī)構(gòu)和研究機(jī)構(gòu)，提出公共和商用個(gè)人信息保護(hù)指南，這個(gè)指南作為國(guó)家標(biāo)準(zhǔn)已經(jīng)獲得了國(guó)家標(biāo)工委的審查，我們了解到，馬上就會(huì)發(fā)布，下面我將指南中明確的處理個(gè)人信息必須遵循的八項(xiàng)原則在這里做一個(gè)簡(jiǎn)單的介紹。這些原則充分參考了國(guó)際社會(huì)自上個(gè)世紀(jì)80年代以來(lái)普遍認(rèn)可的通用原則。

第一個(gè)原則叫目的明確原則。處理個(gè)人信息應(yīng)當(dāng)具體特定，明確，合理的目的，不擴(kuò)大使用范圍，不在個(gè)人主體不知情的情況下改變個(gè)人信息的目的。比如我們用于郵件服務(wù)，還是用于支付服務(wù)，這樣的服務(wù)必須是十分明確的，必須要有十分明確的服務(wù)方式和服務(wù)內(nèi)容，這種內(nèi)容不能含糊不清。

第二個(gè)夠用的原則，只處理與目的有關(guān)的最少的信息，達(dá)到處理目的后在最短的時(shí)間要?jiǎng)h除個(gè)人信息，處理個(gè)人信息的種類和具體項(xiàng)目應(yīng)該告知個(gè)人主體的目的相關(guān)，不超出目的的范圍搜集信息，不超期限保留個(gè)人信息，實(shí)際操作過(guò)程當(dāng)中搜集什么樣的個(gè)人信息跟業(yè)務(wù)是有密切聯(lián)系的。保留多長(zhǎng)時(shí)間，也可能跟提供的服務(wù)相關(guān)的，具體在實(shí)施過(guò)程當(dāng)中可以通過(guò)一些行業(yè)規(guī)范加以落實(shí)。

第三個(gè)原則是公開(kāi)告知的原因，對(duì)個(gè)人信息主體要盡到告知，說(shuō)明，警示，具體落實(shí)要通過(guò)信息保護(hù)政策，我們現(xiàn)在知道大多數(shù)的公司都會(huì)在自己的網(wǎng)站上發(fā)布隱私政策，這些政策是否規(guī)范，是否全面，該公開(kāi)的東西是否已經(jīng)公開(kāi)。

第四個(gè)是個(gè)人同意原則，處理個(gè)人信息前必須征得個(gè)人的同意，同意有兩種方式，一種是默許同意，一種是民事同意，根據(jù)信息敏感程度和業(yè)務(wù)特點(diǎn)，可以通過(guò)行業(yè)規(guī)范來(lái)明確哪些信息可以采取默許同意，哪些信息可以采用民事同意，個(gè)人信息處理過(guò)程當(dāng)中提供必要的途徑和手段，為個(gè)人信息主體表明態(tài)度提供便利。

第五個(gè)原則就是質(zhì)量保證原則，就是保證處理過(guò)程中的個(gè)人信息的保密，完整，可用，并處于最新?tīng)顟B(tài)，應(yīng)該根據(jù)處理的目的需要，保證個(gè)人信息的準(zhǔn)確，完整，敏感的個(gè)人信息應(yīng)該是最新的狀態(tài)，比如說(shuō)我們婚介當(dāng)中利用個(gè)人信息，他在婚姻狀態(tài)就應(yīng)該保持最新?tīng)顟B(tài)，他登記的是未婚，結(jié)果人家結(jié)婚了還搞的是未婚，這個(gè)信息就是不準(zhǔn)確的。

第六個(gè)原則是安全保障的原則。要采取適當(dāng)?shù)呐c個(gè)人信息遭受損害的可能性和嚴(yán)重性相適應(yīng)的管理措施和技術(shù)手段，保護(hù)個(gè)人的信息安全，防止未經(jīng)個(gè)人授權(quán)的檢索披露，及丟失，損毀和篡改個(gè)人信息。強(qiáng)調(diào)的是要有必要的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的安全具體可以制定更加規(guī)范

第七個(gè)原則叫城市履行原則，就是按照搜集時(shí)的承諾，在達(dá)到既定的目的時(shí)不再寄出去，很過(guò)公司都制定了隱私的政策，這些政策是否得到了落實(shí)，很多公司在處理個(gè)人信息事先征得本人的同意，但是他們真正履行了自己的承諾，需要在實(shí)踐當(dāng)中加以審核，審核的方式可以采取第三方監(jiān)督。

第八個(gè)是責(zé)任明確的原則，明確個(gè)人信息處理過(guò)程當(dāng)中的責(zé)任，要采取相應(yīng)的措施落實(shí)相關(guān)責(zé)任，要對(duì)個(gè)人信息處理的過(guò)程進(jìn)行記錄，以便于追溯責(zé)任，各個(gè)單位對(duì)個(gè)人信息所有流程進(jìn)行記錄，明確不同角色的責(zé)任，對(duì)不承擔(dān)責(zé)任的行為應(yīng)該建立必要的制度予以追究。

這個(gè)指南對(duì)個(gè)人信息處理過(guò)程中的概念，角色，流程，及相關(guān)的管理流程還給予了明確，是各企業(yè)開(kāi)展個(gè)人信息自律很好的參考。但是光有指南是不夠，我們還將繼續(xù)推進(jìn)標(biāo)準(zhǔn)的完善，比如針對(duì)移動(dòng)的業(yè)務(wù)，對(duì)各種移動(dòng)應(yīng)用程序是否違反了上述原則，我們要制定一些具體檢測(cè)標(biāo)準(zhǔn)，針對(duì)管理要制定具體的管理規(guī)范，這是作為完善這個(gè)標(biāo)準(zhǔn)體系的一個(gè)重要工作，在下一步要繼續(xù)的推進(jìn)。

最后我想借助上海市信息安全活動(dòng)周這個(gè)平臺(tái)，向凡是在業(yè)務(wù)當(dāng)中需要處理個(gè)人信息的企業(yè)發(fā)出號(hào)召，要自覺(jué)的按照指南的原則和要求，保護(hù)好個(gè)人信息，同時(shí)我們也在考慮，以企業(yè)自律的形式推進(jìn)指南的貫徹，推進(jìn)個(gè)人信息保護(hù)，希望有關(guān)企業(yè)積極的加入到維護(hù)個(gè)人信息安全的工作中來(lái)，祝上海信息安全活動(dòng)周活動(dòng)取得圓滿成功，謝謝。

主持（沈琪）：再次謝謝歐陽(yáng)武先生的精彩發(fā)言。下面的時(shí)間讓我們一起有請(qǐng)出中國(guó)工程院院士何德全先生為各位分享《“大數(shù)據(jù)”趨勢(shì)與信息安全》，讓我們掌聲有請(qǐng)。

中國(guó)工程院院士何德全先生

何德全：這次題目叫關(guān)注數(shù)據(jù)安全，所以讓我從北京過(guò)來(lái)，剛才歐陽(yáng)司長(zhǎng)都講了，所以我搞一個(gè)類似的題目，就是關(guān)于大數(shù)據(jù)的問(wèn)題，大數(shù)據(jù)和信息安全的關(guān)系。

今天我的題目就是《“大數(shù)據(jù)”趨勢(shì)與信息安全》，大家知道大數(shù)據(jù)的發(fā)展趨勢(shì)非?？?，現(xiàn)在大數(shù)據(jù)的問(wèn)題爭(zhēng)議和爭(zhēng)論很多，我不講這個(gè)問(wèn)題，主要大家看一看數(shù)據(jù)發(fā)展的趨勢(shì)就能看出來(lái)了。

2012年在這里已經(jīng)到了EB這個(gè)程度，就是兆兆B這個(gè)程度，2015年就要到兆兆，這個(gè)數(shù)據(jù)確實(shí)驚人，現(xiàn)在兆級(jí)大家比較熟悉了，這個(gè)叫太，叫艾，叫澤，現(xiàn)在我們基本是澤這個(gè)層次上考慮問(wèn)題。

這張圖也說(shuō)明這個(gè)問(wèn)題，就是數(shù)據(jù)發(fā)展非常快，2000年的時(shí)候只有800TB，到了2012年已經(jīng)到澤這個(gè)程度了。如果說(shuō)大數(shù)據(jù)大家都工人三個(gè)V，第一個(gè)就是數(shù)據(jù)量，第二個(gè)就是數(shù)據(jù)快速，而且是變化的，第三個(gè)就是結(jié)構(gòu)和非結(jié)構(gòu)化的數(shù)據(jù)，還有半結(jié)構(gòu)化的數(shù)據(jù)。

大家看到了，非結(jié)構(gòu)化的數(shù)據(jù)將會(huì)大大增加，預(yù)計(jì)10年以后非結(jié)構(gòu)化的數(shù)據(jù)可能要占數(shù)據(jù)量的90%。也有說(shuō)不是V3，是V4，這是IBM的，還包括一部分Variety的數(shù)據(jù)，大數(shù)據(jù)不僅包括多樣性的數(shù)據(jù)，還包括含糊，不確定的數(shù)據(jù)。全球數(shù)據(jù)90%是過(guò)去兩年產(chǎn)生的，每年增長(zhǎng)率是45%，現(xiàn)在這樣一個(gè)快速發(fā)展的數(shù)據(jù)對(duì)我們到底是一個(gè)負(fù)擔(dān)，還是一個(gè)機(jī)遇，大家知道耗電量是不小的，而且各種垃圾信息和不確定的信息很多，這個(gè)我們要有一個(gè)基本的觀念，這個(gè)觀念還是對(duì)信息認(rèn)識(shí)的問(wèn)題，信息是當(dāng)代人類生存發(fā)展的最重要的資源，因此我們必須得有時(shí)代感，要建立數(shù)據(jù)信息安全的資源觀。擺在我們面前的是如何處理，如何保護(hù)，如何運(yùn)用好這些巨量的信息。就要滿足人類快速、方便、準(zhǔn)確判斷情況的需要，要滿足人類對(duì)獲取新知識(shí)的渴望，又要賦予人以安全感。

能不能為人提供這種高質(zhì)量，反應(yīng)快速的決策這樣一種服務(wù)，是決定大數(shù)據(jù)發(fā)展的前景。

這張圖比較形象來(lái)說(shuō)明這個(gè)問(wèn)題，下面是數(shù)據(jù)和信息的知識(shí)，還不行，再往上走這有群體識(shí)別，情境，態(tài)勢(shì)。所以大數(shù)據(jù)應(yīng)該能夠做到強(qiáng)化人的高速預(yù)測(cè)決策能力。大家知道人決策既靠知覺(jué)的性智，又靠定量概括推理的量智，是人機(jī)結(jié)合的。大數(shù)據(jù)開(kāi)啟了新的人機(jī)智能技術(shù)，能更完整地表示和迅速傳遞概念，并以符合人認(rèn)識(shí)過(guò)程的方式對(duì)概念進(jìn)行加工，對(duì)可視化的形式向決策者展現(xiàn)。所以大加強(qiáng)了計(jì)算機(jī)信息技術(shù)在決策當(dāng)中的份量，同時(shí)還有人改造人的性智，向新人類前進(jìn)?，F(xiàn)在從世界情況來(lái)看，目前基于大數(shù)據(jù)的各種平臺(tái)開(kāi)發(fā)已經(jīng)初見(jiàn)成效，包括存儲(chǔ)，處理和分析三個(gè)方面。

我只能很簡(jiǎn)單的從新的數(shù)據(jù)處理和新的系統(tǒng)結(jié)構(gòu)這兩個(gè)角度來(lái)看。

首先從數(shù)據(jù)處理方法來(lái)看，是Meta搜索，什么意思呢？就是通過(guò)統(tǒng)一的用戶界面幫助用戶在多個(gè)引擎中選擇和集成搜尋，另外我們估計(jì)兩年以后現(xiàn)在有的這一些數(shù)據(jù)處理的技術(shù)會(huì)有所變化，像可視化，像情景分析，這些都要提升，而有一些，像標(biāo)準(zhǔn)化報(bào)告。目前當(dāng)前的捷徑不是重新開(kāi)發(fā)大數(shù)據(jù)，而是利用現(xiàn)有的數(shù)據(jù)挖掘，機(jī)器學(xué)習(xí)算法。特別是綜合集成現(xiàn)有方法，這個(gè)大家都熟悉了，META學(xué)習(xí)，META統(tǒng)計(jì)學(xué)習(xí)，META分類器，META搜索等等。

從系統(tǒng)建構(gòu)的角度來(lái)看，市場(chǎng)現(xiàn)有的大數(shù)據(jù)平臺(tái)基本上也是建立在已經(jīng)有關(guān)的平臺(tái)上的平臺(tái)，用開(kāi)源系統(tǒng)實(shí)現(xiàn)大數(shù)據(jù)的分布式存儲(chǔ)、處理。這個(gè)我不詳細(xì)講了，既是一個(gè)存儲(chǔ)的分布式文件系統(tǒng)，也是由計(jì)算設(shè)備組成的大型集群。這張圖更加明顯一點(diǎn)，這是分服務(wù)器，最后通過(guò)網(wǎng)絡(luò)加以集成?，F(xiàn)在大數(shù)據(jù)的平臺(tái)基本上是已有數(shù)據(jù)系統(tǒng)、文件系統(tǒng)、分析系統(tǒng)的技術(shù)綜合集成，能夠很快見(jiàn)效，已經(jīng)初步見(jiàn)效，我們看美軍早就在十幾年前就提出來(lái)了，從國(guó)防軍事的海量數(shù)據(jù)需求出發(fā)，首先由Owen將軍提出了系統(tǒng)的系統(tǒng)的概念。

META這個(gè)詞來(lái)自古希臘，是指一群事物或過(guò)程，交互集成后涌現(xiàn)出的更高層次的特性，而不是它們簡(jiǎn)單的加合。META學(xué)習(xí)，META分類器，META識(shí)別，META分析，META搜索等，我想引用錢學(xué)森同志提出來(lái)的META綜合方法。錢學(xué)森提出的META綜合方法是一種思維方法，突破了傳統(tǒng)的線性和還海員論的思維模式，突出了從整體考慮和宏，微觀結(jié)合解決問(wèn)題的思路。和一般系統(tǒng)集成的區(qū)別在于，它是跨系統(tǒng)，跨領(lǐng)域，跨部門(mén)，跨地域的集成，是人機(jī)結(jié)合以人為主的集成，META—SYNTHESIS是人機(jī)結(jié)合的信息處理方法，實(shí)質(zhì)是統(tǒng)計(jì)數(shù)據(jù)，信息資料和群體智慧三者的有機(jī)結(jié)合。

除了信息安全，實(shí)際上進(jìn)入21世紀(jì)各家爭(zhēng)論很多，比如傳統(tǒng)信息安全做法是失敗的，現(xiàn)在需要一個(gè)新的思路，比如說(shuō)到底是全共享，還是有限制的共享，是最佳實(shí)踐好，還是面向創(chuàng)新，是以人為主好，還是以機(jī)為主，實(shí)際上以綜合為好，比如有人提出來(lái)，網(wǎng)絡(luò)安全長(zhǎng)期以來(lái)被看作是純技術(shù)問(wèn)題，但安全情況越來(lái)越糟，首先是人的問(wèn)題，實(shí)際應(yīng)該是人機(jī)結(jié)合。這就提出一個(gè)問(wèn)題，就是邏輯起點(diǎn)的問(wèn)題，我們信息安全的邏輯起點(diǎn)究竟在哪兒，研究網(wǎng)絡(luò)社會(huì)，包括網(wǎng)絡(luò)信息安全首先把邏輯起點(diǎn)搞清楚，邏輯起點(diǎn)大家知道就是人和網(wǎng)絡(luò)的關(guān)系，人機(jī)交互，人網(wǎng)結(jié)合，是干差和處理網(wǎng)上各種問(wèn)題的出發(fā)點(diǎn)。這也用了謙虛森同志的原話，網(wǎng)絡(luò)加用戶是一個(gè)開(kāi)放的復(fù)雜巨系統(tǒng)，對(duì)世界開(kāi)放，是人造的，是一個(gè)人機(jī)系統(tǒng)，就是為人所創(chuàng)造，滿足人需求，被人所駕馭，同時(shí)也改造人自身。人和網(wǎng)絡(luò)的矛盾運(yùn)動(dòng)推動(dòng)著網(wǎng)絡(luò)的發(fā)展，同時(shí)也產(chǎn)生了網(wǎng)絡(luò)安全治理問(wèn)題。

包括現(xiàn)在常說(shuō)的Cyberspace，國(guó)內(nèi)外不少專家認(rèn)為：這是空間也應(yīng)該包括人和網(wǎng)絡(luò)，就是人機(jī)互動(dòng)所創(chuàng)造出的現(xiàn)實(shí)與虛擬交錯(cuò)的空間叫Cyberspace。既然是這樣有生態(tài)觀，網(wǎng)絡(luò)生態(tài)是人網(wǎng)社會(huì)相互關(guān)系的總和，它的特性就是動(dòng)態(tài)平衡，多樣性和層次性。Cyberspace的信息安全主體是什么？首先要回答誰(shuí)的安全，誰(shuí)在威脅安全，安全有一個(gè)主體，要從主體性看Cyberspace安全，網(wǎng)絡(luò)安全的主體是建設(shè)、管理、網(wǎng)絡(luò)、并具有相對(duì)調(diào)控能力、調(diào)控義務(wù)和權(quán)力的人和組織、部門(mén)、國(guó)家。美軍提的信息安全很多年了，把人也放在重要的位置，為什么現(xiàn)在提出這些問(wèn)題，IT發(fā)展與安全風(fēng)險(xiǎn)缺口是越來(lái)越大，大家看到這是安全投入，安全意識(shí)，這是IT的發(fā)展，隨著時(shí)間的變化這個(gè)缺口越來(lái)越大。

所以21世紀(jì)以來(lái)，國(guó)際上圍繞信息獲取、利用、控制的斗爭(zhēng)日趨激烈，奧巴馬說(shuō)過(guò)了，21世紀(jì)美國(guó)的繁榮取決于信息安全。中央領(lǐng)導(dǎo)最近也指出，信息安全是我國(guó)信息化的制高點(diǎn)，成也在此，敗也在此，特別要關(guān)注進(jìn)來(lái)信息安全的新風(fēng)險(xiǎn)。

新的業(yè)務(wù)和新應(yīng)用使安全風(fēng)險(xiǎn)增高，隨著社交網(wǎng)絡(luò)，B2B，地圖測(cè)繪等。像RSA身份鑒別系統(tǒng)信息和Hony公司用戶數(shù)據(jù)被盜，這五年之間有8億數(shù)據(jù)外泄，造成損失有500多億美元。全國(guó)性分布的行業(yè)網(wǎng)絡(luò)普遍存在結(jié)構(gòu)性安全問(wèn)題。移動(dòng)大家都很清楚我不詳細(xì)講了。

黨政機(jī)關(guān)涉密文件越來(lái)越嚴(yán)峻，地市民政、社保、財(cái)政部門(mén)成新的泄密事件。泄密常有人的因素。例子就是維基解密，這個(gè)網(wǎng)站是隱秘的，不設(shè)立固定的基礎(chǔ)設(shè)施，在全球設(shè)立多臺(tái)服務(wù)器，服務(wù)器放在瑞典，放在比利時(shí)，因?yàn)檫@兩個(gè)國(guó)家都有嚴(yán)密的保護(hù)信息的法律。

我們回顧五年以前，信息安全是元老PARKER曾指出，當(dāng)時(shí)的風(fēng)險(xiǎn)管理辦法本身就有風(fēng)險(xiǎn)。五年前他認(rèn)為要更強(qiáng)調(diào)責(zé)任和激勵(lì)，更強(qiáng)烈合規(guī)性，要更強(qiáng)調(diào)禁止調(diào)查。這張圖就說(shuō)明這個(gè)問(wèn)題，多數(shù)單位只做到這里，而對(duì)于法規(guī)合規(guī)性的問(wèn)題和禁止調(diào)查我們大家做的并不多，盡職調(diào)查跟合規(guī)性他當(dāng)時(shí)做了一個(gè)解釋，盡職調(diào)查是安全感覺(jué)的方法論和結(jié)果，由審計(jì)部門(mén)或涉法事件判定它的有效性。所以能不能這么說(shuō)，明確數(shù)據(jù)保護(hù)的權(quán)和責(zé)是信息安全決策的起點(diǎn)。

保護(hù)數(shù)據(jù)需要治理，管理和信息三者結(jié)合，信息治理是人，技術(shù)，過(guò)程三者的綜合，安全過(guò)程又是存、流、用三者的綜合，存指數(shù)據(jù)的歸屬，全生命周期的檢查，流指數(shù)據(jù)的傳輸，策略實(shí)施，用一面向終端的應(yīng)用規(guī)則和使用狀況。這個(gè)不光是信息的資源是這樣，其它包括能源和物質(zhì)的資源也同樣是這樣，在這三個(gè)層面對(duì)數(shù)據(jù)進(jìn)行監(jiān)控，但是信息資源和能量不同，它可以在過(guò)程當(dāng)中不損耗，你要根據(jù)這個(gè)新的特點(diǎn)研究信息存和流和用的問(wèn)題。

剛才說(shuō)到人了，人是很難做到時(shí)時(shí)、事事合規(guī)、負(fù)責(zé)、難免某時(shí)，某事存僥幸心理，這是人的脆弱性，不能保證一個(gè)大型組織每一個(gè)人都具有高安全意識(shí)。所以這就碰到一個(gè)問(wèn)題，現(xiàn)在我們碰到的攻擊是什么呢？是目的明確、長(zhǎng)期窺視著，有耐心等待著機(jī)會(huì)的攻擊者。APT的攻擊不像傳統(tǒng)的攻擊方式那樣，找單個(gè)技術(shù)漏洞，而經(jīng)常是從社交網(wǎng)絡(luò)開(kāi)始找薄弱點(diǎn)，它的攻擊模式已發(fā)生重大的轉(zhuǎn)變。所以從當(dāng)前的實(shí)踐已經(jīng)表明：只強(qiáng)調(diào)合規(guī)性的牽引，只由事故驅(qū)動(dòng)的被動(dòng)安全理念，已經(jīng)很難應(yīng)對(duì)APT這種新的攻擊模式，要有基于攻與防兩方面實(shí)時(shí)的咨情。它是通過(guò)威脅知識(shí)，業(yè)務(wù)環(huán)境，安全控制，加上溝通，使偶然的數(shù)據(jù)獲得變成例行的數(shù)據(jù)獲得，使零散的數(shù)據(jù)獲得變成系統(tǒng)的數(shù)據(jù)獲得，使自發(fā)的數(shù)據(jù)獲得變成制度性。大數(shù)據(jù)平臺(tái)可對(duì)海量，動(dòng)態(tài)，結(jié)構(gòu)松散，來(lái)源分散的網(wǎng)絡(luò)六六合數(shù)據(jù)信息進(jìn)行智能化監(jiān)測(cè)，發(fā)現(xiàn)，分析和后處理，這樣才能提成整個(gè)信息安全態(tài)勢(shì)，進(jìn)行高速感知的能力。同時(shí)大數(shù)據(jù)系統(tǒng)能夠進(jìn)行干練性的分析，能夠經(jīng)過(guò)情景識(shí)別，最后做到智能的感知，它也能做到宏觀跟微觀相結(jié)合，能做到秒級(jí)的微觀分析，微觀的啟動(dòng)。

剛才我講的是大數(shù)據(jù)可能對(duì)信息安全帶來(lái)的好處，但是同時(shí)我們高度重視高數(shù)據(jù)系統(tǒng)自身的安全，本身的安全，我們還是從整體上和跨多域存流用三種形態(tài)的狀態(tài)下的數(shù)據(jù)保護(hù)。

目前大數(shù)據(jù)發(fā)展太快，目前來(lái)講各個(gè)國(guó)家基本上它的安全還是用常規(guī)的安全做起，加以組合，加以集成。其中一個(gè)比較重要的是端到端的安全模式，這從美軍開(kāi)始，美軍大數(shù)據(jù)早就在十年前就開(kāi)始了。大數(shù)據(jù)系統(tǒng)集成不同廠商的軟件，因?yàn)楣?yīng)鏈安全無(wú)法保證，單個(gè)基于應(yīng)用的虛擬化隔離不能從系統(tǒng)上解決大數(shù)據(jù)系統(tǒng)的安全問(wèn)題。來(lái)自全球的數(shù)據(jù)，通過(guò)API隨時(shí)可以進(jìn)去，采用端到端的安全模式可以把所有數(shù)據(jù)和通信納入端到端的存流用的強(qiáng)制性約束內(nèi)。當(dāng)然了，首先要把數(shù)據(jù)特征搞清楚，數(shù)據(jù)特征的建立，提取標(biāo)記，數(shù)據(jù)指紋等等。其實(shí)端到端實(shí)質(zhì)是把過(guò)去單機(jī)強(qiáng)制訪問(wèn)控制和標(biāo)記等機(jī)制擴(kuò)展到端到端。這張圖是美軍的，是它對(duì)端到端的解釋，如果具體做可以做很多了。

端到端的安全很重要的一塊是端到端的信任，要?jiǎng)?chuàng)造信任環(huán)境，端到端本來(lái)是一個(gè)老該您，不同的協(xié)議層有不同的含義，有分布，異構(gòu)，復(fù)雜的生態(tài)網(wǎng)絡(luò)環(huán)境使邊界安全防護(hù)概念失效。所以美軍GIG環(huán)境與此相類似，所以提出了端到端信任，要求兩端能互操作地認(rèn)證人、機(jī)器、軟件和存儲(chǔ)介質(zhì)，必須確認(rèn)另一端是什么人、什么機(jī)器。

所以端到端的信息流要可核查，可追述，包括事件因果關(guān)系要有一個(gè)可尋求的關(guān)系，同時(shí)還有端到端的密碼保護(hù)，為什么還要保護(hù)，首先你要防止數(shù)據(jù)外泄，但是如果一旦外泄以后你還能保密，端到端是一個(gè)全盤(pán)統(tǒng)一的密碼保護(hù)是相當(dāng)困難的，現(xiàn)在辦法可以由加密的子系統(tǒng)集成，可以在存流用三個(gè)層面采用分段的把秘密保護(hù)辦法。我這里借用微軟講的端到端信任，這張圖比較概括了，在大數(shù)據(jù)環(huán)境下端到端的信任究竟應(yīng)該包含哪些內(nèi)容，由于時(shí)間的關(guān)系我就不講了。

網(wǎng)上沒(méi)有，但是大家都會(huì)知道的。

而且端到端必須是動(dòng)態(tài)的，要求兩端全面的安全狀態(tài)，實(shí)時(shí)交互，你手機(jī)丟了，可能已經(jīng)是上了黑名單，你就得查到打的電話已經(jīng)不是他了。端到端的安全通道也可以動(dòng)態(tài)地，臨時(shí)性地建立和拆除。這種端到端的安全必須解決復(fù)雜的身份管理問(wèn)題。這種身份管理和認(rèn)證是基于過(guò)程與歷史的身份管理，就是Provenance，這個(gè)詞的意思就是與人有關(guān)，而不是數(shù)據(jù)，從你出生開(kāi)始，你的醫(yī)療記錄，你銀行，法庭，公安，你犯過(guò)案沒(méi)有，你有什么問(wèn)題，包括DNA在內(nèi)。

微軟講的里面特別強(qiáng)調(diào)可信賴和斷言，我們國(guó)內(nèi)人總?cè)菀缀鲆曔@個(gè)問(wèn)題，最近我跟幾個(gè)他們座談也是這樣，就是要可信，必須把可信賴跟斷言放在一起，就是把可信賴建立的數(shù)據(jù)統(tǒng)一的驗(yàn)證斷言的基礎(chǔ)上，這樣才能確保認(rèn)證還要分別地查清源頭，是否被改等等。對(duì)數(shù)據(jù)，源設(shè)備，過(guò)程全程全面做出驗(yàn)證斷言。Meta Data和斷言，和聲明。

真正總體上解決安全問(wèn)題，還需要從根本入手，這就是安全的本體論。本體和我剛才講的邏輯起點(diǎn)它們都是研究對(duì)象中最基本的本質(zhì)規(guī)定，本體研究對(duì)象是最直接的單元地安全的本體論的基礎(chǔ)是規(guī)定安全的全部基本內(nèi)容和根本屬性。所以創(chuàng)建本體對(duì)基本特點(diǎn)及其關(guān)系進(jìn)行規(guī)范和定義，可以理解為對(duì)每一個(gè)實(shí)體進(jìn)行概念化，標(biāo)準(zhǔn)化的定義過(guò)程。

如果說(shuō)安全本體論的模型確實(shí)很需要，目前安全事件很分散，標(biāo)準(zhǔn)也不統(tǒng)一，很難共享和重用安全知識(shí)。本體是面向特定領(lǐng)域公認(rèn)的概念，是規(guī)范的，明確的，形式化的，共享的，公認(rèn)的，通過(guò)5個(gè)建模元語(yǔ)來(lái)描述。這個(gè)問(wèn)題提出很多年了，國(guó)內(nèi)有很多人在做，但是效果不是很好，主要是因?yàn)槲覀兊臄?shù)據(jù)資源不夠，大數(shù)據(jù)可能為解決以上問(wèn)題提供了新的條件和平臺(tái)。在本體意義上很多標(biāo)準(zhǔn)上我們可以做一些重新的詮釋和解釋，這是國(guó)外27002國(guó)外人做的。

今天因?yàn)闆](méi)有時(shí)間了，我就不講了，謝謝大家。

主持（沈琪）：再次謝謝何德全先生為大家所帶來(lái)的精彩講解。下面的時(shí)間讓我們一起有請(qǐng)出上海市經(jīng)濟(jì)和信息化委員會(huì)副主任、上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任陳躍華先生為我們演講，讓我們掌聲有請(qǐng)。

上海市經(jīng)濟(jì)和信息化委員會(huì)副主任、上海市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任陳躍華先生

陳躍華：尊敬的何院士，尊敬的歐陽(yáng)司長(zhǎng)，尊敬的各位領(lǐng)導(dǎo)，各位專家，很高興參加第二屆上海市信息安全活動(dòng)周儀式，本次活動(dòng)周以“關(guān)注信息數(shù)據(jù)安全，共創(chuàng)網(wǎng)絡(luò)信任環(huán)境”為主題，對(duì)加強(qiáng)信息資源和個(gè)人信息保護(hù)，建立安全誠(chéng)信的網(wǎng)絡(luò)環(huán)境有重要的意義，隨著信息化發(fā)展的持續(xù)深入，網(wǎng)絡(luò)和信息系統(tǒng)結(jié)構(gòu)，即支撐的應(yīng)用，也日趨復(fù)雜。信息安全保障的技術(shù)和管理的難度也不斷的加大，信息安全外包正成為重要信息系統(tǒng)域名管理單位的重要選擇。但從近期我們本市根據(jù)國(guó)家的要求，開(kāi)展的重點(diǎn)單位網(wǎng)絡(luò)信息安全系統(tǒng)檢查的情況來(lái)看，信息安全外包實(shí)施過(guò)程當(dāng)中還存在著相當(dāng)多的問(wèn)題和隱患，下面我就如何規(guī)范和管理信息安全的服務(wù)外包談一些認(rèn)識(shí)和一些思考。

一、系安全服務(wù)外包的產(chǎn)生。談到信息安全服務(wù)外包首先談一談服務(wù)外包這一件事情，服務(wù)外包大家都知道是指將企業(yè)價(jià)值鏈當(dāng)中原本由自身提供的具有基礎(chǔ)性的共性的，非核心的IT業(yè)務(wù)，或者IT業(yè)務(wù)流程剝離后外包給企業(yè)專業(yè)的部門(mén)來(lái)提供服務(wù)的一種經(jīng)濟(jì)活動(dòng)，它主要包括信息技術(shù)的服務(wù)外包，就是我們說(shuō)的IPO，技術(shù)性業(yè)務(wù)的流程外包，就是我們說(shuō)的BPO，以及技術(shù)知識(shí)的流程外包，就是KPO，通過(guò)對(duì)相關(guān)業(yè)務(wù)進(jìn)行外包，企業(yè)對(duì)內(nèi)部的價(jià)值鏈進(jìn)行了重組，優(yōu)化了資源配置，降低了成本，并增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力。為了扶持這樣一個(gè)服務(wù)外包產(chǎn)業(yè)的發(fā)展，2009年國(guó)家多部委下發(fā)了關(guān)于鼓勵(lì)政府和企業(yè)發(fā)展服務(wù)外包促進(jìn)我國(guó)服務(wù)外包產(chǎn)業(yè)的指導(dǎo)意見(jiàn)，我們上海也發(fā)布了上海服務(wù)外包發(fā)展的規(guī)劃，積極引導(dǎo)和促進(jìn)政府企業(yè)加大服務(wù)外包的力度，讓服務(wù)外包企業(yè)有更多的機(jī)會(huì)參與國(guó)內(nèi)的外包，同時(shí)也鼓勵(lì)外包的企業(yè)走出國(guó)門(mén)，積極參與國(guó)際的競(jìng)爭(zhēng)。在相關(guān)政策的扶持下，近年來(lái)，我國(guó)及本事的服務(wù)外包產(chǎn)業(yè)取得了長(zhǎng)足的進(jìn)步。信息化正成為企業(yè)運(yùn)營(yíng)和發(fā)展的重要支撐，信息安全保障不斷的被各級(jí)政府，各個(gè)部門(mén)所重視，信息安全的服務(wù)外包正成為服務(wù)外包業(yè)里的一個(gè)獨(dú)特領(lǐng)域。隨著信息安全實(shí)踐的不斷深入，業(yè)界認(rèn)識(shí)到信息安全保障不簡(jiǎn)單的是購(gòu)買設(shè)備，或者安全軟件就可以實(shí)現(xiàn)了，信息安全保障是一種對(duì)實(shí)施者技術(shù)和技能水平要求很高的一個(gè)活動(dòng)，要求把技術(shù)和管理進(jìn)行有機(jī)的結(jié)合起來(lái)，大多數(shù)企業(yè)，或者機(jī)構(gòu)，沒(méi)有能力有效的組織和實(shí)施這種活動(dòng)，為此信息安全服務(wù)外包它應(yīng)遇而生。提供專業(yè)的技術(shù)優(yōu)勢(shì)，提供及時(shí)可靠的信息保證，并具有一定的價(jià)格優(yōu)勢(shì)，可以為客戶提供信息安全管理服務(wù)，有效的減少信息安全事件的發(fā)生，服務(wù)提供商也可以根據(jù)客戶的需求，提供完整的信息安全解決方案，定制信息安全的服務(wù)，比如說(shuō)信息安全的審核評(píng)估服務(wù)，信息安全的咨詢服務(wù)，信息安全的培訓(xùn)服務(wù)，病毒公害的清除服務(wù)等等。所以說(shuō)安全專業(yè)化承包是做專業(yè)化的事情，很好。

二、信息安全服務(wù)外包的基本要求。通過(guò)前一段時(shí)間我們研究，我們認(rèn)為在服務(wù)外包當(dāng)中有這么三個(gè)基本要求可能要形成共識(shí)，一，信息安全服務(wù)外包責(zé)任不能外包，信息安全外包應(yīng)該包含管理和服務(wù)兩個(gè)層面。作用用戶單位必須履行好監(jiān)管的職責(zé)，只有用戶單位明確業(yè)務(wù)的需求，采取有效的監(jiān)管手段，服務(wù)提供商才能夠提供更加有效可靠的服務(wù)，因此信息安全外包的用戶單位實(shí)施有效的管理和服務(wù)提供商提供專業(yè)化的服務(wù)這缺一不可。第二信息安全外包服務(wù)應(yīng)當(dāng)是規(guī)范化和透明化。因?yàn)椴煌脩粜枨蟮亩鄻有裕畔踩c信息安全產(chǎn)品相比，信息安全服務(wù)外包的形態(tài)也呈現(xiàn)出多樣性，成熟的系安全服務(wù)提供商應(yīng)該能夠提供標(biāo)準(zhǔn)化的，個(gè)性化的服務(wù)，這些規(guī)范透明化是非常重要的，一些基礎(chǔ)性的信息安全維護(hù)工作容易做到標(biāo)準(zhǔn)化，透明化，對(duì)一些個(gè)性化的服務(wù)，更加要注意到規(guī)范化，對(duì)確定外包的部分，用戶單位和服務(wù)提供商之間應(yīng)該定義好清晰的界面，做到透明化和無(wú)縫銜接，用戶單位要在服務(wù)提供商的引導(dǎo)和支持下提出明確的要求，服務(wù)商應(yīng)該將先進(jìn)成熟的理念及時(shí)傳遞給用戶，雙方應(yīng)該是互動(dòng)。

三、因?yàn)榘踩?wù)外包應(yīng)該以需求為核心，以實(shí)際效果為目標(biāo)。信息安全服務(wù)外包服務(wù)的高低，效果的好壞，是以用戶的要求為前提的，有了清晰的需求才能有針對(duì)性的進(jìn)行安全保障服務(wù)，信息系統(tǒng)安全運(yùn)營(yíng)的效果即是否有效的避免重大信息系統(tǒng)安全事件的出現(xiàn)，是否發(fā)生事件后能夠及時(shí)的發(fā)現(xiàn)，是否實(shí)施恰當(dāng)?shù)奶幹?，并將損失降低到最低程度等等，這都是衡量信息安全服務(wù)外包價(jià)值的唯一標(biāo)準(zhǔn)。只有供需雙方充分交流，相互協(xié)作，明確需求，不斷改進(jìn)，才能夠達(dá)到雙贏。

第二方面要交流的，信息安全服務(wù)外包的風(fēng)險(xiǎn)分析。

經(jīng)過(guò)本市重點(diǎn)信息安全檢查分析，我們?cè)诒粰z查的單位中發(fā)現(xiàn)，80%的服務(wù)提供商為民營(yíng)的單位，服務(wù)方式除了現(xiàn)場(chǎng)服務(wù)以外，還存在遠(yuǎn)程支撐服務(wù)，信息安全服務(wù)外包內(nèi)容比較廣泛，包括系統(tǒng)的運(yùn)營(yíng)，安全的加固，風(fēng)險(xiǎn)評(píng)估，設(shè)備巡檢，應(yīng)急支撐，數(shù)據(jù)存儲(chǔ)，安全設(shè)計(jì)，災(zāi)難備份等等。通過(guò)對(duì)此次檢查中發(fā)現(xiàn)問(wèn)題的梳理，信息安全服務(wù)外包領(lǐng)域我們覺(jué)得應(yīng)當(dāng)關(guān)注以下五個(gè)方面的風(fēng)險(xiǎn)：

一，信息缺失的風(fēng)險(xiǎn)，用戶能否與信息安全服務(wù)商建立良好的工作和信任關(guān)系，是決定是否采取信息安全服務(wù)外包的一個(gè)重要的前提，因?yàn)橥獍炭梢匀娴牧私庥脩艉拖到y(tǒng)的安全狀況，甚至接觸到用戶的敏感數(shù)據(jù)，如果重要的信息被泄露，這會(huì)給用戶單位造成嚴(yán)重的損失，如果用戶無(wú)法信任外包商，對(duì)外包商開(kāi)放一些關(guān)鍵信息，這會(huì)造成外包商在運(yùn)作的過(guò)程中相關(guān)環(huán)節(jié)的失效，影響整個(gè)信息安全服務(wù)外包的質(zhì)量，因此信任是雙方合作的基礎(chǔ)，也是進(jìn)行風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

第二，過(guò)渡依賴的風(fēng)險(xiǎn)。由于服務(wù)提供商的專業(yè)性，用戶很容易對(duì)信息安全提供商產(chǎn)生依賴，風(fēng)險(xiǎn)的大小受商業(yè)的變化，商業(yè)的合作伙伴和其它IT產(chǎn)品，或服務(wù)供應(yīng)商企業(yè)的影響，比如說(shuō)在檢查過(guò)程當(dāng)中我們發(fā)現(xiàn)，在相關(guān)單位外包人員進(jìn)出機(jī)房等重要的區(qū)域沒(méi)有人陪同，外包人員攜帶設(shè)備進(jìn)入機(jī)房沒(méi)有人陪同，主要原因是信息安全服務(wù)的專業(yè)性，成本和管理的難度，用戶單位難以將安全服務(wù)的內(nèi)容進(jìn)行細(xì)化再仔化，并外包給適合的服務(wù)提供商。第三個(gè)風(fēng)險(xiǎn)，共享環(huán)境的風(fēng)險(xiǎn)。在檢查過(guò)程中我們發(fā)現(xiàn)，相關(guān)單位在信息安全外包實(shí)施過(guò)程中，在操作環(huán)境中向多個(gè)用戶同時(shí)提供服務(wù)的情況，這種方式要比在單個(gè)內(nèi)部機(jī)構(gòu)提供服務(wù)存在更多的風(fēng)險(xiǎn)，因?yàn)楣蚕淼牟僮鳝h(huán)境存在著多用戶之間的數(shù)據(jù)共享，傳輸和處理的風(fēng)險(xiǎn)，這將會(huì)增加一個(gè)用戶訪問(wèn)另外一個(gè)用戶敏感信息的可能性，作為用戶來(lái)說(shuō)是必須關(guān)注的風(fēng)險(xiǎn)。第四實(shí)施過(guò)程的風(fēng)險(xiǎn)，信息安全外包關(guān)系不僅涉及到用戶和服務(wù)提供商，甚至關(guān)系到另一個(gè)服務(wù)提供商，這必須涉及到人員，過(guò)程，軟件，這一復(fù)雜的過(guò)程可能引起新的風(fēng)險(xiǎn)，因此用戶應(yīng)該要求服務(wù)提供商對(duì)信息安全服務(wù)實(shí)施計(jì)劃進(jìn)行詳盡的說(shuō)明，標(biāo)注完成的日期和所用的時(shí)間，并對(duì)全過(guò)程進(jìn)行監(jiān)控和管理，最大限度的化解相關(guān)的風(fēng)險(xiǎn)。第五合作伙伴失敗的風(fēng)險(xiǎn)。如果用戶和服務(wù)提供商的合作感到失敗，用戶將面臨極大的風(fēng)險(xiǎn)，給用戶造成的經(jīng)濟(jì)損失和時(shí)間上的損失，合作伙伴失敗的原因可能涉及服務(wù)能力，評(píng)估不夠，服務(wù)計(jì)劃制定不夠完善，合作雙方溝通不夠充分等等，此外，還可能由于服務(wù)提供商經(jīng)營(yíng)不善，無(wú)法為用戶持續(xù)提供服務(wù)，也會(huì)使用戶陷入被動(dòng)。

上面我們是分析了服務(wù)提供商外包當(dāng)中的五大風(fēng)險(xiǎn)，怎么辦？

第三加強(qiáng)信息安全服務(wù)外包的管理思考。

基于對(duì)信息安全服務(wù)外包的基本認(rèn)識(shí)和隱患的分析，下一階段我們通過(guò)分析認(rèn)為應(yīng)該加強(qiáng)三方面的工作。

一，探索建立信息安全服務(wù)外包的相關(guān)管理制度，要建立制度，在建立制度當(dāng)中我自己認(rèn)為還是要加強(qiáng)三方面的工作。一，探索加強(qiáng)對(duì)服務(wù)外包的管理，只有通過(guò)法律法規(guī)這一塊來(lái)進(jìn)行管理，明確信息安全服務(wù)外包涉及用戶單位，用戶服務(wù)提供商和信息安全主管部門(mén)的責(zé)任和義務(wù)。我們想初步考慮，是不是在上海信息化條例當(dāng)中再進(jìn)一步明確對(duì)公共系統(tǒng)的集成，IT的運(yùn)維，從法律法規(guī)上進(jìn)行規(guī)定，建立與信息安全，服務(wù)企業(yè)知識(shí)認(rèn)定，準(zhǔn)入退出，資金保障等相關(guān)的制度。把這一塊制度建立起來(lái)。第二塊要探索建立軟件和信息安全服務(wù)外包的信息安全審查和風(fēng)險(xiǎn)的提示制度。特別是對(duì)為政府提供信息安全數(shù)據(jù)和云平臺(tái)出臺(tái)更加嚴(yán)格的敏感數(shù)據(jù)和個(gè)人信息的保護(hù)規(guī)定。第三個(gè)要探索建立信息安全服務(wù)外包的標(biāo)準(zhǔn)，這一塊日本有一個(gè)外包服務(wù)行業(yè)，外包服務(wù)行業(yè)的標(biāo)準(zhǔn)也都有，我們上海如果在這方面能夠盡快制定標(biāo)準(zhǔn)，在整個(gè)行業(yè)里頭全面推行，以便我們上海服務(wù)外包的企業(yè)和國(guó)際上進(jìn)行接軌。

第二方面的思考完善產(chǎn)業(yè)環(huán)境，建立安全服務(wù)行業(yè)的機(jī)制。同時(shí)要充分依托協(xié)會(huì)，完善信息服務(wù)的規(guī)范和公約，并建立服務(wù)企業(yè)黑明名單機(jī)制，信息安全服務(wù)提供商也應(yīng)該提升自身的素質(zhì)，加強(qiáng)對(duì)員工的管理，嚴(yán)格執(zhí)行相關(guān)規(guī)范標(biāo)準(zhǔn)和流程，提高信息安全服務(wù)水平和特色，以及我們行業(yè)的公信力。

三，加強(qiáng)信息安全的教育培訓(xùn)，增強(qiáng)信息安全的意識(shí)，用戶單位對(duì)其基礎(chǔ)設(shè)施的安全操作和知識(shí)產(chǎn)權(quán)的保護(hù)擁有第一責(zé)任，因此必須對(duì)用戶單位進(jìn)行相應(yīng)的培訓(xùn)，包括用戶單位員工，管理層，各級(jí)別的人員意識(shí)到服務(wù)外包責(zé)任外包，提升本單位信息安全服務(wù)外包相適應(yīng)的信息安全的意識(shí)和管理技能。

各位領(lǐng)導(dǎo)，各位專家，關(guān)注數(shù)據(jù)安全，推進(jìn)信息安全服務(wù)外包是信息安全保障一個(gè)問(wèn)題的兩個(gè)方面，在技術(shù)上，在管理上都有很大的探索空間，讓我們?nèi)翰呷毫Γ_(kāi)拓創(chuàng)新，為上海的信息安全保障做出我們新的更大的貢獻(xiàn)，謝謝大家。

主持（沈琪）：再次感謝，下面讓我們一起來(lái)有請(qǐng)全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家趙戰(zhàn)生先生上臺(tái)，對(duì)《國(guó)際信息安全標(biāo)準(zhǔn)發(fā)展情況》做出講解，掌聲歡迎。

全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家趙戰(zhàn)生先生

趙戰(zhàn)生：各位領(lǐng)導(dǎo)，各位同志，早上好。

會(huì)議的組織者給我一個(gè)任務(wù)，讓我用半小時(shí)的時(shí)間跟大家介紹一下有關(guān)信息安全的國(guó)際標(biāo)準(zhǔn)化組織的標(biāo)準(zhǔn)發(fā)展的動(dòng)態(tài)情況。我想從這么幾個(gè)方面來(lái)談一下情況。

首先就是信息安全標(biāo)準(zhǔn)到底有什么重要意義有什么重要性，然后主要圍繞國(guó)際標(biāo)準(zhǔn)化組織，它的組織結(jié)構(gòu)是什么樣子，它們制定的標(biāo)準(zhǔn)情況，主要是針對(duì)它已頒布標(biāo)準(zhǔn)中間幾個(gè)重要的標(biāo)準(zhǔn)，咱們通常講的CC，還有一個(gè)龐大的標(biāo)準(zhǔn)化系列家族，兩萬(wàn)多的家族向大家做一個(gè)介紹。

曲維枝同志指出：沒(méi)有信息安全的信息化是危險(xiǎn)的信息化，沒(méi)有完善的信息安全標(biāo)準(zhǔn)，信息化建設(shè)中的產(chǎn)品、系統(tǒng)、工程就不能實(shí)現(xiàn)安全的互聯(lián)、互通、互操作，就不能夠形成我國(guó)自主的信息安全產(chǎn)業(yè)，就不能構(gòu)造出一個(gè)自主可控的信息安全保障體系，就難以保證國(guó)家信息安全的國(guó)家利益。話雖不上，但是把信息安全標(biāo)準(zhǔn)的重要性非常深刻的點(diǎn)出來(lái)了。

作為國(guó)際標(biāo)準(zhǔn)化組織，成立的比較早，二戰(zhàn)以后，1947年就成立起來(lái)了，它的宗旨是為了在世界上促進(jìn)標(biāo)準(zhǔn)化和相關(guān)的活動(dòng)，主要是產(chǎn)品，商品，服務(wù)的國(guó)際交換，因此需要在相應(yīng)的智力，科學(xué)和經(jīng)濟(jì)領(lǐng)域當(dāng)中開(kāi)展廣泛的合作，這樣一個(gè)國(guó)際標(biāo)準(zhǔn)化的組織負(fù)責(zé)絕非僅僅是信息安全標(biāo)準(zhǔn)，相當(dāng)相當(dāng)多的標(biāo)準(zhǔn)，成員也非常之多，現(xiàn)在有160多個(gè)成員單位，作為我們國(guó)家是1978年就加入了這樣一個(gè)組織，到08年10月份就成立了這個(gè)組織的常任理事國(guó)，ISO因?yàn)榘撕芏鄻?biāo)準(zhǔn)，因?yàn)樗镱^的技術(shù)委員會(huì)，分技術(shù)委員會(huì)，工作組特別的多，技術(shù)委員會(huì)180幾個(gè)之多，分技術(shù)委員會(huì)600多個(gè)，工作組更是多達(dá)2000多個(gè)，作為國(guó)際標(biāo)準(zhǔn)化組織，在信息技術(shù)這方面的相應(yīng)標(biāo)準(zhǔn)和國(guó)際電工委員會(huì)還是有非常密切的合作，而且和國(guó)際上，和區(qū)域上的組織機(jī)構(gòu)保持密切的聯(lián)系，它因?yàn)槭且粋€(gè)標(biāo)準(zhǔn)，是一個(gè)國(guó)際性的，同時(shí)又是共識(shí)性的，在這種情況下，除了和國(guó)際電信聯(lián)盟還有密切的聯(lián)系，同時(shí)和ISO，IEC系統(tǒng)之外的國(guó)際標(biāo)準(zhǔn)組織保持密切的聯(lián)系，他們都派有聯(lián)絡(luò)員，互相溝通標(biāo)準(zhǔn)制定的情況。

就跟信息安全相關(guān)的，它其中的一個(gè)技術(shù)委員會(huì)，TC68，這里面有一個(gè)分技術(shù)委員會(huì)，就是SC2，它主要負(fù)責(zé)銀行方面相應(yīng)的安全標(biāo)準(zhǔn)的制定，包括個(gè)人識(shí)別號(hào)，密碼的管理，保密的一些設(shè)備，證書(shū)管理等，現(xiàn)在出臺(tái)有17個(gè)平臺(tái)。我們經(jīng)常在標(biāo)準(zhǔn)中間看到ISO/IEC，又加上個(gè)JTC1，這個(gè)JTC1是怎么回事呢？它叫信息技術(shù)聯(lián)合的委員會(huì)，20世紀(jì)80年代信息技術(shù)高速發(fā)展，突破了原來(lái)這種傳統(tǒng)行業(yè)的界限，滲透到國(guó)民經(jīng)濟(jì)各個(gè)領(lǐng)域，因此ISO，IEC要感覺(jué)到把握這樣一個(gè)重大的技術(shù)發(fā)展方向，要成立聯(lián)合委員會(huì)來(lái)應(yīng)對(duì)這種挑戰(zhàn)，因此在87年的時(shí)候就5SO97，87和47B等等合在一起搞了一個(gè)JTC1，簡(jiǎn)稱聯(lián)合委員會(huì)。

這個(gè)是國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委員會(huì)組建起來(lái)的第一個(gè)聯(lián)合技術(shù)委員會(huì)，它們有所分工，IEC做電工方面的，電工是強(qiáng)電的，我們信息安全是一個(gè)弱電，是信息了，因此作為JTC1主要在這方面開(kāi)展工作，它的成員國(guó)也比較多，現(xiàn)在有27個(gè)，還有觀察員，相應(yīng)的很多，我們國(guó)家已經(jīng)作為標(biāo)準(zhǔn)化管理，正式作為一個(gè)成員國(guó)參加到這個(gè)里面，大家看這個(gè)表，包括發(fā)達(dá)國(guó)家都參加了其中。它的管理機(jī)構(gòu)大致是這個(gè)樣子，底下分委員會(huì)有很多，有18個(gè)，要導(dǎo)到我們信息安全，18個(gè)多數(shù)做信息的互聯(lián)互通，互操作這方面的，到了SC27，IT安全技術(shù)是作為信息安全的，它的秘書(shū)處設(shè)在德國(guó)了。

JTC1是遵循使命和原則工作的，首先它要為IT系統(tǒng)和工具的設(shè)計(jì)和開(kāi)發(fā)做服務(wù)，要保證產(chǎn)品和系統(tǒng)的性能和質(zhì)量，同時(shí)要保證它的信息安全，在應(yīng)用程序的可移植物性，產(chǎn)品和系統(tǒng)的互操作性，統(tǒng)一工具和環(huán)境，協(xié)調(diào)詞匯，同時(shí)建立和用戶友好，符合人體工程學(xué)設(shè)計(jì)用戶界面，做一系列的事情。因此它在它的使命范圍里頭，要為全球的需求要識(shí)別一個(gè)優(yōu)質(zhì)的產(chǎn)品和服務(wù)，要用它的標(biāo)準(zhǔn)和促進(jìn)這種產(chǎn)品和服務(wù)，要滿足一種多元化的文化背景，來(lái)促進(jìn)國(guó)際貿(mào)易。要提供標(biāo)準(zhǔn)的辦法，讓大家選用這樣一些有貢獻(xiàn)的標(biāo)準(zhǔn)，同時(shí)要?jiǎng)?chuàng)造一個(gè)好的環(huán)境，吸引有關(guān)的技術(shù)專家來(lái)參加標(biāo)準(zhǔn)的開(kāi)展，吸引用戶來(lái)確定這個(gè)標(biāo)準(zhǔn)化一些實(shí)際需求。

作為它的標(biāo)準(zhǔn)來(lái)講，當(dāng)然有很多了，它的有關(guān)國(guó)際標(biāo)準(zhǔn)，有快速國(guó)家，還有技術(shù)報(bào)告等等，就標(biāo)準(zhǔn)委員來(lái)講它分成五個(gè)階段。零階段是一個(gè)準(zhǔn)備，大家醞釀，階段一叫NP，這處于一個(gè)新的提案。階段二就是準(zhǔn)備階段，就是進(jìn)入工作組的草案階段，到了階段三已經(jīng)到了委員會(huì)的草案，或者委員會(huì)最后的草案階段，階段四來(lái)講已經(jīng)到了最后標(biāo)準(zhǔn)的草案，直到標(biāo)準(zhǔn)IS才是標(biāo)準(zhǔn)的出籠，因此我們看到有一些標(biāo)準(zhǔn)中間后綴說(shuō)法表示一個(gè)標(biāo)準(zhǔn)它處在一個(gè)什么相應(yīng)的階段。

作為JTC1 SC27它也是不斷的發(fā)展過(guò)程，06年我們?nèi)⒓訃?guó)際標(biāo)準(zhǔn)化組織會(huì)議的時(shí)候，當(dāng)時(shí)正好一個(gè)變化，從三個(gè)組擴(kuò)展到五個(gè)組，現(xiàn)在國(guó)際標(biāo)準(zhǔn)化組織制定信息安全SC27有5個(gè)工作組，WG1是負(fù)責(zé)信息安全管理體系，WG2是負(fù)責(zé)密碼學(xué)與安全機(jī)制，G3是安全評(píng)價(jià)準(zhǔn)則工作組，G4是安全控制與服務(wù)，G5是深翻管理與隱私保護(hù)技術(shù)的工作組。這個(gè)水平線你是針對(duì)一個(gè)產(chǎn)品，還是針對(duì)一個(gè)系統(tǒng)，還是針對(duì)一個(gè)過(guò)程，還是針對(duì)一個(gè)環(huán)境，這兩維的面積一鋪開(kāi)之后大家就可以看到，第二個(gè)工作組是在密碼的安全機(jī)制，因此它更側(cè)重是技術(shù)和一個(gè)產(chǎn)品這樣一個(gè)范圍里做相應(yīng)的標(biāo)準(zhǔn)，G3它是一個(gè)相應(yīng)的測(cè)評(píng)了，因此它偏在評(píng)估范圍做標(biāo)準(zhǔn)。G4是控制和服務(wù)，它是和產(chǎn)品，系統(tǒng)，過(guò)程和指南相關(guān)的，因?yàn)楝F(xiàn)在來(lái)講，有很多產(chǎn)品出籠了，這些產(chǎn)品要把它用好，某種意義上也是一個(gè)管理性的問(wèn)題，因此來(lái)講，通過(guò)控制和服務(wù)怎么能夠把相應(yīng)的產(chǎn)品用好，這是第四個(gè)工作組開(kāi)發(fā)一系列的標(biāo)準(zhǔn)來(lái)配合做的。包含面積最大的一個(gè)，就是G5，它是一個(gè)身份識(shí)別和隱私技術(shù)，它既從技術(shù)到評(píng)價(jià)，又從產(chǎn)品到環(huán)境，雖然它包含了這么多，但是這個(gè)工作組目前的工作還沒(méi)有真正深刻的把這樣一個(gè)大的面積都包含了，但是從理念上講，一個(gè)根本的問(wèn)題，就是什么人可以享用什么樣的信息和服務(wù)。同時(shí)還不能夠失去隱私，不能失去保密的問(wèn)題，理念上它包含的面積是最大，當(dāng)然看今后的工作怎么進(jìn)一步鋪開(kāi)。

SC27有29個(gè)成員國(guó)和17觀察員，目的已經(jīng)頒布了114個(gè)標(biāo)準(zhǔn)，這幾個(gè)工作組，第一工作組主要任務(wù)就是開(kāi)發(fā)信息安全管理體系，簡(jiǎn)稱ISMS，除了這個(gè)它還要了解識(shí)別未來(lái)的標(biāo)準(zhǔn)和指南的需求是什么，它還要給大家提供一個(gè)路線圖，說(shuō)我的標(biāo)準(zhǔn)制定是循什么樣的途徑來(lái)做的，而且還要跟其它工作組的協(xié)調(diào)，特別是第四工作的協(xié)調(diào)，第四工作組未來(lái)的標(biāo)準(zhǔn)構(gòu)建在編號(hào)27000的環(huán)境下。第二個(gè)工作組它是提供技術(shù)和機(jī)制標(biāo)準(zhǔn)化的，它主要做的是保密的問(wèn)題，實(shí)體鑒別的問(wèn)題，不可抵賴的問(wèn)題，密碼管理的問(wèn)題，數(shù)據(jù)安全的問(wèn)題，等等有關(guān)密碼技術(shù)和密碼機(jī)制的問(wèn)題。第三工作組系統(tǒng)組件，IT系統(tǒng)，和產(chǎn)品相關(guān)的IT安全評(píng)價(jià)和認(rèn)證標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)涉及計(jì)算機(jī)網(wǎng)絡(luò)，分布式系統(tǒng)。第四個(gè)工作組因?yàn)樗男鲁闪⒌?，過(guò)去在標(biāo)準(zhǔn)中間所有過(guò)的，包括網(wǎng)絡(luò)安全，包括信息安全的事件管理，第四個(gè)工作組把它接管下來(lái)了，在它的工作范圍里逐漸把老的編號(hào)要組織到新的27000的系列中間，因此它現(xiàn)在在相應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性問(wèn)題，外包，網(wǎng)際安全，等等一系列在制定標(biāo)準(zhǔn)，同時(shí)圍繞自己的路線圖。這個(gè)不細(xì)說(shuō)了。第五個(gè)工作組它現(xiàn)在是身份管理的框架，生物特征，身份保護(hù)，它的課題基于角色的身份認(rèn)證，包括配置管理，包括標(biāo)識(shí)符號(hào)，包括單點(diǎn)登陸，包括隱私領(lǐng)域的課題，隱私框架，隱私參考結(jié)構(gòu)，甚至包含隱私工程等等，我們是以個(gè)人的信息安全的問(wèn)題來(lái)探討這個(gè)問(wèn)題，但是國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)在隱私方面有這樣一個(gè)工作組在進(jìn)行一系列的課題和標(biāo)準(zhǔn)的制定了。在生物特征方面來(lái)講，除了SC27，還有其它的技術(shù)委員會(huì)在做，就是SC37這樣一個(gè)工作組在做相應(yīng)的標(biāo)準(zhǔn)。

下面再花一點(diǎn)時(shí)間來(lái)說(shuō)一下幾個(gè)重要的標(biāo)準(zhǔn)，或者標(biāo)準(zhǔn)系列，一個(gè)就是所謂CC標(biāo)準(zhǔn)，大家知道作為產(chǎn)品，它到底安全不安全，需要有一個(gè)測(cè)試的，測(cè)試是需要遵循一系列的準(zhǔn)則的，最早的時(shí)候美國(guó)人有一個(gè)所謂可信計(jì)算機(jī)安全評(píng)價(jià)準(zhǔn)則，后來(lái)發(fā)展成彩虹系列，指導(dǎo)著美國(guó)，也是影響著其它的國(guó)家，后來(lái)發(fā)展多個(gè)國(guó)家在研究自己的東西，大家覺(jué)得這樣缺乏國(guó)家互認(rèn)，因此搞了一個(gè)叫做信息技術(shù)安全評(píng)價(jià)準(zhǔn)則的通用準(zhǔn)則，簡(jiǎn)稱CC。這個(gè)CC來(lái)講，最后就成為一個(gè)國(guó)際標(biāo)準(zhǔn)化組織所制定的15408，也成為我們國(guó)家參考性標(biāo)準(zhǔn)18336的標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)分成三個(gè)大部分，第一個(gè)部分是講道理的，做了一些概念性的介紹和相應(yīng)模型的介紹。第二大部分講安全功能的需求，第三部分是安全認(rèn)證的需求，構(gòu)造了一個(gè)對(duì)信息安全產(chǎn)品描述性的語(yǔ)言和測(cè)評(píng)的方法論，它主要的要素是把相應(yīng)的信息安全產(chǎn)品分成一個(gè)所謂類組和部件這么三個(gè)級(jí)別，然后作為一個(gè)通用的信息安全的需求，它開(kāi)發(fā)一個(gè)叫PP的，就是保護(hù)輪廓的文件，這表明在某一類上頭人們對(duì)于信息安全的需求有共性的東西。對(duì)于那些一個(gè)廠商根據(jù)自己的能力開(kāi)發(fā)出來(lái)的相應(yīng)的產(chǎn)品，叫做ST，作為一個(gè)測(cè)評(píng)機(jī)構(gòu)要去完成測(cè)評(píng)叫TOE，也就是說(shuō)要參考共性PP的需求，你要拿著廠商開(kāi)發(fā)出來(lái)的SP，根據(jù)CC標(biāo)準(zhǔn)所規(guī)定出來(lái)的測(cè)評(píng)的原則，你去看，一個(gè)產(chǎn)品它包含了哪些，用這樣一個(gè)架構(gòu)來(lái)架構(gòu)起來(lái)，作為安全功能，不同的版本安全功能有多有少，大體你有沒(méi)有相應(yīng)的審計(jì)，有沒(méi)有通訊，密碼支持怎么樣，用戶數(shù)據(jù)的保護(hù)，標(biāo)識(shí)和鑒別，安全管理，隱私，等等一系列的問(wèn)題上你產(chǎn)品中間是否提供了相應(yīng)的功能。比如在審計(jì)這樣一個(gè)東西上，你選擇什么樣的FAU，你安全審計(jì)的自動(dòng)響應(yīng)，安全審計(jì)數(shù)據(jù)產(chǎn)生，審計(jì)分析，審計(jì)評(píng)論和事件宣傳，和審計(jì)事件存儲(chǔ)等等，在審計(jì)這樣一個(gè)類上我選擇了這樣一些，部件上看你選擇什么樣的部件以至于支持這樣審計(jì)的產(chǎn)品達(dá)到一個(gè)什么樣的功能。保證類中間有配置的管理，遞送和操作，開(kāi)發(fā)，指南的文本，生命周期的支持，測(cè)試性的評(píng)估和PP的評(píng)價(jià)，這是一個(gè)基本的思想，只要在我生產(chǎn)過(guò)程中間了這樣一些規(guī)范性的規(guī)范性的保障，按理說(shuō)這樣的產(chǎn)品規(guī)范保證應(yīng)該達(dá)到安全評(píng)價(jià)級(jí)別，因此它的特點(diǎn)不是在產(chǎn)品的功能上給出一個(gè)評(píng)價(jià)級(jí)，只是在產(chǎn)品保障方面給出了一個(gè)評(píng)價(jià)級(jí)。

比如在測(cè)試上面你覆蓋多少，深度多少，功能測(cè)試，還是完成獨(dú)立測(cè)試，等等這些問(wèn)題，也有一個(gè)你選擇什么樣的，體的保障能達(dá)到什么程度。比如說(shuō)脆弱性的評(píng)定也是這樣，你有沒(méi)有做隱通道的分析，有沒(méi)有濫用，有沒(méi)有做TOE安全功能強(qiáng)度，有沒(méi)有做脆弱性分析等等這些。它的所謂安全評(píng)價(jià)級(jí)別大致有這樣一個(gè)對(duì)應(yīng)關(guān)系，大家知道它希望用CC的標(biāo)準(zhǔn)來(lái)評(píng)價(jià)產(chǎn)品以后，達(dá)到一種在市場(chǎng)上國(guó)際互認(rèn)這么一個(gè)需求，在過(guò)去相當(dāng)長(zhǎng)的時(shí)間里面都有一個(gè)互認(rèn)到什么級(jí)別呢？四級(jí)以下四級(jí)以上更敏感了，有更高的安全要求了，由各個(gè)國(guó)家自己做自己的事情。但是今年CC大會(huì)，咱們國(guó)家去參加會(huì)議的人帶回來(lái)一個(gè)消息，說(shuō)美國(guó)提出來(lái)了，今后國(guó)際互認(rèn)只互認(rèn)到二級(jí)，它這樣一個(gè)說(shuō)法英國(guó)人也附議了，說(shuō)只認(rèn)到二級(jí)，這表明一個(gè)什么問(wèn)題呢，叫供應(yīng)鏈安全的問(wèn)題成為一個(gè)非常敏感和關(guān)心的問(wèn)題，安全的自信心不像以前自信心那么強(qiáng)了，能不能互相之間認(rèn)到高級(jí)別去，看起來(lái)自己的事情自己辦，咱們互認(rèn)低級(jí)別，這種事情值得玩味和深思，我們國(guó)家強(qiáng)調(diào)安全的問(wèn)題，但是過(guò)去好長(zhǎng)時(shí)間美國(guó)認(rèn)為我們封鎖市場(chǎng)，但是他們現(xiàn)在也這樣做了。信息安全管理體系從這張表上看是一個(gè)龐大的家族，前頭這一部分，這個(gè)是由第一組所做的，作為體系的組建，到了后邊是第四組參與做的，控制和服務(wù)類的，都在這里邊了，以至于發(fā)展成，你從這張表上看，這個(gè)是體系，這邊是控制和服務(wù)的標(biāo)準(zhǔn)。

美國(guó)地尼斯特畫(huà)出這樣一張表，CC標(biāo)準(zhǔn)也曾經(jīng)說(shuō)，認(rèn)為系統(tǒng)也是產(chǎn)品，但是作為系統(tǒng)來(lái)講，絕非一個(gè)工廠里所能生產(chǎn)的，必須是一個(gè)組織機(jī)構(gòu)根據(jù)自己的業(yè)務(wù)需求購(gòu)買了許多產(chǎn)品，哪怕有了外包服務(wù)的集成支持，還是在它的手上不斷積累發(fā)展才能成為應(yīng)用系統(tǒng)，這樣一來(lái)作為CC標(biāo)準(zhǔn)也好，作為密碼評(píng)估的140評(píng)估也好，只能得出實(shí)驗(yàn)室的結(jié)論，你手上用的系統(tǒng)是在一個(gè)實(shí)際的威脅的環(huán)境里頭工作，因此它不僅僅是技術(shù)的問(wèn)題，它必須考慮現(xiàn)實(shí)存在的風(fēng)險(xiǎn)，你必須根據(jù)你自己的業(yè)務(wù)需求考慮你的安全策略，制定你自己的安全計(jì)劃，包括人的流程，物理的，各方面的安全，你都要管起來(lái)，這張圖講的道理還是深刻的。

在管理體系家族中給了這么一個(gè)說(shuō)明，不同標(biāo)準(zhǔn)處在不同的位置上，頂層是講概念和術(shù)語(yǔ)的，27000，作為要求性的標(biāo)準(zhǔn)有兩個(gè)，一個(gè)就是建體系的要求，27001，一個(gè)你這樣的體系要通過(guò)社會(huì)化認(rèn)證認(rèn)可的方式推行，你這樣一個(gè)認(rèn)證機(jī)構(gòu)必須要經(jīng)過(guò)一個(gè)規(guī)范化的認(rèn)可才能允許它們?nèi)プ?，?lái)看人家的體系建的行不行。底下是一大組指南性的標(biāo)準(zhǔn)，其中包括，這個(gè)體系要建起來(lái)它的實(shí)用規(guī)則是什么，就是人們相應(yīng)經(jīng)驗(yàn)性的總結(jié)，這是一部分。你要建體系你怎么規(guī)劃這個(gè)體系的建設(shè)，建體系中間遵循非常重要的核心的指導(dǎo)思想就是風(fēng)險(xiǎn)管理的思想，因此它有專門(mén)的標(biāo)準(zhǔn)，叫風(fēng)險(xiǎn)管理，體系建設(shè)的到底怎么樣有兩種辦法來(lái)考核它，一種就是要對(duì)體系要進(jìn)行測(cè)量，還有一種就要通過(guò)審核的辦法來(lái)看你這個(gè)體系建設(shè)的怎么樣，因此各有相應(yīng)的標(biāo)準(zhǔn)。

最下頭這一類它希望建立信息安全管理體系這些通行的原則能夠進(jìn)一步落到各行各業(yè)具有統(tǒng)計(jì)特色里頭去，因此對(duì)電信，衛(wèi)生健康，這些還要制定一系列的標(biāo)準(zhǔn)，它是這樣的思維架構(gòu)整個(gè)體系的。

現(xiàn)在27000我們國(guó)家是正在制定，作為國(guó)際標(biāo)準(zhǔn)化組織09年已經(jīng)拿出來(lái)了，它把相應(yīng)的術(shù)語(yǔ)都在這里寫(xiě)出來(lái)了，同時(shí)把我這樣一個(gè)體系架構(gòu)，包含哪些標(biāo)準(zhǔn)，我這個(gè)體系中間所實(shí)行非常重要的，PDCA這樣一個(gè)過(guò)程給你簡(jiǎn)要的概述，同時(shí)把相應(yīng)怎么理解相應(yīng)的術(shù)語(yǔ)和定義給出了說(shuō)明。這里邊給你這樣一個(gè)實(shí)施過(guò)程管理的銜接，給你指出來(lái)具體部門(mén)貫徹體系有什么相關(guān)的問(wèn)題，怎么用這樣體系建設(shè)使你這個(gè)組織機(jī)構(gòu)達(dá)到符合性的要求等等。

PDCA是從9000里面借鑒過(guò)來(lái)的，它把原來(lái)的產(chǎn)品質(zhì)量中間的PM輸入變成組織信息安全的需求與期望，我有什么需求，我希望達(dá)到什么樣，把它做一個(gè)輸入，經(jīng)過(guò)PDCA計(jì)劃實(shí)施，然后運(yùn)行和保持改進(jìn)的過(guò)程中間使得這樣一個(gè)期望最后輸出出來(lái)一個(gè)組織受控的信息安全，是這樣一個(gè)思想，PDCA大過(guò)程中間也有，小過(guò)程也有。

作為27001，作為建體系要求是什么，和大家手上印的本子中間我改了一些字，原來(lái)本子寫(xiě)的是確保，現(xiàn)在看起來(lái)用確保是不確切，現(xiàn)在作為風(fēng)險(xiǎn)感覺(jué)的思想，因?yàn)槭秋L(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理來(lái)講正因?yàn)榇嬖谥L(fēng)險(xiǎn)，而風(fēng)險(xiǎn)是沒(méi)有絕對(duì)消除的可能性，因此我們做的一切努力叫做規(guī)避風(fēng)險(xiǎn)，減少風(fēng)險(xiǎn)，轉(zhuǎn)嫁風(fēng)險(xiǎn)，最后我還要承擔(dān)風(fēng)險(xiǎn)，因此我們只能用保證，或者保障，確保是做不到的。

這樣一個(gè)東西是適用于方方面面，首先你組織上要去規(guī)劃你自己的安全要求，確定你的安全目標(biāo)，要做這個(gè)事情。你要有效的控制你的安全風(fēng)險(xiǎn)，你要做到法規(guī)法律的符合性，要建設(shè)這個(gè)管理體系。你要控制實(shí)施你風(fēng)險(xiǎn)相應(yīng)的控制措施，你要拿它做一個(gè)管理的框架，來(lái)保證是否做到了。除了發(fā)現(xiàn)新的需求，梳理你自己現(xiàn)在做的事情怎么樣，看你現(xiàn)在活動(dòng)的狀況怎么樣。同時(shí)來(lái)講，你作為一個(gè)組織，你總是有你自己組織的社會(huì)責(zé)任，你能不能承擔(dān)社會(huì)責(zé)任和你的貿(mào)易伙伴，人家能不能信任你，要有一個(gè)顯示度，我做了信息安全管理體系，我的管理體系經(jīng)過(guò)認(rèn)證了，你可以看的策略，我的標(biāo)準(zhǔn)和誠(chéng)信是這樣建立的，這樣給你合作伙伴一個(gè)信息，愿意跟你合作。同時(shí)從業(yè)務(wù)的角度驅(qū)動(dòng)你業(yè)務(wù)的實(shí)施，同時(shí)向顧客提供你的安全信息，說(shuō)我的安全狀態(tài)可以滿足的。

作為信息安全管理的主要活動(dòng)概括成這么一系列的事情，八個(gè)方面，一個(gè)確定你的目標(biāo)和實(shí)現(xiàn)目標(biāo)的途徑，確定了以后就建立崗位，設(shè)置崗位，配置人員，并分配職責(zé)。在以下要實(shí)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，同時(shí)制定相應(yīng)的策略來(lái)做這個(gè)事情，要把人員進(jìn)行教育和培訓(xùn)，來(lái)適應(yīng)這個(gè)事情。風(fēng)險(xiǎn)管理的思想似乎風(fēng)險(xiǎn)僅僅是某種事件發(fā)生，和發(fā)生可能的影響程度，它似乎是一個(gè)不確定的實(shí)踐，但是風(fēng)險(xiǎn)管理的思想必須和事件管理的思想銜接起來(lái)，因此信息安全事件管理它也作為風(fēng)險(xiǎn)管理中間的管理體系來(lái)確立了。

下邊是27002，大家比較熟悉了。003來(lái)講告訴你怎么制定一個(gè)計(jì)劃，開(kāi)始建立你的安全體系，004就是怎么測(cè)量你應(yīng)有的過(guò)程和活動(dòng)，001叫做風(fēng)險(xiǎn)管理，就是講這個(gè)基本的思想。

審核是11，另外它還有一個(gè)08，它要有一個(gè)審核措施，就是技術(shù)性的審核。其它組織之間的通訊怎么樣去管理風(fēng)險(xiǎn)，這個(gè)問(wèn)題都提到了。后邊還有很多，都是從相應(yīng)的弘治和服務(wù)的角度，怎么去配合和支撐信息安全管理，加強(qiáng)信息安全管理，由于時(shí)間的關(guān)系，就不可能一一都來(lái)講了。好在在這樣一個(gè)書(shū)面上都有，大家關(guān)心的內(nèi)容可以看一看，有一些資料在網(wǎng)上還可以看，大家國(guó)際標(biāo)準(zhǔn)化組織文本本身不能不花錢拿到的，我們國(guó)家相應(yīng)的標(biāo)準(zhǔn)都在做，特別是管理體系不久把所有制定出來(lái)的標(biāo)準(zhǔn)提供給大家。

講到這里，謝謝大家。

主持（沈琪）：再次感謝我們的各位領(lǐng)導(dǎo)的精彩講解，下面是我們的10分鐘茶歇時(shí)間，我們?cè)诖筇猛鈭?chǎng)給大家準(zhǔn)備了茶水和點(diǎn)心，10分鐘之后歡迎大家回到我們的主會(huì)場(chǎng)，謝謝。

（茶歇）

主持（沈琪）：下面有請(qǐng)來(lái)自微軟全球信息安全專家馮偉強(qiáng)先生為大家?guī)?lái)《全球互聯(lián)網(wǎng)安全現(xiàn)狀分析》，我們掌聲有請(qǐng)。

微軟全球信息安全專家馮偉強(qiáng)先生為大家?guī)?lái)《全球互聯(lián)網(wǎng)安全現(xiàn)狀分析》

馮偉強(qiáng)：您好，不好意思，我的中文真的講的不好，我一會(huì)講中文，一會(huì)兒講英語(yǔ)好嗎？因?yàn)槲遗挛业膬?nèi)容講的不太深入。

各位領(lǐng)導(dǎo)，各位朋友，大家好。我是代表微軟公司中華區(qū)，講一下我們微軟的案例，我們?cè)趺刺幚硪恍╇娔X上面的病毒，網(wǎng)絡(luò)上的病毒，加一些監(jiān)控，我本人以前是香港警察局科技治安組的管理，所以對(duì)于網(wǎng)絡(luò)治安有一些認(rèn)識(shí)。

介紹一下我們的組織，我們組內(nèi)有很多原來(lái)FBI的調(diào)查員，我們還有分析員，我們監(jiān)控網(wǎng)絡(luò)有什么病毒，就是針對(duì)我們的產(chǎn)品，我們的產(chǎn)品以外，網(wǎng)絡(luò)我們也注重，包括釣魚(yú)網(wǎng)絡(luò)也是我們的范圍之內(nèi)，我的中文講的你們聽(tīng)的明白嗎？不行的話我講廣東話。

木馬是針對(duì)銀行的，我們發(fā)現(xiàn)它們的行為，這些病毒常常會(huì)改變，有一種改變，他們有一個(gè)控制臺(tái)，云端上面有一個(gè)控制臺(tái)，它們?cè)诓煌牡胤娇梢月?lián)系不同的控制臺(tái)，所以把他們的控制臺(tái)搜集來(lái)，我們需要擁有他們的控制臺(tái)才可以方便監(jiān)控他們的活動(dòng)。

第二就是他們所有在網(wǎng)絡(luò)上的信息都是加密的，我們通過(guò)不同的伙伴，破他們的加密協(xié)議，這個(gè)很困難，很困難。他們?cè)谖覀兾④涍@個(gè)平臺(tái)盡量把一些（英文），現(xiàn)在我們針對(duì)這一類型的方案有，我們建立一個(gè)虛擬機(jī)，所以應(yīng)該加強(qiáng)保護(hù)你們的產(chǎn)品。他們都是針對(duì)網(wǎng)絡(luò)上邊做一些交易的，好象你們淘寶，什么阿里巴巴，易貝，網(wǎng)絡(luò)銀行，做一些假的網(wǎng)頁(yè)，我們就是針對(duì)這一類型。我們發(fā)現(xiàn)他們的組織有銷售部，有開(kāi)發(fā)部，有互聯(lián)網(wǎng)的域名，他們有一個(gè)部門(mén)負(fù)責(zé)登記域名的，他們有一個(gè)部門(mén)負(fù)責(zé)宣傳的，他們的組織是一個(gè)比較大的，東歐，俄羅斯的集團(tuán)，就是地下集團(tuán)，我們發(fā)現(xiàn)之后，我們比較難在俄羅斯做一些行動(dòng)，我們控制他們，我們是通過(guò)不同的渠道。我們法律有一些法律顧問(wèn)，有一些研究員，把他們的科技都研究出來(lái)了，就出一本報(bào)告，之后我們就跟這些組織，那些銀行，那些保險(xiǎn)公司，信用卡組織，我們通過(guò)這些組織互相交流，通過(guò)這個(gè)組織我們可以得到他們不同的帳號(hào)，他們放款給哪個(gè)人，我們通過(guò)這個(gè)組織了解他們內(nèi)部的運(yùn)作。

之后我們有另外一個(gè)組織，叫NACHA，美國(guó)FBI批準(zhǔn)我們，把這些提交給銀行，銀行就把他們的帳號(hào)封閉，他們拿不到錢。首先我們針對(duì)他們?cè)鯓幽玫剿麄兊腻X，如果我們可以控制他們的錢，第二步把他們網(wǎng)絡(luò)上面的域名全部關(guān)掉，拿走他們網(wǎng)絡(luò)上所有的東西，在美國(guó)很簡(jiǎn)單，他們?nèi)绻岩恍阂獬绦驋煸诰W(wǎng)上，我們可以控訴他們。第二可以控訴他們放那些垃圾郵件在網(wǎng)絡(luò)上。第三一些個(gè)人資料的盜用，我們也可以控訴他們。他們盜用銀行的Logo，我們可以控訴，也可以控訴他們盜用別人的網(wǎng)站，Logo，我們也可以控訴他們洗黑錢，大家有一個(gè)協(xié)議，互相交流這些犯罪記錄。之后我們把他們所有的信息搜集回來(lái)，交給警察處理。

我們?cè)诙砹_斯還有一個(gè)工作，就是第三方提供資料給我們，就是背后這些黑客提供資料給我們，我們可以給他們提供25萬(wàn)美金獎(jiǎng)金，這樣我們通過(guò)這個(gè)渠道拿到一些比較重要的情報(bào)。

因?yàn)槲覀兊钠脚_(tái)很容易被第三方盜版，什么雨林木風(fēng)，在我們的軟件上面放一些惡意信息，我們上個(gè)月剛剛發(fā)布了一個(gè)新聞，一些客戶買回來(lái)的電腦已經(jīng)預(yù)裝，盜版的危險(xiǎn)程度很高，這些客戶，一些銀行，一些學(xué)校，如果他們?cè)诰W(wǎng)上做網(wǎng)絡(luò)交易，在盜版的軟件上跑很很多風(fēng)險(xiǎn)，我現(xiàn)在給你看一看盜版有什么風(fēng)險(xiǎn)，去年我們?cè)诓煌牡胤劫?gòu)買300臺(tái)電腦，它們都是品牌的電腦，什么戴爾，聯(lián)想，都是比較好的品牌電腦，但是他們的銷售商，他們賣給我們測(cè)試員的時(shí)候，他們預(yù)裝盜版系統(tǒng)在上面，這是為什么呢？就是為了省錢。我們看一下在盜版電腦上面發(fā)現(xiàn)了什么問(wèn)題？我們?cè)谥袊?guó)12個(gè)不同的省份買回來(lái)300臺(tái)電腦，其中104臺(tái)電腦預(yù)裝什么雨林木風(fēng)，深度，PCOS，這些盜版軟件，這個(gè)比較有興趣的是，我們發(fā)現(xiàn)94%的比例是有惡意程序的，為什么說(shuō)94%呢？如果你的電腦里面有一個(gè)惡意程序，有些惡意程序是彈出一些廣告，它有影響你的操作，他們彈出這個(gè)廣告其實(shí)他們也監(jiān)控你去哪一個(gè)網(wǎng)站，他們也有監(jiān)控，在我們的角度上它們也算是一個(gè)惡意程序。平均每一臺(tái)盜版電腦都有三個(gè)惡意程序在里面。最壞的一臺(tái)有18個(gè)惡意程序，最壞的一個(gè)惡意程序我等一下跟你分享，現(xiàn)在我不提。帳戶的管理，如果你下載第三方軟件，我們會(huì)測(cè)試這個(gè)惡意軟件是不是有一些惡意代碼，如果盜版軟件關(guān)閉了，這個(gè)持續(xù)就不可以測(cè)試了，為什么它們關(guān)掉了我們也可以測(cè)試到它的惡意程序，有一些行為是我們不允許的，他們關(guān)掉我們的帳號(hào)。80%篡改你們的主頁(yè)，有一些篡改很隱蔽，篡改成比較流行的網(wǎng)頁(yè)，比較流行的網(wǎng)頁(yè)其實(shí)已經(jīng)有木馬存在了，還有一些釣魚(yú)網(wǎng)頁(yè)，我們發(fā)現(xiàn)80%篡改你的主也。包括關(guān)掉我們的防火墻，90%關(guān)閉我們的升級(jí)，他們用本地比較流行的升級(jí)平臺(tái)，但是我們發(fā)現(xiàn)本地比較流行的平臺(tái)，他們打補(bǔ)丁不是百分之百，他們差不多打了5%的補(bǔ)丁，不是立刻打的，可能過(guò)幾天才給你打，如果你去我們微軟的平臺(tái)，每一個(gè)月第二個(gè)星期二立刻打這個(gè)補(bǔ)丁，但是你們比較流行的平臺(tái)他們會(huì)等一兩天之后再幫你們打補(bǔ)丁，這樣就會(huì)有危險(xiǎn)。他們把我們微軟的反間諜軟件也關(guān)閉。其實(shí)我們發(fā)現(xiàn)有一些惡意程序，包括僵尸網(wǎng)絡(luò)，這個(gè)僵尸網(wǎng)絡(luò)分散傳播很簡(jiǎn)單，如果你有一個(gè)U盤(pán)它就可以在U盤(pán)上面?zhèn)鞑?，我們發(fā)現(xiàn)我們的U盤(pán)全部被它感染了，U盤(pán)它看到哪個(gè)分區(qū)，這些區(qū)的有一些檔案，它就把病毒拷貝在這個(gè)分區(qū)里面，他們也把這個(gè)檔案命名為是系統(tǒng)文件的名，別人看見(jiàn)這個(gè)名稱也不會(huì)認(rèn)為是病毒，它們會(huì)傳播U盤(pán)，你共享的分區(qū)，之后他們就跟他們的控制臺(tái)聯(lián)系，他們控制臺(tái)聯(lián)系成功，如果他們成功聯(lián)系他們的控制臺(tái)他們一定會(huì)下載最新攻擊的軟件，他們會(huì)下載最新的攻擊軟件，這些攻擊軟件是看是什么類型的客戶，如果是銀行的客戶，他們會(huì)遙控，如果他們針對(duì)個(gè)人的客戶，可能針對(duì)政府，他們可能下載一些僵尸網(wǎng)絡(luò)，每一次都不同。

這是其中很小的一部分，我們這個(gè)報(bào)告其實(shí)做的很仔細(xì)，我們其實(shí)有很多很多內(nèi)容。我們弄完這份報(bào)告之后我們發(fā)現(xiàn)IESP，他們這個(gè)托管可以賣一些域名給你們，這個(gè)3322.org，是中國(guó)大陸非常有規(guī)模的網(wǎng)絡(luò)托管，他們有超過(guò)100個(gè)域名在它們的平臺(tái)上，但是他們的平臺(tái)上也有七萬(wàn)個(gè)惡意的域名，我們有跟3322聯(lián)系過(guò)，有第三方向他們買域名他們就賣域名，他們?cè)试S一些惡意程序在他們里面，我們發(fā)現(xiàn)有500個(gè)不同的病毒和惡意程序在他們的平臺(tái)上運(yùn)行。

我們的報(bào)告就發(fā)現(xiàn)，我們監(jiān)測(cè)他們的平臺(tái)16天，我們發(fā)現(xiàn)中國(guó)大陸有760萬(wàn)電腦跟這個(gè)平臺(tái)聯(lián)系，用什么證明呢？有760萬(wàn)臺(tái)電腦在中國(guó)大陸是感染了他們的病毒，就是跟他們的控制臺(tái)聯(lián)絡(luò)。他們的控制臺(tái)有七萬(wàn)個(gè)不同的域名。

我們微軟做一些什么工作呢？我們微軟在美國(guó)把他們的域名放過(guò)來(lái)給我們，在網(wǎng)絡(luò)上跟他們的聯(lián)系的，把一些正常的域名放出去讓他們操作，不正常的域名我們做一些分析，他們有3500萬(wàn)個(gè)正常的域名在里面，其它不正常的域名我們就分析，分析完之后我們發(fā)現(xiàn)這些域名同其它40多個(gè)國(guó)家有關(guān)系，我們把這些給40多個(gè)國(guó)家的警察，警察就把他們關(guān)閉。上個(gè)月我們跟3322聯(lián)系，讓他們把惡意的域名關(guān)掉，他們現(xiàn)在也跟你們的CnCert聯(lián)系，把這些域名關(guān)掉。

我們都有一些報(bào)告，我們最新的報(bào)告兩個(gè)星期前剛剛出來(lái)，你可以在百度上搜索這一份報(bào)告，公開(kāi)的，里面有關(guān)于我們最新的發(fā)現(xiàn)。

就這樣子，如果有其它的問(wèn)題可以交流一下，謝謝。

主持（沈琪）：好的，也再次感謝馮偉強(qiáng)先生，遠(yuǎn)道而來(lái)，各位稍候有什么想要了解可以親自找一些我們的馮先生。下面有請(qǐng)出來(lái)自啟明星辰首席專家潘柱延先生，和各位一起探討《新計(jì)算、新網(wǎng)絡(luò)、新數(shù)據(jù)下的信息安全思考》，讓我們一起來(lái)歡迎潘先生上臺(tái)。

潘柱延：非常高興，能有這個(gè)機(jī)會(huì)跟大家分享一下最近的一些思考，非常抱歉，確實(shí)在積累最近的一些想法，所以沒(méi)有趕來(lái)會(huì)議組織印刷之前把PPT印在資料上，沒(méi)有關(guān)系，這個(gè)資料我已經(jīng)放到網(wǎng)上，大家通過(guò)我的博客和微博都可以找到這個(gè)PPT下載的位置。

我昨天也是用這個(gè)題目在云安全聯(lián)盟中國(guó)峰會(huì)上做了這樣一個(gè)報(bào)告，所以PPT兩個(gè)是一樣的，PPT大家可以下載，所以大家不用著急拍照片。

因?yàn)闀r(shí)間關(guān)系，我只有25分鐘的時(shí)間做講解，但是我這個(gè)PPT有40多頁(yè)，按照我的慣例40多頁(yè)P(yáng)PT能講一個(gè)小時(shí)，我盡快講一下。

從今天這個(gè)題目來(lái)說(shuō)，所謂的新計(jì)算，新數(shù)據(jù)和新網(wǎng)絡(luò)，就是現(xiàn)在最近非常流行和非常熱的一些計(jì)算方面新的話題，我們大家都關(guān)心這些新話題安全問(wèn)題，有沒(méi)有一些新的東西，今天不太涉及到具體的技術(shù)，主要是一些思想和思路。算是蜻蜓點(diǎn)水點(diǎn)到為止，往細(xì)了講，或者我們還沒(méi)有研究到，或者泄露公司機(jī)密，所以點(diǎn)到為止，大家看能不能從中體會(huì)到一些什么。

談到所謂新東西的思維，我還是想回顧一下我經(jīng)?？傇谟玫膫鹘y(tǒng)老的思維，所謂經(jīng)典傳統(tǒng)老的思維在我腦子里面都是一些什么。

三要素，大家應(yīng)該經(jīng)常聽(tīng)我講信息安全的三要素。這一些撲克牌我最近一年多的時(shí)間經(jīng)常放，反正放的次數(shù)越多這個(gè)效益越好，因?yàn)槲易鲞@一堆撲克牌用了一晚上的時(shí)間，看到這些撲克牌這就是說(shuō)面臨的信息安全問(wèn)題，紛繁復(fù)雜，頭緒非常多，我們?cè)趺蠢沓鑫覀兊乃悸?，既然是撲克牌是有花色，我分成四個(gè)花色，方片就是資產(chǎn)，草花就是危害，黑桃就是通用的工作流，項(xiàng)目管理，等等通用的方式和方法，如果把黑桃去掉就是方片，草花，我經(jīng)常講業(yè)務(wù)威脅和保障措施，這就是安全區(qū)別于其它話題的特點(diǎn)，除了提出需求和需求被滿足，安全還有第三方，就是危害的一方，這就是三方。我總會(huì)拿它出來(lái)講，我去看待任何的安全問(wèn)題都會(huì)從三方面去審視，這是我腦子里面第一個(gè)原則和方法。

第二個(gè)就是所謂的安全是有立場(chǎng)的。其實(shí)剛才從何院士講解里面也有類似的觀點(diǎn)，其實(shí)安全，你的安全不見(jiàn)得是我的安全，也許你的漏洞是我最喜歡的，這個(gè)實(shí)際上不同的人對(duì)安全的立場(chǎng)是不一樣，所以你要談安全，你要談是誰(shuí)的安全，安全不僅是對(duì)抗，雖然立場(chǎng)不一樣，不見(jiàn)得是對(duì)抗，還有博弈的關(guān)系，博弈就是在整個(gè)環(huán)境有不同群體之間的博弈，從用戶，到提供商，包括投資人，包括產(chǎn)業(yè)鏈，各方面都是整個(gè)環(huán)境的博弈。比如機(jī)構(gòu)用戶內(nèi)部也存在很多的博弈，里面有領(lǐng)導(dǎo)，有操作員，有技術(shù)員。它也存在產(chǎn)值鏈的過(guò)程，有提供資金的，有生產(chǎn)，有制造，有安裝的。其實(shí)任何一個(gè)安全話題它最終或多或少都牽扯到所有的博弈。一個(gè)技術(shù)的話題，一個(gè)管理的話題想想的更深入，把不同立場(chǎng)的人同一個(gè)問(wèn)題不同看法分析一下，這可能使你的思路有所拓展，這是安全的特點(diǎn)，安全的立場(chǎng)非常強(qiáng)的。

我經(jīng)常把信息安全分為三類，一種基于密碼技術(shù)的認(rèn)證和加密，比如說(shuō)IT管理，再一類基于攻防技術(shù)的檢測(cè)技術(shù)措施。還有一類就是基于風(fēng)險(xiǎn)管理思想的體系化的方式，像剛才趙老師講的兩個(gè)七系列的標(biāo)準(zhǔn)，基本上都是風(fēng)險(xiǎn)管理體系化的構(gòu)建，當(dāng)然里面的技術(shù)元素比較多的會(huì)用到檢測(cè)處置的方式，用的相對(duì)稍多一點(diǎn)。

再一個(gè)就是我們最近喜歡講的，所謂時(shí)空，剛才看何原始講的這一部分，我看到有很多時(shí)空的感覺(jué)在里面，我認(rèn)為在安全里面一個(gè)非常重要的看法，就是安全有時(shí)空觀念的話題。時(shí)空簡(jiǎn)單說(shuō)，如果從傳統(tǒng)的安全看法來(lái)說(shuō)，時(shí)間來(lái)說(shuō)，時(shí)間有兩種，一種是生命周期，一個(gè)是持續(xù)，如果從本身對(duì)抗和博弈技術(shù)環(huán)節(jié)來(lái)說(shuō)，主要是持續(xù)過(guò)程，持續(xù)體現(xiàn)在系統(tǒng)里面，所謂業(yè)務(wù)流，控制流，等等這些流，流從哪兒到哪兒，這樣一個(gè)關(guān)系，這是時(shí)間的主要體現(xiàn)?？臻g主要就是網(wǎng)絡(luò)，空間不僅僅是網(wǎng)絡(luò)，空間主要我們的看法一般是網(wǎng)絡(luò)，有時(shí)候還用樓層，總之它是一個(gè)空間。我們傳統(tǒng)安全里面當(dāng)你如果真的把前面這些流這樣一個(gè)時(shí)間流轉(zhuǎn)，在空間上把它能夠疊加起來(lái)的話，這會(huì)出現(xiàn)一個(gè)非常奇妙的效果，就是你把業(yè)務(wù)流和網(wǎng)絡(luò)拓?fù)鋱D疊起來(lái)發(fā)現(xiàn)有很多發(fā)現(xiàn)和技術(shù)方案從這里面出來(lái)。其實(shí)我們現(xiàn)在連這一步都做的很好，我相信在座可能有一些用戶單位，你們很少有幾個(gè)人能夠掌握你真正準(zhǔn)確的網(wǎng)絡(luò)拓?fù)鋱D，你們只有5%以下的人掌握業(yè)務(wù)流圖，真正做有效安全方案的時(shí)候是非常有用的，實(shí)用的，其實(shí)我們?cè)谶@個(gè)方面做的非常少，非常不夠，需要去做，其實(shí)這已經(jīng)是產(chǎn)生的東西，已經(jīng)并不是新的東西了。

從流的思想進(jìn)一步擴(kuò)展，在系安全風(fēng)險(xiǎn)評(píng)估里面經(jīng)常談到威脅評(píng)估，我們經(jīng)常做的，在風(fēng)險(xiǎn)評(píng)估項(xiàng)目做的根本不是威脅評(píng)估，經(jīng)常都是，我有時(shí)候開(kāi)玩笑，它實(shí)際上做的評(píng)估是資產(chǎn)評(píng)估的平方，你資產(chǎn)重要你的威脅就大，其實(shí)這不是威脅評(píng)估，威脅評(píng)估其實(shí)做這樣的評(píng)估，威脅有來(lái)源，有環(huán)境，有目的，有目的所存在的脆弱性，有攻擊時(shí)空的概念，當(dāng)然加上一個(gè)結(jié)果，因?yàn)樵谲浖_(kāi)發(fā)里面用力，一個(gè)主體以什么樣的目的，以什么樣的方法達(dá)到什么樣的結(jié)果，這才叫用力，對(duì)威脅來(lái)說(shuō)也應(yīng)該可以這樣去看。在09年奧巴馬上臺(tái)六個(gè)月他出了一個(gè)這樣一個(gè)報(bào)告，它里面有一條，14條周期計(jì)劃里面第6條談到建立一個(gè)威脅場(chǎng)景和度量的集合，我理解，我猜一下它所謂的威脅場(chǎng)景，就是我說(shuō)的威脅用力，因?yàn)槲覀儑?guó)家有兩個(gè)重要漏洞庫(kù)，漏洞庫(kù)只是威脅場(chǎng)景最容易，最局部的一件事情，據(jù)傳說(shuō)美國(guó)的愛(ài)因斯坦計(jì)劃已經(jīng)積累了超過(guò)1500種威脅場(chǎng)景，1500種威脅場(chǎng)景意味著1500種攻擊戰(zhàn)術(shù)。我們國(guó)家在這方面還沒(méi)有明確提上一個(gè)日程，我們還存在一個(gè)漏洞積累的層面上，我們應(yīng)該盡快突破到關(guān)于威脅場(chǎng)景核威脅用力的研究上?；谑录姆治鲆甑礁顚哟紊希踩锩娣浅?qiáng)調(diào)知識(shí)價(jià)值，安全技術(shù)，或者這個(gè)行業(yè)是對(duì)知識(shí)高度依賴的行業(yè)，其實(shí)不管是攻擊和防御都需要知識(shí)。你防御的時(shí)候也需要知識(shí)，包括對(duì)自身的了解，我這里舉一個(gè)例子，這個(gè)圖是我們公司內(nèi)部去做檢測(cè)方向，知識(shí)分析的示意圖，這里面談到中端，高端，低端不同知識(shí)復(fù)雜度的一種看法，我舉我們常見(jiàn)的一個(gè)例子，屬于檢測(cè)，很多檢測(cè)是基于特征的，我們有相當(dāng)大的這樣一個(gè)檢測(cè)系統(tǒng)是基于特征的，什么叫做特征？特征用我這樣一個(gè)不等式來(lái)說(shuō)。你要提起這個(gè)特征是很難道德國(guó)，你要有技術(shù)高手做逆向，這個(gè)特征出來(lái)以后用的時(shí)候就是調(diào)用就可以了。使用起來(lái)很容易，往往提取起來(lái)很難，這就是知識(shí)的價(jià)值，安全是對(duì)知識(shí)的依賴度非常高的一個(gè)技術(shù)，一個(gè)門(mén)類，實(shí)際上當(dāng)評(píng)價(jià)一個(gè)安全企業(yè)，或者一個(gè)安全研究實(shí)驗(yàn)室你的水平的時(shí)候，其實(shí)就是看你真正積累，或者你有能力挖掘這樣的知識(shí)，你的能力和水平如何，這是安全對(duì)知識(shí)高度依賴的行業(yè)。最近幾年看任何一個(gè)安全話題我都會(huì)用這樣的思維去審視它，我認(rèn)為這些思維并沒(méi)有過(guò)時(shí)，它只會(huì)在新的計(jì)算環(huán)境下它應(yīng)該有新的適應(yīng)性的變化，在新的差差之下會(huì)帶來(lái)那些變化，我個(gè)人認(rèn)為最近五年我認(rèn)為我們經(jīng)歷IT顛覆性的時(shí)代。我認(rèn)為最近五年是比較顛覆性，因?yàn)槲覀兠媾R的網(wǎng)絡(luò)形態(tài)都是很顛覆的，這種顛覆體現(xiàn)在，我這里所說(shuō)的新計(jì)算，新網(wǎng)絡(luò)，所謂的新是什么，比如新計(jì)算，我主要講的新計(jì)算是云計(jì)算和虛擬化，這是一件事情，也是兩件事情，因?yàn)樵朴?jì)算最主要的就是虛擬化計(jì)算，當(dāng)然還有分布化技術(shù)，虛擬化有五種虛擬化。虛擬化技術(shù)和云計(jì)算也會(huì)用在安全三要素里面。這里頭使得我們整個(gè)計(jì)算形態(tài)都發(fā)生一個(gè)變化，當(dāng)然新計(jì)算我們忘了有高性能，但是不是今天主要的話題，新網(wǎng)絡(luò)和新數(shù)據(jù)，我對(duì)新網(wǎng)絡(luò)的看法主要是把移動(dòng)互聯(lián)網(wǎng)和SDN，SDN叫做軟件定義網(wǎng)絡(luò)，我把它看成是對(duì)網(wǎng)絡(luò)重大的變化，再有就是新數(shù)據(jù)，我把社會(huì)計(jì)算歸到數(shù)據(jù)這一層，我一會(huì)兒會(huì)談到分片層的，就是分平面的看法去談。

這個(gè)圖不是我發(fā)明的，這個(gè)實(shí)際上我在聽(tīng)一個(gè)物聯(lián)網(wǎng)課程的時(shí)候里面談到的一個(gè)，它會(huì)看數(shù)碼和物理的結(jié)合，這張圖就是人，物，軟件，好象物聯(lián)網(wǎng)把東西帶進(jìn)來(lái)了，把這些東西連在一起，成為我們未來(lái)網(wǎng)絡(luò)的一種新形態(tài)，把新差差放在這個(gè)里面，不見(jiàn)得只在這個(gè)角落，可能由這個(gè)主要帶來(lái)的，比如說(shuō)SDN和網(wǎng)絡(luò)虛擬化，因?yàn)榇髷?shù)據(jù)畢竟主要是存儲(chǔ)的過(guò)程，比如說(shuō)終端虛擬化和移動(dòng)互聯(lián)網(wǎng)，實(shí)際上和人密切相關(guān)的，就像大家睡覺(jué)手機(jī)也在你的身體一米之內(nèi)，其實(shí)手機(jī)每個(gè)個(gè)人計(jì)算形態(tài)的一種代表引入，實(shí)際上這里邊整個(gè)對(duì)新形態(tài)在這個(gè)里邊的體現(xiàn)，這個(gè)體現(xiàn)還是別人的，下面幾幅圖是我們最近很得意的看法，說(shuō)起來(lái)不見(jiàn)得多復(fù)雜，這里我借鑒SDN分片的想法。應(yīng)該說(shuō)整個(gè)最近一年能夠引起我很大興趣的兩大事情，一個(gè)是SDN，一個(gè)是大數(shù)據(jù)。我把整個(gè)對(duì)于IT系統(tǒng)，包括技術(shù)的認(rèn)識(shí)我先分成三個(gè)平面，第一個(gè)平面叫做系統(tǒng)平面，這是我們常規(guī)的一個(gè)看法，我們看所有的東西都是細(xì)圖，不管網(wǎng)絡(luò)系統(tǒng)結(jié)點(diǎn)等等這些，這里看到所有的，不管是移動(dòng)終端，最終體現(xiàn)都是先從一個(gè)具體的東西把我們帶到一個(gè)新的計(jì)算環(huán)境里邊去，這里邊具體說(shuō)一點(diǎn)，從系統(tǒng)平面去看這些新技術(shù)，新網(wǎng)絡(luò)帶來(lái)的東西，我現(xiàn)在主要從時(shí)空觀念上看它帶來(lái)的變化，一個(gè)時(shí)空結(jié)構(gòu)和流轉(zhuǎn)方式這樣一種變化，比如說(shuō)系統(tǒng)虛擬化，系統(tǒng)虛擬化是把原來(lái)四合院變成三層小樓，原來(lái)是平面的東西，這是一個(gè)節(jié)點(diǎn)就是一個(gè)節(jié)點(diǎn)，現(xiàn)在這個(gè)節(jié)點(diǎn)是一個(gè)三層樓，使得我們出現(xiàn)了分層這樣一種增加，它是一個(gè)空間結(jié)構(gòu)的變化。再有一個(gè)就是SDN，SDN徹底使得網(wǎng)絡(luò)有了一個(gè)結(jié)構(gòu)性的變化。再有移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)，是把人和物結(jié)到網(wǎng)絡(luò)里面，使人和物參與到空間里面去。SDN的思想，我們?cè)瓉?lái)傳統(tǒng)的網(wǎng)絡(luò)設(shè)備，不管物理網(wǎng)絡(luò)設(shè)備，還是虛擬網(wǎng)絡(luò)設(shè)備有三層功能存在。讓實(shí)際的物理網(wǎng)絡(luò)交換機(jī)，虛擬網(wǎng)絡(luò)交換機(jī)，只執(zhí)行數(shù)據(jù)這一層的動(dòng)作，在控制上接受上層的指揮，它形成了一個(gè)，這意味著什么？其實(shí)網(wǎng)絡(luò)，用軟件可以定義網(wǎng)絡(luò)上的實(shí)際的流轉(zhuǎn)結(jié)構(gòu)，它也帶來(lái)整個(gè)，網(wǎng)絡(luò)里面會(huì)有流的概念和思想，它意味著什么，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)我們可以隨時(shí)改變，因?yàn)槟憧梢钥刂扑?，所以叫軟件定義網(wǎng)絡(luò)，對(duì)抗當(dāng)中的天時(shí)，地利，人和。地利就是網(wǎng)絡(luò)結(jié)構(gòu)，如果你SDN被別人控制，意味著你整個(gè)網(wǎng)絡(luò)被別人控制，我非常喜歡SDN這樣一個(gè)分片，分平面的看法，把它每個(gè)片層更加的專業(yè)化，更加專門(mén)化，使整個(gè)能力更加提高，這是我非常喜歡的。五種虛擬化，前四種虛擬化其實(shí)都是節(jié)點(diǎn)虛擬化，以前大家常說(shuō)的虛擬化，虛擬交換機(jī)也是網(wǎng)絡(luò)設(shè)備的節(jié)點(diǎn)虛擬化，只有SDN做到真正結(jié)構(gòu)虛擬化，我非常看重SDN給我們帶來(lái)的重大變化，當(dāng)然它也會(huì)帶來(lái)很大的風(fēng)險(xiǎn)。我在看待新網(wǎng)絡(luò)看法的時(shí)候也是借鑒這樣一個(gè)平面的方式，所以我把最底下這個(gè)平面叫做系統(tǒng)平面。上面一個(gè)層面我叫服務(wù)平面，我們?nèi)魏我粋€(gè)操作帶來(lái)價(jià)值的應(yīng)用，其實(shí)都是一個(gè)業(yè)務(wù)，或者操作，它一定是流，這個(gè)操作上的體現(xiàn)，而且它跟我前面講的系統(tǒng)看法不一樣，在應(yīng)用平面里邊它會(huì)出現(xiàn)感覺(jué)，它有服務(wù)的交鋒面，這時(shí)候已經(jīng)忽視了路徑的，在服務(wù)的行業(yè)里面分析服務(wù)，服務(wù)里面有一個(gè)叫交鋒面的概念。在系統(tǒng)層面這個(gè)交鋒面具體體現(xiàn)從哪兒到哪兒的流程。實(shí)際上比如說(shuō)應(yīng)用虛擬化，至少放在這一層，它的特點(diǎn)，其實(shí)在系統(tǒng)這個(gè)層面每一個(gè)對(duì)象它們之間的關(guān)系在服務(wù)層面都有展現(xiàn)，所以服務(wù)平面和系統(tǒng)平面還是關(guān)聯(lián)度非常大的這樣一個(gè)話題。

再往上一個(gè)平面，我稱之為叫資源平面，資源平面主要體現(xiàn)數(shù)據(jù)和價(jià)值去看IT系統(tǒng)，大數(shù)據(jù)和計(jì)算在這里邊，為什么叫資源平面，就是所謂的數(shù)據(jù)，數(shù)據(jù)將來(lái)一定會(huì)像資源一樣被我們看中，也可能變成像石油這樣一種資源，大數(shù)據(jù)很像石油資源去看待它，全世界所有的戰(zhàn)爭(zhēng)腳底下都是有石油的，圍繞數(shù)據(jù)的爭(zhēng)奪，甚至于戰(zhàn)爭(zhēng)可能都會(huì)出現(xiàn)，所以大數(shù)據(jù)所帶來(lái)的變化不僅僅是一個(gè)，不管是三個(gè)V，還是四個(gè)V，關(guān)鍵帶來(lái)了，我們除了大數(shù)據(jù)符合四個(gè)V的大數(shù)據(jù)，而且給我們帶來(lái)一個(gè)視角。社會(huì)計(jì)算，不管是微博，還是其它社會(huì)計(jì)算的形態(tài)，其實(shí)不是關(guān)注具體的系統(tǒng)怎么跑的，你關(guān)注誰(shuí)跟誰(shuí)怎么關(guān)聯(lián)，包括它的傳播規(guī)律，它在資源層形成一個(gè)新的規(guī)律，你用系統(tǒng)層看它的規(guī)律可能是不妥當(dāng)?shù)?。所以我也把它放在上面一層，資源層，或者叫做數(shù)據(jù)層。

我認(rèn)為這些新的差差所帶來(lái)的時(shí)空結(jié)構(gòu)帶來(lái)的結(jié)點(diǎn)，這些點(diǎn)到為止。我現(xiàn)在建議，包括我最近也經(jīng)常這樣做，我對(duì)所有的事情都想辦法分層，分成平面去看待它，我認(rèn)為這個(gè)東西只要這樣去做就會(huì)有很大的收獲，我最近有兩到三個(gè)考慮都是跟這個(gè)相關(guān)，分層關(guān)鍵專能，把某一個(gè)方面專責(zé)化，比如對(duì)SDN的攻擊將來(lái)一定在層之間發(fā)起攻擊，這是攻擊的機(jī)會(huì)，空間的邊界變了，而且有的時(shí)候邊界是變的，我們習(xí)慣一個(gè)穩(wěn)定的邊界，現(xiàn)在邊界已經(jīng)不穩(wěn)定，我們?cè)瓉?lái)只習(xí)慣空間的邊界，其實(shí)時(shí)間也有邊界的。通過(guò)用時(shí)間邊界增加一定的安全性。這都是一些挑戰(zhàn)。這三個(gè)平面的劃分跟虛擬化幾個(gè)樓層不一樣，因?yàn)樘摂M化幾個(gè)樓層還是空間概念，它雖然是上下樓，這三個(gè)空間有語(yǔ)義包含在里面。另外從這三個(gè)平面做出這樣的看法，實(shí)際上來(lái)的關(guān)注點(diǎn)會(huì)從系統(tǒng)平面向資源平面，系統(tǒng)平面去攀升，在資源平面和數(shù)據(jù)平面價(jià)值會(huì)向人靠攏，會(huì)向數(shù)據(jù)靠攏，基于這樣的觀點(diǎn)我們將來(lái)一定會(huì)圍繞人的安全，圍繞數(shù)據(jù)的安全。比如說(shuō)端到端的安全，讓安全的能力靠近人和靠近數(shù)據(jù)。所以我看到ID將來(lái)會(huì)變得更重要，在現(xiàn)在信息安全產(chǎn)業(yè)，認(rèn)證和加密所占的市場(chǎng)是比較小的，大部分的市場(chǎng)都是防火墻，這些檢測(cè)類的產(chǎn)品，ID將來(lái)可能會(huì)變得更加重要，因?yàn)槎说蕉俗兊酶又匾覀児窘谝矔?huì)做一些投資和收購(gòu)的舉動(dòng)，可能都是和ID有關(guān)，如果看到的話大家就不會(huì)奇怪了，因?yàn)檫@是一個(gè)戰(zhàn)略認(rèn)識(shí)所延展出來(lái)的行動(dòng)。

再比如說(shuō)數(shù)據(jù)的生命周期，我們?cè)瓉?lái)研究系統(tǒng)的生命周期比較多的，將來(lái)我們要研究數(shù)據(jù)的生命周期和人的生命周期，這個(gè)我們研究是不夠的，我們現(xiàn)在談數(shù)據(jù)的生命周期的時(shí)候，最后說(shuō)來(lái)說(shuō)去還是說(shuō)系統(tǒng)的生命周期，這些方面都是新的話題。剛才也談到邊界變得不是那么重要，我們會(huì)更關(guān)注端到端，將來(lái)一定會(huì)有針對(duì)數(shù)據(jù)的攻擊，針對(duì)人的攻擊，現(xiàn)在一個(gè)TB這樣一些數(shù)據(jù)你有能力進(jìn)到里面改一些數(shù)據(jù)，你改了就改了，我大數(shù)據(jù)一看無(wú)所謂，不影響大的結(jié)果，你對(duì)數(shù)據(jù)的篡改修改我可以忽略，我沒(méi)有必要做過(guò)多的投入去保護(hù)，但是可能又不一樣，從攻擊者的角度我想辦法點(diǎn)你的穴，你數(shù)據(jù)里面一定有這些基點(diǎn)，一定有數(shù)據(jù)點(diǎn)，它帶來(lái)多米諾骨牌效應(yīng)，一定要從數(shù)據(jù)的角度去看這些攻擊。數(shù)據(jù)將來(lái)變成空氣和水的對(duì)象的時(shí)候，將來(lái)可能有數(shù)據(jù)環(huán)境污染的問(wèn)題，我可以想辦法污染你這個(gè)數(shù)據(jù)，你一個(gè)TB這樣一個(gè)很大的數(shù)據(jù)，我經(jīng)過(guò)污染，使得你整個(gè)數(shù)據(jù)失效，你損失會(huì)非常大，這些都是將來(lái)圍繞數(shù)據(jù)的攻擊和防御，有時(shí)候攻防對(duì)抗，它還有環(huán)境污染的問(wèn)題。

剛才已經(jīng)談到這個(gè)觀點(diǎn)了，服務(wù)的交鋒面和邊界的關(guān)系，包括數(shù)據(jù)資源的認(rèn)識(shí)。

從安全角度來(lái)說(shuō)，現(xiàn)在的安全領(lǐng)域有兩大高端難題。一個(gè)是宏觀態(tài)勢(shì)感知，一個(gè)是APT，這兩個(gè)難題其實(shí)都是大數(shù)據(jù)的問(wèn)題，宏觀態(tài)勢(shì)感知是由海量，大數(shù)據(jù)里面找宏觀現(xiàn)象，它有點(diǎn)像波趨勢(shì)的發(fā)現(xiàn)，而APT是要用海量的數(shù)據(jù)中找到微觀的現(xiàn)象，微觀的事件，這屬于大海撈針，這都是大數(shù)據(jù)問(wèn)題，這都是值得研究的方法，這種方法跟原來(lái)的方法可能不一樣，像原先我們檢測(cè)都是采集，模式識(shí)別，然后再去做出判斷和結(jié)論，或者再做一些關(guān)聯(lián)分析，將來(lái)是不一樣的，我們最近提出來(lái)四步式的檢測(cè)方式，首先擴(kuò)大你的采集面，其次叫做濃縮，再接著才是傳統(tǒng)的模式匹配，這都是由于大數(shù)據(jù)，海量數(shù)據(jù)的引入給我們帶來(lái)的一些新的變化。

再有就是高性能，我們不要忘記高性能給我們帶來(lái)的便利，我們大家能用手機(jī)其實(shí)要拜托電池，包括量子計(jì)算，不光是計(jì)算性能，全方面的高性能使得我們有機(jī)會(huì)從第三范式邁向第四范式，第四范式是微軟的一位科學(xué)家提出來(lái)的。這四個(gè)范式他認(rèn)為現(xiàn)在我們邁向第四范式的方向，第四范式主要是指大數(shù)據(jù)，有一本書(shū)就叫第四范式，這本書(shū)講的非常有意思，非常好的一本書(shū)

稍微講講第三個(gè)范式，美國(guó)的大片經(jīng)常是搞安全的要看的，黑客帝國(guó)四部要看，還有源代碼，源代碼老把八分鐘的場(chǎng)景反復(fù)播放，這有點(diǎn)像APT分析過(guò)程，它基于海量數(shù)據(jù)的存儲(chǔ)，它通過(guò)海量存儲(chǔ)給我們一個(gè)時(shí)間機(jī)的一種能力，這個(gè)實(shí)際上只有高性能才能幫我們?nèi)プ龅?。還有一個(gè)電影，叫做預(yù)見(jiàn)未來(lái)，主演凱奇，這個(gè)故事它有一種預(yù)見(jiàn)能力，他有這個(gè)能力可以往前走，比如他踩到地雷，炸了，他回來(lái)，它能夠分杈，這就是高性能的仿真這種感覺(jué)，我們以為將來(lái)的檢測(cè)不一定我知道這個(gè)模式，我看你是不是壞，我讓你運(yùn)行起來(lái)，我看你是什么結(jié)果，因?yàn)橛袉?wèn)題我就去掉，其實(shí)沙箱就是這個(gè)思想。我們現(xiàn)在的安全老是第二范式，我們連第三范式的安全能力都還沒(méi)有充分的發(fā)揮出來(lái)，第四范式已經(jīng)向我們走過(guò)來(lái)了，包括現(xiàn)在的新差差新計(jì)算，新網(wǎng)絡(luò)，新數(shù)據(jù)這種形態(tài)，給我們帶來(lái)新的啟示和挑戰(zhàn)，如果我們還保持現(xiàn)在的思維和能力，我們有可能被甩下去，這給我們挑戰(zhàn)和警醒，但是機(jī)會(huì)也很多。這從新差差帶來(lái)的新的思索，也是最近的一些考慮。

最后我想點(diǎn)到幾個(gè)現(xiàn)實(shí)一點(diǎn)的東西，就是09年奧巴馬上臺(tái)不到六個(gè)月做了一個(gè)計(jì)劃，在24個(gè)計(jì)劃里面可以看到關(guān)于技術(shù)是這幾個(gè)，紅色，其實(shí)它這幾個(gè)計(jì)劃，它現(xiàn)實(shí)在做什么，我們也可以印證一下，比如它提到了ID，中期計(jì)劃也提到了ID，可以看到ID是很高度的事情，它是寫(xiě)在國(guó)家戰(zhàn)略報(bào)告里面，入侵，防火墻他根本不提。第五條戰(zhàn)略預(yù)警機(jī)制，這都是檢測(cè)的路徑，只不過(guò)一個(gè)更宏觀一些。作為上海，作為我們國(guó)家，我們較大范圍的城市，這樣一個(gè)區(qū)域去考慮安全規(guī)劃和戰(zhàn)略的時(shí)候，其實(shí)美國(guó)這樣一個(gè)想法還是很值得思考和借鑒的。另外第九條談到技術(shù)規(guī)則，就是關(guān)注游戲規(guī)則的變化，就是這就是新差差的變化，今年三月份美國(guó)政府已經(jīng)發(fā)布了關(guān)于大數(shù)據(jù)的戰(zhàn)略計(jì)劃。確實(shí)美國(guó)在這方面的認(rèn)識(shí)走的非常前面，如果大數(shù)據(jù)將來(lái)是石油，我們?nèi)绻€不趕緊有全面的看法和戰(zhàn)略態(tài)度這是非常有問(wèn)題的，我們對(duì)這些數(shù)據(jù)，別人拿我這些數(shù)據(jù)，我拿數(shù)據(jù)換一點(diǎn)商業(yè)利益，你知道這個(gè)數(shù)據(jù)是戰(zhàn)略資源你不能換來(lái)簡(jiǎn)單的商業(yè)利益，你可能要換來(lái)更多的東西。第六條就是關(guān)于威脅場(chǎng)景，這是在美國(guó)的戰(zhàn)略報(bào)告里面有所體現(xiàn)。

今天主要談的是一些蜻蜓點(diǎn)水，比較虛，比較快，所謂點(diǎn)到為止，希望這些想法對(duì)大家有所幫助，歡迎大家關(guān)注的微博，這個(gè)PPT通過(guò)微博都可以找到。

主持（沈琪）：謝謝潘柱延先生，同樣各位有任何疑問(wèn)，或者想進(jìn)一步了解可以在微博的官方網(wǎng)站上去查。下面讓我們有請(qǐng)出山石網(wǎng)科首席技術(shù)專家楊慶華先生，為我們帶來(lái)《云時(shí)代的等級(jí)保護(hù)》，掌聲有請(qǐng)。

杜旭暉先生講解《云時(shí)代的等級(jí)保護(hù)》

杜旭暉：我們?cè)谒伎贾@樣一個(gè)問(wèn)題，我們現(xiàn)在經(jīng)常去講物聯(lián)網(wǎng)，去講云計(jì)算，去講云計(jì)算的挑戰(zhàn)，我們要做網(wǎng)絡(luò)安全的建設(shè)，特別我們做綜合防御的建設(shè)，我們挑戰(zhàn)在哪里，我們?nèi)绾螒?yīng)對(duì)它。我們今天想把我們一些經(jīng)驗(yàn)，或者案例，以及我們?cè)谠朴?jì)算應(yīng)對(duì)挑戰(zhàn)的一些思路與大家分享，包括對(duì)未來(lái)的張望。

其實(shí)我們來(lái)看，云計(jì)算它改變了什么？或者它沒(méi)有改變什么？我們一直在反思這樣一個(gè)問(wèn)題，就是云計(jì)算的應(yīng)用到底帶來(lái)什么？我們認(rèn)為云計(jì)算是一個(gè)IT模型的改變，在云計(jì)算服務(wù)里面可以清楚看到分成幾層，基礎(chǔ)架構(gòu)即服務(wù)，平臺(tái)即服務(wù)，軟件即服務(wù)。如果我去酒店住宿我需要酒店方提供床單，提供被子，所有這些設(shè)施，我需要的一切東西已經(jīng)事先定義好，只是我去享受它具體的服務(wù)，有點(diǎn)像我們的軟件級(jí)服務(wù)，如果我在這個(gè)酒店租一個(gè)房間，我做公司，它只需要給我提供一個(gè)樓層就可以了。具體這個(gè)樓層怎么去裝修，怎么去裝飾，那是由我的業(yè)主來(lái)決定的，同時(shí)我們也可以看到，這幾個(gè)層面它也是相互支撐，相互去做支持的。我們看到這樣一個(gè)趨勢(shì)之后，我們就考慮這樣一個(gè)問(wèn)題，其實(shí)在云計(jì)算時(shí)代，這種分工合作已經(jīng)形成。今天我們?cè)僦v的是云計(jì)算下面到底帶來(lái)的變化與不變是什么，我們山石網(wǎng)科認(rèn)為在云的時(shí)代并沒(méi)有革命性的變化，沒(méi)有變化的是業(yè)務(wù)邏輯沒(méi)有變化，我們?cè)谠朴?jì)算的環(huán)境里面我們的業(yè)務(wù)依然是按照原來(lái)的方式來(lái)進(jìn)行處理，我們的業(yè)務(wù)依然是從接入開(kāi)始，從認(rèn)證開(kāi)始，從計(jì)算開(kāi)始，然后到達(dá)存儲(chǔ)，包括中間的審核，業(yè)務(wù)邏輯不變，也就意味著我在近期安全防護(hù)的時(shí)候，我的響應(yīng)，我的防護(hù)，所關(guān)注的點(diǎn)是不變的，這是不變的地方，但是不管怎樣，因?yàn)樵朴?jì)算服務(wù)模式的變化，所用到組網(wǎng)技術(shù)的變化，就比如說(shuō)虛擬化是一種方式，它帶來(lái)什么變化呢？帶來(lái)基礎(chǔ)架構(gòu)的變化，包括它的建設(shè)方式的變化，包括它運(yùn)維模式的變化，綜合一點(diǎn)，如何針對(duì)云帶來(lái)的挑戰(zhàn)，類似我們這樣的安全廠商來(lái)講，我們跟主要如何在我們的技術(shù)架構(gòu)上面進(jìn)行一些變化，進(jìn)行一些探索，以適應(yīng)云計(jì)算環(huán)境所帶來(lái)的挑戰(zhàn)。

我們?cè)賮?lái)看業(yè)務(wù)邏輯的不變，依然需要整網(wǎng)的關(guān)注，我們看到不管是我們以前的這種傳統(tǒng)數(shù)據(jù)中心，或者說(shuō)我們基于云的數(shù)據(jù)中心，實(shí)際上我們?cè)趲讉€(gè)層面，在接入層面，在接入邊界層面，其實(shí)它的邏輯，它的運(yùn)算邏輯是沒(méi)有變化，所以我們認(rèn)為依然需要這些方面的建設(shè)，依然需要相應(yīng)的建設(shè)。但是基礎(chǔ)方面的變化依然帶來(lái)挑戰(zhàn)，因?yàn)檫@種結(jié)構(gòu)的變化，以前我們?cè)谧霭踩臅r(shí)候我們有著固定的邊界，我們很清楚我們的業(yè)務(wù)邊界在哪里，而且這個(gè)邊界是固定的，當(dāng)我們進(jìn)行檢測(cè)，當(dāng)我進(jìn)行防護(hù)的時(shí)候我有一個(gè)很確切的目標(biāo)，或者我有一個(gè)很確定的運(yùn)算位置，因此我有很確定的安全策略，但是現(xiàn)在云架構(gòu)下面用了兩個(gè)技術(shù)，這十得邊界是動(dòng)態(tài)變化的，在動(dòng)態(tài)變化下帶來(lái)的挑戰(zhàn)。我們?cè)賮?lái)看動(dòng)態(tài)變化的情況下，以前我們講的是網(wǎng)絡(luò)的邊界，比如我拿一個(gè)數(shù)據(jù)中心舉例，這個(gè)邊界我講的是整個(gè)數(shù)據(jù)中心的邊界，現(xiàn)在我們想一想，如果我搭建一個(gè)公有云的平臺(tái)，原來(lái)數(shù)據(jù)中心在一個(gè)中心機(jī)房，我稱之為邊界，如果在一個(gè)公有云的邊界下面，我的數(shù)據(jù)不僅僅在某個(gè)機(jī)房，我可能在某個(gè)城市多個(gè)機(jī)房，也有可能我的數(shù)據(jù)分散到不僅僅在上海，也可能在北京，或者在廣州，甚至我的數(shù)據(jù)沒(méi)有在國(guó)內(nèi)，可能我的數(shù)據(jù)在國(guó)外，數(shù)據(jù)不在本地這個(gè)邊界是無(wú)限擴(kuò)展的，這個(gè)邊界怎么去定義。

第二個(gè)，邊界越來(lái)越廣，第二個(gè)當(dāng)我進(jìn)行虛擬化以后，我的邊界縱深到了我的服務(wù)器內(nèi)部，以前說(shuō)我們邊界至少在物理形態(tài)上一條列路，只要在這個(gè)列路上面我們稱之為邊界。我們首先看到，在外部邊界角度來(lái)看，外部邊界首先面臨多用戶接入的問(wèn)題，為此我們提供的方案是，我們把我們所有的安全技術(shù)，以及安全功能給它遲化，給它做一個(gè)資源化了，同時(shí)我們也支持虛擬化，我們的虛擬化能夠?yàn)椴煌淖鈶籼峁┆?dú)立的平面，在獨(dú)立的平面上面我們實(shí)現(xiàn)多租戶接入的隔離，當(dāng)我不管數(shù)據(jù)在哪里？我不管數(shù)據(jù)在北京，在上海，甚至在國(guó)外，當(dāng)我的租戶接入的時(shí)候一定要關(guān)心隔離的問(wèn)題，這種隔離通過(guò)我們虛擬化技術(shù)，我們將不同的租戶，有可能在我們的一臺(tái)設(shè)備上，也可能分布各個(gè)結(jié)點(diǎn)上面，只有要求你有統(tǒng)一的ID我們依然可以識(shí)別，并且給你分配相應(yīng)的虛擬設(shè)備上面，來(lái)進(jìn)行虛擬化的隔離。實(shí)際上我們?cè)谶@個(gè)基礎(chǔ)上我們所做的安全檢測(cè)與安全防護(hù)依然是在虛擬化之前所做的事情。

第二個(gè)挑戰(zhàn)，邊界下沉，沉到服務(wù)器內(nèi)部了，我們提供的方案是在虛擬化的基礎(chǔ)上，我們采用一種流量牽引的方式，把流量牽引出來(lái)，牽引出來(lái)強(qiáng)制性進(jìn)行邊界檢查，然后又做邊界訪問(wèn)控制，惡意代碼控制，依然是在做著以前在云計(jì)算出現(xiàn)之前所做的事情，在這個(gè)里面我們關(guān)鍵技術(shù)就是如何有效把流量能夠牽引出來(lái)進(jìn)行分析。

我們?cè)谶M(jìn)行一個(gè)大的云計(jì)算的數(shù)據(jù)中心在做隔離的時(shí)候，我們又是如何實(shí)現(xiàn)這種業(yè)務(wù)邏輯的分層呢？依然我們采用的是一種在虛擬化技術(shù)的支撐下面，為不同的業(yè)務(wù)來(lái)提供獨(dú)立的控制平面，就是我們的虛擬機(jī)可以保障，不管你運(yùn)行在哪個(gè)虛擬機(jī)上的，而我們的虛擬技術(shù)來(lái)融合，來(lái)與它的虛擬機(jī)融合以后，我們保證運(yùn)行在不同虛擬機(jī)上的這種業(yè)務(wù)我們讓它經(jīng)過(guò)不同的，我們的不同虛擬設(shè)備來(lái)進(jìn)行有效的轉(zhuǎn)發(fā)和隔離，來(lái)保證多級(jí)的檢測(cè)與攻擊，為不同的業(yè)務(wù)提供獨(dú)立的防護(hù)平面。

還有動(dòng)態(tài)性，因?yàn)檫吔鐒?dòng)態(tài)化了。如果我們?cè)谶吔缟厦?，我們沒(méi)有感知到它的虛擬機(jī)的遷移以后，如果我們策略依然是靜態(tài)的進(jìn)行防護(hù)，當(dāng)我的虛擬化遷移以后有會(huì)出現(xiàn)漏洞，面對(duì)這個(gè)我們?cè)趺慈プ瞿兀课覀冃枰フ?，我們采用的是一種更虛擬化管理平臺(tái)整合的辦法，能夠有效的來(lái)進(jìn)行虛擬化狀態(tài)的感知，我們的設(shè)備能夠感知到我的虛擬機(jī)一直遷移到了哪一臺(tái)去了，這樣的話我們保證在動(dòng)態(tài)的環(huán)境下面我們依然進(jìn)行有效的邊界防護(hù)和惡意代碼防護(hù)，以及入侵監(jiān)測(cè)。

說(shuō)到底，我們山石網(wǎng)科給用戶提供的是一個(gè)集成化，綜合性的防御方式。在我們集成化的平臺(tái)上面融合了多種多樣的技術(shù)，同時(shí)我們認(rèn)為不管在云計(jì)算環(huán)境下，以及未來(lái)我們所講的大數(shù)據(jù)，然后在這樣一些主題下面，其實(shí)我們所關(guān)注的安全的核心內(nèi)容，我們并沒(méi)有發(fā)生變化，安全的重點(diǎn)依然是以業(yè)務(wù)為核心，所以我們依然關(guān)注在為用戶在提供綜合性的網(wǎng)絡(luò)方案的時(shí)候去關(guān)注去接入可視的程度能夠有效鑒別我網(wǎng)絡(luò)接入人員是誰(shuí)，如何為接入用戶進(jìn)行角色的分配，進(jìn)行相應(yīng)的管理，這是我們依然關(guān)注。不管他經(jīng)過(guò)傳統(tǒng)的數(shù)據(jù)中心，還是云的數(shù)據(jù)中心，它經(jīng)過(guò)了哪些網(wǎng)絡(luò)設(shè)備，依然我們要進(jìn)行應(yīng)用可視化的檢測(cè)，在應(yīng)用層我們進(jìn)行分析和檢測(cè)。依然我們對(duì)整個(gè)網(wǎng)絡(luò)流量，并發(fā)，繪畫(huà)，我們依然要做深度的分析，依然要從多緯度的角度看當(dāng)前的安全態(tài)勢(shì)，以及我們業(yè)務(wù)應(yīng)用的一些狀態(tài)。

最后我再展望一下，在云環(huán)境下面的防火墻不僅僅是一個(gè)設(shè)備，首先我們來(lái)看，云計(jì)算和大數(shù)據(jù)，它所倡導(dǎo)的資源化的趨勢(shì)，這個(gè)所帶來(lái)的就是業(yè)務(wù)集中處理，數(shù)據(jù)的大集中的處理，然后還有在這種海量數(shù)據(jù)下面如何進(jìn)行深度的分析和挖掘，來(lái)有效的去看我們的業(yè)務(wù)狀態(tài)到底是如何的，業(yè)務(wù)一定是我們最關(guān)心的問(wèn)題。

我們第一個(gè)層面，我們提供一個(gè)叫做安全池化這個(gè)概念，既然所有的計(jì)算資源，所有的存儲(chǔ)資源，以及所有的網(wǎng)絡(luò)資源已經(jīng)資源化了，已經(jīng)池化了，我們安全也要池化，池化以后我們提供有效的管理。可能會(huì)有獨(dú)立形態(tài)的網(wǎng)絡(luò)硬件廠商和獨(dú)立形態(tài)的網(wǎng)絡(luò)軟件廠商出現(xiàn)，在這種分層的方式下面我們提供一種彈性的安全架構(gòu)，我們這種安全設(shè)備把控制平面和管理平面也進(jìn)行了一個(gè)分離，這樣做有什么好處呢？當(dāng)我池化資源的時(shí)候我一定是多臺(tái)設(shè)備，可能多個(gè)物理設(shè)備在運(yùn)用的情況下，我有一個(gè)集中的管控中心，因?yàn)槲业墓芸?，我?duì)設(shè)備管理的平面已經(jīng)被分離出來(lái)了，分離出來(lái)以后我們還要做一件什么事情呢？就是第三步，就是融合，跟網(wǎng)絡(luò)的融合，跟你的業(yè)務(wù)的融合，如何實(shí)現(xiàn)跟網(wǎng)絡(luò)的融合呢？就是我們跟融合以后的SDN以后的，我們跟網(wǎng)絡(luò)的監(jiān)控和管理平面來(lái)進(jìn)行一個(gè)通信，來(lái)進(jìn)行一個(gè)連動(dòng)，在管理上面，在安全監(jiān)控提供獨(dú)立的安全監(jiān)控和管理，獨(dú)立安全監(jiān)控和管理包括兩個(gè)層面，一審計(jì)，二策略，審計(jì)我們通過(guò)，實(shí)際上那個(gè)時(shí)候安全設(shè)備已經(jīng)成為一個(gè)觸手，它去探索，他在整個(gè)業(yè)務(wù)過(guò)程中去抓取你的信息，然后回饋給我們這個(gè)統(tǒng)一的彈性架構(gòu)的管理平臺(tái)里面，然后由管理架構(gòu)決策形成動(dòng)態(tài)的策略，再回饋到我們所有的觸角，在回饋到安全資源池里面，然后對(duì)你的廣泛的業(yè)務(wù)進(jìn)行全面的保護(hù)。未來(lái)的形態(tài)當(dāng)我們安全以池化的資源提供的時(shí)候，我們需要跟相應(yīng)全局性的網(wǎng)絡(luò)管理來(lái)進(jìn)行一個(gè)有效的融合，融合以后，然后在用我們的這種彈性架構(gòu)以后安全控制平面來(lái)全局性的搜集事件，來(lái)全局性的分析事件，然后以策略的形式再回饋到安全池，在安全池里我們?cè)俅瓮瓿上鄳?yīng)的檢測(cè)，相應(yīng)的管控。

總結(jié)一下，山石網(wǎng)科是一個(gè)，我們關(guān)注于國(guó)內(nèi)市場(chǎng)，而且非常關(guān)注在政府市場(chǎng)上面，我們也愿意為國(guó)家整網(wǎng)進(jìn)行服務(wù)，我們今天分享的是云環(huán)境下面有變的部分，有不變的部分，等級(jí)保護(hù)依然是有效的辦法，云計(jì)算帶來(lái)變化部分就是基礎(chǔ)結(jié)構(gòu)的變化，給邊界防護(hù)帶來(lái)挑戰(zhàn)，因此現(xiàn)在我們可能聽(tīng)到這樣的聲音，叫做邊界已經(jīng)模糊化了，或者邊界已經(jīng)消失了，其實(shí)不是，業(yè)務(wù)邊界永遠(yuǎn)存在的，只是說(shuō)邊界的形態(tài)發(fā)生了變化，因此我們山石網(wǎng)科所提供的方案正是我們所要改變的，依然是設(shè)備形態(tài)的一種變化，一種是檢測(cè)形態(tài)的變化，來(lái)適應(yīng)業(yè)務(wù)邊界的變化。我們的方案也希望能夠?yàn)檎W(wǎng)提供綜合性的安全保障和安全的管控。

今天我的演講就到此結(jié)束。

主持（沈琪）：謝謝來(lái)自山石網(wǎng)科的杜旭暉先生的演講，下面就是我們的午餐時(shí)間。再次感謝各位來(lái)參加我們的會(huì)議，謝謝。

(下午)主持人：我們下午的論壇正式開(kāi)始，我們今天下午是云安全和網(wǎng)絡(luò)信任分論壇在這個(gè)會(huì)議室，隔壁還有金融方面的分論壇，我們論壇第一個(gè)環(huán)節(jié)是網(wǎng)絡(luò)安全的攻防演示，下面有請(qǐng)安恒的技術(shù)人員。

杭州安恒信息技術(shù)有限公司安全服務(wù)部分五總監(jiān)劉志樂(lè)先生

劉志樂(lè)：各位嘉賓下午好，接下來(lái)由我們安恒安全研究院的小組跟大家現(xiàn)場(chǎng)Web攻防施實(shí)戰(zhàn)，在實(shí)戰(zhàn)演習(xí)之前有一個(gè)序曲，我們講一下這個(gè)互聯(lián)網(wǎng)時(shí)代，黑客文化的變遷。

大家都知道自從有了計(jì)算機(jī)技術(shù)以來(lái)，始終伴隨計(jì)算機(jī)技術(shù)而存在的話題，在很早以前黑客技術(shù)的人更多是對(duì)技術(shù)的一種執(zhí)著，實(shí)際上他們也推動(dòng)了計(jì)算機(jī)信息技術(shù)向前發(fā)展，包括很多我們著名業(yè)內(nèi)很多過(guò)去成功的人士，實(shí)際上他們都是黑客范疇。但是現(xiàn)在更多，我們現(xiàn)在現(xiàn)在所說(shuō)的黑客，已經(jīng)是害客了，在黑客發(fā)展那么多年過(guò)程當(dāng)中也存在很多異類人士，比如當(dāng)年口哨黑客，當(dāng)年美國(guó)電話系統(tǒng)存在漏洞，他利用口哨進(jìn)行盜打電話，這是喬布斯他們那個(gè)年代。后來(lái)全球大家都知道的李文凱特，在黑客界里邊也是鼎鼎有名。但是今天我們?cè)倏纯春诳鸵呀?jīng)發(fā)展成什么了，發(fā)展成商業(yè)團(tuán)體，它這個(gè)商業(yè)團(tuán)體更多打引號(hào)，他們更多是犯罪集團(tuán)，他們?cè)诟`取我們個(gè)人的隱私，用戶信息，然后去進(jìn)行地下黑客產(chǎn)業(yè)鏈等等。這幾年隨著國(guó)家法律的嚴(yán)懲，也有很多人為此付出了沉重的代價(jià)。

接下來(lái)我們將進(jìn)行現(xiàn)場(chǎng)的演示階段，首先我們這邊有一個(gè)攻擊階段，在攻擊階段，攻擊者組成了一個(gè)攻擊團(tuán)隊(duì)，其中一名攻擊人員他知道準(zhǔn)備攻擊的對(duì)象，知道攻擊的對(duì)象以后他首先對(duì)對(duì)象進(jìn)行一個(gè)端口掃描，通過(guò)自動(dòng)化的掃描工具去發(fā)現(xiàn)對(duì)象開(kāi)了哪些端口，有哪些服務(wù)，這些服務(wù)我該從哪個(gè)服務(wù)去下手，通過(guò)端口掃描我們剛才發(fā)現(xiàn)開(kāi)放了一個(gè)80HTTP的服務(wù)，這是一個(gè)Web服務(wù)，他就去訪問(wèn)808這個(gè)端口，這一個(gè)CMS新聞的發(fā)布系統(tǒng)，它到了這個(gè)系統(tǒng)以后，它首先去嘗試對(duì)這個(gè)Web應(yīng)用系統(tǒng)進(jìn)行一個(gè)漏洞的探測(cè)，它去找Web網(wǎng)站里面什么地方有漏洞，他現(xiàn)在在進(jìn)行的就在嘗試注入的過(guò)程，可能一個(gè)網(wǎng)站在找這個(gè)漏洞的時(shí)候需要花費(fèi)一定的時(shí)間，當(dāng)時(shí)看了一下這個(gè)網(wǎng)站全是靜態(tài)頁(yè)面的網(wǎng)站，比如說(shuō)用傳統(tǒng)的檢測(cè)方法，不是太好檢測(cè)，他現(xiàn)在用一個(gè)專業(yè)代理工具，他在輸入的地方，有用戶注冊(cè)的地方有一個(gè)注冊(cè)郵箱，在我們正常的瀏覽器里面你輸郵箱的時(shí)候后臺(tái)發(fā)一個(gè)請(qǐng)求的命令到服務(wù)器的，他發(fā)現(xiàn)了，通過(guò)返回我們可以看到這個(gè)地方是存在端口注入，端口注入是Web應(yīng)用安全十大漏洞里面最高的一個(gè)漏洞，端口注入漏洞輕一點(diǎn)可以把用戶后臺(tái)的數(shù)據(jù)信息全部盜走，重一點(diǎn)甚至可以執(zhí)行操作系統(tǒng)命令，他現(xiàn)在用一個(gè)專業(yè)的半自動(dòng)化的滲透測(cè)試工具對(duì)注入點(diǎn)去進(jìn)行注入，他現(xiàn)在對(duì)注入點(diǎn)進(jìn)行一個(gè)配置，然后去獲取它的環(huán)境變量，然后得知這個(gè)數(shù)據(jù)庫(kù)是一個(gè)CMS的數(shù)據(jù)庫(kù)，是一個(gè)5.0螞蟻斯扣的數(shù)據(jù)，去獲取表里面的數(shù)據(jù)，數(shù)據(jù)里面有一個(gè)用戶，但是它是加密的，但是這個(gè)加密強(qiáng)度不高的，是MD5加密的，這個(gè)MD5可以通過(guò)MD5的破解工具，或者直接通過(guò)一些CMD5，MD5等等這些在線破解的哈西網(wǎng)站，得出這個(gè)哈西密碼，現(xiàn)在他有了這個(gè)用戶名和密碼以后，他進(jìn)行托庫(kù)的操作，就是把用戶表里面所有的信息進(jìn)行一個(gè)，把它另存下來(lái)，黑客俗稱托庫(kù)，去年600多萬(wàn)的數(shù)據(jù)被竊取，就是通過(guò)這種方式被黑客竊取走。

接下來(lái)匿名攻擊者利用獲得的用戶名和密碼去登錄這個(gè)系統(tǒng)，登錄這個(gè)系統(tǒng)在會(huì)員中心有一個(gè)發(fā)布稿件的地方，就像我們經(jīng)常在網(wǎng)站BBS上，我們可以有用戶注冊(cè)，可以發(fā)布我們自己的憑證，在這里邊有一個(gè)上傳，上傳的地方首先它想這個(gè)地方有一個(gè)上傳，我是不是可以上傳一個(gè)網(wǎng)頁(yè)后門(mén)，但是一傳上不上去，因?yàn)檫@個(gè)地方是上傳圖片的地方，他想想辦法我怎么利用上傳圖片的地方上傳一個(gè)后門(mén)在上面去，他把這個(gè)后綴重命名GPG，再嘗試一下發(fā)送，發(fā)送一下截取下來(lái)以后他把它修改掉，把后綴改為GSP，然后發(fā)送，發(fā)送以后上傳成功，這就是繞過(guò)上傳圖片的限制，繞過(guò)了驗(yàn)證。上傳成功以后他接下來(lái)繼續(xù)做其它的動(dòng)作。現(xiàn)在都是在利用漏洞，這個(gè)Web Sql可以執(zhí)行系統(tǒng)命令，首先它看一下自己是一個(gè)什么命令，一看是系統(tǒng)用戶，他加一個(gè)用戶，進(jìn)而把這個(gè)用戶加入到管理員，被加入害客的用戶就有了管理員的權(quán)限。這個(gè)時(shí)候他有了這個(gè)系統(tǒng)的用戶名和帳號(hào)，然后就通過(guò)遠(yuǎn)程3389這個(gè)連接，從遠(yuǎn)程去登錄這臺(tái)Web服務(wù)器，他登錄這個(gè)服務(wù)器以后，一般黑客進(jìn)入這個(gè)服務(wù)器以后，他首先掛黑頁(yè)，最近十八大要召開(kāi)了，國(guó)外法輪功，加拿大的黑客也黑了我們國(guó)內(nèi)好幾個(gè)政府網(wǎng)站，他們就會(huì)把首頁(yè)替換掉，替換到反共的言論，這一塊現(xiàn)在他在做的就是找到網(wǎng)站的目錄地址，然后把這個(gè)網(wǎng)站的首頁(yè)進(jìn)行篡改，這就是一個(gè)篡改的過(guò)程，這個(gè)地方就是原本已經(jīng)弄好的黑頁(yè)，然后他把它復(fù)制到原來(lái)的網(wǎng)頁(yè)里邊主頁(yè)一個(gè)文件里面。這個(gè)時(shí)候我們?cè)僭L問(wèn)這個(gè)網(wǎng)站，這個(gè)時(shí)候這個(gè)網(wǎng)站已經(jīng)主頁(yè)已經(jīng)被篡改掉了，如果是一個(gè)真實(shí)的網(wǎng)站，就已經(jīng)被黑客替換掉了。

整個(gè)是一個(gè)攻擊的過(guò)程，在短短大概不到10分鐘的時(shí)間，兩名攻擊者組成的攻擊隊(duì)伍就已經(jīng)獲得了這一臺(tái)Web服務(wù)器操作系統(tǒng)的權(quán)限。

接下來(lái)我們?cè)龠M(jìn)行一個(gè)防護(hù)的階段，根據(jù)監(jiān)控平臺(tái)的報(bào)警，這個(gè)網(wǎng)站的管理員獲知他的網(wǎng)站已經(jīng)發(fā)生了篡改，及時(shí)的組織應(yīng)急響應(yīng)人員來(lái)到了客戶的現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)的操作。

首先啟動(dòng)一個(gè)應(yīng)急響應(yīng)的流動(dòng)，應(yīng)急響應(yīng)首先保證原本的服務(wù)在很短的時(shí)間之內(nèi)快速的對(duì)外服務(wù)，他首先登陸數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)，在這個(gè)系統(tǒng)里邊他去看一下這個(gè)網(wǎng)站到底是遭受到了什么樣的攻擊。數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)一般情況下它是會(huì)及時(shí)的對(duì)數(shù)據(jù)庫(kù)所有的操作都會(huì)把它及時(shí)的記錄下來(lái)，記錄下來(lái)，像剛才這種拖庫(kù)的行為在系統(tǒng)上面就會(huì)記錄，應(yīng)急響應(yīng)一般先是到現(xiàn)場(chǎng)去溯源，通過(guò)什么手段，利用什么漏洞，在什么時(shí)候，做了什么樣的事情。在這個(gè)里邊它有很多的告警，在這個(gè)告警信息里邊它有嚴(yán)重拖庫(kù)行為，而且它查詢語(yǔ)句在這個(gè)上面都有明顯的顯示。知道了這是一個(gè)從輸口注入所引起的攻擊行為以后，這個(gè)應(yīng)急響應(yīng)工程師他會(huì)遠(yuǎn)程登錄這臺(tái)Web服務(wù)器，在上面要去做一些整個(gè)網(wǎng)站的恢復(fù)和整個(gè)溯源過(guò)程，首先他用系統(tǒng)管理員的帳戶和密碼登錄這臺(tái)服務(wù)器，登陸這臺(tái)服務(wù)器以后進(jìn)行網(wǎng)站備份的恢復(fù)，然后還會(huì)把它的操作系統(tǒng)的日志，還有Web的日志都會(huì)做一個(gè)備份，這樣的話很方便整個(gè)溯源取證，比如說(shuō)是一些政府的站點(diǎn)他也方便把證據(jù)提供給執(zhí)法機(jī)關(guān)，可以讓他們立案，然后追溯到黑客攻擊的源頭，有效的打擊黑客入侵行為。他首先要把用的應(yīng)急響應(yīng)的工具包上傳遠(yuǎn)程的服務(wù)器上面，然后他看一下這個(gè)黑客添加了什么樣的帳號(hào)，看到黑客添加了一個(gè)泰斯太用戶，如果黑客還在線他會(huì)把這個(gè)用戶注銷，會(huì)話把它注銷掉。注銷掉以后他會(huì)整個(gè)操作系統(tǒng)的日志做一個(gè)備份。這是有些水平比較高的黑客，他可能入侵了以后他把這些痕跡刪除掉，日志也會(huì)刪除掉，這個(gè)時(shí)候更多需要其它日志審計(jì)的設(shè)備，因?yàn)樗诰W(wǎng)絡(luò)是鏡像的，他不一定能刪除掉，有時(shí)候系統(tǒng)自己會(huì)擦除入侵的痕跡。接下來(lái)他對(duì)原本整個(gè)網(wǎng)站的目錄進(jìn)行一個(gè)網(wǎng)頁(yè)后門(mén)的查殺，他通過(guò)自動(dòng)化的腳本，腳本去發(fā)現(xiàn)當(dāng)時(shí)黑客總共上傳了多少個(gè)頁(yè)面到這個(gè)服務(wù)器上，然后自動(dòng)的如果發(fā)現(xiàn)它會(huì)對(duì)網(wǎng)頁(yè)后門(mén)進(jìn)行一個(gè)查殺的過(guò)程。

這是一個(gè)查殺的過(guò)程，但是這個(gè)應(yīng)用已經(jīng)恢復(fù)正常了，通過(guò)備份把網(wǎng)站正常對(duì)外服務(wù)了，但是它這個(gè)網(wǎng)站還是存在漏洞的，存在漏洞怎么辦？首先另一名工程師會(huì)用自動(dòng)化的自動(dòng)掃描工具對(duì)這個(gè)網(wǎng)站掃一下，去發(fā)現(xiàn)到底存在什么樣的漏洞，通過(guò)掃描發(fā)現(xiàn)這個(gè)網(wǎng)站不斷具有漏洞，這些漏洞都是很高危的漏洞，都容易被黑客利用對(duì)你的網(wǎng)站進(jìn)行有效的攻擊。

網(wǎng)站現(xiàn)在已經(jīng)開(kāi)發(fā)好了，已經(jīng)上線了，我這個(gè)時(shí)候不能找網(wǎng)站開(kāi)發(fā)人員進(jìn)行代碼的修復(fù)，這個(gè)時(shí)候確保我網(wǎng)站繼續(xù)安全對(duì)外提供服務(wù)，這個(gè)時(shí)候就可以通過(guò)專業(yè)的Web應(yīng)用防火墻，這個(gè)是專門(mén)針對(duì)Web應(yīng)用層面的防護(hù)，這樣的話通過(guò)Web應(yīng)用防火墻有效的對(duì)網(wǎng)站所存在的這些漏洞進(jìn)行一個(gè)有效的防護(hù)?，F(xiàn)在他已經(jīng)把這個(gè)網(wǎng)站進(jìn)行有效的配置到防護(hù)范圍之內(nèi)。這個(gè)時(shí)候工程師自己也配置完成以后，他嘗試對(duì)這個(gè)網(wǎng)站確認(rèn)一下防護(hù)的效果有沒(méi)有起效。他嘗試用這種測(cè)試注入的語(yǔ)句來(lái)進(jìn)行一個(gè)測(cè)試，這個(gè)時(shí)候已經(jīng)進(jìn)行了有效的攔截。整個(gè)應(yīng)急響應(yīng)的流程就結(jié)束了。

應(yīng)急響應(yīng)過(guò)程結(jié)束以后攻擊者他并不知道，他可能前面把網(wǎng)站入侵了以后他可能覺(jué)得我要休息一下，然后我明天繼續(xù)對(duì)這個(gè)網(wǎng)站再去進(jìn)一步的，比如對(duì)內(nèi)網(wǎng)進(jìn)行一個(gè)滲透，或者說(shuō)把這臺(tái)網(wǎng)站變成自己的一個(gè)肉雞，日后用它對(duì)其它網(wǎng)站進(jìn)行DDS攻擊之類的，他早上一覺(jué)起來(lái)以后他又去對(duì)這個(gè)網(wǎng)站前面上傳的地址訪問(wèn)，一訪問(wèn)一看地址不存在了，他很惱火，地址怎么不存在了，我昨天只有把數(shù)據(jù)庫(kù)拖了一個(gè)，其它庫(kù)還沒(méi)有拖，我趕緊用昨天輸口注入的漏洞把數(shù)據(jù)全部獲取，通過(guò)這個(gè)工具已經(jīng)沒(méi)有辦法獲取這個(gè)數(shù)據(jù)了，為什么？因?yàn)檩斎胱⒖诼┒幢籛eb防火墻進(jìn)行了有效的阻斷。

我們今天攻防演示就到此結(jié)束，然后謝謝大家。

主持人：非常感謝安恒公司給我們做的精彩的網(wǎng)站攻防的演練，我們今天的論壇設(shè)置了一個(gè)互動(dòng)環(huán)節(jié)，一個(gè)抽獎(jiǎng)環(huán)節(jié)，在每一位嘉賓發(fā)言，或者演講結(jié)束以后我們?cè)试S觀眾提兩個(gè)問(wèn)題，每一個(gè)問(wèn)題都會(huì)有一個(gè)小禮品贈(zèng)送給大家，在五點(diǎn)鐘的時(shí)候，我們論壇結(jié)束之前，我們會(huì)有一個(gè)電腦抽獎(jiǎng)，然后抽獎(jiǎng)是根據(jù)在座的各位嘉賓證下面有一個(gè)號(hào)碼，根據(jù)這個(gè)號(hào)碼電腦自助來(lái)抽，獎(jiǎng)品是惠普電腦的超極本，希望大家堅(jiān)持到最后，能夠拿到這個(gè)超極本。

云計(jì)算作為一種基于網(wǎng)絡(luò)信息資源的消費(fèi)模式，在過(guò)去幾年成為信息消費(fèi)領(lǐng)域一個(gè)最熱門(mén)話題之一，當(dāng)然伴隨著云計(jì)算的大熱，安全問(wèn)題一直是伴隨始終，我所看過(guò)的大陸和臺(tái)灣云計(jì)算的書(shū)，我個(gè)人全買了，在每一本書(shū)都會(huì)提到安全和隱私信任是阻礙云計(jì)算為用戶，包括我們個(gè)人和企業(yè)接受最大的障礙，基本上安全信任隱私這個(gè)問(wèn)題排在第一位。我個(gè)人認(rèn)為在云計(jì)算時(shí)代，安全和傳統(tǒng)方式下發(fā)生了蠻大的變化，我看了今天主辦方給我的主題，根據(jù)這個(gè)主題可以歸結(jié)為三個(gè)方面。第一個(gè)傳統(tǒng)的信息安全是邊界，今天上午嘉賓演講說(shuō)邊界消失，但是還是可以拉回來(lái)，但是我個(gè)人認(rèn)為邊界可能有點(diǎn)變，就是我們防護(hù)體系要變，另外一個(gè)是數(shù)據(jù)的安全。我們今天下午的嘉賓也會(huì)繼續(xù)深入探討這個(gè)問(wèn)題。

第三個(gè)是云數(shù)據(jù)中心的安全，我看了一下我們主要的演講嘉賓將會(huì)在這幾個(gè)方面進(jìn)行深入的探討。

首先我們有請(qǐng)上海市經(jīng)信委安全處長(zhǎng)楊東升處長(zhǎng)來(lái)為我們致詞，大家掌聲歡迎。【發(fā)起話題】

上海市經(jīng)信委安全處長(zhǎng)楊東升處長(zhǎng)

楊東升：尊敬的各位領(lǐng)導(dǎo)，各位專家，各位來(lái)賓，女士們，先生們，下午好。

根據(jù)會(huì)議的安排，我發(fā)言的題目是《當(dāng)前信息安全形勢(shì)與挑戰(zhàn)》，今天上午幾位領(lǐng)導(dǎo)和院士專家都做了非常精彩的演講，下面我主要從信息安全工作的角度來(lái)談?wù)?，從兩個(gè)方面來(lái)談一些認(rèn)識(shí)和體會(huì)。

第一個(gè)方面是當(dāng)前信息安全的形勢(shì)。這個(gè)主要從三個(gè)方面考慮：第一個(gè)從國(guó)際，還有國(guó)內(nèi)，從上海。

從國(guó)際來(lái)說(shuō)，上午很多領(lǐng)導(dǎo)專家也談了，許多國(guó)際都制定了信息安全的國(guó)家戰(zhàn)略，就是把信息安全威脅視為經(jīng)濟(jì)安全，國(guó)家安全最為重要的威脅之一，把網(wǎng)絡(luò)空間看作是繼陸海空天之后的第五個(gè)空間，一直在謀求網(wǎng)絡(luò)空間的主導(dǎo)權(quán)，像美國(guó)先后發(fā)布了網(wǎng)絡(luò)空間的國(guó)際戰(zhàn)略，成立了網(wǎng)站司令部，發(fā)展了先發(fā)制人的網(wǎng)絡(luò)攻擊能力，頻繁的進(jìn)行攻防演習(xí)，英國(guó)，法國(guó)，俄羅斯等國(guó)家紛紛采取一系列的措施加強(qiáng)信息管理，我們國(guó)家所面臨的信息安全壓力不斷的增大。從國(guó)內(nèi)來(lái)看，我們國(guó)家一些重要的網(wǎng)絡(luò)和信息系統(tǒng)這個(gè)防護(hù)還是比較薄弱，信息安全問(wèn)題突出。風(fēng)險(xiǎn)增加加劇。根據(jù)工信部的抽查發(fā)現(xiàn)2011年我們國(guó)家有63%的業(yè)務(wù)信息系統(tǒng)，33%的政府網(wǎng)站，17.5%的服務(wù)器，23.2%的網(wǎng)絡(luò)設(shè)備，26.2%的終端計(jì)算機(jī)，都存在著高危風(fēng)險(xiǎn)的漏洞。這些大部分的漏洞都可以被利用，進(jìn)而實(shí)施攻擊破壞，應(yīng)該說(shuō)這個(gè)問(wèn)題還是非常嚴(yán)重，同時(shí)我們國(guó)家一些關(guān)鍵的基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)，正在面臨著信息安全的威脅正在加大。像石油石化，電力，軌道交通，供水供氣，鋼鐵，裝備制造等關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)越來(lái)越多的采用通用的軟件，通用的協(xié)議，以各種方式與互聯(lián)網(wǎng)等公用網(wǎng)絡(luò)連接，病毒木馬威脅向公共系統(tǒng)擴(kuò)散。從上海來(lái)看信息化已經(jīng)成為這個(gè)城市運(yùn)轉(zhuǎn)基礎(chǔ)的支撐，信息安全保障也因此成為整個(gè)城市運(yùn)行保障的重要組成部分，這可以從三個(gè)方面來(lái)理解。

第一個(gè)方面是從服務(wù)上海四個(gè)中心建設(shè)的需要，應(yīng)該說(shuō)目前上海正在全面實(shí)施信息化領(lǐng)先的發(fā)展戰(zhàn)略，充分發(fā)揮信息化在推進(jìn)四個(gè)中心和現(xiàn)代化國(guó)際大都市建設(shè)中的支撐作用和帶動(dòng)效應(yīng)，目前本市的互聯(lián)網(wǎng)帶寬達(dá)到450個(gè)G，占全國(guó)大概三分之一，城域網(wǎng)絡(luò)流量達(dá)到2.4個(gè)T，隨著信息技術(shù)在金融貿(mào)易，航運(yùn)，等重點(diǎn)領(lǐng)域的應(yīng)用，信息流已經(jīng)成為資金，物流，能源，加速流動(dòng)的驅(qū)動(dòng)力，所以保證信息的使用和安全是推進(jìn)四個(gè)中心建設(shè)的必然要求。

第二個(gè)方面，這個(gè)也是我們上海推進(jìn)智慧城市建設(shè)的需要。加快建設(shè)面向未來(lái)的智慧城市是市委市政府做出的重大一項(xiàng)部署，本市推動(dòng)三年行動(dòng)計(jì)劃，明確將信息安全作為四大之一，逐步形成以智慧城市相適應(yīng)的信息安全保障體系。

第三個(gè)方面也是我們應(yīng)對(duì)信息安全威脅，這個(gè)新變化的需要。前一段時(shí)間我們上海根據(jù)國(guó)家統(tǒng)一部署，組織實(shí)施了一些重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全的檢查行動(dòng)，也發(fā)現(xiàn)了一些新的威脅和問(wèn)題，這里面有一個(gè)新的威脅，剛才也談到了，就是我們上海近30%的工業(yè)控制系統(tǒng)和企業(yè)內(nèi)部網(wǎng)絡(luò)都采用防護(hù)比較薄弱的無(wú)線連接方式，部分工業(yè)系統(tǒng)存在非法外連，很容易造成生產(chǎn)調(diào)動(dòng)的失靈和系統(tǒng)的癱瘓。檢查中還發(fā)現(xiàn)，存在著一些能源管理，包括技術(shù)防范，還有一些單位在應(yīng)急預(yù)案缺乏可操作性，這個(gè)數(shù)據(jù)備份和災(zāi)難恢復(fù)工作沒(méi)有進(jìn)行必要的演練和驗(yàn)證，一旦發(fā)生重大的安全事件就難以有效的處置，這些問(wèn)題都需要我們今后工作中不斷的加以改進(jìn)和解決。

下面第二個(gè)方面，就是當(dāng)前面臨的挑戰(zhàn)與對(duì)策建議。當(dāng)前信息技術(shù)日新月異，其技術(shù)的內(nèi)涵和外延，應(yīng)用的廣泛，應(yīng)用的范圍和深度在不斷的拓展，信息安全工作正面臨前所未有的挑戰(zhàn)，這個(gè)主要從四個(gè)方面理解。

第一個(gè)方面新技術(shù)，新應(yīng)用快速發(fā)展帶來(lái)了新的安全威脅，對(duì)此我們前瞻性研究不夠，這個(gè)我簡(jiǎn)單歸納一下四個(gè)方面的風(fēng)險(xiǎn)。第一個(gè)是大量接入網(wǎng)絡(luò)低安全性的物聯(lián)網(wǎng)設(shè)備，將會(huì)成為被破解和被侵入目標(biāo)。第二個(gè)方面是云計(jì)算等新型應(yīng)用模式所具有的資源虛擬化，動(dòng)態(tài)和移動(dòng)特性，將使傳統(tǒng)的數(shù)據(jù)隔離，身份認(rèn)證，授權(quán)管理，訪問(wèn)控制等監(jiān)管機(jī)制和技術(shù)手段將難以持續(xù)有效。三，云計(jì)算的廣泛應(yīng)用使得信息資源安全問(wèn)題凸現(xiàn)，個(gè)人信息的保護(hù)，企業(yè)商業(yè)秘密，國(guó)家基礎(chǔ)數(shù)據(jù)的敏感信息資源的保護(hù)難度要加大。第四個(gè)方面針對(duì)物聯(lián)網(wǎng)和云計(jì)算新應(yīng)用的模式，第三方監(jiān)管審計(jì)，取證，等機(jī)制尚未建立。一旦推廣應(yīng)用，在發(fā)生糾紛時(shí)就難以仲裁，可能產(chǎn)生眾多的社會(huì)和經(jīng)濟(jì)問(wèn)題。

對(duì)此我們要對(duì)物聯(lián)網(wǎng)，云計(jì)算，移動(dòng)互聯(lián)，下一代新技術(shù)，新業(yè)務(wù)要加強(qiáng)研究，加快建立新技術(shù)新應(yīng)用的信息安全風(fēng)險(xiǎn)評(píng)估制度，主動(dòng)加強(qiáng)應(yīng)對(duì)信息安全新問(wèn)題，新情況的能力。

第二個(gè)面臨的挑戰(zhàn)是國(guó)際國(guó)內(nèi)的信息安全形勢(shì)日益復(fù)雜，對(duì)此我們依法監(jiān)管的手段不足，隨著信息技術(shù)的深入應(yīng)用，更多領(lǐng)域的數(shù)字化，更大范圍的網(wǎng)絡(luò)化，和更高層次的智能化，信息安全的不確定性和復(fù)雜性正在明顯的增加，信息安全在國(guó)家安全和城市運(yùn)行安全中的重要地位更加凸現(xiàn)，面對(duì)嚴(yán)峻復(fù)雜的信息安全形勢(shì)，我們國(guó)家在信息安全方面的法律法規(guī)比較明顯的缺乏，尤其是一些行之有效的長(zhǎng)效管理機(jī)制缺乏法律的支撐，強(qiáng)制約束性不強(qiáng)。但是從美國(guó)來(lái)說(shuō)，美國(guó)不僅先后發(fā)布了政治，軍事等領(lǐng)域的信息安全國(guó)家戰(zhàn)略，而且還陸續(xù)頒布信息自由法，總統(tǒng)檔案法，聯(lián)邦信息資源管理法，國(guó)家信息基礎(chǔ)保護(hù)法案等于一系列的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，已經(jīng)形成了一整套完整的法規(guī)體系，同時(shí)它還不斷以政府通告，總統(tǒng)行政命令等形式來(lái)推動(dòng)有關(guān)信息安全方面的規(guī)章制度，我們國(guó)家在信息立法方面明顯滯后，我們建議我們國(guó)家加快出臺(tái)信息安全方面的法律法規(guī)，我們上海正在起草上海信息化條例當(dāng)中，也會(huì)進(jìn)一步增強(qiáng)信息安全監(jiān)管和信息安全風(fēng)險(xiǎn)應(yīng)對(duì)，包括處罰方面的內(nèi)容，進(jìn)一步加強(qiáng)依法監(jiān)管的能力和手段。

第三個(gè)挑戰(zhàn)，關(guān)鍵信息技術(shù)產(chǎn)品和服務(wù)嚴(yán)重的依賴國(guó)外，受制于人，對(duì)此我們技術(shù)支撐手段不足。根據(jù)工信部前一陣子抽查發(fā)展，像我們一些重點(diǎn)行業(yè)，像銀行，證券，保險(xiǎn)，通信，等重要行業(yè)，它的高端服務(wù)器，存儲(chǔ)設(shè)備和操作系統(tǒng)100%為國(guó)外的產(chǎn)品，90%以上的核心網(wǎng)絡(luò)設(shè)備為國(guó)外的產(chǎn)品，根據(jù)我們上海的調(diào)查也發(fā)現(xiàn)，我們本市的重要工業(yè)控制系統(tǒng)，這些關(guān)鍵的設(shè)備87%來(lái)自于國(guó)外，對(duì)于大量使用國(guó)外技術(shù)產(chǎn)品是否存在著漏洞和后門(mén)，我們的底數(shù)不清，風(fēng)險(xiǎn)存在哪些環(huán)節(jié)并不知曉，一些深層次，系統(tǒng)性的安全問(wèn)題還不清楚，還不掌握，安全隱患比較嚴(yán)重。因此我們必須要加強(qiáng)信息安全技術(shù)手段的近來(lái)，加強(qiáng)自主信息安全技術(shù)的研發(fā)，確保安全可控。

上個(gè)月9月27號(hào)工信部楊副部長(zhǎng)在上海信息安全會(huì)議上指出，什么叫安全可控，他談到從兩個(gè)方面來(lái)理解。第一個(gè)方面就是我們要用的技術(shù)裝備絕對(duì)不能變成首先是別人的，或者我們有一把鑰匙，別人也有一把鑰匙，這種情況必須要杜絕，這就要求從整個(gè)系統(tǒng)，就從操作系統(tǒng)到數(shù)據(jù)庫(kù)到中間件，應(yīng)用系統(tǒng)，它所有的安全環(huán)節(jié)，模塊都是完全透明的，完全是可控的。第二個(gè)要求，對(duì)總集成商一定要可靠，因?yàn)榭偧缮虒?duì)整個(gè)系統(tǒng)的建設(shè)運(yùn)營(yíng)維護(hù)非常清楚，他如果不可靠他會(huì)對(duì)我們整個(gè)安全防范會(huì)產(chǎn)生災(zāi)難性的影響。所以說(shuō)總集成商和運(yùn)營(yíng)維護(hù)隊(duì)伍一定是可靠的自己人，這兩點(diǎn)他認(rèn)為我們必須要做到?，F(xiàn)在楊部長(zhǎng)也談到，現(xiàn)在工信部正在往這兩個(gè)方面做工作。我們上海也是努力往這方面來(lái)開(kāi)展工作，尤其是在加強(qiáng)信息安全投資力度方面，要加快推進(jìn)向信息安全應(yīng)急平臺(tái)，工業(yè)控制系統(tǒng)安全的驗(yàn)證平臺(tái)，包括一些關(guān)鍵的基礎(chǔ)設(shè)施的重大項(xiàng)目投資建設(shè)，來(lái)加強(qiáng)我們發(fā)現(xiàn)隱患，防范風(fēng)險(xiǎn)的能力和水平。

第四個(gè)方面是信息安全是一項(xiàng)高技術(shù)的對(duì)抗，對(duì)此認(rèn)識(shí)不足。目前我們保障信息安全的水平還遠(yuǎn)遠(yuǎn)不足，這可能需要20年，甚至更長(zhǎng)時(shí)間，舉全國(guó)地方力量來(lái)保障信息安全。當(dāng)前各級(jí)用戶和管理者對(duì)信息安全認(rèn)識(shí)不足，導(dǎo)致很多網(wǎng)絡(luò)系統(tǒng)存在大量的脆弱性，誘發(fā)了各類信息安全事件的發(fā)生，加大對(duì)信息安全的投資可以有效降低社會(huì)成本。這一項(xiàng)回報(bào)巨大的投資。我們朱镕基總理曾經(jīng)強(qiáng)調(diào)，對(duì)信息安全進(jìn)行投資在政治上的回報(bào)是不可估量的，在經(jīng)濟(jì)上的收益也是巨大的，這是一項(xiàng)功在當(dāng)代，利在千秋的偉大事業(yè)，大家正在從事了是一項(xiàng)偉大的事業(yè)，尤其是對(duì)今后產(chǎn)生長(zhǎng)遠(yuǎn)的影響，尤其在關(guān)鍵的技術(shù)平臺(tái)建設(shè)，自主技術(shù)研發(fā)，信息安全的教育培訓(xùn)，全民意識(shí)的提高，等方面，要按照我們國(guó)發(fā)23號(hào)文件的要求，給予持續(xù)長(zhǎng)期穩(wěn)定信息安全資金的投入和信息安全人才的保障，確保各項(xiàng)信息安全工作的順利開(kāi)展，來(lái)確實(shí)提高我們信息安全的保障能力。

我的發(fā)言就到此結(jié)束，謝謝大家。

主持人：謝謝楊處，楊處剛才從國(guó)際，國(guó)內(nèi)，以及上海的信息安全形勢(shì)，以及我們從四個(gè)方面，信息安全給我們帶來(lái)的挑戰(zhàn)，并給出了相關(guān)的建議和意見(jiàn)，楊處是領(lǐng)導(dǎo)致詞，就不提問(wèn)，不抽獎(jiǎng)了。下面我們有請(qǐng)優(yōu)刻得創(chuàng)始人之一季昕華先生，下面有請(qǐng)季先生。

優(yōu)刻得創(chuàng)始人之一季昕華先生

季昕華：尊敬的各位領(lǐng)導(dǎo)，尊敬的楊處長(zhǎng)，同仁們，大家好。

我現(xiàn)在的身份是優(yōu)刻得的創(chuàng)始人之一，我將近十年左右都在做安全，包括在華為，騰訊做安全工作，也是盛大的CSO，09年轉(zhuǎn)做云計(jì)算，所以我在安全方面有一點(diǎn)點(diǎn)經(jīng)驗(yàn)，我談?wù)勎业南敕ê退悸?，有些地方不一定?duì)，希望在座的各位專家和領(lǐng)導(dǎo)給我提出批評(píng)意見(jiàn)。

剛才楊處長(zhǎng)已經(jīng)講了，新時(shí)代整個(gè)國(guó)際安全挑戰(zhàn)和風(fēng)險(xiǎn)，我這里重點(diǎn)講一下承接楊處長(zhǎng)的思路，講一講企業(yè)在新技術(shù)下的一些風(fēng)險(xiǎn)和挑戰(zhàn)。

我的內(nèi)容包括三個(gè)方面，一個(gè)講新技術(shù)和新模式會(huì)成就新的商業(yè)模式，以及新的商業(yè)成果出來(lái)，第二我講一下新技術(shù)新模式帶來(lái)哪些安全挑戰(zhàn)。最后我講一下從現(xiàn)在的角度如何考慮企業(yè)在新時(shí)代情況下的安全戰(zhàn)略，從三個(gè)方面，嘗試，責(zé)任和運(yùn)營(yíng)。

從這個(gè)圖形來(lái)看，包括2010年，2011年到2012年，整個(gè)云計(jì)算，大數(shù)據(jù)，移動(dòng)互聯(lián)網(wǎng)，物聯(lián)網(wǎng)，都是重點(diǎn)方向，這里可以分成幾個(gè)階段，一個(gè)是導(dǎo)入期，一個(gè)是成熟期，一個(gè)是低谷期，一個(gè)是快速發(fā)展期，我們關(guān)注的是快速發(fā)展這個(gè)階段，比如像，我們這里可以看到互聯(lián)網(wǎng)電視，私有云，云計(jì)算，以及大數(shù)據(jù)都是最近幾發(fā)展的幾個(gè)重要方向。我們有哪些事情可以做呢？這張圖我們把最近常見(jiàn)的思路放這兒了，從最下面的物聯(lián)網(wǎng)，物聯(lián)網(wǎng)的存在使得傳統(tǒng)很多和網(wǎng)絡(luò)沒(méi)有連接的各種部件都連到網(wǎng)絡(luò)上來(lái)了，像FRD，車，公共設(shè)備都連到網(wǎng)絡(luò)上面來(lái)，這里面整個(gè)變化非常大，產(chǎn)業(yè)非常大。在上面需要各種云計(jì)算的支持，只有云計(jì)算的支持才能夠把各種數(shù)據(jù)匯總起來(lái)，存儲(chǔ)起來(lái)，然后分析出來(lái)。這是我們非常熱的大數(shù)據(jù)的概念，通過(guò)各種數(shù)據(jù)的采集分析，并指導(dǎo)與生產(chǎn)，產(chǎn)生價(jià)值，然后讓數(shù)據(jù)產(chǎn)生價(jià)值，這張圖可以代表最近幾年幾個(gè)技術(shù)的一種組合，通過(guò)這個(gè)圖我們可以看到很多種新的商業(yè)模式出來(lái)。

我們講了一下云計(jì)算，新的商業(yè)模式，谷歌大家很熟悉了，谷歌成功的一點(diǎn)是前端收費(fèi)變成后端收費(fèi)，它不向使用者收費(fèi)，而向廣告者收費(fèi)，它的底層是我們所熟知的谷歌的幾大模塊，支撐了整個(gè)谷歌龐大的帝國(guó)。上面是各種類型的IDC，有這些支撐以后才處理成千上萬(wàn)的用戶的請(qǐng)求，然后把成千上萬(wàn)的網(wǎng)頁(yè)進(jìn)行分析，以至于它整個(gè)收入超過(guò)全美國(guó)傳統(tǒng)媒體的收入。

第一個(gè)這家公司，12名員工用了19個(gè)月的時(shí)間創(chuàng)造了市值10億美元的公司，后來(lái)被Facebook收購(gòu)了，他們12名員工研制手機(jī)客戶端。這家公司也是一個(gè)奇跡。所以云計(jì)算改變了很多美國(guó)的小團(tuán)隊(duì)，使得美國(guó)很多小團(tuán)隊(duì)可以在云計(jì)算基礎(chǔ)上創(chuàng)造很多很多的偉大公司，在國(guó)內(nèi)我們也看慢慢起來(lái)了。國(guó)內(nèi)天品網(wǎng)現(xiàn)在只有幾十個(gè)人團(tuán)隊(duì)，一個(gè)月之內(nèi)把它的產(chǎn)品全部上線，他們服務(wù)器，安全管理全部由我們公司來(lái)做，我相信這種公司會(huì)越來(lái)越多，這樣使得這些公司專注于它擅長(zhǎng)的部分，把他們自己的能力發(fā)揮極致，天片網(wǎng)它的優(yōu)勢(shì)在于它的渠道，它的網(wǎng)站運(yùn)營(yíng)，和我們的產(chǎn)品結(jié)合起來(lái)，使它不需要花費(fèi)時(shí)間，把它的優(yōu)勢(shì)發(fā)揮好。我前一段時(shí)間跟投資商聊，整個(gè)云計(jì)算改變了三個(gè)行業(yè)，第一個(gè)行業(yè)是投資行業(yè)，在以前在美國(guó)投資行業(yè)分為天使A輪，B輪，C輪，有了云計(jì)算之后發(fā)生變化了，我只需要給50萬(wàn)美金，讓一個(gè)團(tuán)隊(duì)花四五個(gè)月的時(shí)間，這個(gè)產(chǎn)品出來(lái)了，如果好我就投一千萬(wàn)美金，兩千萬(wàn)美金，這個(gè)變化非常大，整個(gè)云計(jì)算第一個(gè)改變投資環(huán)境，現(xiàn)在一兩個(gè)人，或者說(shuō)十幾個(gè)人都可以成立公司。第三個(gè)它改變了整個(gè)服務(wù)器設(shè)備廠商，以前的服務(wù)器設(shè)備廠商它賣的很多是中小企業(yè)，有了云計(jì)算以后中小企業(yè)不需要買網(wǎng)絡(luò)設(shè)備了，因?yàn)樗亲庥昧耍渴窃朴?jì)算的產(chǎn)品，所以在這一塊變化也很大，這就是很多做服務(wù)器設(shè)備的，做網(wǎng)絡(luò)設(shè)備的找我們跟他們合作，共同服務(wù)中夏企業(yè)。云計(jì)算能夠很大促進(jìn)創(chuàng)新的發(fā)展，我希望中國(guó)能夠有越來(lái)越多的公司出來(lái)，能夠使得小公司，小團(tuán)隊(duì)也能夠很小的創(chuàng)業(yè)。

第三個(gè)云計(jì)算能夠推動(dòng)傳統(tǒng)的轉(zhuǎn)型發(fā)展，上面是蘇寧，蘇寧傳統(tǒng)做IT設(shè)備銷售的公司，他現(xiàn)在也開(kāi)始做互聯(lián)網(wǎng)銷售。最有意思的是阿里巴巴的小金融貸款，這是非常有意思的公司，在中國(guó)很多有錢的公司不需要貸款，但是銀行一直想給它貸款，小公司一直想貸款但是銀行不給它貸款，這個(gè)問(wèn)題在哪里，因?yàn)殂y行很難給小公司做評(píng)估，但是有了云計(jì)算，有了大數(shù)據(jù)這一切變得可能了，所以阿里巴巴出了一個(gè)阿里金融，他根據(jù)淘寶各種數(shù)據(jù)，我分析一個(gè)店家的銷售額得到它的信用額度，利用信用額度給它小額貸款，這整個(gè)過(guò)程非?？?，可能只需要幾分鐘的時(shí)間就可以了，這樣的過(guò)程使得很多傳統(tǒng)銀行想做，但是做不了的工作全部由阿里金融來(lái)完成，這是一個(gè)非常大的變革。我記得前一段時(shí)間我親戚朋友說(shuō)，現(xiàn)在建行一直想跟阿里學(xué)習(xí)，如果把傳統(tǒng)的銀行模式和阿里結(jié)合能夠產(chǎn)生很好的效益，這能夠幫助中小企業(yè)的發(fā)展，同時(shí)提高銀行的業(yè)績(jī)，這能夠促進(jìn)中國(guó)中小企業(yè)的發(fā)展，因?yàn)橹行∑髽I(yè)是中國(guó)經(jīng)濟(jì)成長(zhǎng)非常大的動(dòng)力，這一點(diǎn)就是我們說(shuō)的了云計(jì)算能夠推動(dòng)經(jīng)濟(jì)發(fā)展。寶信軟件現(xiàn)在已經(jīng)實(shí)現(xiàn)了向?qū)毿跑浖庥梅?wù)器，內(nèi)部IT有一個(gè)非常大的問(wèn)題在哪里？你做的好沒(méi)有人管你，做的不好你就被人罵了，但是如果用了云計(jì)算之后，我可以向各個(gè)業(yè)務(wù)部門(mén)收費(fèi)，確認(rèn)你的價(jià)值?，F(xiàn)在云渲染，越來(lái)越多的電影采用3G，它都通過(guò)云渲染來(lái)完成，這里沒(méi)有用到很多先進(jìn)的技術(shù)，現(xiàn)在我們把云計(jì)算的技術(shù)和渲染結(jié)合起來(lái)，我可以分布到幾千臺(tái)，幾萬(wàn)臺(tái)做同時(shí)渲染，這個(gè)效果非常好，這個(gè)都是用云計(jì)算能夠改變傳統(tǒng)行業(yè)非常好的例子，在一些模式上有非常大的變化。

我總結(jié)下來(lái)說(shuō)，云計(jì)算價(jià)值是更省，更快，更強(qiáng)，更省對(duì)于創(chuàng)業(yè)者來(lái)我創(chuàng)業(yè)門(mén)坎更低，以更低的成本創(chuàng)業(yè)，更快使很多小企業(yè)使用方便的功能，更強(qiáng)使小公司去享受大公司才有的架構(gòu)能力。

這張列出了2010年到2015整個(gè)全球市場(chǎng)規(guī)模和中國(guó)的發(fā)展體系，這里的變化增長(zhǎng)空間是非常龐大的。在國(guó)際上美國(guó)，歐洲，日本，新加坡，等等國(guó)家也都在大力的投入在做云計(jì)算，特別是歐盟，歐盟是非常有意思的一個(gè)地方，歐盟經(jīng)濟(jì)總量是非常大的，但是歐盟沒(méi)有一個(gè)很強(qiáng)大的互聯(lián)網(wǎng)公司，或者IT公司，它所有的互聯(lián)網(wǎng)和IT都依賴美國(guó)，我們一致認(rèn)為歐盟和美國(guó)關(guān)系非常好，但是2010年歐盟發(fā)起一個(gè)挑戰(zhàn)，因?yàn)槊绹?guó)有一個(gè)愛(ài)國(guó)者法案，在美國(guó)云計(jì)算運(yùn)行的數(shù)據(jù)美國(guó)政府有權(quán)查看，歐盟說(shuō)要反對(duì)這一條，所以它不敢把云計(jì)算，把數(shù)據(jù)放在美國(guó)人運(yùn)行的云計(jì)算上面，所以歐盟在大力發(fā)展自己的云計(jì)算，中國(guó)也是一樣，中國(guó)也是做了很多工作，來(lái)重點(diǎn)支持云計(jì)算的發(fā)展，包括北京，上海，無(wú)錫，杭州，都推出了計(jì)劃，我們?cè)S部長(zhǎng)就在上海這邊做了很多的規(guī)劃和落地工作，出了我們?nèi)暧?jì)劃，上海在全國(guó)做的是非常領(lǐng)先的。

剛才講了新的技術(shù)和新的模式，像云計(jì)算，大數(shù)據(jù)。同時(shí)發(fā)現(xiàn)新技術(shù)也會(huì)帶來(lái)很多新的挑戰(zhàn)，這個(gè)挑戰(zhàn)在哪里呢？幾個(gè)方面，首當(dāng)其沖的是安全挑戰(zhàn)，因?yàn)榘踩窃朴?jì)算的最大挑戰(zhàn)，因?yàn)橛泻芏嘈碌哪Ｊ?，特別是由于在云計(jì)算模式下你的服務(wù)器，你的數(shù)據(jù)都在人家機(jī)器上，特別中國(guó)缺乏信任的地方特別擔(dān)心，第二是互操作標(biāo)準(zhǔn)化，第三是服務(wù)保證，第四是管理模式的變化，會(huì)導(dǎo)致云計(jì)算面臨很多挑戰(zhàn)，特別是服務(wù)質(zhì)量保證這方面，包括像谷歌，像亞馬遜，都出了事故，所以云計(jì)算面臨的挑戰(zhàn)還是非常多的。

還有去年12月份各個(gè)互聯(lián)網(wǎng)公司帳號(hào)被泄露，包括國(guó)外的索尼，以及美國(guó)國(guó)防部安全服務(wù)公司都都被入侵了，今天上午看到京東商城出現(xiàn)大的漏洞，損失兩個(gè)億，整個(gè)新的技術(shù)會(huì)帶來(lái)安全挑戰(zhàn)，這些問(wèn)題如果不處理好可能對(duì)業(yè)務(wù)存在很大的影響。

我們應(yīng)該在這種情況下，我們作為企業(yè)，作為管理者如何應(yīng)對(duì)，我們應(yīng)該采取什么樣的策略應(yīng)對(duì)新的技術(shù)和新的商業(yè)模式，我談一點(diǎn)粗淺的看法。

第一點(diǎn)我們應(yīng)該了解并嘗試新技術(shù)，新模式。

我記得鄧小平說(shuō)過(guò)一句話，說(shuō)改革開(kāi)放會(huì)帶來(lái)安全問(wèn)題，但是不改革開(kāi)放是最大的不安全，我覺(jué)得這句話非常適合在我們這里用，不發(fā)展是最大的不安全，在2005年的時(shí)候，當(dāng)時(shí)我在騰訊負(fù)責(zé)QQ的安全，很多人反饋QQ號(hào)碼丟的很厲害，有人問(wèn)我為什么QQ安全問(wèn)題出的很多，為什么MSN沒(méi)有出現(xiàn)這樣的問(wèn)題，我說(shuō)你看過(guò)有乞丐被偷的嗎？QQ的安全現(xiàn)在做的越來(lái)越好了，安全是為業(yè)務(wù)服務(wù)，如果業(yè)務(wù)發(fā)展的不好你安全做的再好也沒(méi)有用，第一個(gè)觀點(diǎn)一定讓安全不能脫離業(yè)務(wù)，同時(shí)安全不能夠阻礙用戶的發(fā)展。所以我們?cè)谶@里我們提醒，新技術(shù)，新模式，可以有效的推動(dòng)業(yè)務(wù)發(fā)展，這是我們安全應(yīng)該跟上去，了解并嘗試使用新的技術(shù)，同時(shí)了解這些新的技術(shù)和新的模式可能帶來(lái)哪些風(fēng)險(xiǎn)，我們采取措施解決這些問(wèn)題。

我們說(shuō)不能夠讓安全成為業(yè)務(wù)發(fā)展的絆腳石，我們可以采用新技術(shù)，新模式，同時(shí)發(fā)現(xiàn)問(wèn)題解決問(wèn)題，我們的思路就叫做小步快跑，非核心業(yè)務(wù)慢慢的接觸，然后逐步改進(jìn)，等到成熟的時(shí)候再引入到我們成熟業(yè)務(wù)里面去，這樣才能使我們的業(yè)務(wù)更快速的發(fā)展。這是第一個(gè)建議。

第二個(gè)建議，要明確云計(jì)算安全責(zé)任劃分。因?yàn)樵趥鹘y(tǒng)情況下，所有的責(zé)任都是我們企業(yè)內(nèi)部的，但是在云計(jì)算模式下責(zé)任不太一樣，我這里列了各自的責(zé)任，一個(gè)是企業(yè)的責(zé)任，一部分是運(yùn)營(yíng)商的責(zé)任。如果傳統(tǒng)模式下，網(wǎng)絡(luò)存儲(chǔ)服務(wù)器虛擬化應(yīng)用都是企業(yè)自己承擔(dān)的，在托管情況下只有網(wǎng)絡(luò)是運(yùn)營(yíng)商，其它東西都是自己的，運(yùn)營(yíng)商負(fù)責(zé)網(wǎng)絡(luò)的工作，其它工作由我們來(lái)負(fù)責(zé)。在IAAS情況下，我們用戶只需要負(fù)責(zé)VM和應(yīng)用就可以了，在PAAS用戶只負(fù)責(zé)PAAS，在SAAS這些工作都是由運(yùn)營(yíng)商負(fù)責(zé)的，職責(zé)劃分以后哪部分出了問(wèn)題由企業(yè)負(fù)責(zé)，哪部分由運(yùn)營(yíng)商負(fù)責(zé)。

第三個(gè)安全需要運(yùn)營(yíng)。這里我重點(diǎn)強(qiáng)調(diào)一點(diǎn)，只管生，不管養(yǎng)，真的是耍流氓，我們看到很多方案提供商，他為你建了方案錢拿走事情不管了，我見(jiàn)過(guò)很多地方運(yùn)行一堆軟件，它上面沒(méi)有任何應(yīng)用，最后耗錢，耗電，耗資源，必須把這個(gè)問(wèn)題解決。安全需要運(yùn)營(yíng)，而不是買一堆設(shè)備和軟件。因?yàn)榘踩莿?dòng)態(tài)的，因?yàn)榘踩切枰獙?duì)抗的，第一個(gè)我們業(yè)務(wù)在變，因?yàn)闃I(yè)務(wù)在變化，由于業(yè)務(wù)變化導(dǎo)致安全風(fēng)險(xiǎn)出現(xiàn)，所以我們必須要進(jìn)行對(duì)太運(yùn)營(yíng)，第二利益在變，由于利益變化了，比如一個(gè)公司出了一個(gè)新的業(yè)務(wù)，類似阿里金融，這一塊就出現(xiàn)比較大的變化，所以我們關(guān)注點(diǎn)不太一樣。

第三個(gè)環(huán)境在變，很關(guān)鍵的是敵人在變，因?yàn)榘踩推渌惶粯?，安全是?duì)抗性的，敵人黑客在不斷的嘗試你的業(yè)務(wù)，在分析你的業(yè)務(wù)，而且黑客也在不斷的成長(zhǎng)，可能他從一個(gè)小孩子，變成一個(gè)高手，所以這里面必須要做好動(dòng)態(tài)運(yùn)營(yíng)，另外攻擊者在變，由以前的拒絕服務(wù)，到后面的入侵滲透，攻擊在不斷的變化。洛伊我們認(rèn)為安全是一個(gè)持續(xù)對(duì)抗的過(guò)程，也是一個(gè)不斷優(yōu)化的過(guò)程，所以我們必須要根據(jù)整個(gè)環(huán)境來(lái)分析敵人怎么做，然后我們采取什么措施。

這里本來(lái)列了一張安全運(yùn)營(yíng)與生命周期圖，我們從部署，到運(yùn)營(yíng)，改進(jìn)，以及到下線等整個(gè)過(guò)程列出來(lái)，我們看哪些部分需要我們重點(diǎn)關(guān)注，哪些部分需要我們盈盈，哪些需要我們情報(bào)分析的，經(jīng)過(guò)這個(gè)模式使IT生命周期發(fā)生跟進(jìn)，我們?nèi)绾芜\(yùn)營(yíng)，然后形成一個(gè)PDC的循環(huán)過(guò)程。

最后運(yùn)營(yíng)的目的，它改變了敵暗我明的狀態(tài)，因?yàn)樽霭踩鸵鰧?duì)抗，我們要和敵人進(jìn)行斗爭(zhēng)，敵人是看不見(jiàn)的。第二我們通過(guò)數(shù)據(jù)和信息驅(qū)動(dòng)提高我們安全能力，第三我們小步快跑，進(jìn)行持續(xù)優(yōu)化。因?yàn)樾〔娇炫茉谡麄€(gè)互聯(lián)網(wǎng)非常關(guān)鍵。最后我們要通過(guò)自動(dòng)化，系統(tǒng)化來(lái)實(shí)現(xiàn)安全策略，在一個(gè)大的IT里面，當(dāng)初我在華為做安全管理的時(shí)候，華為當(dāng)時(shí)量還不大，只有七八萬(wàn)臺(tái)個(gè)人電腦，幾千臺(tái)服務(wù)器，這個(gè)如何管理，我們有好的軟件和系統(tǒng)很難做管理，我們搞了一個(gè)斯貝斯，通過(guò)斯貝斯全部管理就自動(dòng)化了。所以必須要通過(guò)系統(tǒng)化的工具和自動(dòng)化的手段能夠把這個(gè)問(wèn)題管起來(lái)。

我講講從安全角度如何選擇云服務(wù)商，這個(gè)方面我認(rèn)為有三個(gè)方面，因?yàn)榘踩罱K回到本質(zhì)上，就是用戶的信任問(wèn)題，如果解決用戶的信任問(wèn)題，我認(rèn)為有三個(gè)方面，一個(gè)是中立性，中立性是不是運(yùn)營(yíng)商只做平臺(tái)，還是既做平臺(tái)，又做內(nèi)容，這個(gè)問(wèn)題我經(jīng)常被問(wèn)到，去年在盛大的時(shí)候，盛大對(duì)游戲非常有經(jīng)驗(yàn)，我能不能把很多游戲公司的業(yè)務(wù)遷到盛大云上面來(lái)，很多用戶問(wèn)我一個(gè)問(wèn)題，你盛大也做游戲，我的數(shù)據(jù)是不是被你看到了，所以他不敢把數(shù)據(jù)放到盛大上面來(lái)。這個(gè)情況在國(guó)內(nèi)是這樣，在國(guó)外也是一樣。中立性很關(guān)鍵，如果一個(gè)平臺(tái)，一個(gè)云計(jì)算既做裁判，又做運(yùn)動(dòng)員，這個(gè)問(wèn)題可能有風(fēng)險(xiǎn)。第二看它的能力如何，因?yàn)樵朴?jì)算有很多挑戰(zhàn)，比如說(shuō)技術(shù)的挑戰(zhàn)，資金挑戰(zhàn)，運(yùn)行挑戰(zhàn)非常大的，一個(gè)公司沒(méi)有很好的技術(shù)積累，沒(méi)有資金積累，要進(jìn)行云計(jì)算難度很大的，特別很多公司自己沒(méi)有把業(yè)務(wù)跑到云計(jì)算上面去，而讓用戶做小白鼠，這非常不合適的。第三個(gè)是決心，有沒(méi)有決心做云計(jì)算，現(xiàn)在云計(jì)算炒的非常熱，我們看的很多公司以云計(jì)算行房地產(chǎn)之實(shí)。很多公司以云計(jì)算名義向股市要錢，這些問(wèn)題也是需要我們重點(diǎn)關(guān)注的。

總結(jié)下來(lái)，云計(jì)算和大數(shù)據(jù)，物聯(lián)網(wǎng)都是我們后續(xù)發(fā)展新的技術(shù)，新的模式，對(duì)于促進(jìn)整個(gè)中國(guó)的創(chuàng)新發(fā)展和企業(yè)轉(zhuǎn)型非常有幫助的，我們應(yīng)該從整個(gè)安全角度做更多的工作，要嘗試，要不斷的運(yùn)營(yíng)，要?jiǎng)澐重?zé)任，形成我們非常好的機(jī)制，來(lái)保證我們業(yè)務(wù)發(fā)展的同時(shí)能夠確保我們的安全。

順便做個(gè)廣告，這是我們?cè)朴?jì)算的架構(gòu)圖，之后我用一句話顧城的詩(shī)來(lái)總結(jié)，你，一會(huì)刊我，一會(huì)刊云，我覺(jué)得你看我時(shí)很演，你看云時(shí)很近，如果各位能達(dá)到這個(gè)狀態(tài)，說(shuō)明你離云計(jì)算已經(jīng)很近了。謝謝。

主持人：下面是提問(wèn)環(huán)節(jié)，大家有問(wèn)題可以舉手示意。

提問(wèn)：您好，我想請(qǐng)問(wèn)一下您認(rèn)為云計(jì)算在中國(guó)廣泛的應(yīng)用還需要多長(zhǎng)時(shí)間？還有云計(jì)算離金融行業(yè)大概還有多遠(yuǎn)？謝謝。

《云計(jì)算虛擬網(wǎng)絡(luò)安全》兩個(gè)問(wèn)題問(wèn)的非常好，按照我的理解做一下介紹，我覺(jué)得云計(jì)算在中國(guó)的落地會(huì)在明年后年會(huì)很快落地，已經(jīng)有三個(gè)方面，第一個(gè)方面是因?yàn)槲覀兛吹絿?guó)外，在美國(guó)云計(jì)算落地就是08年，為什么是08年呢？因?yàn)?8年是美國(guó)的經(jīng)濟(jì)危機(jī)，經(jīng)濟(jì)危機(jī)有兩個(gè)事情要做，第一個(gè)是開(kāi)源，第二個(gè)是節(jié)流，云計(jì)算可以做到很好的節(jié)流。2012年是一個(gè)冬天，今年我們溝通下來(lái)發(fā)現(xiàn)很多用戶已經(jīng)在逐步嘗試使用云計(jì)算了，明年可能是落地的一年，因?yàn)榻鹑谛袠I(yè)畢竟它的數(shù)據(jù)更敏感，金融行業(yè)對(duì)于云計(jì)算的使用更多是以思維的模式存在，在這一塊其實(shí)很多金融行業(yè)，很多公司已經(jīng)開(kāi)始在使用云計(jì)算了，比如說(shuō)像大智慧，它們的模式不太一樣，他們通過(guò)云計(jì)算技術(shù)來(lái)實(shí)現(xiàn)各種技術(shù)分析，這后面使用的更多一些，我記得美國(guó)有一個(gè)投資機(jī)構(gòu)，它是通過(guò)互聯(lián)網(wǎng)的云型來(lái)進(jìn)行分析，今天Facebook哪些人討論哪個(gè)公司關(guān)鍵詞比較多，根據(jù)這個(gè)關(guān)鍵詞分析，大家對(duì)這個(gè)公司比較關(guān)注，如果他們討論的是是好消息我就買這個(gè)股票，如果是不好的消息我就買空這個(gè)股票。其實(shí)金融行業(yè)最早使用云計(jì)算的，那時(shí)候可能不叫云計(jì)算而已。謝謝。

主持人：我補(bǔ)充一下金融行業(yè)的問(wèn)題，上海有一家金融行業(yè)做云計(jì)算已經(jīng)非常不錯(cuò)了，我們有1家銀行借記卡和一個(gè)城市的社?？ǎ€有三大石油公司之一四個(gè)省的加油卡是這一家公司一個(gè)平臺(tái)提供的，就是銀行發(fā)卡收單以及催收，去年收入超過(guò)了四個(gè)億，金融行業(yè)用的還有很多。

提問(wèn)：您好，如果我要用云計(jì)算，它的價(jià)格是怎么算的？現(xiàn)在中國(guó)用云計(jì)算的價(jià)格是什么個(gè)概念？

季昕華：這個(gè)問(wèn)題問(wèn)的很好，第一它的按照使用量付費(fèi)的，舉個(gè)例子，云計(jì)算整個(gè)資源分三種，一種是存儲(chǔ)資源，計(jì)算資源，網(wǎng)絡(luò)資源，計(jì)算資源根據(jù)CPU能力，一個(gè)核一個(gè)小時(shí)多少錢，存儲(chǔ)按照你的孫出量，一個(gè)G一個(gè)小時(shí)多少錢，兩種模式一種是按帶寬收費(fèi)，按流量，流量一個(gè)G多少錢，現(xiàn)在基本上比較好的運(yùn)營(yíng)商都可以做到按小時(shí)來(lái)結(jié)費(fèi)，這一點(diǎn)彈性要求非常高了，電子商務(wù)公司有一個(gè)秒殺活動(dòng)，每天早上9點(diǎn)半秒殺，我的服務(wù)器要多開(kāi)一百臺(tái)，一個(gè)小時(shí)付一百塊錢就夠了，這個(gè)方面云計(jì)算有比較大的優(yōu)勢(shì)。謝謝。

主持人：下面我們有請(qǐng)上海頤東公司的張總，來(lái)給我們介紹《云安全四維度防御保障體系》，大家掌聲歡迎。

上海頤東公司的張偉平

張偉平：各位專家，各位領(lǐng)導(dǎo)，下午好。

今天我所講的題目是云計(jì)算四緯度安全防護(hù)體系，總共講四個(gè)部分，首先我講一下云計(jì)算安全一些基本的概念。

我們采用云計(jì)算到底是更安全，還是更危險(xiǎn)，社會(huì)上有這么一種說(shuō)法，說(shuō)云計(jì)算是將應(yīng)用和數(shù)據(jù)動(dòng)態(tài)的分布到多臺(tái)服務(wù)器上，如果說(shuō)受到黑客攻擊的時(shí)候它可能拿到局部的數(shù)據(jù)，或者攻破一臺(tái)服務(wù)器所拿到的信息，不可能全部拿到。持這種觀點(diǎn)，云計(jì)算會(huì)比傳統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu)更加安全，按我們的看法來(lái)說(shuō)，這個(gè)安全實(shí)際上是一種看上去的安全，我認(rèn)為是不安全的，這個(gè)云計(jì)算如果說(shuō)是可以被黑客攻破一臺(tái)，也也就是說(shuō)它可能被黑客攻破很多臺(tái)，能夠把數(shù)據(jù)分布到很多臺(tái)的服務(wù)器上，也能夠?qū)⒃S多臺(tái)的服務(wù)器的數(shù)據(jù)匯總起來(lái)，從這一點(diǎn)上來(lái)看，實(shí)際上云計(jì)算的安全和傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的安全，這個(gè)風(fēng)險(xiǎn)來(lái)的更大，所以云計(jì)算安全風(fēng)險(xiǎn)已經(jīng)使我們使用者非常擔(dān)心，云計(jì)算的安全性已經(jīng)成為整個(gè)云計(jì)算落地的最大障礙，在規(guī)劃云計(jì)算的時(shí)候我們必須清醒的認(rèn)識(shí)到一點(diǎn)，就是當(dāng)涉及到云計(jì)算安全時(shí)，我們面臨的傳統(tǒng)安全風(fēng)險(xiǎn)依然存在，安全會(huì)更加棘手，同時(shí)伴隨著云計(jì)算的出現(xiàn)，新的安全風(fēng)險(xiǎn)會(huì)應(yīng)運(yùn)而生，所以我們有一個(gè)結(jié)論，就是云計(jì)算會(huì)比傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)更大，為此我們需要研究一下云計(jì)算的安全問(wèn)題，云計(jì)算的安全問(wèn)題我們稱之為云安全，也就是保護(hù)云計(jì)算本身的安全性，因?yàn)樵瓢踩袆e于我們?cè)诜床《局刑岬降乃^的云安全，許多反病毒廠商提出云安全，實(shí)際上采用云計(jì)算的技術(shù)應(yīng)用到反病毒的應(yīng)用當(dāng)中，我們把這種稱為云上的安全服務(wù)，或者叫安全成為云計(jì)算的一種服務(wù)。云計(jì)算的特點(diǎn)是一種全新的基于網(wǎng)絡(luò)的商業(yè)服務(wù)模式，云計(jì)算中提供的服務(wù)有三個(gè)層次，基礎(chǔ)設(shè)施即服務(wù)，平臺(tái)即服務(wù)，軟件即服務(wù)，云計(jì)算又可以分為三種類型的運(yùn)行模式，公有云計(jì)算，私有云和混合云。

第二部分我想介紹一下云計(jì)算帶來(lái)的變化和安全的風(fēng)險(xiǎn)。云計(jì)算作為一種全新的商業(yè)服務(wù)模式，對(duì)于使用者來(lái)說(shuō)云計(jì)算一個(gè)非常大的好處就是可以降低單位運(yùn)行成本，但是同時(shí)實(shí)際上也帶來(lái)了相應(yīng)的安全風(fēng)險(xiǎn)。所以我們說(shuō)云計(jì)算數(shù)據(jù)的安全性會(huì)面臨嚴(yán)重的挑戰(zhàn)。根據(jù)調(diào)查統(tǒng)計(jì)顯示，數(shù)據(jù)的安全和隱私風(fēng)險(xiǎn)已經(jīng)成為用戶使用云計(jì)算的首先顧慮。如數(shù)據(jù)存儲(chǔ)在運(yùn)中的位置無(wú)法知曉的顧慮，數(shù)據(jù)被云計(jì)算超級(jí)用戶訪問(wèn)的顧慮。云計(jì)算的數(shù)據(jù)安全風(fēng)險(xiǎn)包含四個(gè)方面，一個(gè)是安全和隱私的風(fēng)險(xiǎn)，一個(gè)是管理權(quán)的風(fēng)險(xiǎn)，一個(gè)是政策和法律的合規(guī)性先，一個(gè)是商業(yè)服務(wù)模式的風(fēng)險(xiǎn)。所以介紹了這些基本概念以后，我想講一下我們公司在云計(jì)算安全防護(hù)體系研究的一些主要的思路。

現(xiàn)在業(yè)界對(duì)云計(jì)算安全防護(hù)體系理論研究的主要思路大概有這么四個(gè)方面：

一個(gè)是一體化體系的研究，這個(gè)面對(duì)云計(jì)算高密度的十個(gè)G，40G，甚至100G的高速入口的鏈接，傳統(tǒng)的安全設(shè)備已經(jīng)難以適應(yīng)，所以需要建設(shè)高性能，高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系，起到高速叫喊和邊界防御作用。

第二個(gè)是虛擬化體系，目前虛擬化已經(jīng)成為云計(jì)算服務(wù)商提供按需服務(wù)的關(guān)鍵技術(shù)手段，如何利用虛擬化設(shè)備間的邏輯隔離實(shí)現(xiàn)不同用戶之間的真正的數(shù)據(jù)安全，是我們面臨的虛擬化體系中必須解決的問(wèn)題之一。

第三個(gè)體系是關(guān)聯(lián)耦合體系，在云安全建設(shè)中，充分利用云端的朝羥基酸能力和控制能力實(shí)現(xiàn)云模式下的客戶端安全防護(hù)和云應(yīng)用的安全保護(hù)，是后續(xù)云安全的一個(gè)重要方向。

第四個(gè)思路是防御保障體系，傳統(tǒng)的網(wǎng)絡(luò)安全強(qiáng)調(diào)的是物理的邊界防護(hù)，但是到了云計(jì)算以后，云計(jì)算服務(wù)只能實(shí)現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界，為此，建設(shè)云安全防御保障體系具備抵抗外來(lái)攻擊防御能力和增強(qiáng)云平臺(tái)自身的安全保障能力，以適應(yīng)邏輯安全邊界下的隔離保護(hù)安全模型。

按照上述四個(gè)體系主要思路，我想談?wù)勎覀儗?duì)云安全保護(hù)體系理論所做的一些基礎(chǔ)研究。

根據(jù)國(guó)際安全模型，兩PDR的模型，首先我們需要制定云安全的策略，根據(jù)云安全的策略我們可以動(dòng)態(tài)的去部署安全策略，包括數(shù)據(jù)安全，邊界安全，終端安全，虛擬化安全，同時(shí)在運(yùn)行過(guò)程當(dāng)中我們需要采用動(dòng)態(tài)的手段，自動(dòng)的檢測(cè)和分析關(guān)聯(lián)分析。并修補(bǔ)和完善安全策略，根據(jù)這個(gè)修補(bǔ)安全策略以后我們重新部署安全的防護(hù)策略。這樣依次循環(huán)，反復(fù)以后成為螺旋上升的體系，使得我們?cè)朴?jì)算整個(gè)平臺(tái)更加安全。這個(gè)國(guó)際安全模型的核心是B環(huán)，B環(huán)的作用不斷的去修整，目的是對(duì)發(fā)生的安全事件能夠罩得住，一旦發(fā)生了就將影響損失降大最好，恢復(fù)安全的狀態(tài)最有效，修補(bǔ)漏洞要最迅速。根據(jù)這個(gè)理論和結(jié)合云計(jì)算的特點(diǎn)，我們提出了可以罩住所有云計(jì)算安全事件的虛擬球安全模型。我們把它稱為四個(gè)緯度，無(wú)論是公有云，還有私有云，還有混合云，我們研究云安全，就是要?jiǎng)?chuàng)造一個(gè)虛擬球的云空間，將所有的云納入球的控制中，不管云如何漂移，丟不能脫離我們編制的球體空間，這就是我們?cè)O(shè)計(jì)的云計(jì)算安全模型。

根據(jù)整個(gè)安全模型，我們看到傳統(tǒng)的安全管理是在各個(gè)階段防護(hù)檢測(cè)相應(yīng)都有不同的安全保障措施，在云平臺(tái)說(shuō)我們同樣在三個(gè)階段，我們會(huì)增加許多安全保障體系，根據(jù)這個(gè)保障體系傳統(tǒng)的安全保障體系和云狀態(tài)下的安全體系有機(jī)的結(jié)合，形成我們講四個(gè)緯度的安全體系。

所以第四部分主要講一下云安全四緯度防御保障體系我們所取得的一些成績(jī)，或者叫實(shí)踐和探索。

首先這里介紹一個(gè)概念，就是球體理論，我們說(shuō)每個(gè)球均有一個(gè)相對(duì)堅(jiān)硬的外殼，這個(gè)外殼能夠起到保護(hù)球內(nèi)部的作用，所以球外殼完整性和堅(jiān)韌性是球體安全的根本所在。我們所設(shè)計(jì)的虛擬球安全模型一方面我們就要將云計(jì)算的安全要素特性，整合到傳統(tǒng)的傳統(tǒng)安全體系當(dāng)中，另一方面我們需要依據(jù)球體理論構(gòu)建一個(gè)保護(hù)內(nèi)核的安全球罩，建立嶄新的云計(jì)算的安全模型。傳統(tǒng)的安全手段存在很多缺陷，每一項(xiàng)安全措施總是局限，導(dǎo)致安全不能全覆蓋系統(tǒng)，所以系統(tǒng)上的漏洞比較明顯。

改進(jìn)的方法是采用虛擬球安全模型，就是要建立一個(gè)高密度的安全措施，來(lái)完全籠罩住云計(jì)算，減少云計(jì)算系統(tǒng)的安全漏洞。同時(shí)每一項(xiàng)安全措施均要能夠輻射到球的每一個(gè)角落，將這個(gè)安全措施有機(jī)的整合就能鑄造成一個(gè)完整的云計(jì)算的安全體系。根據(jù)云計(jì)算B環(huán)的理論，云安全的核心是安全策略，按照既定的安全策略將各種安全措施有機(jī)分布在整個(gè)云計(jì)算當(dāng)中，使其發(fā)揮各自的安全保障作用。依據(jù)國(guó)際B環(huán)安全模型，當(dāng)檢測(cè)到安全漏洞的時(shí)候系統(tǒng)將及時(shí)的響應(yīng)修補(bǔ)漏洞，及時(shí)的調(diào)整安全策略，部署新的安全措施，周而復(fù)始，不斷完善云計(jì)算的安全體系，這樣才能確保整個(gè)云計(jì)算系統(tǒng)的安全。

所以我們講一下四緯度安全保護(hù)的核心，首先是要有一個(gè)云安全策略，安全策略是整個(gè)云安全的基石，云安全將根據(jù)云計(jì)算的服務(wù)定位和涉及到特性要求，按照國(guó)家的分級(jí)保護(hù)明確相應(yīng)的安全策略，確定云安全的策略以后，我們將從四個(gè)緯度全面的關(guān)注云計(jì)算的安全。

第一個(gè)緯度是云的基礎(chǔ)結(jié)構(gòu)安全，云的基礎(chǔ)結(jié)構(gòu)安全應(yīng)該說(shuō)它包含了我們傳統(tǒng)的安全體系，比如說(shuō)漏洞掃描，權(quán)限管理，身份認(rèn)證，入侵檢測(cè)等等，換句話說(shuō)傳統(tǒng)的安全體系是非常必須的，也是非常有用的，但是同時(shí)我們還要關(guān)注云本身的結(jié)構(gòu)體系的安全，比如說(shuō)云結(jié)構(gòu)的安全，云配置的安全，包括虛擬系統(tǒng)的安全，以及虛擬化平臺(tái)的安全，包括我們講的邊界防御的安全，在這一個(gè)緯度上我們著重做的一些研究就是我們認(rèn)為一個(gè)是傳統(tǒng)安全體系這是必須不可少的。第二是云結(jié)構(gòu)和云配置安全非常重要，我們構(gòu)筑一個(gè)安全的平臺(tái)，實(shí)際上對(duì)整個(gè)結(jié)構(gòu)體系是不是非常安全，或者說(shuō)配置非常到位，這是我們非常關(guān)注的。第三是虛擬系統(tǒng)本身的安全必須要確保，所以我們講，比如說(shuō)虛擬化，我們上午也有專家提到，說(shuō)把所有的用戶需要在云上提供應(yīng)用的話它會(huì)開(kāi)一個(gè)虛擬機(jī)，但是虛擬系統(tǒng)的安全雖然起到一個(gè)分割作用，但是它的分割在云計(jì)算還不很徹底。所以這一塊整個(gè)虛擬系統(tǒng)的安全本身也是需要值得加固的。第四是高速云邊界的安全防御，我們說(shuō)沒(méi)有物理的邊界，但是它有很多邏輯的邊界。云計(jì)算也存在邏輯和物理量重邊界，但是高速的帶寬以后，我們傳統(tǒng)的設(shè)備不能在高速帶寬上使用，需要我們?nèi)パ芯吭趺窗迅咚俚膸捘軌蚍纸獾揭恍┏Ｒ?guī)帶寬上去，通過(guò)我們的邊界防御在每一分支點(diǎn)增加安全引擎，來(lái)監(jiān)控安全的入侵。所以第一緯度就是云的基礎(chǔ)唯獨(dú)的安全，實(shí)際上對(duì)云計(jì)算來(lái)說(shuō)是一個(gè)非?；A(chǔ)的安全體系，也是一個(gè)基本的保障。

第二緯度講的是云終端的安全，云終端的安全，我們知道云計(jì)算最后的數(shù)據(jù)和應(yīng)用體現(xiàn)在，最終體現(xiàn)在我們終端上，我們終端上需要看到這些應(yīng)用和數(shù)據(jù)，所以云終端的安全直接對(duì)我們?cè)粕系倪@些數(shù)據(jù)，這些應(yīng)用會(huì)帶來(lái)嚴(yán)峻的考驗(yàn)。所以按照終端的安全體系來(lái)說(shuō)，我們講常規(guī)的安全是需要的，比如說(shuō)基本安全配置，我們把它稱之為安全機(jī)械，有了這些常規(guī)的安全以外，我們還需要對(duì)一些特定的應(yīng)用要增強(qiáng)終端的安全性，比如說(shuō)要建立內(nèi)存的按照域，要進(jìn)行進(jìn)程認(rèn)證，要進(jìn)行底層的家隱秘。這一類是我們公司重點(diǎn)研究的，重點(diǎn)攻克的一些技術(shù)。

第三緯度是我們比較關(guān)心的，今天也講的最多的，就是數(shù)據(jù)安全。云數(shù)據(jù)安全實(shí)際上在云平臺(tái)上成了很多大的數(shù)據(jù)，這些數(shù)據(jù)應(yīng)該說(shuō)在云平臺(tái)上它帶來(lái)的風(fēng)險(xiǎn)是非常大的，如何使云數(shù)據(jù)能夠保持安全性，我們?cè)谖鍌€(gè)方面做了一些研究，比如說(shuō)數(shù)據(jù)庫(kù)的安全保密，傳輸和存儲(chǔ)的加密，這是比較通用化的。同時(shí)我們對(duì)數(shù)據(jù)研究采用標(biāo)簽來(lái)控制，對(duì)整個(gè)的數(shù)據(jù)實(shí)施全生命周期的管控，只要數(shù)據(jù)產(chǎn)生我們就需要對(duì)數(shù)據(jù)進(jìn)行控制，所以打上標(biāo)簽，另外一個(gè)就是數(shù)據(jù)在不同的安全域之間怎么來(lái)流動(dòng)，我們研發(fā)了一個(gè)叫系安全網(wǎng)關(guān)，不同安全域之間投入信息安全網(wǎng)關(guān)，通過(guò)安全的屬性，使信息能夠有機(jī)的進(jìn)行互動(dòng)。第五是應(yīng)用系統(tǒng)的數(shù)據(jù)保護(hù)問(wèn)題。在云平臺(tái)上有許多應(yīng)用，這些應(yīng)用分布在我們不同的服務(wù)器，不同的虛擬機(jī)上，對(duì)于這些機(jī)器上已經(jīng)運(yùn)行的這些系統(tǒng)，如果對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)加以保護(hù)，有許多操作系統(tǒng)底層的安全問(wèn)題需要解決，類似內(nèi)存的安全問(wèn)題，進(jìn)程的控制問(wèn)題，以及加解密的問(wèn)題。我們的出發(fā)點(diǎn)是要把安全的漏洞減到最小，所以在這一類上我們?cè)诓僮飨到y(tǒng)上底層做許多防范過(guò)濾工作。

第四個(gè)緯度我們把它稱為防御保障中心。防御保障中心實(shí)際上按照傳統(tǒng)的說(shuō)法它是一個(gè)安管平臺(tái)，在云平臺(tái)上我們把它稱為防御保障中心，從防御保障體系來(lái)說(shuō)我們?cè)O(shè)了三個(gè)層次，也相當(dāng)于我們用一個(gè)球來(lái)罩整個(gè)云平臺(tái)，第一個(gè)是安全服務(wù)層，這個(gè)需要建立統(tǒng)一的身份認(rèn)證平臺(tái)，統(tǒng)一的審計(jì)取證，等等一些可以在云平臺(tái)可以采用的統(tǒng)一安全措施。第二層我們稱為安全防御層，安全防御層的概念就是我們要在整個(gè)云計(jì)算的平臺(tái)上設(shè)置多道防線，當(dāng)有人入侵的時(shí)候我們要明確這道防線能守多長(zhǎng)時(shí)間，這道防線一旦攻破我們后一道防線是什么，用了多長(zhǎng)時(shí)間，整個(gè)云平臺(tái)我們防御布陣是非常重要。在云計(jì)算平臺(tái)上，虛擬機(jī)有一個(gè)功能就是漂移，當(dāng)一臺(tái)虛擬機(jī)受到攻擊的時(shí)候，如果你這臺(tái)虛擬機(jī)是一個(gè)核心應(yīng)用，你應(yīng)該迅速把這個(gè)應(yīng)用漂移掉其它的虛擬機(jī)上，剩下這臺(tái)被攻擊的虛擬機(jī)做一個(gè)陷井，你分析攻擊者的行為，同時(shí)我們可以做相應(yīng)反擊的動(dòng)作，如果你是非核心的應(yīng)用，你愿意給他攻，你制造一個(gè)假象讓它攻也沒(méi)有問(wèn)題，我們?cè)O(shè)置防線一定要知道，就是我們這道防線最終能守多長(zhǎng)時(shí)間，有了這個(gè)防御體系以后，我們一旦有攻擊我們就會(huì)有報(bào)警，有了報(bào)警我們就會(huì)有響應(yīng)，有了響應(yīng)我們就會(huì)有處置的方式，所以我們?cè)谡麄€(gè)云平臺(tái)需要有多道防線。同時(shí)我們看到這個(gè)防御系統(tǒng)實(shí)際上是一種被動(dòng)的，也就是說(shuō)當(dāng)有人攻擊你的時(shí)候你才想到怎么來(lái)防御，云平臺(tái)更關(guān)鍵的一點(diǎn)是要有保護(hù)，所以我們稱為安全保障層，這個(gè)安全保障層是增強(qiáng)我們整個(gè)云平臺(tái)的抵抗能力，比如說(shuō)我們的配置監(jiān)管，我們整個(gè)平臺(tái)配置監(jiān)管是不是符合國(guó)家的原則，當(dāng)你的配置發(fā)生變化，或者說(shuō)當(dāng)某些技術(shù)人員在預(yù)準(zhǔn)哪些軟件的時(shí)候，把端口開(kāi)了以后忘了關(guān)了，出現(xiàn)漏洞的時(shí)候你有沒(méi)有能力及時(shí)的修復(fù)，及時(shí)的去發(fā)現(xiàn)，所以這個(gè)配置的監(jiān)管當(dāng)出現(xiàn)漏洞的時(shí)候需要漏洞的檢測(cè)，然后需要去修復(fù)，同時(shí)整體的體系我們完成以后，還有一個(gè)，就是我們?cè)谠破脚_(tái)上到底跑哪些進(jìn)程，我們需要有控制能力，這樣才能把整個(gè)云平臺(tái)本身的抵抗力增強(qiáng)。

所以我們從四個(gè)緯度研究虛擬球的安全模型，目的就是要把云計(jì)算的安全事件完整的控制在虛擬球的安全模型當(dāng)中，用顯性的方法把安全事件展現(xiàn)在管理者明前，我們稱為虛云實(shí)顯。從安全管理的角度來(lái)說(shuō)，我們一定要知道哪一些服務(wù)器跑的是我核心應(yīng)用，哪些服務(wù)器跑的是不是核心應(yīng)用。這個(gè)技術(shù)實(shí)際上是我們對(duì)物理這些機(jī)器，我們采用對(duì)每臺(tái)服務(wù)器打上安全標(biāo)簽，通過(guò)安全標(biāo)簽的感知，我們叫云上的物聯(lián)網(wǎng)，通過(guò)感知器來(lái)感知服務(wù)器上的應(yīng)用，比如說(shuō)我這里顯示三種顏色，紅的，綠的，藍(lán)的，代表三個(gè)應(yīng)用，這三個(gè)應(yīng)用在物理應(yīng)用上運(yùn)行在不同的服務(wù)器上。這個(gè)內(nèi)存安全域每一個(gè)服務(wù)器用這個(gè)內(nèi)存只有你這個(gè)應(yīng)用能用，其它應(yīng)用都不得訪問(wèn)這個(gè)內(nèi)存，從而形成一個(gè)應(yīng)用跨多臺(tái)服務(wù)器虛擬邏輯的安全域。比如說(shuō)整個(gè)綠顏色的五臺(tái)服務(wù)器，有五個(gè)安全域，五個(gè)安全域的結(jié)合就是這一個(gè)應(yīng)用整體的安全域。同時(shí)將感知的這些應(yīng)用的信息完整的顯示到我們的管理平臺(tái)上去，從而起到一個(gè)虛云實(shí)顯的作用，我們的管理平臺(tái)能顯示出哪太服務(wù)器在跑哪些應(yīng)用。有了這些技術(shù)，有了這些方法以后，我們相對(duì)來(lái)說(shuō)，從管控平臺(tái)上來(lái)說(shuō)我們可以完整把云計(jì)算安全事件羅列出來(lái)，完整的顯示原來(lái)在云計(jì)算很難捕捉的東西，比如說(shuō)虛擬機(jī)的開(kāi)設(shè)情況，應(yīng)用的激活情況，CPU的使用情況等等，都可以把它展現(xiàn)出來(lái)，有了這個(gè)展現(xiàn)一旦發(fā)生安全事件，比如說(shuō)內(nèi)存報(bào)警，我們系統(tǒng)就會(huì)自動(dòng)的把這一塊內(nèi)容給你顯示出來(lái)，說(shuō)有某一個(gè)存儲(chǔ)體發(fā)生安全問(wèn)題，我們就可以采取措施加以防范。

所以最后小結(jié)一下，云安全不僅僅是等級(jí)保護(hù)或分級(jí)保護(hù)的增強(qiáng)，也不是單純虛擬化安全就可以滿足要求的，云安全必須在依托云計(jì)算自身安全措施的基礎(chǔ)上，結(jié)合云計(jì)算的特點(diǎn)大膽采用新的安全手段，有效的起到傳統(tǒng)安全繼承發(fā)展，終端信息安全可控，中心數(shù)據(jù)安全保密，平臺(tái)管理掌控自如的作用。才能構(gòu)建一個(gè)完整的云計(jì)算安全。所以我們最后一句話是云計(jì)算已經(jīng)風(fēng)起云涌，云安全更要騰云駕霧。謝謝大家。

主持人：謝謝張總，從理論和業(yè)務(wù)實(shí)踐的角度給我們介紹他們?cè)瓢踩Ｕ象w系，下面大家提問(wèn)。

提問(wèn)：剛才您提到四個(gè)緯度我感覺(jué)蠻有收獲的，我問(wèn)一下公司在一開(kāi)始建設(shè)過(guò)程中間對(duì)四個(gè)緯度進(jìn)行整體的設(shè)計(jì)和架構(gòu)，在后面日常運(yùn)營(yíng)過(guò)程中間四個(gè)緯度的安全責(zé)任是不是有一些不同的分割，是不是云終端安全可能用戶承擔(dān)一部分責(zé)任，是不是云服務(wù)商承擔(dān)更多的責(zé)任，你們提供安全服務(wù)在這中間又能扮演什么樣的角色？

張偉平：我們這個(gè)公司專門(mén)研究安全技術(shù)的，也不是云平臺(tái)的運(yùn)營(yíng)商，我們往往給云平臺(tái)的運(yùn)營(yíng)商提供這項(xiàng)技術(shù)，剛才談到的在管理上怎么實(shí)現(xiàn)這樣的東西，我們舉個(gè)例子，比如說(shuō)終端，終端因?yàn)樯婕暗胶芏嗍褂谜?，這實(shí)際上我們現(xiàn)在采用的方式類似于，比如說(shuō)我們可以和病毒廠商合作，把一個(gè)我們說(shuō)的增強(qiáng)型的客戶端隨著病毒廠商的客戶端一起下去，我們平時(shí)客戶用的可能用的是基本配置，你只要說(shuō)我要玩一個(gè)游戲，做一件事就夠了，當(dāng)你用到云計(jì)算上的敏感應(yīng)用，比如政府要做一個(gè)外網(wǎng)的信息傳輸，某一個(gè)終端商要能夠看到，這個(gè)時(shí)候需要從云的平臺(tái)上去驅(qū)動(dòng)在客戶端已經(jīng)預(yù)裝安全機(jī)制讓它激活，比如進(jìn)程保護(hù)我們自動(dòng)激活，激活以后我們?cè)谶@個(gè)體系上進(jìn)行互動(dòng)來(lái)做這個(gè)事情。

提問(wèn)：你剛才提到在云終端的安全，目前終端連上越來(lái)越多，不再只是PC，你可以有蘋(píng)果手機(jī)，有安卓不同的系統(tǒng)的上來(lái)，如何用你剛才提到的方式加強(qiáng)用戶自己，或者公司配備的各式各樣的不同的終端？

張偉平：我們研究云終端增強(qiáng)模式的時(shí)候，我們不僅僅用一個(gè)終端安全的客戶端，我們現(xiàn)在也開(kāi)發(fā)了類似于像平板電腦，手機(jī)的安全，像安卓，我們蘋(píng)果沒(méi)有開(kāi)發(fā)，我們因?yàn)樗龅亩际遣僮飨到y(tǒng)底層做的，蘋(píng)果把操作系統(tǒng)底層是封閉的，安卓我們已經(jīng)做了，如果說(shuō)要登陸到這個(gè)云平臺(tái)使用可以下載這些客戶端，能夠起到一個(gè)保護(hù)作用。

主持人：我們謝謝張，再次以掌聲謝謝張總。

下面我們有請(qǐng)網(wǎng)御星云CTO的畢學(xué)堯博士，來(lái)給我們介紹《云計(jì)算虛擬網(wǎng)絡(luò)安全》，大家掌聲有請(qǐng)。

網(wǎng)御星云CTO的畢學(xué)堯博士

畢學(xué)堯：各位領(lǐng)導(dǎo)，各位專家，各位來(lái)賓，大家下午好。

我是網(wǎng)御星云的畢學(xué)堯，我今天向各位報(bào)告一下我們?cè)谠朴?jì)算虛擬網(wǎng)絡(luò)安全的思考。

首先我簡(jiǎn)單介紹一下網(wǎng)御星云，前期是聯(lián)想成立的公司，目前公司還是以網(wǎng)絡(luò)安全產(chǎn)品為主，員工有近900人，產(chǎn)品覆蓋網(wǎng)絡(luò)邊界安全，服務(wù)和數(shù)據(jù)安全，還有安全風(fēng)險(xiǎn)管理等領(lǐng)域。

今天我報(bào)告的主要內(nèi)容就是云計(jì)算虛擬網(wǎng)路安全，包含以下四個(gè)方面：

第一個(gè)是云計(jì)算安全挑戰(zhàn)和威脅，第二是我們的一些關(guān)于解決這些問(wèn)題的一些方向建議和思考，第三是我們參與云計(jì)算，以及安全建設(shè)的案例，給大家介紹一下國(guó)內(nèi)建成的云計(jì)算大型的數(shù)據(jù)中心的情況。第四是我們關(guān)于虛擬網(wǎng)絡(luò)安全發(fā)展的一些研究方向。

云計(jì)算的安全挑戰(zhàn)主要來(lái)自以下三個(gè)方面：首先就是應(yīng)用和數(shù)據(jù)資源不在用戶本地，用戶的使用和應(yīng)用系統(tǒng)的維護(hù)運(yùn)營(yíng)跟原來(lái)是不一樣的，第二就是數(shù)據(jù)和應(yīng)用高度集中，非常大的數(shù)據(jù)中心，在里面數(shù)據(jù)應(yīng)用集中了以后它的可靠性，安全性要求非常高，第三就是網(wǎng)絡(luò)計(jì)算，還有存儲(chǔ)的邊界越來(lái)越模糊，在這個(gè)里邊原來(lái)在邊界防護(hù)的技術(shù)手段需要不斷的更新發(fā)展才能適應(yīng)。

目前計(jì)算資源已經(jīng)通過(guò)虛擬化實(shí)現(xiàn)了池化，存儲(chǔ)也是一樣，但是在網(wǎng)絡(luò)這方面還沒(méi)有大規(guī)模的發(fā)展，網(wǎng)絡(luò)虛擬化還沒(méi)有大規(guī)模應(yīng)用，可以看到現(xiàn)在通過(guò)虛擬機(jī)和分布式存儲(chǔ)實(shí)現(xiàn)了計(jì)算和存儲(chǔ)的虛擬化，但是網(wǎng)絡(luò)虛擬化確實(shí)還有待發(fā)展。這里面我介紹兩個(gè)概念，第一是網(wǎng)絡(luò)虛擬化，第二是虛擬化網(wǎng)絡(luò)，可能很多人對(duì)這個(gè)會(huì)有困惑，我覺(jué)得網(wǎng)絡(luò)虛擬化是把一個(gè)網(wǎng)絡(luò)虛擬成多個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)進(jìn)行管理控制使用。虛擬化網(wǎng)絡(luò)是以軟件形態(tài)的虛擬交換機(jī)為基礎(chǔ)構(gòu)建的網(wǎng)絡(luò)。這兩個(gè)含義是不一樣的，今天我主要介紹的是，關(guān)于虛擬化網(wǎng)絡(luò)的安全防護(hù)，最后也介紹一些關(guān)于網(wǎng)絡(luò)虛擬化安全發(fā)展的一些方向。

在虛擬化網(wǎng)絡(luò)方面，包括VMware提供的軟件虛擬交換機(jī)，也思科開(kāi)發(fā)的交換機(jī)。在虛擬交換機(jī)上面它的功能和傳統(tǒng)交換機(jī)是類似的。同時(shí)目前還廣泛使用分布式虛擬交換機(jī)，就是多個(gè)虛擬化交換機(jī)可以構(gòu)成大的二層網(wǎng)絡(luò)。多個(gè)虛擬交換機(jī)可以跨數(shù)據(jù)中心，跨路由進(jìn)行溝通，在這方面實(shí)際上發(fā)展還比較快，誕生了很多隧道協(xié)議。通過(guò)這些隧道協(xié)議可以使得多個(gè)虛擬交換機(jī)構(gòu)成一個(gè)大的，可以跨路由的虛擬分布式交換機(jī)，從而支持大范圍的虛擬機(jī)遷移。這種虛擬環(huán)境為安全帶來(lái)很多新的挑戰(zhàn)，具體來(lái)說(shuō)，最大的挑戰(zhàn)就是虛擬機(jī)內(nèi)部的流量是外部的硬件設(shè)備看不到的。就是沒(méi)法直接看到虛擬機(jī)內(nèi)部的流量。第三就是跨數(shù)據(jù)中心虛擬網(wǎng)絡(luò)隧道內(nèi)部的訪問(wèn)控制和攻擊行為，目前在安全設(shè)備上還沒(méi)有看到有解決方案，也就是說(shuō)隧道內(nèi)的安全還需要進(jìn)一步研究，我們經(jīng)過(guò)調(diào)研可以看到，目前在解決虛擬交換機(jī)內(nèi)部流量不可見(jiàn)問(wèn)題上有很多解決方案，可以把虛擬機(jī)在虛擬較導(dǎo)出來(lái)，導(dǎo)出外面的硬件設(shè)備上進(jìn)行處理，這個(gè)也有很多技術(shù)，在思科的虛擬較上有絲線。另外外面硬件傳統(tǒng)安全設(shè)備去解決軟件的虛擬較內(nèi)部流量的訪問(wèn)控制。但是這樣做呢，雖然說(shuō)可部署性會(huì)比較好，也能夠沿用原來(lái)的投資，普通的硬件安全設(shè)備仍然可以使用，但是它的效率比較低，而且一般用于監(jiān)控類的，入侵檢測(cè)類的產(chǎn)品。如果做訪問(wèn)控制，防空機(jī)，病毒檢查，還是效率比較低的。我們認(rèn)為要解決虛擬網(wǎng)絡(luò)安全問(wèn)題有兩個(gè)原則和方向。一個(gè)是要虛實(shí)結(jié)合，把虛擬網(wǎng)絡(luò)的安全和物理網(wǎng)絡(luò)安全結(jié)合。第二個(gè)軟硬結(jié)合，高性能軟件安全設(shè)備和高靈活性虛擬結(jié)合。具體來(lái)說(shuō)，在數(shù)據(jù)中心針對(duì)分布式交換環(huán)境，大家看到如果在不同的虛擬交換機(jī)中間有一個(gè)分布式的虛擬交換機(jī)。這種情況我們可以使用軟硬結(jié)合的技術(shù)路線，首先我們?cè)谔摂M交換機(jī)上面部署一個(gè)我們軟件形態(tài)的虛擬網(wǎng)關(guān)，叫VUTM，這樣可以對(duì)虛擬機(jī)內(nèi)部的通信進(jìn)行網(wǎng)絡(luò)控制，攻擊檢查，病毒過(guò)濾。在虛擬交換機(jī)內(nèi)部的安全和流出虛擬交換機(jī)和大的虛擬虛擬機(jī)的網(wǎng)絡(luò)通信都可以進(jìn)行監(jiān)控管理。具體來(lái)來(lái)說(shuō)在VLAN的平臺(tái)上，如果vxlan內(nèi)部通信，就是同一個(gè)vxlan，對(duì)同一個(gè)vxlan可能是在一個(gè)交換機(jī)上，也可以分布在多個(gè)交換機(jī)上，如果是分布式，就是普通的虛擬交換，可以通過(guò)VLAN自己的安全網(wǎng)關(guān)來(lái)做監(jiān)控管理，如果是分布式虛擬交換機(jī)就可以使用我們開(kāi)發(fā)的軟件形態(tài)的安全網(wǎng)關(guān)進(jìn)行vxlan內(nèi)部通信的訪問(wèn)控制和攻擊過(guò)濾。如果是vxlan之間的通信，這個(gè)一般是路由模式，vxlan它提供對(duì)應(yīng)的安全網(wǎng)關(guān)，我們可以提供軟件形態(tài)的安全網(wǎng)關(guān)，對(duì)應(yīng)的可以解決。如果在開(kāi)源平臺(tái)上，我們都可以使用軟件形態(tài)的虛擬機(jī)安全網(wǎng)關(guān)來(lái)做vxlan內(nèi)部，以及vxlan之間的訪問(wèn)控制和攻擊過(guò)濾。

在虛擬網(wǎng)絡(luò)邊界的地方可以使用傳統(tǒng)的安全網(wǎng)關(guān)進(jìn)行接入和訪問(wèn)控制，在這方面我就不詳細(xì)介紹了，基本上就是傳統(tǒng)的虛擬網(wǎng)關(guān)可以支持多租戶的使用，這樣通過(guò)我們集中管理平臺(tái)和硬件網(wǎng)關(guān)和軟件網(wǎng)關(guān)綜合進(jìn)行策略控制，統(tǒng)一下發(fā)來(lái)實(shí)現(xiàn)，即使虛擬機(jī)在遷移過(guò)程中保持策略一致。

同時(shí)在訪問(wèn)控制方面支持多種應(yīng)用協(xié)議，剛才說(shuō)到虛擬機(jī)形態(tài)的軟件安全網(wǎng)關(guān)，這里可以看到，在每一個(gè)虛擬服務(wù)器上，虛擬交換機(jī)上面都可以部署一個(gè)虛擬機(jī)形態(tài)的安全網(wǎng)關(guān)，對(duì)這個(gè)交換機(jī)內(nèi)部的通信進(jìn)行安全控制和攻擊過(guò)濾，通過(guò)一個(gè)集中平臺(tái)進(jìn)行統(tǒng)一的管理和下發(fā)。

對(duì)虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施脆弱性管理同樣可以使用漏洞掃描工具。在這個(gè)基礎(chǔ)上我們還發(fā)展了云計(jì)算安全管控平臺(tái)，可以針對(duì)虛擬機(jī)安全網(wǎng)關(guān)，虛擬機(jī)入侵檢測(cè)，虛擬機(jī)審計(jì)，等多個(gè)軟件形態(tài)的安全產(chǎn)品，在虛擬化的網(wǎng)絡(luò)環(huán)境當(dāng)中進(jìn)行統(tǒng)一的部署和配置，用戶在使用的時(shí)候可以，這是一個(gè)虛擬化的計(jì)算環(huán)境，我們的虛擬機(jī)軟件形態(tài)的安全設(shè)備可以通過(guò)這個(gè)管控平臺(tái)下發(fā)到虛擬環(huán)境當(dāng)中去，對(duì)虛擬交換機(jī)內(nèi)部的環(huán)境通信進(jìn)行綜合管理。

在云計(jì)算安全建設(shè)方面我們參與了云計(jì)算數(shù)據(jù)中心的安全建設(shè)，特別參加山東云計(jì)算中心方面工作，我們的工作得到了用戶的認(rèn)可。這是山東云計(jì)算平臺(tái)，它通過(guò)一個(gè)云計(jì)算中心可以對(duì)下屬的多個(gè)單位技術(shù)計(jì)算資源的支持，包括應(yīng)用托管，存儲(chǔ)和虛擬機(jī)租用，提供多種服務(wù)，項(xiàng)目也非常大。在這個(gè)安全防護(hù)方面還是以傳統(tǒng)安全防護(hù)手段為主，在外圍可以實(shí)現(xiàn)流量清洗，防止來(lái)自互聯(lián)網(wǎng)流量型的攻擊，在應(yīng)用接入方面可以實(shí)現(xiàn)應(yīng)用的安全接入管理。在里面，就是服務(wù)器虛擬化方面我們部署了我們的虛擬防火墻，可以實(shí)現(xiàn)服務(wù)器相當(dāng)于虛擬機(jī)虛擬機(jī)內(nèi)部的網(wǎng)絡(luò)安全的控制，這就是網(wǎng)絡(luò)安全的整體解決方案，我畫(huà)的是其中一部分。

還有一個(gè)就是國(guó)家超級(jí)計(jì)算中心濟(jì)南分中心，同樣也是云計(jì)算中心，它面向的是科學(xué)計(jì)算，規(guī)模也比較大。一樣，在剛才數(shù)據(jù)中心的保護(hù)方面，采用了多種技術(shù)手段，從外圍到內(nèi)部虛擬網(wǎng)絡(luò)環(huán)境當(dāng)中，網(wǎng)絡(luò)安全進(jìn)行綜合防護(hù)。

最后我簡(jiǎn)單介紹一下在網(wǎng)絡(luò)虛擬化方面的研究進(jìn)展情況。

這是傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)，層次非常多，每個(gè)安全設(shè)備都有自己獨(dú)立的硬件和軟件操作系統(tǒng)，在這個(gè)方面一個(gè)是網(wǎng)絡(luò)設(shè)備對(duì)疊性能受損，第二網(wǎng)絡(luò)安全管理復(fù)雜，靈活性差，第三個(gè)是網(wǎng)絡(luò)配置部署復(fù)雜，難以統(tǒng)一管控。針對(duì)這種情況，把各個(gè)安全設(shè)備系統(tǒng)和管理應(yīng)用都集中起來(lái)，網(wǎng)絡(luò)設(shè)備都負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)了一個(gè)可編成的軟件定義網(wǎng)絡(luò)。就像普通的計(jì)算機(jī)通過(guò)虛擬化層可以支持多個(gè)操作系統(tǒng)一樣，網(wǎng)絡(luò)系統(tǒng)最終也會(huì)成為一個(gè)網(wǎng)絡(luò)資源池，通過(guò)這個(gè)軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的虛擬化。這是一個(gè)普通的FLOW網(wǎng)絡(luò)虛擬化的一個(gè)系統(tǒng)結(jié)構(gòu)，最低下是一個(gè)網(wǎng)絡(luò)資源池，是多個(gè)硬件設(shè)備負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)，它上面是一個(gè)控制平面和應(yīng)用平面，控制平面負(fù)責(zé)對(duì)網(wǎng)絡(luò)資源池的集中管理，應(yīng)用平面是對(duì)數(shù)據(jù)的一些處理和安全應(yīng)用，真正要實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化還需要一個(gè)網(wǎng)絡(luò)片層的支持，這個(gè)網(wǎng)絡(luò)片層就可以把網(wǎng)絡(luò)，一個(gè)網(wǎng)絡(luò)虛擬成多個(gè)邏輯網(wǎng)絡(luò)進(jìn)行管理和使用，在這個(gè)方面其實(shí)原來(lái)網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)是以vxlan的形式存在，相當(dāng)于把一個(gè)物理的交換機(jī)可以劃分成多個(gè)虛擬的vxlan，這種劃分屬于橫向劃分，再劃分vxlan的情況下進(jìn)一步把整個(gè)交換機(jī)可以做成多個(gè)片層，每個(gè)片層都塑像是一個(gè)完整的，具有多個(gè)vxlan的交換機(jī)使用，這個(gè)是SDN的一個(gè)核心思想，通過(guò)目前比較成熟的Openflow協(xié)議，可以實(shí)現(xiàn)目的。未來(lái)在SDN上面主要會(huì)發(fā)展多種軟件應(yīng)用，因?yàn)橛布O(shè)備是網(wǎng)絡(luò)廠商的特長(zhǎng)，中間的操作系統(tǒng)最終可能會(huì)有幾個(gè)有代表的操作系統(tǒng)進(jìn)行支持，最核心的是上面的應(yīng)用，應(yīng)用我們認(rèn)為有這樣三種應(yīng)用，第一種子網(wǎng)絡(luò)管理類，第二是轉(zhuǎn)發(fā)管理類，第三是內(nèi)容管理類。網(wǎng)絡(luò)管理類包括網(wǎng)絡(luò)設(shè)備的配置，監(jiān)控，網(wǎng)絡(luò)優(yōu)化，等多項(xiàng)工作，對(duì)網(wǎng)絡(luò)本身進(jìn)行配置管理，這需要一部分應(yīng)用，也有相應(yīng)的支持。第二就是轉(zhuǎn)發(fā)管理，對(duì)二層三層協(xié)議進(jìn)行計(jì)算和處理，最后實(shí)現(xiàn)網(wǎng)絡(luò)流量的管理。第三個(gè)是對(duì)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行安全與綜合管理，包括訪問(wèn)控制，內(nèi)容攻擊檢查，流量清洗等新的安全應(yīng)用。所以在SDN網(wǎng)絡(luò)上這三類應(yīng)用會(huì)逐漸發(fā)展起來(lái)，成為支撐SDN網(wǎng)絡(luò)的一個(gè)主要部分。我們認(rèn)為也是安全未來(lái)的一個(gè)發(fā)展方向。

好今天介紹的就是這些，謝謝大家。

主持人：下面歡迎各位就畢博士剛才的精彩演講提問(wèn)。

提問(wèn)：您好，我有一個(gè)疑問(wèn)。你這個(gè)網(wǎng)絡(luò)設(shè)備虛擬化之后，它其實(shí)是占用服務(wù)器計(jì)算資源了，它的效率肯定不如物理網(wǎng)絡(luò)設(shè)備的安全，你這種技術(shù)有什么好處呢？不知道我問(wèn)的清楚不清楚？

畢學(xué)堯：我感覺(jué)你把那兩個(gè)概念搞混了，網(wǎng)絡(luò)虛擬化本身不會(huì)占用服務(wù)器資源，如果是網(wǎng)絡(luò)虛擬化不會(huì)占用服務(wù)器作用，它是通過(guò)集中管理實(shí)現(xiàn)的。

畢學(xué)堯：那個(gè)參數(shù)是針對(duì)硬件的安全網(wǎng)關(guān)設(shè)置的，不是虛擬化軟件的，是硬件的。是所有的。

主持人：我們謝謝畢博士，為了保證5點(diǎn)鐘準(zhǔn)時(shí)抽大獎(jiǎng)，我們茶歇就不歇了，我們下面請(qǐng)上海CA中心潘焱副總經(jīng)理給我們講《云計(jì)算與電子認(rèn)證》。

上海CA中心潘焱副總經(jīng)理

潘焱：各位來(lái)賓非常高興有機(jī)會(huì)來(lái)跟大家討論云計(jì)算與電子認(rèn)證這個(gè)問(wèn)題。我的報(bào)告分三個(gè)部分。

第一個(gè)部分云時(shí)代技術(shù)發(fā)展趨勢(shì)，第二個(gè)電子認(rèn)證的發(fā)展方向，最后一個(gè)我們認(rèn)為在未來(lái)新一代的網(wǎng)絡(luò)信任應(yīng)該是一個(gè)什么樣的結(jié)構(gòu)，或者什么樣的一個(gè)情況。

首先我們看各個(gè)來(lái)賓都講到了很多在云計(jì)算的時(shí)候的安全，談安全的時(shí)候首先我們要考慮整個(gè)技術(shù)的發(fā)展趨勢(shì)，在技術(shù)的發(fā)展方向上來(lái)說(shuō)我們來(lái)考慮安全的配置，或者未來(lái)方向性的技術(shù)措施。

首先第一個(gè)我們認(rèn)為在整個(gè)發(fā)展過(guò)程中，在云計(jì)算發(fā)展到現(xiàn)在，從2010年，2011年連續(xù)兩年都是排名第一的搜索，今年云計(jì)算跌出了前十，我們認(rèn)為更好的回歸本身信息化真正技術(shù)的本質(zhì)，并沒(méi)有原來(lái)那么暈了，首先產(chǎn)業(yè)發(fā)展上第一個(gè)非常明顯的特點(diǎn)，就是邊界的加速融合和跨界愈演愈烈。我們很難給一個(gè)公司定位，是軟件公司，還是移動(dòng)公司，還是硬件公司，前一陣子美國(guó)開(kāi)了一個(gè)投資的會(huì)，里頭有一個(gè)人講了一句話，谷歌現(xiàn)在在講什么，吸引大家眼球，蘋(píng)果在做什么？蘋(píng)果關(guān)注大家的手指和耳朵，微軟在做什么？微軟更關(guān)注大家起居室里面，他做智能電視，微軟并不是家電廠商，他也在做智能電視的方案，他們這個(gè)禮拜剛剛推出了一個(gè)新產(chǎn)品，它也開(kāi)始走向了硬件，產(chǎn)業(yè)邊界融合使得跨界競(jìng)爭(zhēng)越來(lái)越劇烈，這樣信任體系，或者安全措施就不能單單考慮傳統(tǒng)意義上的PC上，或者在互聯(lián)網(wǎng)上怎么解決，我更多考慮在移動(dòng)網(wǎng)絡(luò)，甚至電視屏幕上的信息安全，包括云安全的解決。

第二個(gè)商業(yè)模式的創(chuàng)新帶動(dòng)整個(gè)技術(shù)的整合，剛才有嘉賓已經(jīng)講到了，目前情況下，整個(gè)隨著發(fā)展整個(gè)商業(yè)模式?jīng)Q定技術(shù)發(fā)展方向最重要的原驅(qū)動(dòng)力，蘋(píng)果為什么這么火，蘋(píng)果一代推出的時(shí)候就是一個(gè)智能手機(jī)，智能手機(jī)可能在某些方面比諾基亞做的好，它的制勝點(diǎn)不是在這兒，它制勝點(diǎn)它推出了一些平臺(tái)，這三者的結(jié)合使它有很好的商業(yè)模式，帶動(dòng)了蘋(píng)果迅速的發(fā)展起來(lái)，這樣使整個(gè)云發(fā)展方向，商業(yè)模式也是一個(gè)帶動(dòng)了技術(shù)整合。我們考慮安全也要考慮商業(yè)模式，安全不僅僅是一個(gè)技術(shù)問(wèn)題，它同樣也是商業(yè)的問(wèn)題，我們說(shuō)360為什么和百度打起來(lái)了，跟QQ打起來(lái)，360是典型的安全廠商，但是它無(wú)論3Q大戰(zhàn)，還是搜索大戰(zhàn)，安全已經(jīng)不僅僅是一個(gè)技術(shù)問(wèn)題，它跨越到商業(yè)模式上去了。

第三個(gè)問(wèn)題現(xiàn)在目前產(chǎn)業(yè)發(fā)展它是從一個(gè)單一的企業(yè)競(jìng)爭(zhēng)發(fā)展到一個(gè)山野聯(lián)盟的競(jìng)爭(zhēng)，所以我們?cè)谟懻摪踩臅r(shí)候不能單單考慮一個(gè)企業(yè)的安全問(wèn)題，我們知道微軟跟諾基亞，包括谷歌它的戰(zhàn)略，包括蘋(píng)果自己的獨(dú)立體系，它一樣跟移動(dòng)運(yùn)營(yíng)商結(jié)成產(chǎn)業(yè)聯(lián)盟，整個(gè)技術(shù)發(fā)展到現(xiàn)在，單一的企業(yè)競(jìng)爭(zhēng)已經(jīng)發(fā)展到產(chǎn)業(yè)聯(lián)盟的競(jìng)爭(zhēng)。

最后我們認(rèn)為產(chǎn)業(yè)發(fā)展的特點(diǎn)是云為代表的產(chǎn)業(yè)形態(tài)變革。我記得剛才哪一位嘉賓講到了，在云時(shí)代整個(gè)服務(wù)的模式完全發(fā)生了變化，我們說(shuō)微軟很快要推出它的新版的辦公軟件，這個(gè)辦公軟件并不是單機(jī)版，就是按服務(wù)來(lái)收費(fèi)的，就變成一個(gè)云版本的服務(wù)模式。

隨著產(chǎn)業(yè)發(fā)展，正因?yàn)檫M(jìn)入了云時(shí)代，我們上海出了智慧城市，我們也提出要遵循在智慧城市情況下，它有什么發(fā)展特征，就是感知化，物聯(lián)化和智能化。首先感知化在一個(gè)智慧城市的感知化體系中我們遙想未來(lái)應(yīng)該是，世博會(huì)也有這種場(chǎng)景的應(yīng)用，我們進(jìn)去，比如到香港展廳我拿一個(gè)卡換一個(gè)腕表，智能化的進(jìn)展我進(jìn)這個(gè)城市能夠和整個(gè)城市互動(dòng)，實(shí)際上感知化已經(jīng)走進(jìn)了我們現(xiàn)在的生活，我們每個(gè)人，我們或多或少都會(huì)有這種卡，有美容美法的購(gòu)物卡，各種各樣的卡，這種卡標(biāo)識(shí)你的身份，你有了這個(gè)身份之后你就進(jìn)入了整個(gè)智慧產(chǎn)業(yè)經(jīng)濟(jì)應(yīng)用體系里面，但是它同樣它的弊病也暴露出來(lái)了，基于這方面的審計(jì)和第三方的安全并不充分，實(shí)際我們并沒(méi)有準(zhǔn)備好這樣一個(gè)時(shí)代的到來(lái)，我剛才坐在那兒桌子上有一個(gè)本子，2011年信息安全大事件，這里面有一點(diǎn)，就是手機(jī)短信詐騙越來(lái)越多，每個(gè)人都知道這是詐騙，但是每年還依然有這么多人上當(dāng)，這僅僅是一個(gè)手機(jī)，假如我們把它擴(kuò)展到IT領(lǐng)域，都會(huì)影響到我們每個(gè)人對(duì)信息安全的關(guān)注。同時(shí)IFAD還引申到一個(gè)隱私問(wèn)題，我們推出了一個(gè)應(yīng)用，我們跟上海一個(gè)委辦推出一個(gè)應(yīng)用，這個(gè)應(yīng)用是給執(zhí)法人員帶一個(gè)手機(jī)，他啟動(dòng)程序以后他就可以拍攝錄像，把他拍攝的街景上傳到服務(wù)器，當(dāng)時(shí)我們?cè)O(shè)想這個(gè)應(yīng)用很有市場(chǎng)，我們做了以后發(fā)現(xiàn)推不動(dòng)，所有的執(zhí)法人員都反對(duì)，說(shuō)我八小時(shí)整個(gè)路線都暴露出來(lái)，所有人都知道我上班去哪里了，這說(shuō)明在感知化的時(shí)代每個(gè)人的隱私都有可能隨時(shí)隨地的暴露出來(lái)。

第二個(gè)物聯(lián)化和互聯(lián)化，我們都有公交卡，我們可以隨時(shí)查詢你到了哪里，這種應(yīng)用就有人來(lái)用它的來(lái)犯罪。

最后一個(gè)智能化，智能化現(xiàn)在隨著信息化的發(fā)展，我們智能化不僅僅是用電腦叫智能化，我們?cè)诩颐恳粋€(gè)人用的電視就是智能化的，電視有機(jī)頂盒，隨著未來(lái)的發(fā)展，我記得有一個(gè)案例，七八年前的一個(gè)案例，中央電視臺(tái)報(bào)道了一個(gè)案例，有一個(gè)攝像頭，有一個(gè)人他控制了一個(gè)肉雞，這個(gè)肉雞電腦上是有個(gè)攝像頭，他遠(yuǎn)程啟動(dòng)了這個(gè)攝像頭，碰巧這個(gè)電腦是放在臥室，把臥室所有情況都拍下來(lái)了，拍下來(lái)之后他就把它錄下來(lái)，錄下來(lái)就敲詐，說(shuō)你在臥室所有的行為他多錄下來(lái)了，然后敲詐，這是在新聞里報(bào)道的，七八年前就發(fā)生的案例，這個(gè)案例給我們敲響了警鐘。假如說(shuō)未來(lái)我們的智能電視有了這個(gè)功能，它可以連網(wǎng)，它有攝像頭，如果你智能電視被人家黑掉，你在家里所有的情況有沒(méi)有可能被人家錄下來(lái)，這個(gè)安全不僅僅局限在某一個(gè)我們?cè)赑C，我們?cè)谠品?wù)器我們要怎么解決，我們要考慮整個(gè)體系的安全性。所以我們認(rèn)為在整個(gè)云時(shí)代，在現(xiàn)代更多需要網(wǎng)絡(luò)信任的體系，它保證第一個(gè)是身份的真實(shí)性，保證我每個(gè)人在操作這個(gè)系統(tǒng)身份的真實(shí)性，第二個(gè)保證整個(gè)體系數(shù)據(jù)的加密，敏感的數(shù)據(jù)。包括發(fā)生事情的責(zé)任認(rèn)定，我還舉個(gè)例子，也是今年，今年我們上海有一個(gè)很重要的信息安全事件判刑的，新聞里大家也聽(tīng)到了，衛(wèi)生局，新生兒數(shù)據(jù)泄露，有一個(gè)項(xiàng)目把數(shù)據(jù)偷走然后賣錢，最后他把被判刑了。數(shù)據(jù)存在自己的服務(wù)器上，只是委托了一個(gè)開(kāi)發(fā)商，開(kāi)發(fā)商賣錢。存自己的服務(wù)器上都存在這樣的情況，毫無(wú)疑問(wèn)大家會(huì)擔(dān)心，衛(wèi)生局把自己的數(shù)據(jù)存在自己的服務(wù)器上還發(fā)生這樣的情況。存在云上不一定發(fā)生什么樣情況。

整個(gè)云時(shí)代發(fā)展的時(shí)代提出了信任的需求，第一個(gè)有一個(gè)身份的需求，第二個(gè)是可信行為的需求，我們要把每一個(gè)操作者行為的操作他是有需求的。第三個(gè)是憑證，這個(gè)憑證比如說(shuō)網(wǎng)上報(bào)稅，網(wǎng)上報(bào)稅稅務(wù)局的回單，電子憑證可以入帳，加入我們電子簽名。還有時(shí)間服務(wù)，還有可信的增值，這些方面都是我們?cè)谠茣r(shí)代會(huì)有越來(lái)越多的信任服務(wù)，它最終第一個(gè)要求，我們認(rèn)為在可信智慧城市有四個(gè)不同的點(diǎn)。第一個(gè)終端類型，終端類型不僅要支持各種的智能終端，它還要支持傳感器。我講一下電子認(rèn)證的發(fā)展模式，電子認(rèn)證我99年進(jìn)入上海數(shù)字認(rèn)證中心的，到現(xiàn)在快十多年了，這15年電子認(rèn)證經(jīng)歷了很大的發(fā)展，從中國(guó)開(kāi)始，我要跟大家解釋我的工作是什么，到現(xiàn)在所有人，剛才所有的嘉賓都要講到了要有身份認(rèn)證，數(shù)字證書(shū)等等，都得到了大家的認(rèn)可，包括現(xiàn)在已經(jīng)基本成為信息安全必不可少的基礎(chǔ)設(shè)施，但是它這十幾年的發(fā)展，它也是有變化的，我們首先在云時(shí)代我們可以想象一下，這是一個(gè)圖，我們現(xiàn)在每個(gè)人登錄，大家有多少帳號(hào)，我估計(jì)大家記不清楚，我登錄新浪有一個(gè)，登陸QQ有一個(gè)，登錄百度還有一個(gè)，登錄阿里巴巴淘寶我有一個(gè)，我有各種各樣的帳號(hào)，我在網(wǎng)上叫一下潘焱我就想起來(lái)有各種潘焱，我會(huì)注冊(cè)潘焱123456，很多用戶我記不住的，這樣的情況，云時(shí)代，這僅僅是我一個(gè)人，如果在云時(shí)代各個(gè)層面，三個(gè)層次，每一個(gè)層次之間的交互是一個(gè)集合數(shù)量爆炸式的增長(zhǎng)，靠人腦，即便靠計(jì)算機(jī)去處理很難處理身份認(rèn)證信息的，照目前的情況來(lái)發(fā)展，有一個(gè)新的趨勢(shì)。這張圖是我們登錄任何一個(gè)系統(tǒng)都可能碰到一個(gè)圖，我們無(wú)論登錄土豆，所有的網(wǎng)站，都讓你注冊(cè)一個(gè)帳號(hào)，你可以選擇你的QQ帳號(hào)，可以選擇MSN帳號(hào)，這就是在做身份認(rèn)證，這是身份認(rèn)證最新的趨勢(shì)。

從十年前的單一認(rèn)證，到05年推出OPENID，到OE年推出OAUTH1.0，到最新的2.0，所有的社交媒體網(wǎng)站他們都說(shuō)他們現(xiàn)在支持Oauth，他們?yōu)槭裁粗С诌@個(gè)？我們來(lái)看看整個(gè)Oauth。Oauth是一個(gè)開(kāi)放標(biāo)準(zhǔn)，允許用戶讓第三方應(yīng)用訪問(wèn)該用戶在某一網(wǎng)站上存儲(chǔ)的私密的資源，而無(wú)需將用戶名和密碼提供給第三方應(yīng)用。實(shí)際上在去年，或者今年上半年OAuth整個(gè)熱點(diǎn)一年比一年高了，包括Facebook它的新的API，還有谷歌2011年3月推出支持，包括微軟也支持了，包括今年新浪QQ也支持了對(duì)OAuth2.0的支持。

它的發(fā)展背景是怎樣的呢？OAuth開(kāi)始于2006年11月。從技術(shù)層面上來(lái)看，OAuth允許用戶提供一個(gè)令牌，比如我登錄土豆網(wǎng)，我登錄任何一個(gè)網(wǎng)站，這個(gè)網(wǎng)站說(shuō)必須經(jīng)過(guò)身份認(rèn)證，他就進(jìn)行身份認(rèn)證，他就登錄了一個(gè)APP供應(yīng)商，實(shí)際上這是騰訊，或者QQ，或者新浪，或者微軟他們要做的事情，包括新出來(lái)的Win8可以用MSN登錄的，他們都在做一件什么事情，所有的廠商都想強(qiáng)占云時(shí)代的APP。大家對(duì)谷歌最大的并購(gòu)，就是它的URL很長(zhǎng)，長(zhǎng)的很難受，它里面是什么，原來(lái)谷歌是走自己的協(xié)議，現(xiàn)在谷歌是支持OAuth2.0，OAuth2.0它有簽名，它有時(shí)間章。它這個(gè)結(jié)構(gòu)跟數(shù)字證書(shū)結(jié)果是一樣的，它有用戶的標(biāo)識(shí)，它有公鑰，它有簽名。這樣一個(gè)數(shù)字證書(shū)提供之后使得用戶拿到這個(gè)數(shù)字證書(shū)再進(jìn)入到具體資源供應(yīng)商的應(yīng)用，我總結(jié)一下。

我們認(rèn)為在現(xiàn)在這個(gè)時(shí)代，身份認(rèn)證到底發(fā)展到現(xiàn)在，第一個(gè)整個(gè)發(fā)展，APP，或者云，到現(xiàn)在成為了一個(gè)分水嶺，成為在云時(shí)代身份認(rèn)證有一個(gè)很大的變化，智慧城市在社會(huì)的網(wǎng)格化，智能化的要求，實(shí)現(xiàn)整個(gè)社會(huì)信息普及。這個(gè)產(chǎn)業(yè)潛力不可限量的，任何一個(gè)云服務(wù)商他必然關(guān)注這一塊，為什么QQ新浪，新浪這么著急推出這個(gè)東西，它的微博到這種程度，因?yàn)樗吘褂腥齻€(gè)億的用戶，包括開(kāi)心網(wǎng)，人人網(wǎng)，他們都想做這一件事情，這個(gè)里面產(chǎn)業(yè)機(jī)會(huì)是不可限量的的。包括美國(guó)的網(wǎng)絡(luò)空間身份標(biāo)識(shí)這些代表，新一輪的網(wǎng)絡(luò)身份的可信卡位戰(zhàn)已經(jīng)開(kāi)始了。

下一代信任服務(wù)到底應(yīng)該是什么樣的？第一個(gè)它應(yīng)該是以云形式提供的一個(gè)服務(wù)，它不應(yīng)該僅僅是一個(gè)數(shù)字證書(shū)，我們公司叫上海市數(shù)字證書(shū)認(rèn)證中心，我們只做數(shù)字認(rèn)證，不是這樣的，實(shí)際上CE這個(gè)角色在提供，它的本質(zhì)在做什么，它提供了信任，它是在網(wǎng)上互不相見(jiàn)的人提供一個(gè)信任，就像土豆網(wǎng)和潘焱互不認(rèn)識(shí)，我通過(guò)新浪的帳號(hào)把我們兩個(gè)關(guān)聯(lián)起來(lái)，所有的信任服務(wù)都在做這個(gè)事情，這個(gè)信任服務(wù)除了身份證以外，這個(gè)云里面還應(yīng)該包括聯(lián)合授權(quán)等等。這是我們認(rèn)為現(xiàn)在目前應(yīng)該有這么一個(gè)角色，這個(gè)角色應(yīng)該在云上面建一個(gè)統(tǒng)一的APP平臺(tái)，這也是目前我們致力于在建立這么一個(gè)角色，對(duì)于企業(yè)來(lái)說(shuō)，上海市今年兩月份韓市長(zhǎng)批準(zhǔn)了法人一證通項(xiàng)目，這樣的話使得在上海構(gòu)建APP已經(jīng)具備了一個(gè)企業(yè)級(jí)APP已經(jīng)具備了條件，在云時(shí)代服務(wù)，任何一個(gè)云應(yīng)用都可以向APP請(qǐng)求這個(gè)企業(yè)身份的真實(shí)性，我們可以提供這個(gè)企業(yè)的身份是否真實(shí)，同樣我們說(shuō)在這個(gè)時(shí)代，我們還有多種認(rèn)證，都可以納入到APP里面來(lái)，我們幾年前，或者七八年前我們討論的根C，橋C，這種證書(shū)通用方式，以及CPK，等等認(rèn)證方式都可以納入到這個(gè)APP來(lái)。這樣一個(gè)APP來(lái)為整個(gè)云提供各種各樣的服務(wù)，這個(gè)云各種各樣的服務(wù)來(lái)獲取用戶的身份信息。

當(dāng)然這樣一個(gè)服務(wù)我們必須考慮這個(gè)服務(wù)必須支持電腦，手機(jī)，讀卡器等等，包括我們跟一些芯片廠商討論，我們推出一種天羅卡，任何一個(gè)手機(jī)鐵上一個(gè)膜就可以變成短信加密，我們有這樣一個(gè)服務(wù)，這種模式，必須要支持，未來(lái)的APP各種各樣的終端。

從業(yè)務(wù)需求上來(lái)說(shuō)，我們認(rèn)為新一代網(wǎng)絡(luò)信任云服務(wù)平臺(tái)包括統(tǒng)一數(shù)字身份服務(wù)，聯(lián)合認(rèn)證授權(quán)服務(wù)，權(quán)威電子證據(jù)服務(wù)，網(wǎng)絡(luò)信任能力公共支撐，網(wǎng)絡(luò)信任合規(guī)性核查。技術(shù)需求包括采用云架構(gòu)提供云服務(wù)，移動(dòng)網(wǎng)絡(luò)信任云服務(wù)等等。

我們都說(shuō)云有三層架構(gòu)，未來(lái)這樣一個(gè)APP，或者信任服務(wù)，在云不同的架構(gòu)上它的展現(xiàn)形式是怎樣的，首先在SAAS層面上，我們認(rèn)為要提供一個(gè)信任服務(wù)，我們可以提供APP的服務(wù)供應(yīng)，同時(shí)我們要提供SSL服務(wù)，我們跟瀏覽器建立一個(gè)加密通道，目前中國(guó)大陸地區(qū)只有上海通過(guò)了國(guó)際權(quán)威認(rèn)證，使得我們的根證書(shū)潛入到蘋(píng)果，微軟，谷歌的操作系統(tǒng)中，你直接啟動(dòng)SSL的時(shí)候就不會(huì)再保證這個(gè)不可信任的根，以前國(guó)內(nèi)的CA會(huì)遇到這個(gè)問(wèn)題，這個(gè)CA不受信任，因?yàn)槲覀兯械牟僮飨到y(tǒng)，我們所有底層的東西都是國(guó)外的，為了這個(gè)在上海市政府支持下，我們上海作為一個(gè)國(guó)際化大都市，上海CA成為大陸地區(qū)唯一通過(guò)國(guó)際認(rèn)證的公司，使得我們所有的安全潛入到操作系統(tǒng)中，這樣大家再去訪問(wèn)這個(gè)網(wǎng)站的時(shí)候直接啟動(dòng)APP，包括我們支持蘋(píng)果平板電腦，這是云服務(wù)層面的。在平臺(tái)服務(wù)層面，我們認(rèn)為在上海要構(gòu)建兩個(gè)平臺(tái)，第一個(gè)是APP平臺(tái)，APP平臺(tái)把多種認(rèn)證手段集中在一起，提供多種認(rèn)證服務(wù)，同時(shí)可以跟各個(gè)廠商合作，我們共同推一個(gè)新的服務(wù)模式推新，云時(shí)代技術(shù)并不是最重要，服務(wù)模式是最重要的，如何用好上海CA，上海發(fā)人一證通，無(wú)論企業(yè)法人，還是事業(yè)法人，還是政府單位，政府都會(huì)免費(fèi)的發(fā)放數(shù)字證書(shū)，如何在這個(gè)基礎(chǔ)推出新的商業(yè)模式，我們希望跟大家一起溝通新的商業(yè)模式。

還有電子合同的簽訂平臺(tái)，我們有數(shù)據(jù)保全的平臺(tái)，這些責(zé)任的平臺(tái)也是通過(guò)這么一個(gè)基礎(chǔ)架構(gòu)為整個(gè)云層面提供。包括云操作系統(tǒng)層面我們可以提供密碼設(shè)備，以及剛才我們說(shuō)的虛擬的密碼設(shè)備，在符合國(guó)家密碼管理規(guī)范的基礎(chǔ)上提供一系列的密碼設(shè)備，使得云更加安全。

最后小結(jié)一下，實(shí)際上在云時(shí)代服務(wù)模式的創(chuàng)新是滿足智慧城市，云海戰(zhàn)略為代表的新形勢(shì)要求。服務(wù)創(chuàng)新并不是企業(yè)能夠做的，是在座所有的企業(yè)通過(guò)產(chǎn)業(yè)聯(lián)盟的形式共同創(chuàng)新，上海CA希望能夠和大家共同推進(jìn)我們?cè)谠茣r(shí)代身份認(rèn)證有新的模式，或者服務(wù)內(nèi)容的創(chuàng)新。技術(shù)手段的創(chuàng)新，我們不僅僅關(guān)注傳統(tǒng)的互聯(lián)網(wǎng)，移動(dòng)互聯(lián)網(wǎng)，我們關(guān)注家里的電視，關(guān)注手里的手機(jī)，關(guān)注衣服里面的芯片等等，關(guān)注這些地方，我們會(huì)推出整套的這樣一個(gè)安全信任API，來(lái)幫助大家推動(dòng)整個(gè)信任的服務(wù)。

第四個(gè)我們包括集成，因?yàn)橹袊?guó)整個(gè)密碼還有有比較嚴(yán)格的管理規(guī)范，我們集成整個(gè)，滿足國(guó)家管理局規(guī)范基礎(chǔ)上，推出滿足新的應(yīng)用和我們的服務(wù)。

好，謝謝大家。

主持人：潘總我有一個(gè)，你剛才說(shuō)到上海發(fā)了70萬(wàn)個(gè)數(shù)字身份證書(shū)，這個(gè)主要是給法人，我想問(wèn)一下上海CA認(rèn)證中心對(duì)于下一步公民，或者自然人這個(gè)數(shù)字身份認(rèn)證是怎么考慮的，我們現(xiàn)在考慮到有很多，不僅僅是法人與法人之間的交易，還有法人與自然人的交易，你剛才說(shuō)的變合同，如何讓自然人在身份認(rèn)證過(guò)程中使它的權(quán)益更好的在電子合同中能夠得到保護(hù)。

潘焱：實(shí)際上中國(guó)的電子認(rèn)證發(fā)展到現(xiàn)在更多是集中于像企業(yè)的應(yīng)用，個(gè)人的應(yīng)用，APP應(yīng)用，因?yàn)槌杀?，可能使用QQ帳號(hào)認(rèn)證，新浪帳號(hào)認(rèn)證，這樣比較安全，比較弱的認(rèn)證，因?yàn)樗鼪](méi)有責(zé)任認(rèn)定的需求，針對(duì)個(gè)人證書(shū)，我們也有個(gè)人證書(shū)，比如說(shuō)我們對(duì)全國(guó)的所有拍賣師都使用了我們證書(shū)，我們下一步從行業(yè)角度找到會(huì)計(jì)師，律師，發(fā)律師的證書(shū)，這一類人群他在網(wǎng)絡(luò)應(yīng)用有很強(qiáng)的認(rèn)證安全需求，我們也在推這些證書(shū)，我們也在考慮，如果有這些需求的客戶，我們更多是跟應(yīng)用聯(lián)合推出這種認(rèn)證應(yīng)用，我們可以跟社?？?，我們也希望上?？梢愿绫？?lián)發(fā)，這些需要市里面統(tǒng)一協(xié)調(diào)，我們更多是跟應(yīng)用來(lái)推個(gè)人的應(yīng)用。

提問(wèn)：兩個(gè)問(wèn)題，一個(gè)是你根證書(shū)植入還有效嗎？第二個(gè)問(wèn)題怎么解決確保和保證這兩個(gè)詞的差異，作為認(rèn)證這個(gè)是很敏感的事情。

潘焱：第一個(gè)問(wèn)題，算法升級(jí)并不影響我們植入到微軟的根證書(shū)，我們植入微軟根是4096位，目前安全上不受影響的，剛才說(shuō)的算法升級(jí)是中國(guó)算法升級(jí)，是不是得到這些大牌的廠商支持還需要有一個(gè)發(fā)展過(guò)程。你剛才說(shuō)的確保和保證，我不知道是什么意思。

提問(wèn)：早晨趙教授介紹了國(guó)際標(biāo)準(zhǔn)的時(shí)候，里面有一個(gè)確保，后來(lái)改成保證，楊處長(zhǎng)都在講，我們現(xiàn)在很多外包風(fēng)險(xiǎn)，談到我們新產(chǎn)品形勢(shì)，以及信任傳遞上面可能會(huì)出現(xiàn)一些問(wèn)題，如果兩個(gè)可靠性系統(tǒng)0.9乘0.9串聯(lián)在一起，就是0.81，它的可靠性是下降的，我們信任傳遞也有，傳導(dǎo)上肯定會(huì)降低，認(rèn)證必須保證這個(gè)人甲，那個(gè)人就是乙，技術(shù)理論的保證，這個(gè)關(guān)系怎么處理。

主持人：用了你的CA以后，它的安全概率你給了幾個(gè)九，給一個(gè)數(shù)字更直觀一點(diǎn)。

潘焱：我覺(jué)得安全是一個(gè)很復(fù)雜的問(wèn)題，使用了數(shù)字證書(shū)依然會(huì)出錯(cuò)，應(yīng)該存在這樣一個(gè)情況，比如說(shuō)建設(shè)銀行前幾年發(fā)展的事情，它軟盤(pán)證書(shū)會(huì)出問(wèn)題，確保和保證，我是這么理解的，我認(rèn)為一個(gè)，不僅僅身份認(rèn)證，所有的安全是有等級(jí)的，你成本越高，你投入的資金越高你獲得的收益肯定越高，包括我剛才講的云時(shí)代的ADP，ADP必然分層的，我可以用動(dòng)態(tài)口令卡，我甚至可以用刮刮卡，從目前的角度我認(rèn)為在整個(gè)這個(gè)行業(yè)里頭用數(shù)字證書(shū)還是最安全的，特別是有國(guó)家密碼管理局認(rèn)可這些K的數(shù)字證書(shū)還是更安全，動(dòng)態(tài)口令，因?yàn)樗](méi)有經(jīng)過(guò)實(shí)際檢驗(yàn)，用數(shù)字證書(shū)，我99年進(jìn)去，現(xiàn)在經(jīng)過(guò)了15年，我不敢說(shuō)它百分之百，在這15年里頭如果你嚴(yán)格按照使用規(guī)范還沒(méi)有發(fā)生過(guò)任何問(wèn)題。

主持人：?jiǎn)栴}就到這里結(jié)束。我們下面有請(qǐng)杭州安恒信息技術(shù)有限公司安全服務(wù)部分五總監(jiān)劉志樂(lè)先生分享《互聯(lián)網(wǎng)應(yīng)用安全威脅深度分析和應(yīng)對(duì)》，掌聲歡迎劉總。

劉志樂(lè)：非常感謝各位領(lǐng)導(dǎo)和嘉賓，接下來(lái)由我跟大家共享互聯(lián)網(wǎng)應(yīng)用安全威脅深度分析與應(yīng)對(duì)。

首先簡(jiǎn)單的介紹一下我自己，我叫劉志樂(lè)，目前是OWASP中國(guó)區(qū)委員，在安恒任安全服務(wù)部總監(jiān)，也在國(guó)際國(guó)內(nèi)一些安全會(huì)議上做過(guò)一些安全方面的演講。

今天給大家主要交流是三個(gè)方面，一個(gè)是近期安全熱點(diǎn)，這一塊我很快過(guò)掉，因?yàn)榻裉煊泻芏嗉钨e已經(jīng)在這一塊說(shuō)了不少，第二塊看一下目前應(yīng)用系統(tǒng)安全現(xiàn)狀。最后講一下互聯(lián)網(wǎng)應(yīng)用系統(tǒng)怎么樣一個(gè)防護(hù)措施。

到處數(shù)據(jù)都顯示，互聯(lián)網(wǎng)普及率越來(lái)越高，中國(guó)的網(wǎng)民在全球遙遙領(lǐng)先，因?yàn)槲覀儽旧砣藬?shù)基數(shù)比較大。使用各種終端上網(wǎng)的用戶也在不斷的壯大，未來(lái)有可能有趨勢(shì)，可能我們個(gè)人的PC最終被我們一些智能終端所替代。移動(dòng)終端的使用已經(jīng)逐年的遞增，近期的一些熱點(diǎn)，包括去年泄密門(mén)事件，包括今年國(guó)外黑客的事件，頻頻在互聯(lián)網(wǎng)上暴露。有相關(guān)的報(bào)道，包括國(guó)內(nèi)的一些政府站點(diǎn)，還有其它的一些互聯(lián)網(wǎng)的網(wǎng)站，都發(fā)生了安全事件，包括過(guò)企，世界500強(qiáng)等等，很多，這個(gè)也只是一些隨便的摘錄，實(shí)際上這些事件每天都在發(fā)生，這幾年由于十八大的臨近，也發(fā)生了很多的事件，政府站點(diǎn)被黑客入侵。國(guó)外一些站點(diǎn)同樣也會(huì)存在，花旗銀行也遭受黑客的入侵，蘋(píng)果手機(jī)的漏洞問(wèn)題。

第二個(gè)談一下互聯(lián)網(wǎng)目前的應(yīng)用系統(tǒng)的安全現(xiàn)狀。

互聯(lián)網(wǎng)從2010年，2011，2012三年的數(shù)據(jù)，從2010年開(kāi)始，很多對(duì)于Web的攻擊逐漸超過(guò)傳統(tǒng)的攻擊方式，成為主流的攻擊方式，這一塊也有相關(guān)的一些國(guó)家的數(shù)據(jù)，2010年的時(shí)候掛馬等等，還是很猖獗，但是掛馬后來(lái)這兩年已經(jīng)逐步發(fā)展為釣魚(yú)，這個(gè)是由于地下黑客產(chǎn)業(yè)鏈它的利益轉(zhuǎn)變和由于一些客戶端殺毒軟件的發(fā)展。

到2011年是這樣子，我們同樣看，還是在應(yīng)用層的漏洞，較2010年的時(shí)候有進(jìn)一步的上升趨勢(shì)，對(duì)于網(wǎng)站用戶引發(fā)用戶信息和數(shù)據(jù)安全問(wèn)題已經(jīng)引起了，不光是整個(gè)互聯(lián)網(wǎng)這些廠商的關(guān)注，實(shí)際上也一定程度影響國(guó)家這個(gè)層面也在逐漸的很重視這一塊。

這一塊是剛才前面幾個(gè)嘉賓都說(shuō)到了，去年年底的用戶信息泄露事件，整個(gè)2012年我們更多關(guān)注于以下幾塊。一個(gè)互聯(lián)網(wǎng)的形勢(shì)已經(jīng)更加嚴(yán)峻，網(wǎng)站中集中存儲(chǔ)的用戶信息已經(jīng)成為黑客竊取的重點(diǎn)，包括今年315晚會(huì)上面報(bào)道了一些銀行把用戶的信息賣到黑市里面去。隨著互聯(lián)網(wǎng)終端的分布和發(fā)展，3GWifi，針對(duì)智能終端的程序越來(lái)越增加，智能終端成為黑客攻擊的重點(diǎn)目標(biāo)。接下來(lái)隨著電子商務(wù)的普及，網(wǎng)民的理財(cái)習(xí)慣已經(jīng)轉(zhuǎn)向網(wǎng)上交易，針對(duì)網(wǎng)銀，證券機(jī)構(gòu)的攻擊急劇的增加，這是瑞星發(fā)布的一些2012年整體數(shù)據(jù)，顯示的釣魚(yú)網(wǎng)站的數(shù)量，安卓的病毒已經(jīng)成為用戶最大的安全威脅，前一段時(shí)間網(wǎng)上也報(bào)國(guó)外安卓的病毒使中國(guó)將近有50多萬(wàn)的人遭受了這個(gè)病毒的攻擊。

無(wú)線的公共網(wǎng)絡(luò)成為泄密的源頭，有些無(wú)線通過(guò)一些嗅探，偽裝成IP，這樣可以去竊取用戶的身份信息。這些敏感信息，大型商業(yè)機(jī)密，包括電子商務(wù)這些頻頻受到攻擊，還有企業(yè)級(jí)，國(guó)家級(jí)的信息戰(zhàn)爭(zhēng)已經(jīng)擴(kuò)展到國(guó)家級(jí)的戰(zhàn)爭(zhēng)行為，這一塊包括最新的這些APT的概念，更多讓我們感覺(jué)安全不光光在每個(gè)人，已經(jīng)發(fā)展到一種國(guó)家之間的對(duì)抗，信息安全的對(duì)抗，針對(duì)網(wǎng)上大家都知道的病毒，這一塊大家都比較熟知。

APP這一塊不會(huì)說(shuō)我們中國(guó)不會(huì)遭受人家的APP的攻擊，我們同樣遭受國(guó)外APP對(duì)我們的攻擊。美國(guó)人對(duì)我們不太友好，總覺(jué)得APP是我們中國(guó)人發(fā)起，我就跟他們爭(zhēng)論，我跟他們爭(zhēng)論，你知道的這些攻擊是中國(guó)制造的嗎？不是的。還有銀行的終端已經(jīng)頻頻出現(xiàn)安全性的問(wèn)題，這個(gè)就CMD命令就調(diào)出來(lái)了，各大銀行，今天金融系統(tǒng)峰會(huì)也有人談安全性的問(wèn)題，針對(duì)這一塊，我就不多說(shuō)了。

反正總之，通過(guò)目前安全形勢(shì)，我們?cè)趺礃尤メ槍?duì)這些形勢(shì)采取一些什么樣的措施呢？

首先從國(guó)家層面應(yīng)該加大網(wǎng)絡(luò)犯罪的立法和度量的力度，然后形成有效的威懾，鎮(zhèn)住這些非法分子。第二個(gè)這個(gè)行業(yè)里面加大網(wǎng)絡(luò)安全行政力度，增強(qiáng)對(duì)互聯(lián)網(wǎng)信息和增值服務(wù)商的管理。第三加強(qiáng)對(duì)產(chǎn)品安全性的管理和規(guī)范，及時(shí)的發(fā)現(xiàn)漏洞補(bǔ)丁。強(qiáng)化網(wǎng)站和信息系統(tǒng)的安全防護(hù)，提高網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急處理能力，加強(qiáng)相關(guān)人員隊(duì)伍的建設(shè)。還有就是自身的一些網(wǎng)絡(luò)安全的監(jiān)測(cè)和應(yīng)急響應(yīng)機(jī)制的建立，提高抗擊網(wǎng)絡(luò)攻擊發(fā)現(xiàn)和溯源的能力。最后做好我們自己廣大網(wǎng)民自身提高安全意識(shí)，來(lái)針對(duì)黑客的攻擊防護(hù)。

今年我去了美國(guó)黑帽子大會(huì)，我發(fā)現(xiàn)外國(guó)人主要關(guān)注的幾塊是我自己個(gè)人的總結(jié)，一個(gè)他們更多關(guān)注新一代的Web安全，就是HTMI5，還有Web2.0，在移動(dòng)這一塊，應(yīng)用安全他們比我們國(guó)內(nèi)要走的先進(jìn)一些，他們目前不光研究手機(jī)操作系統(tǒng)的安全，手機(jī)自身的應(yīng)用程序的安全，再有就是APP攻擊。最后就是釣魚(yú)攻擊，釣魚(yú)攻擊，以前我們總是認(rèn)為好象中國(guó)的地下黑客產(chǎn)業(yè)鏈比較大，釣魚(yú)攻擊是不是中國(guó)特有的，實(shí)際上也不是的，國(guó)外也一樣，釣魚(yú)攻擊這個(gè)問(wèn)題還是全球性的問(wèn)題。

接下來(lái)是今天第三個(gè)方面就是互聯(lián)網(wǎng)應(yīng)用安全防護(hù)措施。

IT生命周期與信息安全，我們更多原來(lái)看的不夠遠(yuǎn)，也是站的不夠高，所以說(shuō)也就做的不夠好，做的也不夠早，為什么這么說(shuō)？我們更多互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，我們現(xiàn)在總是在做的事情就是在上線和運(yùn)維這個(gè)階段，我們看起來(lái)好象做了很多，也買了很多安全防護(hù)的產(chǎn)品，也做了很多安全的防護(hù)，甚至請(qǐng)來(lái)一些專業(yè)的人做運(yùn)維，怎么樣都沒(méi)有跳出這個(gè)圈子，我們從整個(gè)信息安全的生命周期來(lái)看我們應(yīng)該可以做的更多，我們可以從需求就開(kāi)始涉足安全，這樣的話我們就把整個(gè)生命周期就能涵蓋掉，我們?cè)谛枨蠛驮O(shè)計(jì)階段我們通過(guò)規(guī)范專業(yè)的培訓(xùn)來(lái)讓這種開(kāi)發(fā)人員在一開(kāi)始的時(shí)候在這個(gè)項(xiàng)目實(shí)際的需求里面就有安全的設(shè)計(jì)，在開(kāi)發(fā)的時(shí)候我們對(duì)開(kāi)發(fā)人員進(jìn)行代碼安全的開(kāi)發(fā)和培訓(xùn)，再加上顧問(wèn)，保證在開(kāi)發(fā)的時(shí)候，這個(gè)開(kāi)發(fā)出來(lái)的應(yīng)用系統(tǒng)自身就是安全的，這樣上線以后不會(huì)有那么多的安全事件，也不會(huì)那么容易就被黑客所攻陷。

接下來(lái)我們上線和維護(hù)的時(shí)候通過(guò)一些規(guī)范，管理制度，培訓(xùn)，日常的一些服務(wù)，應(yīng)急加上專家顧問(wèn)，形成上線的維護(hù)。

最后應(yīng)用系統(tǒng)隨著它的生命周期結(jié)束，它的消亡，這就是我想今天強(qiáng)調(diào)的整體應(yīng)用系統(tǒng)的生命周期這一塊。

我們整個(gè)從規(guī)劃設(shè)計(jì)這一塊開(kāi)始，我們一個(gè)一個(gè)去看，在規(guī)劃設(shè)計(jì)這一塊的時(shí)候我們通過(guò)一些安全需求的分析，安全意識(shí)的培訓(xùn)，到設(shè)計(jì)時(shí)候的體系化的安全培訓(xùn)，加上協(xié)助安全的建模分析，最后在開(kāi)發(fā)的時(shí)候我們通過(guò)一些代碼的安全跟蹤和代碼一些安全的測(cè)試來(lái)確保安全的質(zhì)量，在實(shí)施的時(shí)候通過(guò)安全產(chǎn)品的部署和風(fēng)險(xiǎn)評(píng)估，與威脅的識(shí)別，最后在運(yùn)維的時(shí)候通過(guò)一些威脅管理，脆弱管理，事件管理，來(lái)確保在線安全，最終有一個(gè)評(píng)價(jià)與改進(jìn)。

首先我們?cè)谝?guī)劃階段，規(guī)劃階段我們基于一些國(guó)際上標(biāo)準(zhǔn)的，比如說(shuō)應(yīng)用系統(tǒng)安全需求，設(shè)計(jì)出規(guī)范，還有基于像微軟SDR的軟件開(kāi)發(fā)規(guī)范和認(rèn)證培訓(xùn)，來(lái)確保在需求分析階段我們就有這種安全需求分析，和安全的意識(shí)培訓(xùn)意識(shí)在里面，來(lái)確保規(guī)劃的時(shí)候就有安全因素在這個(gè)里面。然后接下來(lái)就是，規(guī)劃的時(shí)候，通過(guò)SDL和Web的結(jié)合，實(shí)現(xiàn)有效的在生命周期最初的需求分析階段就考慮到安全的因素。這一塊是一些，通過(guò)這些培訓(xùn)的機(jī)制來(lái)確保在設(shè)計(jì)和規(guī)劃的時(shí)候它能有效的保證它的設(shè)計(jì)。在設(shè)計(jì)的時(shí)候通過(guò)對(duì)開(kāi)發(fā)人員專項(xiàng)的培訓(xùn)，一些Web建模的分析，通過(guò)標(biāo)準(zhǔn)化安全的培訓(xùn)，來(lái)實(shí)施安全的建模分析，來(lái)確保設(shè)計(jì)的安全，這些包括中期的培訓(xùn)，中級(jí)的培訓(xùn)，還有高級(jí)的認(rèn)證培訓(xùn)。

接下來(lái)設(shè)計(jì)完了以后就有開(kāi)發(fā)，開(kāi)發(fā)主要我們?cè)陂_(kāi)發(fā)過(guò)程當(dāng)中我們目前，以前做的更多是做功能性的測(cè)試，往往沒(méi)有做安全性的測(cè)試，開(kāi)發(fā)階段我們可以做一些白盒的測(cè)試。也可以通過(guò)一些灰盒的測(cè)試，傳統(tǒng)的QA人員正常的去做QA過(guò)去功能的一些測(cè)試項(xiàng)，但是通過(guò)QA安全測(cè)試工具在后臺(tái)幫助它安全測(cè)試也做掉，同樣一個(gè)人實(shí)際上做了兩樣的事情，而且還不需要增加QA人員自身知識(shí)的擴(kuò)充，這個(gè)在我們的開(kāi)發(fā)測(cè)試階段所要完成的一些目的性。

接下來(lái)測(cè)試完了就上線，上線完以后我們就會(huì)實(shí)施，實(shí)施的時(shí)候通過(guò)部署產(chǎn)品安全部署，然后對(duì)它進(jìn)行一些風(fēng)險(xiǎn)評(píng)估和危險(xiǎn)識(shí)別，因?yàn)槟愕陌踩a部署到一些環(huán)境上去的時(shí)候，由于你的管理配置不合理，可能也會(huì)造成安全問(wèn)題。

這一塊是安全產(chǎn)品的部署，這樣的話可以通過(guò)專業(yè)的安全產(chǎn)品，比如Web應(yīng)用防火墻，或者DB審計(jì)工具，還有防篡改等等，來(lái)確保系統(tǒng)的強(qiáng)壯性。Web和DB的審計(jì)主要來(lái)通過(guò)對(duì)你的一些數(shù)據(jù)庫(kù)里面帳戶的審計(jì)行為來(lái)確保你知道有沒(méi)有越權(quán)操作，有沒(méi)有黑客對(duì)你的應(yīng)用，通過(guò)你的應(yīng)用確切你后臺(tái)的一些數(shù)據(jù)。Web審計(jì)主要通過(guò)一些Web的訪問(wèn)。通過(guò)這些產(chǎn)品的功能來(lái)達(dá)到你的安全產(chǎn)品的部署，包括你的防篡改，防篡改如果發(fā)生的攻擊可以防止黑客對(duì)你進(jìn)行一個(gè)攻擊。

接下來(lái)最多的一個(gè)時(shí)期，就是運(yùn)維的階段，在運(yùn)維的階段我們通過(guò)定期的滲透測(cè)試，發(fā)現(xiàn)你有沒(méi)有最薄弱的板，還有通過(guò)日常日志的分析，看看有沒(méi)有入侵的預(yù)警，還有脆弱性的評(píng)估，還有配置的變更，還有7乘24小時(shí)的監(jiān)控，確保你這個(gè)網(wǎng)站一旦發(fā)生安全性的問(wèn)題你能及時(shí)的響應(yīng)，還有標(biāo)準(zhǔn)化培訓(xùn)的服務(wù)，這是評(píng)估服務(wù)的時(shí)限，運(yùn)維的巡檢服務(wù)，通過(guò)一年兩次，或者12次，對(duì)于你運(yùn)維的巡檢服務(wù)，達(dá)到整個(gè)系統(tǒng)的強(qiáng)健。然后安全的響應(yīng)通過(guò)7乘24小時(shí)迅速對(duì)你的安全事件進(jìn)行一個(gè)及時(shí)的響應(yīng)。滲透測(cè)試主要是模擬黑客的手段對(duì)你整個(gè)應(yīng)用系統(tǒng)進(jìn)行一個(gè)滲透測(cè)試，去發(fā)現(xiàn)你整個(gè)這個(gè)信息系統(tǒng)里面最薄弱的一個(gè)環(huán)節(jié)，還有網(wǎng)站的安全監(jiān)控，通過(guò)7乘24小時(shí)發(fā)現(xiàn)你網(wǎng)站是不是被篡改，是否被掛馬了，是不是被釣魚(yú)了。通過(guò)安全加固確保你這種評(píng)估當(dāng)中所發(fā)現(xiàn)的漏洞，然后進(jìn)行一個(gè)及時(shí)有效的修復(fù)來(lái)加固，然后抵御漏洞所面臨入侵的風(fēng)險(xiǎn)。通過(guò)一系列的這些措施，然后就確保你整個(gè)應(yīng)用在沒(méi)有消亡之前就確保你的應(yīng)用系統(tǒng)從開(kāi)始一直到最終消亡是在一個(gè)安全的狀態(tài)下對(duì)外提供一個(gè)很好的服務(wù)。

我今天的演講就到這里，謝謝大家。

提問(wèn)：我問(wèn)兩個(gè)問(wèn)題，第一個(gè)能不能簡(jiǎn)單介紹一下OR是什么組織？

劉志樂(lè)：開(kāi)放的Web應(yīng)用組織，專門(mén)針對(duì)Web應(yīng)用層安全的項(xiàng)目。

提問(wèn)：第二個(gè)問(wèn)題關(guān)于您前面提到很多次關(guān)于手機(jī)客戶端的安全，尤其安卓這一塊好象惡意軟件非常泛濫，對(duì)于廣大安卓手機(jī)用戶你有什么安全建議嗎？

劉志樂(lè)：過(guò)去講不用是最安全的，但是不用是不可能的，針對(duì)安卓這樣的系統(tǒng)，因?yàn)樗旧硎情_(kāi)源的系統(tǒng)，不安全是必然的，因?yàn)樗芯康娜吮容^多，但是你通過(guò)什么去確保你的安全，比如說(shuō)你的一些應(yīng)用，你APK不要到第三方網(wǎng)站去下載，你要從這個(gè)應(yīng)用自己的網(wǎng)站上去下載，這樣就確保你沒(méi)有被篡改，像國(guó)內(nèi)都是通過(guò)更改了安卓它的應(yīng)用里面的源代碼，包里面加一些廣告流量，或者一些釣魚(yú)等等。

提問(wèn)：谷歌的應(yīng)用商店也不是很好。

劉志樂(lè)：這個(gè)東西怎么說(shuō)呢，因?yàn)榘沧孔畲蟮娜毕菥褪且驗(yàn)樗鼪](méi)有像蘋(píng)果一樣有一個(gè)評(píng)定，沒(méi)有一個(gè)證書(shū)，所以任何人都可以偽造一些證書(shū)開(kāi)發(fā)，這些東西你沒(méi)有辦法，而且谷歌也不負(fù)責(zé)替你掃所有的應(yīng)用，只能自己更小心，擦亮自己的雙眼，比如安卓上跟金錢相關(guān)的，比如網(wǎng)銀等要謹(jǐn)慎操作。

提問(wèn)：我有兩個(gè)問(wèn)題。一個(gè)因?yàn)榛ヂ?lián)網(wǎng)的安全要投入成本，當(dāng)中必然有收益和成本匹配的問(wèn)題，有沒(méi)有這樣的可能性，從量子計(jì)算的角度來(lái)講，從傳輸路徑上防止信息的不可篡改和監(jiān)聽(tīng)，從這個(gè)思路去考慮，就是已經(jīng)用在互聯(lián)網(wǎng)的這一塊有沒(méi)有相關(guān)的思路？

第二個(gè)問(wèn)題早上的演講我非常認(rèn)同，有一個(gè)中科院的院士的說(shuō)法，ID管理應(yīng)該講是目前成本效率和研發(fā)效率比較高的一個(gè)方向，因?yàn)樽罱K信息的提煉和解譯，文本的解譯必然發(fā)生在應(yīng)用層，最終歸結(jié)到ID上面，在ID管理上你有沒(méi)有一些思路？我想請(qǐng)教一下，謝謝。

劉志樂(lè)：你提的兩個(gè)問(wèn)題，第一個(gè)問(wèn)題你提到量子計(jì)算，量子計(jì)算實(shí)際上它是一種計(jì)算的數(shù)學(xué)模型，一種計(jì)算方式，但是這種計(jì)算方式和我們目前所面臨的一些安全的威脅，這個(gè)我個(gè)人感覺(jué)，你可以通過(guò)一些更優(yōu)化的方式來(lái)確保你的一些數(shù)據(jù)，比如說(shuō)大數(shù)據(jù)的處理等等，但是它只要程序本身自身如果存在漏洞，或者存在一個(gè)缺陷，并不是任何算法不好造成的，實(shí)際上更多還是由于它自身的設(shè)計(jì)缺陷造成的。

第二個(gè)，你今天講到，今天上午有一些嘉賓，包括大潘他們講的，你講的ID，用戶身份，用戶身份從有安全以來(lái)，前面一直很多人注視，包括國(guó)家的等級(jí)保護(hù)里面，或者國(guó)外的公司里面都有用戶認(rèn)證的要求，但是在國(guó)內(nèi)用戶認(rèn)證在去年發(fā)生大規(guī)模的用戶信息泄露的事件之前，更多的人對(duì)這一塊并沒(méi)有太多的認(rèn)識(shí)，去年發(fā)生了這樣的事情以后，國(guó)內(nèi)很多網(wǎng)民，你問(wèn)到他，你說(shuō)你的用戶，比如你郵箱用戶名丟掉了，他會(huì)認(rèn)為丟掉就丟掉了，我再換一個(gè)，對(duì)他來(lái)講他沒(méi)有感覺(jué)到他自身有什么樣的經(jīng)濟(jì)損失，針對(duì)這一塊可能像今天剛才前面嘉賓也講了，可能未來(lái)對(duì)于用戶認(rèn)證，比如說(shuō)的多因素的認(rèn)證，是現(xiàn)在在走的一種方式，還有采取第三方，就是一個(gè)開(kāi)放的ID，你這個(gè)ID可以到任何地方都可以通行，但是這個(gè)ID，你的開(kāi)放ID有一個(gè)相當(dāng)于CA，這種比較公信的第三方機(jī)構(gòu)來(lái)確保你的安全。

謝謝。

主持人：下面有請(qǐng)我們今天下午的最后一位演講嘉賓，他是來(lái)自網(wǎng)康科技產(chǎn)品市場(chǎng)經(jīng)理嚴(yán)雷先生，他演講的題目是《下一代防火墻技術(shù)》。

大家掌聲歡迎。

網(wǎng)康科技產(chǎn)品市場(chǎng)經(jīng)理嚴(yán)雷先生

嚴(yán)雷：剛才主持人要求我盡量控制在20分鐘以內(nèi)，我也理解他這樣說(shuō)，在這里也是感謝還留下來(lái)的觀眾們，確實(shí)聽(tīng)了一天的會(huì)很辛苦，我相信大家留下來(lái)你們的目的一定是為了聽(tīng)我的演講，而不是為了抽大獎(jiǎng)。同時(shí)也感謝組委會(huì)能夠把我安排在最后的位置，按照我的經(jīng)驗(yàn)來(lái)看，最后上場(chǎng)的都是壓軸戲。我盡我的努力把最后一場(chǎng)演講做好，讓大家有所收獲。我介紹的產(chǎn)品你應(yīng)該沒(méi)有見(jiàn)過(guò)，我講的東西應(yīng)該你沒(méi)有聽(tīng)過(guò)。應(yīng)該能保證你最后20分鐘聽(tīng)的是快樂(lè)的，不是痛苦的。

今天我探討這個(gè)題目叫《下一代安全體系淺析》，我個(gè)人認(rèn)為科學(xué)技術(shù)的發(fā)展有兩個(gè)最原始的動(dòng)因，一個(gè)動(dòng)因叫做欲望，一個(gè)動(dòng)因叫做恐懼，欲望驅(qū)動(dòng)了什么技術(shù)，比如蘋(píng)果迷你平板電腦發(fā)布了。還有恐懼所驅(qū)動(dòng)的，比如我們要投入大量的金錢去研發(fā)一些武器，去研發(fā)一些藥物，這些都是由于我們對(duì)自身安全的考慮，對(duì)自身生命威脅的考慮所做的一種投資。從這個(gè)角度來(lái)看，我覺(jué)得今天討論的信息安全這個(gè)話題應(yīng)該屬于后者，它也是由恐懼驅(qū)動(dòng)的，所以說(shuō)信息安全產(chǎn)品信息安全技術(shù)它的呈現(xiàn)形態(tài)應(yīng)該由什么來(lái)決定？應(yīng)該由你所面臨的威脅所決定。今天一天我聽(tīng)下來(lái)個(gè)人受益匪淺，聽(tīng)到了很多最新的資訊，尤其是像上午傳說(shuō)中的潘總給我們做了非常精彩的演講，他提出最近五年我們整個(gè)互聯(lián)網(wǎng)發(fā)生了革命性的翻天覆地的變化，最近五年我們的安全產(chǎn)品是不是也發(fā)生了這樣的變化呢，它是不是跟安全形勢(shì)一起與時(shí)俱進(jìn)了呢？我們看看這些產(chǎn)品，防火墻，IPS，UTM等等，這些產(chǎn)品出現(xiàn)的壽命都已經(jīng)超過(guò)了十年，也就是說(shuō)顯而易見(jiàn)，我們的安全防護(hù)產(chǎn)品并沒(méi)有跟上信息安全的發(fā)展，所以說(shuō)在這樣一個(gè)情況下，我們選擇下一代防火墻的安全產(chǎn)品，它的目的就是能夠跟上信息安全的發(fā)展變化，能夠讓客戶的網(wǎng)絡(luò)在新的條件下依然得到很好的安全保障，開(kāi)場(chǎng)白就這些，下面我們進(jìn)入正題。

首先我探討一下目前的安全體系，它的問(wèn)題到底在哪里？

探討網(wǎng)絡(luò)安全我們回到最原始的起點(diǎn)，最開(kāi)始的時(shí)候網(wǎng)絡(luò)安全所面臨的攻擊其實(shí)是非常直接的，我們的黑客直接沖過(guò)來(lái)，面向地的防火系統(tǒng)進(jìn)行攻擊，我們出現(xiàn)了基于狀態(tài)檢測(cè)的防火墻產(chǎn)品，很長(zhǎng)一段時(shí)間之內(nèi)給我們的網(wǎng)絡(luò)提供了安全保障，這種攻擊之后，攻擊就變得更加的智能了，一般通過(guò)一些垃圾郵件，或者掛馬的網(wǎng)站，通過(guò)這種方式偷偷滲透到你企業(yè)內(nèi)部某臺(tái)個(gè)人的PC，當(dāng)他掌握這臺(tái)PC再?gòu)膬?nèi)部對(duì)你的企業(yè)發(fā)起攻擊，這種攻擊方式我們后來(lái)也找到了一些應(yīng)對(duì)它的辦法，這主要集中應(yīng)用層，我們開(kāi)發(fā)了一些攻擊產(chǎn)品。我們會(huì)在我們終端上會(huì)部署一些殺毒軟件，基本上這一頁(yè)就是采取的安全體系，大家看看你們的企業(yè)里面是不是也用了這些，但是這樣一套18般武器，我們武器庫(kù)里面這些東西是不是給我們提供足夠好的安全保障，我們探討下面出現(xiàn)新的變化，目前基本威脅來(lái)自應(yīng)用層，而且最要命的就是它是跟正常的應(yīng)用綁定在一起的，比如說(shuō)大家看列出來(lái)的幾種，不管Web也好，還是電子郵件，還是MSN也好，都是現(xiàn)在企業(yè)辦公不能缺少的應(yīng)用，你不可能不讓上網(wǎng)，也不可能讓人家不用及時(shí)通訊軟件，這種正常的應(yīng)用同時(shí)跟一些有惡意的應(yīng)用混在一起，在這種情況下你想做安全防護(hù)變得很難，你過(guò)去用一些其它的軟件，你懷疑它你直接可以把它干掉，很久以前很多公司規(guī)定不能使用QQ，因?yàn)镼Q不安全，我們郵件不支持附件，因?yàn)楦郊话踩?，到現(xiàn)在這些規(guī)定已經(jīng)沒(méi)有了，因?yàn)樗臉I(yè)務(wù)已經(jīng)與這些業(yè)務(wù)綁定在一起，你把這些業(yè)務(wù)禁止掉你的業(yè)務(wù)無(wú)法進(jìn)行了，一方面你想安全，另一方面你想要業(yè)務(wù)，這個(gè)時(shí)候我們?cè)趺磥?lái)選擇，這是我們面臨比較大的問(wèn)題。

而且由于應(yīng)用安全很多時(shí)候是來(lái)自于應(yīng)用層的問(wèn)題，就使得我們過(guò)去基于五元組的控制列表失去了作用，五元組大家都知道，就是地址，端口，再加上傳輸協(xié)議，這些參數(shù)在一起應(yīng)付不了一個(gè)應(yīng)用安全，不管你怎么設(shè)置，它仍然不能控制一個(gè)應(yīng)用安全。而且還有另外一點(diǎn)，現(xiàn)在來(lái)講，出現(xiàn)了一個(gè)很典型的現(xiàn)象，我們稱之為端口應(yīng)用，尤其是80端口，這個(gè)端口你到底是開(kāi)還是不開(kāi)，如果你不開(kāi)什么業(yè)務(wù)你都做不了，要是開(kāi)那就是魚(yú)龍混雜，什么人都進(jìn)來(lái)，這也是我們面臨的很重要的問(wèn)題。

還有一點(diǎn)現(xiàn)在很多應(yīng)用都支持端口跳變的技術(shù)，什么叫端口跳變？大家耳熟能祥的端口，很多企業(yè)對(duì)這些做出一些限制，你的企業(yè)對(duì)B2B會(huì)做出一些限制，把常用端口封掉，今天我們發(fā)現(xiàn)越來(lái)越封不掉了，因?yàn)檫@些應(yīng)用在進(jìn)化，你封掉一個(gè)端口它馬上就嘗試另外一個(gè)端口，我們?cè)瓉?lái)基于端口檢測(cè)，我配到什么口上，你這種安全技術(shù)現(xiàn)在完全失去作用，基本上人家很容易繞過(guò)去了。

第二點(diǎn)變化就是移動(dòng)互聯(lián)網(wǎng)，也就是我們比較熟悉的BYOD的現(xiàn)象，很多企業(yè)有員工帶個(gè)人設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部的情況出現(xiàn)，這種情況帶來(lái)一個(gè)很大的問(wèn)題，移動(dòng)終端目前是最不安全的，因?yàn)槠髽I(yè)其它的設(shè)備我們還可以管理，恰恰員工個(gè)人的移動(dòng)終端我們沒(méi)法感覺(jué)，只能依賴他個(gè)人管理，所以這個(gè)最不安全的。我這里列了來(lái)自網(wǎng)秦和金山發(fā)布的報(bào)告，在移動(dòng)終端上它的威脅越來(lái)越多了。為什么以前沒(méi)有這種現(xiàn)象，因?yàn)橐郧拔覀円矔?huì)有一些黑莓手機(jī)進(jìn)入企業(yè)網(wǎng)絡(luò)里，為什么過(guò)去沒(méi)有這種現(xiàn)象，因?yàn)檫^(guò)去這些設(shè)備所有者是企業(yè)，員工使用的設(shè)備仍然是企業(yè)的，你可以控制它。今天員工會(huì)帶自己的平板電腦和智能手機(jī)，而且他隨時(shí)隨地到互聯(lián)網(wǎng)下載一個(gè)軟件。這種情況我們企業(yè)安全受到了最大的挑戰(zhàn)恰恰就來(lái)自于我們內(nèi)部的員工，來(lái)自他手頭上的移動(dòng)終端，所有的城堡都是從內(nèi)部攻破的，我們BYOD很可能就是攻破你工具。

我們有一種防護(hù)方式就會(huì)有一種攻擊方式，那么多年把攻擊變得更加豐富了，我這里羅列了大家都知道，像釣魚(yú)，木馬。應(yīng)對(duì)每一種安全我們不得已都要提供不同的防護(hù)手段，導(dǎo)致的一種結(jié)果就會(huì)是這樣的，可能在你的企業(yè)里面會(huì)部署很多很多這樣的安全防護(hù)設(shè)備，不要每一代設(shè)備都要支出資金去購(gòu)買，單說(shuō)它的維護(hù)就變成你不能承擔(dān)的成本，你部署還好，如果你將來(lái)對(duì)它進(jìn)行管理，甚至進(jìn)行一些改變，就怕改地址，就怕改策略，因?yàn)槟阋鲆粋€(gè)很復(fù)雜的規(guī)劃，才能把企業(yè)所有的設(shè)備一起很好的更改過(guò)來(lái)。

應(yīng)對(duì)這樣一個(gè)情況我們也曾經(jīng)提出了一些解決方法，比如大家都知道的UTM，UTM也有一個(gè)問(wèn)題，因?yàn)榛旧蟄TM是把我剛才看到的那些，把它直接堆在一個(gè)盒子里面了，它給你帶來(lái)的好處就是你可以用比較少的錢然后來(lái)買到所有的這些東西，但是它給你帶來(lái)的壞處，因?yàn)樗械脑O(shè)備加在一個(gè)盒子里，我們能夠想象到最重要的問(wèn)題就是它的性能問(wèn)題，如果大家有使用UTM的經(jīng)驗(yàn)就知道，這些東西你不能一起打開(kāi)。最后一點(diǎn)就是所謂的威脅分散隱藏，我們今天看到很多這個(gè)詞，就是APP，高級(jí)的持續(xù)的攻擊，我們看一下這個(gè)投影公布的這一些，你在企業(yè)里有一些防火墻等，你布置了這些你似乎保證了你的安全，實(shí)際上不是這樣，實(shí)際上黑客早就滲入到你的企業(yè)網(wǎng)站里，不是你檢查就能檢查出來(lái)等，我每一步你看著都是正常的應(yīng)用，這些所有步加在一起就構(gòu)成對(duì)你的滲透，攻擊者是有目的，過(guò)去我們會(huì)收到垃圾郵件，有點(diǎn)嘗試的就知道是垃圾郵件，今天的攻擊是非常有目的，是為你量身定做的，比如你好，張總，昨天我在會(huì)上聽(tīng)了你的演講，我跟你溝通一下，這個(gè)你就會(huì)點(diǎn)。以上列出來(lái)的變化就導(dǎo)致了我們現(xiàn)在你的防護(hù)體系基本上失去了作用，怎么辦，我們就要有下一代的安全防護(hù)產(chǎn)品。我們網(wǎng)康前一段時(shí)間在北京鳥(niǎo)巢開(kāi)了一個(gè)新產(chǎn)品發(fā)布會(huì)，為什么這個(gè)發(fā)布會(huì)能吸引這么多人，有一點(diǎn)業(yè)界基本上已經(jīng)產(chǎn)生了一個(gè)共識(shí)，網(wǎng)絡(luò)安全也到了升級(jí)換代的時(shí)候，是時(shí)候產(chǎn)生下一代的產(chǎn)品形態(tài)，但是這個(gè)產(chǎn)品形態(tài)究竟是什么，大家聽(tīng)了似乎還沒(méi)有定論，有公司愿意在這方面嘗試大家都愿意去關(guān)注它。我們發(fā)布的這款產(chǎn)品稱之為下一代防火墻，它不是一個(gè)品牌名，它應(yīng)該是一個(gè)產(chǎn)品類型，這個(gè)產(chǎn)品類型是由Gartner公司定的，這一家公司先后提出了ERP等這些的概念，我們今天認(rèn)為天經(jīng)地義的事情，最開(kāi)始就是Gartner提出的概念，他提出這種概念很快被業(yè)界接受，從而變成今后流行的既成事實(shí)，我們認(rèn)為下一代防火墻也同樣是這樣，Gartner提出下一代防火墻以后下一代防火墻就發(fā)展起來(lái)了。在這里我們列出來(lái)了六大功能模塊，我們下一代防火墻，要想解決下一代的安全問(wèn)題，當(dāng)前的形勢(shì)下別人的東西都不行，你的東西就行呢，我們有六大能力，第一你要有基本的防火墻功能，現(xiàn)有的防火墻能做到你首先必須能夠做到，這是最基本的。除此之外，與現(xiàn)有防火墻不同的能力，你有要求有應(yīng)用的洞察和控制，傳統(tǒng)的防火墻三到四層，下一代防火墻一定是到七層。還有一體化應(yīng)用層威脅防火，什么叫一體化應(yīng)用層威脅防火呢？過(guò)去是大家各自為戰(zhàn)，互相之間在數(shù)據(jù)上沒(méi)有溝通，每個(gè)人查自己的，下一代防火墻一定不能這樣，大家一起商量商量這個(gè)事有沒(méi)有問(wèn)題，大家覺(jué)得都沒(méi)有問(wèn)題它才能過(guò)去，一定要協(xié)同才可以的。還有叫主動(dòng)防御，什么叫主動(dòng)防御我一會(huì)兒再說(shuō)。還有BYOD，BYOD我們認(rèn)為在2012年年末一定是一個(gè)趨勢(shì)，下一代防火墻如果你管不了BYOD你一定不叫下一代防火墻，BYOD是一個(gè)非常大的問(wèn)題，如果你沒(méi)有對(duì)它專門(mén)進(jìn)行管理你不叫下一代防火墻。最后是高性能。這里區(qū)別傳統(tǒng)防火墻和下一代防火墻的特點(diǎn)。今天上午潘總也講了ID技術(shù)，下午咱們上海CA的負(fù)責(zé)人也講了ID技術(shù)，我覺(jué)得ID技術(shù)非常重要，我們網(wǎng)康非常認(rèn)同這一點(diǎn)，首先你必須認(rèn)同到底誰(shuí)在你的網(wǎng)絡(luò)里做什么樣的事情，我們?cè)诰W(wǎng)康有非常豐富識(shí)別一個(gè)人他的能力，過(guò)去基本上我們?cè)谝粋€(gè)安全設(shè)備中我們第一一個(gè)人是通過(guò)他的IP定義的，從這一條IP可以上網(wǎng)，但是沒(méi)有下載文件，你會(huì)這樣去做，但是由于移動(dòng)互聯(lián)導(dǎo)致這個(gè)人會(huì)來(lái)來(lái)變化，他身上有很多不同的移動(dòng)設(shè)備，他有PC，他有蘋(píng)果電腦，動(dòng)態(tài)的就獲得新的地址，這種情況下你怎么辦，你沒(méi)有辦法給他設(shè)定固化，不管你走到哪兒，小張?jiān)谖覀児纠锊辉S上網(wǎng)，你可以這樣說(shuō)，你一定要有這種能力，直接針對(duì)人設(shè)置安全管理。除了識(shí)別人之外，下一步自然識(shí)別應(yīng)用了，下一代防火墻一定七層防火墻，到底什么樣應(yīng)用在你的網(wǎng)絡(luò)里面跑，我們公司做應(yīng)用識(shí)別還是基本有八年的積累，在國(guó)內(nèi)屬于頂尖的應(yīng)用識(shí)別公司，在我們的客戶網(wǎng)絡(luò)里面用我們的設(shè)備，98%的流量我們是認(rèn)識(shí)的，我們不敢說(shuō)百分之百，因?yàn)楝F(xiàn)在應(yīng)用大爆炸。你能夠識(shí)別出來(lái)就能夠?qū)λM(jìn)行管理。

下面我談一下一體化的威脅防護(hù)，這個(gè)至少要有兩點(diǎn)，第一個(gè)不依賴端口，不是過(guò)去在某一個(gè)端口上配，而是我直接管應(yīng)用，我一體化基礎(chǔ)是以應(yīng)用為核心，還有一體化就是數(shù)據(jù)要一體化，最后大家產(chǎn)生的數(shù)據(jù)打到一個(gè)牢哥中心里面。

我一體化的安全策略，我可以這樣配，用戶屬于這個(gè)組，應(yīng)用包括遠(yuǎn)程的文件，文件共享等等，我現(xiàn)在配置的直接面向人和面向應(yīng)用，這個(gè)在過(guò)去你做不到，在過(guò)去叫計(jì)算機(jī)語(yǔ)言，我現(xiàn)在做的這一件事情是你老板真正期望的，你老板說(shuō)IT部門(mén)的誰(shuí)，你要做到讓這個(gè)組只能干這個(gè)事情，這個(gè)組的人就回答這個(gè)組IP網(wǎng)段是多少，然后翻譯一大堆，過(guò)去這種管理要通過(guò)非常繁瑣的，受過(guò)當(dāng)年訓(xùn)練的才能夠完成，下一代防火墻直接面向人的應(yīng)用。

還有談一下主動(dòng)防御，什么叫主動(dòng)防御？這個(gè)主動(dòng)防御區(qū)別于現(xiàn)在我們一種安全防護(hù)模式，現(xiàn)在安全防護(hù)模式是被動(dòng)反應(yīng)型，是自己的網(wǎng)絡(luò)，或者別人的網(wǎng)絡(luò)出了事我才做防御。主動(dòng)防御是看一看目前網(wǎng)絡(luò)有沒(méi)有什么征兆，有沒(méi)有什么情況，你針對(duì)這些侵略你可以主動(dòng)進(jìn)行一些更深層次的分析和調(diào)查，從而做一些預(yù)防性質(zhì)的安全管理，我們稱知為主動(dòng)防御，這個(gè)主動(dòng)防御大家看看這個(gè)界面，3.9這個(gè)不是比較高的分?jǐn)?shù)，這是我們從貝塔客戶那里拿來(lái)的，評(píng)分比較低的，我們看到你的企業(yè)目前安全情況有問(wèn)題，具體有什么問(wèn)題？我們可以看到你的三分應(yīng)用有多少，四分應(yīng)用有多少，它們占了多少流量，干什么了，都可以看到，這個(gè)在過(guò)去不可想象，過(guò)去誰(shuí)能看懂這些，一定是安防專家，看來(lái)看去誰(shuí)誰(shuí)在這個(gè)地方做了什么事，在那個(gè)地方做了什么事，我們下一代防火墻就可以做能看到誰(shuí)什么時(shí)間做了什么事。

我們要看一下昨天跟今天有什么樣的變化，我們認(rèn)為基本上有了大變化，一般意味著出現(xiàn)了大問(wèn)題，如果一般有了大問(wèn)題都會(huì)引起大變化，我們提供了這樣安全基線對(duì)比，就可以讓你知道，我的企業(yè)是不是今天和昨天一樣，還是突然出現(xiàn)了攻擊，讓你看的非常清楚。

BYOD管理模塊我們主要強(qiáng)調(diào)，第一個(gè)我們能識(shí)別出來(lái)BYOD終端，你可以看是誰(shuí)在用什么樣的終端，在我們企業(yè)很容易誰(shuí)在什么時(shí)候用什么樣的設(shè)備做了什么樣的事情，另外要你識(shí)別主流的移動(dòng)應(yīng)用，目前