【51CTO.com原創稿件】由中國電子技術標準化研究院主辦、51CTO承辦的"第七屆中國云計算標準和應用大會"于2018年1月4日至1月5日在北京成功召開。本次大會全面展示我國云計算國家標準研制工作的成果，解讀國內云計算產業政策，報告云計算標準化工作的重要進展。同時，大會還重磅發布了國家開源領域的標準化產物，分享了云計算最新的技術趨勢和應用創新成效，并頒發了云計算產品及解決方案第五批測評證書。此外，第二屆中國優秀云計算開源案例評選結果也在大會現場公布。

在萬物互聯和數字化轉型蓬勃發展的時代，企業乃至整個產業的入云需求日漸迫切。隨著云計算產業配套政策的落地，云計算逐步從互聯網企業向傳統行業滲透。產業轉型與創新分論壇直擊產業轉型痛點，探討云計算服務能力如何加速傳統產業轉型升級。
 

[[216477]]

國家信息中心處長 邵國安

在1月5日的云網安全與存儲分論壇上，國家信息中心邵國安處長為我們解析云計算環境下的數據安全要求。他認為，網絡安全的核心是一個專業的、安全的分析團隊和情報的共享；對于網絡安全的認知應該基于實時的監測和控制；此外，隨著移動終端設備的增多，有關部門應該明確對于終端安全的定義，而不僅限于主機安全；應用安全則應該基于PKI或者基于網絡信用體系，身份認證、授權管理、責任認定，以及應用源代碼的安全和主機的安全，這是應用安全要做的。 以下是演講實錄：

我把我這幾年在云計算使用過程當中的一些想法和一些理念給大家介紹一下，主要是通過這些想法和這些理念，你怎么把這些貫穿到你在做云計算在做數據安全的時候怎么樣做，更多的是方法論。

一個是我們怎么把它落實到行動上面，比如說理念決定行動，比如說你全天候全方位的感知網絡安全開始，這些都是需要落地的，我們叫認認真真學精神，轟轟烈烈走過場，學完就完了，整個基于網絡安全，基于對抗的這種安全的態勢情況下你怎么做好云計算里面的安全，尤其是數據的安全。我們講云計算以后，實際上虛擬化是一塊，更大的本質是應用在集中，數據在集中，實際上相對的來說風險也在集中，在這種情況下面，我們到底應該怎么來做，而基于對抗環境下怎么做在云計算環境下面的安全，基于這樣子我就想如果光在云計算環境里面你去講云計算的安全，有的時候你是講不清楚的，你一定是要了解我們在做整個在做云計算環境在做安全的時候，你的理念你的維度一定要從全球的維度來考慮安全問題。

如果你是公有云來說，全球的人都可以訪問到你的應用，所以講你一定是要在全球的維度來考慮，而我們的對手，他是有國家背景，有組織背景，我們怎么辦？所以講就是我們講這塊的特點，比如說我們網絡安全他的特點，一個是他的時效性，你進遭到攻擊的時候你不能一個月以后出報告，所以一定是馬上要處理的，你怎么來做，還有一個復雜性，這些實際上都是在網絡安全他里面的這些特點決定的，比如說他的專業性，就是說他挖掘你的漏洞，他在做不是一般人都能夠干的，在這種情況下面，有很多實際上體現在什么？

還有他的不對稱性，就是說我們的對手都是一些有專業知識背景，比如說有各種的，比如說利用心理學、社會工程學還有其他各種專業知識背景的人來對你進行攻擊，或者來對你進行獲取你的數據，你怎么辦？所以在這種情況下面我們講，這個也是一種對抗，他是一種什么樣子的對抗？所以我們講他一定是一個組織國家和個人之間的一個智力博弈的場所，我們現在互聯網的情況，你是不是可以說，你永遠不知道你的對手在什么時候采用什么手段用什么方式來對你發起網絡攻擊，在這種情況下面，在這種對抗的環境下面，你怎么來提高對手對你攻擊時候的成本，這是不是你該考慮的，就是在這種情況下面，如果你能夠做到攻擊的時候我馬上能夠反應，如果他對你進行攻擊或者獲取你數據的時候，他的難度在提高，他的成本在提高，你是不是具備一定的網絡威懾力，我們講網絡安全的核心，就是說這個核心實際上是什么？我的理解，一個是專業的、安全的分析團隊和情報的共享。今天稍微有點點時間，我大概稍微展開說一下。

我現在是在政府部門工作，你說我如果去要運維費用，可能十萬二十萬都要不來，但是你如果買一個安全設備買一個防火墻他可能一百萬都給你，這就是理念的問題，但是我們現在大多數的安全的公司，大多數都是賣盒子的不是賣服務這是完全兩回事情，這是一個。還有一個我們講情報共享，那就更難了，比如說我的很多親身經歷，比如說國家保密局在我們這里有檢測引擎，他經常時不時告訴我你看看這個地質是不是有問題，我說你能不能把這個黑名單給我，我在我的防火墻在安全設備把這個黑名單加進去，他說不行，我們是按照機密級來管理的，你怎么做情報共享？還有我們現在很多的，我們現在99%，我們所有安全設備的監測都是怎么做的？做風光做旁路，風光、旁路只能做監測不能控制，還有一個問題，我們現在的交換機路由器做進項的時候他是數據包有丟失的，這些丟失的數據包就是一個不規則的或者是一個攻擊的數據包，都丟失了你在收集數據的時候，這個數據就是不完善的，或者不全的，你怎么來做安全，你怎么來實時的去發現安全的實踐。

這些問題我就講，我的一些思考，我的一些方法論，實際上提出來給你們在座的一定是，不管你是做設計的，還是做正式運維的，還是做比如說你每天肯定要進機房，你要做維護，數據安全都是你要保證的，你不能說打開機房門我看到的是云，這種情況下你一定要考慮安全問題的。比如說我現在天天看微信，我不需要知道微信的服務器在哪，這個安全是由騰訊做，但是我的電子政務的數據，或者我們自己直接要運維的，你可能不能講，一打開機房的門我看到的是云，所以它一定是由交換器、存儲設備組成的，所以這種理念上面你再去做安全的話，你會發現很多的問題，你就可以細化，你就知道該怎么做。
搞網絡安全需借助國家力量

基于這樣子，我還是講一些理念，美國在他國家的網絡安全行動計劃里面，比如說在CNAP里面他已經很明確的提出來，現在單個的機構你已經沒有辦法應對復雜的危險，這個結論我覺得一定是存在的，我們現在每一個單位你的維護力量，你的安全防護水平都不一樣，你怎么去應對現在你面對的是什么？是全球的，如果你的網絡是聯在互聯網上，一定面對著你的對手都是全球的，在這種情況下面一定是要借助于國家的力量，借助于情報的共享，借助于專業的分析團隊，一定是這樣做的，所以在這種理念下面我們應該怎么來做，我舉兩個例子你們就知道了，一個是中信公司，深圳中信公司在去年，最邊上這個是美國商務部貼出來的整個證據鏈，他指控中信公司利用美國的核心芯片裝在他的路由器、交換機上，這個就是明顯的人家美國到中信公司把數據拿走了，我們再深入問一下中信公司有沒有其他數據被人家拿走，或者我們在座的各位你背后的數據有沒有被人家拿走，就是你的對手永遠不會告訴你從你這里拿走多少數據，這就是現狀，他什么時候要拿走，什么時候告訴你，什么時候告訴你你什么時候就該倒霉了，所以公布以后，所有從總裁開始這上面簽字的人全部免職，這個事件發酵了一年，到2017年的2月份，實際上也就是去年2月份，完了美國商務部開出來罰單8.9億美金，最終是中信公司認罰，乖乖的交8.9億美金，差不多什么概念？差不多是中信公司十年的純利潤，這是一個案例，這是美國到我們這里來偷數據。還有一個例子，因為時間關系我有詳細的相關的一整套的資料，2016年美國指控中國來偷美國OPM就是聯邦人事局的聯邦雇員，大概四百多萬雇員的信息被中國黑客偷走，他沒講你是有政府背景還是什么，他就講中國的黑客把這個數據給偷走了，當然最終實際上是公安部的部長是到美國賠禮道歉的，這是第一個。

第二個，俞平安（音）是這個事件很重要的黑客之一，或者主要的成員之一，他以為沒事了，結果去年到美國開會，開完會直接被FBI帶走，這個英文就是美國檢察院的起訴書，這是什么事件？這是我們去偷人家的數據，剛才中信公司是人家來偷我們的數據。你想最終你看你們發現沒有，受傷害的都是我們，在云計算環境里面我們怎么保證我們自己的數據安全，是不是我們應該很好的思考一下，數據安全包括哪些方面？我的觀點也不一定對，就是說去年的512實際上是一個比較標志性的在網絡安全上面，在5月12號影響到150個國家，實際上這個背后是什么？美國的NSA的部分網絡武器庫的曝光，你想是不是全球的黑客都在研究已經曝光的網絡武器庫，這些武器庫它的本質是什么？各種應用系統、操作系統沒有發布的漏洞，這些漏洞的組合他就可以形成他的各種能力，你想是不是他的各種能力都在增強，比如說我們對手的這種對于網絡感知的能力，隱藏的能力，作戰的能力以及行動的能力都在增加，比如說你的對手，或者我們講黑客也好，你的對手也好，對你網絡的了解可能比你自己還清楚，他這種作戰的能力，通過漏洞，通過繞過你安全防護的能力也在增強，換句話說，是不是我們做防御這一塊的安全挑戰是不是更加嚴峻，所以很多事情你都在深入的稍微想一下的話，你會發現我們面臨的挑戰實際上5月12號以后實際上更加嚴峻，但是你會發現我們好像沒什么反應，這一塊就是理念的改變，實際上是對于你怎么來行動會有非常大的作用，我們大多數的理念還是一種基于靜態的，基于特征的安全防護來做，這個你是沒有辦法應對現在的復雜的網絡威脅，在這種情況下面，我們應該怎么來做？我們講在網絡空間當中，你應該對你的網絡認知，對于你用戶的認知，以及對于你的流量認知和對于你戰術的認知，實際上你都應該有一個新的提高，什么意思？比如說我們講對網絡的認知，就是說我們現在網絡的安全防護，你去看很多的單位有錢的可能花幾個億，把網絡的安全防護你去看好像簽了合同，但是他卻怎么樣？

把網絡安全分解來看

按照我的觀點，比如我上次評審過中國民航的，花了兩個億做了安全的防護，但是我最終給他的意見，我說你缺少一個靈魂，缺少一個基于全天候、全方位的感知這種網絡安全態勢的，比如說分析團隊沒有，比如說所有的安全設備，基于安全設備的這些策略的監測我們現在是沒有的，防火墻比如我開了50個策略，比如說我關閉了相關的端口，有沒有對于相關的我關閉端口的非授權訪問和探測，你能知道嗎？安全防火墻可能連個日志都沒有，我們現在都是基于日志做監測，你能發現問題嗎？所以我就提一些問題，所以講在認知你對手的時候，我們講叫戰術、技術和過程，什么意思？對你網絡發起的攻擊可能未必是他的目的，他的目的可能是要來獲取你的數據，尤其在云計算環境以后你的海量數據管控你應該怎么做，這是不是你應該考慮的，實際上這一塊重新的對于網絡空間的認知實際上是我們應該要考慮的，你如果把這個理念提高到基于對抗的來做安全，你現在會發現你整個的安全體系，你整個的做法就會有個很大的不同和變化，基于這樣子網絡安全實際上這是個復雜的問題，每個人對于網絡安全的理解都不一樣，基于這個復雜的問題，我們應該怎么辦？我的做法分解，對吧？就是說我把它分解，這是我的分解方式，但是分解完了你會發現每一塊我們的安全都做的不好。

第一個網絡邊界的安全，我理解的網絡邊界安全是我國家的關鍵基礎設施和互聯網的邊界，實際上要比較你可以去比較美國的愛因斯坦3和TSA，這一塊在我們國家整體缺失，我們現在大多數主流的認為美國的愛因斯坦3就是超級防火墻，花了60億美金好像沒發揮什么作用，真的是這樣子嗎？我就問幾個為什么，因為時間關系沒辦法展開了。

第二個，網絡的安全，就是說對于網絡安全的認知，是不是應該基于實時的監測和控制，但是我們發現能做到控制嗎？你的網絡安全能發現一些安全的問題基于特征的，我們統計了一下，就是說網絡安全大概你能夠解決基于特征的，大概能解決30%，還有70%你怎么辦？這是第二個，所以你會發現網絡安全的防護我們做的也不好。

第三個終端安全，實際上這塊我們國家到現在還沒有提出一個完整的基于終端安全的要求，到現在為止我理解的終端，我們現在大多數在做終端安全或者做主機安全的時候都是混為一談的，你指向不明確的時候怎么做安全，所以我想智慧源于對術語的定義，這種定義，我理解的終端應該是什么？比如說我的筆記本電腦，我的臺式機、一體機這是一塊，還有一塊是什么？我們所有的移動終端，所有的PAD設備，你再擴展下去可以是所有的物聯網的前端設備、可穿戴設備、傳感器，這些都是終端設備，或者終端安全要考慮的。主機安全是什么？主機安全我理解的是服務器加操作系統，這是主機安全要做的事情，你說是一會事情嗎？所以你的理念不一樣，我的理解終端安全我們國家這塊也是模糊的，所以你去看很多你去做交流的時候，你去看我們這些搞安全的安全廠商，講主機安全的時候一會兒講終端一會兒講服務器，整個安全不知道他做什么。

第四塊應用安全，我理解的應用安全應該是什么？應該是基于PKI或者基于網絡信用體系的，身份認證、授權管理、責任認定，以及應用源代碼的安全和主機的安全，這是應用安全要做的，但是你會發現我們應用安全也沒做好，我們現在都沒有做到每一個公務員有一個數字證書，大多數都沒做到，你怎么來做到基于單位，基于身份和基于角色的訪問控制，尤其是云計算以后，應用都在集中，我怎么做訪問控制，這塊是不也很糟糕。

最后一個數據安全，我們講數據安全你是不是應該，這是今天我要講的主題，后面的數據安全我大概展開一下。數據安全你是不是應該從數據，從采集到傳輸到使用到存儲到銷毀，整個全生命周期的管控，在這個過程當中實際上還是要分解，我就講問題一定要分解才能知道怎么做，數據安全有很多形態，比如說在傳輸過程當中的數據安全問題，比如在存儲當中的數據安全問題，以及你跟應用結合，在數據使用過程當中他的數據安全問題都是不一樣的，你應該怎么來做？

所以我是提個建議，一個是在這里可能有很多是廠商，有研究機構，比如說十年前美國發布了一個叫都柏林的核心源數據規范，我們國家到現在還沒有翻譯，你去看看人家美國怎么做，數據安全第一步按照我的觀點，數據先要進行分級分類，分級分類以后才能對你的關鍵數據、敏感數據采取有針對性的比如說我的數據加密存儲，才能采取措施，比如說對于，我們現在很多大數據標準、各種規范，但是我們恰恰缺少什么？對于源數據標準的規范，實際上你會發現我們現在的信息化，做到后面你會覺得越做越難，關鍵問題是什么？核心的問題是我們只是在做表面的文章，底層的基礎工作沒人做，因為這個不來錢，所以你源數據不去做規范，你的語意不去做定義，越做到后面再來做底層的工作這個事情就沒辦法做，這個事情非常難，所以我覺得這一塊核心問題還是你的理念，理念決定行動，你的理念不到，一定就是說這個基于項目做工程，有項目有錢我就做，沒有錢我就不做，現在就是這個樣子，問題你怎么來做我們整個的底層安全問題，實際上是基于這樣子，基于這樣子實際上就是說你安全一分解一分類，實際上這就是一個縱深的防御體系，這是扇形的架構，這個也不是我發明的，這是十年前美國的博士艾倫公司，就是斯諾登公司的老板跟美國國土安全部做交流的時候畫了這么一張圖，他的理念，你看十年前美國人的理念就是這個樣子，但是你看十年以后我們國家到現在還沒達到這種理念你的理念都沒到你怎么有行動，所以還要從邊界安全、網絡安全、終端安全、應用安全和數據安全五個層面去做，你會發現把這個分解以后你的安全相對來說比較好做。

還有一個，我們講基于安全的威脅，威脅有來自外部的也有來自內部的，在中國大概還多一個來自我們第三方的開發方，案例很多，這種案例我就不去一一講了，尤其對你開發方的完了來獲取你的數據，再植入后門完了來獲取他想要的數據，很多，問題是你怎么做到全過程的可控制、可管理和可追溯，這就是我們做數據安全的時候要做的。核心，我們講從網絡也好從邊界也好，核心是什么？核心是要保證你的數據安全，現在網絡安全等級是2.0，原來叫信息系統安全現在叫網絡數據安全，核心還是要保證你的數據安全，數據是你的資產，你要把它作為資產來管理，這就是核心，基于這樣子我們總結出的標準，我們爭取下一步申請為國家標準，我們國家對于安全事件是不分類的，就是說你不分類你就沒有辦法采取措施，比如說我們講的第一類，比如說我們現在網信辦國家保密局，比如說公安部，經常對你的網站來做滲透測試，完了告訴你有什么漏洞，但是在互聯網上面這種攻擊的特征和黑客的攻擊特征是一樣的，你怎么來區分，你該不該區分。

我們這里比如說我們經常發現異常的跨境數據傳輸，比如說每天電子政務的數據，往臺灣發，往美國發，往俄羅斯發你認為正常嗎？是不是該預警，所以基于這樣子的話，比如說這種未知的異常的情況你該不該分類？只有分類你才能有針對性的去采取一些措施，否則你怎么做，而這個是沒有辦法做的，基于這樣子，所以我就講，就是說基于云計算的特點，實際上你整個理念放到任何地方都是一樣的，尤其你在做網絡安全的時候，一定要從一個大的維度來考慮，你光從云計算來考慮計算安全你可能考慮不清楚，比如說你的邊界安全，你跟互聯網的邊界安全該不該做，這好像跟云計算沒什么關系，你的數據如果有異常的，比如你天天往美國發，你能不能夠發現，發現了以后你能不能甄別它是正常的數據流，還是異常的攻擊還是你數據的泄露，所以就是說云計算最大的特點是什么？一個是對于資源的動態調度，還有一個是什么？應用的快速部署，這就是云計算最大的特點，在這種情況下面，你怎么基于對抗的這種理念來做安全，核心還是保證你的數據安全。

而對我們現在云計算環境除了比如說BAT除了京東，因為都是他自己弄，我的觀點這一塊他們可能會做的相對比較好一點，但是政府的云計算環境，你去看整個應用上了很多，但是一講我的數據運行狀態，比如說什么人，什么單位，訪問過什么數據，我什么都不知道，你怎么做安全，所以講基于這樣子后面我大概說一下。你在做云計算安全的時候你一定要從底層開始考慮，比如說他是基于KVM的，上面加Linux操作系統，完了上面再看虛擬機，VM上面再部署應用，每一曾都有他的安全要求，基于這樣子你才能把這個安全的要求提出來，就是說你可能是一個甲方，但是這些云服務商，比如說華為，比如說華商比如說阿里來給你做云計算的時候，這些安全的要求你得提給他，我要做到實時的可控制可管理追訴，他一個報告給你，我要做到什么時候什么單位訪問什么應用，否則你怎么做？今后安全一定是基于這些實時的管控數據，我后臺做大數據分析發現異常，比如說你的應用每天訪問300次是正常的，如果到三千次你還不預警嗎？所以三百次一定是你日常當中學習設定的法則，超過我就要預警然后發現問題，這就是理念。

還有一個，所以我們講應用安全，基于身份認證、授權管理和責任認定，以后在云計算環境一定是要用的，首先我們在政府環節這么做，基于在公有云上怎么做我們不去評論，在這塊我們出了一個政務云的安全要求，今天在座的不知道有多少政府單位的人，如果政府單位人多我們可以講政務云有哪些要求，首先我提了第一個要求就是說在政府業務系統，你首先第一條，你不能部署到公有云上，而且電子政務的業務不能部署到公有云上，我們發現在國內比如說新疆，比如說陜西，在當地的工信廳或者經信委的推動下把數據都放在公有云上，基于這樣子，所以我們講數據安全的保護，數據你應該從采集到傳輸到使用，到整個的存儲，到銷毀，整個全生命周期的管控，基于這樣子你從數據產生開始，這是我們講終端安全要干的事，比如說身份認證，我基于終端怎么跟人來綁定，你如果把這個想清楚這相關的安全你都好做，比如說數據的存儲，比如說數據的銷毀，實際上還有更多的，比如說我活躍數據和非活躍數據的管理，比如說結構化數據與非結構化數據的管理，這里面有很多，你一分解實際上數據安全的內容還是非常多的，但是這個我們就不展開了，所以這樣一塊，你整個的數據管控，你有這種理念你就可以提相關的要求，你如果是甲方你就提要求，如果你是乙方或者是開發方你就要基于這種來做相關的要求，把它變成可落地、可實施，首先你要數據的責任主體，它的管理邊界以及責任邊界，這是首先要明確的，尤其在云計算環境和虛擬化環境以后，這種邊界是比較模糊的，那就一定要分清楚，分清楚以后落實到文字上面，還有一塊我的理解，我們現在很多省里面做業務遷移的時候數據永久丟失，這里面主要是跟數據備份混為一談，太多的例子不說了。

我把我的一些理念和一些想法提出來給大家分享，因為時間關系，如果有需要深入的交流，我們可以再做交流，謝謝大家。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】