【51CTO.com原创稿件】由中国电子技术标准化研究院主办、51CTO承办的"第七届中国云计算标准和应用大会"于2018年1月4日至1月5日在北京成功召开。本次大会全面展示我国云计算国家标准研制工作的成果,解读国内云计算产业政策,报告云计算标准化工作的重要进展。同时,大会还重磅发布了国家开源领域的标准化产物,分享了云计算最新的技术趋势和应用创新成效,并颁发了云计算产品及解决方案第五批测评证书。此外,第二届中国优秀云计算开源案例评选结果也在大会现场公布。
在万物互联和数字化转型蓬勃发展的时代,企业乃至整个产业的入云需求日渐迫切。随着云计算产业配套政策的落地,云计算逐步从互联网企业向传统行业渗透。产业转型与创新分论坛直击产业转型痛点,探讨云计算服务能力如何加速传统产业转型升级。
国家信息中心处长 邵国安
在1月5日的云网安全与存储分论坛上,国家信息中心邵国安处长为我们解析云计算环境下的数据安全要求。他认为,网络安全的核心是一个专业的、安全的分析团队和情报的共享;对于网络安全的认知应该基于实时的监测和控制;此外,随着移动终端设备的增多,有关部门应该明确对于终端安全的定义,而不仅限于主机安全;应用安全则应该基于PKI或者基于网络信用体系,身份认证、授权管理、责任认定,以及应用源代码的安全和主机的安全,这是应用安全要做的。
以下是演讲实录:
我把我这几年在云计算使用过程当中的一些想法和一些理念给大家介绍一下,主要是通过这些想法和这些理念,你怎么把这些贯穿到你在做云计算在做数据安全的时候怎么样做,更多的是方法论。
一个是我们怎么把它落实到行动上面,比如说理念决定行动,比如说你全天候全方位的感知网络安全开始,这些都是需要落地的,我们叫认认真真学精神,轰轰烈烈走过场,学完就完了,整个基于网络安全,基于对抗的这种安全的态势情况下你怎么做好云计算里面的安全,尤其是数据的安全。我们讲云计算以后,实际上虚拟化是一块,更大的本质是应用在集中,数据在集中,实际上相对的来说风险也在集中,在这种情况下面,我们到底应该怎么来做,而基于对抗环境下怎么做在云计算环境下面的安全,基于这样子我就想如果光在云计算环境里面你去讲云计算的安全,有的时候你是讲不清楚的,你一定是要了解我们在做整个在做云计算环境在做安全的时候,你的理念你的维度一定要从全球的维度来考虑安全问题。
如果你是公有云来说,全球的人都可以访问到你的应用,所以讲你一定是要在全球的维度来考虑,而我们的对手,他是有国家背景,有组织背景,我们怎么办?所以讲就是我们讲这块的特点,比如说我们网络安全他的特点,一个是他的时效性,你进遭到攻击的时候你不能一个月以后出报告,所以一定是马上要处理的,你怎么来做,还有一个复杂性,这些实际上都是在网络安全他里面的这些特点决定的,比如说他的专业性,就是说他挖掘你的漏洞,他在做不是一般人都能够干的,在这种情况下面,有很多实际上体现在什么?
还有他的不对称性,就是说我们的对手都是一些有专业知识背景,比如说有各种的,比如说利用心理学、社会工程学还有其他各种专业知识背景的人来对你进行攻击,或者来对你进行获取你的数据,你怎么办?所以在这种情况下面我们讲,这个也是一种对抗,他是一种什么样子的对抗?所以我们讲他一定是一个组织国家和个人之间的一个智力博弈的场所,我们现在互联网的情况,你是不是可以说,你永远不知道你的对手在什么时候采用什么手段用什么方式来对你发起网络攻击,在这种情况下面,在这种对抗的环境下面,你怎么来提高对手对你攻击时候的成本,这是不是你该考虑的,就是在这种情况下面,如果你能够做到攻击的时候我马上能够反应,如果他对你进行攻击或者获取你数据的时候,他的难度在提高,他的成本在提高,你是不是具备一定的网络威慑力,我们讲网络安全的核心,就是说这个核心实际上是什么?我的理解,一个是专业的、安全的分析团队和情报的共享。今天稍微有点点时间,我大概稍微展开说一下。
我现在是在政府部门工作,你说我如果去要运维费用,可能十万二十万都要不来,但是你如果买一个安全设备买一个防火墙他可能一百万都给你,这就是理念的问题,但是我们现在大多数的安全的公司,大多数都是卖盒子的不是卖服务这是完全两回事情,这是一个。还有一个我们讲情报共享,那就更难了,比如说我的很多亲身经历,比如说国家保密局在我们这里有检测引擎,他经常时不时告诉我你看看这个地质是不是有问题,我说你能不能把这个黑名单给我,我在我的防火墙在安全设备把这个黑名单加进去,他说不行,我们是按照机密级来管理的,你怎么做情报共享?还有我们现在很多的,我们现在99%,我们所有安全设备的监测都是怎么做的?做风光做旁路,风光、旁路只能做监测不能控制,还有一个问题,我们现在的交换机路由器做进项的时候他是数据包有丢失的,这些丢失的数据包就是一个不规则的或者是一个攻击的数据包,都丢失了你在收集数据的时候,这个数据就是不完善的,或者不全的,你怎么来做安全,你怎么来实时的去发现安全的实践。
这些问题我就讲,我的一些思考,我的一些方法论,实际上提出来给你们在座的一定是,不管你是做设计的,还是做正式运维的,还是做比如说你每天肯定要进机房,你要做维护,数据安全都是你要保证的,你不能说打开机房门我看到的是云,这种情况下你一定要考虑安全问题的。比如说我现在天天看微信,我不需要知道微信的服务器在哪,这个安全是由腾讯做,但是我的电子政务的数据,或者我们自己直接要运维的,你可能不能讲,一打开机房的门我看到的是云,所以它一定是由交换器、存储设备组成的,所以这种理念上面你再去做安全的话,你会发现很多的问题,你就可以细化,你就知道该怎么做。
搞网络安全需借助国家力量
基于这样子,我还是讲一些理念,美国在他国家的网络安全行动计划里面,比如说在CNAP里面他已经很明确的提出来,现在单个的机构你已经没有办法应对复杂的危险,这个结论我觉得一定是存在的,我们现在每一个单位你的维护力量,你的安全防护水平都不一样,你怎么去应对现在你面对的是什么?是全球的,如果你的网络是联在互联网上,一定面对着你的对手都是全球的,在这种情况下面一定是要借助于国家的力量,借助于情报的共享,借助于专业的分析团队,一定是这样做的,所以在这种理念下面我们应该怎么来做,我举两个例子你们就知道了,一个是中信公司,深圳中信公司在去年,最边上这个是美国商务部贴出来的整个证据链,他指控中信公司利用美国的核心芯片装在他的路由器、交换机上,这个就是明显的人家美国到中信公司把数据拿走了,我们再深入问一下中信公司有没有其他数据被人家拿走,或者我们在座的各位你背后的数据有没有被人家拿走,就是你的对手永远不会告诉你从你这里拿走多少数据,这就是现状,他什么时候要拿走,什么时候告诉你,什么时候告诉你你什么时候就该倒霉了,所以公布以后,所有从总裁开始这上面签字的人全部免职,这个事件发酵了一年,到2017年的2月份,实际上也就是去年2月份,完了美国商务部开出来罚单8.9亿美金,最终是中信公司认罚,乖乖的交8.9亿美金,差不多什么概念?差不多是中信公司十年的纯利润,这是一个案例,这是美国到我们这里来偷数据。还有一个例子,因为时间关系我有详细的相关的一整套的资料,2016年美国指控中国来偷美国OPM就是联邦人事局的联邦雇员,大概四百多万雇员的信息被中国黑客偷走,他没讲你是有政府背景还是什么,他就讲中国的黑客把这个数据给偷走了,当然最终实际上是公安部的部长是到美国赔礼道歉的,这是第一个。
第二个,俞平安(音)是这个事件很重要的黑客之一,或者主要的成员之一,他以为没事了,结果去年到美国开会,开完会直接被FBI带走,这个英文就是美国检察院的起诉书,这是什么事件?这是我们去偷人家的数据,刚才中信公司是人家来偷我们的数据。你想最终你看你们发现没有,受伤害的都是我们,在云计算环境里面我们怎么保证我们自己的数据安全,是不是我们应该很好的思考一下,数据安全包括哪些方面?我的观点也不一定对,就是说去年的512实际上是一个比较标志性的在网络安全上面,在5月12号影响到150个国家,实际上这个背后是什么?美国的NSA的部分网络武器库的曝光,你想是不是全球的黑客都在研究已经曝光的网络武器库,这些武器库它的本质是什么?各种应用系统、操作系统没有发布的漏洞,这些漏洞的组合他就可以形成他的各种能力,你想是不是他的各种能力都在增强,比如说我们对手的这种对于网络感知的能力,隐藏的能力,作战的能力以及行动的能力都在增加,比如说你的对手,或者我们讲黑客也好,你的对手也好,对你网络的了解可能比你自己还清楚,他这种作战的能力,通过漏洞,通过绕过你安全防护的能力也在增强,换句话说,是不是我们做防御这一块的安全挑战是不是更加严峻,所以很多事情你都在深入的稍微想一下的话,你会发现我们面临的挑战实际上5月12号以后实际上更加严峻,但是你会发现我们好像没什么反应,这一块就是理念的改变,实际上是对于你怎么来行动会有非常大的作用,我们大多数的理念还是一种基于静态的,基于特征的安全防护来做,这个你是没有办法应对现在的复杂的网络威胁,在这种情况下面,我们应该怎么来做?我们讲在网络空间当中,你应该对你的网络认知,对于你用户的认知,以及对于你的流量认知和对于你战术的认知,实际上你都应该有一个新的提高,什么意思?比如说我们讲对网络的认知,就是说我们现在网络的安全防护,你去看很多的单位有钱的可能花几个亿,把网络的安全防护你去看好像签了合同,但是他却怎么样?
把网络安全分解来看
按照我的观点,比如我上次评审过中国民航的,花了两个亿做了安全的防护,但是我最终给他的意见,我说你缺少一个灵魂,缺少一个基于全天候、全方位的感知这种网络安全态势的,比如说分析团队没有,比如说所有的安全设备,基于安全设备的这些策略的监测我们现在是没有的,防火墙比如我开了50个策略,比如说我关闭了相关的端口,有没有对于相关的我关闭端口的非授权访问和探测,你能知道吗?安全防火墙可能连个日志都没有,我们现在都是基于日志做监测,你能发现问题吗?所以我就提一些问题,所以讲在认知你对手的时候,我们讲叫战术、技术和过程,什么意思?对你网络发起的攻击可能未必是他的目的,他的目的可能是要来获取你的数据,尤其在云计算环境以后你的海量数据管控你应该怎么做,这是不是你应该考虑的,实际上这一块重新的对于网络空间的认知实际上是我们应该要考虑的,你如果把这个理念提高到基于对抗的来做安全,你现在会发现你整个的安全体系,你整个的做法就会有个很大的不同和变化,基于这样子网络安全实际上这是个复杂的问题,每个人对于网络安全的理解都不一样,基于这个复杂的问题,我们应该怎么办?我的做法分解,对吧?就是说我把它分解,这是我的分解方式,但是分解完了你会发现每一块我们的安全都做的不好。
第一个网络边界的安全,我理解的网络边界安全是我国家的关键基础设施和互联网的边界,实际上要比较你可以去比较美国的爱因斯坦3和TSA,这一块在我们国家整体缺失,我们现在大多数主流的认为美国的爱因斯坦3就是超级防火墙,花了60亿美金好像没发挥什么作用,真的是这样子吗?我就问几个为什么,因为时间关系没办法展开了。
第二个,网络的安全,就是说对于网络安全的认知,是不是应该基于实时的监测和控制,但是我们发现能做到控制吗?你的网络安全能发现一些安全的问题基于特征的,我们统计了一下,就是说网络安全大概你能够解决基于特征的,大概能解决30%,还有70%你怎么办?这是第二个,所以你会发现网络安全的防护我们做的也不好。
第三个终端安全,实际上这块我们国家到现在还没有提出一个完整的基于终端安全的要求,到现在为止我理解的终端,我们现在大多数在做终端安全或者做主机安全的时候都是混为一谈的,你指向不明确的时候怎么做安全,所以我想智慧源于对术语的定义,这种定义,我理解的终端应该是什么?比如说我的笔记本电脑,我的台式机、一体机这是一块,还有一块是什么?我们所有的移动终端,所有的PAD设备,你再扩展下去可以是所有的物联网的前端设备、可穿戴设备、传感器,这些都是终端设备,或者终端安全要考虑的。主机安全是什么?主机安全我理解的是服务器加操作系统,这是主机安全要做的事情,你说是一会事情吗?所以你的理念不一样,我的理解终端安全我们国家这块也是模糊的,所以你去看很多你去做交流的时候,你去看我们这些搞安全的安全厂商,讲主机安全的时候一会儿讲终端一会儿讲服务器,整个安全不知道他做什么。
第四块应用安全,我理解的应用安全应该是什么?应该是基于PKI或者基于网络信用体系的,身份认证、授权管理、责任认定,以及应用源代码的安全和主机的安全,这是应用安全要做的,但是你会发现我们应用安全也没做好,我们现在都没有做到每一个公务员有一个数字证书,大多数都没做到,你怎么来做到基于单位,基于身份和基于角色的访问控制,尤其是云计算以后,应用都在集中,我怎么做访问控制,这块是不也很糟糕。
最后一个数据安全,我们讲数据安全你是不是应该,这是今天我要讲的主题,后面的数据安全我大概展开一下。数据安全你是不是应该从数据,从采集到传输到使用到存储到销毁,整个全生命周期的管控,在这个过程当中实际上还是要分解,我就讲问题一定要分解才能知道怎么做,数据安全有很多形态,比如说在传输过程当中的数据安全问题,比如在存储当中的数据安全问题,以及你跟应用结合,在数据使用过程当中他的数据安全问题都是不一样的,你应该怎么来做?
所以我是提个建议,一个是在这里可能有很多是厂商,有研究机构,比如说十年前美国发布了一个叫都柏林的核心源数据规范,我们国家到现在还没有翻译,你去看看人家美国怎么做,数据安全第一步按照我的观点,数据先要进行分级分类,分级分类以后才能对你的关键数据、敏感数据采取有针对性的比如说我的数据加密存储,才能采取措施,比如说对于,我们现在很多大数据标准、各种规范,但是我们恰恰缺少什么?对于源数据标准的规范,实际上你会发现我们现在的信息化,做到后面你会觉得越做越难,关键问题是什么?核心的问题是我们只是在做表面的文章,底层的基础工作没人做,因为这个不来钱,所以你源数据不去做规范,你的语意不去做定义,越做到后面再来做底层的工作这个事情就没办法做,这个事情非常难,所以我觉得这一块核心问题还是你的理念,理念决定行动,你的理念不到,一定就是说这个基于项目做工程,有项目有钱我就做,没有钱我就不做,现在就是这个样子,问题你怎么来做我们整个的底层安全问题,实际上是基于这样子,基于这样子实际上就是说你安全一分解一分类,实际上这就是一个纵深的防御体系,这是扇形的架构,这个也不是我发明的,这是十年前美国的博士艾伦公司,就是斯诺登公司的老板跟美国国土安全部做交流的时候画了这么一张图,他的理念,你看十年前美国人的理念就是这个样子,但是你看十年以后我们国家到现在还没达到这种理念你的理念都没到你怎么有行动,所以还要从边界安全、网络安全、终端安全、应用安全和数据安全五个层面去做,你会发现把这个分解以后你的安全相对来说比较好做。
还有一个,我们讲基于安全的威胁,威胁有来自外部的也有来自内部的,在中国大概还多一个来自我们第三方的开发方,案例很多,这种案例我就不去一一讲了,尤其对你开发方的完了来获取你的数据,再植入后门完了来获取他想要的数据,很多,问题是你怎么做到全过程的可控制、可管理和可追溯,这就是我们做数据安全的时候要做的。核心,我们讲从网络也好从边界也好,核心是什么?核心是要保证你的数据安全,现在网络安全等级是2.0,原来叫信息系统安全现在叫网络数据安全,核心还是要保证你的数据安全,数据是你的资产,你要把它作为资产来管理,这就是核心,基于这样子我们总结出的标准,我们争取下一步申请为国家标准,我们国家对于安全事件是不分类的,就是说你不分类你就没有办法采取措施,比如说我们讲的第一类,比如说我们现在网信办国家保密局,比如说公安部,经常对你的网站来做渗透测试,完了告诉你有什么漏洞,但是在互联网上面这种攻击的特征和黑客的攻击特征是一样的,你怎么来区分,你该不该区分。
我们这里比如说我们经常发现异常的跨境数据传输,比如说每天电子政务的数据,往台湾发,往美国发,往俄罗斯发你认为正常吗?是不是该预警,所以基于这样子的话,比如说这种未知的异常的情况你该不该分类?只有分类你才能有针对性的去采取一些措施,否则你怎么做,而这个是没有办法做的,基于这样子,所以我就讲,就是说基于云计算的特点,实际上你整个理念放到任何地方都是一样的,尤其你在做网络安全的时候,一定要从一个大的维度来考虑,你光从云计算来考虑计算安全你可能考虑不清楚,比如说你的边界安全,你跟互联网的边界安全该不该做,这好像跟云计算没什么关系,你的数据如果有异常的,比如你天天往美国发,你能不能够发现,发现了以后你能不能甄别它是正常的数据流,还是异常的攻击还是你数据的泄露,所以就是说云计算最大的特点是什么?一个是对于资源的动态调度,还有一个是什么?应用的快速部署,这就是云计算最大的特点,在这种情况下面,你怎么基于对抗的这种理念来做安全,核心还是保证你的数据安全。
而对我们现在云计算环境除了比如说BAT除了京东,因为都是他自己弄,我的观点这一块他们可能会做的相对比较好一点,但是政府的云计算环境,你去看整个应用上了很多,但是一讲我的数据运行状态,比如说什么人,什么单位,访问过什么数据,我什么都不知道,你怎么做安全,所以讲基于这样子后面我大概说一下。你在做云计算安全的时候你一定要从底层开始考虑,比如说他是基于KVM的,上面加Linux操作系统,完了上面再看虚拟机,VM上面再部署应用,每一曾都有他的安全要求,基于这样子你才能把这个安全的要求提出来,就是说你可能是一个甲方,但是这些云服务商,比如说华为,比如说华商比如说阿里来给你做云计算的时候,这些安全的要求你得提给他,我要做到实时的可控制可管理追诉,他一个报告给你,我要做到什么时候什么单位访问什么应用,否则你怎么做?今后安全一定是基于这些实时的管控数据,我后台做大数据分析发现异常,比如说你的应用每天访问300次是正常的,如果到三千次你还不预警吗?所以三百次一定是你日常当中学习设定的法则,超过我就要预警然后发现问题,这就是理念。
还有一个,所以我们讲应用安全,基于身份认证、授权管理和责任认定,以后在云计算环境一定是要用的,首先我们在政府环节这么做,基于在公有云上怎么做我们不去评论,在这块我们出了一个政务云的安全要求,今天在座的不知道有多少政府单位的人,如果政府单位人多我们可以讲政务云有哪些要求,首先我提了第一个要求就是说在政府业务系统,你首先第一条,你不能部署到公有云上,而且电子政务的业务不能部署到公有云上,我们发现在国内比如说新疆,比如说陕西,在当地的工信厅或者经信委的推动下把数据都放在公有云上,基于这样子,所以我们讲数据安全的保护,数据你应该从采集到传输到使用,到整个的存储,到销毁,整个全生命周期的管控,基于这样子你从数据产生开始,这是我们讲终端安全要干的事,比如说身份认证,我基于终端怎么跟人来绑定,你如果把这个想清楚这相关的安全你都好做,比如说数据的存储,比如说数据的销毁,实际上还有更多的,比如说我活跃数据和非活跃数据的管理,比如说结构化数据与非结构化数据的管理,这里面有很多,你一分解实际上数据安全的内容还是非常多的,但是这个我们就不展开了,所以这样一块,你整个的数据管控,你有这种理念你就可以提相关的要求,你如果是甲方你就提要求,如果你是乙方或者是开发方你就要基于这种来做相关的要求,把它变成可落地、可实施,首先你要数据的责任主体,它的管理边界以及责任边界,这是首先要明确的,尤其在云计算环境和虚拟化环境以后,这种边界是比较模糊的,那就一定要分清楚,分清楚以后落实到文字上面,还有一块我的理解,我们现在很多省里面做业务迁移的时候数据永久丢失,这里面主要是跟数据备份混为一谈,太多的例子不说了。
我把我的一些理念和一些想法提出来给大家分享,因为时间关系,如果有需要深入的交流,我们可以再做交流,谢谢大家。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
