help

會(huì)議概況

Summary of the session

3月28日,由中國信息協(xié)會(huì)主辦,信息化觀察網(wǎng)、中國信息化網(wǎng)、國潤互聯(lián)信息技術(shù)研究院共同承辦的2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)在北京裕龍國際大酒店成功召開。 [詳細(xì)]
  • ? 圍繞“數(shù)字化轉(zhuǎn)型中的安全之道”主題
  • ? 邀請政府部門領(lǐng)導(dǎo)
  • ? 匯聚信息安全領(lǐng)域頂級專家、學(xué)者、知名CIO、產(chǎn)業(yè)界優(yōu)秀人才等千余人
  • ? 為維護(hù)網(wǎng)絡(luò)安全出謀劃策
help

演講嘉賓

SPEAKERS

何翠芹
中國信息協(xié)會(huì)會(huì)長
沈昌祥
中國工程院院士
傅伯巖
中國信息協(xié)會(huì)大數(shù)據(jù)分會(huì)常務(wù)副會(huì)長
李天白
思源科技集團(tuán)首席科學(xué)家、總規(guī)劃師
龐潼川博士
北京芯盾集團(tuán)有限公司總經(jīng)理
曹亮
新華三信息安全技術(shù)有限公司副總經(jīng)理兼解決方案部部長
葉志鋼
武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司CEO
郝軼
深信服科技股份有限公司安全業(yè)務(wù)CIO
鐘力
北京北信源軟件股份有限公司高級副總裁
范春玲
公安部十一局七處副處長
葉超
瑞星安全研究院院長
宮云戰(zhàn)教授
國家互聯(lián)網(wǎng)應(yīng)急中心?區(qū)塊鏈安全技術(shù)檢測中心顧問專家
韓斐博士
衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總工程師
崔艷輝
國信電子票據(jù)平臺(tái)信息服務(wù)有限公司營銷中心總經(jīng)理
劉權(quán)博士
工信部賽迪網(wǎng)絡(luò)安全研究所所長、賽迪區(qū)塊鏈研究院院長
help

會(huì)議主題

CONFERENCE THEMES

大會(huì)圍繞“數(shù)字化轉(zhuǎn)型中的安全之道”主題,邀請政府部門領(lǐng)導(dǎo),匯聚信息安全領(lǐng)域頂級專家、學(xué)者、知名CIO和產(chǎn)業(yè)界優(yōu)秀人才等千余人,在數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期,為維護(hù)網(wǎng)絡(luò)安全出謀劃策。
help

會(huì)議日程

AGENDA

3月28日

mm
9:00

開場致辭

中國信息協(xié)會(huì)會(huì)長 何翠芹
主題演講
?數(shù)字經(jīng)濟(jì)時(shí)代的機(jī)遇與網(wǎng)絡(luò)安全--中國工程院院士 沈昌祥
?用“數(shù)字細(xì)胞”技術(shù)全面推進(jìn)區(qū)塊鏈技術(shù)應(yīng)用--思源科技集團(tuán)首席科學(xué)家、總規(guī)劃師 李天白
?主動(dòng)信息安全支撐信息化深度與廣度發(fā)展--北京芯盾集團(tuán)有限公司總經(jīng)理 龐潼川博士
?數(shù)字化轉(zhuǎn)型下的安全變革與安全能力--新華三信息安全技術(shù)有限公司副總經(jīng)理兼解決方案部部長 曹亮
? 網(wǎng)絡(luò)安全賦能邊緣計(jì)算--武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司CEO 葉志鋼
? 面向未來 有效保護(hù)的智安全架構(gòu)--深信服科技股份有限公司安全業(yè)務(wù)CIO 郝軼
? 國產(chǎn)化平臺(tái)終端安全解決方案--北京北信源軟件股份有限公司高級副總裁 鐘力
mm
主題演講
? 新形勢下的網(wǎng)絡(luò)安全等級保護(hù)制度--公安部十一局七處副處長 范春玲
? 下一代反病毒引擎:云管端、工業(yè)化、智能化--瑞星安全研究院院長 葉超
? 軟件源代碼安全性測試在區(qū)塊鏈領(lǐng)域的應(yīng)用--國家互聯(lián)網(wǎng)應(yīng)急中心?區(qū)塊鏈安全技術(shù)檢測中心顧問專家 宮云戰(zhàn) 教授
? 數(shù)字時(shí)代網(wǎng)絡(luò)信任服務(wù)體系新思考--衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總工程師 韓斐博士
? 生態(tài)賦能助力企業(yè)財(cái)稅票數(shù)據(jù)安全--國信電子票據(jù)平臺(tái)信息服務(wù)有限公司營銷中心總經(jīng)理 崔艷輝
? 數(shù)據(jù)安全面監(jiān)形勢及對策--工信部賽迪網(wǎng)絡(luò)安全研究所所長、賽迪區(qū)塊鏈研究院院長 劉權(quán)博士
? 發(fā)布2019中國網(wǎng)絡(luò)信息安全優(yōu)秀項(xiàng)目
help

圖片集

ASSEMBLY PHOTO SET

  • 2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì) 簽到現(xiàn)場
  • 2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì) 展位區(qū)
  • 2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì) 貴賓室
  • 2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì) 主會(huì)場
  • 2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì) 企業(yè)演講
  • 公安部十一局七處范春玲副處長 主題演講
  • 中國信息協(xié)會(huì)大數(shù)據(jù)分會(huì)常務(wù)副會(huì)長傅伯巖為獲獎(jiǎng)企業(yè)頒獎(jiǎng)
  • 信息化觀察網(wǎng)副總裁鄧誠為獲獎(jiǎng)企業(yè)頒獎(jiǎng)并合影留念
  • 中國信息協(xié)會(huì)大數(shù)據(jù)分會(huì)常務(wù)副會(huì)長傅伯巖與獲獎(jiǎng)企業(yè)代表合影留念
help

合作單位

COOPERATION

媒體合作伙伴

MEDIA PARTNERS

help

大會(huì)速記

(未整理版)

時(shí)間:2019年3月28日上午

地點(diǎn):裕龍國際大酒店一層宴會(huì)廳

主題:2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)

主持人 傅博巖:尊敬的各位領(lǐng)導(dǎo),各位來賓,同志們,朋友們,大家上午好!歡迎大家蒞臨2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì),本次大會(huì)由中國信息協(xié)會(huì)主辦,信息化觀察網(wǎng),中國信息化網(wǎng),國潤互聯(lián)信息技術(shù)研究院共同舉辦,我是本次大會(huì)主辦方,中國信息協(xié)會(huì)大數(shù)據(jù)分會(huì)的常務(wù)副會(huì)長傅博巖,非常榮幸受邀擔(dān)任本次大會(huì)主持人。

黨的十八大以來,黨中央高度重視互聯(lián)網(wǎng),發(fā)展互聯(lián)網(wǎng),統(tǒng)籌協(xié)調(diào)涉及政治、文化、經(jīng)濟(jì)、社會(huì)、軍事等領(lǐng)域的信息化和網(wǎng)絡(luò)安全等重大問題,提出了一系列重大舉措,2018年4月18日,4月20日習(xí)近平總書記提出了沒有網(wǎng)絡(luò)安全就沒有國家安全的重要舉措,為我們認(rèn)識(shí)和推動(dòng)信息網(wǎng)絡(luò)安全工作指明了方向。

當(dāng)今世界日新月異的信息技術(shù)革命對政治、經(jīng)濟(jì)、文化等領(lǐng)域的發(fā)展產(chǎn)生了深刻的影響,網(wǎng)絡(luò)安全已經(jīng)成為事關(guān)國家安全、國家發(fā)展、人民發(fā)展工作生活的重大問題,新時(shí)代孕育新業(yè)態(tài),新征程召喚新使命,數(shù)字化轉(zhuǎn)型不止于眼下,更在于未來,構(gòu)建數(shù)字化轉(zhuǎn)型的安全之路任重道遠(yuǎn)。

近年來網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,大型網(wǎng)絡(luò)安全事件屢屢發(fā)生,數(shù)據(jù)泄露成為焦點(diǎn),勒索軟件攻擊仍然值得關(guān)注,更多的安全漏洞被曝光,無論何時(shí),安全問題都會(huì)如影隨形,我們不能放松警惕,以創(chuàng)新的理念和技術(shù)手段消除一切安全隱患,保證業(yè)務(wù)的安全順利進(jìn)行。當(dāng)前進(jìn)行的數(shù)字化轉(zhuǎn)型給企業(yè)帶來了業(yè)務(wù)安全風(fēng)險(xiǎn),所以安全轉(zhuǎn)型勢在必行。

中國網(wǎng)絡(luò)安全信息峰會(huì)已經(jīng)成功舉辦過三屆,今年大會(huì)的主題是數(shù)字化轉(zhuǎn)型中的安全之道,我們期待在這樣一個(gè)主題下,與政、企、產(chǎn)、學(xué)、研各界代表一同嘗試解讀,在數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期,面對諸多新挑戰(zhàn),如何利用云計(jì)算、大數(shù)據(jù)、人工智能等新的技術(shù)手段,解決越來越復(fù)雜的信息安全問題,為企業(yè)數(shù)字化轉(zhuǎn)型指出一條安全的路徑。

出席今天上午大會(huì)的主要領(lǐng)導(dǎo)和嘉賓有:中國信息協(xié)會(huì)會(huì)長何翠芹女士;中國工程院院士沈昌祥;思源科技集團(tuán)首席科學(xué)家、總規(guī)劃師李天白;北京芯盾集團(tuán)有限公司總經(jīng)理龐潼川博士;新華三信息安全技術(shù)有限公司副總經(jīng)理兼解決方案部部長曹亮;武漢綠色網(wǎng)絡(luò)信息服務(wù)有限公司CEO葉志鋼;深信服科技股份有限公司安全業(yè)務(wù)CTO郝軼;北京北信源軟件股份有限公司高級副總裁鐘力;

本次大會(huì)還有來自政府、科研院所、社會(huì)組織、平臺(tái)機(jī)構(gòu)、行業(yè)重點(diǎn)企業(yè)和媒體界的朋友們,在此我代表大會(huì)組委會(huì)對各位的光臨表示熱烈的歡迎和衷心的感謝,謝謝大家!

下面有請主辦單位的領(lǐng)導(dǎo),中國信息協(xié)會(huì)何翠芹會(huì)長為大會(huì)致開幕辭,大家歡迎。

何翠芹:尊敬的沈昌祥院士,各位領(lǐng)導(dǎo),各位來賓,同志們,朋友們,大家上午好!

由中國信息協(xié)會(huì)主辦,信息化觀察網(wǎng)、中國信息化網(wǎng),國潤互聯(lián)信息技術(shù)研究院共同承辦的2019中國網(wǎng)絡(luò)信息安全峰會(huì)今天隆重召開!

本次會(huì)議非常榮幸邀請到政府相關(guān)部門的領(lǐng)導(dǎo),眾多具有影響力的專家和學(xué)者,以及來自信息化領(lǐng)域一線服務(wù)機(jī)構(gòu),科研院所和企業(yè)的代表。在此我謹(jǐn)代表中國信息協(xié)會(huì),向各位領(lǐng)導(dǎo)和嘉賓的光臨表示誠摯的歡迎,向給予大會(huì)支持的各大機(jī)構(gòu)表示衷心的感謝!

1月21日,在省部級主要領(lǐng)導(dǎo)干部堅(jiān)持底線,防范化解重大風(fēng)險(xiǎn)專題研討班開幕式上,習(xí)近平總書記強(qiáng)調(diào)指出:我們必須把防風(fēng)險(xiǎn)擺在突出位置,力爭不出現(xiàn)重大風(fēng)險(xiǎn)或在出現(xiàn)重大風(fēng)險(xiǎn)時(shí)抗得住,過得去。

隨著以互聯(lián)網(wǎng)為主體的網(wǎng)絡(luò)空間成為人類社會(huì)生產(chǎn)、生活的新空間,網(wǎng)絡(luò)空間已經(jīng)成為防范重大風(fēng)險(xiǎn)的重點(diǎn)領(lǐng)域。當(dāng)前,網(wǎng)絡(luò)空間牽一網(wǎng)促全局的地位日益突出,習(xí)近平總書記強(qiáng)調(diào)防范化解的政治、意識(shí)形態(tài)、經(jīng)濟(jì)、科技、社會(huì)、外部環(huán)境、黨的建設(shè)等領(lǐng)域重大風(fēng)險(xiǎn),哪一類都與網(wǎng)絡(luò)空間密不可分,可謂無網(wǎng)而不顯,無網(wǎng)而不勝。

網(wǎng)絡(luò)安全和信息化是一體之兩翼,驅(qū)動(dòng)之雙輪,但在國家戰(zhàn)略層面安全問題顯然更重要,更緊迫,在全球互聯(lián)網(wǎng)普及超過1/3,人類開始進(jìn)入大數(shù)據(jù)和云計(jì)算的環(huán)境下,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)空間安全已超越主導(dǎo)和控制著現(xiàn)實(shí)空間安全。

幾十年來,我們在信息化方面成績顯著,但在網(wǎng)絡(luò)安全方面,我們與美國的差距不但沒有縮小,還有所擴(kuò)大。斯洛登事件提示著美國對全球網(wǎng)絡(luò)全球的掌控程度,及整體布局能力遠(yuǎn)超我們原先的估計(jì)。當(dāng)今世界,網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出,并日益向政治、經(jīng)濟(jì)、文化、社會(huì)、生態(tài)、國防等領(lǐng)域傳導(dǎo)滲透,網(wǎng)絡(luò)強(qiáng)國的標(biāo)志是國家關(guān)鍵基礎(chǔ)設(shè)施具備完善的防御能力,互聯(lián)網(wǎng)產(chǎn)業(yè)具備強(qiáng)大的全球競爭力,網(wǎng)絡(luò)安全領(lǐng)域和軍事領(lǐng)域具備足夠的威懾力。

但,短期內(nèi),我們的目標(biāo)還是加強(qiáng)內(nèi)功,加緊補(bǔ)課,盡快形成一定與能力。尤其是爭取在最短時(shí)間內(nèi)能保住要害部門,及時(shí)偵測被攻擊,初步建立關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全體系,初步形成自主可控的能力,聰者聽于聲,明者鑒于行,只有堅(jiān)持底線思維,保持清醒死腦,下好先手棋,打好主動(dòng)仗,主動(dòng)調(diào)動(dòng)企業(yè)、學(xué)界、社會(huì)和民間等各層次力量,才能徹底維護(hù)網(wǎng)絡(luò)安全,為網(wǎng)信事業(yè)筑牢根基,才能更符合發(fā)展需要和時(shí)代趨勢。

中國信息協(xié)會(huì)一直關(guān)注信息安全行業(yè)的發(fā)展和相關(guān)技術(shù)應(yīng)用,致力于服務(wù)信息安全界的廣大用戶,多年來學(xué)會(huì)在主管單位的指導(dǎo)下,在我國信息安全行業(yè)發(fā)展、戰(zhàn)略、方針政策、法律法規(guī)、管理體制等方面向政府和有關(guān)領(lǐng)導(dǎo)機(jī)構(gòu)多次提出申請建議,促進(jìn)了信息安全基礎(chǔ)設(shè)施建設(shè)和信息安全行業(yè)資源的分享和利用。

我們認(rèn)為,信息安全體系經(jīng)過多年的發(fā)展,系統(tǒng)防護(hù)水平不斷提高,系統(tǒng)也越來越龐大,成績有目共睹。但,從另一方面而言,還必須看到大數(shù)據(jù)環(huán)境下,我們治理體系和治理能力和現(xiàn)代化的不足,必須從網(wǎng)絡(luò)空間蘊(yùn)含的生產(chǎn)力,國防力,文化力的全面視角積極應(yīng)對,重視網(wǎng)絡(luò)安全,警惕網(wǎng)絡(luò)核武,網(wǎng)絡(luò)冷戰(zhàn),網(wǎng)絡(luò)顛覆,網(wǎng)絡(luò)安全需要思考新架構(gòu),網(wǎng)絡(luò)安全需要聚焦新技術(shù),網(wǎng)絡(luò)安全需要塑造新生態(tài)。目前大數(shù)據(jù)成為核心資源,大感知成為當(dāng)務(wù)之急,大安全成為時(shí)代趨勢。

我們亟待激發(fā)中華文明的大智慧,擁有至關(guān)重要的大數(shù)據(jù),經(jīng)歷跨越新時(shí)的大空間,形成軍民融合的大格局,撬動(dòng)力量資源的大投入,塑造自主可控的生態(tài),支撐國家治理的大體系,發(fā)展網(wǎng)絡(luò)安全的大產(chǎn)業(yè),完成網(wǎng)絡(luò)時(shí)代的大使命。

網(wǎng)絡(luò)強(qiáng)國的建設(shè)不是一蹴而就的,它也是要爬雪山過草地,排除萬難才能贏得三軍過后盡開顏,現(xiàn)在黑客攻擊屢屢,個(gè)人信息屢造泄露,在成為網(wǎng)絡(luò)強(qiáng)國的道路上,我們?nèi)孕璋僬鄄粨?,克服困難的長征精神去迎接一個(gè)個(gè)不易攀爬的雪坡。泥濘的沼澤去面對一切的困難,中國網(wǎng)絡(luò)信息安全峰會(huì)已經(jīng)成功舉辦三屆,我們希望借助峰會(huì)這個(gè)平臺(tái),在要安全的同時(shí)充分發(fā)揮維護(hù)安全的責(zé)任,通過深入交流,深度對話,深入研討,啟發(fā)業(yè)界網(wǎng)絡(luò)信息安全的破冰思維,解讀如何通過創(chuàng)新技術(shù),發(fā)現(xiàn)解決當(dāng)今網(wǎng)絡(luò)信息安全領(lǐng)域存在的迫切需求,技術(shù)難題和產(chǎn)業(yè)發(fā)展痛點(diǎn),從而進(jìn)一步推動(dòng)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)的健康發(fā)展。

最后,預(yù)祝2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)取得圓滿成功,謝謝大家!

主持人 傅博巖:非常感謝何翠芹會(huì)長的精彩致辭,中國信息協(xié)會(huì)和國家發(fā)改委,多年來高度關(guān)注中國的信息化進(jìn)程,特別是在網(wǎng)絡(luò)和信息安全領(lǐng)域做了很多工作,剛才何會(huì)長在致辭當(dāng)中提出了我們目前所面臨的嚴(yán)峻信息安全形勢,對今后的工作方向也做了描述,再次謝謝何會(huì)長。

下面有請中國工程院院士沈昌祥帶來數(shù)字經(jīng)濟(jì)時(shí)代的機(jī)遇與網(wǎng)絡(luò)安全的主題演講,大家歡迎。

沈昌祥:各位領(lǐng)導(dǎo),各位來賓,今天利用20分鐘時(shí)間講講數(shù)字經(jīng)濟(jì)的安全問題。

機(jī)遇與挑戰(zhàn),十九大指出我們國家要建設(shè)現(xiàn)代化經(jīng)濟(jì)體系,一個(gè)方面要深化供給側(cè)結(jié)構(gòu)性改革,要發(fā)展大數(shù)據(jù)、互聯(lián)網(wǎng)、人工智能等等。第二個(gè)要促進(jìn)我國產(chǎn)業(yè)向全球價(jià)值鏈高端的發(fā)展,更重要的是加快建設(shè)創(chuàng)新性國家,要建立數(shù)字中國。

這是機(jī)遇,但是給我們很大的挑戰(zhàn)是數(shù)據(jù)安全問題,大家都說大數(shù)據(jù),什么是大數(shù)據(jù)?我們站在數(shù)據(jù)科學(xué)的角度來認(rèn)識(shí),當(dāng)然人類有文明之后就有了數(shù)據(jù),后來計(jì)算機(jī)出現(xiàn)之后用計(jì)算機(jī)來處理數(shù)據(jù),實(shí)現(xiàn)智能化處理,也促進(jìn)了工業(yè)產(chǎn)業(yè)的智能化,當(dāng)時(shí)還是數(shù)字計(jì)算為主的,最有代表性的數(shù)字處理是文件系統(tǒng)。

后來多媒體出來之后數(shù)字量很大,軟件系統(tǒng)很難處理,因此出現(xiàn)了關(guān)系數(shù)據(jù)庫,用關(guān)系來進(jìn)行融合與存儲(chǔ)提高了效率,后來又有了數(shù)據(jù)倉庫,這叫數(shù)據(jù)工程,使產(chǎn)業(yè)能夠數(shù)字化表達(dá),數(shù)字作為工具。現(xiàn)在不是了,數(shù)據(jù)已經(jīng)變成為資源財(cái)富,因此大量數(shù)據(jù)被浪費(fèi)掉,基本上滿地都是數(shù)據(jù),數(shù)據(jù)量很大,海量數(shù)據(jù),存不下就浪費(fèi)了,應(yīng)該把這些數(shù)據(jù)作為生產(chǎn)的要素收集起來再處理,作為新的生產(chǎn)力,這就使得產(chǎn)業(yè)智能化,或者給直白一點(diǎn)兒的說數(shù)字產(chǎn)業(yè)化。

這里頭有很多問題,我們要弄清楚什么叫大數(shù)據(jù),特點(diǎn)是什么,數(shù)據(jù)量大,海量就是大數(shù)據(jù),這可能不對。我們說李克強(qiáng)總理在2016年貴陽世界大數(shù)據(jù)峰會(huì)的報(bào)告里講,什么是大數(shù)據(jù)?大數(shù)據(jù)是鉆石礦,鉆石礦是大量廢料廢礦里找鉆石,而不是數(shù)據(jù)量大。這樣看來,我們可以用四個(gè)特點(diǎn)來概括,一個(gè)要找鉆石,是多源異構(gòu),各種各樣的都要采。第二個(gè)亂七八糟的攪在一塊,是非結(jié)構(gòu)化。第三個(gè),像這樣的數(shù)據(jù)本身價(jià)值度很低,因此說大數(shù)據(jù)價(jià)值很低,丟一些不要緊,采礦,礦石丟一卡車礦石有什么了不起,再采一個(gè)就行了。因此有快進(jìn)快出,大家一說大數(shù)據(jù)要建立非常巨大的數(shù)據(jù)中心,這不對。我們形象的比喻是數(shù)據(jù)垃圾,數(shù)據(jù)廢料收集起來再處理,就能獲得寶貝,兩個(gè)寶貝,一個(gè)是知識(shí)智慧,第二個(gè)是本身規(guī)律。

因此我們怎么對著這樣的過程呢?有網(wǎng)絡(luò)安全、系統(tǒng)安全、設(shè)備安全、還有個(gè)人設(shè)備安全供應(yīng)鏈安全。大數(shù)據(jù)也好,數(shù)字經(jīng)濟(jì)也好,源頭在哪里?傳感器,2016年10月21日美國東海岸發(fā)生了世界上癱瘓面積最大的,時(shí)間最長,6個(gè)多小時(shí),分布式拒絕服務(wù)攻擊,什么意思呢?因?yàn)槲锫?lián)網(wǎng)破壞者這個(gè)病毒攻擊攝像頭,美國東海岸的攝像頭,沒有破壞攝像頭本身的功能,上面安個(gè)攝像頭,互聯(lián)網(wǎng)就堵塞了,很脆弱。是誰生產(chǎn)的?是中國杭州制造的,但不能怪中國,因?yàn)檫@些設(shè)備沒有安全指標(biāo)的,可見這個(gè)病毒還是挺客氣的,馬上他們宣布永遠(yuǎn)拒絕服務(wù)攻擊,很簡單,把攝像頭切了,你恢復(fù)都恢復(fù)不了,如果沒有保障,物聯(lián)網(wǎng)數(shù)字社會(huì)的一切都是空的,數(shù)字更是這樣。

數(shù)字被破壞,數(shù)字被勒索案例很多了,更為嚴(yán)重的2017年5月12,這一天是我們世界“一帶一路”峰會(huì)召開前一天,這個(gè)病毒很厲害,一天就把世界150多個(gè)國家重要的系統(tǒng),教育、交通、醫(yī)療、能源等等,數(shù)據(jù)被勒索了,什么叫勒索呢?加密是我們安全保護(hù),他利用一個(gè)手段把數(shù)據(jù)加密了,只有他能用,你就不能用了,而且告訴你加密了,這個(gè)病毒現(xiàn)在還在繼續(xù)泛濫,不斷的變型,去年8月3號(hào)臺(tái)灣的臺(tái)積電是世界上集成電路的巨頭,幾個(gè)小時(shí)內(nèi)把臺(tái)積電的臺(tái)北、臺(tái)中、臺(tái)南全停擺了,損失巨大。如果說不解決安全問題,一切見空,那怎么辦呢?怎么叫網(wǎng)絡(luò)安全呢?

我給大家交流,網(wǎng)絡(luò)安全現(xiàn)在一級學(xué)科是我?guī)ь^申報(bào)的,一級學(xué)科不能簡單的殺病毒,防火墻就可以了,有深厚的基礎(chǔ)理論,所以我叫科學(xué)的網(wǎng)絡(luò)安全觀。以法律為準(zhǔn),我們要有法律依據(jù),網(wǎng)絡(luò)安全法第16條,國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃,加大投入、扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項(xiàng)目,支持網(wǎng)絡(luò)安全技術(shù)的研究和應(yīng)用。請注意,像推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),沒有講自主可控,不僅法律要這樣講,我們國家公布的戰(zhàn)略,網(wǎng)絡(luò)攻堅(jiān)戰(zhàn)略,加快安全可信的產(chǎn)品推廣應(yīng)用,法律戰(zhàn)略。我們還要發(fā)布2.0重要的標(biāo)準(zhǔn),把安全可信產(chǎn)品和服務(wù)作為基本的要求,來實(shí)行中國信息系統(tǒng),關(guān)鍵基礎(chǔ)設(shè)施的安全保證。

為什么這么說呢?談安全風(fēng)險(xiǎn)實(shí)質(zhì)的時(shí)候,實(shí)質(zhì)是人民認(rèn)識(shí)科學(xué)問題,實(shí)際IT系統(tǒng)大家都做過,邏輯組合是非常復(fù)雜,是發(fā)散的,因此我們現(xiàn)在只把有限的完成計(jì)算任務(wù),工程任務(wù)有關(guān)的邏輯組合起來,沒有關(guān)系就不處理了,因此存在大量邏輯組合不全的缺陷,怎么辦呢?我們提出了相對的安全目標(biāo)叫免疫,能保障健康的生活與工作是可以的,因此我們的安全目標(biāo)中相對的是確保為完成計(jì)算任務(wù)的邏輯組合不被篡改,不被破壞,能實(shí)現(xiàn)正確的計(jì)算。

去年8月23號(hào)晚上,中央電視臺(tái)二頻道,中國軍事大講堂我講了一個(gè)小時(shí)的課,名叫離開封堵查殺,日和保證網(wǎng)絡(luò)安全。封堵查殺體現(xiàn)了老三樣,殺病毒、防火墻、入侵檢測,這個(gè)也是很實(shí)在的,我們在邏輯上沒有考慮全,相當(dāng)于剩下的還是沒有免疫系統(tǒng)一樣。怎么辦呢?設(shè)立防火墻,殺病毒,門窗隔離起來,要找漏洞,打補(bǔ)丁。這些是違背科學(xué)原理,我們還是要采用科學(xué)的手段,我們一定要從可信計(jì)算的角度去解決問題,主動(dòng)免疫可信計(jì)算是指計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù),以密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ),和人體免疫學(xué)同樣。及時(shí)識(shí)別自己和非己成分,從而破壞與排斥進(jìn)入機(jī)體的有害物質(zhì)。

因此我們要解決體系結(jié)構(gòu)問題,現(xiàn)在很可怕,制造IT系統(tǒng),人工智能,智能制造都生產(chǎn)了機(jī)器人,才能生產(chǎn)出免疫系統(tǒng),所以必須要建立雙體系結(jié)構(gòu),既有計(jì)算的部件又有防護(hù)的部件,基因是什么呢?基因是密碼,構(gòu)成免疫系統(tǒng)。

現(xiàn)在國家要求安全管理中心支持下的主動(dòng)防疫體系,安全是個(gè)體系,是個(gè)系統(tǒng),和現(xiàn)代社會(huì)一樣,我們一個(gè)單位要安全,首先辦公室要安全,邊界要有,像傳達(dá)室一樣,既要管進(jìn)去的人,誰拿出證件來,也要管出來的人,干什么?拿走東西了沒,警衛(wèi)室是可信邊界,通信安全更重要,我們從安全來講,密碼身份認(rèn)證,包括密碼加密傳輸?shù)?,安全服?wù)很重要,一個(gè)單位要安全要有保衛(wèi)單位管人和物,一個(gè)單位數(shù)據(jù)安全,保密室,我們的信息系統(tǒng)里頭也有管什么文件,什么數(shù)據(jù),什么級別,什么人處理,有人管,按照管理權(quán)限。一個(gè)單位安全有辦公室,完善攝像頭,我們系統(tǒng)里有審計(jì),審計(jì)點(diǎn)相當(dāng)于攝像頭一樣。很好理解,這是我們等級保護(hù)的基礎(chǔ)設(shè)計(jì)要有的框架,希望大家按照體系框架去理解,去做,這樣能保證網(wǎng)絡(luò)化基礎(chǔ)設(shè)施、云計(jì)算、大數(shù)據(jù)、工業(yè)控制、物聯(lián)網(wǎng)等不被篡改,然后做到攻擊者進(jìn)不去,進(jìn)去了干不了事,即便拿到之后做了加密也看不懂,你想篡改沒有門,改不了。異常情況及時(shí)發(fā)現(xiàn)處理,不會(huì)產(chǎn)生嚴(yán)重后果,更重要的是賴不掉,這樣對所有的病毒,只要我們可信保障做到了,所有病毒一一驗(yàn)證,不能打補(bǔ)丁,全部滅殺。

用可用計(jì)算能構(gòu)筑什么樣的保衛(wèi)體系,中國的可信計(jì)算是創(chuàng)新發(fā)展的,我1990年提出免疫這個(gè)概念,1992年立項(xiàng),1995年通過評測和鑒定。我1995年鑒定的時(shí)候是經(jīng)過測試的,一個(gè)公鑰密碼,身份認(rèn)證,對稱密碼,存儲(chǔ)加密。第二,智能控制與安全執(zhí)行雙重體系結(jié)構(gòu)。第三,環(huán)境免疫抗病毒原理。第四,數(shù)字定義的策略對用戶完全透明,和我們巡視組一樣,到單位去按照黨的方針政策,是紅頭文件。

我們這個(gè)技術(shù)廣泛應(yīng)用于基礎(chǔ)設(shè)施,中長期發(fā)展規(guī)劃,還沒過期,以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn),開發(fā)網(wǎng)絡(luò)安全技術(shù)及相關(guān)產(chǎn)品,建立網(wǎng)絡(luò)安全技術(shù)保障體系。我們這個(gè)技術(shù)用的很廣泛,可信計(jì)算應(yīng)用于國家重要信息系統(tǒng),如二代身份證,票據(jù)等。

有東西嗎?我們東西很多了,有完整的主機(jī),還有PCI卡,構(gòu)成統(tǒng)一的可信體系。我們等級保護(hù)要求,一級,二級,三級都要用可信支撐,這樣就能解決等級保護(hù)問題,現(xiàn)在所謂的都是馬后炮,你們心中有數(shù),從等級保護(hù)的要求,從兩維出發(fā),我們大數(shù)據(jù),數(shù)據(jù)處理,符合我前面講的防御體系。受到從數(shù)據(jù)采集源頭,采集完了之后打包送到匯集區(qū),然后進(jìn)行變化處理分離以后,處理到云計(jì)算處理中心,以云計(jì)算為支撐的,把數(shù)據(jù)清理了,清洗了,慢慢結(jié)構(gòu)化,然后用數(shù)據(jù)庫,原來的數(shù)據(jù)挖掘方法進(jìn)一步開發(fā),變成為商品、產(chǎn)品,現(xiàn)在等級保護(hù)要求非常明確。

例子也很多了,我舉兩個(gè)例子,一個(gè)是中央電視臺(tái),現(xiàn)在是全數(shù)字化網(wǎng)絡(luò)平臺(tái),敞開的網(wǎng)絡(luò)下是靠可信計(jì)算,剛才講了2017年5月12號(hào)勒索病毒我們頂住了,這個(gè)塔臺(tái),電視臺(tái)有600多臺(tái)數(shù)據(jù)服務(wù)器,流程很復(fù)雜,某一個(gè)環(huán)節(jié)出問題整個(gè)就死掉,這么嚴(yán)重的情況下我們用可信計(jì)算解決了安全,構(gòu)建了可信可控可管。

基礎(chǔ)設(shè)施電網(wǎng),電網(wǎng)里頭最重要的是調(diào)度系統(tǒng),委內(nèi)瑞拉在水電站,電網(wǎng)被攻擊以后癱瘓了好幾天,影響了很多,我們國家很重視,發(fā)改委14號(hào)令要求以可信計(jì)算構(gòu)架實(shí)現(xiàn)等級保護(hù)四級。我們有特點(diǎn),一個(gè)是實(shí)時(shí)響應(yīng),實(shí)時(shí)處理,能夠滿足結(jié)構(gòu)要求。第二個(gè)是不打補(bǔ)丁,抗病毒。第三個(gè)是不改代碼,改代碼是不對的,我們不改代碼。四千多萬個(gè)代碼,我們改得了嘛。然后精練消腫,應(yīng)該說這個(gè)技術(shù)已經(jīng)長時(shí)期應(yīng)用于軍民融合,希望大家努力把中國的大數(shù)據(jù),數(shù)字經(jīng)濟(jì),用可信計(jì)算來支撐,發(fā)展我們數(shù)字經(jīng)濟(jì),謝謝大家。

主持人 傅博巖:非常感謝沈昌祥院士精彩的報(bào)告,沈院士是我們中國信息網(wǎng)絡(luò)安全領(lǐng)域的泰斗,幾十年來一直站在信息安全的第一線,為我們國家的信息安全、網(wǎng)絡(luò)安全奔走伯勞,特別是提出的可信計(jì)算,不僅僅是理論創(chuàng)新,而且在實(shí)踐中有非常多,而且有越來越多的應(yīng)用,所以今天我們的會(huì)議能夠請到沈院士出席并作報(bào)告,這也是我們一個(gè)非常高興,非常榮幸的事情。

區(qū)塊鏈作為下一代互聯(lián)網(wǎng)的基礎(chǔ)性技術(shù),不僅與大數(shù)據(jù)、云計(jì)算、人工智能等產(chǎn)生緊密聯(lián)系,更是由于能夠廣泛的與金融、法律、科技、管理、環(huán)保、能源等應(yīng)用場景廣泛結(jié)合,成為數(shù)字經(jīng)濟(jì)發(fā)展的重要技術(shù)基礎(chǔ),因此數(shù)字經(jīng)濟(jì)與區(qū)塊鏈之間的關(guān)系呈現(xiàn)出一種表與里的聯(lián)系。下面有請思源科技集團(tuán)首席科學(xué)家,總規(guī)劃師李天白帶來用數(shù)字細(xì)胞技術(shù)全面推進(jìn)區(qū)塊鏈技術(shù)應(yīng)用的主題分享,大家歡迎。

李天白:非常有幸緊跟著沈院士的話題討論下去,我們關(guān)注的技術(shù)領(lǐng)域也是可信計(jì)算,思源對大家來講相對陌生,思源從2014年到現(xiàn)在基本上投入了十幾億自己的資金投入可信計(jì)算的研發(fā),在我們這個(gè)地方這些年逐漸取得了一些技術(shù)成果和理論上的探索,希望借這個(gè)會(huì)議跟大家一起分享一下我們基于可信計(jì)算語義內(nèi)的思考,以及我們具體做出來的產(chǎn)品,讓大家對整個(gè)信息安全領(lǐng)域里是非還有一些可能性的探索,共同的建立這樣一個(gè)話題。

我們主導(dǎo)的概念就是自主安全與可信這三個(gè)核心話題,所謂的自主,也就是說區(qū)塊鏈技術(shù)帶來了一個(gè)最重要的概念就是把剛才沈博士講的密碼的基因,密碼的私鑰管理權(quán)完全放在個(gè)人手里,或者是用戶手里,或者是客戶手里,講的是自主使用權(quán)利,而傳統(tǒng)的任何IT系統(tǒng)大多數(shù)的建設(shè)方針是中心化,去中心和自主正好是一個(gè)配對的概念,用一個(gè)中心的驗(yàn)證系統(tǒng)來驗(yàn)證用戶,用分別權(quán)限的方法使用數(shù)據(jù),這種方法天生的帶來大量的安全隱患,也就是今天我們面臨的很多安全隱患是范式本身造成的,而并不是說我們在系統(tǒng)里跟沈院士講的,剛才說我們采取查病毒,打補(bǔ)丁,防火墻,這一系列措施是源于這個(gè)基礎(chǔ)范式的差異所帶來的根本性的問題。如果改變范式本身,網(wǎng)絡(luò)安全就變成另外一個(gè)話題。

我們簡單說一下現(xiàn)在所面臨的問題,第一個(gè)就是去中心應(yīng)用,剛才咱們說的自主框架下管理密碼學(xué)基礎(chǔ)的應(yīng)用成為全球的潮流和趨勢,也是解決安全問題,剛才說可信計(jì)算的基石性的概念。未來的計(jì)算不得不向這個(gè)方向轉(zhuǎn)換,隨著計(jì)算設(shè)備廣泛的深入網(wǎng)絡(luò),物聯(lián)網(wǎng)可能不是人的數(shù)量進(jìn)入計(jì)算,傳統(tǒng)大概人是計(jì)算主體,或者服務(wù)是計(jì)算主體,物聯(lián)網(wǎng)如果介入可能有幾千億自主計(jì)算結(jié)點(diǎn)介入到網(wǎng)絡(luò),這種概念下傳統(tǒng)基于中心式認(rèn)真模型都會(huì)面臨基礎(chǔ)性的問題,這些思路里,如何安全的交換數(shù)據(jù),如何去有效的隱私化的保證的情況下去分享數(shù)據(jù),這兩個(gè)框架應(yīng)該成為一個(gè)核心的話題。

傳統(tǒng)的區(qū)塊鏈,現(xiàn)在可以叫傳統(tǒng)的區(qū)塊鏈了,區(qū)塊鏈技術(shù)又天生有兩個(gè)問題亟待解決,一個(gè)是直覺性,所謂操作的直觀性,用起來直觀性相對來講非常之弱。第二,環(huán)保,綠色性相對非常不足,一個(gè)比特幣的計(jì)算資源耗盡了亞馬遜、臉書、谷歌云計(jì)算資源的能源之總和,為了挖礦這三家公司提供的云計(jì)算電能消耗量不及一個(gè)比特幣的挖礦消耗機(jī),必須要改變?nèi)ブ行?,首先是必然的趨勢,但是現(xiàn)在的范式,或者說沿著現(xiàn)有的POS,POW的范式下進(jìn)行互動(dòng)操作也是不合適的,為了解決這些問題,我們逐漸的形成了一些新的思路。

什么是dapp,簡單做一個(gè)概述,實(shí)際上就是公司鑰盾,第二就是云知識(shí)驗(yàn)證,通過簽名,解決數(shù)字簽名證明沈院士講的可追溯,可加密,可確認(rèn),不可篡改等等一系列的特性。第三是講端到端,用戶的服務(wù)結(jié)點(diǎn)直透性,我用他,我給誰,這是一個(gè)端到端,不是一個(gè)客戶端到服務(wù)器中轉(zhuǎn)的概念,是一個(gè)直達(dá)用戶,直達(dá)兩個(gè)連接點(diǎn)的概念。密碼學(xué)的要素導(dǎo)致了如果我向一個(gè)端到端加密用你的公鑰加密你的數(shù)據(jù),只能用私鑰解開,不能有中間的防火墻或者過濾率攔截這個(gè)東西,攔截也沒有用。區(qū)塊鏈也是重要的關(guān)于簽名技術(shù),我們圍繞著這樣的啟發(fā)和整個(gè)產(chǎn)業(yè)趨勢,實(shí)際上這種技術(shù)可以延展到更多的領(lǐng)域,更多的實(shí)驗(yàn)方法。

自主,簡單的道理,就是私鑰要放在真正的擁有者,我產(chǎn)生數(shù)據(jù),或者是我的數(shù)據(jù),我的數(shù)據(jù)如果用我的公鑰加密,私鑰可以確保一定在我的手上,不在任何人手上,不可能放到任何中心結(jié)點(diǎn)上,才能確保我的簽名,也就是我自己的簽名,因?yàn)橹灰魏我粋€(gè)別的結(jié)點(diǎn)可以去托管,這件事情從法理上已經(jīng)不符,沒法去確認(rèn)你對這個(gè)東西主權(quán)的聲明和確認(rèn)。

第二,我們講的是用簽名來進(jìn)行驗(yàn)證權(quán)利,簽名替代了傳統(tǒng)我們用特征方法,不管是單因子還是多因子的確權(quán)方式,就是傳統(tǒng)的ID+密碼,或者是你加個(gè)手機(jī)驗(yàn)證,加個(gè)指紋等等,都是多因子驗(yàn)證,是帶著生物特征的,生物特征的驗(yàn)證方式都是相對來講并不安全,而且可以存在著任何劫持和重造的概念,我劫持了你的指紋可以用下一個(gè)設(shè)備模擬你。私鑰的特性是不一樣,沒法從中間截取到任何,中間沒有驗(yàn)證的過程,只有驗(yàn)簽和解簽的過程,這個(gè)過程確保了特征不可能被截取掉。

云存儲(chǔ),實(shí)際上剛才我們說任何數(shù)據(jù)放在云里如何確保安全,如果私鑰放到手里,用公鑰加密的數(shù)據(jù)隨便放到云上,沒人可以破解你的信息,就確保整個(gè)數(shù)據(jù)可信性和確認(rèn)性的問題。明文其實(shí)很好,任何計(jì)算,最后如果能處理一定是明文的,明文只能是運(yùn)行在一個(gè)運(yùn)行中的砂箱里,這個(gè)閘口不得不釋放出來,只要是保證安全運(yùn)行狀態(tài)下是明文的,這個(gè)數(shù)據(jù)在中間的傳輸以及共享過程中就不可能被破壞。

為了讓整個(gè)技術(shù)得以廣泛的使用,就必須解決另外一個(gè)非常擾人的問題,在驗(yàn)證體系里,雖然說數(shù)字簽名這種方法非常行之有效,但這里面有一個(gè)重要的話題必須要解決,也就是說我們可以用公鑰確定一個(gè)使用者,或者是一個(gè)用戶的身份。我怎么去驗(yàn)證他有私鑰,任何一個(gè)方法,我們最簡明的驗(yàn)證是我給你出道題,我出題我知道題目,你用你的私鑰,因?yàn)楣借€正好是對稱的算法,你用私鑰做一次加密我給你,我用公鑰去解是不是這道題,如果是就證明你持有私鑰,如果不是就證明你完全不持有私鑰,這是在數(shù)字簽名里一個(gè)最簡明的方法。

但是,這里面出了一個(gè)問題,這個(gè)challenge,怎么給你出這道題,出這道題是一個(gè)非常復(fù)雜的工程結(jié)構(gòu)的概念,我簽名很容易,怎么出題是個(gè)大問題,涉及到一次交互,我給你出題,你也得證明是我給你出的題,一來一往叫交互式驗(yàn)證簽名,如何實(shí)現(xiàn)我一次請求就把這個(gè)事情做完,不需要你出題我也能證明我就是我,或者我持有私鑰,做到這一點(diǎn)和真正做到非交互證明,這個(gè)技術(shù)一旦實(shí)現(xiàn)就帶來一個(gè)非常巨大的效益,就是我們?nèi)魏蔚木W(wǎng)絡(luò)請求是可以一次請求就可以跟任何的服務(wù)結(jié)點(diǎn)取得一個(gè)可信的連接,而這個(gè)連接就不需要消耗大量的網(wǎng)絡(luò)資源,不需要消耗過多的網(wǎng)絡(luò)規(guī)則,因?yàn)橐?guī)則制定成本和相互之間的成本都是非常之高的東西。

第二,也帶來安全隱患,只要出題,出題之前不可能建立一個(gè)可信的信道,這個(gè)信道只要是不可信的,就可能被攔截篡改劫持,也就是說這就是個(gè)安全的話題,同時(shí)也是個(gè)綠色和可用的基本話題。為了解決這個(gè)問題,必須要解決掉一個(gè)最重要的概念,就是非交互式的證明的解決范式,有了這個(gè)范式實(shí)際上整個(gè)去中心化應(yīng)用才可以得到最廣泛的使用和最恰當(dāng)?shù)氖褂梅椒ā?/p>

我們后來發(fā)現(xiàn)這個(gè)問題是可以解決的,去年以色列整個(gè)信息安全大會(huì)圍繞的核心話題就是非交互式驗(yàn)證,這是個(gè)全球都在試圖解決的核心應(yīng)用于可信計(jì)算領(lǐng)域關(guān)鍵的技術(shù)話題,我們在這里面做了一個(gè)思考,發(fā)現(xiàn)了一個(gè)事情,解決的答案在問題里面,為什么這么講?因?yàn)樵浦R(shí)證明,如果從純科學(xué)的角度來講是寬泛的概念,如果應(yīng)用到數(shù)據(jù)安全這個(gè)領(lǐng)域問題就得解了,因?yàn)楹芎唵?。如果把任何一個(gè)數(shù)據(jù),數(shù)據(jù)是多維度的,有發(fā)送者,有接受者,有產(chǎn)生的時(shí)間,有數(shù)據(jù)本體,和一些我們要去送達(dá)的目標(biāo),在網(wǎng)絡(luò)上有一個(gè)網(wǎng)絡(luò)上的特征,我要送達(dá)的地址,等等這一系列,包括我設(shè)備本身,這一系列構(gòu)成了完整多維的信息,而這個(gè)信息天生的就具備著不會(huì)重復(fù),多樣性和指向性。

如果說我們做一個(gè)簡單的道理對結(jié)構(gòu)化數(shù)據(jù)直接遷移,我本身叫傳遞數(shù)據(jù),數(shù)據(jù)本身就是需要結(jié)構(gòu)化的,對這個(gè)結(jié)構(gòu)本身的簽名實(shí)際下就等同于這個(gè)challenge,我出數(shù)據(jù)的時(shí)候也給我自己出了一道題,我自己也答了這個(gè)題,這個(gè)過程中得到了最簡明的方法,這個(gè)方法就是用數(shù)據(jù)本身解決數(shù)據(jù)自己的問題,自問自答。

有了這樣的技術(shù)之后,我們?yōu)檫@個(gè)東西做了一個(gè)工程上實(shí)際使用的工程范式和具體工作實(shí)踐,建造了一個(gè)CDTP的協(xié)議,密碼學(xué)的數(shù)據(jù)交換協(xié)議,大家可以看里面的結(jié)構(gòu)就是這樣去實(shí)現(xiàn)的,首先任何的計(jì)算,基于dapp的計(jì)算都是要先聲明算法,因?yàn)槊總€(gè)算法不一樣,產(chǎn)生的公私鑰的算法不一樣,如果基于不同算法兩者之間完全不能通訊,為了能夠得到廣泛的使用,第一個(gè)在位置要聲明自己使用的是哪一套,第二個(gè)是設(shè)備的指紋,設(shè)備指紋完全可以用公私鑰的方法把公鑰和私鑰加密的結(jié)果放在可信的安全基因,就是TSB上面,可以形成一個(gè)穩(wěn)定的設(shè)備指紋。接著是發(fā)送者的公鑰和DIS一樣的,我們現(xiàn)在所采用的大部分定制方法,方法可以隨意聲明的,大家可以在網(wǎng)絡(luò)上用配套名指向下一個(gè)服務(wù)的方法。

還有接受者的公鑰也在這里聲明,就是給你發(fā)的,不是給別人發(fā)的。還有一個(gè)是路由器識(shí)別的指令,這個(gè)東西到底需要寄存,轉(zhuǎn)發(fā),還是其他的指令。剩下是發(fā)送者的時(shí)間窗,你可以自己去定義,主要用于防存放,如果你要重復(fù)播放這個(gè)東西,可以拒絕這個(gè)服務(wù),拒絕你這個(gè)信息點(diǎn)

還有把具體的信息送達(dá)到哪里,中間的路由器可以把你的信息送達(dá)到指定的位置,下面是具體要傳輸?shù)臄?shù)據(jù),還有數(shù)據(jù)本身的加密方法,如果純用端到端加密到大數(shù)據(jù)來說不太現(xiàn)實(shí),按照法律的要求不允許你加密,這個(gè)數(shù)據(jù)一個(gè)是加密范式,如果完全用于可信計(jì)算就完全是端到端加密,這樣才能做到可信,必須符合這種規(guī)則才能讓你進(jìn)行交互。

最后是發(fā)送者拿自己的私鑰對上面的結(jié)構(gòu)進(jìn)行一次完整的簽名,一旦達(dá)成這樣一個(gè)東西,首先是一個(gè)數(shù)據(jù)分裝協(xié)議,這個(gè)數(shù)據(jù)包一旦誕生,就產(chǎn)生了一個(gè)重要的后果,這條數(shù)據(jù)已經(jīng)完全不可篡改,只要?jiǎng)右稽c(diǎn)兒東西就可以證明數(shù)據(jù)被動(dòng)了,而且也不是你的數(shù)據(jù),別人也解不開包,發(fā)送者也無可抵賴,只要產(chǎn)生簽名,你只要拿著私鑰,沒有給別人,這很簡單,只能是你造出來的數(shù)據(jù),不能是別人造出來的,通過這個(gè)協(xié)議,跟剛才沈院士講的道理是一樣的,實(shí)現(xiàn)了一個(gè)基礎(chǔ)的可信計(jì)算的單元,這個(gè)單元可以細(xì)顆粒到信息本身,任何一種信息都可以用這種方法構(gòu)造,不管是微波傳輸還是用有線傳輸,信號(hào)是物體載體,無法破壞數(shù)據(jù)本身,數(shù)據(jù)已經(jīng)脫離信道的概念而獨(dú)立存在了,不管是物理存儲(chǔ)還是用各種方法存儲(chǔ),數(shù)據(jù)本身由于二進(jìn)制,任何進(jìn)制的特性是完全抽象的特征,就可以脫離于這些東西而建立一個(gè)非??尚诺拇鎯?chǔ)結(jié)點(diǎn),或者是使用結(jié)點(diǎn)。

一般傳統(tǒng)的安全范式都是基于信道的保全,最早大家利用了密碼學(xué)也主要是用來把信道進(jìn)行健全,實(shí)際上我們和一個(gè)服務(wù)器去取得一個(gè)交換數(shù)據(jù)的能力,標(biāo)準(zhǔn)的方法就是先建立一個(gè)connection,用一系列方法綁定一個(gè)認(rèn)證的權(quán)限把數(shù)據(jù)在這個(gè)通道里流轉(zhuǎn),不管怎么做,不管信道中間數(shù)據(jù)是否是加密還是不加密的,數(shù)據(jù)產(chǎn)生的時(shí)候并不是真正加密的,而是進(jìn)入信道中間的加密,這個(gè)過程中如果是信道,我們都知道保障體系,并沒有完整的,雖然大家現(xiàn)在去做一些規(guī)范,要求我們的協(xié)議必須是HTTPS的,這些目的是想通過更安全可認(rèn)證的方法建立一個(gè)可信的通道,但是這種技術(shù)完全擺脫了對于任何信道的依賴,這樣的話就能夠建立一個(gè)更加簡捷的安全范式,這個(gè)范式完全基于算法和密碼學(xué),是一個(gè)堅(jiān)實(shí)理論上的東西,而不是靠工程保障或者循環(huán),因?yàn)槟阒灰^度復(fù)雜的過程都會(huì)導(dǎo)致各種安全隱患,只要有任何邏輯不周就會(huì)引發(fā)下一個(gè)漏斗,如果在信息本身,在使用者和制造者之間建立一個(gè)唯一單點(diǎn)式的,甚至都不是通道,這些問題就已經(jīng)被迎刃而解了,其實(shí)信道、存儲(chǔ)都可以變得非常的開放,不在乎是什么樣的網(wǎng)絡(luò)上或者什么樣的存儲(chǔ),是一個(gè)端到端的消費(fèi)模型,而不是一個(gè)傳輸,依賴型的模型。

這種方法已經(jīng)在國家、企業(yè),包括剛才沈院士介紹的這套體系里是得到廣泛應(yīng)用的,也就是說這種東西是天然的防欺詐的,不需要去另設(shè)置防欺詐的系統(tǒng),可以建立可信計(jì)算的體系,這是一個(gè)核心的地方。在這個(gè)基礎(chǔ)上,我們做了一個(gè)crypto-passport的產(chǎn)品,中文叫密罩,是如何把私鑰寄存在一個(gè)可轉(zhuǎn)移的文件里,用戶的身份就可以在設(shè)備中遷移,這一點(diǎn)非常重要,因?yàn)槲覀內(nèi)魏斡?jì)算設(shè)備都有可能損毀,手機(jī)可能會(huì)壞掉和丟失,一個(gè)計(jì)算的服務(wù)器,因?yàn)橐蕾囉谶@個(gè)東西,服務(wù)器實(shí)際上也要配備自己的公私鑰才能有效驗(yàn)證自己是這個(gè)服務(wù)的產(chǎn)生,服務(wù)器也可能損毀,但你不能因?yàn)橐粋€(gè)服務(wù)器損毀原來的可信信道就完全喪失了,必須有一套機(jī)制可以讓私鑰在設(shè)備之間進(jìn)行遷移,而且還要鑒定在遷移過程中的合法性等等一系列的保障措施來建立一個(gè)安全的遷移的方法,這個(gè)就是密罩的方法和完整解決方案,通過這個(gè)解決方案在可信的安全基上遷移這些關(guān)鍵的認(rèn)證能力。

第二,我們也接入了一個(gè)兼容性的東西,現(xiàn)在大量的應(yīng)用,說白了大家不管是使用什么東西都是A和B打交道,有大量寄存的服務(wù),都是基于傳統(tǒng)框架開發(fā)的,但是驗(yàn)證體系完全是公私鑰,如何在之間搭一個(gè)橋,如何讓強(qiáng)認(rèn)證方法和現(xiàn)有的驗(yàn)證方法進(jìn)行完美的兼容,我們做了一整套兼容協(xié)議,這些兼容協(xié)議能夠用簡單的方法,不管是掃一下碼,還是通過一個(gè)設(shè)備,還是通過什么方式利用公私鑰更加安全的訪問現(xiàn)有的外部應(yīng)用。

后來我們做另外一個(gè)工程實(shí)踐,大家可以在搜索Crypto Mail,這個(gè)應(yīng)用實(shí)際上是一個(gè)客戶端,后面連接的服務(wù)我們叫密碼學(xué)郵箱,這個(gè)郵箱不是傳統(tǒng)的郵箱,是完全E2E的,存儲(chǔ)也不是傳統(tǒng)的郵箱存儲(chǔ),只是靠郵箱這種方法,同時(shí)通過一個(gè)兼容現(xiàn)有的郵箱,和現(xiàn)有的郵件系統(tǒng)互相傳遞信息,但本身并不是郵箱,只是整個(gè)E2E存儲(chǔ)和交換系統(tǒng)。

實(shí)際上是一個(gè)標(biāo)準(zhǔn)Data范式下的應(yīng)用,讓一個(gè)郵件地址具備的完整應(yīng)用能力,應(yīng)用不需要再去寫一個(gè)什么整體或者是完整的包,直接寄生在一個(gè)地址下就可以實(shí)現(xiàn)整個(gè)應(yīng)用完整的框架,這個(gè)框架和用戶進(jìn)行消息,基于消息和實(shí)踐驅(qū)動(dòng)的完整交互,其實(shí)是應(yīng)用體系,并不是一個(gè)完全簡單的郵件體系,我們簡單說是郵件服務(wù)更像一個(gè)MQ服務(wù),標(biāo)準(zhǔn)的內(nèi)核就是一個(gè)MQ,MQ只是說每一條信息都是E2E加密的,我消費(fèi)的時(shí)候?qū)嶋H上是開放狀態(tài)的消費(fèi),你有主權(quán)就可以消費(fèi)這個(gè)信息,同時(shí)任何的送達(dá)也是端到端加密的,這樣就可以讓兩個(gè)使用對象和提供服務(wù)的對象之間進(jìn)行完整安全的交換數(shù)據(jù)能力,所以說可以做到E2E,端到端的消息存儲(chǔ),同時(shí)我們?yōu)榱俗屗邆涓叨鹊目啥ㄖ苹?,在框架下提供了大量可定制使用能力,包括我們建了很多其他的拓展性服?wù),在這個(gè)基石上可以做一些but,可以做到可信的分發(fā)以及節(jié)群新型存儲(chǔ)體的交互和使用方法,在這個(gè)基石上可以延伸出整個(gè)外延,在各個(gè)操作系統(tǒng)下的客戶端,也就是意味著你拿客戶端是可以在服務(wù)器上,或者是在個(gè)人的PC上,任何的手機(jī)上,都可以執(zhí)行其定制化的編程和使用。

基于消息和實(shí)踐驅(qū)動(dòng)的網(wǎng)絡(luò)模型帶來了一個(gè)大的好處,和我們在自己的工程實(shí)踐中發(fā)現(xiàn)一個(gè)最大的好處,我編寫服務(wù)變得更簡單,因?yàn)槭且粋€(gè)消息驅(qū)動(dòng)的,也就是說我增長服務(wù)特性的時(shí)候只需要做一個(gè)很簡單的事情增加消息類型,再增加一個(gè)可以補(bǔ)取MQ的處理結(jié)點(diǎn),他們就可以自主不斷的延展遞升自己的處理能力,變成非常開放的框架,和互聯(lián)網(wǎng)的結(jié)合也是簡單而完美的方案。

因?yàn)槭青]件尋址的,天生就是分散的框架,需要一個(gè)MNS的服務(wù)就可以把整個(gè)體系以及把分布的東西徹底分離開,我們的基礎(chǔ)服務(wù)是開元的,大家可以驗(yàn)證其安全性,各自利用自己的系統(tǒng)就可以結(jié)成一個(gè)重大的網(wǎng)絡(luò),而不是中心化網(wǎng)絡(luò)的服務(wù)體系。

未來建造的整個(gè)框架是希望整個(gè)同行在一起,大家共同去做,我分享一些我們做的,也希望大家一起做的,因?yàn)檫@是一個(gè)很大的事情,可發(fā)展的空間很大。我們的理解里,傳統(tǒng)的軟件,在APP上能夠用到的軟件更多一個(gè)是人到人,這里面有微信,一系列的軟件支撐著人到人之間的交互以及社交性服務(wù)。還有一條線路是今天用淘寶,用各種東西建立的服務(wù),實(shí)際上我們今天逐漸在和互聯(lián)網(wǎng)建立服務(wù)能力,物聯(lián)網(wǎng)也在跟服務(wù)建立能力,實(shí)際上這是一個(gè)基本的框架,在這個(gè)框架下,由于密郵的特性可以擴(kuò)展他的能力,比如說人可以加助理,可以增加處理信息的能力,人還可以用MIT做出的模型是數(shù)字有聲,完全可以把一個(gè)人的特性活在網(wǎng)絡(luò)空間里,讓他進(jìn)行各種服務(wù)。接著物聯(lián)網(wǎng)可以用數(shù)字孿生來進(jìn)行模擬化和處理并行的數(shù)據(jù)和演示的交互,服務(wù)業(yè)可以生成出一個(gè)代理把打交道的通道直接建立起來,中間還可以建立一個(gè)標(biāo)準(zhǔn)范式,這個(gè)基礎(chǔ)上就可以構(gòu)造出一個(gè)完整的網(wǎng)絡(luò)服務(wù)能力和網(wǎng)絡(luò)交互框架。

除此之外,這個(gè)里面只解決了端到端通訊的問題,另外一個(gè)更重要的話題就是在網(wǎng)絡(luò)上如何安全,隱私化去分享信息,這正是區(qū)塊鏈擅長的,區(qū)塊鏈在這個(gè)里面并不只是賬本式的應(yīng)用,而且其中有一個(gè)最重要的啟示就是哈希證明,也就是說我的具體數(shù)據(jù)完全不需要到網(wǎng)上,但我可以在使用數(shù)據(jù)的時(shí)候證明其合法性,這是一個(gè)方面。另外,比如說我們在這次給數(shù)字城市是這樣做的,公安局認(rèn)證完了之后,你這個(gè)PK與真正的數(shù)字帶生物特征的數(shù)字文件,實(shí)際上是交給你個(gè)人的,通過一個(gè)安全的E2E的網(wǎng)絡(luò)交給你,只是這個(gè)證明的哈希值被放到網(wǎng)上,你使用的公鑰放在網(wǎng)上,公安局用他的公鑰證明你的合法性,鏈上的數(shù)據(jù)只有兩條,你有身份證,你的年齡是多大,這是最廣泛使用的場景,18歲以下不能在國外買酒,或者是多大情況下不能去購買一些東西,這個(gè)年齡是關(guān)鍵數(shù)據(jù),但不及設(shè)計(jì)到用戶隱私。阿里和其他公司在使用這個(gè)數(shù)據(jù)的時(shí)候安全不再需要,今天我們搞論壇要實(shí)名認(rèn)證,用這套系統(tǒng)完全杜絕了這個(gè)現(xiàn)象,只是一個(gè)PK,公民的信息是隱藏在后面,關(guān)鍵的時(shí)候才能使用,比如說辦一個(gè)證照有可能會(huì)使用,這樣的話能夠通過這個(gè)鏈來去開放這些數(shù)據(jù),得到一些關(guān)鍵數(shù)據(jù)的共享而保護(hù)了隱私,同時(shí)用一個(gè)流動(dòng)的數(shù)據(jù)去解決真正數(shù)據(jù)可靠的傳遞,讓網(wǎng)絡(luò)在共享數(shù)據(jù)與保護(hù)數(shù)據(jù)之間取得一個(gè)優(yōu)雅的平衡,讓數(shù)據(jù)既可以使用又可以保護(hù)其關(guān)鍵的部分。

我們在傳統(tǒng)區(qū)塊鏈的基礎(chǔ)上又發(fā)展出了幾個(gè)利用數(shù)字細(xì)胞技術(shù)發(fā)展出了幾種新型鏈的模型,比如說異構(gòu)鏈,我們理解這樣一個(gè)東西,如果任何鏈的可信系統(tǒng)處理是five系統(tǒng),一條鏈?zhǔn)枪茉黾訑?shù)據(jù)的,另一條是管變更數(shù)據(jù)的,把兩個(gè)東西,可信數(shù)據(jù)把兩個(gè)數(shù)據(jù)同時(shí)放到網(wǎng)上上,形成一個(gè)異構(gòu)結(jié)構(gòu),大家使用最終的數(shù)據(jù)是用兩條孿生的鏈去構(gòu)造一個(gè)可增加和變更數(shù)據(jù)的共享數(shù)據(jù)體。

還有一個(gè)平衡分布矩陣結(jié)構(gòu)的鏈,還有一個(gè)是信息鏈,是指是讓今天所有基于交易的區(qū)塊鏈,或者是其他的鏈能夠連接起來,鏈和鏈之間進(jìn)行交換數(shù)據(jù)和基于低壓式模型的數(shù)據(jù)轉(zhuǎn)移,既減少了全量的備份,同時(shí)讓每個(gè)鏈的活躍性以及分布性達(dá)到最佳,形成一系列數(shù)據(jù)的開放分享系統(tǒng)。

今天非常有幸跟大家簡要分享一下我們的分析,也歡迎大家加我的電郵,或者用秘郵聯(lián)系我,這兩個(gè)地址都可以,這個(gè)是一個(gè)微信群,歡迎大家加入,隨時(shí)和大家交流,今后大家可以一起合作做一些事情,謝謝大家。

主持人 傅博巖:非常感謝李總的精彩演講,大數(shù)據(jù)時(shí)代的帶來,海量數(shù)據(jù)成為越來越多企業(yè)的常態(tài),信息安全成為企業(yè)信息化建設(shè)中的重中之重,雖然越來越多的人已經(jīng)意識(shí)到了數(shù)據(jù)泄露風(fēng)險(xiǎn)并主動(dòng)的去尋求規(guī)避,而不斷曝光的數(shù)據(jù)泄露事件帶來的影響,經(jīng)過損失以及背后的原因已經(jīng)讓我們深刻感受到了安全不能承受之重,下面有請北京芯盾集團(tuán)有限公司總經(jīng)理龐潼川博士帶來主動(dòng)信息安全支撐信息化深度與廣度發(fā)展的主題演講,大家歡迎。

龐潼川:大家上午好,今天這個(gè)主題是數(shù)字化轉(zhuǎn)型中的安全之道,可能我這個(gè)題目和這個(gè)題目吻合度非常高。前面沈院士和李科學(xué)家講的很精彩,其實(shí)相當(dāng)一部分我不太認(rèn)同。

首先我們從農(nóng)業(yè)、農(nóng)耕到工業(yè)文明到現(xiàn)在的信息文明,如果討論轉(zhuǎn)型的情況下,說明我們之前處在信息時(shí)代的1.0,現(xiàn)在隨著云管端,管這個(gè)瓶頸的消失,我們的云和端的融合趨勢愈加明顯,這里面就產(chǎn)生了三個(gè)時(shí)髦的名詞叫大數(shù)據(jù)、云計(jì)算、人工智能。原始數(shù)據(jù),二是收集更高階的數(shù)據(jù),傳統(tǒng)的算力已經(jīng)不夠了,所以我們需要用分布式的集中運(yùn)算,這句話是個(gè)矛盾,這就是云計(jì)算。

算力這個(gè)東西沒腦子,所以我們需要用人工智能,讓我們的算力像人的腦袋一樣去處理。我們的人工智能這里面也有毛病,實(shí)際上是集中機(jī)器智能,我們都在探討人工智能將來是什么樣子這里面我設(shè)想了一下,當(dāng)某一天人工智能或者叫機(jī)器智能超越了人工智能的時(shí)候,我們現(xiàn)在搞人工智能的就會(huì)成為人類的罪人,當(dāng)然不搞人工智能也完蛋,所以也必須要搞。

隨著這三個(gè)概念的泛在的炒作或者人類不得不面對這個(gè)東西,我們不得不說這個(gè)概念叫數(shù)據(jù),在信息時(shí)代數(shù)據(jù)是我們信息的輸入,輸出與載體,傳統(tǒng)在沒有信息化時(shí)代的時(shí)候有沒有數(shù)據(jù),有,我們現(xiàn)在這個(gè)數(shù)據(jù)叫數(shù)字化數(shù)據(jù),我們簡稱數(shù)據(jù),數(shù)據(jù)有三大屬性,這三個(gè)屬性沒有整清楚的情況下,我們討論信息安全,說實(shí)話都在耍流氓,尤其是信息安全這個(gè)領(lǐng)域耍流氓的情況下,比在現(xiàn)在的非信息安全領(lǐng)域里耍流氓更讓你覺得深不可測。

首先,數(shù)據(jù)是有歸屬性的,從哪兒來要到哪兒去,一定屬于某一個(gè)人或者某一個(gè)東西,然后要到另外一個(gè)地方去,由于現(xiàn)在信息的通信是多向的,我們叫信源流動(dòng)。第二個(gè),流動(dòng)性,如果數(shù)據(jù)不流動(dòng),這個(gè)數(shù)據(jù)是沒有價(jià)值的,所以我們討論可信計(jì)算的時(shí)候,我們在討論身份認(rèn)證的時(shí)候,我們已經(jīng)把通信的概念引進(jìn)來,信息時(shí)代是時(shí)時(shí)刻刻都有通信這兩個(gè)字的,當(dāng)然這個(gè)通信可以是廣義的通信也可以是狹義的通信,沒有流動(dòng)性的通信本身就是沒有價(jià)值的。第三個(gè),客觀性,我們的數(shù)據(jù),我們生活在一個(gè)不確定性的世界,只有客觀的數(shù)據(jù)才能夠解決我們的不確定性,必須要保證數(shù)據(jù)的正確和客觀。

我們進(jìn)入信息時(shí)代,這個(gè)時(shí)代是什么特征呢?就是雙基生命,二元社會(huì),我們在座的都有兩條命,玩游戲的時(shí)候游戲本身還有九條命,一個(gè)叫碳基生命,一個(gè)叫硅基生命,我們生活在模擬的現(xiàn)實(shí)社會(huì)與數(shù)字化的網(wǎng)絡(luò)社會(huì),在座每一個(gè)人每天穿行在模型的現(xiàn)實(shí)社會(huì)與數(shù)字的網(wǎng)絡(luò)社會(huì)里。現(xiàn)實(shí)社會(huì),我們這個(gè)肉身只有一個(gè),但在我們的網(wǎng)絡(luò)社會(huì)里我們有若干個(gè)我們,正是因?yàn)樾畔⒒瘯r(shí)代我們是以雙基生命生活在這么一個(gè)二元社會(huì),才出現(xiàn)了信息安全,才需要我們信息安全來幫我們解決很多問題。當(dāng)然我后面會(huì)提到解決哪些問題呢?放在下一頁。

在數(shù)字化轉(zhuǎn)型的安全之道,道在哪里?既然是轉(zhuǎn)型就意味著我們之前有歷史,我們現(xiàn)在是2.0或者至少大于一,換句話說信息化已經(jīng)先行了,我們現(xiàn)在做的是信息的安全,或者說信息的安全之道。未來我們希望安全能夠走在信息化的前面,但是不是現(xiàn)在。在信息化先行的情況下,我們討論安全之道,這里面就是我們的兩句話叫跨行跨域跨平臺(tái),全程全時(shí)全業(yè)務(wù),我們生活在網(wǎng)絡(luò)化的社會(huì),網(wǎng)絡(luò)不再讓我們局限于某一個(gè)地域,但是我們造成了一個(gè)現(xiàn)象,很多事情是跨網(wǎng)絡(luò),跨地域,跨平臺(tái)的。

第二個(gè),信息要全程全時(shí)全業(yè)務(wù),全程就是端到端,或者P2P。第二個(gè)全時(shí),不僅指的是24小時(shí)也不是一周七天,是指的動(dòng)態(tài),隨時(shí)。我們經(jīng)常講以不變應(yīng)萬變,這是思維方式,真正戰(zhàn)術(shù)里必須要以變應(yīng)變,變慢了就得玩完。第三個(gè),全業(yè)務(wù),信息安全已經(jīng)是全方位的,因?yàn)樾畔⒒療o論從深度還是從廣度已經(jīng)深入到生活方方面面,我們離不開信息安全。

這里面我想提出兩個(gè)概念,一個(gè)叫主動(dòng)安全,一個(gè)叫被動(dòng)安全。這個(gè)概念是我們芯盾提出來的,被動(dòng)信息安全就是大家熟知的殺毒、防火墻,這個(gè)重不重要?非常重要,但是信息有低敏、中敏、高敏的信息,被動(dòng)信息安全絕大部分是亡羊補(bǔ)牢,重不重要?很重要,整個(gè)安全大家庭被動(dòng)信息安全是不可或缺的,但是我們老祖宗也說過既要治已病,更要治未病,主動(dòng)信息安全就是治未病的。

這里面我們對主動(dòng)安全做了一個(gè)定義,因?yàn)榍懊嫖覀兲岬搅藬?shù)據(jù)有三性,歸屬性,流動(dòng)性和客觀性,同樣我們這里面提出主動(dòng)信息安全有三個(gè)要素,身份安全,密鑰安全和密文安全,如果說有了完備信息安全的措施,密鑰安全的加強(qiáng)就沒有那么大了,但由于我們身份安全很難做的很好,而密鑰安全屬于一種專業(yè)安全了,其實(shí)我們很多安全措施里并不一定非得上到密鑰的層次,但是一些中敏,高敏的信息必須要上到這個(gè)層次,如果不上到這個(gè)層次,身份安全這個(gè)層面相對來說是不夠的。密文安全是我們的落腳點(diǎn),可信計(jì)算主要是針對密文,我們的密鑰按照某個(gè)算法作用于明文的時(shí)候會(huì)形成密文,我們的密鑰是赤裸裸的,我們需要用可信的環(huán)境,可信的策略保證我們的密鑰作用于明文的時(shí)候在產(chǎn)生密文這個(gè)階段,我們的密鑰不會(huì)丟竊,只要密鑰丟了加密形同虛設(shè)??尚庞?jì)算,我個(gè)人認(rèn)為我們要想在論道的時(shí)候都是一團(tuán)和氣,臺(tái)下坐這么多聽眾也對不起大家。我可以接受大家咒罵我,但我希望要敢于想一些事情,因?yàn)槲覀兩钤谝粋€(gè)不確定性的世界當(dāng)中,只有變才是唯一之道。

這是講的我們主動(dòng)信息安全里必須要有三個(gè)要素,這三個(gè)要素缺一不可。第二個(gè),講的是我們要體現(xiàn)三性,第一個(gè)是普適性,第二個(gè)是體系性,我們要解決這個(gè)方案,不能再局部耍流氓,是基于路由器編程實(shí)現(xiàn)的信息的安全保護(hù),但在我們中國的電信網(wǎng)絡(luò)里,我可以負(fù)責(zé)任的講沒有一條路由器通道是端到端的,只有局部的,某一段不搞你,在弱的地方搞你就可以了,所以我們的安全也必須要是體系性的。第三個(gè)是動(dòng)態(tài)性,我們前面講到的基于KPI體系,公司要保護(hù)這個(gè)體系也是有問題的,我們里面做了一個(gè)天然的假定就是私鑰是安全的,不可竊取的,當(dāng)私鑰本身被竊取,被拿到的情況下就麻煩了。還有可信計(jì)算我們是基于可信根,如果根都有問題還信誰?所以我們可以多想一步。

我們芯盾提出來DR4H,量子通訊是解決密鑰安全,不是搞其他事情的。但是量子通訊離我們的實(shí)用還有相當(dāng)一段時(shí)間,即便是明天使用了我們量子通訊還有最后一公里的問題,因?yàn)槿绻覀兪腔谛l(wèi)星來傳輸密鑰,地面站是相對固定的,基于光纖來傳電子密鑰,站點(diǎn)也是相對固定的。而我們在現(xiàn)實(shí)生活中,我們的消費(fèi)主體有固定的,但是更多是移動(dòng)的主體,這個(gè)怎么辦?我移動(dòng)的主體之間可以先把私鑰或者敏感的密鑰先裝上,隨著量子計(jì)算的出現(xiàn),可能早上裝上,中午就破了,這是完全有可能的,怎么辦呢?讓你的私鑰或者是基礎(chǔ)保護(hù)密鑰也動(dòng)態(tài)起來,這個(gè)問題就解決了。

當(dāng)然,我說的這個(gè)問題有點(diǎn)極端,畢竟不是什么樣的信息都是高敏信息,不是什么樣的信息都需要那么強(qiáng)悍的安全手段。我們提出來了DR4H,我簡單說幾句,第一,我們的分組網(wǎng)絡(luò)是由若干個(gè)中間環(huán)節(jié)才能夠通起來,第二個(gè),網(wǎng)絡(luò)的信息安全或者常規(guī)信息安全最怕什么東西,最怕的是中間人,由于若干個(gè)中間人的形態(tài)導(dǎo)致我們的網(wǎng)絡(luò)互聯(lián)互通,但是另外一方面,我們在分組網(wǎng)絡(luò)里談安全的時(shí)候,恰恰是由這么多中間結(jié)點(diǎn)都可能是潛在的中間人,所以我們只在分組網(wǎng)絡(luò)談安全如同古人坐在椅子上非得把自己舉起來一樣,我們必須要找到第二個(gè)因子,我們所謂的量子通訊也好,我們講的DR4H密鑰交換也好,其實(shí)都是超脫了分組網(wǎng)絡(luò),這個(gè)今天不展開。

身份安全,我們現(xiàn)在的身份安全,大家覺得輸個(gè)口令,輸個(gè)密碼,輸個(gè)虹膜就安全了,不是,那只是我們碳基身份的特征,你把這個(gè)特征提取出來過后就是數(shù)字化,數(shù)字化過后還不能說是你的身份,因?yàn)槲覀償?shù)字化的過程中肯定有信息的丟失,我們數(shù)字世界和模擬世界的信息量,信息商并不是完全等同的,我們到數(shù)字世界還有各種分析,這個(gè)分析過程中出錯(cuò)怎么辦?出現(xiàn)了中間人怎么辦?所以我們不要輕信有指紋,輸入密碼就是安全的,那只是安全的一個(gè)環(huán)節(jié)。我們提出ABD,A代表人工智能,B代表生物特征,D來自決策通證,是信息安全技術(shù)最早在金融領(lǐng)域里的應(yīng)用一個(gè)不帶法定身份金融的應(yīng)用。

說回來,由于身份認(rèn)證和具體應(yīng)用場景特別相關(guān),我們也很難讓身份認(rèn)證達(dá)到一個(gè)統(tǒng)一的身份認(rèn)證基數(shù)是普世的,所以我們給了一個(gè)+號(hào),我們希望道高一尺,魔高一丈,我們希望不斷抗?fàn)幵谛畔踩娜舾森h(huán)節(jié)增加一道保障。/p>

謝謝大家耐心把VCR看完,我不會(huì)超時(shí)的,快一點(diǎn)。這是我們芯盾的產(chǎn)品線,我們有完備的載體,我有一句口頭禪,主動(dòng)信息安全軟硬是信息安全重要的基石,我們芯盾做了信息安全產(chǎn)品線,資產(chǎn)安全產(chǎn)品線北斗增強(qiáng)安全產(chǎn)品線,車聯(lián)安全產(chǎn)品線和物聯(lián)安全產(chǎn)品線。

首先是載體,我們的貼芯卡,我們都知道在當(dāng)前信息化時(shí)代人增加了第六個(gè)器官是我們的手機(jī),到哪兒離不開這個(gè)東西,手機(jī)里面的安全成了生活重要的組成部分,要想在手機(jī)里放個(gè)安全載體,我們提出來貼芯卡,只需要貼在手機(jī)的SIM卡上就知道,大家就會(huì)問華為的主處理器里已經(jīng)有安全載體了,為什么不用那個(gè)呢,這個(gè)問題很簡單,安全必須是雙因子,如果是利用主處理器里面的安全載體,更多是做可信計(jì)算,從安全這個(gè)角度來說不一定合適。我們還做了USK卡,還有講的安全SIM卡,SIM卡是運(yùn)營商的天下,我們提供了三個(gè)通道,第一個(gè)有線通道,第二個(gè)無線通道,第一個(gè)與芯盾專用無線通道,為整個(gè)后續(xù)信息安全做準(zhǔn)備,包括安全T卡和密碼機(jī)。

接下來展示一個(gè)產(chǎn)品,第一個(gè)是固話密盒,解決固定網(wǎng)里的安全,一上來大家可能覺得很low,紅機(jī)子是很神秘的東西,隨著網(wǎng)絡(luò)改革紅機(jī)子在某些情況下也會(huì)有問題,我們提出這個(gè)方案主要的目的就是基于既有的座機(jī),放我們這么一個(gè)小盒子,這個(gè)盒子中間還有一個(gè)小的獨(dú)立的耳機(jī),就可以解決座機(jī)的通話安全,我們其中的小耳機(jī)拿出來可以配合你的手機(jī),是一個(gè)兩用,特點(diǎn)是什么呢?無論是國內(nèi)的網(wǎng)絡(luò)還是國外的網(wǎng)絡(luò),無論是軍用網(wǎng)絡(luò)還是民用網(wǎng)絡(luò),無論是改造后的網(wǎng)絡(luò)還是改造前的網(wǎng)絡(luò)都能用,傳統(tǒng)的保密電話從撥號(hào)到打通,加密電話至少25秒以上,我們這個(gè)絕對不超過4秒。

第三個(gè)是牛盾安全屋,芯盾的牛盾安全屋包括五大件,主要是幫你做安全的存儲(chǔ),這個(gè)牛盾安全屋包括的這幾大件是綜合解決你手機(jī)里遇到的通信問題、存儲(chǔ)安全問題和防護(hù)安全問題,總之手機(jī)里出現(xiàn)的問題我們安全屋都有配套的工具,歡迎大家到芯盾體驗(yàn)一下,我們芯盾有禮品相送的,我們正處在推廣階段。這個(gè)在SIM卡上放了一張卡,解決了硬件載體的問題,在手機(jī)里裝個(gè)APP解決手機(jī)所有面對你能想到的問題,我們都解決了,這個(gè)小屋子里工具很全,而且是真真正正能夠解決安全,我們既支持新增運(yùn)營的公有云,也可以做私有化部署,這是我們目前看到國內(nèi),不是自吹自擂,這是最實(shí)在的這么一個(gè)解決方案,目前無論是在軍隊(duì)還是在政府還是在相關(guān)部門都得到了廣泛的應(yīng)用。

第四個(gè)產(chǎn)品是牛盾管家,主要針對行業(yè)用戶,不適合開放市場,針對手機(jī)實(shí)現(xiàn)遙感遙控。強(qiáng)有一個(gè)是路由盾,最早來自一個(gè)情報(bào)項(xiàng)目,主要解決的是什么問題呢?全球任何一個(gè)廊點(diǎn)能上互聯(lián)網(wǎng),放我們的路由盾,若干個(gè)路由盾之間就形成一個(gè)專網(wǎng),有兩個(gè)地方,第一個(gè),能夠讓任何兩個(gè)點(diǎn)之間通起來,從這一點(diǎn)不是獨(dú)特的,這個(gè)行業(yè)里有很多這樣的技術(shù)。第二點(diǎn)很特殊,能夠保證任意兩個(gè)點(diǎn)之間兩兩之間是安全的,而且是硬加密的,這個(gè)是很難的。大家都知道,尤其是跨境的時(shí)候有國際網(wǎng)關(guān),別人是放了防火墻的,做了很多工作,我們能穿透很不容易,這套既可以在公網(wǎng)上部署,也可以在專網(wǎng)部署,也可以在局域網(wǎng)部署。

有安芯鎖,在前一段時(shí)間央視以及地方臺(tái)報(bào)道了一個(gè)節(jié)目,哪一天報(bào)道的我說不準(zhǔn)了,統(tǒng)計(jì)了一下機(jī)械鎖開15分鐘左右,數(shù)碼鎖一般不超過15秒,這是網(wǎng)上的信息。我們提出來安全鎖,安全鎖首先是針對我們機(jī)械鎖和數(shù)碼縮的四個(gè)問題提出來的,哪四個(gè)問題呢?第一個(gè)安全不成體系,第二個(gè)管控難以蹤訴,第三個(gè)兩權(quán)無法分離,資產(chǎn)所有權(quán)和資產(chǎn)操控權(quán)沒辦法分離。第四個(gè)是資產(chǎn)難以運(yùn)營,是靜態(tài)的。我們利用我們的安芯鎖,通過鎖芯把整個(gè)鎖具統(tǒng)一,把現(xiàn)在的鑰匙革掉,通過一個(gè)平臺(tái),我們有服務(wù)器平臺(tái),有桌面平臺(tái),還有移動(dòng)平臺(tái),讓你的資產(chǎn)能夠動(dòng)起來,能夠管起來。其中一個(gè)顯著的特點(diǎn),一把鑰匙可以開若干把鎖。第二個(gè),我們的鑰匙可以和鎖放在一起。第三個(gè),你的資產(chǎn)可以在時(shí)間、地點(diǎn)、人物、任務(wù)、權(quán)限等多個(gè)維度進(jìn)行動(dòng)態(tài)的管控,目前這個(gè)鎖具主要適合于行業(yè),同樣我們個(gè)也可以適用于家庭。

最后是芯幣盾,剛才李科學(xué)家講到區(qū)塊鏈,區(qū)塊鏈一點(diǎn)都不神秘,給我們帶來很多創(chuàng)新也帶來很多觸動(dòng),但不要把區(qū)塊鏈想的很神秘,但區(qū)塊鏈確實(shí)很多應(yīng)用方面給我們帶來新的思路,國家現(xiàn)在有個(gè)區(qū)塊鏈產(chǎn)業(yè)給予很大支持,芯盾在這方面和牛津大學(xué)以及海南的自貿(mào)區(qū)區(qū)塊鏈國家試驗(yàn)區(qū)也有很深的合作,我們目前推出來一個(gè)芯幣盾,我們和國外幾個(gè)合作伙伴做了成功的合作,我們把資產(chǎn)安全和溝通安全巧妙的合一,我們在座的有做區(qū)塊鏈的可以和我們溝通,我們這個(gè)產(chǎn)品挺創(chuàng)新的。

最后一個(gè),我們的北斗增強(qiáng)安全,大家都知道北斗是中國人的驕傲,但是北斗增強(qiáng)的安全拿孫院士的一句話說我們希望可以做到可用不可見,如何解決端的安全問題,實(shí)際上要解決兩個(gè)問題,第一個(gè)載體的普適性問題,第二個(gè)是動(dòng)態(tài)性安全,我們芯盾比較好的解決了。

就這么多,感謝大家,謝謝。

主持人 傅博巖:非常感謝龐博士精彩的分享,龐博士這個(gè)人很直率,上來就說不管是院士也好,首席科學(xué)家也好,講的也挺好,但我都不同意,作為主持人必須得把這種態(tài)度點(diǎn)贊,我們論壇實(shí)際上就是一個(gè)開放的,大家公平在這兒發(fā)言的平臺(tái)。而且作為信息安全,網(wǎng)絡(luò)安全這件事情,應(yīng)該說一直就在不斷的發(fā)展,演進(jìn),非常希望能夠聽到不同的聲音,大家來討論,才使我們平臺(tái)更有價(jià)值,所以再次感謝龐院士的報(bào)告。

下面我們還有四位企業(yè)家要做分享,希望大家能夠控制一點(diǎn)兒時(shí)間,如果每個(gè)人拖一點(diǎn)兒,我們可能會(huì)影響到大家中午休息。

下面有請新華三信息安全技術(shù)有限公司的副總經(jīng)理兼解決方案部部長曹亮先生,帶來題為數(shù)字化轉(zhuǎn)型下的安全變革與安全能力的報(bào)告,大家歡迎。

曹亮:尊敬的各位領(lǐng)導(dǎo)上午好!我是新華三的曹亮,今天我代表我們公司給大家做一個(gè)關(guān)于數(shù)字化轉(zhuǎn)型下的安全變革與安全能力的分享。

剛剛各位專家跟老師已經(jīng)對這方面相關(guān)的技術(shù)還有架構(gòu)做了很精深和專業(yè)化的演講和解讀,我根據(jù)我們公司在相對來說比較傳統(tǒng)的安全領(lǐng)域的積累還有認(rèn)識(shí)給大家做一些相對來說比較通用的匯報(bào)。

報(bào)告的主題是數(shù)字化轉(zhuǎn)型中的安全變革和安全能力,我們這一塊所意識(shí)到,或者所理解到的數(shù)字化轉(zhuǎn)型是傳統(tǒng)IT行業(yè),或者是傳統(tǒng)基于一些政府行業(yè)的數(shù)字化在變革的時(shí)候所帶來的模式的變化。我們理解到的比如說像一般傳統(tǒng)的IT企業(yè),或者是市場上的企業(yè),他們通過自己這方面的商業(yè)模式,或者是運(yùn)作模式的變化帶來我們相應(yīng)在IT這一塊,還有支撐這一塊,系統(tǒng)這一塊相應(yīng)的變革。

第二部分主要講一下數(shù)字化轉(zhuǎn)型中的安全基石,這一塊主要的理解也是一種基于主動(dòng)安全的方式,采用全生命周期對于安全把控的架構(gòu)下,采用整體性的安全方式,包括轉(zhuǎn)型中的IT資產(chǎn)還有IT維護(hù),全網(wǎng)架構(gòu)進(jìn)行一個(gè)整體的規(guī)劃。

最后我們有一個(gè)數(shù)字化IT安全未來的展望。

第一部分,簡單說一下數(shù)字化轉(zhuǎn)型,CIO的新使命,CIO是針對于企業(yè)來講的,可能對于大部分企業(yè)或者是很多企業(yè)里并不一定有CIO這一個(gè)部門或者是職位,但一般一定會(huì)有CIO的功能或者是相關(guān)職位跟使命,主要是在傳統(tǒng)IT企業(yè),或者我們商業(yè)實(shí)體里,主要的工作可能是一些傳統(tǒng)IT資產(chǎn)或者是一些網(wǎng)絡(luò)資產(chǎn)還有一些業(yè)務(wù)資產(chǎn),包括數(shù)據(jù)存儲(chǔ)的管理和建設(shè)和維護(hù),主要職責(zé)在于用最少量的人工或者有限的人工能夠維護(hù),能夠建設(shè)維護(hù)跟持續(xù)的跟進(jìn)演化公司所需要,當(dāng)前的IT支持能力還有信息化的支持能力。在現(xiàn)在數(shù)字化轉(zhuǎn)型的新階段,CIO或者職能部門有了新的使命還有新的意義,主要的問題就在于傳統(tǒng)的CIO只是一個(gè)技術(shù)的管理者,可能把一些孤立的信息系統(tǒng)、安全系統(tǒng)管理起來,支撐企業(yè)相應(yīng)的業(yè)務(wù)能力就可以了。

現(xiàn)在數(shù)字化IT轉(zhuǎn)型的階段下,很多的業(yè)務(wù)模式都已經(jīng)變了,不是傳統(tǒng)已經(jīng)成型或者非常穩(wěn)定的商業(yè)結(jié)構(gòu)下可能已經(jīng)換了一種方式,比如說通用的,以前可能是線上的多一點(diǎn),現(xiàn)在有一些線下的,各種方式,造成了整個(gè)商業(yè)模式還有結(jié)構(gòu),包括公司體制內(nèi)的結(jié)構(gòu)都會(huì)有一些變化。

這種情況下,很多商業(yè)型創(chuàng)新公司還有一些大范圍的公司里面,新的業(yè)務(wù)系統(tǒng),后端的生產(chǎn)系統(tǒng),包括供應(yīng)鏈之類的系統(tǒng)都有一些新的變革,甚至很多單位里都是靠這種系統(tǒng)進(jìn)行的技術(shù)革新,保證他們新的公司的業(yè)務(wù)增長還有新的增值價(jià)值的實(shí)現(xiàn)。這種情況下,CIO就會(huì)賦予新的使命,可能會(huì)跟業(yè)務(wù)實(shí)際建設(shè),實(shí)際更新維護(hù),包括模塊的更新,還有IT后面的整體安全架構(gòu)有一個(gè)非常強(qiáng)偶合,他認(rèn)為從傳統(tǒng)的管理者和維護(hù)者變成一個(gè)強(qiáng)偶合的商業(yè)模型和IT模式的創(chuàng)新者。具體包括一些業(yè)務(wù)層面的架構(gòu)變更還有一些跟進(jìn),包括后期的運(yùn)維。

使用過程中可能還會(huì)遇到一些像行為分析還有AI、人工智能,后期的時(shí)候?qū)τ跀?shù)據(jù)這一塊的挖掘使用,甚至是保護(hù)都會(huì)有一個(gè)新的要求。這是一個(gè)比較傳統(tǒng)的技術(shù)架構(gòu)演進(jìn)的方式,在座的各位專家應(yīng)該對這一些都比較熟悉。我們這些年IT架構(gòu)就是從傳統(tǒng)的架構(gòu)慢慢到現(xiàn)在的混合融合的架構(gòu),還有到現(xiàn)在我們展望的云上的架構(gòu)逐步的進(jìn)行演進(jìn),無論對企業(yè)而言還是對現(xiàn)在有一些政府職能支撐的部門都是一樣的,企業(yè)變革自己的業(yè)務(wù)模式以及獲得更高的利潤和更新的交付或者增值的方式,政府這一塊可能從以前傳統(tǒng)的政務(wù)辦事或者政務(wù)服務(wù)這一塊,更傾向于更新的IT架構(gòu)線上的辦公,像發(fā)改委還有一些重點(diǎn)的部門里放管服服務(wù),他們都會(huì)面臨一個(gè)情況,從傳統(tǒng)的業(yè)務(wù)上遷移到至少是一個(gè)融合態(tài)勢線上的行為。

我們目前展望的是云端架構(gòu)的方式,這種技術(shù)演進(jìn)過程中,無論是業(yè)務(wù)系統(tǒng)還是后臺(tái)的網(wǎng)絡(luò)計(jì)算支撐還有存儲(chǔ)支撐,都從傳統(tǒng)的不可擴(kuò)展,簡單冗余的單一系統(tǒng)方式慢慢轉(zhuǎn)變成融合的方式,逐步的做成了一種,逐步向網(wǎng)絡(luò)的虛擬化,計(jì)算資源的虛擬化還有存儲(chǔ)資源的虛擬化,到現(xiàn)在我們比較主流的一些安全資源池的這些概念。

這個(gè)過程中,融合IT架構(gòu)和后期的云的IT構(gòu)架還有傳統(tǒng)的IT構(gòu)架長期以來都是共存的關(guān)系,他們根據(jù)業(yè)務(wù)系統(tǒng)的持續(xù)演進(jìn),持續(xù)交互還有實(shí)際業(yè)務(wù)的不斷反饋,最終會(huì)轉(zhuǎn)化成一種新的云上的構(gòu)架,主要的形態(tài)就在于業(yè)務(wù)的自適應(yīng)還有一些資源的安全交付,包括更強(qiáng)的云的集群交換,還有一些整體的云安全服務(wù)的及時(shí)交付的功能。IT變革數(shù)字化對安全的影響是非常大的,中間這一組數(shù)據(jù)大家可以看一下,網(wǎng)上也都能查到,現(xiàn)在統(tǒng)計(jì)來講,統(tǒng)計(jì)95%的安全威脅會(huì)增長,另外73%的安全預(yù)算也會(huì)增長,為什么會(huì)出現(xiàn)這種情況?因?yàn)橛写罅總鹘y(tǒng)的IT結(jié)構(gòu)還有模式都會(huì)演進(jìn)成一種新的,至少是混合的,或者是云上的安全模式。

這種業(yè)務(wù)模式和安全模式的變革就導(dǎo)致數(shù)字化,互聯(lián)網(wǎng)的流量巨增。IT的訪問和實(shí)施應(yīng)用更傾向于移動(dòng)化和終端隨身化的訪問,更集中的業(yè)務(wù)可能集中在外網(wǎng)和線上這一塊的信息系統(tǒng),這樣就造成了我們的數(shù)據(jù),實(shí)時(shí)數(shù)據(jù)和落地?cái)?shù)據(jù)還有存儲(chǔ)數(shù)據(jù)的大量化,在這種混合云的模式下,IT云化的安全包括架構(gòu)都有新的要求,安全是全連接性,以前可能說連接的過程,中間環(huán)節(jié)會(huì)相對來說較少,現(xiàn)在來講泛多元化連接非常普遍了,在各行各業(yè)都會(huì)面臨同樣的問題。

另外是一個(gè)精細(xì)化的要求,以前對某類安全進(jìn)行簡要的分析就可以,但現(xiàn)在可能接入這一類的安全信息非常多,非常復(fù)雜,包括還有一種各種端到端,還包括區(qū)塊鏈的接入,都對安全的復(fù)雜性和精細(xì)性有一些要求。安全的服務(wù)化,以前基本上是本地服務(wù)或者是安全I(xiàn)T的系統(tǒng)服務(wù),但是現(xiàn)在因?yàn)樵贫嘶蛘呤荌T云化的情況,服務(wù)這一塊的頻率比較高,及時(shí)性和恢復(fù)性都比較高。最后一個(gè)是智能化,可以在業(yè)務(wù)智能化還有IT架構(gòu)改變的情況下,可以對安全這一塊也有一些智能化的分配或者是指導(dǎo)大數(shù)據(jù)分析,行為研判行營的安全,包括需求,包括后端的服務(wù)。

這是對于上面比較直觀的解釋,數(shù)字化IT這一塊安全的四大特點(diǎn),一個(gè)是全連接的行為,因?yàn)榛ヂ?lián)網(wǎng)和互聯(lián)網(wǎng)終端的接入,包括API接口開放還有云端數(shù)據(jù)對接,API數(shù)據(jù)交換的需求,全連接的設(shè)備,無論是中心還有前端已經(jīng)非常多了。另外就是精細(xì)化的要求,細(xì)展開說一個(gè)就是對于行為分析的建模和預(yù)判,一個(gè)是對內(nèi)部的,一個(gè)是對外部的,外部的很常見,就是分析一下客戶和目標(biāo)載體的行為,內(nèi)部就是對內(nèi)部人員行為的大致分析,以求的是更加優(yōu)化的調(diào)節(jié)資源,從另外一個(gè)視角發(fā)現(xiàn)安全隱患和安全漏洞。另外是對資產(chǎn)分級檢測和預(yù)警,另外是對數(shù)據(jù)多重的防護(hù),相當(dāng)精細(xì)化。對于服務(wù)的要求是在于安全策略的全網(wǎng)配發(fā)和部署,主要就是控制期的互聯(lián)。最后是智能化,智能化不只是在演算和推進(jìn),還可以應(yīng)用到安全系統(tǒng)上,包括現(xiàn)在新華三智能分析的安全平臺(tái)已經(jīng)非常成熟了。

這一篇是對剛才主題的解答,主要是對關(guān)鍵業(yè)務(wù)的運(yùn)行,包括關(guān)鍵信息的信息保護(hù),另外對于數(shù)據(jù)的保護(hù),還有核心資產(chǎn),最后一個(gè)是安全效率的提升,基本上從傳統(tǒng)被動(dòng)逐漸演進(jìn)到可以對全網(wǎng)安全態(tài)勢的監(jiān)控,對于全局資產(chǎn)漏洞還有攻擊行為的發(fā)現(xiàn),還包括異常,流量,行為,各種的事前事前事后的審計(jì)都可以在事前發(fā)現(xiàn),做到主動(dòng)安全的模式。

基于這個(gè)還有人工智能AI的應(yīng)用,對于比較熱點(diǎn)的安全事件進(jìn)行一個(gè)安全形勢的分析和預(yù)判。最后以求達(dá)到風(fēng)險(xiǎn)和感知,主動(dòng)安全就可以對他進(jìn)行管控,包括多維度的呈現(xiàn),還有自動(dòng)化的運(yùn)維,安管策略的流動(dòng)。

再一部分是數(shù)字化轉(zhuǎn)型的安全基石,剛才在簡單的匯報(bào)里基本上說了一點(diǎn)兒這個(gè)內(nèi)容,傳統(tǒng)IT進(jìn)化到數(shù)字化IT這一塊,我們從比較孤立的信息化安全的孤島演進(jìn)到現(xiàn)在大安全的態(tài)勢里,主動(dòng)安全是一個(gè)比較落地,比較實(shí)用的安全。關(guān)鍵的支撐點(diǎn)在于以下這幾個(gè),我們認(rèn)為最主要的幾個(gè)安全的地方,一個(gè)就是開放互聯(lián)安全的生態(tài)環(huán)境,這個(gè)東西就包括我們對于各個(gè)終端,泛終端還有云化開放互聯(lián)的支持,另外對先導(dǎo)性來講,我們就是倡導(dǎo)對于情報(bào)這一塊有一個(gè)互相交換,共生共鳴開放的環(huán)境?;谶@些我們對于云端服務(wù)還有軟件定義這一塊,像一些SDN,還有下一代安全,進(jìn)行最終智能運(yùn)維的目的。

新華三目前的主動(dòng)安全構(gòu)架,產(chǎn)品系列的布局大概是這么一個(gè)樣子,最核心的安全在于可以全站的安全信息接入,前端不管是自己的還是通過友商或者是其他的云端接入,我要盡可能大量的接入安全類的信息,到后面加以分析。

另外是我通過AI人工智能,或者是我分析情報(bào)模型的研判,我推測整個(gè)安全態(tài)勢里,或者這種方式的意圖,別管是正常的意圖,攻擊的意圖還是弱點(diǎn),還是一個(gè)漏洞,最后我把前面收集到的賦能到執(zhí)行機(jī)構(gòu)或者是整體安全的布局上,這個(gè)就包括了一些整體的邊際安全,應(yīng)用安全,數(shù)據(jù)安全,甚至工控安全。

新華三主要的安全體系創(chuàng)新的產(chǎn)品目前有這么幾類,一個(gè)是安全感知提升類的,我們對于泛終端,前面大量的全站檢測類的,我們從終端安全包括流量探針包括高級威脅檢測產(chǎn)品,全面接入安全感知。我們安全分析增強(qiáng),AI人工智能,智能化分析模塊這一塊,提高這一塊的算法。最后一個(gè)是我們安全模式的創(chuàng)新,我們可以以安全云,以云墻的方式分析我們安全的架構(gòu)和職能,以產(chǎn)品或者服務(wù)的方式去回饋給相應(yīng)的市場還有客戶,最主要的就包括這三類產(chǎn)品。

這是安全產(chǎn)品細(xì)節(jié)的概述,主要是講安全態(tài)勢感知的產(chǎn)品,基本上基于多維度的數(shù)據(jù)融合,剛才講的一些我們自身或者是威脅情報(bào)或者是其他廠商日志還有全流量的分析,最后我們有一些場景化的升級,根據(jù)我們電子眼,物聯(lián)網(wǎng),還有一些政務(wù),還有一些企業(yè),特定場景提供定制化的服務(wù)。

這個(gè)是對剛才膠片比較詳細(xì)的解讀,主要就是包括對整個(gè)行業(yè),包括像公安、電力、教育、政府、電信,比較有代表性的部門和行業(yè)我們都有案例,對他們的應(yīng)用場景還有結(jié)構(gòu)的分析。下面主要就是一些威脅類的產(chǎn)品,配件還有運(yùn)維還有一些產(chǎn)品定制化的情況。

這個(gè)是安全云,安全云是這樣,在我們新華三的認(rèn)知里,我們一直認(rèn)為安全云不是一款產(chǎn)品,是一種服務(wù),這種服務(wù)包括很多的維度,包括一些服務(wù)的目錄,還有一些安全的生態(tài),這是我們整體打包,根據(jù)客戶的需求定制給客戶輸出相應(yīng)安全云的服務(wù),這個(gè)是我們建設(shè)時(shí)候安全與典型部署的模型,包括公有云和行業(yè)云,大家簡單了解一下。

重點(diǎn)講一下我們公司對于剛才那三類的產(chǎn)品,其中一類產(chǎn)品的亮點(diǎn),主要是提升安全性的地方。全棧檢測類產(chǎn)品,包括終端安全產(chǎn)品還有全流量探針產(chǎn)品還有高級威脅檢測產(chǎn)品,我們實(shí)施的流量,分級的能力更強(qiáng),通過SDN或者是引流,或者是控制器的方式管好流量,或者目標(biāo)的網(wǎng)絡(luò)流量的問題能達(dá)到大大增強(qiáng),最后我們有一個(gè)感知和防御整體性的檢測。

這個(gè)是我們主動(dòng)安全框架和主動(dòng)安全自進(jìn)化的模型,基本上就是集合了剛才前面說的一些內(nèi)容,從下面來講對于傳統(tǒng)安全的產(chǎn)品是一個(gè)基層,中間有三大的基礎(chǔ)和技術(shù)的支撐,包括AI大數(shù)據(jù),安全大數(shù)據(jù),安全SDN,上面體現(xiàn)安全云服務(wù),云墻包括感知系統(tǒng),最后我們?yōu)榱诉_(dá)到一個(gè)目標(biāo),我們可以主動(dòng)發(fā)現(xiàn),提前預(yù)警,智能分析,及時(shí)響應(yīng)。

最后一項(xiàng)是我們對于數(shù)字化IT安全未來的展望,我們能夠想到的,我們認(rèn)為未來的數(shù)字化安全可能是以下面這幾類為代表性,一個(gè)是身份和訪問的管理,對這一塊進(jìn)行較強(qiáng)的控制和管理。另外一個(gè)是對移動(dòng)安全還有云安全,一個(gè)是對于分散的隨時(shí)隨地的安全訪問去進(jìn)行一些安全防戶,還有對云端進(jìn)化完之后中心這一層多戶安全保障,還有云訪問安全防護(hù)。對于數(shù)據(jù)業(yè)務(wù)體系進(jìn)行保障,這一切的基礎(chǔ)是外部還有一些威脅情報(bào)的共享,基于整體的情報(bào)的共享,對企業(yè)數(shù)字化提供全方位的安全保護(hù)。

我今天上午的匯報(bào)就到這兒,謝謝各位。

主持人 傅博巖:謝謝曹總的報(bào)告,下面有請武漢綠色網(wǎng)絡(luò)信息服務(wù)有限公司CEO葉志鋼帶來題為網(wǎng)絡(luò)安全賦能邊緣計(jì)算的主題報(bào)告,大家歡迎。

葉志鋼:大家好,剛才前面幾位嘉賓演講以后,我仔細(xì)聽了,接下來我的演講相對比較輕松一點(diǎn)兒,因?yàn)楹芏喔拍钚缘臇|西他們講過了。

今天演講的主題主要是在運(yùn)營商級別的網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)安全,采用邊緣計(jì)算的新理念。網(wǎng)絡(luò)安全和效率一定是一個(gè)矛盾體,我們主要是解決了工程上的問題,工程上怎么在運(yùn)營商的大網(wǎng)里把低成本,高效率把網(wǎng)絡(luò)安全實(shí)現(xiàn)起來,這個(gè)其實(shí)是一個(gè)非常難的難題。不僅是咱們中國電信,中國移動(dòng),中國聯(lián)通,包括全球最大的運(yùn)營商,所有的運(yùn)營商網(wǎng)絡(luò)只解決了連通的問題,并沒有解決安全問題,我們上網(wǎng)是裸奔的,為什么不解決這個(gè)問題,不是不愿意,從成本和效率上不合算,連通就可以賺到很多錢,沒必要提供網(wǎng)絡(luò)安全。剛才華三的曹總也講到網(wǎng)絡(luò)安全功能,主要在企業(yè)網(wǎng)。

安全生態(tài)的這些公司基本上在企業(yè)網(wǎng)里在運(yùn)行,只有極少數(shù)開始在公網(wǎng)上跑安全應(yīng)用,接下來介紹一下我們這幾年做的技術(shù)上的積累。首先我們DPI產(chǎn)品有固網(wǎng)和移動(dòng)網(wǎng),固網(wǎng)基本上在IDC里頭和城域網(wǎng),相關(guān)產(chǎn)品已經(jīng)在中國電信31個(gè)省,160個(gè)地市和總共覆蓋了400T以上的流量,大概有404個(gè)機(jī)房,中國移動(dòng),中國聯(lián)通也有較多的部署。

DPI產(chǎn)品給運(yùn)營商帶來還是運(yùn)維方面的價(jià)值,同時(shí)也有一部分是國家信息安全的需求,網(wǎng)絡(luò)安全,注意信息安全和網(wǎng)絡(luò)安全其實(shí)是兩個(gè)不同的范疇。當(dāng)然今天這個(gè)主題是都點(diǎn)到了,咱們峰會(huì)的名字都點(diǎn)到了,信息安全和網(wǎng)絡(luò)安全這兩個(gè)范疇,網(wǎng)絡(luò)安全其實(shí)是沒有在運(yùn)營商的網(wǎng)絡(luò)中運(yùn)行,剛才我已經(jīng)講到了。

接下來介紹一下,我們計(jì)劃采用通用架構(gòu)的計(jì)算平臺(tái)來解決DPI問題,原有的網(wǎng)絡(luò)設(shè)備為什么不能開啟網(wǎng)絡(luò)安全功能,因?yàn)樵械木W(wǎng)絡(luò)設(shè)備增加網(wǎng)絡(luò)安全功能非常復(fù)雜,成本很高,基于通用平臺(tái)的X86架構(gòu),天生的計(jì)算靈活性非常強(qiáng),但是性能是一個(gè)關(guān)鍵問題,可靠性,穩(wěn)定性也是一個(gè)難點(diǎn)。

這個(gè)問題其實(shí)已經(jīng)從底層解決了,我們在2012年的時(shí)候已經(jīng)在上海電信大規(guī)模部署了基于X86的網(wǎng)絡(luò)設(shè)備,只實(shí)現(xiàn)了當(dāng)年已經(jīng)是非常不容易,現(xiàn)在看來只實(shí)現(xiàn)了基本的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)和分析能力,而且注意為什么到現(xiàn)在為止還是一個(gè)全球單一的最大案例呢?是因?yàn)樗谴未嬖贐I和CI之間,也就是說上海電信在7年以前用一百臺(tái)PC覆蓋了2/3網(wǎng)絡(luò)帶寬,全部用一百臺(tái)PC轉(zhuǎn)發(fā)和控制。覆蓋了500個(gè)寬待用戶,因特爾告訴我們這是全球最大單一案例。一百臺(tái)PC穩(wěn)定運(yùn)行7年時(shí)間,去年2018年升級了一部分內(nèi)存,還在跑,大大顛覆了運(yùn)營商認(rèn)為X86通用計(jì)算機(jī)不能用于城域網(wǎng)絡(luò)傳統(tǒng)的概念。

由于當(dāng)時(shí)的X86的性能和今天不能相比,處理能力只做比傳統(tǒng)的網(wǎng)絡(luò)設(shè)備稍多一點(diǎn)兒的功能,但7年以后到現(xiàn)在,X86的性能非常高了,現(xiàn)在百億的網(wǎng)卡很快能夠處理了。但是我們現(xiàn)在廣泛應(yīng)用部署的位置都是在類似像國際出口,運(yùn)營商的結(jié)算互聯(lián)互通的結(jié)算出口和省網(wǎng)的出口,或者是城域,地級的出口。流量匯聚非常大,很難實(shí)現(xiàn)網(wǎng)絡(luò)安全能力,不是因?yàn)閯e的問題,主要是因?yàn)槌杀镜脑?,還有一個(gè)同源同處的問題,我們思考這個(gè)問題,既然X86可以放在城域網(wǎng)跑DPI的功能,我們就可以實(shí)現(xiàn)網(wǎng)源能力,我們計(jì)劃用計(jì)算資源的一小部分,1/3來實(shí)現(xiàn)基本的網(wǎng)源能力,用大部分的計(jì)算資源,包括存儲(chǔ)資源來實(shí)現(xiàn)安全能力,而且我們實(shí)現(xiàn)網(wǎng)絡(luò)安全能力,我們是一個(gè)平臺(tái),一個(gè)生態(tài),不是解決所有網(wǎng)絡(luò)安全的功能,不可能把七百多家公司可能我認(rèn)為在我的視角來看無非就是三類,一類是基于終端的手機(jī)或者電腦的,一類基于云的,就是服務(wù)端的,另外一類是基于網(wǎng)絡(luò)的,基于網(wǎng)絡(luò)的公司也有很多,我們不可能基于網(wǎng)絡(luò)流量的所有安全業(yè)務(wù)全部來完成,但是我們可以形成一個(gè)生態(tài)。

這個(gè)生態(tài)其實(shí)最終生態(tài)還是基于運(yùn)營商,我們給運(yùn)營商提供基礎(chǔ)能力,也就是說我們現(xiàn)在用X86通用服務(wù)器來為運(yùn)營商最邊緣一側(cè)的一萬用戶提供所有的網(wǎng)絡(luò)接入能力,同時(shí)實(shí)現(xiàn)安全能力。

我們核心是有一個(gè)叫SRME的超級規(guī)則引擎,這個(gè)引擎能夠?qū)崿F(xiàn)所有的信息安全和網(wǎng)絡(luò)安全的基礎(chǔ)業(yè)務(wù)。在今年的八展,主題是很火熱的5G,我們認(rèn)為未來5G的接入流量會(huì)非常大,會(huì)導(dǎo)致這個(gè)移網(wǎng)網(wǎng)絡(luò)流量接近甚至超過固網(wǎng)的流量,固、移融合是必然的趨勢。未來網(wǎng)絡(luò)一定會(huì)融合,我們把這個(gè)安全能力作為多接入邊緣計(jì)算MEC的功能賣點(diǎn)可以嵌入到這個(gè)系統(tǒng),MEC一定是基于通用服務(wù)器,同時(shí)把這些能力也實(shí)現(xiàn)了,就有點(diǎn)像我們現(xiàn)在拿到的智能手機(jī),以前手機(jī)主要功能就是打電話,發(fā)短信,現(xiàn)在重度應(yīng)用微信,互聯(lián)網(wǎng)金融,導(dǎo)航,都變成了一個(gè)內(nèi)嵌的功能,而且這個(gè)功能成本很低,因?yàn)槟慵虞d一個(gè)芯片和攝像頭就是幾美金,十幾美金的事,如果做成獨(dú)立的設(shè)備成本就非常高。

我們上海2012年產(chǎn)品是OEM給中興通訊替代到華為的設(shè)備,為什么選擇我們創(chuàng)新的解決方案,原因很簡單?我?guī)退×怂那f,首先成本是非常重要的。成本解決了以后,只是降價(jià)的話運(yùn)營商不一定有這個(gè)動(dòng)力使用新技術(shù),還有一個(gè)是能帶來多功能,可變化的能力是非常強(qiáng)的,七年以來這個(gè)產(chǎn)品只是軟件升級,但如果采用傳統(tǒng)的架構(gòu)一定會(huì)做一些推廣,要把原來的設(shè)備換掉。

還有一個(gè)問題,直接能支撐國家信息安全的需求,因?yàn)槲覀児境巳筮\(yùn)營商是我們客戶,像國家信息安全響應(yīng)中心核心的引擎也是我們支撐的,所以我們對運(yùn)營商需求和國家信息安全都比較了解,但我們比較可惜的是還沒有看到在大網(wǎng)在網(wǎng)絡(luò)安全里跑起來,隨著5G,隨著物聯(lián)網(wǎng)應(yīng)用,智能家居上來以后,公網(wǎng)上的網(wǎng)絡(luò)安全就非常重要了。

這個(gè)引擎實(shí)現(xiàn)的功能和整個(gè)雙網(wǎng)融合的生態(tài)是需要一個(gè)較為漫長的過程,就像在七年以前運(yùn)營商不接受用X86的接受實(shí)現(xiàn)DPI,現(xiàn)在我認(rèn)為比當(dāng)時(shí)已經(jīng)要接受的多得多,認(rèn)為用通用的計(jì)算平臺(tái)來實(shí)現(xiàn)網(wǎng)絡(luò),至少在邊緣一側(cè)的網(wǎng)絡(luò)是完全沒有問題的。核心網(wǎng),固網(wǎng)的核心網(wǎng)還是IPA這種產(chǎn)品,但邊緣一側(cè)肯定是智能化解決方案有很大的用武之地。

同時(shí),我們采用的國產(chǎn)化的海光處理器做試點(diǎn),這個(gè)試點(diǎn)的效果我們認(rèn)為還是非常好的,原有國產(chǎn)化的平臺(tái)由于計(jì)算能力和網(wǎng)絡(luò)處理能力不太夠,原來我們認(rèn)為性能上頂不住,現(xiàn)在我們測試海光的處理器,CPU的核數(shù)高達(dá)128個(gè)核,我們用它單做DPI超過160GDPI,其中只用了64個(gè)核,另外64個(gè)核做畫單的處理。我們原來是有一個(gè)非DPDK的解決方案,我們在這個(gè)領(lǐng)域做了16年,原來我們有一套自己的解決方案,現(xiàn)在我們雙平臺(tái)都支持。

剛才提到了我們會(huì)用軟硬結(jié)合,固移結(jié)合,加上安全的方式,同時(shí)幫運(yùn)營商大力解決成本問題,把運(yùn)營商的安全問題解決掉。最后我花一點(diǎn)時(shí)間簡單介紹一下我們綠網(wǎng),我們武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司,我們的理念是因?yàn)閷W⑺詮?qiáng)大,實(shí)際上我們只干了一件事16年,就是在運(yùn)營商的網(wǎng)絡(luò)里做深度包檢測,同時(shí)我們用深度包檢測技術(shù)來實(shí)現(xiàn)網(wǎng)源的功能。

我們目前全國大概有420個(gè)人,基本上服務(wù)對象主要是三大運(yùn)營商,在中國電信市場占有率,這個(gè)類型,這個(gè)細(xì)分市場我們是最大的。我們證書里沒有提到我們有國家保密局的雙甲級,軟件和系統(tǒng)集成的資質(zhì),在這個(gè)方面我們會(huì)結(jié)合運(yùn)營商的需求和國家信息安全的需求提供我們完整的解決方案。

剛才也提到了,運(yùn)營商主要是解決管道問題的,當(dāng)然也希望向云方面滲透,這個(gè)管道目前一直在提智能管道,但為什么智能管道運(yùn)營商提了十年了,但為什么沒有成功呢?主要原因是因?yàn)榛A(chǔ)計(jì)算架構(gòu)不是智能的?,F(xiàn)在隨著基礎(chǔ)計(jì)算架構(gòu)智能化以后,網(wǎng)絡(luò)是有可能變成智能化的。

智能化以后,能夠?yàn)檫\(yùn)營商帶來一些提供安全服務(wù)增值的能力,這個(gè)是運(yùn)營商比較希望看到的,同時(shí)國家信息安全和未來的網(wǎng)絡(luò)安全都能夠進(jìn)入這個(gè)平臺(tái),能夠開展更多的業(yè)務(wù)應(yīng)用。剛才前幾位演講者提到在主機(jī)層面或者基礎(chǔ)架構(gòu)上保證網(wǎng)絡(luò)安全,但現(xiàn)實(shí)是什么?剛才說了運(yùn)營商沒有給網(wǎng)絡(luò)提供有效的保護(hù),所以說網(wǎng)絡(luò)是裸奔的,同時(shí)不是所有的單位,所有的個(gè)人都會(huì)投入這么高的成本去解決單位里頭的安全問題,剛才沈院士提到的像中央電視臺(tái)還有其他的一些機(jī)構(gòu),用了較高成本來實(shí)現(xiàn)安全,這個(gè)方案一定是可行的。

但現(xiàn)網(wǎng)上是江湖,江湖上什么都有,人非常多,各種各樣的人,各種攻擊行為,而且各種未經(jīng)保護(hù)的設(shè)備非常多。所以說把局域網(wǎng)里面的安全能力遷移到現(xiàn)網(wǎng)里來,并且形成一個(gè)新的生態(tài),這個(gè)價(jià)值非常巨大。為什么基于企業(yè)網(wǎng)和智能網(wǎng)的安全設(shè)備這么貴?原因很簡單,因?yàn)閱挝挥脩舫杀臼潜容^高的,因?yàn)橐粋€(gè)政企單位有幾百,幾千用戶是很大了,上萬的非常少見。但對運(yùn)營商來講,幾千人是非常小的末端的分支,如果用非常高昂的成本實(shí)現(xiàn)不可能,現(xiàn)在由于融合性的技術(shù)以后,完全可以做到這一點(diǎn),這樣的話會(huì)大幅度攤薄應(yīng)用成本。想象一下中國有7億的網(wǎng)民,手機(jī)用戶,我一個(gè)朋友是做這方面的,他告訴我的數(shù)據(jù)在網(wǎng)用戶有12億,就算按5億算,用5億來平灘網(wǎng)絡(luò)安全技術(shù),對網(wǎng)絡(luò)安全廠家和運(yùn)營商進(jìn)行合作,這個(gè)總的收入會(huì)非常的高,所以有可能大幅度降低安全技術(shù)的應(yīng)用成本。

當(dāng)然,不是替代政企網(wǎng)絡(luò)內(nèi)部的,因?yàn)橛行﹫鼍笆遣灰粯?,所以我們認(rèn)為這個(gè)方向是非常有前景的,我們最近幾年投入了大量的資金和人力在這個(gè)方面做一些儲(chǔ)備。非常感謝大家聽我分享,有機(jī)會(huì)可以來我們公司進(jìn)行合作,把相關(guān)好的安全產(chǎn)品整合在運(yùn)營商的網(wǎng)絡(luò)里,謝謝大家。

主持人 傅博巖:非常感謝葉總的精彩演講,下面有請深信服科技股份有限公司安全業(yè)務(wù)CIO郝軼帶來題為面向未來,有效保護(hù)的智安全架構(gòu)主題演講,大家歡迎。

郝軼:各位領(lǐng)導(dǎo)、專家、老師大家中午好,我是深信服的郝軼,下面我向大家匯報(bào)一下面向未來,有效保護(hù)的智安全架構(gòu)。

1503年的時(shí)候意大利的南部發(fā)生過一場戰(zhàn)役,當(dāng)時(shí)是西班牙人和法國人,法國是法國和瑞士的聯(lián)軍,當(dāng)時(shí)歐洲最強(qiáng)的騎士團(tuán)隊(duì)。從人員上來講,法國的人要比西班牙人多幾倍,是這么一個(gè)情況。但是在這場戰(zhàn)役當(dāng)中,法國人失敗了,因?yàn)槲靼嘌廊耸褂昧嘶鹌鳎择R克思說火藥把整個(gè)騎士階層炸的粉碎。。

我們發(fā)現(xiàn)通過切里尼奧拉戰(zhàn)役告訴我們擊敗騎士的不是更強(qiáng)的騎士,而是你不認(rèn)識(shí)的武器,攻防需要面向未來才能形成有效保護(hù),面向未來,有效保護(hù)就是我們深信服安全業(yè)務(wù)的理念。

下面我展開說一下我們看到的未來是什么樣子,我們又是如何看到大家是有效的去保護(hù)他的。這些是我們經(jīng)??吹降囊恍┱J(rèn)證,安全相關(guān)的,包括信息化相關(guān)的,包括上一位演講者組織就有很多這樣的認(rèn)證。深信服在全國有50多個(gè)分支機(jī)構(gòu),隨著“一帶一路”我們在全球都開展業(yè)務(wù),所以我們需要關(guān)注和掌握,比如說ISO277001,27017,27018,STAR,諸如這類的標(biāo)準(zhǔn)和認(rèn)證,這類的標(biāo)準(zhǔn)越來越多,這只是ISO,ISO有三萬多標(biāo)準(zhǔn)。

我們也提到隱私的保護(hù),大家還在努力學(xué)習(xí)歐盟的通用數(shù)據(jù)保護(hù)條例的時(shí)候,GDPR,我們發(fā)現(xiàn)美國的加州消費(fèi)者隱私保護(hù)CCPA就出臺(tái)了。我國隱私標(biāo)準(zhǔn)也出來了,包括我們國家也在開始做準(zhǔn)備《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》,合規(guī)的內(nèi)容一定會(huì)越來越多,他們都很重要。

另外一點(diǎn),以往我們談安全就是講攻和防,我們希望更加清楚的描述攻擊這件事情,如圖所示是國外一家機(jī)構(gòu)發(fā)布的矩陣,這個(gè)里面的內(nèi)容也是目前國際上最領(lǐng)先的幾家安全公司采用的框架,用來做什么呢?來描述對主機(jī)的攻擊,比如windows,他分了十一個(gè)步驟,每一個(gè)步驟下面又有很多具體的內(nèi)容。當(dāng)一個(gè)攻擊形成的時(shí)候,作為一個(gè)攻擊鏈,從左面的分類一直到最右邊的時(shí)候,每一個(gè)步驟就會(huì)形成非常多的組合,這種情況下,如果我們還是用以前人工的方法去響應(yīng)攻擊或者是檢測這些攻擊,就會(huì)變得非常難,這個(gè)就是最近全球最流行對攻擊的描述,大家可以做一個(gè)了解。

還有一些方面,我們都提到勒索病毒越來越重要,實(shí)際上勒索病毒由來已久,已經(jīng)超出了這張圖,1989年就出現(xiàn)世界第一個(gè)勒索病毒,但是今天勒索病毒的數(shù)量越來越多,據(jù)統(tǒng)計(jì)有800萬不同的勒索病毒。勒索病毒越來越多,為什么呢?我是這么想的,拖延是人的本性。我自己做過運(yùn)維,我們的補(bǔ)丁不一定能夠打的那么及時(shí),但是隨著區(qū)塊鏈技術(shù)的發(fā)展,加密貨幣給了勒索病毒的作者和這個(gè)黑產(chǎn)一個(gè)相對匿名獲取數(shù)據(jù)的方式,在巨大金錢的動(dòng)力下,勒索病毒這個(gè)產(chǎn)業(yè)里,一直在用最新的漏洞不斷更新變種,比如說可以在網(wǎng)上搜索最新的新聞,幾乎發(fā)布了什么最新的漏洞,勒索病毒就先有上了,而且更新的非??臁?/p>

還有一個(gè)問題,我們也發(fā)現(xiàn)我們曾經(jīng)做安全,說怎么做呢?做安全開發(fā)生命周期SDLC,我最早一直學(xué)習(xí)SDLC,我們也去學(xué)習(xí)各種各樣的風(fēng)險(xiǎn)評估的方法,比如我們知道RSO27005風(fēng)險(xiǎn)管理體系,有時(shí)候叫風(fēng)險(xiǎn)框架,比如說SP800-30,-27,-39,這些內(nèi)容。但是當(dāng)我曾經(jīng)做一個(gè)甲方的時(shí)候,我們發(fā)現(xiàn)這些內(nèi)容,我曾經(jīng)所在的組織有十萬臺(tái)以上的服務(wù)器,有三百個(gè)業(yè)務(wù),你根本來不及做一次風(fēng)險(xiǎn)評估,因?yàn)樘到y(tǒng)太大。我們發(fā)現(xiàn)在國外,現(xiàn)在最流行的方式是dev,ops,在這個(gè)基礎(chǔ)上去插入安全的能力,包括監(jiān)測和分析,這里又有一個(gè)問題,devops本身節(jié)奏非???,如果用傳統(tǒng)的方法干不過來,舊的問題發(fā)現(xiàn)了,你按傳統(tǒng)的瀑布模型讓他修補(bǔ),按道理舊的還沒修完,新系統(tǒng)本身出現(xiàn)了更新。

以在座的為例,比如說現(xiàn)在大家喜歡玩手機(jī),我們發(fā)現(xiàn)手機(jī)沒做什么又升級了,因?yàn)榻裉靌evops在全球比較普及,尤其是互聯(lián)網(wǎng)公司,所以我們APP在不停的升級,你就可以想你的安全措施來不來得及。

為了應(yīng)對這些2018年的時(shí)候,ISO,所有風(fēng)險(xiǎn)管理總的框架發(fā)布了最新的版本,這個(gè)版本里分三個(gè)部分,分別叫做原則、框架和流程,這個(gè)場景下,這個(gè)標(biāo)準(zhǔn)講的是所有的風(fēng)險(xiǎn)管理,他說無論在原則里還是在框架里,我們應(yīng)該能夠整合。什么意思?所有人都去找領(lǐng)導(dǎo)要資源,有人說投資風(fēng)險(xiǎn)很重要,合規(guī)風(fēng)險(xiǎn)很重要,病毒風(fēng)險(xiǎn)也很重要,我們需要用整合的視角處理所有的風(fēng)險(xiǎn)的內(nèi)容,這個(gè)內(nèi)容也是2017年最新的版本里的思想,就是一個(gè)整合,這是指拋開信息安全范圍以上的風(fēng)險(xiǎn)管理的思路。

同樣是這件事情,其實(shí)我們也發(fā)現(xiàn)了當(dāng)你拿過ISO9000叫質(zhì)量管理體系認(rèn)證,你拿過信息技術(shù)服務(wù)管理體系,做過27000叫信息安全管理體系,做過業(yè)務(wù)連續(xù)性叫ISO22301,包括你看過19600叫合規(guī)管理體系的時(shí)候,你發(fā)現(xiàn)都差不多。我之前就想他們到底有什么關(guān)系,直到我發(fā)現(xiàn)這個(gè)東西叫高層框架,其實(shí)我們學(xué)了這個(gè)東西就能夠把所有的管理體系用一套體系,運(yùn)行一套體系來滿足所有管理體系的要求。

我把這個(gè)東西再背一遍,非常簡單,所有的管理體系都是十個(gè)步驟,這個(gè)是2012年的時(shí)候ISO那個(gè)組織出了一個(gè)導(dǎo)則,給每一個(gè)管理體系的作者們說以后你們再寫管理體系就按這個(gè)來,這個(gè)叫高層框架。啥意思?2012年出的高層框架,2013年是ISO27001有一個(gè)GBT22080那個(gè)標(biāo)準(zhǔn)就更新了,包括去年的20000就更新了,他說什么呢?前面有三個(gè)部分,每一個(gè)標(biāo)準(zhǔn)都這么說,第一步我的范圍是什么,第一章,第二章,引用的文件,第三章術(shù)語和定義,第四章組織情景,第五章領(lǐng)導(dǎo)力,第六章策劃,第七章支持,第八章運(yùn)行,第九章績效評價(jià),第十章改進(jìn)。在第五章的時(shí)候都一樣,體現(xiàn)德魯克的管理思想。第六章要對方針進(jìn)行落地為目標(biāo),做信息安全是做什么?其實(shí)就是做應(yīng)對風(fēng)險(xiǎn)的措施和信息安全就是風(fēng)險(xiǎn)的識(shí)別和對風(fēng)險(xiǎn)的應(yīng)對,就是整個(gè)ISO27001和其他的區(qū)別,就是這個(gè)東西。

我們也發(fā)現(xiàn)從控制域的角度來講,無論是27000還是等級保護(hù),比如說等級保護(hù)1.0的時(shí)候,我們分物理網(wǎng)絡(luò)主機(jī)應(yīng)用和數(shù)據(jù)備份,2.0的時(shí)候根據(jù)25070,去年年底大家調(diào)整最新的那個(gè)版本,按照25070一個(gè)中心分層防護(hù),其實(shí)都是控制域,完全能夠整合。直到我這個(gè)月初在美國ISA發(fā)現(xiàn)原來美國人也這么玩,把PCDSS,金融行業(yè)支付卡的標(biāo)準(zhǔn),也去和美國的CSSF叫網(wǎng)絡(luò)空間安全框架做相應(yīng)的匹配,我們能做到的就是不光把過程用高層框架整合,把控制域也能夠整合。

想到這個(gè)事兒我就實(shí)踐了,去年我就嘗試著用非常古老的方法,有一個(gè)叫ISO27013,專門講27001信息安全和運(yùn)維怎么結(jié)合在一起,安全的讓往往向運(yùn)維匯報(bào),怎么用一個(gè)團(tuán)隊(duì),就這么多人,把活全干了,就干了這一個(gè)事。但這個(gè)太簡單,又做了什么?把這一堆東西用一個(gè)體系做成一個(gè)體系,通過運(yùn)行一個(gè)體系滿足所有目標(biāo),為什么做這件事情?因?yàn)槲野l(fā)現(xiàn)在我的組織里,安全人員很少,不管是跟信息安全相關(guān)的合規(guī)性的內(nèi)容,永遠(yuǎn)是這么幾個(gè)人負(fù)責(zé)管理,一堆人負(fù)責(zé)配合。當(dāng)時(shí)我所在的組織已經(jīng)超過了15個(gè)認(rèn)證,這些時(shí)候我算了一下,每個(gè)月都要去跟審核機(jī)構(gòu)做配合,我的研發(fā),我的運(yùn)維要干活,我要節(jié)省大家的時(shí)間,提高工作效率,我要讓我的工作干的完,這只是我工作的一小部分,我就做了一件事,一年就做兩遍,一個(gè)體系,所有檢查不管是國內(nèi)還是國外都搞定,這就是之前做的事。

說到這兒,我們到了今天這個(gè)場景,我們想一個(gè)問題,由于深信服是一個(gè)面向全球的安全公司,之前做的事情是聚焦20%的產(chǎn)品,把它做到極致,覆蓋80%的需求,我認(rèn)為今天有這么好的機(jī)會(huì)跟各位老師和專家同行在一起,我不應(yīng)該講我們家的產(chǎn)品有多么多么的好,而是我們應(yīng)該一起想一個(gè)辦法,怎么把我們在座的這些中國的安全企業(yè),這些產(chǎn)品用一個(gè)簡單的表達(dá),滿足國內(nèi)外的需求,用一個(gè)模型對外展現(xiàn)出去,去抵御來自全球的威脅,雖然我們在中國,但是攻擊者可能來自全世界,我們要把東西按照“一帶一路”的政策賣出去,我們既要遵守自己的規(guī)定和相關(guān)的網(wǎng)絡(luò)安全法等很多內(nèi)容,也要去兼容,所以我們提出了一個(gè)模型,它包含了三個(gè)部分。分別是防御、檢測、相應(yīng)的基本能力。

面對著未來的形勢,攻擊越來越多,描述起來細(xì)節(jié)越來越復(fù)雜,量又特別大,又需要很快速的信息化和安全的能力,我們要提出基于人工智能的自動(dòng)化工具輔助就是里面的智能。我們有那么多的標(biāo)準(zhǔn)、合規(guī)和政策要去實(shí)現(xiàn),我們的人又那么少,我們要把真金白銀買來的設(shè)備提高安全能力,我們需要用人做運(yùn)營,在運(yùn)營里做組織業(yè)務(wù),風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)管理,安全治理,供應(yīng)鏈安全和相關(guān)的合規(guī)工作去落地,我們把這個(gè)模型叫做深信服的智安全架構(gòu),也叫APDRO風(fēng)險(xiǎn)管理模型,基于這個(gè)模型我們深信服只有一點(diǎn)點(diǎn)設(shè)備做了一個(gè)能力交付矩陣,做了支持這個(gè)模型的一部分。

基于這項(xiàng)內(nèi)容我們又把能力交付矩陣和模型做了戰(zhàn)略分解落地,最下面是能力的支撐,我們認(rèn)為常見的能力,不管你是什么內(nèi)容,都可以用這一個(gè)簡單的模型對他進(jìn)行表達(dá),叫什么,里面的元素是什么并不重要,我們只需要在現(xiàn)階段找到一種簡單的方法,能夠讓他快速把安全運(yùn)營起來,達(dá)到有效保護(hù)是我們的目的。

我們也是為了闡述深信服主要的安全能力,所以最下面大家可以看到是對智能防御檢測響應(yīng)的分解,我們的APDRO,中間這一部分就是安全體系,其實(shí)就是我們的等級保護(hù),是按老板的基本要求做的,我們也參考新的版本去調(diào)整。我們雖然學(xué)習(xí)了,或者持續(xù)學(xué)習(xí)來自大量國際上最新的攻防的趨勢,管理的理念,包括一些技術(shù)的內(nèi)容,我們大量的學(xué)習(xí),但在國內(nèi)我們還是堅(jiān)決執(zhí)行和學(xué)習(xí)支持等級保護(hù)的相關(guān)工作,目前我們已經(jīng)有了120個(gè)人的CIIP-A叫做關(guān)鍵基礎(chǔ)設(shè)施等級保護(hù)2.0認(rèn)證,我們在內(nèi)部要求以高考的態(tài)度和強(qiáng)度去學(xué)習(xí),包括我自己也是剛考完。我們把等級保護(hù)的相關(guān)認(rèn)證納入人員晉升和日??己?。

今天的內(nèi)容就講到這里,希望有機(jī)會(huì)能和各位領(lǐng)導(dǎo)和專家繼續(xù)學(xué)習(xí),和各位友商共同建立一種生態(tài),能夠在國內(nèi)共同去抵御來自全球的威脅,謝謝大家。

主持人 傅博巖:非常感謝郝總的報(bào)告,下面是今天上午最后一個(gè)發(fā)言,北京北信源軟件股份有限公司高級副總裁鐘力,演講的題目是國產(chǎn)化平臺(tái)終端安全解決方案,大家歡迎。

鐘力:大家中午好!快到飯點(diǎn)了,爭取講的好一點(diǎn),讓大家挨餓是值得的。我今天分享的內(nèi)容是國產(chǎn)化平臺(tái)的終端安全解決方案,探討一下,大概介紹一下北信源在國產(chǎn)安全方面的探索和實(shí)踐。

三塊內(nèi)容,先簡單介紹一下背景和現(xiàn)狀,然后是我們的解決方案,最后有時(shí)間介紹一下我們公司。首先我們來看現(xiàn)狀,實(shí)際上我們現(xiàn)在的政府或者是軍工關(guān)鍵的部門,實(shí)際上非常的依賴國外的供貨商,比如說像銀行里的服務(wù)器,包括辦公桌面系統(tǒng)還在用windows或者ibm的服務(wù)器,現(xiàn)在網(wǎng)絡(luò)設(shè)備已經(jīng)好多了,有華為的崛起。這樣會(huì)過分的依賴國外的廠商造成自主可控性比較差,安全隱患也比較突出。

同時(shí)我們技術(shù)也是受制于人,實(shí)際上我們的芯片,數(shù)據(jù)庫,我們現(xiàn)在有,但確實(shí)還不夠好,這方面會(huì)受制于人,這也帶來了一些安全問題。比如說像中興事件被制裁,這種核心技術(shù)實(shí)際上為我們大國會(huì)帶來一些安全隱患,同時(shí)也會(huì)有這樣的一些后門和漏洞。

實(shí)際上很多網(wǎng)絡(luò)設(shè)備,很容易在里面有后門的,在你不知情的情況下,把流量引走,做遠(yuǎn)程的數(shù)據(jù)獲取和監(jiān)控,包括你像棱鏡門的事件,除了國外互聯(lián)網(wǎng)廠商給他們的情報(bào)部門發(fā)數(shù)據(jù),在關(guān)鍵基礎(chǔ)設(shè)施,像路由器,交換機(jī),很多數(shù)據(jù)可以被他們監(jiān)控到,所以5G美國才會(huì)那么著急,這是一個(gè)現(xiàn)狀。

這樣的情況下,實(shí)際上自主可控,安全可信已經(jīng)成為國家的戰(zhàn)略,剛才沈院士也提到了我們現(xiàn)在不提自主可控,實(shí)際上對于我們的大國來說安全可控是比較合理的,我們本身也在講國際化,如果我們講自主可控,人家說自己關(guān)起門自己搞。對我們關(guān)鍵基礎(chǔ)設(shè)施我們要自主可控,很多東西需要我們自己的,但實(shí)際上安全可控是我們一個(gè)正確的表達(dá),其實(shí)像國外的信息產(chǎn)品或者是一些安全的產(chǎn)品,你也可以到中國來,但是也需要通過審查,這是中國加強(qiáng)網(wǎng)絡(luò)安全審查主要的原因。

安全可控成為國家戰(zhàn)略的情況會(huì)貫穿整個(gè)IT領(lǐng)域全產(chǎn)業(yè)鏈,國產(chǎn)化的替代進(jìn)程是勢不可擋的。實(shí)際上在國產(chǎn)化的平臺(tái),在這一塊來說我們國家實(shí)際上做了大量的工作,實(shí)際上已經(jīng)頗有成效,目前為止已經(jīng)形成了一個(gè)比較好的生態(tài)和產(chǎn)業(yè)鏈,像整機(jī)廠商像聯(lián)想、706等等在服務(wù)器或者桌面PC包括筆記本電腦都有相應(yīng)的產(chǎn)品,包括CPU我們有龍芯,飛騰,兆芯,申威等,中間件包括數(shù)據(jù)庫包括上層辦公軟件,這些形成了一個(gè)完整的生態(tài)和產(chǎn)業(yè)鏈。

圍繞這樣的平臺(tái)產(chǎn)業(yè)鏈,我們在安全方面,實(shí)際上我們已經(jīng)構(gòu)建了這樣一個(gè)比較完整的體系,我們看到這樣的一個(gè)架構(gòu),我們會(huì)非常的熟悉,當(dāng)然這也是傳統(tǒng)分層分級的描述。在這里面的區(qū)別我們可以看到,實(shí)際上區(qū)別是在底層我們國產(chǎn)化平臺(tái)特別強(qiáng)調(diào)的,包括我們沈院士提到的可信計(jì)算,用可信計(jì)算模塊來做上層的安全支撐,上面所有合法的應(yīng)用都是要經(jīng)過簽名驗(yàn)證。

我們講現(xiàn)在的木馬,現(xiàn)在的高敏的攻擊手段也可以做到簽名單,但有正向基礎(chǔ)的可信的支撐,整個(gè)安全體系應(yīng)該說會(huì)和過去有一個(gè)比較大的改觀。

第二塊我會(huì)重點(diǎn)介紹一下我們北信源的國產(chǎn)化平臺(tái)的終端安全解決方案,在安全可控,自主可控的前提下怎么做安全,我們先要做威脅的分析,實(shí)際上現(xiàn)在我們都在講APP攻擊是一種有組織,有目標(biāo),或者有國家地區(qū)背景支持的網(wǎng)絡(luò)攻擊形式,目標(biāo)會(huì)瞄準(zhǔn)我們的重要信息安全和關(guān)鍵性的基礎(chǔ)設(shè)施,這些如果放在我們安全可控或者放在國產(chǎn)化的前提下,我們將來用國產(chǎn)化的平臺(tái)來構(gòu)建這樣的一個(gè)信息系統(tǒng),將來會(huì)成為攻擊目標(biāo)。

我們怎么樣應(yīng)對,這樣的威脅現(xiàn)狀是非常多的,像我們國家每個(gè)月,每周都有月報(bào),周報(bào),年報(bào),這個(gè)數(shù)據(jù)是2017年,2018年的年報(bào)還沒出來,2019年1月的月報(bào),我們可以看到我們政府網(wǎng)站一直是屬于被攻擊狀態(tài),被篡改網(wǎng)頁,被植入后門的狀況非常多。而且像我們這些威脅,針對我們的威脅都是他們的資源,下面的資源支持的力度非常大,因此它可以持續(xù)時(shí)間很長,能力也是不斷的提升,而且針對性,針對你的應(yīng)用,針對你的系統(tǒng)漏洞的挖掘和利用能力非常強(qiáng)。

在這樣威脅的狀態(tài)下,我們?nèi)绾蝸碜霭踩课覀儽毙旁吹睦砟?,我們基本的理念是打造主?dòng)防御的國產(chǎn)終端安全體系,這里面是兩大塊,安全基線+安全服務(wù),這個(gè)里面就像剛才說的網(wǎng)絡(luò)信息化和網(wǎng)絡(luò)安全是一體之兩翼,做安全的來說我們要更好的應(yīng)對網(wǎng)絡(luò)空間安全威脅,實(shí)際上也是一體之兩翼,安全基線+安全服務(wù),安全基線就是合規(guī),合規(guī)怎么做?我們要形成一個(gè)基礎(chǔ)的防御體系,要根據(jù)像等?;蛘叻旨壉Wo(hù)國家的相關(guān)標(biāo)準(zhǔn)構(gòu)筑安全防護(hù)基線,這是為我們不同級別的信息系統(tǒng)構(gòu)建最低安全保護(hù)的防護(hù)能力。

同時(shí),我們認(rèn)為做安全基線,為什么要依據(jù)標(biāo)準(zhǔn)來做,要合規(guī),實(shí)際上我們做安全一定要以我為主,從防護(hù)方的角度,視角去做網(wǎng)絡(luò)安全,你不能說攻擊是什么,我去做,那樣會(huì)非常被動(dòng)。放在一些產(chǎn)品的層次,比如說去做檢測,做防護(hù),可以分析攻擊行為怎么做的,怎么攔截,檢測。

從信息系統(tǒng)的層面,從終端計(jì)算環(huán)境的層次,防護(hù)一定是以我為主的,像沈院士提到的安全,我們在邏輯上沒有問題,沒有漏洞,我們要做邏輯的覆蓋,但同時(shí)我們發(fā)現(xiàn)僅僅有安全基線是不夠的,每年都有這么多的安全事件,如果我們用安全基線防護(hù)夠的話就沒有這些事件了,實(shí)際上每年的安全事件層出不窮,像2017年勒索病毒爆發(fā)的時(shí)候所有安全公司都到一線做應(yīng)急,做維護(hù),做恢復(fù)。

我們認(rèn)為安全是一個(gè)動(dòng)態(tài)的攻防對抗的過程,需要?jiǎng)討B(tài)性的,剛才說的一體之兩翼,除了安全的基線,還需要安全服務(wù),就是來執(zhí)行主動(dòng)的防御理念,形成動(dòng)態(tài)的防護(hù)。這一塊怎么來做,每年有這么多的惡意代碼,有這么多的攻擊手法,還有很多的變更,人工的方式顯然不行。

安全服務(wù)實(shí)際上是需要大數(shù)據(jù)或者是人工智能的手段來輔助我們更好的做安全服務(wù),包括像安全檢測、評估、威脅情報(bào)、應(yīng)急處置等等這樣一些東西需要大數(shù)據(jù)的手段進(jìn)行支撐,這是北信源安全的理念,就是安全基線+安全服務(wù)一體,也相當(dāng)于是一體之兩翼。

安全基線剛才提到了,用國家相關(guān)的標(biāo)準(zhǔn),等級保護(hù),2.0的標(biāo)準(zhǔn)要出來了,實(shí)際上這個(gè)里面提到一些內(nèi)容,像等級保護(hù)的基本要求,新的等保標(biāo)準(zhǔn)里一個(gè)新的三重防護(hù),實(shí)際上這塊的防護(hù)參考或者借鑒融合了美國信息保障技術(shù)框架里的一些內(nèi)容,深度防御策略,分層防護(hù),從安全的通信網(wǎng)絡(luò),安全的區(qū)域邊界到最終安全的計(jì)算環(huán)境,層層深度的防御。

今天我們探討的是國產(chǎn)化平臺(tái)終端安全防護(hù)體系,涉及到的主要內(nèi)容是安全計(jì)算環(huán)境里的內(nèi)容,安全計(jì)算環(huán)境里按照標(biāo)準(zhǔn)的要求會(huì)涉及到很多方面,比如說像身份鑒別,像訪問控制,像安全審計(jì)、入侵防范、惡意代碼防范、數(shù)據(jù)安全、數(shù)據(jù)備份等等這樣一些內(nèi)容。比如說像身份鑒別,對用戶要怎么鑒別,用哪些措施,比如雙因子的鑒別,鑒別失敗了怎么辦,有一些失敗的處理機(jī)制,不能說無窮去嘗試一些口令,包括鑒別受到的保護(hù),包括像一些入侵防范里,比如說準(zhǔn)入控制,實(shí)際上對終端來說很重要,只有符合我的安全標(biāo)準(zhǔn)的,是安全狀態(tài)的終端才允許接入我的信息系統(tǒng)。

這是安全基線的內(nèi)容,今天下午開會(huì)有一個(gè)等保的報(bào)告,我這里不多說了。第二塊是安全服務(wù),我們北信源也是今年比較強(qiáng)調(diào)安全服務(wù)這一塊的內(nèi)容,我們認(rèn)為安全服務(wù)才能更好的去應(yīng)對現(xiàn)在日益增長的安全威脅,但我們講沒有安全基線也不行,包括前面沈院士提到的老三樣,防火墻,殺毒,入侵檢測,沒有那些也不行,都是需要的?,F(xiàn)在一個(gè)信息系統(tǒng)沒有一個(gè)防火墻,黑客就兵臨城下了,也顯然是不行的。

實(shí)際上安全服務(wù)的范疇包括像培訓(xùn),像咨詢等等很多內(nèi)容,這里面提到的安全服務(wù)實(shí)際上就是能夠融入系統(tǒng)的能力,能夠被大數(shù)據(jù)、人工智能平臺(tái)所支撐的安全服務(wù),目的是通過這樣一些服務(wù)形成自動(dòng)化,能夠智能支持更強(qiáng)的對抗能力。

這里實(shí)際上可以做到的,比如說對我們所服務(wù)的對象可以做安全檢測,安全評估,包括共享一些威脅情報(bào),包括我們這樣的系統(tǒng),實(shí)際上提到的部署,如果部署在自己的私有云里是可以做態(tài)勢感知,包括像云端的安全分析這樣的一些事情。更重要的是一些應(yīng)急處置的內(nèi)容,前端的支持包括后端智囊的支持都在安全服務(wù)里充分的體現(xiàn)。

服務(wù)的平臺(tái)怎么來做?實(shí)際上是兩種實(shí)現(xiàn)方式,第一種像我們廠商級的,北信源有很多政府、軍工的用戶,我們?yōu)樗峁┌踩?wù),還有一種是大用戶,國家電網(wǎng)、公安部這樣的,在信息系統(tǒng)里,行業(yè)私有云里構(gòu)建自己安全服務(wù)的支撐平臺(tái)。同時(shí)我們希望這樣的安全服務(wù)能夠有效應(yīng)對威脅,獲得用戶的認(rèn)同,在任何一種安全事件前,事件中,事件后都有處理機(jī)制,和前面的安全基線雙管齊下,實(shí)現(xiàn)動(dòng)靜合一,如果把安全基線認(rèn)為是靜態(tài)防御,實(shí)際上體現(xiàn)了安全服務(wù)的動(dòng)態(tài)防御,形成主動(dòng)的安全防護(hù)。

基于這樣的理念或者思想,在北信源國產(chǎn)化平臺(tái)的產(chǎn)品體系里,實(shí)際上我們體現(xiàn)的非常充分,我們有大數(shù)據(jù)系統(tǒng),有基于大數(shù)據(jù)的安管平臺(tái),有大數(shù)據(jù)安全分析的平臺(tái),利用他們來做大數(shù)據(jù)驅(qū)動(dòng)的安全服務(wù),同時(shí)我們保護(hù)了對象,我們在安全計(jì)算環(huán)境里能保護(hù)我們的對象,像服務(wù)器,像移動(dòng)終端,我們國產(chǎn)化平臺(tái)的設(shè)備都能夠提供充分的保護(hù),同時(shí)我們通過系列化的產(chǎn)品來打造符合標(biāo)準(zhǔn)的安全基線,構(gòu)造一個(gè)剛才提到的安全基線+安全服務(wù)終端安全的體系。

圍繞這樣的一個(gè)體系架構(gòu),或者是我們的一個(gè)安全解決方案,我們在五個(gè)方面,在網(wǎng)絡(luò)準(zhǔn)入控制,操作系統(tǒng)安全增強(qiáng),應(yīng)用與數(shù)據(jù)安全,惡意代碼防御,大數(shù)據(jù)驅(qū)動(dòng),這五個(gè)方面我們是推出了很多產(chǎn)品,這些產(chǎn)品的協(xié)同聯(lián)動(dòng)打造了一個(gè)為國產(chǎn)化平臺(tái)的終端,相當(dāng)于為這樣一個(gè)平臺(tái)保駕護(hù)航提出了一個(gè)比較完整的解決方案。

具體的功能我在這里就不說了,一些細(xì)節(jié)可以了解,去我們的網(wǎng)站去了解,包括我們后面的展板。對于國產(chǎn)化的設(shè)備,我們國家對國產(chǎn)化的替代進(jìn)程的推進(jìn),應(yīng)該說管理的非常有效,穩(wěn)步推進(jìn)。特別是在涉密領(lǐng)域,對國產(chǎn)化平臺(tái)都會(huì)有相應(yīng)的測試、適配。在北信源的產(chǎn)品里都已經(jīng)完成了,像聯(lián)想、706、長城的整機(jī),用的是龍芯、飛騰、兆芯、申威,這樣的安全軟件都能夠在我們國產(chǎn)化平臺(tái)上進(jìn)行安全穩(wěn)定的運(yùn)行。

在涉密領(lǐng)域國家有相應(yīng)的,像專用的軟硬件設(shè)備以及適配的目錄,北信源相關(guān)的產(chǎn)品都已經(jīng)列入目錄中。我們可以看到國產(chǎn)化的替代進(jìn)程,剛才說了是勢不可擋,應(yīng)該說應(yīng)用領(lǐng)域非常的廣泛,剛才說一開始是黨政軍加國計(jì)民生這八大行業(yè),而且國家部委已經(jīng)發(fā)文了,推進(jìn)會(huì)非??欤?020年,2021年,2022年,就這幾年的事情推進(jìn)的會(huì)非???。國產(chǎn)化替代的空間也是非常大的,我們北信源在這方面一直在努力,一直在前進(jìn)。

最后我簡單介紹一下北信源,北信源是1996年成立的,2012年在深圳創(chuàng)業(yè)板上市,是國家中間的軟件企業(yè),高新技術(shù)企業(yè),是中國第一批自主品牌信息嚴(yán)重產(chǎn)品和整體解決方案提供商,中國信息安全領(lǐng)域領(lǐng)軍企業(yè)之一。特別是我們的終端產(chǎn)品在國內(nèi)市場連續(xù)12年排名第一。

這是北信源所有業(yè)務(wù)的全景圖,應(yīng)該說我們從2015年執(zhí)行信息安全,大數(shù)據(jù),互聯(lián)網(wǎng)三大戰(zhàn)略,圍繞這三大戰(zhàn)略推出了系列安全產(chǎn)品,國產(chǎn)化是我們重點(diǎn)的方向之一,包括安全服務(wù),我們也是重點(diǎn)發(fā)力,在這一塊要形成一個(gè)完整的解決方案,還有在工控領(lǐng)域,我們也推出了系列的產(chǎn)品。北信源覆蓋的安全業(yè)務(wù)場景是非常全面的。

我今天演講內(nèi)容就到這里,謝謝大家。

主持人 傅博巖:感謝鐘總的精彩報(bào)告,今天上午我們的論壇就到此結(jié)束,下午兩點(diǎn)鐘還在這個(gè)會(huì)場,大家準(zhǔn)時(shí)回到這個(gè)會(huì)場參加下午的會(huì)議,謝謝大家。

時(shí)間:2019年3月28日下午

地點(diǎn):裕龍國際大酒店一層宴會(huì)廳

主題:2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì)

主持人 傅博巖:各位領(lǐng)導(dǎo),各位來賓,女士們、先生們,大家下午好!歡迎大家回到我們2019第四屆中國網(wǎng)絡(luò)信息安全峰會(huì),我是主辦單位中國信息協(xié)會(huì)大數(shù)據(jù)分會(huì)的常務(wù)副會(huì)長傅博巖,今天上午我們展開了一個(gè)觀點(diǎn)交鋒,應(yīng)該說我征求了一下幾位與會(huì)人士的意見,大家都覺得很有收獲。

今天下午是來自國家信息安全領(lǐng)域的權(quán)威專家以及有影響力的學(xué)者和企業(yè)代表,就如何更快,更有效的應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的議題進(jìn)行一個(gè)深入的交流和探索,讓我們共同期待。下面我主要介紹一下今天下午與會(huì)主要領(lǐng)導(dǎo)和嘉賓。公安部十一局七處副處長范春玲;瑞星安全研究院院長葉超;國家互聯(lián)網(wǎng)應(yīng)急中心 區(qū)塊鏈安全技術(shù)檢測中心顧問專家宮云戰(zhàn)教授;衛(wèi)士通信息產(chǎn)業(yè)故反有限公司副總工程師韓斐博士;國信電子票據(jù)平臺(tái)信息服務(wù)有限公司營銷中心總經(jīng)理崔艷輝;工信部賽迪網(wǎng)絡(luò)安全研究所所長,賽迪區(qū)塊鏈研究院院長劉權(quán)博士;

讓我們大家以熱烈的掌聲對各位嘉賓和全體與會(huì)人士的到來表示熱烈的歡迎。關(guān)鍵基礎(chǔ)設(shè)施與公共的衣食住行息息相關(guān),作為關(guān)乎國家安全和利益的戰(zhàn)略性資源,其重要性無須多言。近年來關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域已經(jīng)成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),首先有請公安部十一局七處副處長范春玲帶來題為新形勢網(wǎng)絡(luò)安全等級保護(hù)制度的分享,有請。

范春玲:各位領(lǐng)導(dǎo),各位嘉賓,各位參會(huì)的代表大家下午好!今天特別榮幸受到信息協(xié)會(huì)的邀請來到我們這個(gè)會(huì)場,主要也是想借著這個(gè)平臺(tái)介紹一下等保制度,是2007年全國范圍內(nèi)推進(jìn)實(shí)施以來有了這么多年,積累了這么多經(jīng)驗(yàn),在此基礎(chǔ)上隨著形勢的發(fā)展和變化,隨著網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的提出,我們等級保護(hù)制度在新的環(huán)境下,新的時(shí)期,新的時(shí)代,新的形勢下不斷完善。

公安部網(wǎng)絡(luò)安全保衛(wèi)局,或者公安機(jī)關(guān)的網(wǎng)安部門在網(wǎng)絡(luò)空間,在我們等保工作里一直做著牽頭實(shí)施,在全國范圍內(nèi)深入推進(jìn)。我們按照中央最新的要求,我們公安部按照中央確定的,在網(wǎng)絡(luò)空間的職責(zé),主要有幾個(gè)方面,這是我們新的時(shí)期,我們在網(wǎng)絡(luò)空間領(lǐng)域發(fā)揮主力軍作用的幾個(gè)方面。

第一個(gè)是要建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度,各位都清楚,隨著國家網(wǎng)絡(luò)空間,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,國家提出了關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)制度,在國家有關(guān)文件做了明確規(guī)定,我們公安部和中央網(wǎng)信辦共同牽頭加強(qiáng)能源、交通、通訊等等,總共是8個(gè)重要領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。另外新的形勢下,中央就我們國家網(wǎng)絡(luò)安全方面的具體工作進(jìn)一步推進(jìn)實(shí)施網(wǎng)絡(luò)空間等級保護(hù)制度,這也是我們最新的,公安部三定方案里提出來的,進(jìn)一步貫徹落實(shí)網(wǎng)絡(luò)空間安全等級保護(hù)制度,按照網(wǎng)絡(luò)空間保障的政策策略的要求進(jìn)一步健全完善等保制度,此外還有我們要進(jìn)一步健全完善網(wǎng)絡(luò)安全,信息安全,信息通道機(jī)制,加強(qiáng)監(jiān)測,通報(bào)預(yù)警等等工作,提升我們國家整體的網(wǎng)絡(luò)控制的防御能力,這是我們在網(wǎng)絡(luò)空間,網(wǎng)安部門在網(wǎng)絡(luò)空間里發(fā)揮主力軍作用的三個(gè)最重要的方面。

此外還有我們要進(jìn)一步按照公安部履行相關(guān)職能要求,進(jìn)一步監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全保護(hù)工作,按照賦予我們的職責(zé)任務(wù),每年持續(xù)開展全國性的,專項(xiàng)集中的專門的安全檢查。此外還有情報(bào)偵查,打擊網(wǎng)絡(luò)違法犯罪,另外就是我們近幾年一直在推進(jìn)開展的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演習(xí),常說的護(hù)網(wǎng)行動(dòng),這是從攻和防提升我們的能力。此外我們還連續(xù)開展了關(guān)于網(wǎng)絡(luò)安全專項(xiàng)的行動(dòng),我們近些年連續(xù)開展了一系列的,我們前些年開展了關(guān)于我們互聯(lián)網(wǎng)網(wǎng)站的專項(xiàng)整治活動(dòng),近些年我們開展了關(guān)于黨政機(jī)關(guān),企事業(yè)單位的電子郵件的專項(xiàng)整治活動(dòng),又開展了以大型互聯(lián)網(wǎng)企業(yè)為主,大型互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)安全保衛(wèi),我們按照中央領(lǐng)導(dǎo)的要求,按照人民群眾反映最突出的關(guān)于數(shù)據(jù)安全的問題正在集中開展大數(shù)據(jù)的安全整治,這都是我們開展網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)的具體工作。

另外,我們公安部也按照147號(hào)令的規(guī)定在開展網(wǎng)絡(luò)安全產(chǎn)品的銷售許可管理,這可以說是網(wǎng)絡(luò)安全產(chǎn)品進(jìn)入市場的第一道門檻,市場準(zhǔn)入。另外我們綜合相關(guān)各方面的職能,我們集中目標(biāo),集中力量,最終要構(gòu)建一個(gè)管防一體化的防御體系,這是在公安網(wǎng)安部門的職能作用。

隨著形勢的發(fā)展和變化,隨著國家網(wǎng)絡(luò)安全法的發(fā)布實(shí)施,法律里面明確規(guī)定國家要實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度,這是147號(hào)令里規(guī)定等保制度以來,進(jìn)一步將等保制度上升為國家法律規(guī)定,同時(shí)我們在網(wǎng)絡(luò)安全法進(jìn)一步就網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的關(guān)系做了明確,下一步我們相關(guān)的部門也正在按照法律要求開展相關(guān)的一是法律法規(guī)體系方面的建設(shè),另外一個(gè)就是我們在重點(diǎn)防護(hù)方面采取重要的工作,專項(xiàng)工作。

我們在立法方面,我們是要按照我們國家有關(guān),隨著形勢發(fā)展,技術(shù)發(fā)展應(yīng)用,整個(gè)形勢安全的需求,我們在不斷推進(jìn)網(wǎng)絡(luò)空間體系的建設(shè),我們有了網(wǎng)絡(luò)空間法,我們后續(xù)配套的關(guān)鍵基礎(chǔ)設(shè)施條例,數(shù)據(jù)安全法等等一系列關(guān)于網(wǎng)絡(luò)安全方面的法律法規(guī)正在不斷的制定出臺(tái),像我們的互聯(lián)網(wǎng)信息服務(wù)管理辦法等等,這些相關(guān)的法律規(guī)定也按照形勢發(fā)展的要求正在不斷的健全和完善。

從公安部的角度來講,我們推進(jìn)實(shí)施了近十多年的網(wǎng)絡(luò)安全等級保護(hù)制度,按照中央領(lǐng)導(dǎo)的批示要求正在出臺(tái)網(wǎng)絡(luò)安全等級保護(hù)條例。我們等保制度是我們國家網(wǎng)絡(luò)安全工作的一個(gè)基本制度,基本策略和基本方法,也是經(jīng)過實(shí)踐檢驗(yàn)的,我們覺得經(jīng)過近十多年的實(shí)驗(yàn),國家重要領(lǐng)域開展網(wǎng)絡(luò)工作的時(shí)候一直將網(wǎng)絡(luò)安全等級保護(hù)制度作為一個(gè)核心,作為一條主線來推進(jìn)本單位,本領(lǐng)域,本信息系統(tǒng)的安全保護(hù)工作,這也是我們積累了這么多年,網(wǎng)絡(luò)安全保障工作實(shí)踐經(jīng)驗(yàn)而來的最重要的一個(gè)工作措施和工作方法。

等保制度隨著這么多年在國內(nèi)的推進(jìn)和實(shí)施,到了新形勢下,也隨著現(xiàn)代形勢發(fā)展的需求不斷的健全和完善,實(shí)際上我們到了如今,前些年實(shí)施等保制度的時(shí)候主要還是推進(jìn)我們這些重要的行業(yè)部門,很多系統(tǒng)都是在內(nèi)網(wǎng)上建立的系統(tǒng),隨著形勢的發(fā)展,為了互聯(lián)網(wǎng)廣泛的普及和應(yīng)用,等保工作的重點(diǎn)逐步調(diào)整為關(guān)鍵信息基礎(chǔ)設(shè)施和大數(shù)據(jù),這是近一兩年等保制度推進(jìn)實(shí)施過程中不斷調(diào)整我們的重點(diǎn)方向,一個(gè)重要的表現(xiàn)。

可以講我們等保制度的貫徹和實(shí)施,是一項(xiàng)關(guān)乎國家安全,社會(huì)穩(wěn)定和國家利益的重要任務(wù)。我們在新的時(shí)期,新的情況下,我們等保制度的健全和完善,從指導(dǎo)思想方面有以下的幾個(gè)方面。

第一,我們在新的時(shí)期,要以我們最強(qiáng)的網(wǎng)絡(luò)攻擊能力為標(biāo)尺,大家都知道世界上的網(wǎng)絡(luò)空間里能夠稱之為有霸權(quán)地位的幾個(gè)主要的國家,我們在構(gòu)建全新網(wǎng)絡(luò)安全等級保護(hù)制度的形勢下,我們需要以現(xiàn)在世界上最強(qiáng)的網(wǎng)絡(luò)攻擊能力為標(biāo)尺依法開展網(wǎng)絡(luò)安全的保衛(wèi)、保護(hù)和保障的相關(guān)工作,這也是當(dāng)前在等保健全完善的過程里首先要遵循的第一個(gè),首位的指導(dǎo)思想。

第二,等保工作,以往很多人理解為只是一個(gè)重點(diǎn)是在于防御方面,隨著現(xiàn)在形勢的發(fā)展,實(shí)際上我們是要構(gòu)建一個(gè)打防管控一體化綜合的管控體系,目前我們朝著這個(gè)目標(biāo)構(gòu)建我們等保的制度體系。

第三,以我們的網(wǎng)絡(luò)安全事件為主線,以我們當(dāng)前存在的網(wǎng)絡(luò)安全的重?fù)?dān)問題為導(dǎo)向注重我們的攻防兼?zhèn)淠芰Φ慕ㄔO(shè),是我們主要的指導(dǎo)思想。

新的技術(shù)不斷發(fā)展,不斷應(yīng)用的過程中,等保制度也是進(jìn)一步結(jié)合可信計(jì)算人工智能、大數(shù)據(jù)分析新的技術(shù),以這些新技術(shù),包括我們的密碼的不斷推進(jìn),以新技術(shù)為核心構(gòu)建一個(gè)主動(dòng)防御,主動(dòng)免疫的綜合防御體系。去年公安部部長專門提出了幾點(diǎn)要求,其中一點(diǎn)就是將我們以往被動(dòng)防御變成主動(dòng)防御,從靜態(tài)改為動(dòng)態(tài),從零散的分割的改為整體的,融合的防護(hù)體系,加強(qiáng)我們國家整體的網(wǎng)絡(luò)空間的防護(hù)能力。

我們在構(gòu)建等保制度體系的指導(dǎo)思想方面,要以全面提升網(wǎng)上行動(dòng)能力為根本,不管是攻擊也好,防御也好,最重要的是實(shí)現(xiàn)我們在網(wǎng)上的行動(dòng)能力,體現(xiàn)主要是我們的實(shí)時(shí)監(jiān)測能力,檢測評估能力,態(tài)勢感知能力,追蹤溯源能力,技術(shù)反制能力等等,這一系列技術(shù)涉及到我們主管部門,科研院所,重要行業(yè)部門還有很多網(wǎng)絡(luò)安全企業(yè),大家共同參與,從各自不同的角度提升各自應(yīng)當(dāng)提升的能力,這也是構(gòu)建新時(shí)期等保制度一個(gè)重要的方面。

新形勢下等保主要從構(gòu)建方面要形成幾個(gè)全新的體系,第一個(gè)就是組織領(lǐng)導(dǎo)體系,當(dāng)然了我們現(xiàn)有的等保制度的體系肯定還是要在我們原有的信息安全等級保護(hù)這么多年實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上進(jìn)一步健全完善。在整個(gè)制度體系方面包括以下幾個(gè)方面,第一個(gè)是組織領(lǐng)導(dǎo)體系,現(xiàn)在隨著我們國家公安委,網(wǎng)信委等相關(guān)部門的成立,我們在網(wǎng)絡(luò)空間的組織領(lǐng)導(dǎo)架構(gòu)進(jìn)一步明確,體系進(jìn)一步健全,所以我們在網(wǎng)絡(luò)空間等級安全保護(hù)上要構(gòu)建一個(gè)全新的組織領(lǐng)導(dǎo)體系。

第二,新的法律和政策體系,剛才說到相關(guān)條例,一些有關(guān)辦法,涉及到我們在當(dāng)前網(wǎng)絡(luò)安全工作里最迫切需要解決重點(diǎn)方向的法律法規(guī),政策標(biāo)準(zhǔn)方面的研究,都是我們政策法律體系構(gòu)建的一個(gè)重要方面。

第三,標(biāo)準(zhǔn)體系,等保工作正是如此,因?yàn)闃?biāo)準(zhǔn)先行,我們以往的等保工作也是以標(biāo)準(zhǔn)和試點(diǎn)先行的工作思路來推進(jìn),標(biāo)準(zhǔn)方面早在幾年前我們已經(jīng)組織研發(fā)了等保的2.0標(biāo)準(zhǔn),前期在一些會(huì)議上,在一些論壇上做了一些發(fā)表,后期我們等保2.0相關(guān)標(biāo)準(zhǔn)正式發(fā)布以后,我們也會(huì)組織相關(guān)的大范圍去宣貫和培訓(xùn),讓企業(yè)能夠和等保制度,最開始在源頭上就能密切的結(jié)合起來,到了我們用戶環(huán)節(jié)能夠更好的為我們重要領(lǐng)域,重要部門的重要信息系統(tǒng)提供更好的網(wǎng)絡(luò)安全服務(wù)。

第四,技術(shù)支撐體系方面,我們現(xiàn)在有了一系列網(wǎng)絡(luò)安全的技術(shù)支撐力量,下一步我們在這些力量的基礎(chǔ)上要進(jìn)一步的加強(qiáng)我們的技術(shù)智能體系建設(shè),動(dòng)員和發(fā)動(dòng)調(diào)動(dòng)我們?nèi)鐣?huì)各方的力量共同來提升我們國家整體的防衛(wèi)能力。

第五,人才隊(duì)伍體系上,網(wǎng)絡(luò)空間里最重要的,而且國家在一些重要的政策,包括一些高校,包括一些論壇,包括一些競賽方面開展了一些工作,都是為了選拔人才,能夠使網(wǎng)絡(luò)安全專門的人才在重要的崗位,重要的任務(wù)中發(fā)揮出最好的作用,所以我們在人才隊(duì)伍上要持續(xù)不斷的加強(qiáng)人才的選拔、任用、培養(yǎng)機(jī)制。

第六,教育訓(xùn)練體系,等保制度要不斷與時(shí)俱進(jìn),隨著我們現(xiàn)在技術(shù)的發(fā)展,隨著安全管理體系的不斷健全完善,我們在教育體系方面要不斷的加強(qiáng)教育培訓(xùn),面對不同層次,不同主體,不同方向,不同研究目標(biāo)的開展教育訓(xùn)練體系。

第七,新的保障體系,國家應(yīng)該不斷加強(qiáng)網(wǎng)絡(luò)空間的保障,從重大的工程項(xiàng)目,從專項(xiàng)行動(dòng),開展的專項(xiàng)工作等等。各個(gè)方面來保證我們這項(xiàng)工作能夠更加有序的推進(jìn)下去,包括我們在一些等級保護(hù)專門的工具,等級保護(hù)有關(guān)的標(biāo)準(zhǔn),等級保護(hù)工具的平臺(tái),等等方面開展基礎(chǔ)保障,增加投入。

這是我們網(wǎng)絡(luò)安全等級保護(hù)體系框架圖,涉及到我們等級保護(hù)工作的各個(gè)環(huán)節(jié),各個(gè)環(huán)節(jié)里需要適用到的政策、標(biāo)準(zhǔn),等保新的形勢下有了新的規(guī)定,新的要求,我們應(yīng)著網(wǎng)絡(luò)安全法的要求,我們公安部會(huì)同相關(guān)部門已經(jīng)制定起草了網(wǎng)絡(luò)安全等級保護(hù)條例,去年通過幾個(gè)相關(guān)的渠道向社會(huì)公開征求意見,征求了來自各個(gè)方向的一些意見和建議。

目前我們這個(gè)條例的進(jìn)展情況在這里給大家交流一下,這個(gè)條例經(jīng)過了公開征求意見,反復(fù)研討論證以后,到現(xiàn)在我們有關(guān)部門之間已經(jīng)達(dá)成初步的一致意見,下一步我們幾個(gè)部門進(jìn)一步會(huì)簽報(bào)送國務(wù)院,加快推動(dòng)該條例的出臺(tái)。按照目前的框架主要由八章,72條。

在座的很多企業(yè),包括一些重要行業(yè)部門,對我們條例的內(nèi)容已經(jīng)有了大致的了解,一個(gè)是大家有這方面的實(shí)踐,另外也是我們條例公開征求意見之后得到社會(huì)各方的廣泛關(guān)注,從條例的征求意見稿當(dāng)中可以看出有一些新的要求。第一個(gè)方面在適用范圍方面有一些擴(kuò)展,條例征求意見稿明確規(guī)定中華人民共和國境內(nèi)都要適用到等保工作。

另外,在等保制度適用范圍上,將目前的風(fēng)險(xiǎn)評估、安全監(jiān)測、通報(bào)預(yù)警等等,在我們現(xiàn)在很多的重要的信息系統(tǒng)安全防護(hù)過程中使用到一些有效的措施都要納到等保制度里實(shí)施,進(jìn)一步鞏固這些制度在重點(diǎn)工作方面發(fā)揮重要作用。此外將網(wǎng)絡(luò)基礎(chǔ)設(shè)施重要信息系統(tǒng),現(xiàn)在網(wǎng)絡(luò)變化很快,網(wǎng)絡(luò)系統(tǒng)類型很多樣化,我們將網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,云平臺(tái),大數(shù)據(jù),物聯(lián)網(wǎng),工控等等一些新的業(yè)態(tài)納入到我們等保制度里監(jiān)管,包括我們現(xiàn)在網(wǎng)約車平臺(tái),對公眾提供一些服務(wù)的平臺(tái)化企業(yè)的信息系統(tǒng),都要納到等保里面去監(jiān)管,確保向社會(huì)提供服務(wù)的時(shí)候能夠做到安全、穩(wěn)定的運(yùn)行,確保我們支撐的業(yè)務(wù)應(yīng)用能夠得到很好的推進(jìn)。

定級流程方面,我們也是結(jié)合了以往的定級編寫工作的情況,在此基礎(chǔ)上我們又進(jìn)一步優(yōu)化了定級流程,增加了專家評審的環(huán)節(jié),其他方面按照現(xiàn)有的工作要求開展推進(jìn),確保我們的級別確定下來之后,經(jīng)過專家審核,經(jīng)過主管部門的審批,經(jīng)過有關(guān)方面的審核把關(guān)以后,能夠基本反映我們系統(tǒng)的安全性,重要性,來確定一個(gè)科學(xué)合理的級別。

備案管轄方面也是隨著我們適用范圍的擴(kuò)大,包括我們公安網(wǎng)安部門在這項(xiàng)工作管轄方面的具體規(guī)定,我們進(jìn)一步擴(kuò)展到縣級以上的公安機(jī)關(guān),現(xiàn)有規(guī)定是需要到地市級,等保條例正式發(fā)布以后,要做進(jìn)一步的調(diào)整。條例里進(jìn)一步明確了網(wǎng)絡(luò)運(yùn)營者一般性的安全保護(hù)義務(wù),后面還有一個(gè)特殊性的,還有一個(gè)是重要性的,有三個(gè)方面的安全保護(hù)義務(wù),這是針對我們不同的網(wǎng)絡(luò)運(yùn)營的主體提出來的保護(hù)義務(wù),對一般性安全保護(hù)義務(wù)還是依從于網(wǎng)絡(luò)安全法里面規(guī)定的網(wǎng)絡(luò)運(yùn)營者的基本義務(wù),結(jié)合等保制度在十多年實(shí)踐中的網(wǎng)絡(luò)運(yùn)營者應(yīng)該履行的義務(wù)提出了幾方面,我們要有一個(gè)明確的等保制度責(zé)任人,建立相應(yīng)工作責(zé)任制,從管理和技術(shù)方面要落實(shí)一系列相應(yīng)的管理措施,技術(shù)防范的措施,從身份管理到身份識(shí)別各個(gè)方面都有一些要求。

現(xiàn)在大家比較關(guān)注的關(guān)于數(shù)據(jù),我們現(xiàn)在的信息系統(tǒng)中存儲(chǔ)的,使用的,傳輸?shù)闹匾獢?shù)據(jù),公民個(gè)人的隱私數(shù)據(jù)要落實(shí)重要數(shù)據(jù)的備份、加密、數(shù)據(jù)分類,另外對于個(gè)人信息,我們在等保條例里,對于個(gè)人信息保護(hù)也提出了一些明確要求,這里面只是提出了我們一般性的安全保護(hù)義務(wù),后面對我們重要數(shù)據(jù)和公民重要信息的保護(hù)還有專門要求。

另外對我們有專門的網(wǎng)絡(luò)服務(wù)平臺(tái),在發(fā)現(xiàn)了一些違法信息傳播或者是發(fā)現(xiàn)了違法有害信息的時(shí)候,應(yīng)該有發(fā)現(xiàn)阻斷消除的措施,確保違法信息不能大量的傳播,等等一般性的保護(hù)義務(wù),涉及到全國范圍內(nèi)網(wǎng)絡(luò)運(yùn)營的主體。

對網(wǎng)絡(luò)運(yùn)營者來講,對第三級以上的網(wǎng)絡(luò)運(yùn)營者,是我們國家重要的網(wǎng)絡(luò),事關(guān)國家安全,國計(jì)民生,是從這個(gè)角度來定義的。第三級以上的網(wǎng)絡(luò)運(yùn)營者應(yīng)該履行的保護(hù)義務(wù)要高于剛才說的一般性保護(hù)義務(wù),這是對我們第三級以上的網(wǎng)絡(luò)運(yùn)營者應(yīng)該做的保護(hù)義務(wù)有了明確的要求,主要是基于更能發(fā)揮好第三級以上的網(wǎng)絡(luò)系統(tǒng)運(yùn)營主體在開展網(wǎng)絡(luò)安全保護(hù)工作中更進(jìn)一步的發(fā)揮作用,起到安全保護(hù)的作用,從這個(gè)角度提出相關(guān)的安全保護(hù)義務(wù),比如說確定相關(guān)的網(wǎng)絡(luò)安全管理機(jī)構(gòu),有人,有機(jī)構(gòu),有力量才能開展。另外對第三級整體安全的規(guī)劃,整體的建設(shè),包括我們后續(xù)的一些整改加固方案都要進(jìn)行專門的技術(shù)審查,符合國家有關(guān)標(biāo)準(zhǔn)規(guī)范要求,符合了當(dāng)前重要信息系統(tǒng)的安全保證要求以后才能投入實(shí)施,才能開展加強(qiáng)。對重要人員要實(shí)施背景審查,這是在現(xiàn)有工作里,尤其是重大活動(dòng)安保,我們對提供安全服務(wù)的人員已經(jīng)開展了安全背景審查,過程中也是發(fā)現(xiàn)了各類人員,所以我們專門增加了對負(fù)責(zé)人和關(guān)鍵崗位人的審查要求。

我們對服務(wù)人員和服務(wù)機(jī)構(gòu)也要進(jìn)行安全管理,另外對于我們?nèi)壱陨暇W(wǎng)絡(luò)系統(tǒng)開展安全監(jiān)測,有關(guān)的重要數(shù)據(jù)要和國家有關(guān)數(shù)據(jù)進(jìn)行對接,能夠更好的形成我們國家整體的網(wǎng)絡(luò)安全態(tài)勢的挖掘分析。另外還有我們最重要的幾個(gè)方面,我們一些重要設(shè)備的,重要鏈路,包括重要數(shù)據(jù)容易備份,還有我們對第三級網(wǎng)絡(luò)系統(tǒng)要開展等級保護(hù)測評,這是大家相對來說比較了解到的一些情況。

這是我們對第三級以上網(wǎng)絡(luò)運(yùn)營者在條例里規(guī)定的重要的保護(hù)義務(wù)。另外對于我們一些條例里,征求意見稿規(guī)定了一些特殊的安全保護(hù)義務(wù),主要對我們互聯(lián)網(wǎng)信息服務(wù)提供者和互聯(lián)網(wǎng)接入服務(wù),主要從信息內(nèi)容的角度提出來的,這兩類主體應(yīng)當(dāng)落實(shí)的有關(guān)安全保護(hù)義務(wù),當(dāng)然了這些規(guī)定主要還是依據(jù)我們對網(wǎng)上有害違法信息比較泛濫是密切相關(guān)的,我們對互聯(lián)網(wǎng)服務(wù)提供者,互聯(lián)網(wǎng)機(jī)構(gòu)服務(wù)提供者的義務(wù)也在等保條例里做了規(guī)定。

另外,我們征求意見稿對測評,剛才也講到一點(diǎn)兒,第三級以上的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級測評,是為了我們更好的掌握網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)狀況,根據(jù)我們當(dāng)時(shí)的態(tài)勢分析,能夠更好的提出好的一些安全加固的方案,保證系統(tǒng)的安全穩(wěn)定運(yùn)行。對于新建的第三級以上的網(wǎng)絡(luò)應(yīng)當(dāng)通過等級測評后投入運(yùn)行,這是從系統(tǒng)上線之前能確保安全。

對我們網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),除了等保測評機(jī)構(gòu)以外,對為第三級以上網(wǎng)絡(luò)提供網(wǎng)絡(luò)建設(shè)、運(yùn)行維護(hù)、安全監(jiān)測等等的機(jī)構(gòu)都應(yīng)該符合國家法律法規(guī)和技術(shù)標(biāo)準(zhǔn)的要求,需要我們實(shí)踐中不斷健全和完善有關(guān)規(guī)定,有些規(guī)定現(xiàn)在還沒有,但我們在條例里已經(jīng)將我們這個(gè)領(lǐng)域里有可能存在的風(fēng)險(xiǎn)和隱患考慮到了,所以在這里我們有這樣的規(guī)定,是為了規(guī)避各類網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)為第三級以上網(wǎng)絡(luò)提供網(wǎng)絡(luò)安全服務(wù)的過程中有可能造成次生的危害和威脅。

我們在過程中對網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu),對他們所知悉的信息有了明確規(guī)定,不得對外發(fā)布。另外我們對技術(shù)維護(hù)要求,第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)在境內(nèi)實(shí)施技術(shù)維護(hù),不得在境外遠(yuǎn)程技術(shù)維護(hù),我們因業(yè)務(wù)需要,確需進(jìn)行境外遠(yuǎn)程技術(shù)維護(hù)的應(yīng)當(dāng)進(jìn)行評估,確保網(wǎng)絡(luò)安全維護(hù)是可控的,是安全的。

對數(shù)據(jù)和信息安全保護(hù)方面,現(xiàn)在國家層面正在出臺(tái)跨境傳輸,數(shù)據(jù)安全保護(hù),數(shù)據(jù)安全的評估等等相關(guān)的規(guī)定,等保條例里進(jìn)一步明確提出來網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立健全并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度,借助等保條例的有關(guān)規(guī)定,將等保條例里明確重要的網(wǎng)絡(luò)和系統(tǒng)中存儲(chǔ)、使用或者是采集,或者是傳輸?shù)囊恍┲匾臄?shù)據(jù)信息要加強(qiáng)這方面的安全防護(hù),確保數(shù)據(jù)的安全運(yùn)行,確保數(shù)據(jù)的安全。

對依法收集的使用處理的個(gè)人信息,也要落實(shí)個(gè)人信息保護(hù)措施,防止個(gè)人信息的泄露、損毀、丟失或者濫用,后續(xù)都有相應(yīng)的措施來支撐我們有關(guān)數(shù)據(jù)和信息安全保護(hù)要求的有效落實(shí)。

應(yīng)急處置要求,這個(gè)和我們目前提到的應(yīng)急處置要求基本上是保持一致的,尤其是我們對第三級以上的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定相應(yīng)的應(yīng)急預(yù)案定期開展應(yīng)急演練,應(yīng)急處置這一塊,按照有關(guān)要求我們在應(yīng)急處置的過程里要進(jìn)一步的調(diào)查、追蹤、溯源,所以處置過程中,我們的網(wǎng)絡(luò)運(yùn)營主體,包括一些服務(wù)機(jī)構(gòu)要注重保護(hù)現(xiàn)場,記錄并留存相關(guān)數(shù)據(jù)信息,向有關(guān)部門報(bào)告,以便后續(xù)工作的開展。另外我們在應(yīng)急處置要求里,尤其是發(fā)生重大網(wǎng)絡(luò)安全事件時(shí),電信業(yè)務(wù)經(jīng)營者,互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件的處置提供支持和協(xié)助,這也是能夠發(fā)揮出電信運(yùn)營商在我們信息網(wǎng)絡(luò)資源優(yōu)勢方面,處置重大網(wǎng)絡(luò)安全事件的時(shí)候提供有力支持和服務(wù)。

審批要求,主要是結(jié)合當(dāng)前互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展,我們網(wǎng)絡(luò)運(yùn)營者建設(shè)運(yùn)營維護(hù)和網(wǎng)絡(luò)時(shí),向社會(huì)夠中提供需取得行政許可的經(jīng)營活動(dòng)的,相關(guān)主管部門應(yīng)當(dāng)納入到審計(jì)和審核的范圍,比如現(xiàn)在我們的網(wǎng)約車,網(wǎng)約車在獲得牌照或者許可的前提就是要通過等保相關(guān)的工作要求,落實(shí)有關(guān)的等保制度,確保平臺(tái)的安全,提供了安全的保障以后,才能夠去申請相應(yīng)業(yè)務(wù)的開展,這是我們當(dāng)前對這類,尤其是向社會(huì)公眾提供一些服務(wù)的經(jīng)營活動(dòng)有了明確的要求,要以等保制度的落實(shí)情況作為審批的先決條件之一。

以上主要是結(jié)合等保條例當(dāng)中與我們現(xiàn)有等保工作的規(guī)定做了一些調(diào)整方面給大家做了交流,另外等保條例也是進(jìn)一步明確了我們等保制度是國家網(wǎng)絡(luò)空間基本制度,國家和政府落實(shí)等保工作方面也有一些責(zé)任和義務(wù),這些都在等保條例里。比如說整體要求方面,國家要健全這樣的組織領(lǐng)導(dǎo)體制,技術(shù)支持體系和保障體系,加大這方面的投入,支撐整個(gè)等保生態(tài)不斷發(fā)展。各級人民政府在規(guī)劃本單位或者本部門的網(wǎng)絡(luò)安全工作或者信息化項(xiàng)目建設(shè)的時(shí)候,要將等保制度的實(shí)施納入整體規(guī)劃,進(jìn)入三同步,統(tǒng)籌考慮,統(tǒng)籌推進(jìn)。還有一個(gè)方面,在標(biāo)準(zhǔn)制定方面,等保工作和標(biāo)準(zhǔn)體系是同步推進(jìn)的,確保我們等保制度能夠在各個(gè)地區(qū),各個(gè)行業(yè)貫徹落實(shí),我們下一步會(huì)進(jìn)一步的健全和完善等保相關(guān)的標(biāo)準(zhǔn)體系,包括產(chǎn)品的標(biāo)準(zhǔn)。

國家也支持相關(guān)主體,包括行業(yè)組織來參與我們等保有關(guān)標(biāo)準(zhǔn)的制定,行業(yè)標(biāo)準(zhǔn),地方標(biāo)準(zhǔn),團(tuán)體標(biāo)準(zhǔn)都可以,結(jié)合我們現(xiàn)在的實(shí)際需求開展整個(gè)標(biāo)準(zhǔn)體系的健全完善。此外在我們投入保障方面,包括各級人民政府要鼓勵(lì)和扶持一些重點(diǎn)工程和項(xiàng)目,尤其上等保的,支持等保的技術(shù)開發(fā)和應(yīng)用。技術(shù)支持方面,要健全新的技術(shù)支持體系,這里面有專家隊(duì)伍,涉及到等保各個(gè)環(huán)節(jié)的技術(shù)支持體系都要不斷健全和完善。還有行業(yè)主管部門,各級人民政府要將等保的情況納入績效綜合治理考核當(dāng)中,目前我們和中央政法委,我們已經(jīng)將等保工作的有關(guān)情況納入到社會(huì)綜合治理考核里去,下一步這塊要發(fā)揮考核指揮棒的作用,將我們等保工作與國家和安全相關(guān)的考核評價(jià)工作密切結(jié)合起來,確保這項(xiàng)工作能夠更好,有力的貫徹和實(shí)施。

宣傳教育和培訓(xùn),我們部里去年年底專門印發(fā)了關(guān)于開展網(wǎng)絡(luò)安全訓(xùn)練教育體系的相關(guān)規(guī)劃,我們后續(xù)會(huì)加強(qiáng)各個(gè)層面的教育訓(xùn)練體系,結(jié)合我們國家最新的網(wǎng)絡(luò)安全的政策要求,結(jié)合等保工作最新的實(shí)際需求來鼓勵(lì)大家能夠更好,更快的適應(yīng)到我們最新的形勢發(fā)展過程中,結(jié)合我們最新的實(shí)際需求去開展一些研究,能夠使我們更大范圍參與我們等保工作,能夠提升到全社會(huì)的網(wǎng)絡(luò)安全保護(hù)的能力和水平。

鼓勵(lì)和創(chuàng)新,我們新技術(shù)和新應(yīng)用不斷的發(fā)展,不斷完善,我們鼓勵(lì)用新技術(shù)開展,采取新技術(shù)提升網(wǎng)絡(luò)安全的防范水平,我們國家對新技術(shù),對新應(yīng)用,借鑒現(xiàn)有工作的實(shí)踐經(jīng)驗(yàn),對一些新技術(shù),新應(yīng)用,推廣的時(shí)候國家有關(guān)部門會(huì)組織開展網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估,不能等到技術(shù)全面推進(jìn)實(shí)施以后再去考慮安全的問題,確實(shí)會(huì)帶來一些成本和更嚴(yán)重的危害后果,所以是國家對新技術(shù),新應(yīng)用的推廣要開展網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估,防范新技術(shù),新應(yīng)用推廣過程中的風(fēng)險(xiǎn),做到有效利用,有效使用。以上是結(jié)合當(dāng)前公安網(wǎng)安部門的實(shí)際工作情況和我們國家制定出臺(tái)等保條例過程里的考慮給大家做一個(gè)簡單的交流,后續(xù)希望大家在座各位企業(yè),科研院所對我們等保工作大力支持,謝謝大家。

主持人 傅博巖:非常感謝范處長給我們帶來了主管部門的聲音,范處報(bào)告中比較詳細(xì)了國家網(wǎng)絡(luò)安全法,特別是等保的安全條例的一些內(nèi)容,這些應(yīng)該說在從業(yè)人員來講都是非常重要的法律意義的指導(dǎo)意見,需要我們在今后工作中嚴(yán)格的遵守。

在普通人的印象中,勒索軟件好像只是最近兩年才開始出現(xiàn),實(shí)際上出現(xiàn)至今已經(jīng)有30年的歷史了,勒索病毒不斷變相繁衍已經(jīng)成為危害用戶數(shù)據(jù)安全的重點(diǎn),面對來勢洶洶的惡意軟件我們應(yīng)該如何應(yīng)對,下面有請瑞星安全研究院院長葉超帶來的下一代反病毒引擎,云管端、工業(yè)化、智能化的主題演講,大家歡迎。

葉超:各位下午好,我給大家介紹一下瑞星在近三年在反病毒引擎方面的工作,這三年我們主要對反病毒引擎做了三個(gè)大的方向,一個(gè)是工業(yè)化運(yùn)營,第二個(gè)是智能化賦能,第三個(gè)就是云端管道和端點(diǎn)三個(gè)全面能力的輸出。

首先我們來看一下大概面對的問題的規(guī)模,這個(gè)是國外的公開數(shù)據(jù),差不多每年增量是兩個(gè)億惡意軟件,全球的惡意軟件。實(shí)際上數(shù)量更大,這個(gè)只是AVTEST公布的數(shù)據(jù),這個(gè)是新增的惡意軟件,新增的惡意軟件大概是每個(gè)月在一千萬左右,這個(gè)是我們?nèi)鹦亲约簶颖編?,這邊的數(shù)據(jù)是近兩年在每個(gè)月是一千萬的增量。

其實(shí)這個(gè)量還是非常大的,面對這么一個(gè)困難和挑戰(zhàn),有些人選擇把問題縮小,只處理其中一部分,而不是處理存量,而不是處理全球的軟件。第二個(gè)是把問題簡單化,用特別大的哈希表去跟隨,這是我們見到的一些比較傳統(tǒng)的云的方式。第三個(gè)是把問題拋給別人,買一個(gè)能解決的。

我們自己如何去應(yīng)對,我們想著應(yīng)該挑戰(zhàn)這么大的一個(gè)問題,如何去解決,所以我們能力輸出這一塊是通過云的方式去做,我們的云腦引擎。端的方面做了一個(gè)睿擎,就是本地的引擎。第三個(gè)是網(wǎng)絡(luò)管道上,我們內(nèi)部稱為魚雷。三個(gè)能力輸出的軟件上我們加上了一個(gè)工業(yè)端的運(yùn)營,再一個(gè)是人工智能的賦能,總體是這樣的路線。

這張圖是簡單介紹一下我們整個(gè)瑞星后臺(tái)是如何去處置這些惡意軟件的,最上面的文件鑒定差不多是2006年,2007年,可能是時(shí)間比較老的,后面的深度運(yùn)營這一塊是最近兩年新建立起來的,深度運(yùn)營最大的特點(diǎn)一個(gè)是無人化,我們目前基本上沒有什么人在用手工的方式去處理惡意軟件,通過深度運(yùn)營產(chǎn)出的能力是識(shí)別惡意軟件,我們最傳統(tǒng)的病毒的特征,識(shí)別記錄,也有我們自己研發(fā)的敏感的指紋,還有主觀的指紋,還有小的AI模型和一個(gè)云端用的特別大的AI模型,這是一個(gè)能力的輸出,我后面會(huì)具體介紹一下。

先看一下經(jīng)過這兩年工業(yè)化和智能化運(yùn)營之后的效果怎么樣,這是一張圖,這個(gè)是每天新增,從去年9月18號(hào)開始,每天新增的不是windows平臺(tái)的惡意軟件,這一塊像一些國內(nèi)的公司,或者說是一些新興的應(yīng)用人工智能的安全公司,在這一塊檢測其實(shí)都不太好,所以大家可以看到強(qiáng)是一些比較有名的傳統(tǒng)公司,瑞星在最近應(yīng)用了工業(yè)化運(yùn)營之后,檢索的能力可以排在比較前面的。

工業(yè)化帶來的最大好處,我國慶期間大家都休息了,但我依然可以保持一個(gè)非常高的監(jiān)測能力,不用人每天在線。病毒庫其實(shí)非常小,只有20兆到30兆,這一塊惡意代碼的運(yùn)營方面其實(shí)只有一個(gè)人在參與,這是去年年底12月份,我們可以看到紅色的比較多了,這個(gè)是微軟這些公司,大家很明顯可以看到檢出率下降了,從數(shù)據(jù)層面結(jié)合這部分西方假期就可以想到他們?nèi)肆\(yùn)營的比例比較多一點(diǎn)。

再看一看我們windows惡意軟件這一塊,這張圖描述了我們自己每一天,從2019年2月19號(hào)到3月19號(hào)一個(gè)月的時(shí)間,檢出的惡意軟件里我們的工業(yè)化運(yùn)營和AI賦能化幫我們解決的占比是多少,比如說AI賦能差不多可以解決我們將近70%的新增惡意軟件的檢測,工業(yè)化運(yùn)營可以幫助我們解決10%,綠色的那一塊其實(shí)就是我們?nèi)斯さ倪\(yùn)營,就是人工的工作,所以在新增惡意軟件里人工智能以及工業(yè)化的運(yùn)營幫助我們?nèi)巳ソ鉀Q了非常多的問題,這是去年11月到12月持續(xù)觀察的惡意軟件檢出率的持續(xù)觀察,現(xiàn)在瑞星基本上可以保持在一個(gè)比較領(lǐng)先的位置,我把其他的廠商全部隱掉了,只留了一個(gè)開元的那個(gè),其他的廠商比較高的話基本上就是像幾家比較新興的人工智能的公司。

剛才我都說了我們對惡意軟件的檢測能力有一個(gè)積增,積增是不是會(huì)帶來什么負(fù)面影響,我們的誤報(bào),識(shí)別錯(cuò)誤率高不高,這個(gè)幻燈片是3月20號(hào)做的,就截了一個(gè)3月19號(hào)的圖,這個(gè)數(shù)據(jù)是公開的,這邊的統(tǒng)計(jì)是偏執(zhí)檢測,簡單說在這個(gè)網(wǎng)站上全球有70家做這方面的公司,其中只有一家認(rèn)為是惡意軟件,這個(gè)現(xiàn)象就說明的很有可能是誤報(bào),我們用這個(gè)數(shù)據(jù)看一下,像人工智能應(yīng)用的比較多的公司,我們可以看到獨(dú)報(bào)率在1.18%,瑞星是萬分之六,現(xiàn)在在這方面的檢測很難看到以前比較老牌的公司。這是已經(jīng)確認(rèn)的誤報(bào),這個(gè)網(wǎng)站上其實(shí)是有一個(gè)白名單的,這個(gè)白名單上面的文件是不能報(bào)的,如果說被告警的其實(shí)是一個(gè)確認(rèn)誤報(bào),這里面包括微軟的文件。

可以看到這些人工智能公司還是有一些誤報(bào)的,但是我們是不會(huì)有的,所以我們在誤報(bào)上做了一個(gè)比較好的控制??赐晷Ч倏淳唧w的工業(yè)化和智能化,首先看一下工業(yè)化,工業(yè)化的目標(biāo)就是獲得極致的運(yùn)營效率,惡意代碼研究其實(shí)是門技術(shù)活,惡意代碼檢測也更像是手藝活,手工依然是流行惡意代碼檢測引擎的運(yùn)營方式,一些商業(yè)公司幾乎每個(gè)商業(yè)里面都會(huì)有自己相應(yīng)的一套讓人工運(yùn)營的機(jī)制,手工制作的優(yōu)勢很明顯,是人智慧的體現(xiàn),可以產(chǎn)出特別好的方式,我可以做一個(gè)針對于勒索軟件或者針對于某一種漏洞利用的人工智能的東西,這個(gè)其實(shí)也是一個(gè)人工的體系,也是一個(gè)人工的制作。

手工制作的劣勢也很明顯,效率非常低下,與我們整體對手的發(fā)展趨勢效率效率是完全不匹配的,另外是誤報(bào)率不可控,這個(gè)活完全依靠我的經(jīng)驗(yàn)或者依靠我的智慧,所以誤報(bào)率不可控。最后是太依賴于人的經(jīng)驗(yàn)和智慧,如果是一個(gè)新手產(chǎn)出的東西會(huì)非常不好。

開始走工業(yè)化之路差不多在2008年左右,十多年以前,大家開始用云引擎,用一套非常強(qiáng)大的后端把惡意軟件搜集過來,開始檢測他們,開始鑒定他們,如果說是惡意的就推送到云端,也是大家在用的主流方式。有了這樣一個(gè)系統(tǒng)之后,我們會(huì)忽然發(fā)現(xiàn)我們原來做惡意代碼的識(shí)別這么簡單,只要在云端放一個(gè)大的哈希表就行了。

這種技術(shù)有優(yōu)點(diǎn),優(yōu)點(diǎn)就是從捕獲樣本到能檢測通常在分鐘級,另外云端可以無數(shù)的收黑白文件,很多互聯(lián)網(wǎng)公司會(huì)說我們有兩百億,三百億的樣本庫,做的非常大。缺點(diǎn)也很明顯,檢測手段非常有限,只能用哈希,對未來出現(xiàn)的惡意代碼缺乏前瞻性,我們更多是跟隨。大多數(shù)公司的云引擎更專注于二進(jìn)制的惡意軟件,沒有辦法很好的應(yīng)對離線環(huán)境,低資源環(huán)境,脫離互聯(lián)網(wǎng)環(huán)境的時(shí)候還能否有一個(gè)比較好的效果,這是很難說的。最后是以云為主形式的核心能力,還是在捕獲的能力以及云端數(shù)據(jù)庫的規(guī)模,這樣的形勢下我們研究了工業(yè)化之路2.0,原來把惡意軟件識(shí)別完直接推到云端,現(xiàn)在是做更加深度的運(yùn)營,把它放到哪里,我們可以分發(fā)到終端的病毒庫,病毒庫的規(guī)模不會(huì)超過200兆。這其實(shí)就是一個(gè)惡意代碼家族特征的無人化運(yùn)營,我們主要針對windows和linux的二進(jìn)制。我們做了兩項(xiàng)技術(shù),一項(xiàng)針對二進(jìn)制,一項(xiàng)針對文本式的,這個(gè)是針對二進(jìn)制的,關(guān)鍵技術(shù)是我們對二進(jìn)制的程序規(guī)劃了數(shù)十個(gè)敏感區(qū)域,并對敏感區(qū)域進(jìn)行了一定分析和抽象,這個(gè)整體過程中有一個(gè)非常大的白名單來壓制,并且產(chǎn)出的東西誤報(bào)率和檢出率都可以量化,這是針對于文本類的,文本類其實(shí)這里面主要的技術(shù)一個(gè)就是文件分解的技術(shù),文件分解的技術(shù)讓我們可以獲得這個(gè)文件里最小的惡意代碼的單元。還有一個(gè)技術(shù)是代碼主干提取的技術(shù),這個(gè)技術(shù)會(huì)分析腳本,因?yàn)槟_本會(huì)很小,這些東西都會(huì)排除掉,產(chǎn)生一個(gè)類似于CFG,控制流程圖的結(jié)果,對這個(gè)結(jié)果再做,我們可以防止有輕微變化,對內(nèi)容的變化不是特別敏感的。

這套東西可以直接應(yīng)用到網(wǎng)絡(luò)中,通過一系列的自動(dòng)化運(yùn)營的研發(fā),我們在這兩年內(nèi)完成引擎無人化的運(yùn)營,做到了手工無法企及的。一個(gè)是高效率,第二個(gè)是不間斷,全球零時(shí)差,7×24小時(shí)都可以工作,西半球出來一個(gè)惡意軟件,我們雖然在睡覺但也能處理掉。高可靠,全部過程都有白名單的壓制,所以誤報(bào)率都可以量化,不會(huì)讓一個(gè)不可控的東西發(fā)布出去。

另外還有做到了傳統(tǒng)引擎無法比擬的,一個(gè)是高質(zhì)量,我們的指紋通常具備了1:50的檢出比例,8個(gè)字節(jié)可以檢查外面50個(gè)變種,就帶來一個(gè)小尺寸,因?yàn)槲覀兲岬臇|西都是共性特征和邏輯特征。

第二個(gè)講一下人工智能,我們當(dāng)初設(shè)定要去做的時(shí)候,我們設(shè)定了只要領(lǐng)先一步就行了,不需要非常的厲害,因?yàn)槲抑烙行〇|西做的話,一下子把人工智能做的非常厲害。人工智能這一塊2012年開始一直在研究,來來回回做了很多嘗試,最重要的一個(gè)嘗試是怎么樣跨過機(jī)器學(xué)習(xí)在惡意軟件應(yīng)用過程中最大的障礙就是誤報(bào)的問題怎么樣緩解控制,這邊我列了一下之前做過的一些,在windows惡意軟件,PDF方面以及在腳本方面,我們都做了相關(guān)的研究。

主要介紹的就是2017年,2017年我們針對windows這一塊的惡意軟件做了一個(gè)識(shí)別,基于隨機(jī)森林的人工智能引擎,我們內(nèi)部叫它RDM+。做的過程中最主要的一個(gè)工作就是做特征工程,我們把一個(gè)pe程序轉(zhuǎn)為事組,原始維度接近五千維,囊括這個(gè)城市方方面面,還有經(jīng)過計(jì)算和分析,比如說內(nèi)容是怎么分布的,我們都有一些分析在里面。經(jīng)過一年之后,我們實(shí)際使用差不多就是五百個(gè)維度,我們根據(jù)特征的權(quán)重挑出來,實(shí)際挑選過程中也是說兩百維,五百維,一千維,兩千維,我們做了三個(gè)月的跟蹤,最終發(fā)現(xiàn)五百維的效果是最好的,這是后臺(tái)的一個(gè)系統(tǒng),其實(shí)也是機(jī)器學(xué)習(xí)的老套路,標(biāo)注,訓(xùn)練。

為什么可以壓的比較低,因?yàn)殚_始的時(shí)候就灌輸了這樣一個(gè)觀點(diǎn),寧可不報(bào)也不誤報(bào),所以后面整個(gè)實(shí)施過程中做了一些向不誤報(bào)方向妥協(xié)的東西。2018年又研發(fā)了一個(gè)N3技術(shù),很多國外人利用人工智能檢測的公司,他們通常只能報(bào)出是不是,或者說告訴你一個(gè)置信度,沒有名字,沒有傳統(tǒng)做病毒家族名,我們嘗試給出最好的結(jié)果,最簡單的就是把向量和一個(gè)病毒名關(guān)聯(lián),我們把命名的問題轉(zhuǎn)化成在海量已知命名項(xiàng)目中找出最相似的,差不多會(huì)在毫秒級去千萬的向量庫找出TOP5,選擇一個(gè)最合適的名字給他,這兩張圖可以看到N3和傳統(tǒng)的殺毒軟件爆出來的,雖然是AI,但名字是傳統(tǒng)的殺毒軟件,比如說和基于特征的是一樣的。

最終把這個(gè)東西組合起來形成一個(gè)云腦引擎,云腦是在終端有一個(gè)小的終端組件,會(huì)把相關(guān)的云特征提取出來,然后再經(jīng)過國密S3加密,然后在云端進(jìn)行一個(gè)四步的建立,最后會(huì)告訴你有沒有可能是惡意軟件,可能是什么惡意軟件。

最后講一下管道,其實(shí)是一個(gè)非常有局限性的環(huán)境,不像我們的主機(jī)可以做隨機(jī)IO,更傾向于現(xiàn)場給出答案,2015年新開發(fā)的惡意代碼檢測算法基本上都優(yōu)先考慮順序IO,不考慮隨機(jī)IO。我們主要做了兩方面,一方面是針對windows和linux二進(jìn)制程序文件,放棄AC等基于狀態(tài)機(jī)的算法,采用多路哈希算法,會(huì)損失一部分性能,但可以獲得更大的空間。這些東西不需要人來運(yùn)營,是SCC敏感指紋自動(dòng)化運(yùn)營過程中的副產(chǎn)品,副產(chǎn)品我們可以拿出來,那個(gè)副產(chǎn)品其實(shí)就是一個(gè)敏感區(qū)域的內(nèi)容,就是惡意代碼的位置,惡意代碼的內(nèi)容,我們會(huì)把這個(gè)惡意代碼應(yīng)用到網(wǎng)絡(luò)引擎中。

內(nèi)部使用的也不是常見的特征串,是被壓縮的復(fù)合哈希值,會(huì)被算法進(jìn)行計(jì)算,最后再從庫里進(jìn)行匹配。

針對文本類的,我們其實(shí)跟本地引擎是完全一致的,因?yàn)楸镜匾骈_發(fā)的時(shí)候就采取了瞬時(shí)IO,基于狀態(tài)機(jī)的穩(wěn)當(dāng),整體我們在引擎上的思路是可以犧牲一定的效率,但是我要提高惡意軟件特征的能量,由此獲得更多的惡意軟件的檢測能力。

最后回過頭看一下這張圖,二進(jìn)制惡意軟件的自動(dòng)化運(yùn)營技術(shù),其實(shí)是給三個(gè)引擎都可以輸出,我們基本上人不用干活了,非PE的也是,也可以輸出給三個(gè)引擎,最后我們?nèi)斯ぶ悄軙?huì)有兩個(gè)引擎,一個(gè)是大引擎,一個(gè)小引擎,大模型比較大,必須得放到云端,小模型比較小,大概二三十兆,可以分發(fā)到終端。

經(jīng)過工業(yè)化和智能化我們快速完成了一個(gè)檢出能力的激增,以前都說為什么病毒老查不到,現(xiàn)在基本上不會(huì)有這種問題。第二實(shí)現(xiàn)了幾乎全線的無人運(yùn)營,我們傳統(tǒng)說要去做特征,我們基本上沒有什么人在干這個(gè)事了,第三個(gè)是誤報(bào)率遠(yuǎn)遠(yuǎn)低于人工,以前人工去做的時(shí)候,老是會(huì)出現(xiàn)一些誤報(bào),現(xiàn)在改為自動(dòng)化之后基本上沒有這個(gè)困難了。

我們面對每個(gè)月幾千萬的惡意軟件沒有選擇逃避,第一個(gè)是我們一定要直面這個(gè)問題,我們采用了工業(yè)化的部署,采用了人工智能的方式,可能很多公司和很多人也還是在質(zhì)疑人工智能到底能不能應(yīng)用到惡意軟件檢測上。

整個(gè)過程中換了很多方法,也換了很多路數(shù),總體來說是不斷求索和驗(yàn)證,最后覺得這個(gè)東西效果不錯(cuò),我把最近兩到三年的工作介紹完了,謝謝大家。

主持人 傅博巖:感謝葉超院長的精彩分享,下面有請國家互聯(lián)網(wǎng)應(yīng)急中心,區(qū)塊鏈安全技術(shù)檢測中心顧問專家宮云戰(zhàn)教授帶來軟件原代碼安全性測試在區(qū)塊鏈領(lǐng)域的應(yīng)用,大家掌聲歡迎。

宮云戰(zhàn):大家好,我是北京郵電大學(xué)的老師,今天給大家報(bào)告一下我們的成果。區(qū)塊鏈?zhǔn)俏覀兤渲械囊徊糠?,?yán)格說我本人不是搞安全的,從上世紀(jì)80年代開始,我在科學(xué)院念書的時(shí)候,當(dāng)年我們最早把可信計(jì)算引到中國來,容錯(cuò)計(jì)算專業(yè)委員會(huì)以可靠計(jì)算為主,因?yàn)樾畔踩@些年產(chǎn)生的矛盾突出,我記得當(dāng)年是上世紀(jì)90年代斯坦福大學(xué)四個(gè)教授,四個(gè)老教授平均年齡差不多得90歲寫了一篇文章是可信計(jì)算的內(nèi)容,可信計(jì)算包括五個(gè)方面,國內(nèi)有很多不同的看法。第一是可靠,第二是可用,可靠性,安全性可能是最重要的兩個(gè)概念,我本人搞可靠性研究,是軟件的可靠性。

我們這幾年做系統(tǒng)的過程中,跟美國相關(guān)單位交流,我們做的可靠也屬于安全的一部分,但是對咱們通常說的安全有點(diǎn)不太一樣,當(dāng)年國家自然科學(xué)基金委員會(huì)搞了有史以來最大的題目就是可信計(jì)算的題目,科技部也搞了一個(gè)1.5億的項(xiàng)目都是關(guān)于可信計(jì)算的,國內(nèi)對可信計(jì)算的概念也討論了很多時(shí)間,我認(rèn)為到現(xiàn)在為止大家比較公認(rèn)就是四個(gè)斯坦福教授文章,從方法,從背景還比較有權(quán)威性。

我今天報(bào)告一下我們做的東西,以這個(gè)為前提最后談一下我們區(qū)塊鏈測試的結(jié)果。

分這么幾個(gè)方面,第一個(gè)關(guān)于源代碼測試的原理和概念,我團(tuán)隊(duì)是做源代碼測試的,我做了大概得20年,源代碼測試從90年代中期我們的神舟一號(hào)做軟件開始,我一直是學(xué)測試的,神舟一號(hào)的源代碼開始,當(dāng)年的航天部組織我們在北京懂一點(diǎn)兒的人一起參與這個(gè)項(xiàng)目,這時(shí)候就開始了這方面的研究。

軟件的源代碼測試肯定是基于軟件的源代碼學(xué)習(xí)模式,首先定義一下源代碼缺陷什么樣,然后對源代碼進(jìn)行測試,測試方法可以是五花八門,各種各樣,以及源代碼是否有相關(guān)的缺陷。源代碼技術(shù)發(fā)展很早,最早從上世紀(jì)70年代在英國利物浦大學(xué)有一個(gè)教授做相關(guān)的東西,這是一個(gè)雛形。2000年左右出現(xiàn)了很多產(chǎn)品,大概是2001年,2002年,我們和美國有些合作,特點(diǎn)是檢測效率比較高,自動(dòng)化程度比較高,比較好學(xué),也是軟件測試的主流方法,特別是美國是必須要用的,國內(nèi)這兩年我們也在推這個(gè)事,有幾家單位做相關(guān)的工具和研究,現(xiàn)在還局限在一些特殊的領(lǐng)域,大部分國內(nèi)還沒引起足夠的重視。

這是目前軟件測試普通采用的一種辦法,一些IT企業(yè)把這個(gè)方法作為企業(yè)核心競爭力之一,這句話是IBM的高層給我講的,作為他們企業(yè)的軟件核心競爭力之一。

我們看背景,我們說軟件測試,這個(gè)圖是軟件測試的理論基礎(chǔ),或者是工業(yè)化基礎(chǔ),卡內(nèi)基梅隆好多年前做過一個(gè)實(shí)驗(yàn),一般的軟件工程師平均十行就會(huì)犯一個(gè)錯(cuò)誤,每千行有一百個(gè)缺陷,訓(xùn)練之后平均可以減少一倍,每千行可以達(dá)到50個(gè)缺陷,這是我們做軟件措施,我們這個(gè)行業(yè)在工業(yè)化的基礎(chǔ)。NASA是全世界軟件可靠性最高的單位,20年前我接觸他們的工程師給我說,他們要經(jīng)過30次的測試,非常嚴(yán)格。中國的軟件為什么很難走出市場,為什么成不了氣候,有很多其他的原因,我也在工信部,科技部講過好多次,質(zhì)量是我們重要的原因之一,我們的數(shù)據(jù)庫都有,但沒有什么市場。中國的基礎(chǔ)軟件,2015年只有15個(gè)億左右,占整個(gè)中國市場規(guī)模的3%左右,非常少,而且大部分都是部隊(duì)買的。

我看了一下咱們的數(shù)據(jù),我大體算了一下,如果說CMM1產(chǎn)生的軟件可以達(dá)到0.05,CMM5可以達(dá)到0.99。

我們說軟件要經(jīng)過很多步的測試,我把軟件測試分了四大類,以發(fā)現(xiàn)軟件BUG為目標(biāo)的測試也有很多的方法,包括需求,包括設(shè)計(jì),包括代碼測試,包括性能測試,變異測試等等,很多測試我在美國產(chǎn)的軟件里是必須要做的,美國在一九九幾年就設(shè)定了這些標(biāo)準(zhǔn),而且很多是強(qiáng)制性標(biāo)準(zhǔn)。我們國家的軟件到目前為止,國家標(biāo)準(zhǔn)沒有一個(gè)是強(qiáng)制性的,軍隊(duì)有幾個(gè),就國家來看沒有一個(gè)是強(qiáng)制性標(biāo)準(zhǔn),沒有強(qiáng)制性標(biāo)準(zhǔn)大家就可測可不測??梢晕覀冮_鑒定會(huì)的時(shí)候,軟件測試是必須要拿著東西來的,你做個(gè)代碼測試,你把缺陷報(bào)告拿來,設(shè)計(jì)報(bào)告也要拿來。 這個(gè)圖是我們團(tuán)隊(duì)研究了十幾年,十五年的時(shí)間,我們一直在做這個(gè)圖象的事情,這個(gè)圖象有70個(gè)左右的專利,200個(gè)論文左右,我們的主要貢獻(xiàn)是什么呢?抽象解釋不是我提出來的,很早就有,符號(hào)執(zhí)行也不是我們提的,我們只是用。今天下午教育部讓我寫一篇文章題目就是符號(hào)執(zhí)行。我們技術(shù)團(tuán)隊(duì)有個(gè)最大的貢獻(xiàn)是中間兩個(gè),循環(huán)建模,我們知道傳統(tǒng)的循環(huán)一直都是不處理,我們有01模型或者00模型,循環(huán)一次就完了。比較大的怎么辦?里面的東西基本上不做了,我們采用人工智能建立一個(gè)統(tǒng)一的計(jì)算模型,我?guī)е鴥蓚€(gè)博士做了大概五六年,雖然現(xiàn)在不太好,但至少可以用,我們對循環(huán)建立一個(gè)計(jì)算方法使能夠得到檢測。抽象內(nèi)存建模,現(xiàn)在系統(tǒng)越來越復(fù)雜,如何從底層建立計(jì)算模型,這是我們的貢獻(xiàn),把底層原來不能做的我們都通過一個(gè)模型可以統(tǒng)一的做上去。

中間是我們這么多年一直在做的一個(gè)事情,測試基本的計(jì)算方法,下面是我們做的工具,我們大學(xué)做的東西賣出去不是很容易。

軟件的缺陷模式,最早做的時(shí)候大家都把這個(gè)當(dāng)做不倒翁,包括斯坦福大學(xué)做的,我們做的,這在網(wǎng)上都公開了,沒有什么好保密的。我們在國內(nèi)是最早做這方面的東西,和美國差不多,我們和美國交流的時(shí)候,這個(gè)概念不是我們想出來的,跟美國斯坦福交流了很多,雙方交流他們提出來,還蠻有價(jià)值的。我們基本上從1997年,1998年就做基本的研究,是國內(nèi)最早,差不多20年了,最早的單位之一。

美國沒這么叫,我們寫的書一直這么叫,我們叫軟件的缺陷模式。我們分了四大類,一個(gè)是故障模式,一旦這個(gè)故障被激活,系統(tǒng)就可能發(fā)生運(yùn)行錯(cuò)誤或者崩潰,比方說儲(chǔ)存器泄露。第二類,關(guān)于安全的模式我只是列了一部分,安全的模式比較多,最典型的是最后一個(gè),網(wǎng)站提供了一千多個(gè),我們做了一半,我們現(xiàn)在和公安部也是合作,反正有聯(lián)系,但是這個(gè)產(chǎn)品公安部我們做的還沒用過,我們的產(chǎn)品面向于第一類做的比較多一些,第二類不是很多,我們的用戶對象大多數(shù)在軍隊(duì),軍隊(duì)對這個(gè)問題目前不是特別重視,航空領(lǐng)域用的多一些。CWF網(wǎng)站我們都可以做,而且不是很困難。

第三類叫疑問代碼,疑問代碼是我們想出來的,代碼也沒有什么錯(cuò)誤,但可能隱藏著什么錯(cuò)誤。還有是規(guī)則,現(xiàn)在有很多了,一個(gè)是國際標(biāo)準(zhǔn)5369,是1999年做的標(biāo)準(zhǔn),還有歐洲的MISIR標(biāo)準(zhǔn),像咱們?nèi)A為有自己的代碼標(biāo)準(zhǔn),還有很多大企業(yè)都有標(biāo)準(zhǔn),美國的工具面向于企業(yè)開發(fā)的工具,比如說IBM有什么標(biāo)準(zhǔn),谷歌有什么標(biāo)準(zhǔn),微軟有什么標(biāo)準(zhǔn),每個(gè)企業(yè)都有自己的特點(diǎn)。

國內(nèi)也有其他的工具,我不一一介紹了,我們主要講自己的工具。coverity是斯坦福大學(xué)教授研發(fā),去年被一個(gè)大的企業(yè)收購了。klocwork在中國賣的最好。Fortify主要面對一些語法類的錯(cuò)誤,在中國賣的也不錯(cuò)。我們的工具也做了十幾年,我們也有一個(gè)自己的思想,賣了大概五六十套。

下面主要報(bào)告一下我們的工具,這個(gè)工具我們做的13年,我記得是2001年開始,這個(gè)工具代碼全部是自己做的大概在一百萬行左右。目前適應(yīng)于C++和java,我們誤報(bào)率30%左右,計(jì)算的時(shí)候源代碼分析要進(jìn)行全路徑的計(jì)算,會(huì)產(chǎn)生很多漏報(bào),本來是沒計(jì)算出來,誤報(bào)本來是,你說不是。我們做了一個(gè)實(shí)驗(yàn),誤報(bào)大概10%左右,每天處理一百萬行代碼,我說的一百萬很保守。目前我們做DTSQT版還有Fortran版,2010年賣出去第一套,目前的版本是9.0,基本上我們這個(gè)產(chǎn)品在性價(jià)比上可以和上面三個(gè)工具相抗衡。

這是我們跟他們的對比,Klocwork,我們當(dāng)年想讓工信部的一個(gè)單位給我們統(tǒng)計(jì)一下,2012年的時(shí)候想把美國的三家公司叫到中國打個(gè)比賽,工信部出軟件,我們拿錢看誰測的準(zhǔn),結(jié)果美國回話說有一個(gè)沒興趣,有兩個(gè)說代理商去,中國的代理商測完美國認(rèn)不認(rèn)可,所以這個(gè)事就不了了之了,然后我們自己做了一下實(shí)驗(yàn),這個(gè)圖是C語言的代碼,這是測的結(jié)果,這個(gè)事沒有得到Klocwork的認(rèn)可,我們的數(shù)據(jù)在我們的網(wǎng)站上,我們做了大量的數(shù)據(jù),給大家報(bào)告一下。

這是給Coverity做的,我們當(dāng)年只拿了一個(gè)軟件,他也不愿意給你用,他主要是面向安全,兩家不是很交叉,這個(gè)東西也沒有什么可比性,但我們大概測出來600多,他測出來這么多,他有一個(gè)特點(diǎn)是測的比較準(zhǔn),誤報(bào)率比較低。我們也可以做得到,剛才瑞星講的怎么樣降低誤報(bào),不一樣,現(xiàn)在軍隊(duì)的要求是寧可誤報(bào)一千也不漏一個(gè),做銀行軟件庫比較大就要采取這個(gè)策略。

這是跟Fortify的比較,他和我們不是一個(gè)檔次,這兩年好像有很大的進(jìn)步,咱們國內(nèi)買了很多,價(jià)格稍微便宜一點(diǎn)兒,Coverity得一百萬,F(xiàn)ortify是針對語法類的,我們是對語義類的,我們大致做了一個(gè)比較。

這是我們測試的結(jié)果,給大家報(bào)告一下,比如說對當(dāng)時(shí)神舟7的測試結(jié)果,這個(gè)軟件是當(dāng)年用的過程中也發(fā)現(xiàn)問題,后來我們測了一下。對嫦娥2的額測試結(jié)果,嫦娥2測的數(shù)據(jù)故障量還是蠻多的,最后一行是人工確,大家簡單看一下,這是發(fā)現(xiàn)6個(gè)嚴(yán)重故障,3個(gè)非法計(jì)算等等。這是對天宮1號(hào)的測試結(jié)果,比如說第一個(gè)是一萬多行發(fā)現(xiàn)28個(gè)錯(cuò)誤,疑問代碼12個(gè)。這是對航天五院衛(wèi)星的測試結(jié)果,這次報(bào)告的結(jié)果得了單位的認(rèn)可,有單位的蓋章,我們兩家共同認(rèn)為這是一個(gè)錯(cuò)誤。

這個(gè)圖想說明什么呢?想說明目前開源軟件的現(xiàn)狀,我們對開源軟件做了一個(gè)測試,基本上Java每千行有一個(gè)到兩個(gè)缺陷左右,安全漏洞java有一個(gè)左右,這是大致的情況,目前開源軟件基本上故障率會(huì)達(dá)到一個(gè)左右,這還是不錯(cuò)的。

我測了一下安卓4.0,大家都比較熟悉,總共加起來有一千七百多萬條代碼,我們總共測出來18100多個(gè)故障,平均每千行一個(gè)左右,美國的軟件我們測了這么多,大部分都是控制在一個(gè)以內(nèi),所以美國人做軟件確實(shí)比中國要好不少,我們測的大概是102個(gè)小時(shí),我們這個(gè)數(shù)據(jù)我們網(wǎng)站里也有。

這是我的總結(jié),我們對于國產(chǎn)軟件大概測了5億行代碼左右,這是統(tǒng)計(jì)的,沒統(tǒng)計(jì)的就算了,大概每千行5-6個(gè)故障,美國的軟件測了幾千萬行,大概是一個(gè)左右。我們曾經(jīng)大概是二千零幾年的時(shí)候給美國合作,給波音公司的軟件做過測試,確實(shí)做的比較好,故障率很低。當(dāng)年我們合作的時(shí)候是我們測出來一個(gè)兩家公司共同確認(rèn),一個(gè)故障一千美元,代價(jià)還是非常大。我記得波音公司有一個(gè)軟件,沒有做過統(tǒng)計(jì),測了大概不到半年時(shí)間,波音付給那家公司三四百萬美元,波音公司的軟件非常大,這是一個(gè)軟件的情況,我們總結(jié)的軟件的情況,中國軟件的規(guī)模還是比較大的,2020年計(jì)劃達(dá)到一億,我不知道能不能做的到,但是我們的基礎(chǔ)軟件基本上是寥寥無幾,基本上可以忽略不計(jì)。這幾年發(fā)展的市場比較好一些,未來能不能完全替代美國的東西,現(xiàn)在還不好說,包括我們的芯片,包括我們的操作系統(tǒng),包括我們的數(shù)據(jù)庫,這些核心技術(shù)不掌握的話,我覺得信息安全是句空話,芯片、操作系統(tǒng)、數(shù)據(jù)庫,這個(gè)核心技術(shù)沒有的話,信息安全只能是內(nèi)部安全的問題,談不到和美國的問題,我們的操作系統(tǒng),芯片基本上都是美國的東西,這是一個(gè)非常大的問題。

從前年開始我稍微側(cè)重了一下區(qū)塊鏈,也測了幾個(gè),第一個(gè)測了一下EOS,基本上是故障有6個(gè),總共有11個(gè)故障在里面,還有疑問類,倒沒有安全類的,區(qū)塊鏈的安全大家都比較重視,這是北京的一家公司做的,做的還不錯(cuò),他們也是投入了很大的精力,基本上故障類得到13個(gè)措施,這個(gè)得到他們的確認(rèn),安全類的5個(gè),疑問類的是32個(gè),這些故障得到他們的認(rèn)可。

這個(gè)是另外一家公司,因?yàn)樯婕暗臄?shù)量比較多,我們只是測試結(jié)果,沒有進(jìn)入確認(rèn)。比如說故障49,安全類的349,疑問類的312,說明這個(gè)單位的代碼開發(fā)可能有些問題,可能新手比較多,剛畢業(yè)的學(xué)生比較多。

總而言之,目前源代碼測試,無論是可靠性測試還是安全性測試,現(xiàn)在都是一個(gè)必不可少的步驟,我今天來做這個(gè)報(bào)告,是希望引起我們在座的重視。也可能大家有人知道,有可能有人不知道源代碼測試的問題,至少目前我們知道美國的軟件現(xiàn)在在全世界是獨(dú)樹一幟,可能全世界加起來都不如美國,美國軟件的質(zhì)量也是能夠感受得到。你比如說這幾年出現(xiàn)的軟件質(zhì)量問題,系統(tǒng)安全問題,雖然咱們國內(nèi)下了很大功夫,但效果不是特別的理想。

今天我主要是報(bào)告一下數(shù)據(jù),這是我們的聯(lián)系方式,有興趣可以給我們聯(lián)系,我們也愿意跟咱們進(jìn)行合作,謝謝大家。

主持人 傅博巖:非常感謝宮教授的精彩分享,下面有請衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總工程師韓斐博士帶來數(shù)字空間的信任服務(wù)的主題分享,大家歡迎。

韓斐:各位領(lǐng)導(dǎo),各位專家,各位同仁大家下午好!很榮幸參加中國信息網(wǎng)絡(luò)安全峰會(huì),今天我代表衛(wèi)士通公司向各位分享一下我們在數(shù)字化時(shí)代網(wǎng)絡(luò)信任方面的思考和理解,我本次匯報(bào)主要包括四個(gè)方面,第一個(gè)是對數(shù)字發(fā)展的趨勢以及安全態(tài)勢進(jìn)行一個(gè)分析和闡述,第二部分我介紹一下我們在網(wǎng)絡(luò)空間現(xiàn)有服務(wù)這個(gè)方面提出的一些體系的設(shè)計(jì)和建議。第三部分針對信任服務(wù)體系其中一個(gè)核心,我們命名為統(tǒng)一信任服務(wù)平臺(tái)進(jìn)行簡單的介紹,最后對本次匯報(bào)的總結(jié)以及對信任服務(wù)體系的展望。

我們現(xiàn)在處在信息化發(fā)展與數(shù)字化轉(zhuǎn)型的關(guān)鍵事情,習(xí)主席2016年提出了要推進(jìn)電子政務(wù)、建設(shè)新型智慧城市的建設(shè),十八大后,國家先后部署了發(fā)展措施,尤其十九大報(bào)告中著重提出了針對數(shù)字時(shí)代,包括網(wǎng)絡(luò)強(qiáng)國,數(shù)字中國,智慧社會(huì)三個(gè)發(fā)展目標(biāo)。簡單說一下三個(gè)目標(biāo),首先網(wǎng)絡(luò)強(qiáng)國方面主要涉及到網(wǎng)絡(luò)基礎(chǔ)設(shè)施,通訊基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)信息安全的基礎(chǔ)建設(shè),希望通過網(wǎng)絡(luò)來強(qiáng)化國家的管理。

數(shù)字中國主要是推進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展,融合現(xiàn)在新興各類技術(shù)與傳統(tǒng)的各個(gè)領(lǐng)域進(jìn)行融合,實(shí)現(xiàn)我們的數(shù)字中國發(fā)展。

智慧社會(huì)是面向民生,社會(huì)服務(wù),公共服務(wù)領(lǐng)域,推進(jìn)新興技術(shù)的發(fā)展與融合,推進(jìn)智慧民生,智慧產(chǎn)業(yè)的發(fā)展。希望提升我們?nèi)嗣裨趪倚腋8泻瞳@得感,同時(shí)強(qiáng)化國家的治理能力。

數(shù)字轉(zhuǎn)型其實(shí)是信息化目前的關(guān)鍵階段,賽迪智庫也發(fā)布了數(shù)字轉(zhuǎn)型的系列文章,我看總結(jié)出來數(shù)字轉(zhuǎn)型五大特征,我們知道安全發(fā)展的前提,發(fā)展是安全的保障,我們不僅要保證數(shù)字轉(zhuǎn)型業(yè)務(wù)發(fā)展,還要考慮數(shù)字轉(zhuǎn)型安全,這五個(gè)方面我梳理了一下安全先考慮,平臺(tái)作為支撐數(shù)字空間產(chǎn)業(yè)生態(tài)的構(gòu)成,是關(guān)鍵要素的資源整合平臺(tái),安全合規(guī)是數(shù)字轉(zhuǎn)型發(fā)展的支撐。

軟件定義方面,涉及到數(shù)字孿生的規(guī)則體系,強(qiáng)調(diào)將物理世界與數(shù)字世界的映射關(guān)系,映射關(guān)系帶來了軟件產(chǎn)品和新興技術(shù)的發(fā)展,這個(gè)發(fā)展的過程中我們需要在軟件的開發(fā)周期中將安全融入進(jìn)去,保證產(chǎn)品從原生態(tài)就是一個(gè)安全的狀態(tài)。

數(shù)據(jù)層面,數(shù)據(jù)是數(shù)字轉(zhuǎn)型的核心要素資源,數(shù)字轉(zhuǎn)型也來數(shù)據(jù)匯聚,我們要關(guān)注數(shù)據(jù)安全。第四個(gè)是萬物互聯(lián)中涉及到人、機(jī)、物不同的實(shí)體之間的交互,交互一方面要保證人機(jī)物的身份是安全的,同時(shí)身份認(rèn)證通過后數(shù)據(jù)傳輸互聯(lián)是安全的,最終數(shù)字轉(zhuǎn)型主導(dǎo)的數(shù)字經(jīng)濟(jì)的運(yùn)行模式就帶來數(shù)字經(jīng)濟(jì)業(yè)務(wù)的轉(zhuǎn)型,包括提到的互聯(lián)網(wǎng)政務(wù)服務(wù),包括稅務(wù)電子化報(bào)銷,企業(yè)無紙化辦公都是數(shù)字轉(zhuǎn)型中一些新興的業(yè)務(wù)形態(tài)。

我們要將安全嵌入業(yè)務(wù)中不僅實(shí)現(xiàn)業(yè)務(wù)的電子化閉環(huán),同時(shí)保證安全在業(yè)務(wù)中的閉環(huán),我們需要從這五個(gè)方面考慮數(shù)字轉(zhuǎn)型的安全問題。今天有很多專家介紹了安全技術(shù),其實(shí)互聯(lián)網(wǎng)在價(jià)值、復(fù)雜性、多樣性的發(fā)展,應(yīng)用技術(shù)的發(fā)展速度是遠(yuǎn)遠(yuǎn)超越安全技術(shù)的升級能力,因?yàn)閷τ谟脩魜碚f,更關(guān)注于業(yè)務(wù),而對安全其實(shí)關(guān)注度不高,這就帶來網(wǎng)絡(luò)安全呈現(xiàn)不對稱性,尤其在國內(nèi)不對稱性更加的顯著。從網(wǎng)絡(luò)安全投入來說,國際上通用的網(wǎng)絡(luò)安全投入通常占比是占信息化建設(shè)20%左右,國內(nèi)基本上也就是10%左右,這也帶來了一個(gè)網(wǎng)絡(luò)安全不對稱性的問題。

為此國家也高度重視網(wǎng)絡(luò)安全,陸續(xù)發(fā)布了一系列法律法規(guī)和政策規(guī)范,下面是典型的規(guī)范,包括去年前年發(fā)布的國家網(wǎng)絡(luò)空間安全戰(zhàn)略以及網(wǎng)絡(luò)安全規(guī)劃,以及法規(guī)層面有《網(wǎng)絡(luò)安全法》,以及馬上發(fā)布的《密碼法(草案》,還有安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)體系。這一系列規(guī)范從戰(zhàn)略規(guī)劃,法律法規(guī),標(biāo)準(zhǔn)規(guī)范層面,對網(wǎng)絡(luò)安全進(jìn)行指導(dǎo),同時(shí)從信息安全以及密碼兩個(gè)層面保障我們的網(wǎng)絡(luò)安全的建設(shè)和網(wǎng)絡(luò)安全的運(yùn)行。

下面簡單分析一下網(wǎng)絡(luò)安全的態(tài)勢,這里我提出來呈現(xiàn)一種灰犀牛的特征,大家比較熟悉的是黑天鵝,指的就是事情突發(fā),而且?guī)順O大影響?;蚁J录ǔJ侵柑^于常見,但是大概率發(fā)生并且影響巨大,比如說我們在公眾號(hào)新聞上看到很多網(wǎng)絡(luò)事件發(fā)生,看到這些事件是存在的的,就像一群灰犀牛在草原上徘徊,如果是一個(gè)灰犀牛瞄準(zhǔn)你的位置代表這個(gè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)向你促發(fā),你可能覺得不是瞄向我的,但他加速向你沖來,因?yàn)槟阋郧暗牟蛔鳛闆]時(shí)間應(yīng)對風(fēng)險(xiǎn),這就會(huì)帶來極大的網(wǎng)絡(luò)安全事件。

下面就是一系列網(wǎng)絡(luò)安全事件所帶來的國家影響,國家從政府,從企業(yè)到個(gè)人都會(huì)帶來不同層面的影響,主要從現(xiàn)實(shí)層面介紹,有一些個(gè)人隱私泄露的事件,手機(jī)上經(jīng)常接到騷擾、推銷,包括巨大的黑產(chǎn),以及黑色產(chǎn)業(yè)鏈的生態(tài)滋生以及網(wǎng)絡(luò)犯罪難以追責(zé)和屢禁不止,這些問題顯現(xiàn)出網(wǎng)絡(luò)安全越來越面臨嚴(yán)重的危機(jī)。

物聯(lián)網(wǎng)層面,其實(shí)風(fēng)險(xiǎn)也在逐步的凸顯,首先從工業(yè)互聯(lián)網(wǎng)層面,主要涉及到國家的關(guān)鍵基礎(chǔ)設(shè)施,前不久發(fā)生的委內(nèi)瑞拉電力系統(tǒng)事件,包括烏克蘭兩次遭受網(wǎng)絡(luò)攻擊,以及核設(shè)施中小病毒都是對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊。這些事件可能離我們比較遠(yuǎn),我們看一下商用互聯(lián)網(wǎng)和民用互聯(lián)網(wǎng)領(lǐng)域,上午院士也過這個(gè)DDos事件,有一群黑客控制了一批物聯(lián)網(wǎng)的民用攝像頭終端,通過終端發(fā)布DDos攻擊,就是對商用物聯(lián)網(wǎng)控制之后,后面兩個(gè)屬于在安全大會(huì)和黑客大會(huì)上的一些實(shí)驗(yàn)室級別的攻擊,比如說特斯拉能夠通過遠(yuǎn)程控制控制剎車和前進(jìn),比如說攝像頭可以竊取聲音,竊取圖象,這個(gè)對個(gè)人隱私是非常大的損害。因此我們說現(xiàn)在物聯(lián)網(wǎng)黑產(chǎn),剛才說的攝像頭的集群,如果是機(jī)器人,智能音響這類的東西逐步進(jìn)入到千家萬戶,如果他被攻擊了,互聯(lián)網(wǎng)黑產(chǎn)也是很大的規(guī)模。

互聯(lián)網(wǎng)黑產(chǎn)已經(jīng)屢禁不止,很難防護(hù),物聯(lián)網(wǎng)黑產(chǎn)也需要考慮這方面的問題。我們假想一個(gè)場景,剛才說了萬物互聯(lián),萬物互聯(lián)代表著攻擊的互通,假設(shè)現(xiàn)在已經(jīng)有黑色產(chǎn)業(yè)鏈,一個(gè)黑客要攻擊某一個(gè)人,可以從黑產(chǎn)數(shù)據(jù)庫找到這個(gè)人的身份、住址、網(wǎng)絡(luò)信息,就知道他住在哪兒,網(wǎng)絡(luò)信息,移動(dòng)終端的位置信息,可以知道這個(gè)人在哪個(gè)位置,如果是物聯(lián)網(wǎng)的黑產(chǎn)產(chǎn)業(yè)鏈產(chǎn)生之后,可以從這個(gè)人周圍的物聯(lián)網(wǎng)終端進(jìn)行攻擊,定向攻擊,獲取控制權(quán),拿到上面的信息,直接就會(huì)看到這個(gè)人在干什么,說了什么話,直接獲取聲音圖象和運(yùn)動(dòng)信息,我相信這會(huì)成為萬物互聯(lián)的災(zāi)難。

前面是發(fā)展背景和安全態(tài)勢,下面主要講一下我們對網(wǎng)絡(luò)空間信任服務(wù)。前面說到信任服務(wù)的危機(jī),總結(jié)網(wǎng)絡(luò)空間信任危機(jī)表現(xiàn)在以下三個(gè)方面,第一個(gè)是對他人的身份和行為存在一定的質(zhì)疑或者不可信,比如說轉(zhuǎn)賬的時(shí)候得通過再三確認(rèn),這就是不可信。第二是對網(wǎng)絡(luò)違法溯源能力的擔(dān)憂,比如說一個(gè)人犯罪了,能不能通過網(wǎng)絡(luò)溯源找到這個(gè)人,現(xiàn)在公安機(jī)關(guān)對這方面的能力有很大加強(qiáng),我們經(jīng)??吹骄W(wǎng)絡(luò)謠言的罪人被抓獲。第三是對個(gè)人隱私泄露的擔(dān)憂,我相信這個(gè)對大家是一個(gè)比較明顯的感覺,有些人已經(jīng)不擔(dān)憂了,他覺得我的信息早被大家獲取了,所以沒有什么可泄露了,這更凸顯這個(gè)問題的嚴(yán)重性。

結(jié)合前面三個(gè)需求我們對網(wǎng)絡(luò)空間信任的概念進(jìn)行了一個(gè)描述,上午有專家談到碳基生命和硅基生命的分類,我們差不多的意思,我們分為物理世界和網(wǎng)絡(luò)世界,物理世界是現(xiàn)在生存的,網(wǎng)絡(luò)社會(huì)是在網(wǎng)絡(luò)空間構(gòu)建社會(huì),我們在物理社會(huì)中有一個(gè)身份,在執(zhí)行什么行為,我是一個(gè)人站在這兒,這就是我在物理世界的信任根。網(wǎng)絡(luò)社會(huì)同樣需要一個(gè)合法主體,合法資格和合法行為,我希望在主體方面實(shí)現(xiàn)身份可信,保證主體合法性。資格方面,通過我們現(xiàn)在政府大力推進(jìn)電子證照實(shí)現(xiàn)資質(zhì)證明,保證資格合法性。行為方面通過網(wǎng)絡(luò)溯源可以實(shí)現(xiàn)這個(gè)人行為的取證以及責(zé)任的追溯,這是對網(wǎng)絡(luò)信任的闡述。

國際上其實(shí)在網(wǎng)絡(luò)信任方面也有很大的一些進(jìn)展,比如說英國早在2012年左右推進(jìn)了UKVerify服務(wù),廠商包括銀行、郵政,英國郵政做的是通訊,包括提供身份服務(wù),這些身份服務(wù)通過構(gòu)建服務(wù)器可以進(jìn)行一個(gè)篩選,篩選是由終端用戶自己選擇,這是英國的特色。

美國同樣發(fā)布了國家網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略,從國家層面推出了框架,推進(jìn)各參與方實(shí)現(xiàn)可信身份服務(wù)。

總結(jié)國際上發(fā)展的現(xiàn)狀有三個(gè)方面,首先他們以加強(qiáng)網(wǎng)絡(luò)身份管理,構(gòu)建網(wǎng)絡(luò)信任服務(wù)體系為目標(biāo),安全強(qiáng)調(diào)個(gè)人隱私保護(hù),比如說個(gè)人對個(gè)人信息的隱私權(quán)以及遺忘權(quán),被遺忘權(quán),以及民眾可以自主擇優(yōu)選擇信任服務(wù)。在服務(wù)模式方面,通常是政府主導(dǎo)體系的設(shè)計(jì),企業(yè)參與相關(guān)信任服務(wù)的職能或者服務(wù)能力的構(gòu)建,管理服務(wù)也有基本的融合,這是國際上的服務(wù)進(jìn)展。

結(jié)合國際上的服務(wù)進(jìn)展,我們提出了網(wǎng)絡(luò)空間信任服務(wù)的模型,目前我們可以看到我們在互聯(lián)網(wǎng)上信任服務(wù)大概有四方,首先是可信身份的基礎(chǔ)資源方,主要提供基礎(chǔ)信息資源,以及像我們的信息化、網(wǎng)絡(luò)、安全類的主管機(jī)構(gòu)提供可信身份的保障,還有現(xiàn)在互聯(lián)網(wǎng)的政務(wù)應(yīng)用以及電子商務(wù)的應(yīng)用包括金融行業(yè)的應(yīng)用,是使用信任服務(wù)的依賴方。還有提供方,主要提供身份服務(wù),證書服務(wù)等一系列服務(wù),通常在各自生態(tài)里進(jìn)行維護(hù),我們在這里可以通過一個(gè)統(tǒng)一信任服務(wù)平臺(tái)將各個(gè)平臺(tái)進(jìn)行聯(lián)動(dòng),以它為核心構(gòu)建國家的可信身份管理基礎(chǔ)設(shè)施,從而支撐互聯(lián)網(wǎng)的應(yīng)用。

看里面的信任服務(wù)和平臺(tái),提供的主要包括密碼服務(wù)、信用服務(wù),通過下層管理層與各個(gè)運(yùn)用提供方和信任提供方實(shí)現(xiàn)接入和服務(wù)的關(guān)系。我們希望通過這個(gè)平臺(tái)達(dá)成四個(gè)目標(biāo),一是通過我們的信任服務(wù)可以有效的接入信任服務(wù)產(chǎn)品服務(wù)機(jī)構(gòu)以及依賴方,實(shí)現(xiàn)接入安全可信,便于快速對接。第二是整合離散的信任資源,提供統(tǒng)一的接口,同時(shí)用戶可以具備自主配置和管理的能力。第三是打造面向網(wǎng)絡(luò)空間中的人機(jī)物,不同屬性實(shí)現(xiàn)有機(jī)協(xié)同,實(shí)現(xiàn)一系列的服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的有效管理和可信控制。最終希望通過信任服務(wù)平臺(tái),能夠連通信任服務(wù)上下游,向下能夠整合各類信用服務(wù)資源和基礎(chǔ)服務(wù)資源,向上對接業(yè)務(wù)平臺(tái)以及業(yè)務(wù)應(yīng)用,提供各類信任服務(wù)。

基于服務(wù)目標(biāo)我們提出了層次化服務(wù)體系,構(gòu)建的是覆蓋接入網(wǎng)數(shù)據(jù)應(yīng)用各層面的安全運(yùn)營服務(wù),提供信任以及安全各類服務(wù),當(dāng)然必須要承載一個(gè)安全的云平臺(tái)之上,在云平臺(tái)上已經(jīng)具備了一系列安全基礎(chǔ)設(shè)施和密碼基礎(chǔ)設(shè)施,對他提供安全的支撐和運(yùn)算的支撐。

接下來我就選幾個(gè)重點(diǎn)的服務(wù),典型服務(wù)進(jìn)行一個(gè)介紹。首先是密碼服務(wù),我們知道我們國家在積極推進(jìn)商務(wù)密碼的應(yīng)用,商務(wù)密碼其實(shí)是網(wǎng)絡(luò)安全的一個(gè)基石,是信息安全的基因也是數(shù)據(jù)安全的基石,我們要用商務(wù)密碼構(gòu)建我們平臺(tái)的核心,因此我們統(tǒng)一信任平臺(tái)構(gòu)建密碼服務(wù)平臺(tái),可以為各類終端提供密碼服務(wù),同時(shí)可以提供密碼資源的運(yùn)算支撐。這個(gè)平臺(tái)是以商用密碼為基礎(chǔ),依托各類密碼基礎(chǔ)設(shè)施以及安全基礎(chǔ)設(shè)施構(gòu)建我們基礎(chǔ)支撐平臺(tái)。其上提供的一個(gè)是基礎(chǔ)密碼服務(wù),應(yīng)用密碼服務(wù)和平臺(tái)運(yùn)行服務(wù)。平臺(tái)運(yùn)營服務(wù)其實(shí)就是我們信任服務(wù)相關(guān)的服務(wù)能力。

下面簡單介紹兩種比較典型,或者已經(jīng)在使用的密碼服務(wù)的場景,第一種是為托管在我們平臺(tái)上的托管業(yè)務(wù)提供密鑰管理以及密碼運(yùn)算服務(wù),平臺(tái)可以在上面滿足用戶的數(shù)據(jù)穩(wěn)定的加解密,結(jié)點(diǎn)之間認(rèn)證以及靜態(tài)數(shù)據(jù),動(dòng)態(tài)數(shù)據(jù)的存儲(chǔ)需求。第三是可以提供密鑰管理服務(wù),我們密碼服務(wù)平臺(tái)可以為承載業(yè)務(wù)提供獨(dú)立第三方的密鑰管理服務(wù),通過這種方式我們提供SDK,供第三方應(yīng)用集成到他的平臺(tái)里,這里的優(yōu)勢在于這樣可以更安全的保護(hù)終端用戶的數(shù)據(jù),因?yàn)榻K端用戶的數(shù)據(jù)是有密鑰,有數(shù)據(jù),能看到密文,在傳輸過程中到了應(yīng)用服務(wù)器是密文的形式,密鑰是在用戶手里,所以說用服務(wù)器不知道,到最終另一端接受方用戶手里,通過SDK可以解密,可以包括數(shù)據(jù)在應(yīng)用方不會(huì)被竊取或者是不會(huì)被泄露,更高強(qiáng)度的保護(hù)用戶的數(shù)據(jù)安全。

第二種服務(wù)是信任服務(wù),統(tǒng)一信任服務(wù)平臺(tái),基于密碼服務(wù)平臺(tái)各項(xiàng)密碼服務(wù)能力,可以為政府提供認(rèn)證、印章等服務(wù),可以為企業(yè)提供商用服務(wù),以及為企業(yè)提供個(gè)性化的服務(wù)以及敏感數(shù)據(jù)的授權(quán)使用可信的空間這一系列的安全服務(wù)能力。

最后一個(gè)是物聯(lián)網(wǎng)信任服務(wù),物聯(lián)網(wǎng)信任服務(wù)是面向數(shù)字轉(zhuǎn)型人機(jī)物的協(xié)同,需要對物聯(lián)網(wǎng)的設(shè)備進(jìn)行管理,對身份進(jìn)行認(rèn)證,這樣可以保證物聯(lián)網(wǎng)應(yīng)用在使用過程中的安全,這里是通過統(tǒng)一信任服務(wù)平臺(tái)的設(shè)備管理系統(tǒng)為各設(shè)備廠商簽發(fā)標(biāo)識(shí),設(shè)備廠商可以將標(biāo)識(shí)嵌入軟件和硬件模塊中,保證用于后期的認(rèn)證。應(yīng)用過程中設(shè)備可以通過我們統(tǒng)一信任服務(wù)平臺(tái)的設(shè)備認(rèn)證服務(wù)系統(tǒng)進(jìn)行身份認(rèn)證,從而支撐互聯(lián)網(wǎng)應(yīng)用的可信交互。

最后對前面說的進(jìn)行一個(gè)小結(jié),首先數(shù)字轉(zhuǎn)型要以安全作為發(fā)展的保障,因?yàn)閿?shù)字轉(zhuǎn)型涉及到人機(jī)物的交互,應(yīng)該用安全作為底線,沒有安全也沒法談數(shù)字轉(zhuǎn)型發(fā)展。

第二,網(wǎng)絡(luò)信任服務(wù)體系建設(shè)勢在必行,網(wǎng)絡(luò)空間信任服務(wù)是基礎(chǔ),以人、機(jī)、物的身份統(tǒng)一機(jī)制和交互模式可以奠定安全的根基。

第三,強(qiáng)調(diào)商用密碼,采用以密碼學(xué)為核心的安全基礎(chǔ)可以保證數(shù)字中國的發(fā)展,依托云與大數(shù)據(jù)提供的密碼服務(wù),可以提升業(yè)務(wù)發(fā)展的有效。

接下來是我們衛(wèi)士通公司已經(jīng)投資建設(shè)了一個(gè)一體化的高安全密碼服務(wù)平臺(tái),這個(gè)密碼服務(wù)平臺(tái)是依靠衛(wèi)士通20多年的密碼和安全技術(shù)的積累,將各類成熟的技術(shù)和產(chǎn)品提供完善的密碼服務(wù)。這個(gè)密碼服務(wù)平臺(tái),我們也希望通過密碼服務(wù)平臺(tái)為基礎(chǔ),能夠?yàn)榍懊嫣岬降慕y(tǒng)一信任服務(wù)平臺(tái),包括國家的統(tǒng)一身份基礎(chǔ)設(shè)施提供一系列的密碼應(yīng)用以及信任服務(wù)支撐,現(xiàn)在密碼服務(wù)平臺(tái)已經(jīng)在為云平臺(tái)以及移動(dòng)終端,以及物聯(lián)網(wǎng)終端提供一系列的信任服務(wù)和密碼服務(wù)能力。

最后我們希望通過統(tǒng)一信任平臺(tái)的建設(shè),能夠聯(lián)動(dòng)企業(yè)和社會(huì),為企業(yè)和個(gè)人提供可信信任服務(wù),依托國家的監(jiān)管,依托政府的監(jiān)管提供基礎(chǔ)信息的保障,我的匯報(bào)就是這些,謝謝。

主持人 傅博巖:感謝韓斐博士的精彩演講,下面有請國信電子票據(jù)平臺(tái)信息服務(wù)有限公司,營銷中心總經(jīng)理崔艷輝帶來生態(tài)賦能助力企業(yè)財(cái)稅票數(shù)據(jù)安全的主題演講。

崔艷輝:大家好,剛才聽了一下午各位專家的分享,我上來來講一點(diǎn)兒跟大會(huì)看起來不太一樣的東西,希望大家能夠從剛才的網(wǎng)絡(luò)安全里面分出一些精力聽我一下專業(yè)領(lǐng)域關(guān)于安全應(yīng)用的場景。

通過我今天講的,我希望達(dá)到兩個(gè)目的,第一個(gè)就是在稅務(wù)信息化的當(dāng)前背景下,稅務(wù)信息安全和財(cái)稅信息安全也是一個(gè)非常重要的市場模塊。再一個(gè),跟大家相關(guān)的,可能我講的場景和每個(gè)人,每個(gè)公司都有關(guān)聯(lián)。

第二個(gè)目的,希望通過我今天的講解能尋求到一些專家或者企業(yè),能否在市場上或者商業(yè)模式上以及技術(shù)合作上,能不能有合作的空間。

講之前首先問一下,大家有沒有在類似于星巴克、漢堡王、華聯(lián)拿過開的發(fā)票,我們做什么呢?就是做發(fā)票的信息化轉(zhuǎn)型,咱們國家的稅制講的是以票供稅,尤其營改增,設(shè)計(jì)原理都是根據(jù)票來的,我們有很多種發(fā)票,最常見增值稅的發(fā)票,所有發(fā)票組織我們整個(gè)稅制完整的邏輯。

這兩天在我們這個(gè)領(lǐng)域里發(fā)生了幾件大事,國務(wù)院強(qiáng)調(diào)今年的降稅的措施,我們征稅從之前的70.6%降到60.3%,講起來可能和在座的有點(diǎn)遠(yuǎn),但這個(gè)是我們這個(gè)領(lǐng)域里,我們目前正在干的一件事情,我們叫稅務(wù)信息化安全。

目前我們從國內(nèi)主流電商,比如說京東、唯品會(huì)還有當(dāng)當(dāng)網(wǎng),以及我們從主流的公共服務(wù)企業(yè),包括電信聯(lián)通,水電煤,你所接觸的電子發(fā)票都是由我們公司后面開的?;谶@一點(diǎn),這是公司的背景情況。 首先講一下

首先講一下我們稅制改革下目前來講每個(gè)企業(yè)剛性的需求,我們知道任何一個(gè)企業(yè)在中國體制下,我們要生存發(fā)展,每一筆營收和支出都是跟票據(jù)相關(guān)的,都是跟發(fā)票相關(guān)的,營改增以前,我們稅務(wù)局分為國稅和地稅,兩個(gè)部門大概有34-36個(gè)稅種,營改增之后營業(yè)稅改為整個(gè)增值稅,改革以后我們?nèi)魏我粋€(gè)企業(yè)都面臨著一個(gè)核心的痛點(diǎn)需求是企業(yè)所開和所收的增值稅發(fā)票的量急劇增加。

我們經(jīng)常會(huì)遇到一些報(bào)道說虛開發(fā)票的,或者以前可能去其他各種途徑去找過發(fā)票做充當(dāng),或者是做一些賬目的處理,我們講的稅務(wù)安全或者是票據(jù)信息安全就是基于對企業(yè)增值稅發(fā)票整個(gè)鏈條的管理。國家頒布了這么多降稅的措施,企業(yè)怎么記得住,怎么應(yīng)對票據(jù)形成一個(gè)閉環(huán)管理,這個(gè)是企業(yè)目前遇到的比較大的剛性需求點(diǎn)。

簡單舉個(gè)例子,我們的交通運(yùn)輸費(fèi)包括火車票和機(jī)票可以作為增值稅的抵點(diǎn)項(xiàng)目,以前只有增值稅專業(yè)發(fā)票可以抵稅和減稅,現(xiàn)在火車票和飛機(jī)票都可以抵,如果一個(gè)企業(yè)一個(gè)月有五百張,五千張這樣的票,或者是其他的運(yùn)輸票,財(cái)務(wù)會(huì)計(jì)怎么處理這些票,是不是真?zhèn)蔚牟轵?yàn)怎么樣入賬,怎么樣查驗(yàn)數(shù)據(jù),這是我們給企業(yè)提供的核心能力。

具體講起來有幾點(diǎn),比如說增值稅發(fā)票量數(shù)量急劇增長,是不是風(fēng)險(xiǎn)增大,您拿票的機(jī)構(gòu)有沒有風(fēng)險(xiǎn),這都是每個(gè)企業(yè)財(cái)務(wù)或者是法人非常關(guān)心的一點(diǎn)。發(fā)票合規(guī)性和企業(yè)供應(yīng)鏈系統(tǒng)對發(fā)票管理都有比較強(qiáng)的需求,另外一個(gè)是場景是金融場景,為什么金融場景,因?yàn)閮蓚€(gè)方面,一個(gè)是供應(yīng)鏈金融,第二個(gè)是銀行普通常見的增值稅需求。

我們知道一個(gè)企業(yè)大的征收情況和盈利能力和盈虧和盈付是直接相關(guān)的,我們能在企業(yè)稅前的前提之下,在合理合規(guī)的前提之下我們能幫助公司獲取到全國所有經(jīng)營的數(shù)據(jù),前提是企業(yè)授權(quán),這一點(diǎn)是對我們所服務(wù)的銀行,或者是供應(yīng)鏈金融的企業(yè)非常至關(guān)重要的,這是我們背景下的大需求。

我們講稅務(wù)信息化市場,我簡單來講,在最早國家推行電子發(fā)票的時(shí)候,第一個(gè)上電子發(fā)票的電商是京東,京東在上電子發(fā)票之前,每年發(fā)票的開具和郵寄成本是12個(gè)億。上電子發(fā)票以后,京東每年電子發(fā)票的具體成本應(yīng)該是在一千萬以內(nèi)或者兩千萬以內(nèi),我們說商業(yè)模式是什么商業(yè)模式?以電子發(fā)票為例,2015年,2016年最早實(shí)行電子發(fā)票的時(shí)候,我們和京東的合作是按單張發(fā)票合作的,每開一張要給我們付一毛錢,京東每一天的發(fā)票開具量應(yīng)該是在一千萬張左右,每一天的發(fā)票開具量至少在一千萬張左右,這是一個(gè)簡單市場的商業(yè)邏輯。

在我們目前的國家體制里,全國征稅納稅人,增值稅納稅人大概是2700萬,有自主開票能力或者自主開票資格的企業(yè)2700萬,構(gòu)成了我們整個(gè)財(cái)稅服務(wù)的生態(tài)體系或者是目標(biāo)客戶群體,我們所提供的能力或者所提供的產(chǎn)品或者功能,在中國2700萬企業(yè)里必須用到的模塊,只是說需求不一樣,價(jià)值點(diǎn)也不一樣,這是我們整個(gè)模式。

從營改增以后,除了開票的市場以外,我們還有個(gè)收票的市場,一個(gè)企業(yè)除了開給別人之外還會(huì)收到大量的發(fā)票。以前企業(yè)處理的時(shí)候說紙質(zhì)票,票的真?zhèn)魏蓑?yàn)非常嚴(yán),如果說保險(xiǎn)公司或者在座各位企業(yè)服務(wù)的企業(yè)里,軟件系統(tǒng)里,如果財(cái)務(wù)查驗(yàn)一千多張票的真?zhèn)喂ぷ髁糠浅4螅@些都是我們產(chǎn)品能力解決的一系列問題。

目前我們跨行業(yè)合作的類似于像太極或者像浪潮還有OA,這樣的合作伙伴他們都是在模塊里把票據(jù)的能力加到他們產(chǎn)品軟件里去。中國在這個(gè)領(lǐng)域里,現(xiàn)在主流的服務(wù)商大概3-5家,我們是其中比較另類的一家,為什么呢?在電子發(fā)票市場開始的時(shí)候,我們市場有一項(xiàng)非常至關(guān)重要安全的一項(xiàng)技術(shù),很多人知道稅控技術(shù),稅控設(shè)備,最早九幾年第一批做稅制改革的時(shí)候用的跟安全有關(guān),今天講到這兒了也可以講一下按照稅種改革的方向,專用設(shè)備在目前為止只有兩家廠商能夠生產(chǎn)和提供,我們計(jì)劃在今年年底放到整個(gè)稅制市場,從專業(yè)設(shè)備變成通用設(shè)備,這個(gè)市場其實(shí)是巨大的,我做2700萬的企業(yè)主體,每時(shí)每刻都是要用電子設(shè)備進(jìn)行開票和使用。

剛才我講的目前在我們的平臺(tái)上流轉(zhuǎn)的發(fā)票數(shù)據(jù)大概應(yīng)該有七八億的發(fā)票數(shù)據(jù),這個(gè)數(shù)據(jù)是以國家戰(zhàn)略數(shù)據(jù),為什么這樣講?通過這些數(shù)據(jù)可以分析企業(yè)的發(fā)展情況,比如說上市公司,我拿到他的票據(jù)數(shù)據(jù)可以分析下一年的財(cái)報(bào)狀況。作為這個(gè)領(lǐng)域幾個(gè)民營公司來講,我們在去年的5月份成功被國家信息中心招安,為什么用招安這個(gè)詞,我們覺得國家發(fā)票這個(gè)領(lǐng)域或者是財(cái)稅這個(gè)領(lǐng)域一定是屬于國家領(lǐng)域的,數(shù)據(jù)不可能放在純民營單位手上,所以國信是國家信息中心的下屬單位,這是我們企業(yè)的背景。

我們目前是唯一一個(gè)國內(nèi)以電子政務(wù)信息安全標(biāo)準(zhǔn)提供服務(wù)的稅務(wù)信息化服務(wù)商,目前我們服務(wù)的企業(yè)里面大多是以國企和央企為主,包括我們的國家電網(wǎng),國家電網(wǎng)應(yīng)該從二季度開始對于所有民用的用電都不會(huì)開具紙質(zhì)發(fā)票了,全部開具電子發(fā)票。

這是我們大概的情況,業(yè)績情況,比如說15億家,兩百萬家,一千家,還有四億消費(fèi)終端,這是目前企業(yè)的具體情況。電子發(fā)票是一項(xiàng)利民利國的措施,是未來一個(gè)不可逆的發(fā)展趨勢,不管是從公共資源節(jié)約還是從低碳的角度來講,還是從無紙化辦公都是一個(gè)不可逆的發(fā)展趨勢。

目前我們在這個(gè)領(lǐng)域里應(yīng)該是數(shù)一數(shù)二的,不是第一應(yīng)該就是第二的市場占有率。這個(gè)是大概我們給企業(yè)賦能的一些產(chǎn)品,兩個(gè)模塊。第一個(gè)主要的拼盤是fapiao.com,另外一個(gè)是國信信息,我們跟國家信息中心一起共建一個(gè)全國的電子票據(jù)政府服務(wù)平臺(tái),不單單包含了發(fā)票電子化,也包括財(cái)政電子化,包括銀行,包括醫(yī)院,包括學(xué)校的票據(jù),未來三五年都會(huì)形成電子票據(jù)。

我們目前的合作模式,我們合作對外的合作模式,第一個(gè)我們面向企業(yè)終端提供剛才講的以開票和收票兩種能力為基礎(chǔ)關(guān)于場景和數(shù)據(jù)的賦能或者是服務(wù)。第二個(gè),我們也提供平臺(tái)級的對接,我們把目前的功能模塊對接到友商的平臺(tái)里去,增加整個(gè)合作伙伴的能力,為企業(yè)提供整個(gè)一體化服務(wù)能力。

財(cái)稅這一塊我想分享一個(gè)未來財(cái)稅發(fā)展的走向,大家也知道現(xiàn)在最火的是個(gè)稅的改革,大家要填報(bào)你的房貸以及贍養(yǎng)老人的支出,這都可以作為個(gè)人所得稅扣除之前的錢,現(xiàn)在稅種上周一天發(fā)了六個(gè)文件去做目前整個(gè)稅制改革,包括接下來要發(fā)的關(guān)于社保,整個(gè)稅制變化的政策非常快,會(huì)導(dǎo)致一個(gè)什么現(xiàn)象呢?我們在中國有2700萬-2400萬會(huì)計(jì)從業(yè)人員,會(huì)計(jì)從業(yè)人員未來的職業(yè)使命會(huì)發(fā)生巨大變化。為什么?按照稅務(wù)信息化發(fā)展趨勢,未來一到兩年之內(nèi)純手工記賬的會(huì)計(jì),這個(gè)行業(yè)就會(huì)消失,為什么?因?yàn)樗械馁~目處理和稅務(wù)處理都是自動(dòng)化,智能化的。我們有一款產(chǎn)品叫財(cái)稅機(jī)器人,經(jīng)常出差的朋友都深有感觸,每次回辦公室要貼大量的票據(jù),寫各種單據(jù),財(cái)務(wù)要審核。我們有一款財(cái)務(wù)機(jī)器人,給大型企業(yè)提供,員工回來把所有的票據(jù)丟在里面就可以了,機(jī)器人會(huì)自動(dòng)根據(jù)票據(jù)的類型做OCI的識(shí)別,做查驗(yàn),做企業(yè)財(cái)稅一體化處理的流程,最終處理完之后去封裝,封裝完里面有人工填寫的報(bào)告單,都是通過智能化形成的,所有過程都是通過財(cái)稅智能化應(yīng)用實(shí)現(xiàn)的。

我們在目前所有的工業(yè)企業(yè)或者大型企業(yè)講解決方案的時(shí)候,我經(jīng)常講去年去四川做財(cái)稅解決化方案講解的時(shí)候,當(dāng)場有42個(gè)會(huì)計(jì),講完之后差點(diǎn)被轟出去,按照我們講的現(xiàn)場有一半的人就不用干了,因?yàn)槎际强繖C(jī)器人自動(dòng)化實(shí)現(xiàn)的,所以財(cái)稅行業(yè)整個(gè)變革是非??焖俚淖兏锇l(fā)展。這樣的變革之下,也就是我講的為什么有萬億市值和千億市值的市場規(guī)模,我們做財(cái)稅的都跟不上行業(yè)的變化,更別說企業(yè)主體根本不知道未來的形勢變化或者財(cái)稅該怎么去處理,風(fēng)險(xiǎn)點(diǎn)該怎么去規(guī)避。

現(xiàn)在不知道什么時(shí)候就成為風(fēng)險(xiǎn)納稅人了,我們的解決方案就是解決在涉財(cái)涉稅的一系列安全問題,同時(shí)提高運(yùn)營效率,提高整個(gè)企業(yè)的運(yùn)營效率。現(xiàn)在看再過半年,在所有的衣食住行方面都不會(huì)再看到紙質(zhì)發(fā)票了,現(xiàn)在你的電子發(fā)票還需要打印,報(bào)銷的時(shí)候還需要打印,去會(huì)計(jì)那兒報(bào)銷。未來半年到一年也不需要打印,目前衣食住行都是跟財(cái)稅,跟票據(jù)是息息相關(guān)的,我們行業(yè)里也覆蓋類似像國航,覆蓋航空體系80%以上的市場,行李操縱包括機(jī)場,停車場支付完所需要開具的發(fā)票背后都是我們在提供服務(wù)。

我們提供幾種接口給大家,一種是接口的服務(wù),我們可以把接口能力融合到咱們在座的軟件或者服務(wù)企業(yè),使你的系統(tǒng)里除了現(xiàn)有的功能之外增加整個(gè)票據(jù)或者是財(cái)政稅的模塊。第一個(gè)是OCI識(shí)別接口,場景是需要把所有的票據(jù)變成結(jié)構(gòu)化數(shù)據(jù),我們現(xiàn)在最火的叫財(cái)務(wù)一體化,最大的一個(gè)痛點(diǎn)是什么?目前所有的SAP,所有財(cái)務(wù)軟件廠商能夠整合企業(yè)的ERP系統(tǒng),財(cái)務(wù)系統(tǒng),唯獨(dú)解決不了企業(yè)稅務(wù)系統(tǒng)的整合,這個(gè)恰恰是彌補(bǔ)了他們的空白,真正實(shí)現(xiàn)一體化,目前我們OCI識(shí)別接口可以對任何票據(jù)的識(shí)別率達(dá)到100%,剛才說的機(jī)器人就是基于這個(gè)技術(shù)實(shí)現(xiàn)的,把所有的票丟進(jìn)去會(huì)自動(dòng)呈現(xiàn)一個(gè)電子簽單,這個(gè)技術(shù)是可以提供對外接口對接。

第二個(gè)是發(fā)票核驗(yàn),我們可以提供簽單發(fā)票核驗(yàn)的迅速返回,如果我們服務(wù)的企業(yè)是國企,或者是對于上市公司或者金融企業(yè)對發(fā)票的真?zhèn)魏蓑?yàn)要求比較高,必須要用發(fā)票查驗(yàn),單純手工查驗(yàn)的效率非常慢,用拍照或者是掃描或者是PDF圖片的方式去識(shí)別去查驗(yàn),效率非常快,基本上接口能夠?qū)崿F(xiàn)秒級響應(yīng)。再一個(gè)是認(rèn)證,比較專業(yè),就不講了。風(fēng)控預(yù)警的是不僅僅用于財(cái)務(wù)上,也用于金融數(shù)據(jù),我們能夠提供企業(yè)全生命周期票據(jù)的狀態(tài)預(yù)警,比如說你拿一張票給財(cái)務(wù),但是你的開票方,因?yàn)槟闶琴I票的,開票方?jīng)]作廢掉,這個(gè)時(shí)候我們能提供全方位的預(yù)警,包括你開票方是不是風(fēng)險(xiǎn)納稅人,都可以實(shí)時(shí)反饋。

申報(bào)接口是指企業(yè)納稅人申報(bào),海關(guān)接口是指提供企業(yè)整個(gè)出口和進(jìn)口憑證和稅額。銷項(xiàng)接口是助力企業(yè)電子發(fā)票開具、推送、存儲(chǔ)、紙質(zhì)發(fā)票的開具。目前我們?nèi)魏我粋€(gè)中小企業(yè)或者大型企業(yè),在社財(cái)有五個(gè)系統(tǒng)必須要操作,每個(gè)月必須要操作五個(gè)系統(tǒng),第一個(gè)是開票,開票我們國家有個(gè)系統(tǒng),必須在那里面進(jìn)行操作。第二個(gè)是發(fā)票核驗(yàn),你要查驗(yàn)真?zhèn)危l(fā)票核驗(yàn)是單獨(dú)的平臺(tái)。第三個(gè)是認(rèn)證,也是單獨(dú)的,第四個(gè)是記賬軟件,第五個(gè)記完賬必須登錄那個(gè)省的申報(bào)平臺(tái)做申報(bào),做扣款,我們的能力是什么,把五個(gè)場景集中在一個(gè)軟件里,一個(gè)界面實(shí)現(xiàn),在座任何一個(gè)友商或者合作伙伴,我們能夠把五個(gè)場景提供完整的財(cái)稅服務(wù)能力,這大概是我們接口的合作模式。

第二個(gè)合作模式,我講一下,我們對于沒有開發(fā)能力或者沒有這些能力的合作伙伴也可以把我們平臺(tái)整個(gè)產(chǎn)品場景嵌入到咱們頁面里去或者某個(gè)場景里去。這個(gè)是社會(huì)票據(jù)安全的合規(guī)性應(yīng)用場景或者是我們整個(gè)提供的一些產(chǎn)品上的研究,基于產(chǎn)品延伸,第一個(gè)是個(gè)稅申報(bào)賦能,現(xiàn)在個(gè)人所得稅是非常復(fù)雜的過程,每個(gè)月的稅務(wù)是累進(jìn)制的,以前人事能夠做工資表,現(xiàn)在任何一個(gè)公司的人事都做不了工資表,我們的軟件系統(tǒng)能夠去解決人事和財(cái)務(wù)溝通的問題,回去你們可以問一問人事,人事自己做不了工資表,必須得和財(cái)務(wù)溝通。

智慧報(bào)銷,財(cái)務(wù)管理等這些都是領(lǐng)域內(nèi)比較專業(yè)的產(chǎn)品場景,后面如果有興趣可以深入交流,因?yàn)檫@里講起來,如果不在這個(gè)領(lǐng)域里面,要講很長時(shí)間才能講清楚應(yīng)用場景是什么。

這是目前我們一些樣板客戶,以國家電網(wǎng),中國電信為主的國內(nèi)主流的各個(gè)行業(yè),我們基本上做了全覆蓋。比如說我們的漢堡王和星巴克,星巴克都去過,比如說首都機(jī)場,四川航空,包括我們北京華聯(lián),物美等等這些企業(yè),我們背后都是做財(cái)稅和稅務(wù)一體化管理。我們做業(yè)務(wù)或者做商業(yè)模式是一個(gè)通的商業(yè)模式,任何一個(gè)企業(yè)必須要,我們的產(chǎn)品從每年三百塊錢到每年三千萬不等,是根據(jù)每個(gè)企業(yè)所需要實(shí)際的模式來去做的。比如說國家電網(wǎng)要整個(gè)財(cái)務(wù)管理體系可能六千萬都做不完,但像街邊的企業(yè)做電子發(fā)票一年八百塊錢就可以滿足需求。我們目前只要有生產(chǎn)經(jīng)營能力的企業(yè)都是我們的目標(biāo)客戶。

這大概是我們公司的實(shí)際情況,最后我們有兩個(gè)微信,都是群,大家可以掃一下,我們建立了一個(gè)群,今天可能產(chǎn)生終端客戶的幾率比較小,但我們在電子發(fā)票的開具安全,包括我們整個(gè)商業(yè)模式上應(yīng)該有一些合作的機(jī)會(huì),歡迎大家掃碼加入,也歡迎大家和我們深入交流,今天我的分享到此結(jié)束,謝謝大家。

主持人 傅博巖:感謝崔總的精彩分享,下面有請工信部賽迪網(wǎng)絡(luò)安全研究所所長,賽迪區(qū)塊鏈研究院院長劉權(quán)博士帶來數(shù)據(jù)安全面臨形勢及對策的主題演講,大家歡迎。

今天這個(gè)題目是圍繞數(shù)據(jù)安全,事實(shí)上來講對于咱們在座的各方,數(shù)據(jù)目前來看不僅僅是安全的問題,數(shù)據(jù)從采集、存儲(chǔ)、使用、加工到銷毀,每個(gè)環(huán)節(jié)不僅存在著安全的問題,現(xiàn)在面臨的更大挑戰(zhàn),我認(rèn)為可能是來自于一些政治合規(guī)性的要求。

側(cè)重點(diǎn)可能還是數(shù)據(jù)安全,里面會(huì)介紹一些其他合規(guī)性的要求,不管是數(shù)據(jù)管理平臺(tái)還是現(xiàn)在的企業(yè),可能合規(guī)性的要求對我們帶來的挑戰(zhàn)更大一些。

從現(xiàn)在面臨的形勢來看,我現(xiàn)在在座很清楚,一個(gè)是網(wǎng)絡(luò)安全,系統(tǒng)安全和終端安全和數(shù)據(jù)安全,我剛才所說了系統(tǒng)的安全是圍繞數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用、加工,每個(gè)環(huán)節(jié)都有。從現(xiàn)在面臨的情況,整個(gè)數(shù)據(jù)平臺(tái)已經(jīng)成為網(wǎng)絡(luò)攻擊顯著的目標(biāo),這個(gè)很簡單,現(xiàn)在是大數(shù)據(jù)的時(shí)代,尤其提數(shù)字經(jīng)濟(jì),數(shù)字社會(huì),還有數(shù)字世界。未來我們面臨的可能都是數(shù)據(jù)的資產(chǎn),我們現(xiàn)在所計(jì)量的都會(huì)遷移到網(wǎng)絡(luò)空間,虛擬社會(huì)下。

在大數(shù)據(jù)時(shí)代,你比如說我原來對黑客來講,攻擊一個(gè)企業(yè)的時(shí)候可能拿到的是企業(yè)的數(shù)據(jù),如果攻擊一個(gè)大數(shù)據(jù)平臺(tái),不管是通過什么,可能這個(gè)危害就非常之大?,F(xiàn)在有些平臺(tái)已經(jīng)成為了黑客攻擊的目標(biāo)。從數(shù)據(jù)的大量聚集來看使得黑客一個(gè)是成功的攻擊能夠獲得更多的數(shù)據(jù),比如說近期發(fā)生的事情,2月13號(hào)外媒曝光我國一家人臉識(shí)別技術(shù)為主的公司是超過256萬人的680多萬條數(shù)據(jù)被泄露,這個(gè)數(shù)據(jù)對個(gè)人來講影響還是蠻大的。包括去年9月份美國發(fā)生歷史上最大規(guī)模的數(shù)據(jù)安全事件,我不知道數(shù)據(jù)是怎么泄露出來的,現(xiàn)在大數(shù)據(jù)平臺(tái),尤其是現(xiàn)在一些數(shù)據(jù)應(yīng)用公司已經(jīng)成為黑客重點(diǎn)攻擊的對象,這是一個(gè)形勢。

第二個(gè),咱們現(xiàn)在大數(shù)據(jù)面臨信息泄露的風(fēng)險(xiǎn),原來對企業(yè)來講都是在系統(tǒng)之中,尤其上云之后企業(yè)的敏感信息,包括業(yè)務(wù)當(dāng)中沉淀的數(shù)據(jù),有形無形現(xiàn)在都逐漸遷移到數(shù)據(jù)平臺(tái)上,對企業(yè)中無形當(dāng)中的風(fēng)險(xiǎn)還是比較大的。

從現(xiàn)在的分析來看,大數(shù)據(jù)被泄露的途徑,最高的現(xiàn)在還是通過系統(tǒng)的漏洞,包括系統(tǒng)級或者芯片級的,硬件和軟件級的,通過一個(gè)漏洞,掌握一個(gè)漏洞。第二個(gè)可能是通過一些補(bǔ)丁,另外一個(gè)高危因素,從近年來發(fā)生的案例來講,不管是電信公司還是社保公司,發(fā)生數(shù)據(jù)泄露的另外一個(gè)最大的風(fēng)險(xiǎn)就是內(nèi)部的管控,屬于內(nèi)鬼來泄露的。應(yīng)該說現(xiàn)在數(shù)據(jù)泄露的風(fēng)險(xiǎn),我認(rèn)為這三個(gè)現(xiàn)在相對來講是最高的一個(gè)因素。

同時(shí),我們大數(shù)據(jù)也是加大了對網(wǎng)絡(luò)安全防范的難度,在大數(shù)據(jù)時(shí)代,攻擊者的手段更加豐富,傳統(tǒng)的老三樣,入侵檢測或者防火墻等等,在大數(shù)據(jù)時(shí)代基本不適用了,一些技術(shù)手段也需要分析。同時(shí)我們現(xiàn)在大數(shù)據(jù),因?yàn)楸旧砣菀纂[藏惡意的軟件,有形無無形的大數(shù)據(jù)本身成為攻擊軟件很好隱藏的載體,大數(shù)據(jù)自身也帶來網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

大數(shù)據(jù)對基礎(chǔ)設(shè)施安全和國家主權(quán)也提出了一些新的挑戰(zhàn),隨著關(guān)鍵信息基礎(chǔ)設(shè)施,里面存儲(chǔ)相關(guān)的數(shù)據(jù),應(yīng)該說對國家安全,社會(huì)的穩(wěn)定,甚至涉及到國家主權(quán)等等,影響都是非常大的。這一點(diǎn)在國家的安全上也是產(chǎn)生了非常大的挑戰(zhàn)。

從現(xiàn)在主要的問題來說的話,我剛才也說了事實(shí)上我們現(xiàn)在面臨的主要形勢從網(wǎng)絡(luò)安全這個(gè)角度來說,事實(shí)上我們現(xiàn)在對數(shù)據(jù)的運(yùn)營公司或者社保的公司來講,另外一個(gè)挑戰(zhàn),除了網(wǎng)絡(luò)安全之外更大是合規(guī)性,尤其是歐盟出臺(tái)了GDPR,通用數(shù)據(jù)保護(hù)條例,再加上美國個(gè)別州也出臺(tái)個(gè)人隱私保護(hù),包括中國對個(gè)人隱私保護(hù)條例,網(wǎng)絡(luò)安全法正在出臺(tái),還有個(gè)人隱私保護(hù)。相關(guān)的條例都在陸陸續(xù)續(xù)的制定或者出臺(tái)過程中。

今年1月份四個(gè)部委明確對現(xiàn)在將近一千萬個(gè)人隱私保護(hù)的相關(guān)工作提出了明確的要求,包括今年3·15晚會(huì)針對個(gè)別APP進(jìn)行了曝光。只要是用戶使用過程中感覺這個(gè)APP是過度采集相關(guān)數(shù)據(jù),或者使用過程中進(jìn)行了畫像,或者中間有一些各方面的問題,現(xiàn)在都接受舉報(bào),舉報(bào)之后四個(gè)部委會(huì)把相關(guān)的任務(wù)下發(fā)給的14個(gè)監(jiān)測機(jī)構(gòu),監(jiān)測機(jī)構(gòu)去進(jìn)一步核實(shí),發(fā)生問題之后該處罰的處罰,該整改的整改,該下架的下架,這個(gè)合規(guī)性挑戰(zhàn)還是蠻大的。

對于美國和歐盟數(shù)據(jù)的管理,個(gè)人隱私保護(hù)上,大家很清楚,像GDPR是有史以來最嚴(yán)格的數(shù)據(jù)方面的保護(hù)條例,它帶來兩個(gè)方面的問題,第一,歐盟的GDPR涉及的面非常廣,這個(gè)企業(yè)不管是在歐洲注冊了都不重要,重要的是只要你的企業(yè),比如說我通過互聯(lián)網(wǎng),通過APP,你的客戶是歐盟的客戶,在一個(gè)網(wǎng)站上登錄過或者發(fā)生過購買的行為,你這家企業(yè)就是被GDPR所管理的范圍,管理范圍是無所不在,只要是我們和境外有打交道的企業(yè)都會(huì)受他的管理。

第二個(gè),GDPR現(xiàn)在處罰的力度是有史以來最高的,現(xiàn)在最高是兩千萬的歐元,或者每年?duì)I業(yè)額的4%,現(xiàn)在臉書在歐盟都面臨巨額的罰款。如果這些問題合規(guī)性不解決的話,有一天有意無意都會(huì)給我們帶來滅頂之災(zāi),因?yàn)檫@個(gè)確實(shí)影響還是蠻大的,我認(rèn)為數(shù)據(jù)除了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)之外,各國監(jiān)管部門不太一樣,監(jiān)管的合規(guī)性可能給我們帶來的影響是最大的。

從數(shù)據(jù)安全這個(gè)角度上來看,現(xiàn)在出現(xiàn)的問題確實(shí)是比較多的,比如說現(xiàn)在的法律規(guī)范是缺失的,包括數(shù)據(jù)的管理缺乏相關(guān)的標(biāo)準(zhǔn),比如說現(xiàn)在在數(shù)據(jù)跨境流動(dòng),包括現(xiàn)在國內(nèi)的企業(yè)和有外資背景的企業(yè)打交道的時(shí)候,數(shù)據(jù)的共享原則是什么,邊界是什么等等,這些都是模糊的。包括我們現(xiàn)在對用戶,現(xiàn)在我平臺(tái)搜集的用戶主權(quán),使用權(quán)最后歸誰,包括最后對用戶精準(zhǔn)的一個(gè)畫像實(shí)施精準(zhǔn)的廣告投放,這些問題違不違規(guī),這些從國家政策上都沒有明確。

從國家目前正在制定的《數(shù)據(jù)安全法》,包括個(gè)人隱私保護(hù)條例,逐步都會(huì)給出清晰的答案,但是現(xiàn)在沒有,包括個(gè)人相關(guān)的信息,哪些信息是公開可以收集的,哪些對個(gè)人來說是敏感的,這一些的問題都沒有官方或者權(quán)威的說法。

從產(chǎn)業(yè)來講,在座的很清楚,我們現(xiàn)在數(shù)據(jù)安全發(fā)生了一些問題,根本上來講,包括我們現(xiàn)在網(wǎng)絡(luò)安全,根本上來講還是我們的產(chǎn)業(yè)以及技術(shù)基礎(chǔ)比較弱。我今天看的一下網(wǎng)上說的中興的年報(bào),2018年虧損了將近70個(gè)億,中興通訊,昨天下午發(fā)布了2018年的年報(bào),虧損了70個(gè)億,原因是什么我相信大家很清楚,主要就是面臨美國10億的罰款。

大家從中興事件中,里面確實(shí)反映了我國在信息產(chǎn)業(yè)基礎(chǔ)上是非常之弱的,大家感興趣的網(wǎng)上可以搜,是罰了十個(gè)億,美國還要派出核心人員進(jìn)入高管團(tuán)隊(duì),美國提出一系列要求,從這個(gè)事件中大家可以想象我們產(chǎn)業(yè)的基礎(chǔ),包括我們現(xiàn)在的芯片,操作系統(tǒng),底層的核心技術(shù),甚至包括我們現(xiàn)在用的網(wǎng)絡(luò)安全的十個(gè)網(wǎng)絡(luò)安全的產(chǎn)品,60%以上是依賴于國外,這是我國的現(xiàn)實(shí)。

從集中網(wǎng)絡(luò)的角度來講,為什么斯諾登事件在中國會(huì)發(fā)生?核心的結(jié)點(diǎn)上,骨干的網(wǎng)絡(luò)上,交換機(jī)基本上用的都是思科的,所以現(xiàn)在斯諾登事件在中國能夠發(fā)生,與這個(gè)都有關(guān)系。同時(shí)我們技術(shù)實(shí)力現(xiàn)在是比較弱的,我們現(xiàn)在無論是數(shù)據(jù)庫還是大數(shù)據(jù)管理平臺(tái),在國內(nèi)哪些能滿足大數(shù)據(jù)的需求,國內(nèi)有幾個(gè)國產(chǎn)的數(shù)據(jù)庫,但目前很難滿足支持大數(shù)據(jù)時(shí)代的要求,包括中間的數(shù)據(jù)平臺(tái),國內(nèi)具有自主知識(shí)產(chǎn)權(quán)的,運(yùn)用的比較好的目前還是缺失的,包括我們對大數(shù)據(jù)網(wǎng)絡(luò)攻擊的應(yīng)對方式上,加上我們的預(yù)測、反應(yīng)、防范和恢復(fù)能力,甚至我國的能力排在印度之后,可以想象我們在網(wǎng)絡(luò)安全技術(shù)的應(yīng)對上非常弱。

其他一些不足的事情,比如說大數(shù)據(jù)安全的經(jīng)費(fèi)目前投入不足,包括使用項(xiàng)目。大家想象這兩年的經(jīng)費(fèi)還好一點(diǎn),每年都有大數(shù)據(jù)方面網(wǎng)絡(luò)空間的國家專項(xiàng)工程,在座的大家可以去想,國家級的專項(xiàng)工程,事實(shí)上專項(xiàng)的工程出來之前,都是前兩三年去設(shè)計(jì)去做項(xiàng)目的建議書再加上指南。也就是說前期的過程沒有參與的話,后期很難拿到國家的工程。我當(dāng)時(shí)有一個(gè)觀點(diǎn),中國科研經(jīng)費(fèi)都是被利益集團(tuán)分割了,不是說我真正需要經(jīng)費(fèi)的民營企業(yè)或者是中小企業(yè),真正需要經(jīng)費(fèi)的能拿到經(jīng)費(fèi),實(shí)際上都是不需要經(jīng)費(fèi)的企業(yè),最后就是為了經(jīng)費(fèi)而不是為了去做相關(guān)的產(chǎn)品研發(fā)和技術(shù)攻關(guān),為了經(jīng)費(fèi)而申請項(xiàng)目,中國的經(jīng)費(fèi)是被利益集團(tuán)綁架,這是我國真實(shí)的情況。

剛才有的同事也講了,很多人對信息安全,我相信在座人對信息安全已經(jīng)麻木了,很多人把自己的敏感信息,我曾經(jīng)有一次給別人做報(bào)告的時(shí)候隨便問了一個(gè),我說你把你銀行卡的密碼是怎么存儲(chǔ)的,有的人說我寫到紙上,拍了一個(gè)照片放到手機(jī)里。信息安全的意識(shí)非常弱,包括3·15曝光我們的WIFI,里面的信息都可以拿走,現(xiàn)在藍(lán)牙的也有,藍(lán)牙在一公里之外,只要你的手機(jī)關(guān)了都沒用,這種情況下我們在個(gè)人使用上,大家一定要注意不管PC還是手機(jī),只要是連網(wǎng)的情況下里面的信息一定是公開的,大家想一下現(xiàn)在將近一千萬款的APP,我們哪一款A(yù)PP使用的時(shí)候是付費(fèi)的,大家想一想,他們的經(jīng)營模式是什么?現(xiàn)在多數(shù)APP,咱不說正規(guī)的APP,有些APP核心目標(biāo)就是為了采取不擇手段拿去你手機(jī)里面的數(shù)據(jù),搜集你周圍的數(shù)據(jù),大家都知道數(shù)據(jù)是未來競爭的制高點(diǎn),誰掌握了數(shù)據(jù)就掌握了數(shù)字經(jīng)濟(jì)的話語權(quán)。美國就是走的數(shù)字戰(zhàn)略,美國早就往上走,所以美國幾大操作系統(tǒng),美國收集數(shù)據(jù)是非常方便的。

中國的企業(yè)也一樣,甚至咱們常用的一些主流APP,我們從2017年就開始檢測,里面包括過度的收集,本來我是支付的功能,他非要收集我的電話,非要同意照片的權(quán)限,而且還有霸王條款,所以這些問題目標(biāo)就一個(gè),想方設(shè)法的收集大家的數(shù)據(jù),大家只要上PC或者智能手機(jī),這個(gè)大家不用懷疑,一定是公開的,所以大家使用的時(shí)候要注意。

從政策建議上來講,從國家來講,現(xiàn)在國家層面網(wǎng)絡(luò)安全法已經(jīng)出臺(tái)了,今年數(shù)據(jù)安全法是國家管委在牽頭制定的,今年有可能出臺(tái)。數(shù)據(jù)安全法的定位比網(wǎng)絡(luò)安全法還要高,是國家安全法下面的數(shù)據(jù)安全法,數(shù)據(jù)安全法下面才是網(wǎng)絡(luò)安全法,數(shù)據(jù)安全國家看的很重,包括關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)條例,加上個(gè)人隱私保護(hù)的相關(guān)政策陸陸續(xù)續(xù)都會(huì)出臺(tái),現(xiàn)在已經(jīng)在制定過程中了,這個(gè)中就要明確數(shù)據(jù)主權(quán)加上數(shù)據(jù)使用權(quán)和所有權(quán),一系列問題可能都要明確。

同時(shí)強(qiáng)化制度建設(shè),加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管,前幾年互聯(lián)網(wǎng)早就開始走了,包括我們現(xiàn)在對移動(dòng)互聯(lián)網(wǎng)平臺(tái)用戶的實(shí)名認(rèn)證等等,包括今年1月份針對移動(dòng)APP專項(xiàng)整治等等,這兩個(gè)工作國家陸陸續(xù)續(xù)每年都在做。 加強(qiáng)大數(shù)據(jù)相關(guān)的產(chǎn)品,服務(wù)管理,建立自主可控的信息技術(shù)生態(tài)體系。如果不解決這樣的狀態(tài),談數(shù)據(jù)的本質(zhì)安全是瞎談,一定解決不了本質(zhì)安全,只有解決了本質(zhì)安全,芯片操作系統(tǒng)能自主,這個(gè)體系形成之后我們談本質(zhì)安全才有環(huán)境,所以目前的狀況下我們該怎么做,確實(shí)本質(zhì)安全是解決不了的。

加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù),建立網(wǎng)絡(luò)安全縱深防御體系,大數(shù)據(jù)有自己新的特征在里面,傳統(tǒng)防御的手段是很難,比如說我們零攻擊加零漏洞,一系列的問題,包括APP的問題,傳統(tǒng)手段已經(jīng)檢測不出來了,我們不僅從自己的產(chǎn)業(yè)體上下手,同時(shí)對大數(shù)據(jù)的流量分析,智能處理新的手段,現(xiàn)在一些網(wǎng)絡(luò)安全公司已經(jīng)在做了。

從企業(yè)層面來講,對我們現(xiàn)在缺血少魂的,目前解決本質(zhì)安全也解決不了,這種情況下不是企業(yè)沒有什么可做的,我剛才看有些同志已經(jīng)講了,包括衛(wèi)士通的。我們現(xiàn)在網(wǎng)絡(luò)信任體系在這兩年的狀態(tài)下,我認(rèn)為對不管是企業(yè)還是個(gè)人都是非常有用的,我看沈院士也經(jīng)常提可信計(jì)算,不管是可信計(jì)算還是網(wǎng)絡(luò)安全都是基于信任體系。這個(gè)里面要基于幾個(gè)方面,比如說平臺(tái)登錄要對用戶的身份進(jìn)行一個(gè)嚴(yán)格的審查,使得不是我的白名單的用戶,任何用戶讓他登不上,現(xiàn)在有一種方式是通過OA的方式,對用戶的身份進(jìn)行一個(gè)嚴(yán)格的識(shí)別,這是一種方式。第二個(gè),如果這個(gè)門沒把好,現(xiàn)在非授權(quán)者重要信息拿不到,你進(jìn)來是可以的,但關(guān)鍵的信息你拿不到。如果你把保險(xiǎn)箱竊取了,那他偷走的信息對他是沒用的,這也是經(jīng)常忽視的一個(gè)方面,敏感信息在存儲(chǔ)的時(shí)候一定要進(jìn)行加密存儲(chǔ),加密存儲(chǔ)使得他拿走之后破解,這個(gè)難度是很高的,所以加密存儲(chǔ)是保護(hù)敏感數(shù)據(jù)一個(gè)非常好的方式,我們現(xiàn)在很多個(gè)人用戶名密碼,賬戶整體泄露的,我們很多APP都是明文存放的,只要登了你的數(shù)據(jù)庫拿走都是明文的,如果加密存儲(chǔ)就非常好。

同時(shí)我們還有個(gè)系統(tǒng),使得系統(tǒng)和信息篡改不了。最后是系統(tǒng)工作癱不成,里面有一個(gè)免疫系統(tǒng),這幾種方式,包括攻擊行為賴不掉,我都有記錄,這一套方式就是我們剛才衛(wèi)士通所說的網(wǎng)絡(luò)可信的體系?,F(xiàn)在看來這套體系比較成熟,給全國48家4A機(jī)構(gòu)使用,做了一個(gè)授權(quán)管理,責(zé)任認(rèn)定加上加密的處理,這個(gè)方式我在多種場合講,在現(xiàn)在這種狀況下對于企業(yè)和個(gè)人,網(wǎng)絡(luò)可信或者是PKI體系或者是可信計(jì)算,這套體系真是行之有效的方法。

事實(shí)上我們數(shù)據(jù),尤其是在數(shù)字經(jīng)濟(jì),數(shù)字社會(huì)和數(shù)字世界,這種情況下,我們數(shù)據(jù)的開發(fā)利用和共享,一定是數(shù)字經(jīng)濟(jì)發(fā)展過程中一個(gè)必要的過程,發(fā)展數(shù)字經(jīng)濟(jì)就是怎么樣讓我們存在各個(gè)系統(tǒng)中的數(shù)據(jù)資源進(jìn)一步的開發(fā),進(jìn)一步的利用。

這種情況下,大家想一想,我們現(xiàn)在數(shù)據(jù)的開發(fā)利用,這個(gè)里面問題很多,可能大家最擔(dān)心的問題一個(gè)是數(shù)據(jù)泄露,一個(gè)是數(shù)據(jù)非授權(quán)訪問的事情,這種情況下有一個(gè)很好的方式可以解決,剛才我介紹了區(qū)塊鏈的技術(shù),區(qū)塊鏈技術(shù)在數(shù)據(jù)開發(fā)利用和共享過程中是非常有效的,區(qū)塊鏈能夠非常好的解決數(shù)據(jù)授權(quán)訪問的事情,同時(shí)也能夠很好解決在開放過程中關(guān)鍵信息的個(gè)人隱私保護(hù)的事情。

區(qū)塊鏈剛好能解決傳統(tǒng)信息化在數(shù)據(jù)共享過程中兩個(gè)問題,一個(gè)是授權(quán)訪問,一個(gè)是個(gè)人隱私保護(hù),所以我說區(qū)塊鏈在數(shù)據(jù)經(jīng)濟(jì)發(fā)展過程中作用是非常之大的,希望有興趣的人研究,由于時(shí)間的關(guān)系,講的不對的地方請大家批評指正,謝謝大家。

主持人 傅博巖:感謝劉院長的精彩分享,到現(xiàn)在為止今天大會(huì)的主題演講環(huán)節(jié)就到此結(jié)束了,今天我們來自信息安全領(lǐng)域的權(quán)威專家,以及各方面領(lǐng)軍企業(yè)的代表與我們一同分享了中國數(shù)字化轉(zhuǎn)型當(dāng)中網(wǎng)絡(luò)安全治理的解決方案和解決路徑。在座的各位一定是受益匪淺,在全球經(jīng)濟(jì)進(jìn)入數(shù)字化轉(zhuǎn)型的時(shí)期,這種轉(zhuǎn)型已經(jīng)成為企業(yè)必須付諸行動(dòng)的必選題,希望我們不忘初心,牢記使命共同構(gòu)建網(wǎng)絡(luò)安全空間。