日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

由中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦、承辦的"第七屆中國云計算標(biāo)準(zhǔn)和應(yīng)用大會"于2018年1月4日至1月5日在北京成功召開。本次大會全面展示我國云計算國家標(biāo)準(zhǔn)研制工作的成果，解讀國內(nèi)云計算產(chǎn)業(yè)政策，報告云計算標(biāo)準(zhǔn)化工作的重要進(jìn)展。同時，大會還重磅發(fā)布了國家開源領(lǐng)域的標(biāo)準(zhǔn)化產(chǎn)物，分享了云計算最新的技術(shù)趨勢和應(yīng)用創(chuàng)新成效，并頒發(fā)了云計算產(chǎn)品及解決方案第五批測評證書。此外，第二屆中國優(yōu)秀云計算開源案例評選結(jié)果也在大會現(xiàn)場公布。

目前成都創(chuàng)新互聯(lián)公司已為超過千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計、阿城網(wǎng)站維護(hù)等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

在萬物互聯(lián)和數(shù)字化轉(zhuǎn)型蓬勃發(fā)展的時代，企業(yè)乃至整個產(chǎn)業(yè)的入云需求日漸迫切。隨著云計算產(chǎn)業(yè)配套政策的落地，云計算逐步從互聯(lián)網(wǎng)企業(yè)向傳統(tǒng)行業(yè)滲透。產(chǎn)業(yè)轉(zhuǎn)型與創(chuàng)新分論壇直擊產(chǎn)業(yè)轉(zhuǎn)型痛點(diǎn)，探討云計算服務(wù)能力如何加速傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級。

國家信息中心處長 邵國安

在1月5日的云網(wǎng)安全與存儲分論壇上，國家信息中心邵國安處長為我們解析云計算環(huán)境下的數(shù)據(jù)安全要求。他認(rèn)為，網(wǎng)絡(luò)安全的核心是一個專業(yè)的、安全的分析團(tuán)隊和情報的共享；對于網(wǎng)絡(luò)安全的認(rèn)知應(yīng)該基于實時的監(jiān)測和控制；此外，隨著移動終端設(shè)備的增多，有關(guān)部門應(yīng)該明確對于終端安全的定義，而不僅限于主機(jī)安全；應(yīng)用安全則應(yīng)該基于PKI或者基于網(wǎng)絡(luò)信用體系，身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定，以及應(yīng)用源代碼的安全和主機(jī)的安全，這是應(yīng)用安全要做的。 以下是演講實錄：

我把我這幾年在云計算使用過程當(dāng)中的一些想法和一些理念給大家介紹一下，主要是通過這些想法和這些理念，你怎么把這些貫穿到你在做云計算在做數(shù)據(jù)安全的時候怎么樣做，更多的是方法論。

一個是我們怎么把它落實到行動上面，比如說理念決定行動，比如說你全天候全方位的感知網(wǎng)絡(luò)安全開始，這些都是需要落地的，我們叫認(rèn)認(rèn)真真學(xué)精神，轟轟烈烈走過場，學(xué)完就完了，整個基于網(wǎng)絡(luò)安全，基于對抗的這種安全的態(tài)勢情況下你怎么做好云計算里面的安全，尤其是數(shù)據(jù)的安全。我們講云計算以后，實際上虛擬化是一塊，更大的本質(zhì)是應(yīng)用在集中，數(shù)據(jù)在集中，實際上相對的來說風(fēng)險也在集中，在這種情況下面，我們到底應(yīng)該怎么來做，而基于對抗環(huán)境下怎么做在云計算環(huán)境下面的安全，基于這樣子我就想如果光在云計算環(huán)境里面你去講云計算的安全，有的時候你是講不清楚的，你一定是要了解我們在做整個在做云計算環(huán)境在做安全的時候，你的理念你的維度一定要從全球的維度來考慮安全問題。

如果你是公有云來說，全球的人都可以訪問到你的應(yīng)用，所以講你一定是要在全球的維度來考慮，而我們的對手，他是有國家背景，有組織背景，我們怎么辦？所以講就是我們講這塊的特點(diǎn)，比如說我們網(wǎng)絡(luò)安全他的特點(diǎn)，一個是他的時效性，你進(jìn)遭到攻擊的時候你不能一個月以后出報告，所以一定是馬上要處理的，你怎么來做，還有一個復(fù)雜性，這些實際上都是在網(wǎng)絡(luò)安全他里面的這些特點(diǎn)決定的，比如說他的專業(yè)性，就是說他挖掘你的漏洞，他在做不是一般人都能夠干的，在這種情況下面，有很多實際上體現(xiàn)在什么？

還有他的不對稱性，就是說我們的對手都是一些有專業(yè)知識背景，比如說有各種的，比如說利用心理學(xué)、社會工程學(xué)還有其他各種專業(yè)知識背景的人來對你進(jìn)行攻擊，或者來對你進(jìn)行獲取你的數(shù)據(jù)，你怎么辦？所以在這種情況下面我們講，這個也是一種對抗，他是一種什么樣子的對抗？所以我們講他一定是一個組織國家和個人之間的一個智力博弈的場所，我們現(xiàn)在互聯(lián)網(wǎng)的情況，你是不是可以說，你永遠(yuǎn)不知道你的對手在什么時候采用什么手段用什么方式來對你發(fā)起網(wǎng)絡(luò)攻擊，在這種情況下面，在這種對抗的環(huán)境下面，你怎么來提高對手對你攻擊時候的成本，這是不是你該考慮的，就是在這種情況下面，如果你能夠做到攻擊的時候我馬上能夠反應(yīng)，如果他對你進(jìn)行攻擊或者獲取你數(shù)據(jù)的時候，他的難度在提高，他的成本在提高，你是不是具備一定的網(wǎng)絡(luò)威懾力，我們講網(wǎng)絡(luò)安全的核心，就是說這個核心實際上是什么？我的理解，一個是專業(yè)的、安全的分析團(tuán)隊和情報的共享。今天稍微有點(diǎn)點(diǎn)時間，我大概稍微展開說一下。

我現(xiàn)在是在政府部門工作，你說我如果去要運(yùn)維費(fèi)用，可能十萬二十萬都要不來，但是你如果買一個安全設(shè)備買一個防火墻他可能一百萬都給你，這就是理念的問題，但是我們現(xiàn)在大多數(shù)的安全的公司，大多數(shù)都是賣盒子的不是賣服務(wù)這是完全兩回事情，這是一個。還有一個我們講情報共享，那就更難了，比如說我的很多親身經(jīng)歷，比如說國家保密局在我們這里有檢測引擎，他經(jīng)常時不時告訴我你看看這個地質(zhì)是不是有問題，我說你能不能把這個黑名單給我，我在我的防火墻在安全設(shè)備把這個黑名單加進(jìn)去，他說不行，我們是按照機(jī)密級來管理的，你怎么做情報共享？還有我們現(xiàn)在很多的，我們現(xiàn)在99%，我們所有安全設(shè)備的監(jiān)測都是怎么做的？做風(fēng)光做旁路，風(fēng)光、旁路只能做監(jiān)測不能控制，還有一個問題，我們現(xiàn)在的交換機(jī)路由器做進(jìn)項的時候他是數(shù)據(jù)包有丟失的，這些丟失的數(shù)據(jù)包就是一個不規(guī)則的或者是一個攻擊的數(shù)據(jù)包，都丟失了你在收集數(shù)據(jù)的時候，這個數(shù)據(jù)就是不完善的，或者不全的，你怎么來做安全，你怎么來實時的去發(fā)現(xiàn)安全的實踐。

這些問題我就講，我的一些思考，我的一些方法論，實際上提出來給你們在座的一定是，不管你是做設(shè)計的，還是做正式運(yùn)維的，還是做比如說你每天肯定要進(jìn)機(jī)房，你要做維護(hù)，數(shù)據(jù)安全都是你要保證的，你不能說打開機(jī)房門我看到的是云，這種情況下你一定要考慮安全問題的。比如說我現(xiàn)在天天看微信，我不需要知道微信的服務(wù)器在哪，這個安全是由騰訊做，但是我的電子政務(wù)的數(shù)據(jù)，或者我們自己直接要運(yùn)維的，你可能不能講，一打開機(jī)房的門我看到的是云，所以它一定是由交換器、存儲設(shè)備組成的，所以這種理念上面你再去做安全的話，你會發(fā)現(xiàn)很多的問題，你就可以細(xì)化，你就知道該怎么做。
搞網(wǎng)絡(luò)安全需借助國家力量

基于這樣子，我還是講一些理念，美國在他國家的網(wǎng)絡(luò)安全行動計劃里面，比如說在CNAP里面他已經(jīng)很明確的提出來，現(xiàn)在單個的機(jī)構(gòu)你已經(jīng)沒有辦法應(yīng)對復(fù)雜的危險，這個結(jié)論我覺得一定是存在的，我們現(xiàn)在每一個單位你的維護(hù)力量，你的安全防護(hù)水平都不一樣，你怎么去應(yīng)對現(xiàn)在你面對的是什么？是全球的，如果你的網(wǎng)絡(luò)是聯(lián)在互聯(lián)網(wǎng)上，一定面對著你的對手都是全球的，在這種情況下面一定是要借助于國家的力量，借助于情報的共享，借助于專業(yè)的分析團(tuán)隊，一定是這樣做的，所以在這種理念下面我們應(yīng)該怎么來做，我舉兩個例子你們就知道了，一個是中信公司，深圳中信公司在去年，最邊上這個是美國商務(wù)部貼出來的整個證據(jù)鏈，他指控中信公司利用美國的核心芯片裝在他的路由器、交換機(jī)上，這個就是明顯的人家美國到中信公司把數(shù)據(jù)拿走了，我們再深入問一下中信公司有沒有其他數(shù)據(jù)被人家拿走，或者我們在座的各位你背后的數(shù)據(jù)有沒有被人家拿走，就是你的對手永遠(yuǎn)不會告訴你從你這里拿走多少數(shù)據(jù)，這就是現(xiàn)狀，他什么時候要拿走，什么時候告訴你，什么時候告訴你你什么時候就該倒霉了，所以公布以后，所有從總裁開始這上面簽字的人全部免職，這個事件發(fā)酵了一年，到2017年的2月份，實際上也就是去年2月份，完了美國商務(wù)部開出來罰單8.9億美金，最終是中信公司認(rèn)罰，乖乖的交8.9億美金，差不多什么概念？差不多是中信公司十年的純利潤，這是一個案例，這是美國到我們這里來偷數(shù)據(jù)。還有一個例子，因為時間關(guān)系我有詳細(xì)的相關(guān)的一整套的資料，2016年美國指控中國來偷美國OPM就是聯(lián)邦人事局的聯(lián)邦雇員，大概四百多萬雇員的信息被中國黑客偷走，他沒講你是有政府背景還是什么，他就講中國的黑客把這個數(shù)據(jù)給偷走了，當(dāng)然最終實際上是公安部的部長是到美國賠禮道歉的，這是第一個。

第二個，俞平安（音）是這個事件很重要的黑客之一，或者主要的成員之一，他以為沒事了，結(jié)果去年到美國開會，開完會直接被FBI帶走，這個英文就是美國檢察院的起訴書，這是什么事件？這是我們?nèi)ネ等思业臄?shù)據(jù)，剛才中信公司是人家來偷我們的數(shù)據(jù)。你想最終你看你們發(fā)現(xiàn)沒有，受傷害的都是我們，在云計算環(huán)境里面我們怎么保證我們自己的數(shù)據(jù)安全，是不是我們應(yīng)該很好的思考一下，數(shù)據(jù)安全包括哪些方面？我的觀點(diǎn)也不一定對，就是說去年的512實際上是一個比較標(biāo)志性的在網(wǎng)絡(luò)安全上面，在5月12號影響到150個國家，實際上這個背后是什么？美國的NSA的部分網(wǎng)絡(luò)武器庫的曝光，你想是不是全球的黑客都在研究已經(jīng)曝光的網(wǎng)絡(luò)武器庫，這些武器庫它的本質(zhì)是什么？各種應(yīng)用系統(tǒng)、操作系統(tǒng)沒有發(fā)布的漏洞，這些漏洞的組合他就可以形成他的各種能力，你想是不是他的各種能力都在增強(qiáng)，比如說我們對手的這種對于網(wǎng)絡(luò)感知的能力，隱藏的能力，作戰(zhàn)的能力以及行動的能力都在增加，比如說你的對手，或者我們講黑客也好，你的對手也好，對你網(wǎng)絡(luò)的了解可能比你自己還清楚，他這種作戰(zhàn)的能力，通過漏洞，通過繞過你安全防護(hù)的能力也在增強(qiáng)，換句話說，是不是我們做防御這一塊的安全挑戰(zhàn)是不是更加嚴(yán)峻，所以很多事情你都在深入的稍微想一下的話，你會發(fā)現(xiàn)我們面臨的挑戰(zhàn)實際上5月12號以后實際上更加嚴(yán)峻，但是你會發(fā)現(xiàn)我們好像沒什么反應(yīng)，這一塊就是理念的改變，實際上是對于你怎么來行動會有非常大的作用，我們大多數(shù)的理念還是一種基于靜態(tài)的，基于特征的安全防護(hù)來做，這個你是沒有辦法應(yīng)對現(xiàn)在的復(fù)雜的網(wǎng)絡(luò)威脅，在這種情況下面，我們應(yīng)該怎么來做？我們講在網(wǎng)絡(luò)空間當(dāng)中，你應(yīng)該對你的網(wǎng)絡(luò)認(rèn)知，對于你用戶的認(rèn)知，以及對于你的流量認(rèn)知和對于你戰(zhàn)術(shù)的認(rèn)知，實際上你都應(yīng)該有一個新的提高，什么意思？比如說我們講對網(wǎng)絡(luò)的認(rèn)知，就是說我們現(xiàn)在網(wǎng)絡(luò)的安全防護(hù)，你去看很多的單位有錢的可能花幾個億，把網(wǎng)絡(luò)的安全防護(hù)你去看好像簽了合同，但是他卻怎么樣？

把網(wǎng)絡(luò)安全分解來看

按照我的觀點(diǎn)，比如我上次評審過中國民航的，花了兩個億做了安全的防護(hù)，但是我最終給他的意見，我說你缺少一個靈魂，缺少一個基于全天候、全方位的感知這種網(wǎng)絡(luò)安全態(tài)勢的，比如說分析團(tuán)隊沒有，比如說所有的安全設(shè)備，基于安全設(shè)備的這些策略的監(jiān)測我們現(xiàn)在是沒有的，防火墻比如我開了50個策略，比如說我關(guān)閉了相關(guān)的端口，有沒有對于相關(guān)的我關(guān)閉端口的非授權(quán)訪問和探測，你能知道嗎？安全防火墻可能連個日志都沒有，我們現(xiàn)在都是基于日志做監(jiān)測，你能發(fā)現(xiàn)問題嗎？所以我就提一些問題，所以講在認(rèn)知你對手的時候，我們講叫戰(zhàn)術(shù)、技術(shù)和過程，什么意思？對你網(wǎng)絡(luò)發(fā)起的攻擊可能未必是他的目的，他的目的可能是要來獲取你的數(shù)據(jù)，尤其在云計算環(huán)境以后你的海量數(shù)據(jù)管控你應(yīng)該怎么做，這是不是你應(yīng)該考慮的，實際上這一塊重新的對于網(wǎng)絡(luò)空間的認(rèn)知實際上是我們應(yīng)該要考慮的，你如果把這個理念提高到基于對抗的來做安全，你現(xiàn)在會發(fā)現(xiàn)你整個的安全體系，你整個的做法就會有個很大的不同和變化，基于這樣子網(wǎng)絡(luò)安全實際上這是個復(fù)雜的問題，每個人對于網(wǎng)絡(luò)安全的理解都不一樣，基于這個復(fù)雜的問題，我們應(yīng)該怎么辦？我的做法分解，對吧？就是說我把它分解，這是我的分解方式，但是分解完了你會發(fā)現(xiàn)每一塊我們的安全都做的不好。

第一個網(wǎng)絡(luò)邊界的安全，我理解的網(wǎng)絡(luò)邊界安全是我國家的關(guān)鍵基礎(chǔ)設(shè)施和互聯(lián)網(wǎng)的邊界，實際上要比較你可以去比較美國的愛因斯坦3和TSA，這一塊在我們國家整體缺失，我們現(xiàn)在大多數(shù)主流的認(rèn)為美國的愛因斯坦3就是超級防火墻，花了60億美金好像沒發(fā)揮什么作用，真的是這樣子嗎？我就問幾個為什么，因為時間關(guān)系沒辦法展開了。

第二個，網(wǎng)絡(luò)的安全，就是說對于網(wǎng)絡(luò)安全的認(rèn)知，是不是應(yīng)該基于實時的監(jiān)測和控制，但是我們發(fā)現(xiàn)能做到控制嗎？你的網(wǎng)絡(luò)安全能發(fā)現(xiàn)一些安全的問題基于特征的，我們統(tǒng)計了一下，就是說網(wǎng)絡(luò)安全大概你能夠解決基于特征的，大概能解決30%，還有70%你怎么辦？這是第二個，所以你會發(fā)現(xiàn)網(wǎng)絡(luò)安全的防護(hù)我們做的也不好。

第三個終端安全，實際上這塊我們國家到現(xiàn)在還沒有提出一個完整的基于終端安全的要求，到現(xiàn)在為止我理解的終端，我們現(xiàn)在大多數(shù)在做終端安全或者做主機(jī)安全的時候都是混為一談的，你指向不明確的時候怎么做安全，所以我想智慧源于對術(shù)語的定義，這種定義，我理解的終端應(yīng)該是什么？比如說我的筆記本電腦，我的臺式機(jī)、一體機(jī)這是一塊，還有一塊是什么？我們所有的移動終端，所有的PAD設(shè)備，你再擴(kuò)展下去可以是所有的物聯(lián)網(wǎng)的前端設(shè)備、可穿戴設(shè)備、傳感器，這些都是終端設(shè)備，或者終端安全要考慮的。主機(jī)安全是什么？主機(jī)安全我理解的是服務(wù)器加操作系統(tǒng)，這是主機(jī)安全要做的事情，你說是一會事情嗎？所以你的理念不一樣，我的理解終端安全我們國家這塊也是模糊的，所以你去看很多你去做交流的時候，你去看我們這些搞安全的安全廠商，講主機(jī)安全的時候一會兒講終端一會兒講服務(wù)器，整個安全不知道他做什么。

第四塊應(yīng)用安全，我理解的應(yīng)用安全應(yīng)該是什么？應(yīng)該是基于PKI或者基于網(wǎng)絡(luò)信用體系的，身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定，以及應(yīng)用源代碼的安全和主機(jī)的安全，這是應(yīng)用安全要做的，但是你會發(fā)現(xiàn)我們應(yīng)用安全也沒做好，我們現(xiàn)在都沒有做到每一個公務(wù)員有一個數(shù)字證書，大多數(shù)都沒做到，你怎么來做到基于單位，基于身份和基于角色的訪問控制，尤其是云計算以后，應(yīng)用都在集中，我怎么做訪問控制，這塊是不也很糟糕。

最后一個數(shù)據(jù)安全，我們講數(shù)據(jù)安全你是不是應(yīng)該，這是今天我要講的主題，后面的數(shù)據(jù)安全我大概展開一下。數(shù)據(jù)安全你是不是應(yīng)該從數(shù)據(jù)，從采集到傳輸?shù)绞褂玫酱鎯Φ戒N毀，整個全生命周期的管控，在這個過程當(dāng)中實際上還是要分解，我就講問題一定要分解才能知道怎么做，數(shù)據(jù)安全有很多形態(tài)，比如說在傳輸過程當(dāng)中的數(shù)據(jù)安全問題，比如在存儲當(dāng)中的數(shù)據(jù)安全問題，以及你跟應(yīng)用結(jié)合，在數(shù)據(jù)使用過程當(dāng)中他的數(shù)據(jù)安全問題都是不一樣的，你應(yīng)該怎么來做？

所以我是提個建議，一個是在這里可能有很多是廠商，有研究機(jī)構(gòu)，比如說十年前美國發(fā)布了一個叫都柏林的核心源數(shù)據(jù)規(guī)范，我們國家到現(xiàn)在還沒有翻譯，你去看看人家美國怎么做，數(shù)據(jù)安全第一步按照我的觀點(diǎn)，數(shù)據(jù)先要進(jìn)行分級分類，分級分類以后才能對你的關(guān)鍵數(shù)據(jù)、敏感數(shù)據(jù)采取有針對性的比如說我的數(shù)據(jù)加密存儲，才能采取措施，比如說對于，我們現(xiàn)在很多大數(shù)據(jù)標(biāo)準(zhǔn)、各種規(guī)范，但是我們恰恰缺少什么？對于源數(shù)據(jù)標(biāo)準(zhǔn)的規(guī)范，實際上你會發(fā)現(xiàn)我們現(xiàn)在的信息化，做到后面你會覺得越做越難，關(guān)鍵問題是什么？核心的問題是我們只是在做表面的文章，底層的基礎(chǔ)工作沒人做，因為這個不來錢，所以你源數(shù)據(jù)不去做規(guī)范，你的語意不去做定義，越做到后面再來做底層的工作這個事情就沒辦法做，這個事情非常難，所以我覺得這一塊核心問題還是你的理念，理念決定行動，你的理念不到，一定就是說這個基于項目做工程，有項目有錢我就做，沒有錢我就不做，現(xiàn)在就是這個樣子，問題你怎么來做我們整個的底層安全問題，實際上是基于這樣子，基于這樣子實際上就是說你安全一分解一分類，實際上這就是一個縱深的防御體系，這是扇形的架構(gòu)，這個也不是我發(fā)明的，這是十年前美國的博士艾倫公司，就是斯諾登公司的老板跟美國國土安全部做交流的時候畫了這么一張圖，他的理念，你看十年前美國人的理念就是這個樣子，但是你看十年以后我們國家到現(xiàn)在還沒達(dá)到這種理念你的理念都沒到你怎么有行動，所以還要從邊界安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全和數(shù)據(jù)安全五個層面去做，你會發(fā)現(xiàn)把這個分解以后你的安全相對來說比較好做。

還有一個，我們講基于安全的威脅，威脅有來自外部的也有來自內(nèi)部的，在中國大概還多一個來自我們第三方的開發(fā)方，案例很多，這種案例我就不去一一講了，尤其對你開發(fā)方的完了來獲取你的數(shù)據(jù)，再植入后門完了來獲取他想要的數(shù)據(jù)，很多，問題是你怎么做到全過程的可控制、可管理和可追溯，這就是我們做數(shù)據(jù)安全的時候要做的。核心，我們講從網(wǎng)絡(luò)也好從邊界也好，核心是什么？核心是要保證你的數(shù)據(jù)安全，現(xiàn)在網(wǎng)絡(luò)安全等級是2.0，原來叫信息系統(tǒng)安全現(xiàn)在叫網(wǎng)絡(luò)數(shù)據(jù)安全，核心還是要保證你的數(shù)據(jù)安全，數(shù)據(jù)是你的資產(chǎn)，你要把它作為資產(chǎn)來管理，這就是核心，基于這樣子我們總結(jié)出的標(biāo)準(zhǔn)，我們爭取下一步申請為國家標(biāo)準(zhǔn)，我們國家對于安全事件是不分類的，就是說你不分類你就沒有辦法采取措施，比如說我們講的第一類，比如說我們現(xiàn)在網(wǎng)信辦國家保密局，比如說公安部，經(jīng)常對你的網(wǎng)站來做滲透測試，完了告訴你有什么漏洞，但是在互聯(lián)網(wǎng)上面這種攻擊的特征和黑客的攻擊特征是一樣的，你怎么來區(qū)分，你該不該區(qū)分。

我們這里比如說我們經(jīng)常發(fā)現(xiàn)異常的跨境數(shù)據(jù)傳輸，比如說每天電子政務(wù)的數(shù)據(jù)，往臺灣發(fā)，往美國發(fā)，往俄羅斯發(fā)你認(rèn)為正常嗎？是不是該預(yù)警，所以基于這樣子的話，比如說這種未知的異常的情況你該不該分類？只有分類你才能有針對性的去采取一些措施，否則你怎么做，而這個是沒有辦法做的，基于這樣子，所以我就講，就是說基于云計算的特點(diǎn)，實際上你整個理念放到任何地方都是一樣的，尤其你在做網(wǎng)絡(luò)安全的時候，一定要從一個大的維度來考慮，你光從云計算來考慮計算安全你可能考慮不清楚，比如說你的邊界安全，你跟互聯(lián)網(wǎng)的邊界安全該不該做，這好像跟云計算沒什么關(guān)系，你的數(shù)據(jù)如果有異常的，比如你天天往美國發(fā)，你能不能夠發(fā)現(xiàn)，發(fā)現(xiàn)了以后你能不能甄別它是正常的數(shù)據(jù)流，還是異常的攻擊還是你數(shù)據(jù)的泄露，所以就是說云計算最大的特點(diǎn)是什么？一個是對于資源的動態(tài)調(diào)度，還有一個是什么？應(yīng)用的快速部署，這就是云計算最大的特點(diǎn)，在這種情況下面，你怎么基于對抗的這種理念來做安全，核心還是保證你的數(shù)據(jù)安全。

而對我們現(xiàn)在云計算環(huán)境除了比如說BAT除了京東，因為都是他自己弄，我的觀點(diǎn)這一塊他們可能會做的相對比較好一點(diǎn)，但是政府的云計算環(huán)境，你去看整個應(yīng)用上了很多，但是一講我的數(shù)據(jù)運(yùn)行狀態(tài)，比如說什么人，什么單位，訪問過什么數(shù)據(jù)，我什么都不知道，你怎么做安全，所以講基于這樣子后面我大概說一下。你在做云計算安全的時候你一定要從底層開始考慮，比如說他是基于KVM的，上面加Linux操作系統(tǒng)，完了上面再看虛擬機(jī)，VM上面再部署應(yīng)用，每一曾都有他的安全要求，基于這樣子你才能把這個安全的要求提出來，就是說你可能是一個甲方，但是這些云服務(wù)商，比如說華為，比如說華商比如說阿里來給你做云計算的時候，這些安全的要求你得提給他，我要做到實時的可控制可管理追訴，他一個報告給你，我要做到什么時候什么單位訪問什么應(yīng)用，否則你怎么做？今后安全一定是基于這些實時的管控數(shù)據(jù)，我后臺做大數(shù)據(jù)分析發(fā)現(xiàn)異常，比如說你的應(yīng)用每天訪問300次是正常的，如果到三千次你還不預(yù)警嗎？所以三百次一定是你日常當(dāng)中學(xué)習(xí)設(shè)定的法則，超過我就要預(yù)警然后發(fā)現(xiàn)問題，這就是理念。

還有一個，所以我們講應(yīng)用安全，基于身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定，以后在云計算環(huán)境一定是要用的，首先我們在政府環(huán)節(jié)這么做，基于在公有云上怎么做我們不去評論，在這塊我們出了一個政務(wù)云的安全要求，今天在座的不知道有多少政府單位的人，如果政府單位人多我們可以講政務(wù)云有哪些要求，首先我提了第一個要求就是說在政府業(yè)務(wù)系統(tǒng)，你首先第一條，你不能部署到公有云上，而且電子政務(wù)的業(yè)務(wù)不能部署到公有云上，我們發(fā)現(xiàn)在國內(nèi)比如說新疆，比如說陜西，在當(dāng)?shù)氐墓ば艔d或者經(jīng)信委的推動下把數(shù)據(jù)都放在公有云上，基于這樣子，所以我們講數(shù)據(jù)安全的保護(hù)，數(shù)據(jù)你應(yīng)該從采集到傳輸?shù)绞褂?，到整個的存儲，到銷毀，整個全生命周期的管控，基于這樣子你從數(shù)據(jù)產(chǎn)生開始，這是我們講終端安全要干的事，比如說身份認(rèn)證，我基于終端怎么跟人來綁定，你如果把這個想清楚這相關(guān)的安全你都好做，比如說數(shù)據(jù)的存儲，比如說數(shù)據(jù)的銷毀，實際上還有更多的，比如說我活躍數(shù)據(jù)和非活躍數(shù)據(jù)的管理，比如說結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)的管理，這里面有很多，你一分解實際上數(shù)據(jù)安全的內(nèi)容還是非常多的，但是這個我們就不展開了，所以這樣一塊，你整個的數(shù)據(jù)管控，你有這種理念你就可以提相關(guān)的要求，你如果是甲方你就提要求，如果你是乙方或者是開發(fā)方你就要基于這種來做相關(guān)的要求，把它變成可落地、可實施，首先你要數(shù)據(jù)的責(zé)任主體，它的管理邊界以及責(zé)任邊界，這是首先要明確的，尤其在云計算環(huán)境和虛擬化環(huán)境以后，這種邊界是比較模糊的，那就一定要分清楚，分清楚以后落實到文字上面，還有一塊我的理解，我們現(xiàn)在很多省里面做業(yè)務(wù)遷移的時候數(shù)據(jù)永久丟失，這里面主要是跟數(shù)據(jù)備份混為一談，太多的例子不說了。

我把我的一些理念和一些想法提出來給大家分享，因為時間關(guān)系，如果有需要深入的交流，我們可以再做交流，謝謝大家。

【原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為.com】

當(dāng)前文章：國家信息中心邵國安：網(wǎng)絡(luò)安全亟需國家力量
文章地址：http://www.dlmjj.cn/article/dpogdsh.html