摘要：本文介绍了网络安全的特点、本质及核心内容，全方位的网络安全应该包括五个维度及要求，在云计算环境下，我们应该怎么做好数据安全及相关建议。

邵国安    国家信息中心高级工程师

在座各位可能有甲方用户，可能有云计算的开发商、技术总监，你的安全理念决定了你的云计算怎么用得好、怎么好用。习大大说了“理念决定行动”，如果仅就云计算考虑安全问题，安全问题是做不好的，一定要从整体来考虑安全问题，才能把云计算以及云计算环境下的数据安全做好。

习主席的“4.29”讲话已经两周年了。总书记讲到的这些有多少是落地的？比如，全天候全方位感知网络安全态势。网络安全的指向和含义是不一样的。全方位包含哪几个方位？云计算是不是该考虑？比如，终端安全是不是该考虑？比如，云计算应用该怎么考虑？在座各位都有微信，微信就是一朵云，你不用关心它的安全，那是腾讯公司负责的。但是，在座各位有很多是云计算的建设方，或者是云计算的开发方，你应该怎么考虑安全问题？我作为甲方，我的运算要放到云服务上去，我应该提出哪些要求？作为开发方，你是不是要考虑用户有哪些要求？怎么满足用户的需求？两年过去了，领导的讲话我们是认认真真学精神、轰轰烈烈走过场。在这种情况下，我们怎么落地？

怎么树立正确的安全的理念，对于你的行动是有密切关联的。我问大家三个问题：网络安全的特点是什么？网络安全的本质是对抗，对抗的背后是什么？网络安全的核心到底是什么？

网络安全的特点，它的时效性、复杂性、专业性及不对称性。你发现了攻击和问题是必须要马上处理的，这是时效性决定的。如果是共有云，如果你的网络没有连上互联网，就是专有的私有云，我们不去考虑。只要你连到互联网，是不是在任何时间、任何地域都可以访问到？你永远不知道你的对手在什么时间、用什么方式对网络发起攻击。这个结论是正确的。你应该怎么做安全？你的对手都是有国家背景、有组织背景的专业人士，在座各位有多少本事能够对抗美国的顶级黑客？网络安全做到最后一定要通过国家的力量，我们应该怎么办？

我先提出一些问题，给大家介绍一下我的理念。我们可以拿着习大大的讲话去找领导要钱。领导是这么说的，按照领导的要求，我们要达到全天候全方位，我要找专业的分析人员和专业团队，你得给钱。

从安全来说，你首先要保护自己。如果你是做安全的，你永远不知道你的对手从你这里拿走多少数据。你花再多的钱都不敢拍胸脯说百分之百的安全。这种对抗是组织、国家和个人之间在互联网上的智力博弈，这种对抗的背后是国家的力量、人才的竞争、技术的竞争，技术是第一定律。在美国能用，在我们这里也能用。问题是我们怎么把全球的先进理念用到我们的网络安全上面来。

在这种情况下，网络安全的核心是专业的分析团队和情报的共享。我们国家现在能做到吗？大多数的安全厂商都是卖盒子的，卖盒子是基于对抗的吗？你的电视机不坏，十年也不会找厂家。但是，你买个防火墙，你放到上面去，你如果不找厂商，可能他也不会找你。放上去有用吗？没有情报的共享，今天发生了问题，过两天，同样的事情在其他地方同样发生。我们的文化和理念就是大事化小、小事化了，有事情我们自己处理掉，能不报就不报。美国是怎么做的？一类比较重大的安全事件是需要重复研究，通过立法防止此类事件重复发生。

我摘取了美国网络安全国家行动计划里面的一段内容，在复杂的网络情况下，单个机构已经没办法应对，不再让单个机构单独建造、运行和维护IT设备。也就是集中。这个结论是对的吗？我认为是对的。我们国家的理念是谁运营谁负责、谁主管谁负责、谁使用谁负责。现在还是这个理念。2007年中办发27号文，里面讲的就是这两段话。到现在已经15年了，还是这个理念，还是这个要求。我们的安全应该怎么做？

在我的观点看来，需要重新认知网络，对网络安全的常态的实时的监控，而不是设备放在那里不管了。等级保护是网络安全的最低要求，对于网络应用、数据的实时监控是你应该做的。

重新认知用户是什么意思？比如，你是一个公务员，你有一张数字证书吗？基于单位、基于身份、基于角色的访问，有多少单位做到了？90%都没做到。我们是不是应该重新认知用户？

重新认知流量。如果有异常的流量，是不是应该马上预警？我们知道吗？我们基本上都不知道，我只知道上网速度慢了，什么原因造成的？不知道。

要重新认知对手。在互联网上，只要做安全，一定要从全球的维度来考虑安全问题，只盯着自己的云计算是做不好安全的。你的对手一定是全球的关注你的这些黑客，他们有国家和组织背景。在关注过程中，战术、技术和过程都是你要关注的。比如，对你进行DDOS攻击，这是一种战术，但它的目的未必是把你的网络搞瘫痪，目的可能是通过挖掘未知的漏洞来获取你的数据。整个过程是不是我们要必须关注的？

苏格拉底说“智慧源于对术语的定义”。讲到网络安全，每个人对这个术语的定义都是含糊的。比如，你的产品开发有没有基于术语和概念的定义？华为公司的所有产品首先把概念和术语定义清楚，再做产品开发，所以华为能走到世界上去。

我们国家所有的文件出来，第一是什么？指导思想。美国政府有一本专门的术语定义，包括欧盟、北约，我们是不是应该好好借鉴？我们国家在这个方面做的特别差。除了国家标准有术语定义以外，其他所有的技术文档有一张术语定义吗？基本上没有。

随便举一个例子，我们讲的网络攻击、信息跟美国人的定义是不一样的，脑子里想的也不一样。在全球一体化的网络安全过程中，你怎么跟人家对话？讲的都不是一样，鸭和鸡怎么对话？

全方位的网络安全应该包括哪几个方位？你们是不是这样想的？网络边界的安全，我给它的定义是国家关键基础设施和互联网连接点的安全，这是网际的安全，我们国家整体缺失，没有人研究。美国的爱因斯坦是可以对照的，但我们国家是没有做的；安全防护就是基于动态的实时的安全防护，你认为我们做的好吗？基本上也是很差；终端安全，我们国家到目前为止还没有对终端进行定义，我们的等级保护到2.0还是主机安全，各位的脑子里一会儿是服务器安全，一会儿是终端安全。我对终端的定义，所有的笔记本、一体机、PC终端，还包括你每个人身上的移动智能终端，包括可穿戴设备、物联网的前端设备，终端的数量特别庞大。我们讲云管端，端不定义清楚，怎么做安全？我们跟360交流，360认为交换机、路由器也是终端，你们认为对吗？云管端到底包括哪些方面？我最近看了网络安全知识体系框架，里面提到连接安全，管就是连接。我们现在讲的所有互联网，3G、4G、5G，包括WIFI、卫星通信，都是属于连接要关注的安全问题，包括交换机、路由器。端就是终端，终端可以分成两大类。按照我的方法论，复杂问题是分解，而不是眉毛胡子一把抓。怎么分解？终端安全是两大类，一类是人口终端的绑定。还有一类是物联网设备跟后台数据、前端的数据采集设备；应用安全，云计算是提供基础设施服务，应用安全是什么？我理解应用安全应该是身份认证、授权管理、责任认定、应用软件、源代码的安全、服务器的安全，我给主机安全的定义是服务器裸机加操作系统。它的定义清楚了，你的安全、目标、指向才会很准确；数据安全，应该怎么做？按照我的观点，云计算一定是今后的发展趋势，它的应用会越来越多，数据也会越来越多，它带来的安全风险也会越来越大。云计算上的数据安全应该怎么做？数据的采集、传输、使用、销毁要进行全生命周期的管控。数据安全怎么做？数据的分级分类、原数据的标准，以及对于敏感重要数据的加密存储。这五个维度是我理解的全方位的安全，希望对你们有点启发。展开分析，我们每一块都做的不好。

这是一个扇形的防御体系，从网际安全到数据安全，最重要的是关注数据。数据要作为你的资产来保护，网络是保证畅通。但是，现在眉毛胡子一把抓，讲到安全问题，先把网络分开。你怎么做安全？看来是没办法做的。这个图也不是我发明的，这是2003年美国的博士艾伦公司跟美国国土安全部做交流时用的一张图。你的理念决定你的行动，决定你后面该怎么做。在做安全防护的时候，你不仅仅要防范来自外部的网络攻击行为，还要防范来自内部的网络数据窃取。如果你是甲方用户，你一定要知道什么时间、什么人、访问什么数据。如果云计算服务商提供不了这些内容，你要让他回去想明白，你的数据和应用系统就不能上云。

智慧源于对术语的定义，术语一定要定义清楚。现在都在说网际的安全，眉毛胡子一把抓，防火墙也是网际的安全是不对的。

明确界定网络安全的概念和定义，要形成一致的认识和框架，这是做好网络安全的基础。没有这个基础，真的是有问题。

这是我们准备出的标准，下一步要上升为国家标准。现在对网络攻击的报告是没有分级分类的。国家安全标准有对安全事件的分级分类，这个标准是已经形成的安全事件的分级分类。你说我们的安全设备一点没有用吗？还是有点用吧，至少可以挡住30%的网络攻击。比如，邮件的暴力破解、拆口令、授权访问，还是有一些安全措施可以阻止这些恶意行为的。但是，你该不该分类？该不该统计？如果这些都做不好，你怎么做安全？

在座各位一定有体会，网信办、公安部发起的“2018护网行动”，它对你的网络进行探测、访问，发现你的漏洞，这跟黑客攻击的特征是一样的，你该不该区分出来？比如，电子政务的数据往美国发、往台湾发、往俄罗斯发，该不该预警？但这都是正常的，我们的安全设备连个日志都没有，你能发现吗？你的数据泄漏怎么办？

讲到云计算，你要把概念弄清楚。现在天天在炒名词、炒概念，云计算炒三年没新意了，现在在炒物计算、容器计算、边缘计算，看问题要看它的本质。对我来说，腾讯的云是一个云，跟我法任何关系，我不用关心它在哪里，我只要使用就行。如果你是打开机房的门，云服务提供商和建设单位告诉你也是一朵云，你怎么办？你是不是让他回去把云搞清楚？打开机房的门，你看见的一定是服务器、交换机和存储设备。数据机是linux，在VM上面再部署应用的操作系统，每一块都要弄的很清楚，才能把安全放上去。

很多省里面把应用部署到云上去以后就发现数据永久丢失。我的观点，他们很多的是把镜像副本快照和备份混为一谈。备份定时、定点，是RPO、RTO的概念。你可以离线备份，可以把备份的RPR和RTO分出来。镜像副本为了保证可靠使用，可能有两到三个副本，更夸张的可能默认七个副本，占用存储空间。如果误操作，这七个副本全部是零。怎么办？你在做应用迁移的时候，先做好备份。你可以承受的数据的时间点，5分钟，或者半个小时，数据丢了就重新输一遍。这些概念和理念一定要弄清楚。

云计算的特点和安全要求。云计算是什么特点？资源的动态调度和业务的快速部署。这是云计算的最大特点。基于这些最大的特点，还有第三方的引入，也就是云服务商的引入。我的观点，你应该怎么做安全？基于主动的安全防御、主动的漏洞扫描。核心的问题用户、云租户和云服务商的边界责任一定要通过纸面落实下来。这是一定要做的。有些东西，云服务商跟你交流的时候，胸脯拍的很响。你一定要让他落到纸面，他就不敢写了。比如，省里的数据不能出省。这个要求很正常吧？贵州省的数据哪一天在杭州发现了，有没有问题？你问他敢不敢拍胸脯，我的数据肯定不出事。

在这种情况下，数据安全应该怎么做？全生命周期数据的管控一定是我们考虑的，数据从产生到传输、使用、存储、销毁整个全生命周期的管控，它要贯穿于整个云计算数据的全过程。

去年的“5.18”爆发的“想哭病毒”，很短的时间在150个国家爆发。很多人都在讲它造成的危害，但很少有人关注它背后的根本原因。根本原因是美国国家安全局部分的网络武器库的曝光。网络武器库曝光以后，所有国家的黑客都在研究这些文件。黑客的感知能力、作战能力、隐藏能力都在增强。对于做安全防护的人来说，是不是挑战更大？

2015年，美国OPM指控中国的黑客偷窃了美国联邦雇员400万雇员的个人信息。公安部到美国去赔礼道歉，这个事情是我们有错。这个黑客是OPM攻击的主要成员之一，他认为没事了。去年到美国去开会，开完会就被FBI带走。我们自己能发现是哪个黑客来窃取数据吗？我们有这个能力吗？

在互联网上，一定要牢记这两句话：

“若成为入侵目标，你总会是目标”。全球的黑客关注中国的政治、经济、军事、科技，总有一点是他关注的，你今天处理掉了，他明天又会来，所以要持续的关注。这就是安全基于对抗安全的特点。

“你必须放进来的，你就无法进行阻拦”。比如，邮件、门户网站是必须开放在互联网上的，现在的APP90%以上都是通过邮件。在这种情况下，你是不是应该重点关注用户、重点关注人？

在安全理念下，一定要基于对抗做安全，核心是保证数据的安全。没有网络安全就没有国家安全，国家的关键基础设施的安全跟国家安全相关。保证国家关键基础设施的安全，保证网络安全，于无声处捍卫国家安全。这就是我们的使命。