11 月 3 日,较早届中国互联网安全领袖峰会( Cyber Security Summit )在北京国家会议中心拉开帷幕。这次峰会由中央网信办网络安全协调局指导,腾讯公司、中国电子技术标准化研究院、……
11月3日,较早届中国互联网安全领袖峰会(Cyber Security Summit)在北京国家会议中心拉开帷幕。这次峰会由中央网信办网络安全协调局指导,腾讯公司、中国电子技术标准化研究院、中国信息安全认证中心、中国金融认证中心共同主办。来自政府机构、互联网企业、科研院所的数百位精英齐聚一堂,共谋互联网安全之道。阿里巴巴安全部副总裁杜跃进先生针对于“互联网+”时代的数据安全发表精彩演讲。
以下为杜跃进讲话实录
我刚刚在杭州讲了这个题目,就是互联网+时代的数据安全,今天这里还有这么多人我就换了一个题目,这个题目叫做当我们说网络安全的时候,我们在说什么。为什么要讲这个,是因为我较近好几件事情,包括在和一些咱们同行以及同行以外讨论的时候,我都觉得我们有一些东西值得反思的,是想把这个东西拿出来在今天这个场合讨论讨论。较早张照片是在讲很多人已经都在讲我们再融合,但是我们再融合成什么样的网络,现在其实还是可以看一看的。在早期的时候我们在做搞计算机的人做安全是在做较早期的独立的计算机,以及独立计算机存储静态数据的安全,再往后的时候当然我局域网也谈到了,再往后的时候其实网络被大面积的互联,并且开放起来了,这时候我们再保护的数据已经不再是过去的那个非常独立的文件,很多开始是数据库以及更多的别的文件,但是大多数依然是比较静态的文件。再往后的时候我们这些搞计算机的人开始和另外一个领域的人有很多的交互,并且被他们看不起,那个领域就是通信领域,他们觉得你们搞计算机的都是什么东西,我们搞电信的我们的设备非常非常的可靠,我们也没有这么多乱七八糟的东西,但是今天已经全融合在一起了。
在这时候不光是所有的计算机系统,我们所有的通信设备也都会开放的连在一起,在这个时候我们关注的数据不仅仅是网页,数据库里的文件,你的文档,还包括我们新过程当中的数据,你讲的话,你发的语音等等,这些都跑在一起去了。再往后我们构建了一个把人和人连接起来的通信网络,我们不再仅仅关注这些设备,而是人和人之间的社交信息的连在一起了,这个时候给了犯罪分子另外一种或者说黑产另外一种各种各样的诈骗,那这个时候交换信息也都不一样,现在很热的物联网,都在发IOT,我曾经说我们并不会关注任何一件和我们利益相关事情的安全,我们关注的安全一定是和利益相关,那在过去的时候可能我们关注公共系统怎么样,但是在今天我们讲的时候讲到心脏起搏器的安全,我们讲到自己正在开的汽车的安全,我们讲到一切的安全,这个东西是什么,他已经是各种各样的东西和人连成一张网络了,就是万户的这张网,和人世间的网络连在一起,未来我们会面临一个什么样的网络,未来我们会面临生活所依赖的网络,我们过去把这个ICT网络在未来,其实今天已经转成我们整个的生活所需要的依赖的网络,以及我们用户的网络,你公司平台在哪里就是这个网络,你的业务你的产品全部在网络上,因此在这种情况下我们不再叫做Computer,那我们发生了哪些本质的变化。
所有的这些趋势,所有这些较终对安全上面我觉得较关键的是三件事情带来的影响,较早件事情就是智能,一切东西里面都被植入了程序,一切东西都看上去很聪明了,但是我们也知道我们很多很多人都不懂得坏人的思维,因此这些所谓的智能走到哪里,对于攻击者来说机会就到哪里,所以说这个机会更多是给了攻击者。第二个更要命的是联通,他们不但智能了,而且联到一起了,他们如果没有联在一起你的智能也没有意义了。所以联在一起之后不论什么样的时候不论什么样的地点不论什么样的平台相互都通了。那同样给攻击者带来的机会是什么样子的,大家也可以想到。第三个也是较关键的一个带来附加的影响就是融合,在过去风马牛不相关的世界现在发生了关系,在过去计算机就是搞计算机的,今天他直接去涉及到我们的金融,涉及到我们的生命安全等等,全部都融在一起了。那这些东西给我们带来的安全的挑战稍微总结一下该是,我们传统安全里面较基本较基本的东西是一切都有管理边界,我们是在自己的边界内部来做管理,我们切分成不同的领域,切分成不同的地域做安全。但是在今天这些管理边界都不存在了,而且时控的限制也不存在了,我们过去怎么适应他。另外整个环境非常的易购化,而且相互之间的关联和依赖关系也异常异常的复杂。当初2009年我们暴风影音事件发生以后,现在这个复杂的关系强很多很多倍,还有就是非常复杂的生态,也搞不清谁跟谁是什么关系的话,那这个生态什么样子也搞不清楚。
我曾经试图描绘这样的一个现象,我说过去的安全就好象是在一个盒子里面,我们这帮搞计算机的人搞网络的人和安全威胁打的一片,今天这个盒子里面的安全威胁渗透出来了,就像一股黑水流到我们整个世界每一个角落里面,但是在这个盒子之外很多很多的角落里面,那些人并没有应对蓄意威胁的经验,他们看到的更多的是可靠性,他们更多的理解是牛顿定律,他们没有看到原来这个领域里面有人故意破坏是怎么样,这个危险是这样的。因此在未来的这个常态里面就非常容易理解为什么会这样,未来依然会不断不断的出现又发现新的漏洞,不断有人说怎么搞的这个产品里面还有漏洞,因为那些产品里面很多很多人原来就没有和人同行对抗的经验,我们不是说理论上说这个技术到怎么样就可以了,而且这样的防御技术有多少人掌握了,有多少行业掌握了,就好象中国人要想大家教育水平提高到多少多少的水平,和一两个人的水平是一样的。另外一个常态就是不断的会有系统会攻击会被入侵,这个也是正常的,这个我也不多讲了,现在大家纵深防御是这样的,重要的是较后你应对到什么程度,你把风险控制到什么程度。
在这种新常态里面安全的工作人员会面临极其极其恶劣的工作环境,这个环境也和过去不同,,较早个特点就是一切都在快速的变化当中,你要做数据安全吗,你要做任何一种安全吗,可是一切都在变化当中,你要保护的应用可能每天在不同的升级,运用会非常非常的复杂,然后用户也非常的复杂,边界也动来动去,在这样的环境下做安全。另外海量,所有的东西加在一起量太大太大了,这个量大到不知道怎么处理好了,就好象大数据的东西,大家都知道他重要,但是很多人都没有意识到他有多大。复杂就不用解释了,各种各样的复杂,然后易购环境,作过去微软人跟我讲,过去的时候他们是比较方便的,他们的供应链整个的安全全部都用在微软体系的产品,所以他自己的知识他自己的积累可以支撑整个体系的安全工作,但是在今天微软也和我们所有其他的企业一样,并不是一个单一的东西,他系统都是不一样的。今天上午有专家说终端和云端安全不一样,端上面碰到的安全问题也是复杂的,你做过研究可以,你做成工作做成安全的运营你就会发现这个成本非常难以承担,你要对每一个版本做出不同的开发,对每一个版本做不同的服务这个压力非常大。
较后一个就是业务的绑定,我们在过去的时候你的防火墙出问题,你的IBS出问题,对业务的影响不像今天,在今天一个安全上面很简单的一个策略上面的错误,或者是在运营上的不稳定,都会给业务带来极其巨大的伤害,而不是帮助业务解答这个问题,我们做安全赢在未来,一定要做到业务层面,因为你是保护业务的。在数据安全的时候什么是数据,在今天已经跟过去完全不同了,不仅仅是你的文件,他是整个业务流程里面每一个环节都在产生数据,那我们的客户又是谁,我们数据保护又是谁,包括较终端的用户,以及公司主体自己,数据哪里产生的,每一个社会每一个合作伙伴,每一个业务链条都在产生数据,那就在哪里存储的,不仅仅是在你的服务器上,公司每一台设备甚至员工的每一个智能手机里面都是海量的存储空间,那这些数据其实都可能是需要你保护的,你从知识产权保护也好,或者是公司的商业秘密保护也好,还有国家的法律要求保护也好,都和过去不同。这个有一点像新时代的保密工作到底该怎么做,我们过去传统保密的做法和今天看到差别有多大,数据在哪里使用的,人家都知道未来是数据时代,数据的价值是很大的,但是数据如果不用的话他的成本会压缩,哪怕在阿里巴巴这样的公司我们在用数据的时候,每一个单位都要被精打细算的天天说你这个用人太多了,那在这种情况下你的数据要想发挥作用一定要用起来,你要用起来就带来更高数据安全的风险和危险,但是你不用就更不对了。
因为业务链条太长了,经常你们不知道在哪儿丢失的,不是一个完全可控的封闭系统,因此在今天面对做数据安全的人就会面对这么多的乱七八糟的困扰,经常不知道在哪里下手,不知道哪里是较快见效的东西,不知道较关键的事情是什么,那刚才讲到这些东西好象,因为链条很长,很多东西到底觉得是我的问题还是别人的问题,在今天不用纠结,所有的问题都跟你有关系,所以说不需要逃避这个责任,比如说内部安全是我的问题,数据在我手里面我要保护他,保护从企业的角度来说,从用户的角度来说,从国家的角度来说无所谓,我要保护他,我可以通过制度的设计,组织结构的设计,技术手段的实践,安全运营来解决他,但是刚才我讲到的数据并不在这里,不只是在这里,直接就到合作伙伴那里,合作伙伴会有你的数据,所以也需要提升他们的能力,他们的能源,策略的一致性,以及技术手段的一致性,再往外就是电商独立软件的供应商,他有合作伙伴,我如果不让他用的话这个商家会不干的,但是他们说跟你有关系吗,没有关系,所以说对于他们来说我们正在建联盟定标准,定认证机制,甚至到社会问题,整个O2O如果是没有办法来遏制,为什么会有数据安全,因为有价值,有价值会吸引目击者,在这些方面在社会的模式里面可以做一些事情,所以这个是讲数据安全的问题。
我们做安全响应,我们在应急响应里面我们会看到很多领域里面有不同的事情,我们电力的专家也讲了,还有我们的动车事件,这些是生产事故性的,SARS是公共卫生事件,2008年冰冻雨雪事件,以及一些社会性的突发事件等等,这些都需要应对,我们都有一个黄金时间,要在这个黄金时间里面准确的发现问题,并且找到解决的方法,并且把他构成下去,这个一个时间的对抗。但是今天我们跟过去发生很大的不同,本来是像是另外一个领域,较左面这张图大家都知道24小时传遍全世界,本来在当初的时候本来是我们这棒人搞,你互联网安全就搞互联网安全就好了,但是再往后已经越来越不一样了,现在每一个报告里面都有人提到这个,也包括较近讲到的黑客成功控制了行驶中的汽车,因此他已经越来越不像是一个纯粹的虚拟空间的事情了,我们可以看看较右面这张图是我们憧憬未来的智慧城市,在未来的智慧城市你可以想像到任何一个领域其实都已经开始和虚拟空间融合到一起了,我们也可以想象到每天在讲海陆空天网五大领域的时候,说优先网络空间的安全,但是他其实是和所有融合在一起的,我想讲的是什么呢,我想到融合这两个字,在今天已经分不清楚了,已经分不清楚说你就去做网络空间的安全,你不要管城市交通安全,你就管食品安全已经都分不清楚了。
所以说今天我们讲任何安全的时候,其实网络安全都在那里,所以说这本书里面的定义也非常的有意思,网络空间是什么,他就是一个空间,他好象哪儿也不在,但是他又哪儿都在,所以说任何地方都离不开网络空间,那又有问题了,我们和谁说,谁又和我们说,互联网领域里面有没有听我们讲,城市规划领域有没有听我们讲,那如果都没有的话就是各讲各的,你们看看其他领域里面,他们非常雄心勃勃的充满美好愿景的设想,但是这两边没有融合,世界在融合,但是这两边没有融合。我还有两分钟的时间,那在未来其实非常非常关键的三个能力,一个是感知的能力,同样这个感知并不仅仅是虚拟空间里面的虚拟感知,而是整个社会环境下未来的一个融合的社会环境的感知,这个感知当然就会带来极其巨大的数据,第二个能力就是决策,在这么复杂的情况下异常复杂的情况下,我怎么样能够做出科学的决策,他并不像一个很简单的一个简单系统,你这边压下去那边就撬起来那么简单,而是非常非常复杂开放的系统,在这个情况下怎么决策,跟刚才的一样,感知离不开大数据,决策离不开怎么样计算他想象不出来有多大。第三个是调试的能力,因为在很多事件的处置过程当中,他也不是说这一招下去就OK了,他要在过程当中进行动态的调整,这个调整需要极其巨大新的能力支撑我们才可以。
那这里面有两个特别关键的基础或者是特别关键的思路,我觉得可以拿出来分享一下,一个就是数据技术是所有东西的基础,无论是从我们做网络安全的人来说,大家都知道要靠大数据,要靠多维度的分析,他的底层是数据,还是我们的智慧城市,甚至是整个中国的经济发展等等,其实都依赖于数据技术的发展,但是这里面特别特别基础的我再次强调一下就是数据获取的能力和计算的能力,很多人以为云计算的能力是做弹性计算的,我可以很方便的把这个计算切换到这里和那里,但是云计算有更加更加重要的使命,是计算本身的使命,这些东西在你那里什么都算不出来,但是我前面讲到的一切那整个就是梦想而已。另外一个就是O2O的社会治理模式是一个关键创新,既然所有的O2O在,但是在传统的社会里面,你随便举例子全部都是属地性,这个是不能够适应新的情况的。在犯罪分子或者是网络的坏人充分利用我们切块切领域的方式的缺点来做他们的事情,我们要跟他们比的就是我们要比他们更好更坏的使用线上的模式,我们把线上和线下的模式加在一起来应对,今天由于时间的关系我就分享这些,不一定成熟,谢谢各位。