2024年11月25日 星期一

科技 > 家電 > 正文

字號:  

東軟集團副總裁楊紀文:“網際網路+”安全嗎?

  • 發佈時間:2015-08-07 11:18:05  來源:中國網科技  作者:佚名  責任編輯:書海

  2015年8月6日,由中國電子資訊行業聯合會主辦,奧維雲網(AVC)承辦的“2015中國網際網路+創新大會”在北京舉辦。本次大會圍繞:網際網路+時代資訊消費産業的發展新模式、新思路等主題展開智慧討論,不僅有政府部門相關領導、行業專家、學者與會,還吸引資訊消費領域的相關企業積極參與。

  東軟集團副總裁兼網路安全事業部總經理楊紀文在會上發表講話,以下是其演講實錄:

  楊紀文:尊敬的各位來賓下午好,在這裡我與大家分享網際網路+與網路安全的關係。

  今天我的題目有點怪,就是“網際網路+”安全嗎?應該叫網際網路+安全。這是我們深度思考,或者在我們日常生活中大家都很想問的一個話題,實際從網際網路+時代的到來,我知道在座各位在乎這個問題,“網際網路+”安全嗎?因為“網際網路+”和我們息息相關。

  我主要在30分鐘內把三個主題給大家做一個分享。

  網際網路+是什麼,這個話題很大,我談也不太合適。簡單來説“網際網路+”就是用現在比較發達的,或者已經深入到社會經濟各個角落的網際網路技術與傳統行業結合起來,提供給各行各業一個新的發展機會。

  現在中國的經濟發展已經進入到一個新常態,新常態可能是一種轉變,可能也是一種變革。“網際網路+”也是中國經濟發展新常態的一個支柱型的策略,怎麼跟傳統行業結合?比如第一産業、第二産業和服務行業。它的講究和深度就非常多。

  在這個結合過程中我們最關心的就是安全問題,包括網際網路在剛才我們吃飯也在講,就是“網際網路+”這個概念到底是誰提出來的?可能中國五大網際網路公司都説是他們提的。咱們最可信的起碼是李克強總理在十二屆全國代表大會的三中全會上提到“網際網路+”作為中國經濟發展的一個支柱産業。所以“網際網路+”在中國現在經濟發展的新常態進入到新的快速發展時期毋庸置疑。

  網際網路在中國甚至全球經濟發展中毋庸置疑地説存在著民生問題。

  “網際網路+”與民生的關係可以做一個感受,它改變了我們生活的方式,從近兩年的統計,在中國國土上我們醫療掛號人數已經接近7千萬,網上理財的也是超過6千萬,網上銀行接近3億,網上購物3.3億,網上購票接近2個億。我們的智慧手機接近6個億,是美國人口的兩倍,這是我們發展網際網路經濟或者網際網路+在經濟發展過程中最大的基礎。推進的過程當中我們可以看得出來,網際網路+已經跟我們每個人的生活息息相關,已經跟衣食住行緊密聯繫起來。

  談到民生,國家大佈局就不用説了,工業提得最多,中國的2.0,包括工業4.0,包括跟第一産業結合,服務業就更不用説了。比如西氣東輸,西氣東送,都跟網際網路有著密切聯繫。

  這是物聯網,就是我們可以看出來,“網際網路+”下一個特點進一步發展就是整個物聯網。舉個例子或者我們經常看到報道,現在很多汽車或者IT廠商都在推無人車和無人船,這是一個典型的“網際網路+”的應用,也是以後發展物聯網的深度應用。

  今天的核心話題是“網際網路+”安全嗎?

  “網際網路+”一個最基本的技術發展技術就是IP化,什麼叫IP化?整個英特網的發展就是基於網路協議,使所有連到英特網的一個終端都有一個IP地址,這是我們經常聯網輸入的IP地址。IP化帶來一個巨大的問題就是連入網際網路後誰來解決這個連通的安全問題?比如説連入這個裏面協議帶來的漏洞,也有可能每一個操作,服務商的底層軟體,或者操作軟體存在安全缺失;這些問題如果IP化,網際網路進入每個人生活裏它安全嗎?而且跟我們提到的很多大的工程項目,像智慧城市,我們講了很多雲計算,工業控制也提到,像車聯王、移動網際網路都有安全缺失的問題。

  從這個圖裏講到雲計算的基礎架構,可能通過一系列的技術實現互聯互通,以及怎麼共用,在上層通過網際網路、移動網際網路、物聯網實現生活連通,安全風險時時刻刻都存在。

  大數據,剛才提到大數據也是網際網路+很核心的,包括剛才也在討論大數據的安全問題。大數據會安全嗎?大數據是整個資訊化帶來的最大的資産,大數據在網際網路+的時代我們可以確保一定安全嗎?有兩個例子,一個是美國受到駭客攻擊,美國是當今世界的老大,它在資訊安全和網路安全領域對各國的監聽、監控,甚至本國的防護都跟其他國家不在一個平臺上。斯諾登事件後監控他的朋友,甚至也在監控日本。對中國來説相對有威脅的朋友的監控就更不用提了,可是就是美國這麼一個高層次、高水準的資訊安全和網路安全的國家,它的安全又真正存在嗎?這是2015年6月,美國政府僱員聯合會表示,因受駭客供給,超過210萬現政府支援和200萬退休聯邦職工社會安全碼和私人資訊被竊,這些資訊在美國是最核心的資訊,都可以被解和泄密。

  還有7月發生的,美國人口普查局確認數據洩露事件,經過調查發現,得到了配置文件的訪問許可權,這是很大的安全事故,在美國都如此。資訊安全在網際網路+時代可以説已經非常嚴重了。國內大家可能看到很多報道關於個人資訊洩露,關於企業資訊洩露,包括國內的人社系統的巨大的漏洞,也有數量不詳的資訊的洩露。

  但是這幾件事證明一個事實,就是隨著網際網路技術的應用,隨著網際網路+的技術推進,大數據安全是很大的風險。

  那物聯網安全嗎?剛才説了網際網路+跟所有行業結合起來帶來的最大的實踐就是物聯網的落地。這是舉個例子,拿車聯網來分析,從去年全球的駭客大會對特斯拉汽車的破解,包括今年某歐洲一個名牌汽車廠商的汽車在停車場被一個小孩用手機開鎖、點火,包括國內最近駭客也在玩一個遊戲,就是駭客瘋狂節等遊戲,對諸多知名品牌汽車進行了侵入,這個時間都是非常短,當然他們有一定的準備過程。現在車聯網,特別網際網路+的時代,已經非常智慧化。整個洗車的技術不僅僅提供娛樂、空調,甚至和它的安全駕駛、智慧駕駛、輔助駕駛都是在一體化,它的電子平臺完全一體化,甚至後臺還可以通過網際網路技術提供各種各樣服務。這種網際網路+結合的車聯網的概念給我們帶來什麼?如果解決不了安全問題,或者通訊安全問題,或者資訊安全問題,給我們帶來都是巨大的隱患。

  在著名的知名品牌召回的後果不是多少億資金的損失,是它暫停了這款車的車載網際網路服務的功能這曾經是它宣傳最大的亮點。包括現在中國汽車市場發展很大,東軟在車聯網的技術在全球也非常領先。但是現在我們遇到的最大問題是所有的汽車廠商在裝汽車電子系統的時候首先要你給他講車聯網的安全問題,如果這個問題講不明白,不能在他的車上完全實現,這個系統就暫停上車。所以這個隱患和這個影響是非常巨大的,所以在物聯網領域我們也看得出來,這個安全隱患也是有很大。

  智慧城市是國家主導的大的項目和課題,智慧城市在很多地方分成很多方面,可能智慧交通、智慧公安、智慧什麼一系列的,都是城市建設的主題,一個城市整體水準提高到一個程度上。但是智慧城市是一個典型的網際網路+可以帶動一個産業,它安全嗎?

  我們圈內經常聊天的一個玩笑,就是一千元監控全城,就是智慧監控,在全城裝了幾千幾萬個監控攝象頭,這個攝象頭我們都很清楚,它是連到公安網路系統裏,公安網路又是專網,對專網的資訊程度比一般網路更有把握,是專門針對內部系統用的網,就這麼一個網路可能花一千塊錢就可以侵入它的系統,能控制所有全程的,通過這個系統切入後臺的公安系統裏面。大家可能覺得天方夜譚,邊上需要買的東西,工具箱、收發器、路由,可能可以控制一個城市,可以控制整個公安後臺的。包括聽到很多關於哪個酒店的登記系統,或者連鎖、五星酒店系統被黑了,可能都是觸類旁通,很簡單的事情。那從這裡來看專網都不安全,智慧城市能敢説安全嗎?

  移動網際網路安全嗎?這對在座可能每個人都很關注,我們手機打電話、發短信、發微信,有人炒股,還有人開網銀。剛才説了網銀用戶接近3個億,還要轉帳,還經常有朋友開玩笑,説開支付寶,開微信支付,還有餘額寶裏面存多少多少錢。有人説那個利息多高,轉給你70萬,後面有人説要錢不要命了,能保證嗎?這都是調侃。但是移動網際網路安全嗎?移動支付有漏洞嗎?從安全這個層面來説,從我們自己感受來説,1000%的肯定有漏洞,這個漏洞誰都能避免嗎?想避免,誰都能彌補嗎?可以説肯定不可能的。

  這點來説對所有在座的你們還敢相信這個嗎?在目前為止我的唯一建議是肯定可以相信,為什麼?只要誰侵入這個事是非法的,但技術上的彌補肯定現在不存在。

  剛才談的都是生活或者國際民生的,還有很多很專業的廠商,很專業的企業。比如APP雲伺服器,這麼頂尖的一個APP商店都可以宕機11小時,帶來的損失是每小時百萬美元計,它的能力可能代表美國的水準,可能就要代表全球的領先。但就是這樣也不能避免被駭客攻擊,只要有價值,或者説只要好玩。

  這是“網際網路+”的一個簡單的技術架構,從現在來看資訊化帶來的就是數據,是數據為核心結合雲計算的技術水準加上資訊共用、資訊分享和資訊分析的工具,和每一個相關的終端物體連接起來,可能是汽車、手機,最終提供給我們最便捷和優質的服務,是追求個人體驗的一種服務。這就是網際網路在每個領域可能帶來的,在汽車領域可能就是車聯網,跟電腦聯繫可能就是電商應用,跟手機應用可能就是網上銀行,等等一系列的東西都是在這個基礎上實現了“網際網路+”帶給我們的一種變革或者發展。但是這個過程當中你們看見我這個圖裏是每一個節點都有安全隱患,每一個點都有風險存在。包括現在我們還經常開玩笑會説一句話,就説現在整個資訊安全界,資訊安全建設裏面只有一條可以滿足,就是免責。我們可能會投入很多資訊建設的費用,這裡要求10%到15%是資訊安全必須的,網路安全必須的,但這就能解決安全問題嗎?這可能是網際網路+安全的最基礎的一步。但是我們認為,或者從技術角度去看投入了這麼多資金,在整個資訊化建設裏面,也僅僅是一個免責。包括我們現在説的高級的系統要分級保護,重要的資訊化系統要登記保護,跟我們現在每一個資訊化建設都要達到什麼什麼比例投入,但這都只能做到免責。關於漏洞和病毒都有説法,今天解決所有的問題,不知道今天晚上10點會有什麼新漏洞出來。所有的作業系統和技術都在每天更新,更新以後就有漏洞,所有駭客也在全球24小時的工作的,在中國的駭客今天把病毒解決了,可能美國駭客晚上12點就有新的病毒出來,所以這個問題是道高一尺,魔高一丈的遊戲,風險永遠存在。

  提升網際網路安全怎麼來看這個問題?剛才提的都是一些危言聳聽的,那就不做了肯定不是?那現在用戶要求的安全問題或者想法是什麼意思?大家都在想一個基本的,原來沒有“網際網路+”的時候,所有廠商給我們提供服務的時候,所有的銀行、連通、電信、移動大家都有一個想法,你給我提供任何服務,默認是安全的。我存錢到銀行肯定安全,我買了電信手機打電話肯定安全不會有人竊聽,你也不會竊聽我們的東西。騰訊有QQ的時候大家也不會考慮到會不會泄密,還有微信上跟他的情人約房,不知道這個是不是公開的。

  就是在大家潛意識裏應該提供給我的服務默認是安全的,我可以説隨著網際網路+時代來臨,提供給你們所有的服務默認都不是安全的,這個是肯定的,這個回答是肯定的。

  我們開始考慮第一個關鍵點,美國友一個審計指南,拿全球最頂級的網際網路安全的概念,把20個關鍵點全部梳理出來了。自動化實現這一塊是提供一系列的産品和技術支援的,在它的系統裏考慮。把這個展開是相當大的一個觀念。在服務支撐是靠人力或者靠它的服務體系來完成它整個的安全。像在中國我們在提網際網路+這個概念更應該落實到位。

  這是網際網路+安全的角度應該去考慮的出發點,當然這主要是從體驗這個平臺,因為網際網路+是雲計算為基礎,大數據為基礎的,首先要考慮是數據中心的安全。同時一定要搞數據中心和它的終端,或者對一個企業來説是分支機構的安全。還必須考慮跨平臺應用安全,因為在雲計算技術帶領下,大數據概念下,跨平臺是完全不可避免的事情。

  最後我們想要更深度解決“網際網路+”的安全可能還要考慮整個安全的風險、感知和預警。一一提到雲計算中心的安全可能是整個安全最核心的點了,跟原來的資訊安全有天壤之別,原來是封閉系統,訪問量、流量都很小,如果上升到“網際網路+”,上升到全民,一直到雲中心去要解決幾個大漏洞。第一是性能挑戰,可能是雲服務商提供給全球類似的企業或者全球各大企業租用的時候,性能問題會是安全的挑戰。

  還有可靠性一定很重要,這裡沒寫。到了雲服務廠商提供了1.8萬家企業的雲服務,我要出可靠性問題可能造成的災難是巨大的,無法晚會的。所以考慮的更多的是可靠。

  在整個網際網路+裏面被忽略最重要的一環或者最突出一環是我們叫分支機構,或者終端安全,我講智慧城市的時候講了一下,在公安網路裏它是專網,如果專網是物理隔離不會有問題,但是它是延伸到每個街道的每個攝象頭都是物理連通的,這個物理連通要想從中找到一個突破點是非常簡單的,是沒有任何技術門檻的。那你説終端安全對雲衷心的安全或者大數據中心來説就是最薄弱環節。有一個統計,所有的安全67%是從最薄弱環節突破,包括你是大企業,比如最大的IT企業最牛的,突破它可能很簡單,就通過分支機構,分支機構的安全可能很薄弱,你的數據,你的總部能力非常強,但只要突破分支機構就可以。所以解決了雲計算和分支機構的安全還要解決數據中心及分支機構安全互聯。

  這也是要重點考慮的,從整體安全保護要考慮更多高性能的安全設備,以及到分支機構性能相匹配的終端安全考慮以及服務的考慮都在裏面。

  跨平臺剛才講了是整個網際網路+裏面需要重點考慮的,可能是從安全與軟體一體化,包括無處不在,包括安全對用戶透明,包括安全成為通用組件跨軟硬體平臺的安全考慮,這是在整個體系裏都要部分考慮到的。

  這是雲計算安全行業的新熱點、新挑戰,剛才談了很多。可能涉及的技術都非常多,成為企業IT不可逆轉的歷史潮流,所以這是需要大家關注的。

  這是現在提得比較多的概念,ASP,就是應用安全保護解決方案,跨越雲、網際網路、移動網際網路、物聯網的平臺,這是東軟在“網際網路+”安全的角度有的一個深入思考得出來的一些積累。

  這是剛才提到的網際網路+裏面一個很關鍵的領域,就是風險態勢的多視角感知,可能你解決一系列的安全問題,你構建了一系列的安全措施,這個安全措施帶給你的可能是一種心裏想像。在這個過程中我們可能遇到很多新的,漏洞或病毒,這風險態勢都要注意,真正構成安全體系很關鍵的一個部分。

  這些圖形都是系統裏截出來的,都是真正能夠實現這種風險感知的系統建設的一個體系。這是風險感知平臺,可以從各個角度來建立或者考慮整個系統安全,同時在事先要打基礎合規落地,事中要有威脅行為感知,事後要求發展,滾動更新指標體系。才能夠做到剛才提到的風險感知,同時不斷形成一套完善的安全體系。它可能才是真正做到網際網路+下的安全。

  我談了很多跟我們相關比較多,前面談了一個更大的話題,就是“網際網路+”的安全是承載國計民生,承載了國家大事。更大的可能針對國家安全,可能今年7月1號全國人民代表大會投票通過了《國家安全法》,昨天是網路安全法的意見徵求截止。包括習大大親自管理的安全資訊化領導小組的組長,他提出沒有資訊安全就沒有國家安全,沒有資訊化就沒有現代化,充分説明在網際網路+的時代國家安全可能是我們真正更應該做的。

  從民政角度考慮網際網路安全第一需要大家的意識,第二才是説我們企業技術的積累不斷彌補這些漏洞,不斷地防範為大家提供技術的支撐,第三是為大家提供服務的企業,可能他們在這裡面提供安全的門檻,提升防護意識。最終需要在目前階段最重要的是國家法規,包括國家安全法等等,這是現階段最重要的。

  在“網際網路+”的領域可能真的需要全民皆兵,我們會經常聽到國家一個很危言聳聽的詞,就是現在可能不爆發大的戰鬥,但是我們可以清晰認識到網路天正天天打,而且我們還有一個認識,我們打的是一場不平衡的戰爭,我們的技術各方面和他們不在一個層面上,但是這種産生天天發生,對國家的安全,這種安全不能説指日可待,但卻是是大的危險。每個人的隱私、數據都會隨著這種專門的爆發成為黑産市長的一個商品,可能人才是“網際網路+”按照應該提供給我們最深的思考,謝謝大家。

  • 股票名稱 最新價 漲跌幅