东软集团副总裁杨纪文:“互联网+”安全吗?
- 发布时间:2015-08-07 11:18:05 来源:中国网科技 责任编辑:书海
2015年8月6日,由中国电子信息行业联合会主办,奥维云网(AVC)承办的“2015中国互联网+创新大会”在北京举办。本次大会围绕:互联网+时代信息消费产业的发展新模式、新思路等主题展开智慧讨论,不仅有政府部门相关领导、行业专家、学者与会,还吸引信息消费领域的相关企业积极参与。
东软集团副总裁兼网络安全事业部总经理杨纪文在会上发表讲话,以下是其演讲实录:
杨纪文:尊敬的各位来宾下午好,在这里我与大家分享互联网+与网络安全的关系。
今天我的题目有点怪,就是“互联网+”安全吗?应该叫互联网+安全。这是我们深度思考,或者在我们日常生活中大家都很想问的一个话题,实际从互联网+时代的到来,我知道在座各位在乎这个问题,“互联网+”安全吗?因为“互联网+”和我们息息相关。
我主要在30分钟内把三个主题给大家做一个分享。
互联网+是什么,这个话题很大,我谈也不太合适。简单来说“互联网+”就是用现在比较发达的,或者已经深入到社会经济各个角落的互联网技术与传统行业结合起来,提供给各行各业一个新的发展机会。
现在中国的经济发展已经进入到一个新常态,新常态可能是一种转变,可能也是一种变革。“互联网+”也是中国经济发展新常态的一个支柱型的策略,怎么跟传统行业结合?比如第一产业、第二产业和服务行业。它的讲究和深度就非常多。
在这个结合过程中我们最关心的就是安全问题,包括互联网在刚才我们吃饭也在讲,就是“互联网+”这个概念到底是谁提出来的?可能中国五大互联网公司都说是他们提的。咱们最可信的起码是李克强总理在十二届全国代表大会的三中全会上提到“互联网+”作为中国经济发展的一个支柱产业。所以“互联网+”在中国现在经济发展的新常态进入到新的快速发展时期毋庸置疑。
互联网在中国甚至全球经济发展中毋庸置疑地说存在着民生问题。
“互联网+”与民生的关系可以做一个感受,它改变了我们生活的方式,从近两年的统计,在中国国土上我们医疗挂号人数已经接近7千万,网上理财的也是超过6千万,网上银行接近3亿,网上购物3.3亿,网上购票接近2个亿。我们的智能手机接近6个亿,是美国人口的两倍,这是我们发展互联网经济或者互联网+在经济发展过程中最大的基础。推进的过程当中我们可以看得出来,互联网+已经跟我们每个人的生活息息相关,已经跟衣食住行紧密联系起来。
谈到民生,国家大布局就不用说了,工业提得最多,中国的2.0,包括工业4.0,包括跟第一产业结合,服务业就更不用说了。比如西气东输,西气东送,都跟互联网有着密切联系。
这是物联网,就是我们可以看出来,“互联网+”下一个特点进一步发展就是整个物联网。举个例子或者我们经常看到报道,现在很多汽车或者IT厂商都在推无人车和无人船,这是一个典型的“互联网+”的应用,也是以后发展物联网的深度应用。
今天的核心话题是“互联网+”安全吗?
“互联网+”一个最基本的技术发展技术就是IP化,什么叫IP化?整个英特网的发展就是基于网络协议,使所有连到英特网的一个终端都有一个IP地址,这是我们经常联网输入的IP地址。IP化带来一个巨大的问题就是连入互联网后谁来解决这个连通的安全问题?比如说连入这个里面协议带来的漏洞,也有可能每一个操作,服务商的底层软件,或者操作软件存在安全缺失;这些问题如果IP化,互联网进入每个人生活里它安全吗?而且跟我们提到的很多大的工程项目,像智慧城市,我们讲了很多云计算,工业控制也提到,像车联王、移动互联网都有安全缺失的问题。
从这个图里讲到云计算的基础架构,可能通过一系列的技术实现互联互通,以及怎么共享,在上层通过互联网、移动互联网、物联网实现生活连通,安全风险时时刻刻都存在。
大数据,刚才提到大数据也是互联网+很核心的,包括刚才也在讨论大数据的安全问题。大数据会安全吗?大数据是整个信息化带来的最大的资产,大数据在互联网+的时代我们可以确保一定安全吗?有两个例子,一个是美国受到黑客攻击,美国是当今世界的老大,它在信息安全和网络安全领域对各国的监听、监控,甚至本国的防护都跟其他国家不在一个平台上。斯诺登事件后监控他的朋友,甚至也在监控日本。对中国来说相对有威胁的朋友的监控就更不用提了,可是就是美国这么一个高层次、高水平的信息安全和网络安全的国家,它的安全又真正存在吗?这是2015年6月,美国政府雇员联合会表示,因受黑客供给,超过210万现政府支援和200万退休联邦职工社会安全码和私人信息被窃,这些信息在美国是最核心的信息,都可以被解和泄密。
还有7月发生的,美国人口普查局确认数据泄露事件,经过调查发现,得到了配置文件的访问权限,这是很大的安全事故,在美国都如此。信息安全在互联网+时代可以说已经非常严重了。国内大家可能看到很多报道关于个人信息泄露,关于企业信息泄露,包括国内的人社系统的巨大的漏洞,也有数量不详的信息的泄露。
但是这几件事证明一个事实,就是随着互联网技术的应用,随着互联网+的技术推进,大数据安全是很大的风险。
那物联网安全吗?刚才说了互联网+跟所有行业结合起来带来的最大的实践就是物联网的落地。这是举个例子,拿车联网来分析,从去年全球的黑客大会对特斯拉汽车的破解,包括今年某欧洲一个名牌汽车厂商的汽车在停车场被一个小孩用手机开锁、点火,包括国内最近黑客也在玩一个游戏,就是黑客疯狂节等游戏,对诸多知名品牌汽车进行了侵入,这个时间都是非常短,当然他们有一定的准备过程。现在车联网,特别互联网+的时代,已经非常智能化。整个洗车的技术不仅仅提供娱乐、空调,甚至和它的安全驾驶、智能驾驶、辅助驾驶都是在一体化,它的电子平台完全一体化,甚至后台还可以通过互联网技术提供各种各样服务。这种互联网+结合的车联网的概念给我们带来什么?如果解决不了安全问题,或者通讯安全问题,或者信息安全问题,给我们带来都是巨大的隐患。
在著名的知名品牌召回的后果不是多少亿资金的损失,是它暂停了这款车的车载互联网服务的功能这曾经是它宣传最大的亮点。包括现在中国汽车市场发展很大,东软在车联网的技术在全球也非常领先。但是现在我们遇到的最大问题是所有的汽车厂商在装汽车电子系统的时候首先要你给他讲车联网的安全问题,如果这个问题讲不明白,不能在他的车上完全实现,这个系统就暂停上车。所以这个隐患和这个影响是非常巨大的,所以在物联网领域我们也看得出来,这个安全隐患也是有很大。
智慧城市是国家主导的大的项目和课题,智慧城市在很多地方分成很多方面,可能智慧交通、智慧公安、智慧什么一系列的,都是城市建设的主题,一个城市整体水平提高到一个程度上。但是智慧城市是一个典型的互联网+可以带动一个产业,它安全吗?
我们圈内经常聊天的一个玩笑,就是一千元监控全城,就是智慧监控,在全城装了几千几万个监控摄象头,这个摄象头我们都很清楚,它是连到公安网络系统里,公安网络又是专网,对专网的信息程度比一般网络更有把握,是专门针对内部系统用的网,就这么一个网络可能花一千块钱就可以侵入它的系统,能控制所有全程的,通过这个系统切入后台的公安系统里面。大家可能觉得天方夜谭,边上需要买的东西,工具箱、收发器、路由,可能可以控制一个城市,可以控制整个公安后台的。包括听到很多关于哪个酒店的登记系统,或者连锁、五星酒店系统被黑了,可能都是触类旁通,很简单的事情。那从这里来看专网都不安全,智慧城市能敢说安全吗?
移动互联网安全吗?这对在座可能每个人都很关注,我们手机打电话、发短信、发微信,有人炒股,还有人开网银。刚才说了网银用户接近3个亿,还要转帐,还经常有朋友开玩笑,说开支付宝,开微信支付,还有余额宝里面存多少多少钱。有人说那个利息多高,转给你70万,后面有人说要钱不要命了,能保证吗?这都是调侃。但是移动互联网安全吗?移动支付有漏洞吗?从安全这个层面来说,从我们自己感受来说,1000%的肯定有漏洞,这个漏洞谁都能避免吗?想避免,谁都能弥补吗?可以说肯定不可能的。
这点来说对所有在座的你们还敢相信这个吗?在目前为止我的唯一建议是肯定可以相信,为什么?只要谁侵入这个事是非法的,但技术上的弥补肯定现在不存在。
刚才谈的都是生活或者国际民生的,还有很多很专业的厂商,很专业的企业。比如APP云服务器,这么顶尖的一个APP商店都可以宕机11小时,带来的损失是每小时百万美元计,它的能力可能代表美国的水平,可能就要代表全球的领先。但就是这样也不能避免被黑客攻击,只要有价值,或者说只要好玩。
这是“互联网+”的一个简单的技术架构,从现在来看信息化带来的就是数据,是数据为核心结合云计算的技术水平加上信息共享、信息分享和信息分析的工具,和每一个相关的终端物体连接起来,可能是汽车、手机,最终提供给我们最便捷和优质的服务,是追求个人体验的一种服务。这就是互联网在每个领域可能带来的,在汽车领域可能就是车联网,跟电脑联系可能就是电商应用,跟手机应用可能就是网上银行,等等一系列的东西都是在这个基础上实现了“互联网+”带给我们的一种变革或者发展。但是这个过程当中你们看见我这个图里是每一个节点都有安全隐患,每一个点都有风险存在。包括现在我们还经常开玩笑会说一句话,就说现在整个信息安全界,信息安全建设里面只有一条可以满足,就是免责。我们可能会投入很多信息建设的费用,这里要求10%到15%是信息安全必须的,网络安全必须的,但这就能解决安全问题吗?这可能是互联网+安全的最基础的一步。但是我们认为,或者从技术角度去看投入了这么多资金,在整个信息化建设里面,也仅仅是一个免责。包括我们现在说的高级的系统要分级保护,重要的信息化系统要登记保护,跟我们现在每一个信息化建设都要达到什么什么比例投入,但这都只能做到免责。关于漏洞和病毒都有说法,今天解决所有的问题,不知道今天晚上10点会有什么新漏洞出来。所有的操作系统和技术都在每天更新,更新以后就有漏洞,所有黑客也在全球24小时的工作的,在中国的黑客今天把病毒解决了,可能美国黑客晚上12点就有新的病毒出来,所以这个问题是道高一尺,魔高一丈的游戏,风险永远存在。
提升互联网安全怎么来看这个问题?刚才提的都是一些危言耸听的,那就不做了肯定不是?那现在用户要求的安全问题或者想法是什么意思?大家都在想一个基本的,原来没有“互联网+”的时候,所有厂商给我们提供服务的时候,所有的银行、连通、电信、移动大家都有一个想法,你给我提供任何服务,默认是安全的。我存钱到银行肯定安全,我买了电信手机打电话肯定安全不会有人窃听,你也不会窃听我们的东西。腾讯有QQ的时候大家也不会考虑到会不会泄密,还有微信上跟他的情人约房,不知道这个是不是公开的。
就是在大家潜意识里应该提供给我的服务默认是安全的,我可以说随着互联网+时代来临,提供给你们所有的服务默认都不是安全的,这个是肯定的,这个回答是肯定的。
我们开始考虑第一个关键点,美国友一个审计指南,拿全球最顶级的互联网安全的概念,把20个关键点全部梳理出来了。自动化实现这一块是提供一系列的产品和技术支持的,在它的系统里考虑。把这个展开是相当大的一个观念。在服务支撑是靠人力或者靠它的服务体系来完成它整个的安全。像在中国我们在提互联网+这个概念更应该落实到位。
这是互联网+安全的角度应该去考虑的出发点,当然这主要是从体验这个平台,因为互联网+是云计算为基础,大数据为基础的,首先要考虑是数据中心的安全。同时一定要搞数据中心和它的终端,或者对一个企业来说是分支机构的安全。还必须考虑跨平台应用安全,因为在云计算技术带领下,大数据概念下,跨平台是完全不可避免的事情。
最后我们想要更深度解决“互联网+”的安全可能还要考虑整个安全的风险、感知和预警。一一提到云计算中心的安全可能是整个安全最核心的点了,跟原来的信息安全有天壤之别,原来是封闭系统,访问量、流量都很小,如果上升到“互联网+”,上升到全民,一直到云中心去要解决几个大漏洞。第一是性能挑战,可能是云服务商提供给全球类似的企业或者全球各大企业租用的时候,性能问题会是安全的挑战。
还有可靠性一定很重要,这里没写。到了云服务厂商提供了1.8万家企业的云服务,我要出可靠性问题可能造成的灾难是巨大的,无法晚会的。所以考虑的更多的是可靠。
在整个互联网+里面被忽略最重要的一环或者最突出一环是我们叫分支机构,或者终端安全,我讲智慧城市的时候讲了一下,在公安网络里它是专网,如果专网是物理隔离不会有问题,但是它是延伸到每个街道的每个摄象头都是物理连通的,这个物理连通要想从中找到一个突破点是非常简单的,是没有任何技术门槛的。那你说终端安全对云衷心的安全或者大数据中心来说就是最薄弱环节。有一个统计,所有的安全67%是从最薄弱环节突破,包括你是大企业,比如最大的IT企业最牛的,突破它可能很简单,就通过分支机构,分支机构的安全可能很薄弱,你的数据,你的总部能力非常强,但只要突破分支机构就可以。所以解决了云计算和分支机构的安全还要解决数据中心及分支机构安全互联。
这也是要重点考虑的,从整体安全保护要考虑更多高性能的安全设备,以及到分支机构性能相匹配的终端安全考虑以及服务的考虑都在里面。
跨平台刚才讲了是整个互联网+里面需要重点考虑的,可能是从安全与软件一体化,包括无处不在,包括安全对用户透明,包括安全成为通用组件跨软硬件平台的安全考虑,这是在整个体系里都要部分考虑到的。
这是云计算安全行业的新热点、新挑战,刚才谈了很多。可能涉及的技术都非常多,成为企业IT不可逆转的历史潮流,所以这是需要大家关注的。
这是现在提得比较多的概念,ASP,就是应用安全保护解决方案,跨越云、互联网、移动互联网、物联网的平台,这是东软在“互联网+”安全的角度有的一个深入思考得出来的一些积累。
这是刚才提到的互联网+里面一个很关键的领域,就是风险态势的多视角感知,可能你解决一系列的安全问题,你构建了一系列的安全措施,这个安全措施带给你的可能是一种心里想象。在这个过程中我们可能遇到很多新的,漏洞或病毒,这风险态势都要注意,真正构成安全体系很关键的一个部分。
这些图形都是系统里截出来的,都是真正能够实现这种风险感知的系统建设的一个体系。这是风险感知平台,可以从各个角度来建立或者考虑整个系统安全,同时在事先要打基础合规落地,事中要有威胁行为感知,事后要求发展,滚动更新指标体系。才能够做到刚才提到的风险感知,同时不断形成一套完善的安全体系。它可能才是真正做到互联网+下的安全。
我谈了很多跟我们相关比较多,前面谈了一个更大的话题,就是“互联网+”的安全是承载国计民生,承载了国家大事。更大的可能针对国家安全,可能今年7月1号全国人民代表大会投票通过了《国家安全法》,昨天是网络安全法的意见征求截止。包括习大大亲自管理的安全信息化领导小组的组长,他提出没有信息安全就没有国家安全,没有信息化就没有现代化,充分说明在互联网+的时代国家安全可能是我们真正更应该做的。
从民政角度考虑互联网安全第一需要大家的意识,第二才是说我们企业技术的积累不断弥补这些漏洞,不断地防范为大家提供技术的支撑,第三是为大家提供服务的企业,可能他们在这里面提供安全的门槛,提升防护意识。最终需要在目前阶段最重要的是国家法规,包括国家安全法等等,这是现阶段最重要的。
在“互联网+”的领域可能真的需要全民皆兵,我们会经常听到国家一个很危言耸听的词,就是现在可能不爆发大的战斗,但是我们可以清晰认识到网络天正天天打,而且我们还有一个认识,我们打的是一场不平衡的战争,我们的技术各方面和他们不在一个层面上,但是这种产生天天发生,对国家的安全,这种安全不能说指日可待,但却是是大的危险。每个人的隐私、数据都会随着这种专门的爆发成为黑产市长的一个商品,可能人才是“互联网+”按照应该提供给我们最深的思考,谢谢大家。