摘要:本文介绍了网络安全的特点、本质及核心内容,全方位的网络安全应该包括五个维度及要求,在云计算环境下,我们应该怎么做好数据安全及相关建议。
邵国安 国家信息中心高级工程师
在座各位可能有甲方用户,可能有云计算的开发商、技术总监,你的安全理念决定了你的云计算怎么用得好、怎么好用。习大大说了“理念决定行动”,如果仅就云计算考虑安全问题,安全问题是做不好的,一定要从整体来考虑安全问题,才能把云计算以及云计算环境下的数据安全做好。
习主席的“4.29”讲话已经两周年了。总书记讲到的这些有多少是落地的?比如,全天候全方位感知网络安全态势。网络安全的指向和含义是不一样的。全方位包含哪几个方位?云计算是不是该考虑?比如,终端安全是不是该考虑?比如,云计算应用该怎么考虑?在座各位都有微信,微信就是一朵云,你不用关心它的安全,那是腾讯公司负责的。但是,在座各位有很多是云计算的建设方,或者是云计算的开发方,你应该怎么考虑安全问题?我作为甲方,我的运算要放到云服务上去,我应该提出哪些要求?作为开发方,你是不是要考虑用户有哪些要求?怎么满足用户的需求?两年过去了,领导的讲话我们是认认真真学精神、轰轰烈烈走过场。在这种情况下,我们怎么落地?
怎么树立正确的安全的理念,对于你的行动是有密切关联的。我问大家三个问题:网络安全的特点是什么?网络安全的本质是对抗,对抗的背后是什么?网络安全的核心到底是什么?
网络安全的特点,它的时效性、复杂性、专业性及不对称性。你发现了攻击和问题是必须要马上处理的,这是时效性决定的。如果是共有云,如果你的网络没有连上互联网,就是专有的私有云,我们不去考虑。只要你连到互联网,是不是在任何时间、任何地域都可以访问到?你永远不知道你的对手在什么时间、用什么方式对网络发起攻击。这个结论是正确的。你应该怎么做安全?你的对手都是有国家背景、有组织背景的专业人士,在座各位有多少本事能够对抗美国的顶级黑客?网络安全做到最后一定要通过国家的力量,我们应该怎么办?
我先提出一些问题,给大家介绍一下我的理念。我们可以拿着习大大的讲话去找领导要钱。领导是这么说的,按照领导的要求,我们要达到全天候全方位,我要找专业的分析人员和专业团队,你得给钱。
从安全来说,你首先要保护自己。如果你是做安全的,你永远不知道你的对手从你这里拿走多少数据。你花再多的钱都不敢拍胸脯说百分之百的安全。这种对抗是组织、国家和个人之间在互联网上的智力博弈,这种对抗的背后是国家的力量、人才的竞争、技术的竞争,技术是第一定律。在美国能用,在我们这里也能用。问题是我们怎么把全球的先进理念用到我们的网络安全上面来。
在这种情况下,网络安全的核心是专业的分析团队和情报的共享。我们国家现在能做到吗?大多数的安全厂商都是卖盒子的,卖盒子是基于对抗的吗?你的电视机不坏,十年也不会找厂家。但是,你买个防火墙,你放到上面去,你如果不找厂商,可能他也不会找你。放上去有用吗?没有情报的共享,今天发生了问题,过两天,同样的事情在其他地方同样发生。我们的文化和理念就是大事化小、小事化了,有事情我们自己处理掉,能不报就不报。美国是怎么做的?一类比较重大的安全事件是需要重复研究,通过立法防止此类事件重复发生。
我摘取了美国网络安全国家行动计划里面的一段内容,在复杂的网络情况下,单个机构已经没办法应对,不再让单个机构单独建造、运行和维护IT设备。也就是集中。这个结论是对的吗?我认为是对的。我们国家的理念是谁运营谁负责、谁主管谁负责、谁使用谁负责。现在还是这个理念。2007年中办发27号文,里面讲的就是这两段话。到现在已经15年了,还是这个理念,还是这个要求。我们的安全应该怎么做?
在我的观点看来,需要重新认知网络,对网络安全的常态的实时的监控,而不是设备放在那里不管了。等级保护是网络安全的最低要求,对于网络应用、数据的实时监控是你应该做的。
重新认知用户是什么意思?比如,你是一个公务员,你有一张数字证书吗?基于单位、基于身份、基于角色的访问,有多少单位做到了?90%都没做到。我们是不是应该重新认知用户?
重新认知流量。如果有异常的流量,是不是应该马上预警?我们知道吗?我们基本上都不知道,我只知道上网速度慢了,什么原因造成的?不知道。
要重新认知对手。在互联网上,只要做安全,一定要从全球的维度来考虑安全问题,只盯着自己的云计算是做不好安全的。你的对手一定是全球的关注你的这些黑客,他们有国家和组织背景。在关注过程中,战术、技术和过程都是你要关注的。比如,对你进行DDOS攻击,这是一种战术,但它的目的未必是把你的网络搞瘫痪,目的可能是通过挖掘未知的漏洞来获取你的数据。整个过程是不是我们要必须关注的?
苏格拉底说“智慧源于对术语的定义”。讲到网络安全,每个人对这个术语的定义都是含糊的。比如,你的产品开发有没有基于术语和概念的定义?华为公司的所有产品首先把概念和术语定义清楚,再做产品开发,所以华为能走到世界上去。
我们国家所有的文件出来,第一是什么?指导思想。美国政府有一本专门的术语定义,包括欧盟、北约,我们是不是应该好好借鉴?我们国家在这个方面做的特别差。除了国家标准有术语定义以外,其他所有的技术文档有一张术语定义吗?基本上没有。
随便举一个例子,我们讲的网络攻击、信息跟美国人的定义是不一样的,脑子里想的也不一样。在全球一体化的网络安全过程中,你怎么跟人家对话?讲的都不是一样,鸭和鸡怎么对话?
全方位的网络安全应该包括哪几个方位?你们是不是这样想的?网络边界的安全,我给它的定义是国家关键基础设施和互联网连接点的安全,这是网际的安全,我们国家整体缺失,没有人研究。美国的爱因斯坦是可以对照的,但我们国家是没有做的;安全防护就是基于动态的实时的安全防护,你认为我们做的好吗?基本上也是很差;终端安全,我们国家到目前为止还没有对终端进行定义,我们的等级保护到2.0还是主机安全,各位的脑子里一会儿是服务器安全,一会儿是终端安全。我对终端的定义,所有的笔记本、一体机、PC终端,还包括你每个人身上的移动智能终端,包括可穿戴设备、物联网的前端设备,终端的数量特别庞大。我们讲云管端,端不定义清楚,怎么做安全?我们跟360交流,360认为交换机、路由器也是终端,你们认为对吗?云管端到底包括哪些方面?我最近看了网络安全知识体系框架,里面提到连接安全,管就是连接。我们现在讲的所有互联网,3G、4G、5G,包括WIFI、卫星通信,都是属于连接要关注的安全问题,包括交换机、路由器。端就是终端,终端可以分成两大类。按照我的方法论,复杂问题是分解,而不是眉毛胡子一把抓。怎么分解?终端安全是两大类,一类是人口终端的绑定。还有一类是物联网设备跟后台数据、前端的数据采集设备;应用安全,云计算是提供基础设施服务,应用安全是什么?我理解应用安全应该是身份认证、授权管理、责任认定、应用软件、源代码的安全、服务器的安全,我给主机安全的定义是服务器裸机加操作系统。它的定义清楚了,你的安全、目标、指向才会很准确;数据安全,应该怎么做?按照我的观点,云计算一定是今后的发展趋势,它的应用会越来越多,数据也会越来越多,它带来的安全风险也会越来越大。云计算上的数据安全应该怎么做?数据的采集、传输、使用、销毁要进行全生命周期的管控。数据安全怎么做?数据的分级分类、原数据的标准,以及对于敏感重要数据的加密存储。这五个维度是我理解的全方位的安全,希望对你们有点启发。展开分析,我们每一块都做的不好。
这是一个扇形的防御体系,从网际安全到数据安全,最重要的是关注数据。数据要作为你的资产来保护,网络是保证畅通。但是,现在眉毛胡子一把抓,讲到安全问题,先把网络分开。你怎么做安全?看来是没办法做的。这个图也不是我发明的,这是2003年美国的博士艾伦公司跟美国国土安全部做交流时用的一张图。你的理念决定你的行动,决定你后面该怎么做。在做安全防护的时候,你不仅仅要防范来自外部的网络攻击行为,还要防范来自内部的网络数据窃取。如果你是甲方用户,你一定要知道什么时间、什么人、访问什么数据。如果云计算服务商提供不了这些内容,你要让他回去想明白,你的数据和应用系统就不能上云。
智慧源于对术语的定义,术语一定要定义清楚。现在都在说网际的安全,眉毛胡子一把抓,防火墙也是网际的安全是不对的。
明确界定网络安全的概念和定义,要形成一致的认识和框架,这是做好网络安全的基础。没有这个基础,真的是有问题。
这是我们准备出的标准,下一步要上升为国家标准。现在对网络攻击的报告是没有分级分类的。国家安全标准有对安全事件的分级分类,这个标准是已经形成的安全事件的分级分类。你说我们的安全设备一点没有用吗?还是有点用吧,至少可以挡住30%的网络攻击。比如,邮件的暴力破解、拆口令、授权访问,还是有一些安全措施可以阻止这些恶意行为的。但是,你该不该分类?该不该统计?如果这些都做不好,你怎么做安全?
在座各位一定有体会,网信办、公安部发起的“2018护网行动”,它对你的网络进行探测、访问,发现你的漏洞,这跟黑客攻击的特征是一样的,你该不该区分出来?比如,电子政务的数据往美国发、往台湾发、往俄罗斯发,该不该预警?但这都是正常的,我们的安全设备连个日志都没有,你能发现吗?你的数据泄漏怎么办?
讲到云计算,你要把概念弄清楚。现在天天在炒名词、炒概念,云计算炒三年没新意了,现在在炒物计算、容器计算、边缘计算,看问题要看它的本质。对我来说,腾讯的云是一个云,跟我法任何关系,我不用关心它在哪里,我只要使用就行。如果你是打开机房的门,云服务提供商和建设单位告诉你也是一朵云,你怎么办?你是不是让他回去把云搞清楚?打开机房的门,你看见的一定是服务器、交换机和存储设备。数据机是linux,在VM上面再部署应用的操作系统,每一块都要弄的很清楚,才能把安全放上去。
很多省里面把应用部署到云上去以后就发现数据永久丢失。我的观点,他们很多的是把镜像副本快照和备份混为一谈。备份定时、定点,是RPO、RTO的概念。你可以离线备份,可以把备份的RPR和RTO分出来。镜像副本为了保证可靠使用,可能有两到三个副本,更夸张的可能默认七个副本,占用存储空间。如果误操作,这七个副本全部是零。怎么办?你在做应用迁移的时候,先做好备份。你可以承受的数据的时间点,5分钟,或者半个小时,数据丢了就重新输一遍。这些概念和理念一定要弄清楚。
云计算的特点和安全要求。云计算是什么特点?资源的动态调度和业务的快速部署。这是云计算的最大特点。基于这些最大的特点,还有第三方的引入,也就是云服务商的引入。我的观点,你应该怎么做安全?基于主动的安全防御、主动的漏洞扫描。核心的问题用户、云租户和云服务商的边界责任一定要通过纸面落实下来。这是一定要做的。有些东西,云服务商跟你交流的时候,胸脯拍的很响。你一定要让他落到纸面,他就不敢写了。比如,省里的数据不能出省。这个要求很正常吧?贵州省的数据哪一天在杭州发现了,有没有问题?你问他敢不敢拍胸脯,我的数据肯定不出事。
在这种情况下,数据安全应该怎么做?全生命周期数据的管控一定是我们考虑的,数据从产生到传输、使用、存储、销毁整个全生命周期的管控,它要贯穿于整个云计算数据的全过程。
去年的“5.18”爆发的“想哭病毒”,很短的时间在150个国家爆发。很多人都在讲它造成的危害,但很少有人关注它背后的根本原因。根本原因是美国国家安全局部分的网络武器库的曝光。网络武器库曝光以后,所有国家的黑客都在研究这些文件。黑客的感知能力、作战能力、隐藏能力都在增强。对于做安全防护的人来说,是不是挑战更大?
2015年,美国OPM指控中国的黑客偷窃了美国联邦雇员400万雇员的个人信息。公安部到美国去赔礼道歉,这个事情是我们有错。这个黑客是OPM攻击的主要成员之一,他认为没事了。去年到美国去开会,开完会就被FBI带走。我们自己能发现是哪个黑客来窃取数据吗?我们有这个能力吗?
在互联网上,一定要牢记这两句话:
“若成为入侵目标,你总会是目标”。全球的黑客关注中国的政治、经济、军事、科技,总有一点是他关注的,你今天处理掉了,他明天又会来,所以要持续的关注。这就是安全基于对抗安全的特点。
“你必须放进来的,你就无法进行阻拦”。比如,邮件、门户网站是必须开放在互联网上的,现在的APP90%以上都是通过邮件。在这种情况下,你是不是应该重点关注用户、重点关注人?
在安全理念下,一定要基于对抗做安全,核心是保证数据的安全。没有网络安全就没有国家安全,国家的关键基础设施的安全跟国家安全相关。保证国家关键基础设施的安全,保证网络安全,于无声处捍卫国家安全。这就是我们的使命。