李雨航:国际网络安全实践
李雨航:大家好,非常荣幸能够来到中国网络安全大会。我知道这是第四届,第二届的时候我也收到邀请,当时因为签证的原因没有能够来到会场,所以今天就弥补了这个遗憾。我代表云安全联盟,大家也知道,除了云安全联盟之外,我还有其他的职务,包括在华为,在一些大学。这次我给大家分享一下国际网络安全的实践。
大家可能现在非常清楚,网络空间我们叫做“第五域”,我把这个定义放在这里,就不细读了。大家可以看到,我们这个网络空间包括了很多网,另外它的基础是有光、电、磁,我把等离子体写到这里,等离子体可以用来做通讯的工具。下面我花了海陆空天,从人类的发展历史上来看,我们在物理空间做安全已经做了很长的时间,我们在物理空间做安全这些经验,在我们做网络安全的时候有很多值得借鉴的。比如我们人类在陆地上做安全可能有万年的历史,在海洋上有千年的历史,在天空上有百年的历史,网络空间和太空是比较新的,可能大概也就是从60年代开始半个世纪的历史。但是我们在物理空间做网络安全的经验,实际上有些是相通的,后面大家可能会看到。
对于网络空间来讲有非常多的威胁,主要的威胁我现在提了这四大方面。从政府、企业甚至消费者来讲,他们实际上关心的是自己的一些权益,比如说外国网军的监听,大家也知道,政府实际上是非常担心的,不仅是中美之间,大家可能知道有很多担心的事件。包括全世界各个国家,比如我在国外走访的时候,我见到土耳其的总统,他很担心叙利亚的政府对他的监听。我到印尼,跟印尼总理聊,他们担心澳大利亚政府的监听,这是对于政府层面的威胁。还有网络进攻,大家也知道黑客这些犯罪分子进攻是越来越猖獗的,大家看网上的这些报告,每年的安全事故,这个数字越来越多。当然还有间谍行动,内部人员的商业泄密,在很多企业都是频繁发生的。
右下角这个大的威胁是新兴技术。大家也知道,我们现在也很多的新兴技术涌现,目前移动物联网、云计算、大数据,以后ICDN、NFV、5G,还有智能,这些新兴的技术会对整个网络空间带来非常大的安全挑战。比如前几天我们在华为有一个内部的战略大会,我们把全球的顶级科学家,不管是研究机构、大学,还有各大主流厂商,世界五百强的领军人物都叫过来,大家都展示了他们未来技术的战略、架构和核心技术。我看到这里边大家都在做连接,把数据分享。但是对于安全,大家都没有把它涉及进去。如果在座的有参加黑客大会的,可以看到黑客可以很容易的把各种设备都轻易的攻破,只是现在这些目标太多了,这些黑客的时间有限,他们可能是关注一些价值比较大的目标。
如何应对这个问题呢?在国际上大家已经开展了这方面的工作了。从云安全联盟的角度也好,还是其他大厂商,在这方面有不少实践经验。基本上做网络安全战略是跑不出这七个大的领域的,不管是你在哪个单位,你对我刚才前面讲的这四大方面的威胁关注多个,或者是关注其中一个。在实践方面是这七大块,有的单位可能七块都要做,有的要重点的做其中某些方面。这个内容是我刚才讲的第二届网络安全大会当中我本来准备给大家讲的,今天我把这个框架给大家说一下。
第一是发展基于风险的方法。
大家都知道,实际上业务并不是对安全很Care,他非常关注业务的上线,业务的成功,安全只是一个保证。我们做安全的人员,比如说你对于一台服务器做了攻击,你能够在里面拿到许可,甚至拿到管理员权限,这是不是就是很严重的问题呢?如果这个服务器是企业可能要淘汰的,他根本就不用,这个问题对于企业来讲没有什么风险的,我们评估风险要从业务的角度看问题,给业务带来的风险。
第二是有了风险之后,我们还要建立优先级。
从大的层面,大家现在也知道,我们到底是把安全的投资放到防护、监控、事态感知还是事后的响应恢复,还是怎么平衡?另外在这个方案上,我们有很多产品,很多产品集成一个方案,哪些产品是风险最大的,我们一定要识别。因为安全和投资是紧密相关的,我们不可能有无限的资源来做安全保障工作。甚至是对于模块,我们也要识别优先级,比如一个模块可能牵扯了好几十个协议,可能有十几个接口,那么这个里面哪些是高风险的,我们都要做优先级的这种识别。
第三是协调威胁和漏洞警告。
这是非常重要的,因为现在黑产是整个产业,如果出了一个事,可能要形成多个单位。我们各个单位之间的协调,大家的安全互相通报,做安全情报共享,做威胁情报和事态感知都是比较重要的。
第四是打造响应能力。
如果事件发生了,我们一定要快速恢复。如果恢复不了,这个可能造成的影响比攻击更大。比如几年前RSA被黑客攻击了,把数据库里面RSA的Key都拿去了。当时他发现了这个问题,黑客进攻的时候他都看到了,只是说响应很慢,所以造成的影响太大了。
第五是教育公众。
刚才陈钟教授也讲了,公众教育非常重要,技术的漏洞在那里,人的漏洞实际上是更多更大,很多黑客,刚才我讲的各种威胁是利用人的漏洞,比如APT的威胁,最开始是利用人的漏洞,利用人的弱点去点击一个连接,看一个邮件,做一些事情。所以我们对于公众教育和培养人才,这都是极端重要的。
第六一定要有安全预算投资在核心的技术和研究方面。
我们一定要把安全嵌入,ICT的产品嵌入我们网络空间的基础里面,才能够把这个基础打好。
第七是全球思维。
我想这也是为什么我们开这个大会,我们要学习国际的先进经验,另外中国的经验也要介绍给全球。网络空间是全球的,并不是某几个国家的,所以我们必须以全球为范围,一起把网络安全的工作做好。
以前这个会议的名字叫Internet Security,今年改成Cyber Security,这个名字改得非常好,网络安全实际上跟信息安全相关性是非常大的。但实际上差的并不太多,对有些单位网络安全是指的产品安全,信息安全是保护企业内部的系统。有些单位实际上是不分的,就叫网络安全或者是叫信息安全。
下面我把几个案例给大家讲一下,作为实际的例子。
第一个案例是云安全联盟。
云安全联盟是一个国际行业标准组织,2008年、2009年开始成立,它做的工作是四大块威胁,选取了新兴技术的威胁,从云计算安全起家,对于新兴技术的安全做研究,把成果提供给会员和业界。左边是我们已经做了不少研究工作,现在我们也近千名的专家,分成了30多个工作组,这是其中一部分工作,已经发布了。还有一些工作目前正在进行,比如陈主任刚才讲的,移动APP安全,我们也有一个工作组目前在进行这方面的工作,建立标准,建立评估监测方法和工具。这里面有一些研究工作,待会儿我给大家介绍。比如说量子,我们最初起家的是云安全指南,现在已经有第三版了,这个有中文的,大家可以到中文网站下载,如果没有的话,可以联系云安全联盟,我们可以给你提供中文版。我们把这些研究成果提供给我们的会员,我们会员现在在全球有300多家,都是世界五百强的科技公司,还有安全公司。目前在中国也有很多中国的企业加入会员,比如大家看到阿里云、360、华为,还有很多安全公司,腾讯是马上就要加入了,下个月腾讯的云计算大会上,腾讯会宣布加入CSA的会员。如果在座的单位有兴趣,也可以线下跟我联系。我们的个人会员有7万多个,在中国有一个公众号,最后我会给大家,大家关注就会成为个人会员。在全球我们有4个职业大区,有美洲区、欧非区、亚太区,大中华区是最后一个。在全球我们有100多个地方分会,基本上每个超过百万级的城市都有CSA的分会,在中国已经有了十几个了,比如北上广深,都有我们的分会。工作组已经介绍过了,我们是以安全研究作为核心。
在中国我们正在建立第一个产品级的国际安全标准。大家也知道,现在业界有非常多的标准,这些标准一般是针对整个安全体系,主要是管理,比如ISO-27001。除了我后面要讲到的,基本上没有一个统一的安全评估监测标准。我们CSA大中华区最近成立了工作,一个产品级的云安全和大数据的安全标准,包括产品的功能和评估。现在参与的有很多单位,在华的比如华为、亚马逊、微软、英特尔、甲骨文、VMware这些主流厂商都在工作组里面,10月份我们可能就要发布这个标准了,这只是一个例子。
在核心技术研发方面我们有很多项目,比如软件定义边界,高度安全网络那些都不讲了。我挑一个例子,这是一个未来的量子计算,我们有一个工作组,大家也知道,量子计算还比较遥远,但是很多科研机关和安全公司已经开始做这方面的准备工作了。这个理论实际上是比较早的,是爱因斯坦在20多年前就提出了量子纠缠理论,这个理论是保障量子加密是绝对安全,有三大物理定律来保障这个绝对安全:一个是量子互补原理;二是量子不可克隆原理;三是量子不可确定的原理。八九十年代逐渐有了量子密钥分发协议,才走向了实用阶段。目前国际上几个量子公司与云安全联盟的Quantum Safe,以量子安全的框架为基础,来做量子安全的工作。现在大家在市面上实际上已经可以买到一些量子加密机,但是根据我们的试点工作,它在云计算里面实际上目前还不能适用云计算的场景,还有相当长的时间把这个工作完成。
从攻击者角度来讲,量子首先是绝对安全,但是还是可以被攻破的。有几个大学,比如MIT和多伦多大学的安全研究者,他们就把量子加密攻破了。但是这个攻破并不是说这个理论不行,是实现的问题。刚才我讲这个协议,这个信号是要消除噪声的,因为现在这个噪声很大。如果要是噪声不能消减到20%以下,那么黑客可以利用这个漏洞来攻进系统。以后通过对于技术的改进,把噪声削减,这个量子技术实际上是可以越来越接近理论的。
我们刚才讲到网络安全人才培养是非常重要的,CSA在这方面也是有布局。我们跟西安交大、麻省理工学院有合作,准备开CSO班。大家也知道,网络安全有很多角色,除了首席网络安全官,下面还有各种各样的做研究、做工程、做测试攻击的,有很大的人才缺口。这个CSA班举两个例子,我们的目标是培养人才,要变成企业的CSO,这两个头像,一位是前微软CSO,Schmidt,是领军人物。第二是华为的全球首席安全官,以前是英国的首席安全官和首席信息官,都是业界成功的榜样。所以我们现在设立这个班以后,还有其他的课程。最下面这个是C-CCSK,是CSA的一个认证课程,云安全基础理论。如果大家走到CSA这一步还有距离,可以从最基础,CCSK起来,在中国我们最近已经办了好几期课程了。
第二个案例,CSA的高级会员微软。
我以前是微软的首席安全架构师,先看一下微软的组织架构,微软在PC时代在安全领域是标杆。实际上这个组织架构,在新兴技术的威胁下并不能够完全的合适,十几年来,微软是采用这个组织架构,大家看到他是一种联邦制的。他有网络安全TWC,当时2011年我支持比尔·盖茨一起搞起来的。这个是信息安全,下面是运维管理,物联网的安全,最右边这个是物理安全。每个大的安全部门都有自己的CSO,是一种联邦制。CSO要汇报给一个执行副总裁,最后才到CEO那儿,所以这个安全实际上是比较分散。当然这是有历史的原因,公司的规模比较大,这些产品都是很分散的。另外每个大的工程团队,大家也看到,视窗、Office办公室,这些工程团队里面也有专门的安全团队。另外还要跟法务、合规一起整合起来,这是微软的一个组织上的架构。
做的比较好的地方是Security Development Lifecycle,是安全开发生命周期,这个实践不仅在微软应用了十几年,现在在业界很多公司都已经推出去了,还是比较有效的一个实践。它的中心思想就是要把安全打入ICT产品研发的流程里面。因为如果依赖安全测试团队和第三方外部的安全公司,最后做这些检测实际上已经晚了,那样投资会非常大,而且会发现问题很多,也不好改。安全最好的办法就是我们讲在安全生命周期的最上游,越往上游做,安全越有效。我就不细讲了,在这个周期里面有很多的阶段,比如培训、要求阶段,设计、实施、验证、回应,大家可以到微软的网站上有很多材料。如果大家需要培训,云安全联盟有一个专门的培训课程。
再下面是安全建模,是Stride模型。这个模型是刚才我讲的一部分,怎么样识别威胁。这个也是微软用得比较好的,现在受到了全球的承认。比如说欧美这些政府和企业,实际上也是找了很多威胁建模。最后发现,特别是这种ICT开发厂商,实际上跟ICT的流程结合得最好,都是采用微软的模型。它这是有流程,还有模型,我就不打开了,大家到微软网站能够看到详细的,如果需要培训的话,云安全联盟也有培训课程,在这个流程里面分了四个阶段,对于这个威胁是分成了六大威胁,根据这几大威胁要做一个安全架构图,特别使数据的流程图,根据这个流程图,你就可以比较好的识别这个威胁,可以在设计阶段就把这个风险堵住。
第三个案例是华为的例子。
华为是从2011年才开始大规模的对网络安全进行投入。刚才我讲的,华为要把前面三大威胁方面,网络进攻、新兴技术、间谍活动都要包容进去,政府网军的攻击他认为可能是这个企业跟政府的网军力量不太匹配,这方面并不是目标。所以大家可能以前听到过美国的国安局进攻华为,国安局的力量非常强,不光是美国国安局,英国的国安局相对等的,跟我都是伙伴,都非常熟悉,进攻力量都非常强,就是美国的八大金刚都抵挡不住他们。所以大家对威胁做防范的时候,要根据风险来考虑。
华为要把自己的ICT产品做成最安全的,建立一套网络安全体系,任正非发表了一个声明,华为与其他企业的不同点是,他认为安全至上,安全是华为公司最关键的战略。他对客户承诺,如果出现了安全问题,华为不惜一切代价,要把这个安全问题解决掉。甚至华为公司有了这个业务损失,也要不惜一切代价,以客户的安全利益至上。所以我想业界还没有哪个厂商敢于像任正非一样做这个承诺。
在这个承诺之下,任正非搭建了一个非常庞大的安全体系,当然这也是经过了5年才逐步完善。我来这个大会的前几天又有了一个新的重组,实际上只是一个微调,还是差不多的组织架构。大家可以看到,华为跟微软是相当不同的,它是公司化的,任正非发表了声明以后,他作为第一把手,对安全非常重视,来进行投资。刚才我讲过华为的首席安全官,大家看到任正非下面的GICPO,他来作为核心,一个大的首席安全官,掌管全公司、全球所有的网络安全,包括战略和执行。因为华为公司很大,搞安全的可能有几千人,部门也非常多,最新的架构可能有20个以上的安全部门,绝大部分部门都是跟业务整合的,在下面这个框都是跟业务结合起来。这一块是跟其他厂家不一样的,大家可以想像成这是华为帝国,这是他的御林军,蓝色的是完全独立于产品和业务的,我们叫做对云业务产品都不相信,我们要做独立的审核检验,所以等于现在我算是进军教头,其他很多部门也是安全的总顾问。
这个框是所有业务的总裁,就是华为所有业务的领导人,董事会的,全部在这个委员会里面。这里面做最重大的决策,比如安全和业务有冲突了,我们业务要上马,还是因为安全的原因不准他上,是在这个委员会进行决策。当然如果公司是有章程的,我们首席安全官有否决权,很多产品在发布阶段就被御林军挡住了,不准发布。这些产品部门如果安全做得不好,他是会受到惩罚的,有很多惩罚机制,包括轻则扣他奖金,重则降职,甚至是解雇。
这是华为的安全战略任务,我们分了十大安全战略任务,支持全面的安全战略,我就不细讲了,大家可以到网上下载,这些资料都是公开的,就是怎么样建立安全战略,到我刚才说的独立的安全保障,到最后产业链、制造工业4.0、交付、运营、运维,最后的审计,华为都有很多先进经验。我们这些先进经验都是要传递给业界的,在全球讲了很多,这是任正非在沃达丰,是乌镇大会上,下面这是我们的首席安全官。
刚才讲了,华为有几千的安全人员,这是我们的顶级安全专家。大家看到,除了我之外还有我们的首席安全官,还有我们的安全研究院院长,他在新加坡,还有我们的安全咨询业务总经理。当然我们需要很多人,现在空缺很多。我来这个大会,一个是支持宋主席,另外一个是招聘方面给大家透露一个信息,我们需要有这种战略思维的人才,有攻击性的人才。刚才大家看到我们的组织架构里面,各个部门都需要很多人,我们需要首席黑客,要有一些进攻型的人才,另外战略型的都需要,大家有兴趣都可以跟我讲。
第四个案例,这是我们的一个战略合作伙伴ISO。
大家很熟悉ISO,安全委员会主席跟ISO是紧密的合作伙伴,我们需要一些标准来打通全球网络安全的产品互通。这些标准我下面写了一些,未来的标准是跟刚才陈主任讲的移动APP结合得非常紧的,我们移动安全应用的检测标准会由CSA发布,也将变成ISO的国际标准。
第五个案例,US Government。
我也不讲太多了,最近大家听到了美国的网络安全行动计划,投资了1900亿美金,所以他这个网络安全能够保持在世界领先。
第六个案例,European Union。
今天是一个很重要的日子,今天英国公投,我们尊重英国公民的意愿,我相信英国能够做出正确的抉择。
中外的差距与建议,我简单从高层讲一下。一定要有一把手来抓,在国家这个层面我们已经做到了。习主席可以说是中国的CSO,有网信办的支持,以后需要制定国家战略,实际上这个战略已经有了,像习主席在乌镇大会,在4·19的网络安全座谈会上的讲话,把要点实际上都讲出来了。在企业方面,大家也要考虑,就是学习国外的先进经验,建立CSO机制,在网络安全方面一定要有投入。另外对安全培训,像刚才陈教授讲的,还有安全保障、合规认证,各个方面大家都要有足够的重视。
今天我就讲到这里,我们的公众号是csa_china,谢谢大家!
相关文章
- 1条评论
- 听弧里予2022-06-12 04:29:16
- 把手来抓,在国家这个层面我们已经做到了。习主席可以说是中国的CSO,有网信办的支持,以后需要制定国家战略,实际上这个战略已经有了,像习主席在乌镇大会,在4·19的网络安全座谈会上的讲话,把要点实际上都讲出来了。