> 主題：DT時代的網絡安全 > 時間：2015年10月14日（晚上） 主持人：尊敬的各位安全界的伙伴們，各位嘉賓，大家晚上好！ 同時，我們也向所有在網絡上觀看我們直播的安全愛好者們問好，歡迎大家來到杭州，在一個金秋送爽的時節來到我們的云棲大會。我是來自阿里巴巴集團安全部的沈錫鏞，也是今天的主持人。我相信大家經過一天的參觀學習，腦子里面肯定塞滿了諸多量子計算、生物識別等諸多前沿科技，我相信今天很多的腦洞被這些科技開啟。當我們這些突破時空限制和管理創新力量的背后，我們今天晚上在這里探討的話題是，我們的安全有沒有準備好。在論壇開始前請允許我向大家介紹今天到場的重量級的嘉賓。他們是：公安部信息等級保護評估中心主任張宇翔，中國電子技術標準化研究院信息研究中心副主任劉賢剛，Matthew Cheung，Gartner Research Director，阿里巴巴集團安全技術副總裁杜躍進，阿里巴巴安全研究院吳翰清，還有我們阿里巴巴資深專家方興。來自于我們杭州安恒信息技術有限公司首席安全官兼高級副總裁劉志樂先生，來自北京山石網科信息技術有限公司首席技術顧問楊慶華先生。當然我們也歡迎在座我們很多的朋商、安恒、江南天安等等還有在座的云盾的客戶，更多關注網絡安全致力網絡安全的伙伴們，歡迎你們今天晚上的光臨。 大家今天白天聽了很多的內容，還有很多同學相信都沒有吃完飯，我們就開始開始第一個環節，讓我們有請我們阿里巴巴集團的安全的副總裁杜躍進，用他豐富的安全的知識和分享塞滿大家精神的大腦。下面有請阿里巴巴集團安全技術副總裁杜躍進先生為我們分享安全的未來，有請。 杜躍進：謝謝沈錫鏞，本來他們對象要從我這邊走過來，我決定還是換一下。 這個報告其實大家不用太看PPT，因為這個PPT已經存在48小時以上，太老了，我想這個只是一個參考。 然后給我一個非常大挑戰的題目，網絡安全的未來，可能有人還看到過早期最開始的題目還要更夸張一點，其實這個題目是很好的，只是說挑戰確實也比較大。但是，好在我這個說對了說不對，基本上不影響大家的KPI之類的，所以可以放松一點。 我今天會從這幾個角度來說一點個人的觀點，既然說到未來嘛，未來是由于什么樣的環境導致的，讓我們的安全會走到新的情況，那在未來安全上面的常態到底是什么樣子的？然后會講一講在未來的時候，網絡安全到底有什么新的特點，跟今天不一樣的，他可能帶來什么一些新的挑戰，以及第三部分，對于這樣的未來，我們是不是有一些新的思路，或者說對我們會不會有一些新的要求，和大家做一個第一道菜，這是餐前菜沙拉。 下面說第一部分新環境。我們以前每年發布我們的年度安全報告的時候，我那時候不在阿里，都會預測一下趨勢，很多也都說得比較準，比如說2008年的時候我說，病毒要消失了，但是惡意代碼會爆炸性增長，那是2月份講的，后來也都證實了。但是，那時候是純粹從安全來看的，從安全的技術走向，以及威脅安全這個圈子未來會怎樣。我今天講的這個話題會更長遠更大一點，因為在今天，安全和過去越來越不一樣了，我們在說安全的時候也不再僅僅是從惡意代碼、終端安全、系統安全這個角度來講。因此如果說這樣的話，我們就要想一想，我們未來和安全有關的，到底什么東西會導致我們的安全不一樣？其實和我們生活的方式，和我們使用的東西，和我們工作的環境其實都有關系。所以我就畫了這樣一張圖，在最早的時候我們是在Computer，局域計算機網絡開始，在那時候我們面對的是離散的計算機，和離散的數據。你只有在局部網絡，不太可能在遠程過來數據要保存也是在服務器里面或者局域網的機器里。再往后發生了變化，我們變成了開放的廣域的計算機網絡，這兩個條件是同時存在的，一是一個廣域網絡并且開始開放了。我不是很精確的劃分，但是大家都知道我在說什么，互聯網不再是過去的廣域網。這些計算機都被聯在一起了。數據當然這時候依然是靜態的數據為主，并不像今天這樣，靜態的數據為主，我們現在要么是保護系統本身，要么是保護系統里面的數據。再往后的時候我們搞計算機網絡的這些人，開始跑到通信網絡里來了，一開始通信網絡的人看不起計算機的，我們的設備多穩定，你們就像小孩一樣，就像IBM大型機看不起PC機一樣的。但是今天所有的通信網絡也已經數字化了。今天全世界開放互聯的不僅僅是計算機了，還包括承載著通信樞紐的通信設備，也已經被開放的互聯了。這時候，數據開始有大量的流動，我們看到的很多的安全威脅，比如說國家級的一些安全，都是從骨干網絡里就有了，從路由器里面拿數據了，流動的數據，并且實現了全球的通達。當你的目標定的是一個遠在一萬公里以外的話，你在家里就可以下手了。 在往后是什么？人的信息通信網絡。就是信息不再是過去只是簡單的承載一個你說一句話，或者什么東西。把人開始連在一起了，我們在這個里面，剛剛到這個會場大家就假了一個微信圈，我們人和人就建立了聯系。你有很多網絡上面的朋友，你有很多交易上面的朋友，你在買東西的時候有商家的朋友，你在任何的消費，一個一個的圈子，這些各種各樣的社會、社交應用，以及整個社會都開始變得網絡化。好象越說越遠是吧，但是實際上想一想，跟我們今天講的安全有沒有關系，都是密切的關系的。 再往后是什么？今天正好在展廳的時候還討論到這個東西，有人說物聯網，我說物聯網其實今天已經不夠了，物聯網更多的是他們在說IOT，但是很多年以前我就有一個觀點，如果一件事情如果和人沒有關系的話他是不存在安全問題的，IOT和人是有關系的，但是只說到IOT和人關系并不是那么強，比如說工業控制系統，一個工業系統比如說伊朗核設施跟我們有沒有關系呢？有關系，但是關系不是很強。但是在今天，所有的這些所有的東西，像IOT里面的每一個傳感器，大家每個人身上都有很多的傳感器，大家家里的家電，我們外面的交通，我們坐的飛機等等一切東西，他有傳感器有網絡，都和我們有密切的關系。所以他已經不再是純粹的一個英特網，我們也在里面，是人和萬物結合在一起的網絡，比較典型的像智慧城市這樣的。而且這個時候更加是全球的跨域的通達。在這個層面的通達，是指的信息通信而已，在這個層面的通達就不一定是了，你可能會通過別人家一臺電冰箱到了另外一個銀行里面的系統。這個是新的一個趨勢。當然上面還有了。 在往后面是什么？再往后面我們面對的是一個生活甚至是生存的網絡，是我們生活和生存必須依賴的網絡了，在這種情況下，我們的一切活動都將依賴這樣的一個網絡，我們會全面的融合。我們會走到一步，現在已經往這一步來走了。 如果我們按照這樣一個趨勢的話，我們只需要給自己提一個問題，我們安全未來往哪里走？挑戰往哪里走？方案往哪里走？我們不應該像過去只看社會的安全，分割開來看一個交易系統的安全，分割開來之后看一個數據的安全，這是一個演變。 在所有看上去這么復雜的現象里面，我覺得有三個點是最關鍵的，當然這個聯還是那個連不是最關鍵的，我甚為所有的關健因素是這三個，聯通、智能、融合，一個是大范圍大家都聯在一起了，這是非常可怕的，從我們信息價值觀來說聯在一起才有價值，但是從安全的角度來說聯在一起非常可怕，而且這種連接是無時無刻的，跟你睡沒睡覺沒關系，無縫隙的，跟你用的是什么樣的設備，跟你在什么樣的場景下使用沒有關系，始終是聯著的，無死角的網絡。甚至在前兩年我覺得可以寫一部準科幻小說，名字就是連通。第二個是智能，我在2012年的時候寫了一個東西，其中我在講智能的時候，我原來就說，智能意味著機會，只不過我是從安全的角度來講的。也就是說對攻擊者來說，智能就意味著機會。我們任何一件東西，當他變智能了里面就開始有人寫的，人的邏輯變成了程序在里面，他就有被別人攻破的可能。再加上第一條，那就有被遠程攻破的可能。第三個特點是融合。不同領域的相互影響越來越強，原來我們跟工業控制系統有什么關系，原來甚至跟通信網絡都沒有什么關系，未來所有的領域相互之間都有關系。 他們帶來的挑戰我只列了一些，一是突破時空限制和管理邊界，在過去我們管理得好好的，國家有邊界，各個部門各司其職，每個人一進家門這個是我的了。現在我們已經來的東西全部都沒有這樣的，出了這件事情到底歸誰管呢？公安領域全是這個派出所管這一片，出了網絡安全事件歸誰管呢？第二個是異構環境。在過去的時候沒有像今天這樣，我自己的這一個業務系統，包括用戶所使用的環境基本上是比較單純的，甚至在更早期全是一家的產品過來。但是在今天完全不是這樣的，當你從安全的視角需要解決的問題你會發現，他面臨的環境是各種各樣的。還有復雜關系，越來越多的融合了復雜的關系，牽一發而動全身，而且還不是一個平面的，你不能劃一張通信網，通信網已經夠復雜了，通信網的整體安全風險分析我到現在也沒有搞明白，甚至都沒有人去搞，還是把他切成小塊來搞，可那只是通信網而已。就好象是我們自己人體的血液循環系統，你搞一搞很復雜的，現在還有神經系統，還有肌肉系統，消化系統，他們之間還有關系。在這樣的一種復雜關系下面的挑戰。還有一個就是安全威脅已經滲透到每一個領域，而且這些領域還完全沒有準備好。我們搞計算機安全的這些人，安全一直都沒有搞好，但是在今天這種情況下，已經發生的情況下，我腦子里想的一個場景，但是我做不出來，只能大家腦補一下。好象是一個盒子里面開始往外流出黑色的汁，然后流向整個世界，那些人從來都沒有準備好，這是我的對未來的這樣的一些看法，這些挑戰其實也會下面的一些觀點。 第一個觀點，未來的常態是什么？很不幸，我們這些搞安全的人，未來依然天天還要面對這樣的事情，會不斷不斷的出現新的入侵事件，不管這個公司有多大有多強，會不斷不斷的出現新漏洞，會持續下去。多少年？我不知道。三五年？三五年之后估計還是這個樣子。為什么這樣講呢？跟剛才那張照片有關系。我們現在或者未來幾年面臨的系統、應用、設備以及跟安全相關的人員，包括用戶在里面，他的增加的速度、或者是范圍太快了，他里面都是有弱點的，包括人的弱點，他們增長的速度遠遠大于我們發現和修補弱點的能力。我們今天甚至沒有去嘗試來減少擴張時候帶來的新趨勢，我們依然試圖去修補他們帶來的弱點。可是我們修補的速度遠遠低于那個速度。所以必然會導致剛才那個常態。還有一個對手的動力、能力和規模在未來的可見的多少年以內依然不斷的擴張，我只是不希望他持續擴張下去，但是在未來的幾年之內還是依然會擴張。這兩個原因是導致未來幾年是常態。只是要強調一句話，現在很多人認可的觀點是PDCA里面的P是不靠譜，我們都知道沒有100%的安全，所以我可以允許被入侵，我可以允許有新漏洞，但是我更強調的是一個風險的控制損失的控制，也就是說我后面兩個。對于未然既然是這樣的話，我們是不是要分析一下他們新的特點，以及要不要考慮一下我們可能需要的哪些新思路呢？ 第二部分就是講一下可能存在的新特點和新挑戰。 新特點就是，對當時的東西稍微做一些歸納，第一個就是我們現在進入一個動來動去的一個時代了，我剛才講了我們過去的數據相對是比較靜止的，我們過去很多互聯網還沒有轉到傳統企業里面，他所需要保護的資產也是相對靜止的。可是在今天互聯網的時代，在未來我相信所有的行業都會走到互聯網+這種模式下，所以今天阿里巴巴、騰訊、百度甚至是像攜程，我們遇到的問題，他們也是一樣的，數據會動來動去的，應用會不斷的變化，一星期上線多少個版本，不斷的改。資產也會上去，甚至是一些主要的配置，各種各樣的業務，安全防護的邊界都是在動來動去。好，動來動去的這種特點下我們做安全。第二面對的量太大了，我們要保護的對象太多太多了。甚至外部環境面對的企業都太多了。所以我們要工作的量太大了。第三是復雜，很多事情都是很長的鏈條，不再可能像過去那樣你就自己說了算，而且作用面非常大。脆弱環節，就是短板特別特別多，而且經常不在你的控制范圍之內。阿里巴巴今天是這樣，很多很多的電商今天都是這樣，我不展開講，如果有機會我可以跟大家分享，很多實行出在你不可以控制的范圍之內的，很多事情都會影響到你。另外就是和業務的結合。在過去的情況下，安全可以以第三方的方式來做網絡邊界里面的規則過濾，惡意代碼的查殺等等，但是那個已經不夠了。在今天安全一定要和業務進行高度的融合，但是高度融合帶來的挑戰，或者說帶來新的特點，就是你跟業務融合的這么緊了之后，你自己的穩定性、性能，都變成了業務本身的穩定性和性能。我們做安全的，我相信在座的都是傳統做安全的，我們平臺不是這樣考慮的，我們自己的安全設備本身的功能性能原來不至于說到了業務層面那么高的要求，但是未來會有要求的。任何的單一環節，設備安全不安全，可能安全可能不安全，設備接入的網絡安全不安全，用戶的口令丟沒丟等等，任何的單一環節，不可能有效的解決應對安全問題。反過來也是，如果說一個單一環節被突破了，整個安全就沒了，是你安全沒做好，一定是多個環節有效的銜接和配合，任何的單一領域、單一組織、單質圈子都無法靠自己有效應對他。 這些帶來了新的挑戰，而且這個挑戰我依然不能技術人員只看技術，在政策層面就有很多新的挑戰，什么是個人數據、什么是隱私數據，當跨境的時候，像優步你要走向跨境的時候，面對新的政策挑戰。各種各樣的新形態的業務，讓監管部門很緊張，我們國家叫大眾創新萬眾創業，還有一個互聯網+，這兩件事情放在一起意味著什么？會誕生非常多的新的對傳統業務產生革命性沖擊的創新出來，很好的創新，但是政策層面不一定準備好了。還有國際局勢，在整個的國際的安全合作越來越差，而且沒有看出好轉的跡象，這種情況下怎么做安全？國際的合作是信任越來越差。技術層面，云計算，本身一定是未來的基礎設施。也就是說未來的各個公司、機構，你的IT什么都在云上面，我就點到為止了，我們所有的基本上可以認為傳統安全技術都要在上面跑，各種各樣很多。大數據，我也不展開講了，甚至包括移動安全，移動安全剛才也講到，現在移動環境下和過去PC環境下有很多區別，其中有一個是移動端的差異性很大，非常非常多的差異性，他的終端的類型，操作系統類型等等，APP的類型等等非常大。這不是說你在學術圈我解決一個問題就可以了，你要運營的，你做了一個東西出來，全世界有200多種產品要你去支持，和你只有一個產品要支持是不同的。復雜生態中的風險感知和風險控制怎么做。以及在國際政策現在越來越強調，數據不能夠流出去的情況下，未來可能會誕生的一個情況，你想要算的數據轉不過來。這種情況下怎么辦？我們用大數據做安全的各種各樣的東西，可能被迫換一種方式，要把我們的計算走出去，但是數據帶不出去，你可以帶一點中間結果，而不是像現在這樣我可以把數據轉過來算一算，未來會成為挑戰。產業層面，中小企業安全，尤其是面對APP的時候，我的觀點一定是走定制安全的路，但是一定有成本的問題。成本降不下來這個事情就活不下去，中小企業的安全是大量大量的安全在未來的時代不能再小看中小企業安全帶來的危害了，一個小企業背后可能就是一千萬用戶，重要不重要，按照等級保護早就上線了。人才層面到底怎么彌補。 未來的思路和要求。我簡單講幾條，不一定全，一是比較流行的在梳理攻擊鏈，你想一想你看一看覺得挺對的，但是我想說的是什么？攻擊鏈梳理清楚了又怎么樣，不是說攻擊鏈梳理清楚了就OK了，現在一說就是威脅情報，這個一出來就行了嗎，有各種各樣的異常檢測，有一種永恒的主題就是偽裝和反偽裝之爭，你在攻擊鏈梳理完了以后，你會在關健領域檢測你所謂的異常和所謂的攻擊，這和多少年以前是一樣的，人家會偽裝的。所以你只是看到了關鍵點在哪里，看到了風險的方向，但是他有一個偽裝和反偽裝之間是一個持續的對抗。所以有了關鍵點，還不代表你就能夠解決問題，關健是將來對抗的那個。 另外，安全的基石：數據、情報和可信，但是展開的話，里面有非常多的東西。一個虛擬的ID，這個ID對應著實名，實名背后的實人，哪一個經重要？其實在機場安檢的時候是不是實人，你一定是你，這樣問題就都解決了嗎？沒有，而且成本很高，動不動安檢一升級就排長對，因為你沒有任何的屬性，他不知道這個人過去是一個很暴力的人，還是一個完全靠譜的人，他自己把命看得比什么都重的人，沒有一個屬性。有些情況下，Profile比任何東西都重要，他不一定對著人而是可以對著背后的數據。我們只關注到威脅情報，但是跟他對應的也許是雙子的另外一個就是信用數據，這兩個應該配合起來使用。可信的環境，我們的一個設備，是不是他自己的設備，他所用的是不是一個安全的網絡，他用的應用是不是被人冒充了。第三方環境，第三方簽名、第三方域名解析，他們可信不可信，以及帳戶本身。剛才講到了威脅情報，四大方向我也認，但是威脅情報他存在時間、空間、緯度這幾個角度的豐富程度。豐富了之后，你算不算得了，你能不能夠有豐富的程度。如果說你想要解決一個盒子里的問題，你在這個盒子里面再做多大的努力，你的空間緯度也是不夠的。想要成為一個盒子里面的安全的最重要的一股力量，你必須要能夠看到盒子以外才可以。以及配套的計算和分析能力。 另外融合的安全：我到阿里之后提出安全也會走到O2O的模式，這個已經跳出傳統。以前安全我說是安全三階段，第一是強身健體，第二個是公共環境的改善，第三個階段是遏制對手。因為有了第二個還不夠，人家有組織、有紀律有錢，所以還要遏制對手。但是在今天，至少在很多場合里面看到這三擱在越來越多的融合，在阿里巴巴投入這么大的力量來打擊假貨，只靠我們打擊得了嗎？打擊不了，我們很多東西都要和外面來合作，來打擊這個黑產，打擊假貨的發源地，打擊各種各樣的犯罪團伙。傳統網絡安全和各類社會安全的融合，這個不展開講了，我沒想到我會超時間，我覺得我會時間用不了。 還有一個安全的重心，技術的局限性我們必須要成人的，沒有100%的安全。但是未來的安全的解決不能以技術為中心，而要加上以人為中心，我隨便舉一個例子，剛才我講到未來的鏈條會非常長，里面包括人。我現在在做數據安全，數據從哪里泄露出去的，就是從人這邊泄露出去的，你說這個事情我不管的，沒有什么事情你不管的，安全出事兒就是出事兒。所以我們很多人忽略了人這個中心，所以在未來人這個中心是需要再撿起來的。 剛才講到的很多未來，我們可以感覺到，其實他并沒有一條線說，好，從明天開始是未來，很多事情是從現在開始就發生著的，所以我們說未來已來。我們正處在新一代信息技術或者互聯網+帶來的變革過程中，安全也需要及時跟上這場變革。對抗是持續的，只是位置、角度和深度會在不斷變化。100%的安全依然不存在，銀彈依然是夢想而已。網絡安全越來越融合在業務中、融合在社會中，成為大安全的一部分，網絡安全之解也越來越不再是單一領域的技術和管理問題。我們需要更加開放的思維和更加寬廣的視角。 我糾合各位分享這么多，不負責任，謹供大家參考。下面第二部分，因為正好是我要主持，所以我就再羅嗦兩句，就不請帥帥的錫鏞上來亮相了，我們下面會進入互動，邀請幾位嘉賓上來，包括等級保護中心的張主任，包括劉副主任，還有Gartner的Matthew Cheung，還有山石網科的楊慶華先生，還有安恒信息的劉志樂，有請各位上臺。 大家看到我們這個組合還是很不錯的，有來自等級保護的以及標準化的部門，還有來自國際最權威的信息技術咨詢公司。 我剛才講了這么多，也說多，靠任何一個單一的哪怕是公司哪怕是什么都不可能完全解決安全問題，所以一定會走到生態上面，你能不能講一講你怎么看這件事情，以及他和我們國家等保方面是什么關系？ 張宇翔：剛才杜總介紹的內容大家印象認可，其實信息最大的安全就是不確定性，威脅的不確定性，和威脅不斷的持續的變化的問題。信息安全怎么做之過去來講頭緒很多，沒有一定的相應的辦法和抓手。其實等級保護是提供了這么一個如何去做信息安全，如何找切入點去做信息安全的一種規范也好，方法也好。在這個過程當中，我們也是不斷的發現，在云計算，在大數據，在移動互聯的時代，我們信息安全如何怎么做？所以說我們首先還是從標準的制定方面，在相應的圍繞著云安全，他對整個安全的生態是什么？其實阿里前期也做了很多的工作，前期剛剛發布一個安全生態的一個14家公司這么一個清單，我發現以后還是覺得只是在技術層面，找到了有一些從閥門控制，數據安全這一類的公司進入了他的生態，但是生態對云計算，他不僅僅是技術層面的，還有法律層面的，還有規范管理層面的。所以說對云安全的生態，我想我們應該從多個層面去把相應的各個方法組合起來，組織起來，來促進整個的云安全相關工作的推進。 另外一個云安全要做的是什么？其實我要講一點就是合規性，這個合規性不僅僅是說我們云的服務廠商對自身的系統需要做合規性的檢測和驗證。其實更重要的一點，通過這種合規性的驗證和檢驗之后，給我們云上的客戶直接就提供了便利的，他已經合規了。這是我們等級保護過程當中像物理環境，最基本的一些基礎性的能力就直接果斷了，也有助于等級保護下一步盡快的推進。 杜躍進：作為主持人我一定要使點壞，不難為他是不過關的。我想問一個相對尖銳一定的問題，在過去我們更多是從單一系統來看，或者靜態的數據來看。但是在今天已經不存在這樣的東西了。等級保護還適用嗎？ 張宇翔：等級保護他也是發展的，隨著安全形勢的變化，隨著我們威脅的變化，等級保護也在不斷的進步。其實我們最初的等級保護是什么？交給大家五個基本動作，從定級、到備案，到檢測，到整改，到監督，其實到了今天這個環節，這五個基本動作大部分的重要信息系統已經做了，那么下面面臨的是什么？今天上午海關何司長也在說，海關下一步要用阿里云，阿里云安全如何做？現在海關安全檢測合同已經交給我們了。我們現在面臨的是什么？等級保護在新的形勢下下面我們如何保障國家重要信息系統的安全，首先我們現在做的是什么？我們等級保護云安全有等級保護標準，從信息要求、測評要求，這一系列對等級保護安全的標準，我們目前正在制定當中。按照這個計劃，今年年底能夠出來。所以我們在做大量的云的測評的過程當中，其實也是對我們標準的探索和驗證。其實阿里也是我們這個云等級標準重要的參與方。其實做云的檢測和云的評估，我覺得應該在兩年前就可以開始了，因為現在叫阿里健康，過去叫21CN，他其實也是基于云的，基于大數據的這么一個我們國家食藥監管理部門在使用的信息系統，我們其實在之前已經做了相關的基礎性的測評工作，包括來到杭州對我們阿里基礎的環境也進行了調研。所以說我們現在制定的標準，其實是在過去大量的實踐的基礎上來完成的。 杜躍進：我前面浪費了太多時間，本來還有更加尖銳的來考驗張主任，我就先收一收，我們開始考標準的中國電子技術標準化研究院信息中心劉賢剛先生。 剛才張主任一上來就開始說到標準，尤其做生態更加離不開標準，你作為專業的標準化的機構，你怎么看標準以及他和我們安全生態之間到底什么關系？ 劉賢剛：首先我稍微解釋性的有一個。今天是世界標準化日，14號，恰逢阿里信息大會。所以作為一個標準化的從業人員，又是安全的從業人員，我覺得今天這個時機特別好。所以呢，作為標準化從業人員呢，我覺得這個確實是一個很好的時間。今天我的朋友圈是世界標準日轉的是非常多的，當然信息大會轉的人也是非常多的。今年的主題是標準，是世界通用的語言。我覺得很有張力這句話。其實一方面某種層面上可以回答杜博的問題。生態環境的營造是一個產業發展非常核心的一個問題，包括全球，隨之生態的建設者、主導者、引領者甚至是造夢者，這個是一個核心。對于原來呢，我覺得產業可能不一定具備這個能力，那么現在呢，我們可能已經擁有了全球最好的互聯網企業和主流的企業，其實這個營造產業生態環境，是一件可以做的事情。但這里面我覺得很重要的一個點就是標準，就像剛才說到的，標準是世界通用的語言。那么產業界也有通用的語言。其實對標準，對安全，對防護，對風控，都有不同的認識，也有不同的方法。包括標準也有不同的家族和路線，包括ISO27001，美國推的800—53，我們國家的等保，以及風險評估，他們都有不同的路線。所以呢，但是在每一種路線下，他有一種通用的語言，大家可以按照一種路線來走。所以我覺得標準化的確是在生態環境建設方面有很多的工作要做。 杜躍進：剛才他講了一些正面的聽上去挺好的，你看我們設計前面有門衛后面有門后面還有攝像頭，我開始要揭開來底下不好看的部分。標準是不是存在？現在節奏越來越快，對于標準上面我看到很多的問題，我就一股腦兒來說，要不然我又沒機會把更尖銳的問題說說，當然你可以挑著答，第一標準化組織很亂，國內就非常亂，這個東西讓大家無所適從。第二國際巨頭做標準的時候，很多時候用他來排擠對手，未來也會存在這樣的，對這種他也是帶來了副作為。第三為什么在今天的大型的互聯網企業，都很少參加這種標準的制定？是因為什么？是因為過去的標準模式不適合他們，還是他們沒有意識到做這個標準？如果是企業參與得不多的話，只靠專業的政府或者是政府的事業單位做的標準，怎么樣能夠真正適合實際情況呢？你可以挑著答。 劉賢剛：杜博其實反映了現在普遍存在，也得到業界廣泛關注的問題，就是標準界的小散亂。今年2015年13號文，國務院印發的關于進一步深化標準化改革方案，針對這個方案提了一個藥方，針對小散亂提出放管治。剛才杜博也說了，國內標準化機構很多，其實國際也很多，國際統計以來，從事IT和ICT相關的標準化機構有3000多家，其中涉及信息安全的至少30多家，國內也的確是有很多，但是針對這個小散亂，其實改革方案里面是提出來了放管治，核心的思想就是要放開市場競爭性強，變化快，而且又屬于產業界盈利或者是私有的一些技術的標準，那要交給市場，放開聯盟標準，甚至鼓勵和扶持聯盟標準。國家標準聚焦在通用的，基礎的甚至強制的這個領域，我理解這個政策文件解讀。所以實際上小散亂的現象的確是存在的，但我們今年也看到，國務院發這個文，放管治，包括我們網絡安全標準化機構也在研究相應的領域的政策和措施。這是第一個問題和第二個問題，我這樣回答了。 第三個問題互聯網企業的參與比較少。我覺得主流企業參與是一個標準生命力的體現，一個標準做得好不好，不是標準化機構說，也不是政府說，而是用戶來說。所以我覺得這是一個階段發展的必然的一個過程，因為我們的IT企業，包括安全企業，包括現在的主流的互聯網企業參與了以后，整個安全界生態發生了變化，發生了很大的變化。剛才大家不知不覺都提到了傳統安全廠商。其實我覺得傳統安全廠商聽了也不高興，我是被傳統的，誰說我傳統，其實我也不傳統，我也在轉。說明一個產業的變革，原來提到安全企業大家覺得有點不太適合，現在代表新興力量的互聯網企業，的確具備生態營造的能力，我想這是兩方面的問題，怎么樣引導互聯網企業來參與，使中國的標準更加有生命力，兩方面都要努力。一方面標準制定的思路，按照國家標準化改革的方案做好放管治。第二方面互聯網企業發揮龍頭的作用，特別是發揮中國特色的作用。我覺得不一定哪一些國家的互聯網企業都會參與到他們國家標準的制定工作，而中國是有可能的，中國全球十大互聯網企業說4家是中國的，特別是阿里巴巴，云大會，在生態營造方面做了很多的工作，包括現在我們安標委很多的云，面向未來的大數據的標準，都發揮了很大的作用。我也希望更多的主流企業參與，這樣的話使標準更有生命里。 第四個問題，我覺得這個標準還是屬于放管治的范疇，屬于放的范疇一定是要企業為主，甚至企業唱主角的。如果要是管的范疇，我講各有各的意志體現，國家的安全也是不能忽視的，甚至沒有國家安全就沒有產業安全，也沒有我們今天的這么繁榮的產業。所以我覺得如果國家層面的屬于管的這一類的標準，要更多的吸納企業來參與，保證他的科學性和合理性。面向產業的標準，就是以企業為主體，就是我參與我貢獻，我用我的智慧來實現這個標準，當然體現了企業的意志，企業就應該更好的來應用他，這就是來自于企業應用到企業中去。我覺得我今天講的可能有點美好，實際上沒那么美好。所以我希望跟企業界包括我們安標委都會努力，把標準化工作做得更加讓大家滿意。 杜躍進：我聽懂了，放管治三招問題就解決了，當然其實很難。 第三個我想問一下Matthew Cheung，作為一個全球的IT咨詢公司，眼界看得會比較寬一點，我想請Matthew Cheung講一講從Gartner這個角度怎么看云安全，尤其是生態怎么做，國際上面主要的云的企業他們的主流觀點是什么？ Matthew Cheung：我就從客戶角度去出發，因為我們Gartner里面大概有70%的客戶都是最終的用戶。我覺得云生態不能夠存在先于客戶的需求，所以客戶的需求其實會帶動整個云生態的發展。譬如說有一些客戶他用公有云去做存儲的時候，他其實需要加密的技術，那這個加密的技術要在哪里？如果說他是做電商，那他可能要做電子商務的話呢，他需要Wifi這一類的工具。所以基本上很多時候我覺得這個生態其實是需要基于客戶本身，在用這個公有云的用途來產生出來的。當然，第一步可能就是看這個客戶的需求。但是慢慢起來的時候，其實有一些可以先于客戶的需求以外，再增值加上安全的工具。阿里巴巴有一個特色，本身有一個很強的電商的背景，所以其實你們在這個電商的里面，其實拿到很多的客戶的數據，還有應該你們面對的攻擊都會很大。所以這個里面，其實已經可以產生很多的，譬如說從安全智能方面，其實你們得到的資料，其實要比一家小的電商要多。那怎么樣去利用這一些數據，變成一種或者產品或者是一種增值的服務，放到阿里云的平臺上面，那這個可以是一個創新的想法去利用這個阿里本身的優勢，可以去提供給客戶。 所以我覺得國外來說，其實現在說安全的創新還是剛剛起步了，但是我覺得可以是利用自己本身的優勢去看這個創新的角度。 杜躍進：雖然Matthew Cheung是遠道而來的，我也不能放過他，一樣要有一個難為他的問題。也比較巧合，我剛才PPT沒講的那個，我們現在一定要跟上這個變革的時代，所以剛才很巧合下，張主任、劉主任都講到了等保也在變革，標準也在變革，很多人說Gartner已經過時了太老套了。在今天這樣快速發展的情況下，Gartner怎么保證，因為已經不是IT是DT了，在這么快的發展的情況下，Gartner是怎么保證的？ Matthew Cheung：這個問題我作為分析師，其實是看其中一塊了。但是我們的業務的發展，以前可能我們的對象，都是針對這個傳統的IT的人員。但是現在我們的業務也不單只是這樣了，我們看見這個IT的預算，從CIO里面慢慢轉移到CMO，他們也有一定的權力或者IT的需求是用在IT方面。所以我們Gartner現在也有一些產品，是針對CMO的角度怎么去去利用一些新的我們的調研，去開發他們的業務。跟阿里也非常的接近，我剛才跟幾個客戶去談的時候，他們其實也不一定是IT的部門在用你們阿里云的服務，可能是他一個BU他會用這個公有云的服務。所以針對這個對象，開始慢慢的轉移到傳統的商業的BU的里面，我們Gartner也是重新的定位，會對這一些的最終用戶提供一些IT的建議。 杜躍進：我們下面請安恒信息的劉志樂先生談一趟，因為我理解安恒信息還是一個傳統，剛才有人不喜歡傳統兩個字，我們都是從傳統過來的，我們都干了很多年了，我自己也是傳統過來的，所以不要不高興。傳統安全企業和今天，因為我也講到，我相信在座的很多人都認可，未來一定是云的世界，傳統安全企業怎么轉型到云的安全市場里面來。 劉志樂：作為傳統帶著標簽，應該也是代表了中國十幾二十年傳統的安全網絡廠商。實際上講傳統，這個傳統并不傳統，也就二十年都不到。但是時代在迅速的發展，有的時候變化他不是來自于你自身，而是來自于環境。在這個變革日新月異的時代，你如果不革命，我經常講人革命要么是自己革命，要么就是別人革你的命。但悲摧的是，很多時候都是自己沒把自己革了，然后別人把你革了，從我們中國歷史朝代上基本上都是這樣演變的。所以作為安恒呢也比較幸運，我們成長得比較短，到今年也就才8年。所以在這么迅猛發展的時代里面，我們也在思考，我們還是抱著傳統的這些盒子去繼續走下去？還是說我們要積極的擁抱變化，我們要跟這種云的時代共同發展。那這個時候，實際上我們本身自身在思考，同時市場也在逼著我們在思考。因為我們有很多客戶，他們已經遷移到阿里云上面。有的是私有的專有云，有的他已經在公有云的阿里云市場上，他有強烈的安全需求。那這個時候我們還去拿一個盒子去給這種客戶的時候，你都沒辦法給客戶部署，你部署在什么地方？阿里都會讓你部署在他的網絡環境下面嗎？做夢，不可能。所以就逼著我們要去變革。可喜的是，阿里他也開放了這樣的環境，他并沒有說自己要把這些所有的安全，我全部把他做掉。在這個情況下，實際上我們大家也知道，在9月23日的時候，我們和阿里達成了戰略合作，今天是第22天，但是這22天，實際上也讓我們在思考，我們的產品在這短短的22天里邊，已經有70多個用戶在使用，已經有好幾個用戶在買單，而且我們已經有了將近上萬元的收入。你可能覺得這個上萬元的收入和傳統的2B一單下來就是幾十萬是沒法比擬的，但是大家不要忘了，阿里云上面有幾千萬或者是未來有更多的這樣的常尾用戶，這個用戶每個月都給你600元或者1000元的時候，你去看你的未來的市場，和你現在一個安全企業很苦很苦的，一年做個什么幾億就恨不得了了，能做超十億的，基本上主營不全是安全。我不知道這樣回答杜總滿不滿意。 杜躍進：我本來也準備難為他一下，但是考慮到劉志樂非常的有愛心，知道我們直播后面可能有未成年人，非常注意自己的語言，就先放過你了，但是其實不這么簡單啊，我們大家都知道要轉到上面，但是這個問題后面有很多的挑戰，安恒是有自己的領域，其他的傳統安全企業也有自己的領域，每個領域賺得時候都不一樣的。 最后請教一下山石網科的楊先生。山石更像一個外國公司的名字過來，你覺得你們公司在轉型或者云計算結合的時候，比如說和安恒信息有什么區別嗎？ 楊慶華：其實轉型就像剛才安恒的這位先生說的，你是被革命還是革命。山石網科從成立開始我們一直做安全網關，很多渠道對我說你們的產品就是兩個字傻、快，快的概念就是速度高，但是在云計算在數據中心上你跟不上數據的發展。我們也曾經發布了很快很快的防火墻，到現在最快的防火墻，但是你跟云去比沒法比，這個時候我只能去變。我要把我的產品放到云上，但是你會發現你的產品放不進去，因為云上根本沒有你放的地方，怎么辦？我們要先干的第一件事情，這里邊我要替傳統安全說一句，什么叫傳統安全廠商？所謂傳統安全廠商就是用傳統理念或者傳統概念說我要去部署我那些盒子我們叫傳統安全廠商。現在我們要把我們的安全技術和安全防范手段在云上部署，所以我們首先要感覺的是把這些技術和概念部署到云說，所以山石在前天去上線我們叫云界，非常可喜的看到一天時間32個用戶上線。所以變革除了技術的變革還有安全理念的變革，經營理念的變革。我們過去做銷售都是去拜訪一個一個去做，持續幾個月半年，而現在看一天32個客戶，這是過去不可想的。這里邊對于一個廠商來說怎么去經營，怎么去維護，怎么去包括后邊的服務都是很大問題。 再一個問題，在云上的時候，你的思路要發生變化，第一個是說我怎么去部署，第二個問題是我為什么人去部署。不同的租戶，我一個公有云為租戶去部署，這是一個方案。但是等保里邊一個一個環境之間去計算的時候可能要用另外的東西。所以我們談云計算安全，不能只談所謂的云計算安全，你要想你為誰來提供安全，這是我們說所謂傳統安全廠商你要完全從技術的思維方式，包括從經營方式上的變革。 杜躍進：不過我還沒有太聽出來，你覺得你們這邊和安恒那邊有什么區別嗎？ 楊慶華：理念上沒區別。 杜躍進：一個是防火墻，現在虛擬化以后上云了？ 楊慶華：對。 杜躍進：還有別的嗎？ 楊慶華：其實我們提供的是一個針對于租戶安全，或者是針對與虛機間安全的架構。在這個當中把防火墻、防控制、防病毒等等都可以布置，不能當做某一個產品來看待。 杜躍進：無論是山石也好，還是安恒也好，只是我們安全力量的一部分。大家注意到我基本上沒有難為產業界朋友，因為我現在也是產業界了，其實并不是這個原因。因為我們真的是離不開產業界，沒有我們產業界的發達、發展，其實安全是做不了的，沒有這些安全企業發展壯大的話，我們只能說一說，你只是在說而已，最后的問題要留給產業界的朋友們來解決他，所以安恒也好，山石也罷，還有很多很多其他的安全企業，其實我們都期待著能夠在這場變革里面跟上這種腳步，然后能夠來解決我們云環境下未來的網絡安全挑戰。 我還有五分鐘的時間，我想從各位這邊征集最多兩個問題，我不知道有沒有？ 提問1：我來自于傳統安全廠商，剛才聽安恒和山石二位的發言，我覺得理解上有一些偏差，剛才二位都帶講傳統的盒子怎么上云的事情，但是我的理解更多的我們可能會同意Gartner的概念，云上的問題可能安全的問題已經轉變了，防火墻也好，還是別的也好，比如說云盾已經提供了。那么這里面還是我們的防火墻的問題嗎？還是我們的IPS的問題嗎？是不是在云上有另外的安全問題？他會不會有另外的安全需求？ 杜躍進：下次你來主持，逼我尖銳，我覺得其實很清楚，請產業圈談一談。 楊慶華：我們說云上會帶來更多的安全問題，和傳統的網絡層面上，包括應用層面上的安全問題是不一樣的。比如說在虛機間等等這樣的問題。但是現在我們先要解決的，是我們怎么樣能在云上把我們原來無法去實現的一些比如說東西向流量的監控，東西向所有的流量我們能看到，我們首先看到流量之后才能分析出問題，而怎么樣看到這個流量。所以我們在做的事情是我們通過一套架構，部署一套東西之后去看到這些流量，然后再干后面的事情。我們先看到，后邊要分析不是山石一家能做的事情。分析之后，讓他所有的流量可視、威脅可視，怎么去控制他，那是整個產業界的事情。所以先要干的第一件事情是我們怎么樣先看到流量。 杜躍進：我加一點小的評論。 張主任：剛才說了問題就是安全劃分的問題，在傳統的認為上了云之后云的機制能解決一些問題，但是傳統的威脅一個沒說，另外還產生了新的數據安全的問題。所以傳統的安全需要傳統的方法，以新的思路、新的技術去解決。但是我們更多的剛才你講云盾，他可能是做云平臺自身的安全防范按照要求，但是做不同的安全需求的時候，為什么要說安全生態，其實安全生態就解決了我們不同責任方，或者說運營方，管理方不同層面的安全責任如何去解決去落實的問題，這個問題落得確實非常好。 杜躍進：我也想加一句，因為我是主持人有點特權，我想說的跟張主任講的有點類似，因為這個問題是來自Matthew Cheung提的，生態應該是從用戶需求出來的，不能夠自己想象出來的。但是我同意張主任講的，如果是真正的需求的話并沒有少，只是你不能片面的理解這個需求，說我需要的一個防火墻盒子，這并不是一個需求，防火墻背后的需求依然是還在的。只是挑戰的是背后的路子都走不通了。 劉志樂：我剛才也想講這個話，傳統的安全問題并沒有云的時代來臨就沒有了，實際上還產生了新的。但是新的還沒有解決的時候，我們先把老的先在傳統的變革的時候，因為不是到了云環境下，他這些就把過去，比如說你的內部的審計啊，比如說安全的審計行為，運維審計，數據庫審計等等其他的行為，到了云環境下他就全沒有了，他還是存在的，甚至還有其他很多傳統的安全問題。我想講的就是這個。另外的話，云盾首先是保證他自己整個云的自己的整個安全，同時他也可以給他的云上的客戶提供一些最基本的一些安全。但是實際上就像今天上午主會場上面潘建偉院士講的一樣，安全作為客戶來講他相信馬云，但是有的時候更多還是需要相信的在這個環境里面，除了阿里平臺自身，還需要其他的一些廠家一起來共同第三方大家來為客戶提供真正的他的安全的需求。 杜躍進：這個問題提得非常好，所以大家都很踴躍，我自己就犯了一個錯誤，剛才不應該承諾兩個問題，我已經把時間用完了，但是我還是遵守承諾，各位除非你們愿意不問題的話，那就算了。謝謝各位配合，謝謝各位，謝謝各位嘉賓。 主持人：非常精彩的一個互動環節，這里面其實有很多的問題都沒有展開，我相信大家還是會覺得意猶未盡。但是讓我意猶未盡的是，我在微信群里面已經舉手了很久，一直沒有看到大家很尖銳的問題提給我們嘉賓。 剛剛談到了生態，也談到了很多希望生態來做的事情，我們先把這個話題去壓一下，大家去想一想，大家腦子當中的安全生態是什么樣子的，我們先有請我們下一位嘉賓，來自于我們阿里巴巴集團的安全研究院吳翰清先生，他會為大家帶來什么呢？大家提到了云盾到底在做真正？未來他會做什么？他會為我們業務的穩定性，為我們業務的高可用帶來什么樣的利器，下面有請吳翰清先生。 吳翰清：大家晚上好！ 好象是在直播對吧，所以不能隨便說錯話，說出去的話就收不回來了，所以說的話就肯定會兌現。 安全場非常的火爆，這讓我有一點點意外，因為我本來今天輪到我上臺的時候，我只需要對著攝像機說就行了，沒想到后面還有這么多站著的同學，非常感動，也非常讓我興奮。因為我進來就聽了五分鐘，就聽到了臺上這么多在座的嘉賓的精彩的分享，然后還聽到了很尖銳的問題。 我首先聽到第一個主題是變革，包括來自安恒信息和來自山石網科的兩位嘉賓都談到了他們今天怎么樣從一個線下傳統的市場轉到線上云的市場，去擁抱一個上線了這么多天，然后只收了一萬多元錢，這對線下傳統公司是非常痛苦的。所以我今天聽到的第一個關健字就是變革。關于生態和云盾，待會兒方興會做阿里云生態方面的分享，他會更加清晰的去闡述我們今天對待安全生態上的想法和戰略。我今天在這里還是想簡單的回答這樣一個問題，我覺得在今天根本就不是一個云盾和生態的關系的問題。簡單來講，今天云盾團隊不到200個人，我們未來幾年的發展也不會有太多的人。我們怎么可能通過這么樣一個團隊，去滿足整個互聯網的安全需求呢？這是不可能的。 所以從另一個角度來講，云盾真正想做的事情，只是去解決整個平臺上，如果100%的客戶都需要的一些需求，那可能是云盾需要去做的事情。但是如果是涉及到一些垂直行業的需求，那可能就是各個廠商和生態他們自己的一些生存空間。同時我還想講的一點是，對于云計算來說跟傳統廠商的關系不是一個升級的關系，云計算對于阿里云來說，他和傳統IT的關系不是一個升級關系，他是一個徹頭徹尾的替代關系。所以云安全對于云盾來說，我們希望在未來去解決大量的譜世的安全需求。所以今天很多傳統的安全廠商今天在做的網絡的基本攻防對抗的事情，在未來的安全領域需要再進行升級和替代，需要更多的解決用戶業務安全的問題，今天這些問題在整個行業里面都非常非常少有廠商在做這樣的事情。可能這個才是未來安全最大的一塊蛋糕，這是我的個人的一個看法。 所以我今天其實想跟大家講一講，分三部分，我首先想跟大家講一講，我們是誰？然后云盾到底是做什么的？因為可能在座的不是每一個人都了解云盾到底做了一些什么事情，以及我們是怎么來的，所以我先用比較簡短的時間跟大家簡單介紹一下。 在2005年的時候，阿里成立了一個安全團隊，這也是我們這個團隊的一個前身，所以我們是從2005年的時候開始阿里正式有一個專業的團隊來做一些內部的一些安全工作，包括像一些反黑客入侵，包括代碼的安全。一直到2011年的時候，經過了六七年的發展，我們正式的隨著阿里云推出了我們的云盾系列的產品，這個時候我們的內部的先進技術在內部的積累已經相當的成熟了，我們希望把自己安全的能力和經驗分享給更多的客戶，所以通過阿里云這個平臺，以云盾這個平臺為載體出了一系列產品。一開始上線的時候有三項，DDoS防護，主機安全防護，Web漏洞檢測服務。一直到了2013，我們越來越安全需求通過云盾得到了滿足，同時保障了云盾，同時解決了用戶的安全需求能力。到了現在，我們在7月份的時候，我在阿里峰會上發布了這個產品就是態勢感知，我們現在在公測，很快我們會把公測去掉正式對外去掉。在上個月我們做了一個決定，我們集成了所有做大數據分析的產品，能夠感知用戶的狀態，能夠預測未來趨勢的產品，我們決定把他免費掉，這是我們在上個月做了一個非常重大的覺得，我們免費推出一款產品，幫助用戶看見他原來看不見的一些安全產品。因為我們認為每一個用戶他做安全服務的第一件事情就是需要知道他現在的安全狀況到底怎么樣。 云盾到底要做什么事情？簡單來講，首先我們認為安全是一件非常專業而且非常復雜的事情。今天我們可以看到在很多第三方的監測機構上面有非常多的安全漏洞，即便阿里今天在安全上投入了超過一千人的團隊來做整個大平臺的安全，但是我們今天仍然會面臨非常多的和非常艱巨的安全挑戰。其實可以看到，安全他是非常具有專業性和復雜性的。我們沒有辦法避免一個漏洞都不出，但是我們需要去做好的是漏洞的管理和風險的控制。所以專業的事情應該交給專業的團隊去做，云盾也是為此而生。然后我們看到從IT到DT時代，因為云計算他會帶來一個我們重新定義和改變整個基礎設施環境的一個機會，也是因為有了這樣的機會，很多安全的需求和安全的場景就會發生變化。舉一個簡單的例子，為什么在過去所有的傳統的安全廠商，他們會更傾向于在邊界處去賣一些安全的設備，今天看到很多的廠商他們的產品形態都是以賣硬件設備為主的。除了等級保護要求規定之外，還有一個非常重要的事情，在一個托管的IDC環境里面，其實是沒有辦法在服務器當中去預裝一個軟件的，這是因為運維團隊一定會擔心，額外預裝的一個軟件會帶來額外的風險，他會跟你說這件事情非常難。但是今天在云計算的環境里面，我們通過預裝進項，通過自定義進項，是可以實現軟件的預裝，這在軟件上會帶來非常的平滑。所以這帶給了我們在產品形態上新的一些變化。在網絡的邊界處使用安全設備，會帶來一些弊端，比如說主機上的風險，有些風險是只有你的軟件裝在你的硬件內部才會看到的，這會讓我們今天在云計算的環境里面有機會看到一些以前看不到的東西，所以這是我們看到的一個機會，隨時云計算而誕生的。最后云盾的定位他只是解決所有用戶都有的基礎的攻防類的需求。我們也可能會做一些針對行業的解決方案，但是這是階段性的，真正的定位是針對海量用戶，把更多的空間留給生態合作伙伴去填補。 云盾的使命是建設更安全的互聯網。我們的愿景是希望有一天能夠成為整個網絡空間的基礎的安全設施。 這是云盾的產品大圖，這也是我們到現在為止第一次比較清晰的劃出云盾的產品大圖，其中綠色的產品是我們現在今天已經有的產品，藍色的部分是在下半年我們即將推出的一些新的產品。所以這也是第一次我們把整個云盾來看整個安全行業，它的視野分成了這么六個部分。這代表了我們在安全這件事情上的理解，代表了我們的世界觀。 所以大家可以看到，其實這里面是沒有應用安全的，因為我們希望把應用安全在網絡層面去解決，和在服務器安全層面去解決，所以我們會有一個網絡安全的分類和一個服務器安全的分類。然后我們在今年會發布的三個新產品，第一個是數據層面有一個數據審計產品，在業務安全產品會集成案例內部的一些風控產品，正是對用戶推出一個反欺詐產品。然后在安全管理方面，我們還有一個新先知計劃，幫用戶做一個漏洞管理產品。 我們有了這么多產品，在今天云盾每一天是怎么樣渡過的呢？首先我們每天會防御超過一千次的DDoS攻擊，我們每天已經防御了超過一千次的DDoS攻擊，同時我們每天Web系統成功攔截300萬人次的攻擊，識別檢測隔離到超過10000個木馬后門，高危漏洞用戶授權我們是不是修復他的高危漏洞。所以云盾的每一天在海量用戶的場景下我們達到了這樣一個程度。 這是我的團隊小伙伴們，不到200個人，這里人也不是特別全，這是我們最近一次團建的照片，其實我們是一群非常有理想的人，我們希望能夠建設更安全的互聯網為使命，最后成為整個網絡空間的基礎設施。 我們最近發布了云盾看到的DDoS的趨勢報告，是來自2015年Q3的趨勢報告，接下來我希望是每一個Q都發布這么一個DDoS報告，在這個報告當中看到很有價值的東西以及給大家提供安全的參考。 首先我們可以看到大流量的攻擊變成了一種常態。在7月份的時候我們發現有一個攻擊的躍升，這兩跟柱子，藍色的是超過50G流量的攻擊次數，紅色的是大于100G的攻擊的次數，在7月份的下旬有一個突然的躍升。所以大流量攻擊在今天已經成為一個主流趨勢，這是什么原因造成的，我們內部推測，這是一個猜測還沒有100%證實，我們從數據看到，以及我們抓到的數據其實是看到有這么一個趨勢，很可能是和學生放暑假有關。我們看到今天很多的黑客，有一個低齡化的趨勢，有很多在進入黑產和制造DDoS攻擊和僵尸網絡的攻擊都是高中生、大學生，所以一開始放假開始接單了，他們不用考試了。 第二個趨勢還是和往常一樣，游戲行業仍然是整個DDoS的一個重災區，遙遙領先其他行業。在企業官網里面金融行業占到了大多數。 第三個核心發現是，攻擊來源最多的國內是廣州，國外是越南。從數據來看，越南整體的網絡狀況是非常糟糕的，他們國內的安全建設非常的差，所以也是造成了越南成為一個DDoS和僵尸網絡肆虐的重災區，我相信國家在這個方面的掌控力度有所下降的話，我們也會面臨像越南這樣的窘境。廣東為什么這么高？是因為在DDoS黑產這個領域，在廣東是最活躍，廣東有大量的閑置流量，所以黑產會利用這些閑置流量在全國發起很多的DDoS攻擊。這是我們看到的這些數據。 還有一個趨勢，超過70%的攻擊，是在0—30分鐘之內，也就是說他的攻擊持續時間不會超過30分鐘，我們推測這是因為現在的攻擊他的成本非常的低，然后他的見效非常的快。同時如果他持續時間過長的話，對他來說也是有非常大的成本的，因為每一次僵尸網絡發起攻擊的時候，持續時間過長他的數據量會持續的去損失。這對于我們防御來說這意味著什么，也許你挺過30分鐘你的網站就沒有什么太大問題了。 我們觀測到的最活躍的僵尸程序是后門叫比爾蓋茨，然后國外有一些安全機構監測到最活躍的后門是XOR。這是因為比爾蓋茨這個后門在很多網盤很多論壇自由的傳播，他又能夠實施一種全方位的攻擊，各種攻擊都能夠打出來。同時他本身他這個后門非常的隱蔽，比較難以查殺，本身不破壞性，他的傳播是利用一些其他的一些漏洞，他本身不是一個漏洞利用程序。所以這也是造成他隱蔽的一個原因，比如他利用一些暴力破解，暴力破解之后程序會把這個軟件部署到SAe。 還有一個很有意思的，來自移動端，也就是來自手機平板發起的攻擊，占到了30%。所以接下來，我們可以看到剛才我們在外面也看到阿里錢盾和聚安全的站臺，今天DDoS發起不僅僅是來自PC和服務器，也有來自手機的，這個木馬的檢測，這個后門的檢測我們今天是缺乏足夠的手段去保護我們移動設備的安全。今天的數據看到已經是30%，我們預測在未來還會持續增加他的比例。 所以前面談到了的這么多都是我們來自DDoS的一個觀測，我們認為DDoS的需求正是一個網絡空間的一個基礎的安全需求，他在攻防層面是處于網絡底層，所以我們看到我們今天要解決這個問題，我們要怎么樣去解決？所以今天還有一個東西是在第三部分我需要跟大家分享的。我們可以看到，DDoS防御的痛點。首先第一點大家會覺得他非常非常的貴。為什么貴？DDoS防御貴的地方是在于今天我們的帶寬非常的貴，我們單米一個DDoS設備是不解決問題的，原因是DDoS他的瓶頸是在于機房的出口帶寬，所以你的出口帶寬是需要通過運營商去拿的，這個時候DDoS攻擊達到100G、200G，你不可能儲存這么大的帶寬儲備，這對于你正常運營只需要1個G或者500兆是非常貴的。所以在DDoS解決方案里面，今天的大多數廠商都是在做軍備競賽。在去年12月份的時候，云盾成功防御了全球互聯網史上最大的DDoS攻擊453G，當我們PR出來的時候，發現很多同行業的友商都非常緊張，今年就出現了各種奇葩的軍備競賽。在我們內部看來，這種軍備競賽實際上是不健康的，然后他是不是真的只有靠這樣的帶寬的軍備競賽才能解決我們的DDoS問題呢？我們在經過很多的學習和調研之后，發現其實不是這樣的，我們完全可以把這個軍備競賽給去掉。同時今天很多用戶的業務他是存在單點風險的。我們很多用戶說今天把業務切到CDN里面，但其他CDN大部分是解決靜態圖片和靜態文件的加速，并不能解決動態的問題，所以動態的業務仍然是單點的，云防護廠商他今天是能夠解決動態的問題，但是我們看到像某些友商，包括我的老東家安全包，他更多還是網站類型的業務。還有最后一個問題問題我們通過軍備競賽拿到的帶寬通常不是質量最好的帶寬，這個問題對云盾的高防的解決方案也是類似的，我們今天的解決方案是單線的。 所以我們今天能夠有一個產品，能夠徹底解決掉這些問題。我們能夠不再去做軍備競賽，這就有了一個安全網絡，這是我們今天向大家分享的一個新的產品，我們今天正式的發布云盾安全網絡。這是一個產品名，因為他承載了我們非常大的夢想。 什么是云盾安全網絡？簡單來講安全網絡就是一種安全可靠的接入服務，我們希望能夠通過為用戶提供不同的節點，來提供安全穩定和快速的流量。所以，簡單來講，我們希望無論你是手機還是電腦，都能夠通過我們的安全網絡，最終來訪問用戶的業務。 他會具備三個特性，第一個是安全，我們希望在這個網絡里面同時去解決DDoS的問題，同時解決掉資源問題和Web攻防問題。同時還能夠非常的穩定。今天我們是在阿里云的機房杭州北京深圳都建設了我們的節點。所以用戶可以自由的選擇，未來我們也會有更多的節點，包括我們會嘗試利用起我們的CDN網絡的節點。他的整體可用性會達到99.99%，同時核心模塊的技術會馬上經歷雙11的考驗，今年的雙11將會是阿里史上最大的雙11，也承載了整個國際化的夢想。最后就是他所有的帶寬都是通過BGP網絡接觸的，在訪問速度上毋庸置疑。 為什么他能夠不搞軍備競賽就能夠解決DDoS的問題呢？我們通過跟客戶學習，同時我們也積累了一些數據，我們發現DDoS攻擊的轉移是具有一個時間成本的，我們觀測上DDoS的轉移一次時間是10分鐘左右，所以我們在現在的安全網絡里面，是通過分布式的節點去解決用戶的DDoS的問題。簡單來講，所有的用戶需要把他的流量切到我們數百個節點上面，其中一個結點被DDoS攻擊的時候，就把這個節點所有的流量均勻分配在另外一些節點上，跟攻擊者做捉迷藏的游戲。我們會提供多種接入方式，目前我們希望更多的是通過SDK的方式，我們希望有很多的手機的APP，以及游戲的客戶端能夠接入我們的SDK，目前也已經有了非常多的成功案例，在使用我們的解決方案來解決他的問題。我們通過解決方案通過這張網，所以在下面會有一些云防護的系統，今天我們可以看到在這張網上解決了DDoS的問題，解決了WAF的問題，解決了CDN的問題，未來可能會有更多問題需要在這張網里面解決掉。 這是大概的一個界面，我們會提供各個客戶端SDK的接入，同時我們會讓用戶去配置他的應用和分組，對于游戲的客戶來說，可能他非常容易理解，它的戰斗服務器，或者他的跟蹤服務器就對應安全網絡的服務組。 我們會提供安全靈活的報表，最重要的是他的售賣價格，我們的單節點IP，每一個IP是100元一個月，然后是9個起買，比如說你想買2個IP我們不賣，因為我們整套系統的理念就是基于分布式的一個防御的對抗。然后每個月免費100G流量，超出部分0.4元/GB，大家可以算一下，今天很多用戶100G每個月是完全可用的，用戶能力強一點完全可以把靜態流量分餾到CDN去，這樣動態流量是非常小的，很可能你每個月的流量成本是零。最后我們還和今天云盾的高防產品進行了互動和打通，所以我們有高防套餐。 我想分享一個用戶使用安全網絡的案例，在平臺上有這么一家電商客戶，的攻擊非常非常頻繁，一個月DDoS攻擊達到了161次。基本上每天都有那么好幾次的DDoS攻擊，最高峰值達到了22.71GB。我們看他是怎樣來使用我們的安全網絡的？如果他使用云盾的高防IT產品的話，他需要買一個高防IP，單線路是1.68萬元，高防是3萬多元，然后他買了20個節點，2000元，他流量沒有花錢，我們免費送了他100個G，完全夠用。所以他最后原本需要花幾萬元要解決的問題最后花了2000元，這就是電商客戶他今天在云盾網絡上真實的使用情況。我還有另外一家公司，他是一家網游公司，之前每個月在阿里云盾上使用高防IP，他要花18、19萬，今天用了我們的安全網絡解決之后，他的使用掉到了3萬。今天大家都在談變革，云盾自己也在革自己的命，我們今天把我們的用戶需要的費用直接降低了一個成本，這是非常要有勇氣的，因為對于云盾高防這個業務是云盾今天最賺錢的業務，但是追求利潤最大化不是我們想做的事情，哪怕我們在DDoS高防這件事情賣到了一千萬一單，可能也不是我們今天想要的，所以我們今天很有勇氣把自己的命革掉，希望更多的用戶通過我們安全網絡來給他的業務提供更好的保駕護航。 大家可能會覺得你又有高防又有安全網絡，這兩個產品到底有什么區別呢？其實他的定位還是有一些區別的，對于高防IP來說，他的單價高，但是他的SIA也非常高，非常適合對于金融這樣的可靠性極高的行業。當一個用戶在金融網站進行一筆交易的時候，背后代表的就是上百萬的一個交易，所以這個交易是不能夠有損失的。但是對于更多彈性比較強的業務，比如說像游戲、手機APP，電商，他允許有一定的彈性，所以他其實可能更適合于一個性價比和更具有彈性的解決方案。這就是我們今天我們會推出云盾安全網絡的一個原因。 所以到最后，其實今天我講的只是今天安全網絡的一個現狀，但是我們未來要到什么地方去？其實未來我們看到的未來，在我們的構想中，是希望有沒有這樣的一張網，他天生就隔絕了所有的攻擊，大家看到今天我們在阿里云上去買我們的ECS，去買我們的RDS，我們接入了一個網絡，但是我們今天就在想，這個接入的網絡應該是什么樣的一個網絡？我們希望他是一個隔絕了所有攻擊，他天生就保證安全的網絡。所以這是云盾安全網絡最終追求的一個目標，我們要建設一張這樣的網，他天生就沒有DDoS攻擊，天生就沒有Web攻擊，我們希望在未來把DDoS做沒掉，這是我們真正追求的東西。所以今天我們才剛剛起步，云盾安全網絡我們希望他是一個充滿想象空間的，能夠解決網絡安全的基礎設施，最終我們以接入服務的方式去對用戶提供服務。最后這個二維碼大家可以掃一下，可以看到更多的關于我剛才講的DDoS的趨勢報告的一個詳細的報告，以及對于云盾安全網絡的介紹的一個H5的頁面。大家愿意幫我一個忙的話，把你們掃到的東西分享到朋友圈，然后再去談一談今天我站在這里對于大家分享的安全網絡他是一個什么東西，他是一個充滿黑科技，充滿想象力的一個安全網絡。 主持人：我相信大家通過吳翰清的介紹，明白了云盾的過去，明白了云盾的使命以及云盾的未來。大家也看到云盾未來的使命當中，我們彈性安全網絡這樣的一個產品，開始深入的把安全和業務進行融合。這樣的一種變革，是我們未來的一個技術IT的力量。但是針對很多用戶的細分需求，針對我們垂直行業的用戶要求，包括合規的要求，我們最好的解決方法是什么？我相信所有的云的廠商都給出了一個集中答案，就是靠生態的力量。其實我今天在這里直播我突然想到一個詞兒，大家說了很多傳統安全廠商，在座很多的友商聽上去有點不舒服，但是又說不好有什么不舒服。我想到一個詞，可能比傳統更適合，就是經典。大家去想一想，早在以前古典時期和浪漫時期的只有，貝多芬和莫扎特都是通俗音樂，所個人都知道，但是到現在大家都在聽，你可以走經典的路，也可以走新銳的路，安全是什么？就是一個土壤，能夠長出不同的廠商來，讓大家都有利可圖，讓大家得到不同的價值。早在7月份的時候，也是由方興告訴大家我們對云安全的態度，今天我們也是邀請方興，更進一步的講清楚我們生態開放的策略，我們的方法，以及我們的目的，以及后續的策略。有請方興。 方興：各位嘉賓，晚上好！ 今天來到這里講，我壓力挺大的，特別還有這個直播。因為今天我一進來，有一位女士就對我說，你穿得太糟糕了，然后大家也還記得9月23日我們跟安恒的戰略會議，拍了一張照片，放出來，然后說，最屌絲的就是你了。因為以前我可能不太注重這一塊，因為我以前主要是講技術的，現在到阿里來了，我們更多的是講生態，更多的偏向黑技術這一塊了，所以對我著裝的要求更高了，所以我以后要注意不斷的改善。 今天跟大家講攻堅生態、共享市場、共筑安全夢，也是承接了臺上很多嘉賓，包括前面對我們的一些疑問，我們整個安全生態載運上面我們的安全，如何集合這么多安全廠商安全產業同仁的力量，我們一起打造一個安全的云，為中國的未來互聯網的基礎，IT的基礎建設來構造一個堅實的安全基礎。 在這一塊首先我們對云計算，安全的角度，云盾更多的時候，單純從技術上面很多的講計算×數據，把數據放在一起，我們通過合并在一起的計算來降低成本，實現彈性。但是如果更廣闊的去看，我們可以看到云計算還有信任和安全的問題。而且信任的問題是遠高于安全的，我是這樣理解的。我們經常在云計算去給客戶說我們可以把數據放在云上面，我們拿來說的是銀行，但是我們銀行我們可以看到，銀行首先要信任，而且我們發現云計算上比銀行產業有更多的信任上的要求，因為銀行當我們把錢存在銀行里面的時候我們是沒有隱私的需求的，我有多少錢存在銀行，他最后只要把利息給我就可以了。但是在云計算上還有很多用戶隱私的數據，在這個時候，我們不僅是要保證用戶數據的安全，而且實現，還得保證用戶數據的隱私。不僅僅保證用戶數據被攻擊者給竊取，還要保證我們自身作為安全廠商讓用戶相信，我們沒有在用戶授權的情況下他的數據是安全可靠的，就是我們也不能去拿到他的數據的，這是對云計算的挑戰。雖然說云計算對比銀行安全信任的挑戰，他更像銀行的保險箱的行業，你所進的東西都不知道是什么。但是云計算上面業務數據不能封死在上面，還要運行。在這樣復雜環境體系下面，我們怎么構建讓用戶信任又安全的保證呢？所以這是云計算最大的挑戰，我們要讓云計算發展成互聯網的IT的基礎設施的時候，我們就必須要解決信任和安全的問題。 那在這個當中，我們可以看到未來，從整個云計算的發展上面，目前是公有云是最終的目標，但是早期更多的在專有云上面，未來的一個趨勢還是在混合云上面。那么在這種每個云的上面我們都可以看到，事實上他對安全的需求是不一樣的。那在公有云上面用戶追求的是業務的可用性，數據的完整性，數據的機密性，隱私的保護，以及各種各樣的業務安全的問題。在專有云上面，相對是可控的環境，追求更多的是保證安全合規，對安全威脅的視圖是可視化的。在混合云的時候更多的會考慮我怎么建設一個整體的域安全管理的體系，我的安全是要統一運維的，我線下我的專有云可能用了某一款產品，在策略上面公有云上面找到對應的保證我安全策略的一致性。這么多復雜的安全的需求，存在在這里，像剛才杜博士在前面講的，未來在云上的安全是非常非常復雜的，他不可能是由一個廠商獨立的去解決云上用戶的各種各樣的個性化差異性非常大的安全問題。 從這個角度去看呢，我們怎么劃定這樣的，我們云平臺廠商跟安全生態之間的責任？這是非常重要的這樣的一個劃分點。一個來說從云平臺廠商的責任，他要保證云平臺底層他的安全性，他的整個的架構、設計是安全的，整個的編碼是通過了像SDL這樣的工程保證，構建信任的可滲基的隔離的訪問控制的機制，來保證這樣的一個底層的安全性，包括防止攻擊者從虛機逃逸到物理機上面去。還有一塊在我們看來，云平臺還有一個云平臺廠商的責任，他要保證一個云平臺的基礎安全防護，這一塊責任更多的是整個網絡的可用性，我不能因為他的穩定，不能因為一個DDoS這樣的一個攻擊大致了用戶整體的網絡的穩定性。整個的業務系統在各種環境下面，包括物理的這樣一些環境，包括光纖被挖斷之后的可穩定，以及對平臺的合規以及環境的凈化，因為很多平臺都會有攻擊者利用資源優勢作惡，我們能不能監控到達規模的攻擊，保證我們整個云平臺安全的防護是可控的。同時還要做很多安全的兜底的工作，因為我們底層架構設計得再安全，系統都是有安全漏洞的，攻擊者還是有可能通過安全的漏洞去突破，拿到底層的物理機上的權限去逃逸他，再好的安全架構也不能保證。還有大量的虛機被同一個黑客組織大量的控制，這樣大量的安全的風險我們是希望能夠監控、能夠發現，能夠對他進行處置的。上面有用戶的個性化的安全，他自主的產品，他虛擬網絡安全的，虛擬數據的安全，用戶對自身合規性的要求，用戶的系統他要求可以審計。所以我們要保證用戶自主選擇的權利，他可以選擇我們也可以選擇第三方廠商。特別是各種各樣復雜的需求，我們不可能保證用戶所有的層面，需要更多的安全廠商提供更多安全的保護，讓用戶去選擇充分保護用戶的隱私與自主選擇權，來去贏得用戶對我們的信任。這個時候我們需要第三方的廠商進來，我們最重要的責任就是要構建這個云平臺廠商來構建一個安全的生態，提供給用戶去選擇。 在這個當中我們可以看到云用戶安全他需要的包括了很多東西，首先來說有第三方的產品，各種基于網絡的主機的和他的管理的各種產品。還有第三方的服務，包括前面等保證四的咨詢的服務，SssS的服務，MSSP的服務，人工分析的服務，運維的服務，加固的服務。還有第三方開發者能夠根據需要開發定制開發，特性API，用戶數據分析等產品。我們希望這三個方向都有各種廠商參與進來，提供防御的安全體系。 阿里云安全生態的定位。云計算是DT時代的基礎架構，但是安全是云計算發展的基礎。所以說這一塊沒有什么說的，我們必須要把云計算的安全的問題給解決好，才能去發展云計算。我們也看到我們阿里云要成為世界級的云計算平臺，我們未來是要跟亞馬遜跟微軟在國際舞臺上競技的，我們要跟他們競爭的，希望能獲得世界級整個的這樣一個面向國際的這樣一個市場。所以說在這個當中，信任、安全、合規就是我們阿里云要解決的目標。生態戰略要圍繞這么一個目標的話肯定是阿里云不二選擇，安全問題復雜性用戶自主選擇性隱私保護，要求我們必須通過生態的方式去解決用戶在租戶層面的安全的問題。 這里就可以看到我們云安全生態的這樣一個定位，在阿里的云平臺上去建立一站式的解決安全的問題，我們更希望的是，從用戶的角度和廠商的角度，我們建設成為一個橋梁，把云安全生態成為一個橋梁去提供。從用戶的角度來看，他需要什么呢？首先他需要一個方案的完整性。各種行業他根據不同的規模，它的業務環境，都有滿足對應需求的產品服務和定制開發，他都能夠在云上面找到我需要這種產品，云上是有給我提供的。同時他有選擇的多樣性的權利，他可以根據自己的偏好，可以根據自己的專有云或者私有云IT環境部署的策略的要求，所以說這種要求必然是由多個廠商來提供，假設他要選擇A產品不能是獨家的要多加的，他能夠基于各種條件去選擇他。另外一個是可集成的管理系統，各家產品的接口是統一的，便于用戶管理運維，并且集成后續的數據分析來提供服務。另一塊從第三方角度，他需要一個更大的市場規模，從目前來看我們公有云是一塊，未來我們有專有云、專有域，我們有沒有很好的機制把上云的產品不僅僅是同向公有云的市場，還有阿里的專有云來未來覆蓋的混合云的市場，給廠商提供更大的市場規模和空間。另外一個線上推廣，降低銷售成本。數據集成，和多個產品配合解決用戶問題。我們都知道中國一直沒有做起來的，各個廠商都不愿意去統一遵循的標準，我們是希望打破這樣的壁壘，利用我們云計算的優勢，為用戶創造價值，也是為廠商真正的創造未來。另外一個就是數據視野，因為每個廠商他只能看到他自己的數據，但是在云計算上面我們有更多的全局的數據，在不違反用戶隱私的原則下面，我們能不能把這些更多的數據的視野去開放給這些廠商，加快他產品的改進，幫助他能更好的去為用戶服務，這是他的需求，也是我們希望云安全生態能夠做到的目標。 所以我們云安全生態首先選擇了在用戶層安全這個層面上我們是全面的開放，因為用戶層安全我們必須保證用戶的隱私和用戶的自主選擇權力。在這個領域當中我們開展的領域是技術安全領域，包括安全檢測、網絡安全、主機安全、數據安全、應用安全，安全運維保障的服務都可以接入進來。業務安全領域：反欺詐、信息內容安全、帳戶安全。合規安全領域：合規檢查、安全審計、合規服務。安全管理領域：安全分析，安全統一管理，安全的咨詢。這些業務領域，我們都會逐步的向整個的安全的生態的廠商進行開放。 這當中我們云安全生態體系我們要做什么事情？第一我們要建立一個統一的銷售平臺，讓各家的產品、服務、第三方定制開發的廠商，都能夠上來，我們去做線上的推廣，把他推廣到阿里的公共云專有云專有域，包括未來能夠覆蓋的混合云的情況下幫他去推廣。同時要幫他授權計費，對用戶來說是云上一步完成的，給云的用戶提供更好的使用體驗。同時我們要建立售后工單，我們要保證產品的質量、服務的質量，通過這個售后工單我們提供統一的守候服務的體系。同時我們可以去檢控哪家的產品和服務對用戶使用的情況和真正質量的情況，最后我們可以以他作為權重調優他在推薦榜上的推薦排名。同時在第三方的廠商推出產品定制和服務的基礎上面作為更多的基礎，一個是企業級的數據介入的API，讓他更好的調用底層的API，讓他利用云計算各種底層的API提供數據。再上提供威脅情報數據開放服務，因為在這上面我認為未來安全的發展，是數據為核心，數據為驅動的，以典型代表趨勢就是威脅的情報，但是威脅的情報要擁有大數據的視野才可能匯集更多的情報，做更多有價值的東西。在這一塊，而且是我認為這個發展TI的發展，是安全發展的未來。當然產品是很基礎的，但是要真正為用戶解決真正的問題一定是基于用戶真正的服務。在這一塊，我們會基于阿里云的數據優勢去匯集我們在TI上的各種情報，包括在前面吳翰清提到的DDoS，我們后面也有很多威脅的情報在追蹤全球各種的發起DDoS攻擊的包括他的組織，包括他控制的他的資產，對他進行監控。同時利用這些數據，實際上可以有效的去遏制攻擊者，包括最后的溯源。在另一個，如果能夠達到溯源的話，未來網絡安全一個很重要的職責，我們現實生活當中的安全之所以能夠有效，實際上是我們在法律體系上有一套溯源和真正成熟的措施，但是在網絡安全上是弱化的，所以攻擊者的風險和成本是非常低的。那么推動溯源能夠造成他真正的危害的時候，才能真正造成網絡風險的，提高他的成本，降低攻擊的情況。所以我們會利用這些數據，去為我們的廠商提供更多威脅情報的服務。還有一塊我們可以會匯集更多威脅的知識，因為我們有全部的數據，去匯聚更多的威脅的知識庫，惡意的樣本，包括CC的更大的一些集合，把這些能力也去開放給廠商，讓他們能夠去為用戶提供更好的這樣一些安全的服務。我們希望制定一個統一的數據接口的標準，這個要求我們的廠商能夠按照這個統一的數據接口，把各種廠商產生的日志結合起來，讓更多的廠商看到數據，便于后面分析。我們現在也在討論，包括回去的控制，也需要納入到我們的標準當中來，這樣就便于未來我們做MSSP的廠商，可以基于統一的控制協議，更好的為我們用戶提供MSSP的服務。另一塊是針對開發者創投和扶持基金，來把整個產業給發展起來。 所以說在云安全市場這一塊，一個要打通統一的市場，同時提供廠商獨立產品和服務展示櫥窗。提高在線營銷和推廣服務，提供售后服務體系。我們還有一塊針對各個行業去做他推薦的解決方案，這個推薦的解決方案，他沒有偏好性，他只是根據每個行業和規模的情況我們去推薦他應該建立怎樣的一個安全的架構，對應的產品我們是推薦比如說你需要防火墻，但是用戶要選擇購買防火墻的話，他會連到我們的市場來，我們市場會依據排名給他推薦上云對應的廠商的產品和相應的服務。這一塊對我們還是有挑戰的，主要還是如何去打通整個公有云專有云的體系，然后把我們的解決方案覆蓋到用戶那邊去，最后給廠商們建立更大的市場環境。同時，去監控他整個的體系。 組件級的接入，一個是SDN串聯接入在開放，讓他的產品很方便在VPC當中去接入。另一個就是支持第三方自定義鏡像，支持高端設備加入到云端來。未來我們會去開放更多的API。 另一個，我們云安全魔方，這是提高安全威脅情報開放服務，目前我們開放內容，文件，漏洞安全檢測能力。還有開放用戶安全管理和安全大數據的分析API，還有更多安全能力開放。 這個創業基金實際上我是我們沿襲了整個阿里云對創投的基金，我們也把他引入進來，對合作伙伴在安全行業的安全的支持，包括融資協助，孵化器園區入駐，扶持基金，線下活動的支持。 另一塊著重要提的就是數據接口，目標就是讓所有云上產品基于統一數據接口提供系統的警告與日志，從用戶的角度便于用戶統一運維、審計、分析和管理他的數據。但是本身這個是我們的實現是基于用戶隱私的，他是一個API中控方式決定的，最終由用戶決策是否打開這個API，達到直口產生的數據都歸屬于用戶，用戶并負擔相應的費用。用戶可以自主選擇將數據提供給各廠家產品和服務，便于獲取這些廠商產品的服務。用戶可自主選擇將數據提供云平臺廠商以獲得相關產品與服務。 目前，我們生態的工作，今年才逐步的在開始開展，我們做得比較大的改進一個是ECS逐步支持第三方鏡像，VPC支持虛擬網絡設備，我們引進了十幾家相應合作伙伴，未來我們會引進更多的服務廠商，相應的第三方的開發者，做定制開發的廠商來提供服務和支持。 從未來來說，阿里云會堅持不懈的去走云安全生態的路線，從我們角度要解決云平臺安全，保護云用戶的安全，凈化云平臺的環境，提供云用戶信任與自主的選擇權利，這是我們始終堅持不懈的一個方向。所以說要同安全的產業一起，面向DT時代的安全挑戰，攜手共建更加安全可信的云環境。幫助安全產業進步，提供基于大數據的視野，開放阿里云底層API，提供威脅情報與能力。希望安全廠商能跟我們一起把他們的產品和服務逐步的云化，我們一起要制定統一的數據接口標準，去幫助用戶能夠更好的使用我們產品當中的數據，包括未來能夠更好的去支持我們的用戶區實現他們的MSSP的這樣的服務，也就為廠商自己獲得了未來的發展機遇，我們就能從傳統的安全廠商變成面向未來的面向云時代的安全廠商。所以說要勇敢的面向市場，我讓位包括我們的云盾，也是一樣的，我們的安全廠商我們的云盾都是要勇敢的面向市場，讓用戶自主選擇，優勝劣汰。謝謝大家。 主持人：感謝方興的介紹，我覺得在之前，我們通過吳翰清的介紹看到了阿里云云盾的勇氣，在生態市場其實我們目前有了明確的一個市場開放態度，我們也講清楚我們技術架構以及未來我們產品接入的標準應該怎么去做，保證我們對開發者資金的扶持。我們已經有了非常好的生態合作伙伴，為我們安全生態提供了非常完整的解決方案。下面就有請我們安恒信息的楊勃為大家帶來他的安全解決方案。 楊勃：非常榮幸有這個機會在這里把我們在云上面的一些安全經驗跟大家做一個分享，其實這個題目有點大，我們不能叫做方案，應該更多的是我們這一年以來，我們和阿里在云上面尤其是在個別電子任務系統上面應用的一個經驗分享。 今天也非常的感動，因為現在已經8點多了，還有這么多的同行，這么多的伙伴，還在這個地方。還有很多兄弟，好象也還沒有吃完飯。我廢話少說，我盡快把握節奏，不影響大家吃晚餐。 首先我覺得我還是代表我們傳統的安全廠商，談一下我們在阿里云上面，我們是怎么去理解的。首先，我們覺得生態云，或者說云的生態系統里面，首先他具備了云的基礎平臺，我們在推云的服務。更為重要的是，我們是面向了我們的云租戶，是否這樣就可以了呢？在從目前我們來看的話，很重要的一塊，就是云的安全。這個云的安全，他涉及到本身的一個基礎平臺的安全，涉及到我們租戶最終的一個安全，那么這些安全措施，如果沒有一個好的保障，其實他很難形成一個真正的生態系統。 那么云生態這里面安全的角色呢，我們認為他有最基本的三個屬性，第一個安全他要相對的獨立，第二要盡可能的覆蓋全生命周期的一個安全，從我們整個系統的建設，業務的開發，上線的運行，最終整個數據的銷毀，需要全面的考慮。另外我們在云上面的安全盡可能做適云化，就是我們的服務化、虛擬化、可視化。剛剛各位專家講到，我們傳統的廠商我們講到安全解決方案，講到服務，第一印象就是想我要上個盒子，放在什么位置。那么這個時候我們必須要強調我們的適云化，把我們的一些能力輸送到這個云平臺上面去。 云計算成為發展趨勢，前途很美好，但是現實也很殘酷。我們接觸過很多客戶，因為我們本身一直是做B2B這塊的，很多用戶他們都在線路也有很多糾結，也知道云上面的好，但是一直還是在猶豫不前。與此同時國家的政策，尤其是一些企業已經在快速在云這個領域快速的前進。 當然，我們在云上面同樣面臨非常多的一些安全威脅，我這里摘抄了一些國際上比較嚴重的事件，比如說亞馬遜、谷歌、蘋果。無論是在云上，還是我們無傳統的網絡當中，信息安全他所面臨的這些威脅從來沒有減少過。我們去拜訪很多用戶，傳統的網絡架構他面臨的一些問題面臨的一些困擾，因為看上去好像在云上面這些問題解決掉了，比如說存儲上的隱患，比如說我們線路或者機房災備，一系列基礎性的問題，感覺遷到云上去很好的解決。但是我們很多用戶他的一種抉擇，要么不要去碰云，要么把不重要的邊緣性的系統放到云上面去試試看。最主要的原因，我們用戶和我們溝通下來，他有一種解釋，他說是一種信任，他覺得安全沒有保障。安全在云上面和傳統上面有沒有差異化，以及上面的安全怎么保障？無論是我們云平臺上的企業方還是安全廠商還是用戶，在這個新的領域，都很難有一個比較清晰的一個認識。另外一方面，在云平臺上我們總體來看的話，他面臨至少三個緯度的威脅，第一個云平臺自身的安全。我想今天這個會議至少到我們現在為止，前面基本上我們重點都在強調，我們云平臺自身的安全怎么去建設，怎么去保障。因為這是非常非常重要的一個基石。那么在此之上呢，我們其實無論在云里面，還是我們的傳統網絡當中，最基本的我們有一個安全域的概念，我們原來的話，我們說運維，我們說維護，可能就是機房隔壁的事情，感覺在自家里一樣，可以非常靈活的實施。現在在云上，無論是我們對外提供服務的訪問，還是說我們對他運維，都是通過互聯網遠端去操作，這時候我們的邊界在那么，安全防護怎么去落實，這是很多用戶面臨的挑戰。尤其嚴重的問題是什么呢？我們現在的應用系統越來越多，我們原來可能是關注的是網絡安全，或者說整個體系架構的一些安全。但是現在尤其是在業務層面上的安全，我們很少有人意識到，或者說很少有比較好的解決方案，這一塊恰好是當前我們客戶面臨最嚴重的挑戰，我們系統上的越多他面臨的問題越多。 那么這些問題，他不僅僅說我們用傳統來說，用一個單一的產品或者某一個手段就可以解決，隨著我們在這個應用系統上數量的增加，他所面臨的風險也會越來越多。那么這是我們做了一個簡單的對比，在云的上面，和我們傳統上面他有一個什么樣的差異。傳統的網絡當中，他有一個比較好的優勢，雖然我們現在說網絡的邊界，他逐漸的在消亡，但是在傳統網絡當中，至少我們還會說數據區、服務區、云維區，辦公區，還會有安全域的概念。但是在云上面我們安全的問題，并不是傳統的問題他壓力消亡了，而是在集成傳統安全的問題上的同時他又衍生出了新的問題，包括我們的云維、開發，面臨一系列的問題。 二、云安全解決方案 我是解決了阿里這邊整體的安全架構，我這里談一下我們對安全的理解。安全我們認為是三個方面來保障，第一個是整個平臺的安全，整個平臺的安全，其實對于我們云租戶的話，我們如何去選擇哪一個廠商，或者說哪家的基礎云平臺提供商。第二塊是云租戶的安全。這也是方興剛剛重點在強調的，我們最終的用戶，我們在這個生態環境當中，我們怎么去保障他的安全。另外一塊，我們整個安全運營，怎么去保障，我們前面可能是一些手段是一些措施，那么我們的服務，怎么通過服務，把整個系統提供一個比較好的一個安全。 在云平臺這一塊呢，我今天就不在這里獻丑了，其實前面我們阿里這邊已經做了非常多的闡述，我后面就直接跳到我們在云租戶這一塊的安全一個建議。 云租戶這一塊，應該說也是我們近年來在云上面，尤其是面對一些電子政務，或者一些重要信息系統，已經遷到云上面我們做的相關的工作，我這里給大家做一個匯報。首先的話，我們云端對他在云上的系統做一個全天候的監測和運營服務，包括云監測、云防御、云運營。他的數據和運營安全方面，我們通過數據庫審計、數據庫漏掃、運維審計。應用安全，包括訪問控制，應用安全防御和審計，應用安全檢測，云加速和流量清洗。除了傳統網絡層的防控之外，更多的是在應用層的一些防護的策略，包括業務層的一些威脅進行分析挖掘協助處置。 這是我們在云租戶場景當中一個比較典型的布置方式，我們通常會在云租戶的銷網絡當中提供接入的時候有Web應用層的防護，然后對他的業務系統進行一個深入的Web應用層的掃描，包括它的業務系統從掃描到防御，到最終他網絡行為所有的流量分析，進行一個全天候的分析和預判。同時針對他這個網絡當中的運維以及運維人員，我們通過專門的云堡壘，進行統一的入口的認證管理，包括重要指令的封殺，這樣保證我們用戶后臺管理相對合規安全，把運維風險盡量降低。 更重要的一塊是我們借助現有的一些基礎設施，安全設備，我們這個基礎上提供MSSP服務，這個服務也是非常感謝阿里云提供了這么一個開放的平臺，以及接下來細化的接口，使我們安全廠商有這種可能，為我們云上的用戶集層更多的數據，最終形成我們的安全價值，讓用戶他的安全水平提升到最高。 在下面就是我們細化的，云租戶Web防護這塊我們能做什么事情，包括云Web通用攻擊，協議層的檢查，抗掃描，還有很重要的應用層的代碼審計，還有銀行，他已經上升到我們的業務安全。有些時候，我們信用卡號，我們身份證號看上去不是一種特征或者一種攻擊，但是在特定的場合中被訪問，或者抽取的時候，他就是一種典型的業務層的一個攻擊行為。 第二個在云上針對用戶做應用層的安全審計。安全審計他重要做三個事情，第一個叫參與風險，我們假設在云上都有相應的安全防護設備和相應的安全防護措施，那么這個時候他的設備和措施是不是生效了，就是通過末端的安全審計，如果在審計環節發現了風險問題，很顯然他是有參與風險的，就意味著我們的方案并沒有達標。這樣就把傳統的攻擊快速的識別和防御。第二塊是業務上的一些欺詐，邏輯上漏洞的利用。這一塊也是我們當前最難處置的一塊，通常也是需要我們的廠商和用戶，甚至和平臺商相互去協調，最終才能把一些比較敏感的，甚至危害特別嚴重的數據進行查出來來。 第三塊是我們通過云平臺提供一個MSSP服務的事例，這是一個我們在云平臺當中不斷摸索的事例。因為MSSP這個服務他不限于說我們只是在云上，而是結合了我們現有的能力，通過我們自身大數據的能力，以及阿里云上云租戶的能力，最終形式一個綜合的MSSP能力，我們這里舉的是一個教育系統，某一個省的整個省的教育用戶，因為大家都知道，教育系統的網站基數比較大，而且他面對的問題相對來說比較多，因為他的管理水平相對來說是比較難達到一致的。那這個時候呢，我們可以通過統一的防護，包括統一的監測，最終對我們用戶提升一個比較全面的安全服務能力。這是我們現在正在摸索的一塊。 我們現在整個安全運營服務的一個能力，有是在Web安全外包方面通過三個方面來實現，包括初期的體檢、監測，到日志的監控，云安全的防御，最終實現了實時監測、快速響應、主動防御和積極反制的一個的防護效果。 云安全運維這塊，我們應該說是盡可能的收集更全面的數據來源，包括整個數據鏈路過來的網絡設備，或者我們節點的一些日志，另外我們通過互聯網網絡空間，我們采集到的一些數據，我們要去做整體安全運營從數據上有兩個數據，一個是靜態數據，就是我們這個系統比如他的內容，他的一些數據，我們只要去扒取都可以收集到的就是一個靜態的數據，這個是我們用來快速的對這個業務進行定位，他有沒有一些內容層面的一些安全問題的有一個重要的參考。第二塊數據就是動態數據，動態數據同樣是指我們訪問的行為、流量，這個數據通過我們各個節點，各個層級的這些數據進行關聯，包括他的訪問路徑，攻擊路徑，以及最終產生的影響，最終給他評估出來，這樣的話依賴可以形成快速的響應能力，結合線下應急響應團隊，可以把我們云上團隊服務提升到更高的水平。 這是我們安全運營中心整體要做的一個事情。 應急響應這塊也是我們做MSSP里面最重要的一塊，我們現在說了很多都在云上，是不是我們所有的都是及其可以搞定，或者我們遠程處理。不是這樣的，我們有很多工作需要專業的應急團隊去處置和實施。 我們現在已經在針對我們的用戶在MSSP這塊在提供一些7×24小時的服務，包括我們用戶當前有沒有遭受攻擊，包括整個服務區域內安全形勢是怎么樣的，都在第一時間去進行分析，最終把數據結合到我們服務用戶里面去，包括我們用戶他所在的一些區域，他所在的這個行業的整體的安全情況，都作為一個宏觀的參考，最終把他輸入到我們用戶的服務數據里面去。 三、用戶案例 這是標準的工作流程，這里不過多闡述了，這個是我們在做的重要信息系統，通過MSSP怎么去保障的，這也是我們包括一些重要信息系統我們在遠程的監控過程當中，通過網絡層的安全問題，主機層的安全問題，以及我們的業務層內控，最終達到一個比較好的防護效果。 后面我簡單的聊一下，我們在云生態上面的一個安全的展望。因為現在云上面的安全也好，云整個生態也好，現在才剛剛起步，所以我想更多的就是希望在座的各位無論是云租戶的還是平臺廠商，多給我們安全廠商一些機會，多給我們一些視點，或者說多給我們一些好的建議，我們一起把這個安全的水平提升好，因為安全水平提升好了，我想整個云平臺的信任度也會增加，這個時候最終受益的還是我們云的租戶。 主持人：感謝安恒給大家帶來的分享，下面有請第二位合作伙伴我們駐云科技給大家帶來他們對云安全生態的考慮。 喬銳杰：大家晚上好，其實做安全這塊分享的話，上次在9月份的時候，阿里云大會上我做了一個關于運維與安全的分享，今天還有一個機會，這么晚，能夠跟大家來一起來交流以及分享一下，我覺得這個機會也是非常難得的，我自己也非常榮幸。 說到安全這塊的話，其實我本身也是對安全這塊感情是非常深的，因為我本身也算是一個80后，我記得我當時讀初中的時候，當時紅警，星際爭霸特別火，在高中的時候初中的時候學校都是封閉式的管理，我記得很清楚，晚上跟同學一起翻墻出去網吧包夜上網，在打星際爭霸的游戲。我從小學初中的時候對網絡安全就特別感興趣，我就跑到網絡里面盜號，盜傳奇的號，盜密碼這塊，所以我對安全有很深的感情。以及到后面，大學里面其實也做了幾年黑客講師，再到后面介入云這塊做安全，然后做架構，以及做運維等等這塊的一些事情。 所以我本身從一個攻擊者轉為防御者，這一塊我本身有很多那種想法，以及很多那種經驗，希望在此這個機會跟大家一起來探討以及分享一下。 我記得我在2013年的時候，那時候還是在前面的時候，跟客戶做上云架構以及做一個架構師，跟很多客戶來做上云架構的方案和咨詢的時候，我記得2013年以前的時候，其實很多客戶對云這塊的認識，其實還是處于一個前期，當時從我本身來講的話，我覺得印象非常深刻的一點是什么呢？每次去跟客戶談這個問題的時候，客戶他就不相信你一個云什么樣的東西，他就不相信這個東西，你讓他把一個對應的數據或者一個應用布置到云上，我印象特別深刻的一點，我當時去做一個存儲的公司，跟他聊在阿里云這塊，以及公有云方面的部署方案以及思路的時候，讓他替代傳統的IDC這塊的應用的時候，跟他聊的時候，也是我當時在IDC封建思想的固化，你跟他講這個東西他就不相信，他就覺得云是騙人的，你把東西放到云上面來部署，他不相信云的安全性。其實我記得2013年的時候，我記得印象很深的，當時阿里云拿到了云國際的第一張安全認證的金牌，跟客戶也解釋了半天，阿里云如何在機房里面如何在各個方面做的安全性。 其實從2013年那個時候跟客戶做方案，以及到2014年，2015年，我覺得云上面形成了巨大的轉變，現在很多時候不需要跟客戶說云計算是什么？云計算的安全是什么？在這個階段沒有必要去跟客戶解決這么一個概念性的東西，因為云本身就是未來的一個趨勢。到現在為止，云越來越被客戶所接受，所以說現在客戶遇到的更多的問題，并不是說我怎么去跟你說這個云這塊的一個底層的概念，或者安全。更多是什么呢？客戶在實際使用云的過程中遇到的相應的問題，一上來客戶就肯定會問，一個游戲運用或者金融運用特別容易受攻擊，現在在應用層面或者技術方面的問題。 云上三大安全痛點，第一個痛點是云端權限安全的問題。我們跟客戶來對應的不管是跟他做方案還是做維護的時候，客戶遇到最大的問題是什么？他不愿意把阿里云權限或者是把服務器權限給到我們來給他做。我換一個概念，比如說你的銀行帳號和密碼，你愿意把銀行帳號密碼給到誰，然后別人說我還有什么用的安全機制保障，從你本身來講的話，其實你也不愿意把你本身的一個這種私密性特別高的權限或者是一些密碼給到對應的不管是第三方還是對應的人來幫你去做相應的一些事情。所以說，我們現在云上面客戶遇到最大的痛點是云端安全問題。第二個痛點是云端架構安全問題。用戶不會用這個東西，自然而然就會形成對應的問題。比如說阿里云帳號，或者是服務器，他把服務器密碼設置成123456，這個東西他在使用的一些過程中，不太注意，所以說產生了對應在云端架構以及在云端使用的一些問題。現在作為我們的一個點，客戶在使用云資源的時候，老是喜歡跟物理去比，比如說老是抱怨一臺云主機，和物理機性能無法作為一個比較。這可能是無法比較，因為云計算單臺服務器肯定比物理單臺服務器肯定低的，云端肯定是多點集成的。第三點也是最為常見的，我們在云端經常受攻擊，經常有客戶找我說，我服務器掛了，登上去一看全是后門、漏洞和病毒，你說讓我怎么去解決。你已經被別人入侵了，已經為時已晚了，這個東西已經處于救火的狀態了。再一個客戶受到一DDoS攻擊，系統對應的漏洞等等，這個其實也是我們云端的一些常見的一些攻擊的問題點。 所以說，從這些問題點，其實我們可以看到云端安全的生態圈。可以看出什么呢？我們可以把云分為IASS、PASS，SASS，我們阿里更多的是做Iass，比如說網絡、存儲、服務器、虛擬化，這些東西阿里已經給你做好了，我們的客戶以及我們的用戶，你自己拿來用就行了。至少從接觸到云這塊來說，沒有哪家客戶來說，還讓你去配那個交換機，搞網絡機房里面的問題點。為什么沒有涉及到這些問題點，阿里作為一個基礎服務提供商，更多把底層資源和硬件這塊都把你做好了。所以這塊不需要我們過多的去關心云接入。更多的是OS層，就是系統層，中心件、數據以及應用，這塊安全性沒有保障的。這些安全性的話，是需要我們客戶自己或者是我們供應商來去解決這些問題。因為，不管是阿里云還是亞馬遜還是微軟云等等，其實他只需要把底層硬件服務以及資源這塊做到安全，以及服務做得好就OK了，他沒有更多的精力是關注在Pass以及Sass對應的層次。 所以說客戶的需求以及對應面帶來了我們的一個機遇，以及成就了我們駐云的價值點，所以在阿里云很多客戶遇到的問題我們對應的就形成了對應點，有了問題我們就要去解決，回到前面我們三個問題點，我們這兒就給出了對應的三個解決方案。第一個面向客戶的權限的問題，我們有自己的架構云以及碉堡云的系統。我們這個系統可以對安全性的實時查看，以及實時的把控，做到權限明晰的控制。碉堡云或者堡壘機，運營系統，安全系統，大家在傳統審計系統，運維系統都有接觸過，我們駐云這塊針對于傳統系統上結合云的一些特點，作出了更加適合解決客戶對權限這塊敏感性的問題點。第二個我們上云架構方案這塊，更多的是分布式的一些安全架構解決方案，電商類、游戲云、金融云安全解決方案，再比如說Mongo oracle集群解決方案，Oss為大數據遷移解決方案，還有企業級解決方案，比如說我們在5月份，6月份左右的時候，我們跟脈脈做了天津機房做了大數據遷移，所以遷移過程中涉及到一些安全性，一些加密，對應的問題點，在一個在云端攻擊方面的問題點，涉及到攻擊這塊有個問題點，更多的是在系統層次以及在運維曾經，我們駐云這塊是有云端7×24運維，解決云端攻擊問題，專業運維流程，系統安全加固，監控安全，安全運維，來解決客戶在云端遇到的攻擊的問題點。 這里面有一個案例，我們有一家P2P的金融行業，在云端遇到了一些相應的問題點，其實涉及到金融這塊的一個客戶的話，我覺得都是一個非常敏感的，特別特別敏感的，特別是金融以及銀行這塊的客戶的需求。所以說，客戶遇到了三點核心的一個安全云對應的問題依序有什么呢？第一個金融行業安全敏感，客戶擔心運維的透明化。所以說他不放心我們工程師給他做這個事情，來維護這個事情。所以他特別擔心我們在他里面把他數據盜走了，或者是做了其他的影響他業務的不透明的一些事情。第二遇到惡意注冊問題。這個也是讓他們苦不堪言。第三遇到超過100GDDoS攻擊的問題，因為樹大招風嘛，經常被黑客打一下。所以解決方案也是我剛才說的三點解決方案，第一個我們駐云堡壘機審計系統，讓運維所有操作的明晰化透明化，客戶可以對全過程做實時的把控。第二個遇到惡意注冊的話，這是應用層次的問題，說難聽點就是代碼沒寫好，我們架構師協助客戶進行代碼改造，業務代碼架構安全做相應的優化。第三點我們遇到DDoS攻擊的話，針對系統層次，我們運維工程師進行安全加固+阿里云高防徹底解決高流量攻擊的問題點。 案例2，也是我們針對安全性的思考和考慮，面對各行各業的客戶應用系統安全問題，我們怎么做到定制化、自動化、個性化，這個事情也是我們剛開始跟阿里這邊來做的合作，結合云的API做定制化的解決方案，將安全的解決靈活性變得最大化。 最后我們駐云從事在云端客戶這種解決方案，不管是在上云培訓還是上云咨詢還是上云架構還是上云運維，還是有對應的產品來跟客戶低門檻以及高效率的使用阿里云這塊，其實在國內來講，類似于我們駐云這樣的公司。這方面的問題我們需要更多的那種第三方合作方，合乎是個人，或者是服務，或者是對應的一個公司一起來來建設云上的安全。 主持人：感謝駐云的分享，駐云是伴隨阿里云一起走來的伙伴，在云端的遷移上遇到了很多的問題，也有很多的解決方案。感謝大家最后的守候。我們進入最后一個議題是山石網科的榮鈺，給大家帶來的分享。 榮鈺：大家好我是榮，我主要是在負責云安全產品的市場推廣。其實能看得出來，今天因為談了很多傳統和互聯網的對比，我和我們楊總都是傳統廠商的，所以我們都西服戈履，穿得很正式，但是今天中午吃飯的時候，我旁邊有兩個阿里的朋友，他們對我們這種人的定義叫地推，我覺得也比較合理，我們很重視客戶，一般穿得非常重視來地推我們的客戶。前面有很多人都講了很多，我想提一下，為什么像山石這樣的公司為什么那么愿意來參與阿里云的生態。 對于我們這些做原來傳統安全的這些無論是硬件還是軟件的工程師，什么是我們最大的最欣慰的事情呢？就是我們的產品能更多的為我們的用戶服務。過去我們的傳統商業模式，包括我們自己對產品的定位，對市場的定位，所以我們的價格比較高，所以很多的用戶沒有辦法使用我們的產品。今天我在閉展前有一位朋友，他是做視頻監控的，原來視頻監控都是在私有的機房里面把數據匯總過去，用戶盯著堡壘房盯著很多視頻，現在行業有變化了，用戶希望在家里能看到，所以他現在開始把一些私有機房里面的東西遷到云上，很痛苦的事情就是安全。我跟他聊，他其實基本上不了解這個網絡安全的東西。我們希望以后，我們加入到阿里的安全云的生態，因為我們現在大家如果注冊了以后，我們也會給一個月的使用期的一個使用的時間。我們希望有更多的用戶使用我們的產品。能一直給我們一個正反饋。其實我最希望參加這次會議以后，結識更多的朋友，能夠一直在產品、功能、特性包括應用型上面。因為我們原來一說呢，很多用戶不會用我們產品，比方說我們的高端產品，現在我們希望更多的用戶能夠用我們的產品，能夠在應用上各方面特性上給我們一個正反饋，這是我們非常希望得到的，也希望大家如果有機會，明天去我們的展臺去掃一下我們的碼，去關注我們的微信，非常希望大家以后能給我們正反饋。 前面阿里云的同事，他說了阿里云盾做了一個產品，可以把安全做到主機里面，主機安全和網絡安全，是一直在爭論的一個事情，就是從安全行業剛開始，我覺得楊總可能有更多的經驗。怎么看待這個問題呢？我不認為網絡安全是一個過時的東西，舉個例子，我和楊總都是岳父俱樂部的成員，我有一個閨女，非常可愛的閨女，我記得她3歲第一次去幼兒園給我一個極大的沖擊，因為我發現她進到教室里以后，她自己按照一個我不知道流程去工作，先洗手，然后有一個榜單，插入一個小紅花。我發現她進入幼兒園以后我們兩個各自的世界她有一個獨立的世界。我再愛我的閨女，再心疼我的閨女，我想保證她的安全，我絕對不會再她的大腦你注入一個軟件，我只能像防火墻一樣守候在她的身邊。不知道在座有多少是孩子的父母，你會發現你有時候管得太嚴了以后，反而會降低孩子的創新性，他的這種勇敢的去嘗試失敗的的特性。我們今天很多人在談創新，創新是什么呀？創新其實要有膽量去嘗試這種挫敗，所以我不認為網絡邊界去做防護，去做這種網關產品是過時的解決方案，我覺得持續都會有。做在主機里面有做在主機里面的好處，做作邊界有做在邊界的好處。我們處理有阿里云的產品，還有別的產品，我們做那個云的產品就是做邊界的產品，我們沒有做在主機里面的，我們就守在閨女身邊，去保護我們客戶的主機，我們客戶的這些業務。 快速的講一下我今天的PPT，這里面看到了公有云的一個特點，其實談到所謂公有云有什么好處，包括虛擬化有什么好處，我覺得省錢是一方面，還有一個是保證你的業務的連續性，保證你把IT的運維人員真正精力放在業務上面，而不是其他的業務上面。估計現在很多公司也會遇到這樣的問題，你的系統跑得很好，因為他在那個環境里面那個業務他跑得很好，但是你必須考慮接下來要去上虛擬化上云，為什么呢？因為你的服務器如果換了一個電源，只是因為多了一點點灰塵，啪達，那個電源就燒壞了，你就要去舊貨市場去找一個類似你現在服務器的電源插上去保證服務器使用。云計算他的可遷移性有一個非常大的好處，你可以保證你業務的持續性。但是云計算的話，對我們這些做安全的人來說，其實是也帶來了很大的挑戰，我自己總結，我不知道有多少人跟我是同齡人，我原來看過一個動畫片，沒頭腦和不高興。我們在云計算里面我會發現一個新的一個問題是什么？沒有邊界或者邊界模糊了，再一個是不可視，很多事情你不知道，邊界模糊了以后他移動性非常強，還有一個整個的情況你都完全不了解到底是什么樣的，到底主機上跑了哪些虛機，這些都是帶來我們對于我們想做這種邊界安全，網關安全的這些人的一個極大的挑戰，這也是我們后面去談的方案我們去做的工作。 這一張是云中的安全問題有哪些？這是引用了一些第三方的數據，其實大家看到很多的數據里面，看到的一些問題，還是有非常的相同的點在這里面。我理解安全呢，是這么理解這個問題的，安全很重要一點是什么呢？如果你犯過的錯誤就一定不要再犯了，如果你再犯你曾經犯過的錯誤，那就是非常愚蠢不可饒恕的。我們看到現在很多的安全問題，還是我們看到的很多主流問題，包括數據丟失、什么口令啊等等，而這些東西是你已經過的錯誤，并不因為你遷移到云平臺就不會犯的錯誤，所以你就要避免你之前犯過的錯誤。我們既然傳統的邊界的安全網關已經可以幫我們很多已知的錯誤不讓他再犯，那我們就不會過時了，更何況我們與時俱進。 這張PPT是我們在談云的服務商，還有我們的用戶，包括我們用戶在選擇我們，為什么要選擇我們，我們應該有一些分工。大家分工來把自己的安全工作做好，誰也不能做更多的事情。因為有時候你做了更多事情，就像我剛才舉了一個例子，我不能限制我閨女太多，非常她這種探索的精神，創新的精神就被抹殺了。所以我們只能夠像阿里云盾，他就會把他基礎要做的工作，在我們這個紫色區域里面要做的工作是他要做的。有一些個性化的工作，比如說做一些新的東西，創新就要有風險，你需要自己去做，就在我們這個綠的區域里面，特別是在虛擬網絡，VM和應用這個層面，主要是我們這些用戶你應該自己去做好的安全的工作。在這個里面，像我們這樣的做傳統安全網關的廠商的話，會提供相應的解決方案來支持大家的工作。 這個里面實際上是整個的一個過程，比如我們要做這種公有云租戶，做邊界安全我們總結了有四步，前面是虛擬化環境的部署，包括多租住獨立的管理，租戶遠程的安全訪問，還有租戶私有虛擬網絡安全防護。 公有云的邊界防護，我們怎么合理定義你的邊界，像我們一般的做法，我們今天介紹主要的做法是把我們安全邊界定義在VPC無網絡，防護整個南北的流量，做多層級的防護。談到CDN如果在2—7層用戶不能夠找到集成在一起的解決方案，就會很麻煩，尤其在虛擬的網絡里面，因為我們原來做實體網絡我也是干了好多年，我至少還可以履限，那這個流到那兒，那個流到這兒，這是一個很可怕的事情，所以要提供安全防護一定是一個多層級的2—7層集成化的安全服務。 這是我們山石在阿里云上面給大家提供的一個整體的安全的解決方案，大家明天如果有機會可以去我們展臺來，你選擇的VPC之后，再選擇我們在阿里云上面云的鏡像，我們有兩種配置，一種是網絡吞吐量是2個G，還有一種是4個G，根據你的VPC出口的流量，來決定你要哪種VPC，你選擇我們的鏡像之后選擇相應的出口資源，然后再選擇付費。我們每一個用戶的VPC都有一個山石云的產品來對他提供2—7層的保護。 舉幾個例子，一種是在VPC邊界放了網關，我們可以直接VPC到整個外部網絡的防護，然后一個隔離，包括VPC子網之間的隔離，這是我們一般應用的情況。還有我們通過VFW的這個產品，我們是支持IPSecVPN，以及我們山石獨創的SCVPN，你的私有云的環境，包括你辦公室開發的環境，可以利用VPN安全的連接到你的VPC里面，做相應的維護，包括升級的工作。 這一張圖是服務器的一個負載均衡，我們的防火墻也可以做服務器的一個負載均衡，在你的VPC里面有不同的相應的業務群，或者服務器的群主，我們防火墻在做保護的通過也可以做VPC業務群負載均衡。 除了負載均衡以外，還可以支持iQoS的功能，區分不同的應用，然后我們關健維護的應用即使在有一些壓力的情況下，還能夠非常順利的連到你的VPC里面，對你的主機進行操縱。 因為我們剛才提到了，是我們提供的是2—7層的防護，那么你可以選擇一個你仆役起用他IPS做高層的保護，包括我們IPS提供基本的WAF的功能。 這是我們整個山石VFW達到能夠提供的整體功能特輯。 除了我們的山石云界的產品，還有山石云格產品，但是在阿里云這邊還沒有部署，有人認為我們山石云格產品有點像云盾，其實是不一樣的，我們是獨立于虛機之外獨立于主機之外的，他主要是保證保證虛機和虛機之間的一個安全通行，他有點像把我們傳統的分布式的多插槽的防火墻又延伸了，延伸到我們的虛機里面去，他可以保證虛機和虛機的流量的流量，可以看到流量的情況。除了傳統VFW之外，除了傳統的，去做虛機之間的隔離也是非常重要的。因為我前面提到的，云計算會帶來兩個挑戰，一個就是邊界的模糊，再一個就是不可視，這些東西會導致什么呢？其實我覺得會導致，我前兩天給我們的領導寫了一個發言稿就提到這個東西，有可能導致我們無論是公有云還是私有云，成為一個網絡安全的一個法外非地，有些人會藏在這些組織里面，因為現在很多高級的攻擊都是用一些惡意代碼來進行攻擊，所以我們確實非常需要類似這樣的產品，更多的產品去部署，人類歷史上有很多的發明都是什么呢？他發明了以后能夠有很大的力量造福人類，同時也有很大的力量去給人類帶來災難，比如說原子彈。那云計算也是這樣的，最早的時候有人跟我講云計算對帶來挑戰是安全的承載，你可以在AWS上很快租一大批主機，然后發起DDoS攻擊，攻擊完了把這些主機又釋放掉。像我們云格的產品或者其他廠家對主機保護的產品，如果有機會的話應該是讓更多的人來使用。 這是我們現在廣泛的一個合作伙伴，這張照片我估計是場內以及場外朋友最希望看到的一張照片。 最后總結一下，非常希望大家用我們的產品，給我們提供非常寶貴的意見，也希望以后大家用完我們產品以后，能聽到我沙啞的聲音，打一電話問你用的怎么樣，你有什么磚頭來拍我，雖然我不在跟前，但是還是希望能夠給我們提供更多的意見。 主持人：今天整個云安全的論壇到此結束。最后想講一句，我們今天的目的只有一個，希望和更多的伙伴一起去共同建設我們的云計算安全。