數字中國的場景，在我所工作的環境里，大概有十幾年，跟數字化、數據化打交道比較多一點，第一個比如數字政務，我們做互聯網+政務的平臺，已經上線，現在在內測，將會對全球推送。第二個是數字海南，4月18號習大大去海南省的時候，也有數字政務的概念，數字醫療、交通、警務等，我們剛剛承建了朝陽區的警務工程，這是數據共享的大型的數據項目。我們認為在“數字中國”，未來數字化會賦能各行各業當中。第五屆互聯網大會，我們提出三個詞，物聯、數聯、眾聯，在數字時代中國，萬物互聯是非常典型的標志。

這就是我們整個運營體系當中，不同節點的安全能力的使用情況。

主持人：尊敬的各位領導，各位來賓，親愛的媒體朋友們，大家上午好，這里是第十三屆中國IDC產業年度大典智能運維安全論壇，我代表主辦方對各位嘉賓和領導的光臨表示最熱烈的歡迎和最由衷的感謝，接下來請允許我向大家介紹一下出席本次活動的領導，他們是：    PCSA行業云安全聯盟副秘書長，太極股份信息安全事業部總經理  郭峰    IBM混合云顧問  黃衛    有孚網絡CTO  臧云峰    中國民生銀行信息科技部應用運維二中心負責人  畢永軍    中國建設銀行北京數據中心處長  郝麗萍     開源網安CSO，安徽區域Leader  夏天澤    感謝大家的蒞臨！在大數據時代，個人信息被泄露，被濫用已經成為不可回避的問題，安全已經成為互聯網領域永恒的主題，下面讓我們以最熱烈的掌聲有請PCSA行業云安全聯盟副秘書長，太極股份信息安全事業部走經理郭峰先生，為我們作信息安全1.0網絡安全2.0數字安全3.0——數字時代生態安全之道的分享，有請！        郭峰：大家好，我一看這個會場外頭很冷，咱們誰也不能走。我今天路上跟一個朋友微信聊天，現在大會論壇好多都是防火防盜防PPP，PPP寫得很好，但是實際不落地，我今天跟大家談談數字安全時代的安全之道的一個分享。我是來自于太極股份的，也是PCSA行業與安全聯盟的副秘書長。我今天演講的主題是1.0、2.0、3.0，在數字時代生態安全之道是我們通過兩年的研究和研發做了一些工作，今天跟大家作一下分享。    我們理解最簡單的概念就是“數字中國”，數字中國的場景，從我所工作的環境大概有十幾年，跟數字化，數據化打交道比較多一點，像數字政務，我們做互聯網+政務的平臺，已經上線，在內測，將會對全球推送。第二個是數字海南，4月18號習大大去海南省的時候，也有數字政務的概念。數字醫療，交通，警務，我們剛剛承建了朝陽區的警務工程，這是數據共享的大型的數據項目。我們認為在“數字中國”，未來數字化會賦能各行各業當中。第五屆互聯網大會，我們提出三個詞，物聯，數聯，眾聯，在數字時代中國的時候，萬物互聯是非常典型的標志。    我們看到很多宣傳片，所理解的是萬云時代的概念，我服務的群體看到的所有云，寫的所有方案必須是有云的方案，沒有云的方案基本上不可能的，但是很多客戶還在傳統的環境當中，包括用行業云，公務云，政務云，待會兒黃衛老師也會講到混合云的場景，我們面向的對象基本上都是混合云的場景。    我做了一張圖，是我們聯盟的圖，我們設計的時候，數字社會當中的安全就像地球上的物理社會和網絡空間社會一樣，來自于關鍵基礎設施，重要信息系統，重要的公共服務，在這樣的空間間如何能夠具有層次化，體系化，模塊化，清晰化的去做信息安全保障的建設，這是非常重要，而且具有挑戰的一個問題。    我們看我們所經歷的時代，在整個信息化發展的過程中，其實從主機時代到網絡時代，到互聯網時代，到現在的智能時代，在我們整個發展的過程中，我們在主機時代基本上以主機安全為核心，到網絡時代以信息安全1.0為特征，2.0的特征就是剛需+合規，3.0的特征已經步入了聚合生態和平臺這樣一個非常典型的特征。    Gartner在2018年發布的報告中，Digital  Security，在這個概念中把數字時代的數字安全講出來了，在國內我們正在跟工信部做調研，還沒有出現這個數字安全的概念，當時在2015年、2016年的時候，我們面臨著最大的困惑是什么呢？就是沒有真正的信息安全保障體系的整體解決方案。我印象非常深，當時國內最大的測評機構，我們在一個論壇上聊天，他們所測試的云平臺基本上是不合規的，當時我們所服務的黨政機關，包括行業用戶的安全體系，基本上是不健全的。    我們一直在探討數字時代的生態安全之道這個理念，當時發起了這樣的活動，當時講的私有云環境，2014年更多講的是公有云，發起這個活動之后我們成立了這個致力于云安全的標準化技術研究，為提供安全咨詢和安全保障，有兩個重點實驗室，這兩個實驗室就是行業云和政務云的雛形。當時在以阿里云為代表的，我們做完測評之后發現并沒有達到云上安全，當時成立理事會的時候，我們把聯合當中以集成商為代表的，以用戶為代表的，以做云上安全的其他方面的同事一塊兒聚合在一起，當時參與的單位有這么多家。    我們在2016年成立了成立大會，通過了專家評審委員會，把行業云聯盟的解決方案做完了。做完以后又定了兩個專業的標題，就是PCSA兩大平臺，第一大平臺叫云安全“銀河”云安全的PssS平臺，我們就是做了一件事，把所有安全能力聚合在了PssS平臺上，這個PssS平臺就是在把安全能力變成服務的轉化方式，是三件事，第一是做了資源化化，第二是生態聚合化，第三是彈性化，我們對接了廣東政務云，包括我們國家的國信政務云，北京市的政務云，還有海南的政務云等，我們在軟件定義數據中心的概念當中，大家都知道軟件定義網絡，軟件定義存儲，軟件定義環境，都已經實現，但是大家知道國內有多少家安全廠商呢？大概有1400家，總共在國內的安全營業收入不到400億，這個產業特別不小，說現在網絡安全特別火，其實不是的，國內也很小，在美國也很小，這個產業就變成了什么產業？每個公司只能做一個點的工作，沒有像工業云公司把軟件定義計算，軟件定義存儲，軟件定義數據中心那樣。用一個安全工具和安全能力，或者安全檢測的時候，會發現這個所有的能力其實不是觸手可及的，在云安全環境下會發現原來裝在公共機盒的安全根本沒有地方找。原來我們在傳統環境中看到的政務云，所有云，行業云的基礎設施的安全，已經抱著盒子沒有地方去。大家說全國做了4000朵云，我們調研其中有很多是僵尸云，沒有場景，其實是假云。一旦像我們北京政務云，委辦局全部上云之后最大的風險就是云上租戶的安全，需要的是把安全能力作為資源池化的進行調用，這就是我們看到的非常典型的一個趨勢。第二是等級保護2.0，中國的網絡安全法立法出臺，我們那天跟沈院士溝通的時候，曾經出了這樣一個事情，我們做網絡安全的和做食品安全的，和做橋梁隧道工程安全的，最大的區別是你寫了一個方案專家敢簽字，不怕擔責任，但是做食品安全和建筑安全的，簽完字如果出了問題會找你。但是網絡安全立法以后，這種情況專家簽字就要考慮了。所有的公有云，我們最大的公有云在國內可能是阿里和華為為主，還有三大運營商的公有云，他們提供更多的是平臺安全，還有是租戶，租戶上去以后，你買了云平臺以后，租戶安全怎么辦？我提供了大廈，每個隔斷，每間房子租給了不同的租戶，租戶的安全要自身來考慮，這是兩個不同的主體。    PCSA在國家信息中心，太極股份，包括網信辦的支持下，我們做了聚合中國關鍵安全能力，我們把安全能力的生態化，開放化平臺建立起來，把安全能力資源池化，可調度化、微服務化平臺。容器化的，微服務化，可調度化的，叫云安全PaaS平臺，不同的安全場景，就像云上租戶，甚至在傳統計算環境當中，可以選擇不同的合規化和個性化的安全場景，也可以重新定義。不同的安全能力廠商可以通過網絡與通信，設備與計算，應用與數據，信息安全管理與運維，重新去登陸。我剛才說已經一定要有落地的東西，把這個防火防火防PPP這件事變成一個現實。你的OA，功能交換，網站等等，分別處于公有云，私有云，行業云等不同的場景。它的場景有的是需要合規，有的是需要個性化的場景，在整個安全服務市場和安全服務能力當中，現在在這個平臺上已經聚合了國內較為優秀的三十多家公司，還有安全的服務廠商等等，他們把每一個基礎設施對應我們國內以合規為基線的對應場景，一一落在保護對象當中。由于時間的關系，我昨天刪了不少篇幅，這是已經應用在我們北京市政務云和剛才說的五朵云上。這里解決了最大的問題，我們把安全能力，軟件化，彈性化，資源池化，調動起來就可以把所有安全能力放在一個平臺上，我們搭建全國的體系。    這就是我們整個運營體系當中可以看到的不同節點的安全能力的使用情況。    第二塊，在每一個數字中國，數字政務，交通，警務，在每個云上場景，需要用新一代的安全管理來管理起來。我們調研了國內有很多云資源的場景，發現有一個巨大的問題，就是云管廠商可以做到資源池的管理，性能管理，包括其他的管理，但是安全管理在國內情況下云平臺，幾乎安全是很微弱的。大家可以看到在我的左手邊，我們用了很多關鍵的安全工具和能力，把全網的流量，使用的是（克萊），把全網流量收集上來，能然后進行協議的分析，對我們抓境外組織對我國的攻擊非常有效果。像（新能云）是唯一入選Gartner在主機管理層面的公司，我們做成了企業級的信息安全管理的態勢感知，行業級的態勢感知，城市級的態勢感知，只有這三個做完以后才有可能形成國家級的態勢感知。大家說這個態勢感知是怎么來的？是習大大在4.19會議上對于網絡空間設備上要有感知的能力，所以大家就一窩蜂的去做態勢感知了，但是國內的態勢感知是沒有標準的，沒有結合數字化的場景。    我們自己把安全態勢感知做完以后，在我們研究這么久的時候發現有一個最大的問題，沒有人對自己的保護對象最清楚，所以我們做了對于業務的分類和數據的分類，其實真正核心的東西，免備案空間 香港服務器，網絡流量，主機系統安全態勢，策略行為和用戶行為是最基礎的，可這些安全擴展做完以后才有可能把我們的安全技術，運維合二為一，能做到的高級安全分析是在網絡設備當中的ID和IP，這兩個做到絕對的關聯和分析。就像我們的身份證，在互聯網上查到的最核心的東西。所以，業務加數據經營，整個安全管理是核心，因為被保護對象要說明白。    這是我們自己做的，我們非常清晰的知道類似于以官網為核心的業務和以ERP為核心的業務生產，還有以業務支撐為核心的人力資源系統和OA系統，這些只是舉例，它都是業務，把每一個業務都進行了畫像，我們在互聯網上做人物的畫像，其實每一個軟件系統和數據系統就是一個應用，在應用過程中把數據資產做畫像以后，把業務資產做了畫像以后，就可以對業務的權屬，包括保護對象，資產，業務風險和業務策略，業務攻擊，包括支撐業務的流量，都可以很清晰的顯示出來。    對于所有的數據，我們曾經做了一個試驗，一萬臺機，能告訴我有多少是跟數據有關的？我們找到了1000臺跟數據有關的資產，又找到哪個是最重要的，哪個是一般的，我們做了流量熱度的測試。做完之后，在1000臺主機中只有不到20臺機是最核心的資產，我們叫它金條，剩下的數據資產其中有80%以上叫一般資產，類似于你的自行車，你的一本書。把數據也進行了畫像，做完畫像以后可以非常清晰的看到這個數據隸屬于誰，誰來運行，非常清晰的把每一個數據流量，數據的訪問路徑，誰能訪問的權限都給列出來，把全網的流量抓到。現在好多人做安全管理平臺，要從IDC上去取流量，現在不用了，現在的技術可以從一種設備取到所有的流量，從不同的維度取流量是非常辛苦的，而且是沒有效果的工作，我們做了一個200萬的審計項目，流量全收上來了嗎？收上來了，有用嗎？沒用，那就是垃圾信息，這些是我們在安全運行和管理當中碰到的問題。    我們看到了支撐業務的主機系統，在主機系統中所有的資產，都是裝在六點幾的系統中，在管理一萬臺主機的時候，我在10分鐘之內把一萬臺主機的資產可以清理完畢，知道所有補丁和版本號的對比，現在有很多創新的年輕人，（青藤）這樣的原來就是做游戲的公司，在互聯網服務器的時候發現這些問題，自己做了一個產品，我們今天的論壇叫智能運維安全，如果連基礎的都沒有做成就做智能運維？那是扯。    這些是我們國外拿回來的，大概有六家公司在做這些產品，就是策略可視化，就是我能訪問你和他能訪問你之間的關聯關系。很簡單，三句話，A到B點，B到C點，D到E點，是有訪問關系和訪問路徑的，在這種過程中我能到你們家串門嗎，或者我到他們家串門能路過你們家嗎？這種訪問關系要說清楚。我們在美國看到的一些產品，把一個網絡在安全域當中，越大的網越有價值，能看到所有防火墻和網關級產品的策略，我們在遼寧移動，包括在工商銀行，都在做測試和智能運維的時候，這個東西是相當有用的。    最后一塊，我們認為最關鍵的是用戶的總量和特權用戶，有多少人可以在場景當中去活動，特權用戶是有多少人具有賬號。我也曾經做過黑客，當年的黑客很簡單，說句實話，我們跟美國當時基本上都是用很微弱的工具進行溝通，我發一個指令過去，要很快的回過來，不像現在，當時做中美攻擊基本上是不可能的，因為很慢?，F在不一樣了，在這種情況下，如果在整個空間當中，在無邊界的互聯網疆域中沒有圈定一個范圍，有多少人在你管轄的網絡空間范圍內去做，包括特權用戶，如果要去做黑客第一件事情是把特權用戶賬戶拿到，如果拿不到這個賬戶，其他所有工作都是圍繞這一件事情，這個工具是高可持續性的，大家知道對特朗普大選的攻擊就是存在的。    未來PCSA聯盟，我們將把這兩套平臺分別部署在企業分中心，行業分中心和城市級分中心，服務對象是關鍵信息基礎設施，運營場景是私有云，兩地三中心，混合云，云租戶等場景。2016年到2018年，這個聯盟做了很多生態化的事情，有很多人投入進來，也做了解決方案還有很多案例，超過了2億以上的合資金額的案例。其實最核心的東西要有創新的模式，我有一個朋友做了一個滲透機器人，把東西往網絡上一放，可以找到哪里有漏洞，告訴你弱點在哪里，就像身體檢測儀一樣?？梢宰錾鷳B化，變成一種服務，有很多人購買。我們希望今天跟IDC圈很多云平臺做對接，PCSA聯盟聚合中國安全能力的平臺，會跟每個云都有對接的機會，光做云沒有安全，這個云不是安全的。    謝謝大家！PCSA愿意與各界生態伙伴攜手共御數字時代安全威脅，謝謝大家！    

會上，PCSA行業云安全聯盟副秘書長，太極股份信息安全事業部總經理郭峰先生，為我們作《信息安全1.0 網絡安全2.0 數字安全3.0——數字時代生態安全之道》主題演講。以下為演講實錄（未經本人核實）：

我們自己把安全態勢感知做完以后，在研究得時候發現一個最大的問題，沒有人對自己的保護對象清楚，所以我們做了對于業務的分類和數據的分類，其實真正核心的東西，如網絡流量、主機系統安全態勢、策略行為和用戶行為是最基礎的，可這些安全擴展做完以后才有可能把我們的安全技術、運維合二為一，能做到的高級安全分析是在網絡設備當中的ID和IP，這兩個要做到絕對的關聯和分析。所以，業務加數據經營，整個安全管理是核心，因為被保護對象要說明白。

我們在2016年成立了大會，通過了專家評審委員會，把行業云聯盟的解決方案做完了。做完以后又定了兩個專業的標題，就是PCSA兩大平臺，第一大平臺叫云安全“銀河”的PssS平臺，把所有安全能力聚合在PssS平臺上，這個PssS平臺就是把安全能力變成服務的轉化方式，聚焦于三件事，第一是做了資源化，第二是生態聚合化，第三是彈性化，美國站群服務器 亞洲服務器，我們對接了廣東政務云、國家的國信政務云、北京市政務云、海南政務云等。大家都知道軟件定義網絡、軟件定義存儲、軟件定義環境，都已經實現，但是大家知道國內有多少家安全廠商呢？大概有1400家，總共在國內的安全營業收入不到400億，這個產業特別不小，說現在網絡安全特別火，其實不是的，國內也很小，在美國也很小，這個產業就變成了什么產業？每個公司只能做一個點的工作，沒有像工業云公司把軟件定義計算、軟件定義存儲、軟件定義數據中心那樣。用一個安全工具和安全能力，或者安全檢測的時候，會發現所有的能力其實不是觸手可及的，在云安全環境下會發現原來裝在公共機盒的安全根本沒有地方找。原來在傳統環境中看到的政務云、所有云、業云的基礎設施的安全，已經抱著盒子沒有地方去。大家說全國做了4000朵云，我們調研其中有很多是僵尸云，沒有場景，其實是假云。一旦像北京政務云、委辦局全部上云之后最大的風險就是云上租戶的安全，需要的是把安全能力作為資源池化進行調用，這就是我們看到的非常典型的一個趨勢。

PCSA行業云安全聯盟副秘書長，太極股份信息安全事業部總經理郭峰

這些是我們國外拿回來的，大概有六家公司在做這些產品，就是策略可視化，就是我能訪問你和他能訪問你之間的關聯關系。很簡單，三句話，A到B點，B到C點，D到E點，是有訪問關系和訪問路徑的，在這種過程中我能到你們家串門嗎，或者我到他們家串門能路過你們家嗎？這種訪問關系要說清楚。我們在美國看到的一些產品，把一個網絡在安全域當中，越大的網越有價值，能看到所有防火墻和網關級產品的策略，我們在遼寧移動，包括在工商銀行，都在做測試和智能運維的時候，這個東西是相當有用的。

PCSA在國家信息中心、太極股份、包括網信辦的支持下，做了聚合中國關鍵安全能力，把安全能力的生態化、開放化平臺建立起來，把安全能力資源池化、可調度化、微服務化平臺。容器化的、微服務化、可調度化的平臺，叫云安全PaaS平臺，不同的安全場景，就像云上租戶，甚至在傳統計算環境當中，可以選擇不同的合規化和個性化的安全場景，也可以重新定義。不同的安全能力廠商可以通過網絡與通信、設備與計算、應用與數據、信息安全管理與運維，重新去登陸。我剛才說已經有落地的東西，把這個網絡安全變成一個現實。你的OA、功能交換、網站等等，分別處于公有云、私有云、行業云等不同的場景。它的場景有的是需要合規、有的是需要個性化的場景，在整個安全服務市場和安全服務能力當中，現在的平臺上已經聚合了國內較為優秀的三十多家公司，還有安全的服務廠商等等，他們把每一個基礎設施對應我們國內以合規為基線的對應場景，一一落在保護對象當中。我們把安全能力、軟件化、彈性化、資源池化，調動起來就可以把所有安全能力放在一個平臺上。    

Gartner在2018年發布的報告中，提出Digital  Security，這個概念把數字時代的數字安全講出來了，在國內我們正在跟工信部做調研，還沒有出現這個數字安全的概念，當時在2015年、2016年的時候，我們面臨著最大的困惑是什么呢？就是沒有真正的信息安全保障體系的整體解決方案。當時國內最大的測評機構，他們所測試的云平臺基本上是不合規的，當時我們所服務的黨政機關，包括行業用戶的安全體系，基本上也是不健全的。

大家好，今天跟大家談談數字安全時代安全之道的一個分享。我是來自于太極股份的，也是PCSA行業與安全聯盟的副秘書長。我今天演講的主題是1.0、2.0、3.0，在數字時代生態安全之道是我們通過兩年的研究和研發做了一些工作，今天跟大家作一下分享。

最后一塊，我們認為最關鍵的是用戶的總量和特權用戶，有多少人可以在場景當中去活動，特權用戶是有多少人具有賬號。我也曾經做過黑客，當年的黑客很簡單，說句實話，我們跟美國當時基本上都是用很微弱的工具進行溝通，我發一個指令過去，要很快的回過來，不像現在，當時做中美攻擊基本上是不可能的，因為很慢。現在不一樣了，在這種情況下，如果在整個空間當中，在無邊界的互聯網疆域中沒有圈定一個范圍，有多少人在你管轄的網絡空間范圍內去做，包括特權用戶，如果要去做黑客第一件事情是把特權用戶賬戶拿到，如果拿不到這個賬戶，其他所有工作都是圍繞這一件事情，這個工具是高可持續性的。

未來PCSA聯盟，我們將把這兩套平臺分別部署在企業分中心，行業分中心和城市級分中心，服務對象是關鍵信息基礎設施，運營場景是私有云、兩地三中心、混合云、云租戶等場景。2016年到2018年，聯盟做了很多生態化的事情，有很多人投入進來，也做了解決方案，還有很多案例，超過了2億以上的合資金額的案例。其實最核心的東西要有創新的模式，可以做生態化，變成一種服務，有很多人購買。我們希望今天跟IDC圈很多云平臺做對接，PCSA聯盟聚合中國安全能力的平臺，會跟每個云都有對接的機會，光做云沒有安全，這個云不是安全的。