安全可控抵御网络安全“洪荒之力”

　　“我已经用了洪荒之力。”这是2016年8月8日，里约奥运女子100米仰泳半决赛后，中国选手傅园慧在接受采访时说的一句话。这句话快速走红网络，甚至红到了国外。

　　然而，事实上，洪荒之力的原意是破坏力，而非褒义的某种力量。

　　传说天地初开之时，曾经有过一次大洪水，几乎毁灭了整个世界。这就是所谓洪荒之力。洪荒之力通常指的是足以毁灭世界的力量，通常用来形容不可控的危险的力量。而来自网络的威胁恰恰犹如洪荒之力，极其危险并且不可控。

　　如果把网络威胁比喻成这种洪荒之力的话，那么很多企业在企业网络建设和信息化改革时，通常会存在一种矛盾的心理，即进行信息化改革就会面临随之而来的毁灭性安全风险，不进行信息化改革就会使企业错失很多机会，可能会被淘汰出局。那么，安全解决方案提供商是否能够帮助企业建立更加安全可靠的防护之盾，抵御那些有可能将企业推向万劫不复之地的“洪荒之力”呢？从今年的各种安全领域的活动格外频繁的状况看，安全解决方案提供商确实还是有很多帮助企业防范信息安全威胁的技术。

　　今年很多安全解决方案提供商和机构都在发力，举办各种安全技术、论坛，以及博览会等活动。它们结合自身技术优势，与应用解决方案提供商进行更多的合作，为企事业单位提供更加安全可靠的技术解决方案。下面，笔者将就亚信科技（成都）有限公司（以下简称亚信安全）近期举办的一些活动和相关技术文件里来为大家简单解读一下。

　　群英荟萃论行业安全

　　2016年8月5日，以“安全可控·御未来”为主题的首届C3安全峰会暨中国云安全峰会在四川成都举办。该峰会是在中央网信办网络安全协调局、公安部网络安全保卫局、工业和信息化部信息化和软件服务业司、成都市人民政府、四川省经济和信息化委员会的共同指导下，由亚信安全主办。

　　该峰会通过回顾与展望不断演进的网络安全技术，深入剖析云时代的攻防特点，展现云安全落地生根的成果，将与会嘉宾带入了一个崭新、融合、可控的云安全时代。

　　成都市委书记、市长唐良智，成都市人民政府副市长苟正礼，中央网信办网络安全协调局局长赵泽良，公安部信息安全等级保护评估中心副主任张宇翔，工业和信息化部信息化和软件服务业司巡视员李颖，四川省经济和信息化委员会副主任王文胜等政府单位领导，中国工程院院士沈昌祥、邬江兴，以及亚信集团董事长田溯宁、亚信安全董事长何政等专家和学者出席了本届峰会。

　　来自海内外近2000名网络安全专业人士，紧密契合国家网络安全战略，在网络安全标准、云安全、大数据安全、移动安全、APT治理等前沿技术，以及覆盖政府、运营商、金融、医疗、企业等行业构成的十大论坛60多场精彩演和讲对话中，共同分享最新的研究成果和行业洞察，深入交流全球信息安全最新发展趋势，携手探寻安全行业未来。

　　充分认识云安全

　　十年前，谷歌正式提出了“云计算”的概念，被业界视为一项极具潜力的互联网发展方向，被广泛关注，期望它能够改变IT基础设施的角色，以及服务用户的商业模式。８年前（2008年5月），趋势科技在美国首次提出了“云安全”的概念，在云计算还尚未得到完全认可和应用的时期，引起过很大的争议，甚至被认为是“伪命题”。

　　但事实胜于雄辩，基于云计算技术架构（Cloud-Client）构建的下一代内容安全防护解决方案，以及Web信誉服务、电子邮件信誉服务、文件信誉服务、行为关联分析技术、自动反馈机制、威胁信息汇总等技术的先进性、高效率、有效性都得到用户的充分验证与认可。随之，各大安全厂商对于云安全技术的研发投入也逐渐加大，市场呈现出了更加细分化、多元化的产业格局。

　　从运营模式来看，目前云安全市场既包括利用云安全技术强化威胁应对能力，独立向用户提供安全服务的运营模式；也包括搭建云安全开放平台，向用户提供“即需即用”云安全的服务模式。

　　从技术特点上看，各大云安全厂商更是呈现百家争鸣的情况，从云数据中心底层平台实现安全可信到全流量日志记录和大规模数据关联分析为基础的大数据安全监测与防御系统；从基于PaaS、SaaS模式的软件开发和评估服务到基于云的身份识别与接入管理服务（IMA）。此外，还有安全信息与事件管理（SIEM）、安全威胁情报等细分专业提供商，其技术分支在各自细分领域得以迅猛发展。

　　另一方面，云安全领域的收购与结盟正变得愈加频繁，众多大型IT公司都在不遗余力地发展其云安全业务，借助资本市场的相互渗透，完善自身的技术、市场和产品。近两年来引人注目的收购例如：在国际市场，微软分别收购云安全厂商Aorato和Adallom，思科宣布将斥资2.93亿美元收购云数据安全初创公司Cloud Lock；在国内市场，去年9月亚信科技与趋势科技联合发布公告，亚信科技收购趋势科技在中国的全部业务，包括核心技术和知识产权100多项，同时建立独立安全技术公司——亚信安全。

　　独立运营的亚信安全不仅拥有国际领先的云安全核心关键技术和产品，更使得中国在世界云安全产业版图中占据了重要位置，对于保障国家网络安全与云产业安全，实施自主可控战略，具有重要和深远的意义。与此同时，为了减少企业在实践云、移动和大数据技术时所面临的安全问题，亚信安全将原有的通信安全技术与基于云安全智能防护网络（SPN）的云安全、大数据技术进行了全面融合。亚信安全不仅能及时搜集国内网络威胁情报，更可通过与分布在全球的15个恶意软件实验室的合作，在全球范围内追踪网络安全威胁的最新动向。

　　云安全与产业发展深度融合

　　从互联网发展的角度看，消费互联网市场已趋于稳定与饱和，对实体资源有充分把控能力的企业仍有很大探索空间，他们正开始尝试与移动互联网融合，创造全新的价值经济，进而推动互联网行业迈向产业互联网时代。

　　在产业互联网时代，Cyber（网际）、Cloud（云）、Communication（通信）构成了人们生活、生产的数字化空间，虚拟和物理的边界趋于模糊。不断发展的网络通信技术与依托“互联网+”的产业升级，在为人们带来效率提升的同时，也带来了新的安全威胁，一方面黑客通过多样化的攻击手段、专业的工具、有组织地获取高额的商业利益，另一方面安全问题对国家政治和核心基础架构会产生影响。

　　简单说，产业互联网就是“互联网+”或者“+互联网”的另外一种说法。随着“互联网+”与传统产业的深入融合，网络安全领域的自主可控问题逐渐凸显。“立体、可控、可视”的安全新机制，建设“大融合”的生态系统，已被业界视为应对当下威胁的最佳方案。

　　而要满足自主可控的需求，除了严格要求网络安全服务提供商的资质之外，关键是要做到核心技术的自主可控。为云计算和产业互联网创造更能普惠于民的价值，同时也为我国信息基础设施和产业互联网环境创新发展提供安全可控的未来。

　　全面提升自主可控能力

　　全球信息化已经进入全面渗透、跨界融合、加速创新、引领发展的新阶段。亚信集团董事长田溯宁道：“大数据、云计算、人工智能、正在让这个社会进行重大的变革。我们说数字化像一个新的星球，整个人类迁徙到这个星球后，安全问题就成为我们进入信息化时代最重要的话题。今天我们走向数字时代，这样的安全挑战，就像工业革命带来的进步和挑战。”

　　面对网络空间安全问题，以前封堵查杀的被动防护方式已经过时了，可信免疫的计算方式需要采取主动，从根本上解决。中国工程院院士沈昌祥认为：“作为一边计算、一边防护的新的计算模式，可信计算的计算结果全程可测可控，不被干扰，是一个防御与运算并行的免疫计算模式。通过主动识别、主动控制、主动报警，从体系结构、操作行为、资源配置、数据存储、策略管理等各个环节实现免疫模式，为安全管理中心构筑主动防御、安全可信的科学保障体系。”

　　“当前网络安全现状的不平衡，面对未知的漏洞、攻击等安全威胁，静态、相似、确定的IT系统架构成为网络空间最大的安全黑洞。”中国工程院院士邬江兴表示，“生物拟态现象为破解安全网络难题带来了启示，网络空间拟态防御的目标是在开源模式的“后全球”化时代，以不确定防御应对网络空间中不确定的安全威胁。拟态防御不是一个单纯的防御架构，而是具有集约化属性的普适意义的信息系统架构，针对未知的风险及威胁提供安全防护机制，从根本上改变网络空间攻防不对称。”

　　联袂发展才能抵御未来威胁

　　云安全生态圈的融合不仅仅是网络安全厂商优化资源、提升竞争力的举措，同样也是防御网络攻击的必然需求。如今，产业化的“黑产”绝非一家公司、一个技术团体、一款先进产品可以与之对抗的。如果要打赢这一场应对黑产的现代化战争，必须实现云安全领域的“大融合”，同时推进创新云安全技术的应用。

　　云安全厂商融合之路虽然艰辛，但却迈出了坚定的第一步，我们已经从技术上的共享合作、产品上的开放兼容找到了落地支点。其中，最具现实意义的是态势感知与威胁情报的共享机制，以及云数据中心基础设施中实现威胁防御的智能联动，都是业内成功合作和用户获益的典范。

　　首先，在基于大数据技术提升态势感知能力的今天，通过对网络犯罪分子的行为分析，突破数据采集和分析结果的单一化瓶颈，实现威胁感知数据共享，将成为我们把控未来的重要工具，可以使网络安全的“天平”向有利于防御者的方向倾斜。

　　另一方面，新型威胁更多地采用针对性攻击的方式，这意味着防守方可能无法提前获知特征信息，也无法进行拦截。云安全厂商之间的合作将有利于整合安全防护资源，通过更大范围的数据采集和更快分析数据的能力为用户提供“有针对性、快速可用”的威胁情报。而国际刑警组织（INTERPOL）与各国企业和政府在全球展开合作，借助其专业能力及动态威胁情报来实现全球执法行动，打击网络犯罪的做法就是最典型的成功案例。

　　其次，数据中心在演变，出现了从数据中心虚拟化到数据中心云化，再到软件定义数据中心的演化，不仅规模和复杂度要远高于传统的数据中心，而且广泛应用了Docker这一新型的应用容器引擎，传统部署于虚拟化环境下的网络安全解决方案并不能有效防护。另外，如何对数据中心内外网边界上通过的南北流量进行管控也成为巨大难题。这不仅要求适应于全新环境的云安全技术，还呼唤虚拟化厂商和云安全厂商强化兼容与合作。

　　针对未来数据中心的边界安全，亚信安全建议用户在HyperVisor层与云端部署亚信安全应用安全网关Deep Edge，并通过VPN进行连接，可有效过滤进出企业的流量，同时对入侵行为、网络威胁、病毒进行预防。对于Docker的安全防护需求，亚信安全推出了服务器深度安全防护系统Deep Security for Docker，可以保存Docker中镜像的配置文件、监控相同属性容器的活动，并在主机上检查网络情况，洞悉Docker中流动的网络安全威胁，限制黑客从外部、内部不受限制的节点发动的网络攻击，打造面向未来的云安全防护系统。

　　此外，在极具前瞻性和创新性的行动下，亚信安全与合作伙伴共同总结了近年来全球数据中心用户的安全防护现状与未来需求，并通过“适应化+感知化+软件化+平台化”的思路，为演化的数据中心安全展现了智能优化的能力。亚信安全正努力使其服务器深度安全防护系统（Deep Security）成为“全平台化”的云数据中心安全产品，并实现与VMware VCenter NSX、Citrix XenServer、Amazon AWS、Microsoft Hyper-V、华为FusionSphere、浪潮云海OS、新华三H3Cloud、中电华云ChinaCloud、中国电子科技集团公司KVM、红山vGate等云管理平台的无缝集成。

　　前沿技术驱动安全发展

　　现在，以信息技术为代表的新一轮科技革命已经促使互联网变革成重要基础设施，消费互联网也向产业互联网进行转变。互联网日益成为创新驱动发展的先导力量，无处不在的网络，影响着一个国家的未来。在国际网络攻防对抗和冲突的逐步升级，跨境网络攻击活动日趋频繁，云计算和移动互联网让网络防御边界日益模糊的今天，针对关键信息基础设施的重大网络安全事件接连不断，信息安全已经是国家安全的核心关注点。

　　随着APT攻击、信息窃取、数据泄露等事件时有发生，网络数据安全和用户信息保护形势日趋严峻，网络安全风险和威胁也进入到关系国计民生的各领域。与此同时，国家有关部门制定了“网络强国战略”、“互联网+”行动计划、大数据战略、“中国制造2025”等相关战略。

　　在这个时代的十字路口上，Cyber（网际）、Cloud（云）、Communication（通信）将构成未来网络安全方向，象征着在网络所构建的生活、生产空间框架内，“立体、可控、可视”的安全新机制。

　　C3安全峰会立意于网络空间、云计算、通信和立体可控安全，作为分享国内外网络安全发展热点议题和探讨网络安全前沿技术发展的年度盛会，对包括网络安全标准技术、云安全、大数据安全、移动安全、网络安全治理为主导的前沿技术，以及在“互联网+”战略下政府、金融、运营商、企业、医疗行业的安全发展，结合当下行业用户网络风险防御进行了前沿性探讨，对我国产业互联网未来的发展将产生重要影响。

　　此外，亚信安全在本届大会上还推出多个覆盖全行业的解决方案和立意深远的全新观点，其创新成果涵盖驱动未来网络安全融合的四个层面：面向公共安全服务平台的“信盾”、面向行业业务风险管控的“信风”、面向标准信息安全防护体系的“信御”防护体系，以及象征着以大数据为核心的安全态势感知平台“信势”，为行业和企业客户提供适应于未来产业互联网发展的优质网络安全解决方案和实践。

　　“安全可控‘御’未来”，作为C3安全峰会的主题，描绘了当前国内网络安全技术谋求创新的主要方向，同时也是全球网络威胁“联防”的大势所趋。网络安全已经上升到国家安全高度，网络安全是全天候、全方位、全局性质的对抗，只有加强网络安全的建设，通过加强能力建设来突破核心技术，才能把控信息化发展的未来，加快建设网络强国的步伐。

　　通过此次峰会，安全领域的专家和与会嘉宾共同回顾与展望了不断演进的网络安全技术，深入剖析云时代的攻防特点，展现云安全落地生根的成果，将与会嘉宾带入了一个崭新、融合、可控的云安全时代。在开放共赢的产业格局构筑过程中，一个真正能够发挥云安全无限潜能、携手打击安全威胁的大融合生态圈已初具雏形。

　　打造中国信息安全“第一城”

　　建设网络强国和国家信息化发展，离不开网络生态治理和网络空间安全的建设，而“坚不可摧”的战略目标，同样离不开政产学研用的协同创新。作为实质性的政产学研用联合举措，在C3安全峰会上，成都市人民政府与亚信安全联合宣布“亚信（成都）网络安全产业技术研究院”正式成立。

　　经过多年的培育，四川省正逐步成为信息安全产业高地。未来，成都市将以亚信（成都）网络安全产业技术研究院为纽带，吸引聚集国内外网络安全领域的各类创新要素，全面打通政产学研用协同创新通道，有效促进国内外高校院所科技成果在蓉转移转化，进一步提升成都市网络安全产业核心竞争力，推动成都市信息安全产业做大做强，有力支撑成都市“信息安全第一城”建设，将成都打造成为世界级网络信息安全产业基地。

　　针对开放式的产学研用协同创新的具体内容，亚信安全董事长何政表示：“网络安全是全天候、全方位、全局性的对抗，加强网络安全全局建设，护航现代化社会发展。亚信（成都）网络安全产业技术研究院的建设内容包括建设国际一流的云安全、大数据安全、网络空间平安城市和工业互联网安全四大实验室，以及安全态势感知平台、高级威胁调查取证中心等。同时，我们与高校院所开展深度合作，建立长效协同创新合作机制，并成立网络安全技术转移与成果转化基金，全面支持初创期的高校研发团队或创业企业，孵化具有市场前景优势项目，打造国际一流的公共技术服务平台。”

　　亚信安全：推动网络空间平安城市建设

　　此次亚信安全主办的C3安全峰会的目的在于汇聚各企业安全高管、海内外技术专家、产业领袖、智库、产业政策制定者，共探立体、可控、可视的安全之道。在C3安全峰会上，成都市人民政府与亚信安全联合宣布“亚信（成都）网络安全产业技术研究院”正式成立，它将助力成都市打造成信息安全“第一城”的战略愿景。

　　或许有人会问，亚信安全依靠什么来支撑这个战略愿景。其实早在多年之前，亚信安全就已经在安全领域关注一项重要的技术——态势感知技术。这项技术会对智慧城市建设起到关键作用。笔者认为，该技术与工控安全技术处于同等重要地位，甚至是智慧城市建设的前提条件之一。这一点笔者也曾在以前的多篇专题文章中提到并且反复重申过。

　　在很多场合，亚信安全都反复谈论过平安城市这一话题，这一话题其实与智慧城市建设密不可分。物理空间和网络空间的平安其实都是智慧城市的重要组成部分。借2016年C3安全峰会暨中国云安全峰会召开之机，笔者采访了亚信安全业务发展及产品研发总经理童宁、亚信安全副总裁刘东红和亚信安全TSG产品管理副总经理刘政平。

　　物理、虚拟均须有效管理

　　谈起平安城市，很多人可能想到的是人员防护和物品防护。但在网络空间平安城市建设过程中，由于物联网技术的广泛应用，技术防护也是重要的一个环节。

　　亚信安全业务发展及产品研发总经理童宁表示：“除此之外，还有其它几个领域需要关注：首先是网络空间的边界问题。很多年前，物联网还没有广泛连接起来，但如今万物互联。互联网的范畴更大了。攻击事件不仅涉及物理攻击，甚至可能涉及网络攻击。互联网是一个和谐大家园的说法在众多事实面前已经不攻自破。互联网没有边界，定义一个家庭、一个城市、一个国家的网络边界，这是非常难的。今天我们来定义一个城市的网络空间的时候，一个城市的网络有没有边界？有。从行为责任主体必须负责也可以得出网络空间是有边界这一结论。”

　　亚信安全的设想是在一个城市里面，通过技术手段，把关键的现实资产和数字资产整合到一个城市管理体系中，既可以对物理空间资产进行有效管理，又可以对网络空间资产进行有效管理。

　　网络空间技术人才需求旺盛

　　要实现对如此复杂的虚拟和现实环境的有效管理就需要大量的安全技术人才。北上广等一线城市是技术城市，安全技术方面的人才众多。

　　童宁认为：“在提出网络空间平安城市概念的时候，很重要的一点是除了技术本身以外，安全技术人才的培养问题。不仅高校里面培养这方面的学生，还需要有相应的岗位去让他们施展抱负。那么这个城市就拥有了一批骨干力量来支撑这样一个网络空间平安城市的人才体系。人才培养，要产学研结合起来，切实落实网络空间平安城市建设的基础。”

　　网络空间平安城市的服务主体是什么呢？换句话说它的用户群是哪些呢？亚信安全副总裁刘东红谈道：“在设计网络空间平安城市的时候，我们认为第一类主体是政府，政府在网络空间进行有效管理，保护公众资产和人身安全。第二类是企事业单位。随着网络安全法的实施，单位或者组织机构都拥有一些数字资产，它们有管理的责任，它们是责任主体。如果这个数字资产出问题，就会被追究相应的法律责任，因此它们需要采用更好的安全技术来防护。”

　　政府主导厂商放心跟进

　　在智慧城市或者平安城市建设过程中，安全解决方案提供商有很多，亚信安全只是其中一家，首先会面临其他厂商的竞争。其次，安全解决方案有可能通过云平台发送到云端，这就涉及很多城市内部或者个人的关键信息。一方面市政、医疗、金融等行业会有责任保护数据安全；另一方面，一些中小企业怎样才会放心将其数据交托给安全解决方案提供商去监管？

　　“首先，网络安全空间的责任主体，将在未来一两年逐渐细化，国家已经开始提出网络安全法；其次，相关部门已经明确提出了关键信息技术这样的概念。政府来主导，我们安全解决方案提供商来提供安保服务。”童宁进一步解释道，“由一家安全解决方案提供商来提供安全技术支持，运维可能由同一家来做。也许是多家一起提供安全解决方案，运维交给另外一家来做。亚信安全希望扮演发起人的角色。”

　　而在网络空间平安城市建设上，态势感知是不可或缺的一个重要组成部分。何谓态势感知？亚信安全TSG产品管理副总经理刘政平认为：“有很多漏洞和威胁是不明确的。我们通过大数据进行威胁数据情报分析，用一些智能方法把它们提炼出来。提炼出来之后，通过可视化系统，明了直观地展示其来源、攻击手段、可能带来的风险，以及可能影响的范围和发展趋势。”

　　在刘政平看来，中小企业很少提到态势感知这个词。而作为城市管理和运营方，政府会较多地关注，例如会担心航班安全起飞的信息系统安全性、城市运营是否遇到黑客攻击等很多状况。亚信安全把这个态势感知平台架构在网络空间平安城市这个层面上，需要大量的有价值的数据。亚信安全对网络空间平安城市的定位就是城市级的安全运营。

　　而亚信安全的优势在于，可以将定制化服务与标准化产品融为一体，能够满足运营网安城市的全部需求。此意义在于，虽然不可能“千城一面”，但如果100%进行定制，必然深陷泥潭，疲于应付，而一旦融入之亚信安全目前的产品中，工作量将极大降低。针对不同的城市，亚信安全提供的服务内核基本相同，只需进行有限的定制化开发即可。

　　在网络空间平安城市这样一个综合性的大项目中，亚信安全希望扮演一个发起人的角色，刘政平补充道，亚信安全不仅仅是一个发起人，亚信安全要与其他安全解决方案提供商合作，建立生态圈。建立生态圈是一种趋势，不仅在其他领域里，在安全领域也如此。

　　■本报记者 赵明