编者按:为进一步促进云计算创新发展,建立云计算信任体系,规范云计算行业,促进市场发展,提升产业技术和服务水平,由中国信息通信研究院、中国通信标准化协会主办的"2017可信云大会"将于2017年7月25日-26日在北京国际会议中心召开。同期将举办云安全论坛,多位重量级云安全领域专家将现身说法,分享他们对云安全现状和未来的独特观点、深入分析及思考。本期我们邀请到北京邮电大学杨义先教授,看杨教授带给你不一样的云计算大数据安全新视角。
专家简介
北京邮电大学教授、博士生导师、首届长江学者特聘教授、首届国家杰出青年基金获得者、国家级教学名师、国家级教学团队(“信息安全”)带头人、全国百篇优秀博士学位论文导师、国家精品课程负责人,《安全简史》和《安全通论》的作者。现任北京邮电大学信息安全中心主任、灾备技术国家工程实验室主任、中国密码学会副理事长、公共大数据国家重点实验室主任。长期从事网络与信息安全方面的科研、教学和成果转化工作,在国际四大学术名刊《PNAS》、Nature子刊《ScientificReport》等顶级刊物上发表过多篇论文。
一问:杨教授您好,最近您的大作《安全简史》业内广受好评,您给我们简单介绍下它的内容。
杨教授:嘿嘿,请听一段快板书!黑客到底长啥样,电脑病毒如何防?网络诈骗怎对付,大数据隐私---嘿嘿~,它会曝你哪些光?金童凭啥配玉女,加密认证历史长?数字版权谁保护,机要信息如何藏?虚拟货币多神奇,御敌咋用防火墙?安全管理怎么做,容灾为啥靠备忘?入侵检测有多牛,如何理解安全熵?安全经济咋考虑,安全系统怎导航?正本清源赛博学,可怜信息安全的专家哟---何时才能盲人不摸象?安全英雄要牢记,量子密码---它将在哪里现曙光……?读者欲知众答案,啪~(霹雳一声惊堂木),清清楚楚,它们就写在本书上!
二问:请问您写这本书的初衷是什么?回顾它的成稿过程,您最想感谢谁?
杨教授:促使我们下决心,最终动笔撰写此书的原因,主要有两点:
第一,霍金写了《时间简史》,布莱森写了《万物简史》,格雷克写了《信息简史》…。这些简史好不精彩!不但出神入化,而且还能改变读者的世界观!唉~,咱信息安全界,谁能出面,也写部“外行不觉深,内行不觉浅”的《安全简史》,来“为百姓明心,为专家见性;为安全写简史,为学科开通论”呀!可惜,论“文”,咱比不过“旅游文学作家”布莱森和“科普畅销书作家”格雷克;论“武”,更不敢比世界顶级科学家霍金。可是,又确实需要《安全简史》!怎么办呢?笔者不才,想到了“众筹”和“迭代”,即,为了引玉,先由我们抛砖,写一本初稿试试;然后,由广大读者来进行全方位的修改、批评和版本更新。希望“三个臭皮匠”真的能“赛过诸葛亮”。希望基于网络时代的“群智能”,可以最终集体创作出,越来越完美的《安全简史》,甚至突破信息安全界,全方位进入安全领域。
第二,本书其实也是《安全通论》的副产品。后者是我们最近几年来,一直倾情攻克的难题。其最终目的在于:以通信界的《信息论》为榜样,在信息安全领域,建立一套能将各分支统一起来的,基础学科理论。既然要想统一各学科分支,那当然就得首先了解(甚至精通)这些分支,而这显然不是一件容易的事情(即使是在安全界,有此余力者也不多);因为,无论从理论、技术、逻辑等,甚至从世界观和方法论方面来看,如今,各安全分支之间的差异,实在太大,几乎是天壤之别!既然已经好不容易,啃下了这一个个分支硬骨头,那又何不再加一把劲,干脆把它们写成科普,让别人(包括大众和其它分支的安全专家)可以更轻松地了解它们呢!于是,本书便诞生了。但愿有朝一日,咱安全界既有《安全简史》来“立地”,又有《安全通论》来“顶天”。
在《安全简史》的成书过程中,我最想感谢的就是读者。因为,此书一边写,一边在我的科学网实名博客上剧透,读者们反映特别激烈,提出了大量的优秀建议和意见。由于网络阅读量特大(超过百万),所以,本书纸质版刚刚面市,就引进了轰动,甚至网商累累断货。
三问:网络安全成全球焦点,您眼中当前网络安全大或最新的态势是什么?
杨教授:传统的安全防护已经无法解决万物互联时代的安全问题。传统的安全防护采用通用的软件来实现安全防护和病毒查杀,但汽车、飞机、烤箱显然不可能单纯靠装在设备上的软件来防护。今天的远程攻击已经具备了APT攻击的属性,即便设置了边界和安装上软件,也难以奏效。
四问:“云”成趋势,“安”是根本,您如何看待云计算浪潮面对的安全挑战?
杨教授:虽然云计算已经开始被运用到网络安全领域,但云计算环境是否是一个陷阱?是否会给用户带来伤害?云计算要解决安全性问题,很好地为公众提供服务,就必须解决以下三个层次的安全性问题:1、云安全如何服务,在当前的网络环境下,单独依靠一个终端去检查木马病毒,被认为越来越不可行,因此需要安全厂商通过建立云计算平台,承担恶意代码的检测工作。2、云自身的安全会不会受到危害,在云中提供服务,就意味着开放,而开放往往就等于不安全。这就好比开放的公共场所不可能安全一样。所以,未来的研究课题是如何保证云不被攻击,而且保证它能够始终提供服务。3、云如何保证用户安全,云中的用户程序的安全标准是不被分析,数据不被复制,从而保证商业秘密不被侵害,用户的数据不会被盗窃。用户需要的是一个可信的云,就是说保证云的可信是云得到广泛应用的重要前提。
五问:您认为传统网络安全与云安全存在哪些异同?
杨教授:云安全与传统网络安全并没有本质上的区别。自从有信息化开始就存在安全问题,其中包含数据、IDC、网络等多方面的考虑,可以说安全是一个非常古老的话题。现在虽然进入了云计算时代,但是对安全造成威胁的手段并没有变化,依然是通过木马、病毒和密码破译等几种方式来威胁用户的安全。而安全厂商也是用以前的解决方案、防火墙来解决这些威胁,所以至少在目前,云安全于传统的网络安全并没有本质上的区别。
六问:《网络安全法》正式施行,您对这部安全大法有什么思考?它有什么积极的影响以及不足待完善之处?
杨教授:这部网络安全法的颁布,不仅对国内网络安全治理有重要的作用,同时也顺应了网络空间安全化、法制化的发展趋势,有助于网络空间的治理、护航互联网。目前,中国已经成为名符其实的网络大国。但现实的网络环境十分堪忧,网络诈骗层出不穷、网络入侵比比皆是、个人隐私肆意泄露。《网络安全法》的出台将成为新的起点和转折点,公民个人信息保护进入正轨,网络暴力、网络谣言、网络欺诈等“毒瘤”生存的空间将被大大挤压,
不足待完善之处是网络安全法必须要明确该法的规制对象,即法律保护或惩治的对象是谁?对于中国国情来说,网络信息安全,首先需要解决国家安全和公共安全的问题,要将网络信息安全上升到国家和战略高度,没有国家的安全,个人的安全也无法保障。因此,根据我国实际情况和需要,并借鉴西方国家的立法经验,网络安全立法应走分别制定“网络信息安全法”和“个人信息保护法”的立法道路。两部法律各有侧重,“网络信息安全法”重点保护互联网领域的国家安全和公共安全,保护的对象既包括作为硬件设施的网络,也包括作为内容的数据信息等;而“个人信息保护法”侧重于保护公民个人的信息安全。
七问:您最看好哪些云安全技术或产品?
杨教授:云计算安全态势感知技术,通过收集企业各种类型原始日志和网络空间威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击。
八问:“云安全”如此多娇,引无数企业竞折腰,为应对云安全,不仅有很多专业云安全企业初创,也有传统安全企业纷纷转型,互联网云平台企业也纷纷与安全企业联合等,您觉得哪种形式更为有效?
杨教授:互联网云平台企业与安全企业联合更有效,专业的安全企业可以提供更为可靠的云安全服务。
九问:可信云大会已经举办三届,您之前是否参加过,如何看待这个大会?
杨教授:参加过,目前中国云计算产业实力得到增强,云计算信任体系初步建立,云计算认证正从1.0迈向3.0,总体上,我国云计算产业处于蒸蒸日上的阶段,这个大会对云计算产业而言,主要起到以下几点作用:1、推进可信云服务认证评估体系建设。2、推动政企之间的交流。云计算同样对政府部门的IT建设产生重大影响,通过云计算,能够进一步减少政府开销,提高政府部门工作人员的效率。3、深化国际合作,促进官、产、学之间的交流和沟通。我们不仅要在云认证信任体系建设标准上和国外合作,还要鼓励国内企业到其他国家企业里参观、学习。
十问:本次可信云大会安全论坛,您将给大家分享什么主题演讲内容?
杨教授:在本次云安全论坛上,我将给大家分享云计算大数据隐私相关的话题。先卖个关子,具体内容请来云安全论坛听我现场分解!
本次云安全论坛将由网安视界进行全程视频直播,敬请期待。