2018-08-14 15:00

　　何友斌：非常感谢各位专家、领导，也非常感谢李主任这次对我工作的支持，也感谢各位专家今天百忙之中抽出时间参与这个论坛。下面由我介绍一下我们今年新发布的云防御安全白皮书，以及新出的安全标准。

　　首先我从三个方面开始，一个是包括现在云计算安全现状与发展，一个业务安全风控产品技术要求简介，第三个云计算安全白皮书发布。

　　首先是市场现状，云安全工作者可能更关注是云安全工作整体市场情况以及开展情况，云安全工作的滞后性是随着市场环境来体现的，所以说云安全的市场情况和整个云计算市场情况有着紧密的联系。

　　半年多来，我们经过相关的安全测试及安全评估，发现了一些比较大的问题，首先比较明显的问题就是很多大企业安全工作特别被动。在座的很多来宾都是来自于一些云厂商，大家可能特别重视产品，包括提供哪些服务，对于安全这块大家只是说在思想上重视，但是落实起来还不够到位。我们也发现这里面有很多问题，在测试中发现现在咱们对对象存储上存的数据安全性存在问题，包括它是不是有反动、色情的，经过认证和校验的，很多供应商也对对象存储功能开发了分享、远程传输功能，这样对于传播恶意非法的信息创造了很大的渠道。做网盘的人都知道，现在云服务商在做对象存储，实现的功能就是网盘的功能，而大家对于网盘的功能和要求不太熟悉，导致我们在开发业务和产品过程中恰恰忽略了一些安全的问题。所以这里我们也提出，我们在做其他的工作过程中还要转变一些安全思路，因为三同步的原则，包括同步规划、同步建设、同步使用，把安全的被动工作变为主动。

　　第二点，目前没有一个统筹的安全部门，我们接触过的所有云计算公司的安全部门其实都是一个安全产品部门，是负责对外宣传安全产品，卖安全产品的一个部门，而并不是像传统的一些企业，包括我们传统的运营商，包括一些金融行业有一个专门的安全管理部门，做整体工作的规划和建设，所以导致有很多安全风险是不可控的。这里面我们也提出了用户数据泄露风险和截取风险。用户可以在存储过程中选择一些加密算法来进行数据加密，但是在加密过程中可能需要数据解密，解密过程中很多供应商把私钥分发给用户，用户通过私钥来进行远程解密。目前采取的方式都是把私钥从加密机提取出来，分发给用户，首先这是一个很严重的的问题，另外直接会带来的问题就是，如果私钥一旦被截取，可能造成用户的数据完全被窃取掉等风险。因此我们需要建立一个比较系统的、常规的、专业的安全管理，对一些工作进行集中常态化的管理工作，前面主要是在安全管理工作上。

　　另外一点，我们也发现很多云服务商提供的安全服务都是非常基础化的，包括目前都提供了云抗击、云WAF等等，而现在一些比较标杆的企业，可能基于自身的安全能力和自身的防控能力、安全服务能力对外提供的可能更多是特色化服务，包括我们常见的信贷反欺诈、交易反欺诈、内容安全等等功能。

　　安全现状2还是一个数据泄露的问题，包括刚才讲的很多案例，除了一些技术漏洞导致之外，还有很多从内部，这是我们发现的一些真实的案例。像内部的一些问题，很多大家在做数据备份的时候，很多往往不提供线上功能，而提供线下功能，线下功能很多是由管理员代用户操作的。线下备份功能有两种方式，一种比较常见的方式是把你的文件进行传输，测试过程中我们已经发现了很多问题，例如后台管理员可以拿到用户的文件。另外在安全运维的一些策略上，很多运维人员可以接触到用户的信息，包括平台上的帐号密码，你初始设置的那些东西，我们后台都能看到发现了很多问题。另外还有一个最主要的原因，这些用户的数据可能跟云服务商之间的利益切合度不算特别高，所以导致一些大家已知的安全问题被忽略掉，这是一点，另外随着安全监管的落实，可能对数据的要求越来越深。

　　安全现状3，安全服务模式下安全责任矩阵缺失。首先目前在责任上，公有云讲究责任共担，每一个节点的安全责任或者运维责任是由云服务商和用户共同来承担的，这是无可厚非的。但是这里面涉及到一个问题，一旦出现安全事件之后到底是谁的责任？如果我们自己的信息系统数据被泄露了，我们还会去反查，到底黑客怎么进来的，到底是系统漏洞、应用漏洞还是网络漏洞，是什么问题？还会彻底调查调查。但是在云计算服务模式下，因为服务商和用户之间所签有的安全协议是非常松散的，而且目前也没有具备特别细致的安全监控能力，所以导致很多安全事件发生之后，无法来落实到底是谁责任，也造成一些后期赔偿、整改和其他安全工作无法继续开展。所以基于这种情况，也结合通信行业比较通用的安全责任矩阵的说法，来希望在责任共担的模式下，通过明确相关的业务流程，把一些关键的安全控制点和控制要求更加明确的分工合作，把安全风险降低掉。

　　为什么叫云安全？这也是我从事云安全工作之后的一个最大误区，因为我以前是做传统安全的。我谈谈我的理解，传统安全可能比较核心的讲究的是运营安全，包括通过在网络安全、信息安全、应用安全上等等，确保运营安全。在云环境下，除了传统的运营安全之外，还要保证我们能对外提供一些安全服务，包括我们对用户提供用户数据保护服务，包括对一些安全趋势、安全供给模式的预判，来给用户提供相关的服务。所以云平台是两个层面，一个是运营安全。第二个是基于我们目前的能力，我们能给用户输出什么功能，就是结合传统的服务厂商能做的东西，在云上怎么更好的做一个输出。

　　这可能是目前的想法，再结合其他的工作经验，简单分析一个图，可能我们的安全工作从安全标准上到我们的服务支撑体系上、管理体系上等等的图，也是供大家简单参考。

　　安全趋势，可能作为我们来讲，我们可能更关注云安全发展的另外一个动力或者一个方向。其实综合来说，还是思路不变，还是服务驱动安全，通过安全促进整个业务的发展。最终的结果也是希望达到安全与服务的有效统一融合，因此有一个很好的思路，从安全法中的安全责任角度，来推动一些技术创新和服务创新。因为随着安全法的落地执行，里面强调了网络运营者的安全责任，目前在云计算条件下比较尴尬，到底谁叫网络运营者？云服务商也是网络运营者，但是上面的用户也是网络运营者，出了问题还是前面的问题到底是谁责任的？所以这里面我们感觉到下一步重点的发展趋势，从大环境上来讲可能第一步要进一步优化云安全的体系，坚持云计算下的管理创新、技术创新、保障创新，另外加快国产加密算法在云数据保护中的深度应用，推进云计算安全服务能力的可信评估。随着市场的扩展，用户上云，想找一个什么样的企业上云，可能是用户特别关注的一点，所以我们这块也提出了一些安全服务能力的可信评估，通过评估来验证用户自身的服务能力包括自身的运营能力，包括对外的服务能力，能提供一个更好的保障。

　　下面是回归正题，讲讲我们的风控技术产品。这里面因为目前云业务安全风控能力已经产生化了，就是我们很多SaaS服务都在提供很多相关的安全服务，这也包括应用安全、腾讯云等等，在阿里云的公网上可以看到很多交易反欺诈的相关要求。关于信贷反欺诈，天翼云也提出了个人和企业信贷风险能力的预判等等。因此针对前面的市场需求包括我们的研究，我们目前针对这五大场景经过多轮讨论，目前形成了一个基础要求，分五个方面。第一个是内容安全，我们对一些文本、图片、视频、音频。然后是针对反欺诈、管理反欺诈、信贷反欺诈、交易反欺诈。目前这些技术要求我们分为两个等级，一个是基本的，一个是增强级，增强级需要我们这款产品和服务具备的服务功能更加全面，用户使用更加方便，另外在服务自身安全性和产品安全性保证方面有更高的要求，目前形成大概这五个基础要求。

　　我们还没有形成完全的定稿，之后会再举行一次讨论，也希望感兴趣的可以加入我们的群里，大家一起讨论一下落地。

　　下面简单介绍一下内容，其中标红的是目前我们定义为增强功能所必须具备的，包括文本识别，我们常见的可能是对一些关键词进行匹配，另外是对于少数民族文字的支持。我们会特定指出常用语种，英语、法语、德语、韩语等等，另外还包括对违规语义的识别。图片识别上，除了常规的图片识别之外，我们还要求对图片中文字的识别，另外对变形图片的识别。对视频识别要求更高，除了文本之外，要求对字幕识别，另外还有对非常规尺寸和非场对亮度的识别。音频识别，基于音频转文字的技术跟前面的要求差不多，但是这里面对于音频转文字的技术可能有相应的要求。另外还有第五点，违规处置跟踪，因为目前都是只监控不过滤，因为这里面可能涉及到一个过滤的问题，所以在这种模式下首先我们要提供人工分离审核的规则。

　 交易反欺诈，功能要求比较简单，我们全部包含数据识别这块，没有基本要求和增强要求的区别，这些要求都是必须满足的，包括对银行交易数据的识别、虚假手机号码、可疑IP等等。关于规则管理这块也提出了一些特殊要求，包括我们常见的子规则的设置，包括对规则的管控要求，还有业务人员可对规则进行管理和配置，这也是现实中的一个具体需求。在模型管理方面，除了传统的构建模型和模型调优之外，我们还要求要支持机器学习等等的技术，来支持模型优化。

　　信贷反欺诈和前面差不多，功能要求比较特出的是信贷业务、信用卡申请业务、其他金融信贷业务。识别能力是支持个人、团伙、企业信贷识别，信贷申请、信贷审核、贷后间宽。身份及行为评估关联人身份及行为诈骗关联图谱，规则管理业务人员规则管理，还有其他技术要求。

　　最后一个是反钓鱼欺诈，目前防钓鱼的产品还有很多其他功能，包括对防冒APP、公众号等。监测范围除了常见的之外，还包括应用商店、应用市场、微信公众号等等，传播手段除了传统的告警预警，还有一个响应时间相关的要求。

　　这是针对上面五个系列标准，下面是云计算安全白皮书，现在已经写完了，也希望大家来参与，大家一块来讨论有问题的地方。下面是二维码，大家可以下载电子版的云安全白皮书，因为纸质的现在还有三四本，白皮书这块我们分了几个类，包括市场发展情况，十大安全风险，安全现状分析，政策环境，发展建议等等，很多我前面讲的一些素材也是基于这个来写的，大家可以简单下载一下。

　　另外我们还推出了其他的工作，这里面我们做了云服务用户数据保护能力评估的相关认证，这里面包括一些内部安全管控要求和国家相关政策响应的要求等等，目前通过的企业大概有13家，经过了两批测试。右下角的二维码是这样，因为我们前两批测试，也是属于摸底的过程，通过摸底也发现我们的评估标准或者策略方法有很多需要改进的地方，因此我也希望各位专家能够加入到我们的讨论群里，咱们一起把这个标准修订再完善完善，后续我们马上会开展第三期评估。另外我们也会年度性的对经过评估的用户，会做年审，也希望大家一起帮我们把这个标准更好地完善起来。

　　另外还有一项工作是云主机安全能力评估，我们云服务商为用户提供云主机服务的时候，我们提供哪些功能才能是我们是安全的。这里面有很多要求，我们也是综合了很多相关的国家标准，还有行标等等，综合起来来做了一个综合的测试。目前经过测试的大概是上面这几家。同样这个测试我们也经过了三批测试，目前还需要这个标准再进行一次相关的修订，同样都希望大家参与进来，一起把这个标准推进一下。

　　我的演讲比较简单就这些，谢谢大家！