黄伟:非常同意两位邓总的意见,这不是一个技术领域问题。我们涉及到一个综合。包括人的意识、流程、工具、技术。我们在运营十几年都是从这几个方面看,单纯从技术不解决问题。今天我们要做不管是产品还是说服务,都要跟国外比,差距在哪?这里面技术、产品,包括意识、流程、工具,都存在很大的差距。但是我们很幸运的是看清楚了问题,在不断改善,我相信还是有机会走到顶尖水平上。这是我讲的第一个问题。
第二个问题,再回应到前面说的安全问题。如果国家和国家之间的安全问题,由军队解决。军队有飞机大炮导弹。还有一些由派出所解决的问题就是要用派出所的成本解决。是城管解决的问题还是公安解决的问题,这里面就是打一个不恰当的比方,还是说成本和安全之间要有一些绝对的平衡,不要说一谈到安全大家就如狼似虎要追求决定安全,但是绝对的安全的成本你付得起吗?
邓飚:前面几位谈的非常好,大家方向都是一致的。尤其是新光、邓锋,他们谈到了意识上的短板。包括黄伟谈到流程上的短板。在我们内部也是这样。也谈到产品和解决方案缺陷,我们在安全技术上并不比人家差,但是过去,华为在产品解决方案里面做的比较多,有机会的话我们下来可以更多的交流。
我接着刚才黄伟谈的流程补充一下,实际上把我们网络安全管理要素内嵌到流程当中是非常非常重要。拿华为举例,从一层到六层,怎么样保证每个人的工作在工作流当中都是符合我们的质量、符合我们的要求,就必须嵌到流程里。
关于技术方向,我从华为企业角度谈谈我们研究的几个方向。第一,软件定义安全。在过去两年时间里我们听到用软件定义结构、用软件定义存储、用软件定义IT,我们内部讨论用软件定义安全。传统信息安全网络有很多硬件,随着软硬件结合,我们大量功能、包括网络防御能力可以多集合在软件上。这样使网络具备弹性、更大的灵活性。这是网络安全第一个专题。第二个,基于大数据安全分析。刚才邓总举了一个例子,晚上7点钟之前,以前都是这么一个行为,今天7点钟突然发生了变化,而且这个变化远远脱离了他原来的曲线,这个时候可能是有风险。我们内部也构建了大数据分析,以前大数据是基于结构化数据,我们可能用了很多SIEM系统来做,现在更多要关注非结构化数据,今天早上百度首席科学官谈到基于视频、图片、声音的搜索技术和识别技术。在现在阶段,在非结构化数据方面我们必须要加大投入,这是我们谈的第二点。第三点,刚才邓锋提到的,砂箱技术。就是把风险在砂箱里面它的破坏性、它的隐患,看他是不是会释放出木马。在他进入我们整个业务网络之前就屏蔽掉,这也是一个非常重要的方向。第四块,现在公有云发展的非常快。现在不仅华为内部有大量自己私有云,我们也用了公有云的能力。当我们用公有云的时候发现一个问题,往往网络安全很多要素管控其实把IT部门屏蔽了。在企业如何去在端和公有云之间建立信息安全控制节点,这也是一个新的课题。第五个方向,基于场景的研究。我们叫情境模式管理。当一个企业一个员工有一个帐号,但是他可能在不同地点登录、也可能在不同终端登录,有的时候用手机、用PC,在企业内部网络、在外部WIFI,这个时候我们希望系统自动识别,达到网络安全防御。
邓锋:大家提到做网络安全都考虑安全产品,其实我觉得要考虑产品的安全更重要。做一个企业IT人员想我怎么买安全产品来服务我保护的更好,无论买什么样的安全产品其实都不安全,都有风险。但是你买了哪一个产品是不是安全性,可能导致你的环境或者你的网络是否安全,你可能这个产品看着不是一个安全产品,但是他可能里头有非常致命的弱点,最容易被别人攻击。今天最好的安全产品也挡不住这个攻击。所以大家要注意你每一个所用的产品安全性怎么样。设计产品也是这样,不是说我今天不是设计安全产品的,我就没有安全问题了。
丁健:前面几位真的都是技术大咖,一谈起来这些技术都是如数家珍,大家肯定都像我一样都学到很多东西。由于时间关系,我把大家引到第二个问题,我们的法治问题。网络安全与法治。下面我们花一点时间。我提两个问题,大家主动回应。第一个问题,刚才邓锋先生讲到了我们遇到的很多问题,包括国家这边看到了电信欺诈、包括安全等方面问题,存在着说法治对于他们的惩罚或者说法治本身立法这个角度来讲对他们的限制和在这方面立法本身详细程度都不够,我很想听听说大家在这个角度上有什么建议?我们作为一个行业,有没有想法说我们形成一种行业协会一样的东西来促使政府或者通过人大、通过立法能够强化立法执法方面的力度。在这方面你们有什么建议?
本文来源投资界,原文:https://news.pedaily.cn/201503/20150323380160.shtml