分论坛:网络空间安全和国际合作

2014年11月20日下午13:30,首届世界互联网大会分论坛“网络空间安全和国际合作”在浙江乌镇举行。

时间:11月20日13:30-17:00

主持人
演讲嘉宾

现场图片

文字实录

  布鲁斯·麦康奈尔:

  各位下午好,我是布鲁斯·麦康奈尔,我是美国东西方研究所高级副总裁,欢迎大家参加今天下午这个重要的会议,这是一个非常重要的关于网络空间安全的对话,网络空间安全是一个重要的话题,也是一个重要的问题,我们许多人对此都深感担忧。这其中一个原因是不是因为现在这个房间有点热呢?我希望请各位脱下外套,这样是不是大家感觉更加安全了呢?

  我们的东西方研究所成立已经有30多年了,我们主要关注于安全方面的国际合作,主要是传统安全问题,包括一些传统性的东西方的冲突,这种冲突从冷战时候就已经开始,比如说美苏之间的冷战对峙,在过去的五年中我们还关注网络安全,所以今天我在此主持这个对话。

  之前我是担任美国国家安全资源部的副司长,今天我们探讨的是关于互联网的问题,我们还有许多关于网络安全的话题需要讨论,我们会探讨许多的问题,提出许多的解决方案,我们也会共同努力来解决网络空间安全方面的问题。

  布鲁斯·麦康奈尔:

  今天我们邀请到了许多嘉宾,我想给各位提一些建议,请各位能够将自己的发言控制在8分钟,或者说不超过10分钟左右的时间,最好是8分钟左右,我也会向各位示意,如果各位的发言快到的话。第二个想请各位注意的就是这个绿色的按纽,最后我想说的是希望从一开始就提醒各位观众一个问题,那就是要使网络空间安全变得更好,使网络空间更安全的话,我们需要注意一个什么重要的问题呢,我觉得最重要的是就是要相互倾听,互相了解对方,这样我们才能寻找到一个解决方案。

  首先我想要有请我的一个非常好的朋友,他也是一位非常好的倾听者,也是一位非常好的演讲嘉宾,他就是中央网信办网络安全协调局局长赵泽良先生。

  赵泽良:

  感谢主持人,各位来宾,各位媒体界的朋友们,下午好!首先我要代表这个论坛的组织方,非常感谢大家光临这个会议。

  大家知道,十天之前APEC会议在北京成功召开,我想在这里引用习近平主席在会上的一段讲话来开始我的发言。

  习近平指出:在新形势下,要全力打造互联互通的格局。互联互通是脚下之路,无论是公路、铁路、航路还是网路,路通到哪里,我们的合作就在哪里。互联互通是规则之路,多一些协调合作,少一些规则障碍,我们的信息就会更畅通,交流就会更便捷。互联互通是心灵之路,你了解我,我懂得您,道理就会越讲越明白,事情就会越来越好办。

  这不仅是对APEC会议讲的,对我们这个论坛也很有针对性。为此,我们提出要让今天这个论坛成为“探索世界网络安全技术的重要场所,让世界了解中国网络安全的重要平台,增进国际网络安全合作的重要机会。”

  赵泽良:

  我们深知,今天世界,各国相互联系、相互依存的程度空前加深,越来越成为你中有我、我中有你的地球村,越来越成为一个我为人人、人人为我的命运共同体。

  我们深知,今天的网络高度互联,深度融合,广泛渗透,全球互通,不仅是国家的关键基础设施,还是人们生活不可或缺的一部分。

  我们深知,今天的网络安全正在呈现出新的趋势和特点,开放、包容、互信、合作、共赢正在成为新常态。

  在此,我就新形势下国际网络安全合作提四点倡议,同大家一起讨论:

  赵泽良:

  一是要立足于开放互联。网络安全关系国家安全、经济发展和社会稳定,直接关系我们每一个人的切身利益,必须高度重视。但安全不等于闭关自守,不等于自我封闭。封闭必然导致落后,开放互联才能发展进步。限制先进技术应用、拒绝开放互联共享换不来持久安全,反而会被时代所抛弃。我们反对以网络安全为借口限制他国信息技术产品和服务的进入、搞贸易保护主义,反对以知识产权为借口不开放、不透明,谋取不正当竞争优势。要立足开放、立足互联互通加强网络安全,最大限度地防范、减少和避免可能产生的问题和风险,最大限度地发挥互联网的潜力,最大限度地让信息技术惠及人类。

  二是要坚持依法治网。没有规矩不成方圆,没有规则就没有网络。互联网因TCP/IP协议而诞生,因各种规则标准不断完善而发展。无论是维护网络秩序还是保护知识产权,无论打击网络犯罪还是保障网络自由,没有一项工作可以离开法律、规则和标准。依法而行、依规而动是互联网精神的一部分,也是网络空间的一个基本行为准则。要通过法律、规则和标准去衡量、规范、引导、治理网络。任何人、任何组织都应对自己在网上的言论和行为负责。我们主张和保护网络言论自由和信息自由流动,但这种自由不能违背法律要求,不能以损害他人自由和社会公开利益为代价。不能接受一部分人自由而另一部分不自由、一部分人安全而另一部分不安全。

  赵泽良:

  三是要相互尊重信任。网络空间是现实社会的延伸和拓展,各国的文化传统、社会制度、宗教信仰、价值观念等都会在网络上得到集中体现。应尊重差异,包容发展。首先要尊重各国在网络空间的主权,各国主权范围内的网络事务理应由自主管理。要尊重用户的知情权、选择权等正当权益,用户自已的设备自己做主,用户自己的数据自己说了算。我们坚决反对网络攻击、窃取商业秘密等一切形式的网络犯罪行为;坚决反对利用技术优势或提供产品服务等便利条件,在用户不知晓、不情愿的情况下通过网络收集用户数据、窃取用户隐私人、控制用户系统。

  赵泽良:

  四是要加强对话交流。世界因差异而丰富多彩;网络因不同才需要互联互通。各国在网络空间存在分歧、存在争端、存在竞争,应该通过对话交流来缩小分歧、化解争端、规范竞争。共同努力,变差异为潜力,变分歧为活力,变争端为合力,变竞争为动力。要大力加强网络安全相关法律、政策、标准方面的对话交流,多一些协商合作,少一些规则障碍。大力加强人才培养和意识教育方面的交流合作,共享经验做法,相互取长补短。大力加强网络安全事件处理和打击网络犯罪方面的交流合作,共享信息,联手应对,共同构建和平、安全、开放、共赢的网络空间。

  最后,我在这里要祝愿各位来宾在中国、在乌镇开心快乐,我希望我没有超时,谢谢大家。

  布鲁斯·麦康奈尔:

  非常感谢赵局长,我们已经开始了今天的讨论。首先我非常荣幸邀请古巴通讯部副部长发言。

  威尔弗莱德·贡萨雷斯·维达尔:

  我以古巴代表团的名义感谢中华人民共和国政府举办第一届国际互联网大会,此次大会对相互交流由互联网带来的变革以及对当今社会影响的观点具有十分重要的意义。我还要感谢大会组织者们把网络安全的议题列入大会研讨之中。信息和新技术能够对全球化发展提供新的办法,并获取信息和知识,消除贫困和社会包容。因此,迫切需要消除发展中国家在获取新技术中遇到的障碍。正如2005年信息社会世界峰会所表达的,在互联网管理中应该遵循各国政府具有平等的作用和责任。

  威尔弗莱德·贡萨雷斯·维达尔:

  尊敬的来宾,以下是几个说明,迫切需要规范和适当利用互联网的例子。其中有人所共知的,由美国政府发展的容量巨大的全球间谍网,以及在古巴引起不稳定局势的计划,这一新行为构成了利用新技术侵略其他国家主权的例子。本次大会正是在全世界对个人、组织、国家和其他国家的信息系统受到非法攻击的担忧日益增长的时候召开的,这种危险方式能够引起国际冲突。一些政府已经表示有可能用常规武器回应这一攻击。我们每天曝露在这些威胁面前,他们给我们的国家安全以及国际安全带来了严重的后果。2013年2月至今发生了成千上万对古巴的网络攻击,我们计算机被一些国家远程非法攻击,攻击第三国的科技、军事和金融机构。

  威尔弗莱德·贡萨雷斯·维达尔:

  在我国努力使这一战略部门井然有序的过程中,还必须创建面对新挑战、保护国家安全的有效机制,古巴各机构加入到统一的信息和网络安全国家体系,目的是保障被国家最高领导层通过的各项政策和战略得以实施,保证社会安全信息化进程。尊敬的来宾,任何国家都不能幸免于这场侵略,应该探索和分享预警这项侵略的经验。必须有社会的参与,因为这个已经超越了国家能力和国界。利用网络和先进技术,必须按照国际法原则建立能够预防应对和降低其危害的工作体系。

  威尔弗莱德·贡萨雷斯·维达尔:

  古巴在推动和平利用信息和信息技术的同时承认各国主权,强烈反对利用这些工具制造国家不稳定,社会动乱及管理失控,科技发展应该有利于和平与人民福祉。正如古巴国务委员会主席劳尔卡斯特罗将军2014年1月在哈瓦那拉共体峰会说的那样,避免网络成为军事行动的战场。

  根据这一观点,古巴向176个国家寄发了关于通过网络电脑实施攻击的通知,在多边领域和几十个国家的支持下,上届韩国釜山国际电信联盟全权代表大会,对一些决议进行了修订,这些内容总体上有助于该组织更加强大并建立了防范异国不恰当使用信息技术针对其他国家的框架。

  事实上美国加强的经济贸易和金融封锁阻碍古巴广大民众获得信息通讯技术。但是古巴政府采取重要措施,真正使用好人力资本,造福人民。我们希望此次大会最终认定互联网治理的意义,落实全社会信息发展政策的组成部分,以及继续在地区和多边领域辩论的必要性。

  威尔弗莱德·贡萨雷斯·维达尔:

  古巴政府重申建立合作机制的意愿,以分享全世界人民共同管理的互联世界,并由此翻开历史的新篇章,让互联网的发展有助于提高人类的生活质量。谢谢大家!

  布鲁斯·麦康奈尔:

  他刚才谈到了个人隐私的保护以及对军事、对网络空间的利用,以及网络安全的加强。所以我们可以看到我们在同时进行了各种各样的关于网络安全的不同角度的对话。现在我们要听一听关于网络安全技术方面的对话,我们有请熊群力先生,他是中国电子科技集团公司总经理。

  熊群力:

  谢谢主持人。

  尊敬的各位来宾、女士们、先生们、大家下午好!非常高兴来到美丽的乌镇,参加由国家互联网信息办公室和浙江省政府一起举办的世界互联网大会。来到这里,我有一个深切的体会,互联网作为现代科技文明的成果,今天在最具中国传统特色的地方举行,中国古代文明、历史文明在这里相聚,我说这次大会的特点一定也预示着未来的科技进步和人类历史文明的有机一体。

  互联网作为人类现代文明的重要成果,持续推动着社会的进步,引领着全球的发展,互联网作为人类共同的财富、共享的资源、共同的家园,建设一个开放、安全、可信的网络环境是世界各国人民的共同愿望,当然,也是这次大会的主题。

  熊群力:

  互联网至今已走过40多年的发展历程,互联网在中国经历了20年左右,互联网的普及缩短了人与人之间的距离,对人们的工作生活带来了积极的影响。互联网以开放融合的态势渗透了各个领域,深层次的应用到社会的发展,也为中国的经济结构调整、产业转型升级提供了新的机遇。互联网新经济也成为引领消费、扩大内需、提振经济的重要力量和新的引擎。当前,互联网正在引发一场终将波及整个社会经济各个领域的新的信息革命。

  我们讲互联网经济安全的同时,重要的一点还要肯定互联网对于人类社会的推动,对于包括中国在内的经济社会发展的积极作用。

  熊群力:

  一、中国电科愿与国际国内学术界、技术界、产业界构建常态化的交流机制,在技术发展、信息共享、人才培养和产业推进等方面开展合作与交流,畅通对话渠道,共建交流平台,提升合作时效,协力推进安全可信的互联网基础构建。同时围绕中国互联网的应用研究。

  二、中国电科愿与国内外科技机构,在构建安全可信互联网关键技术领域开展深度合作。特别是高安全信息系统,可信安全信息体系,新一代密码技术,综合情报分析与信息技术,为安全可信的网络环境构建提供核心技术支持。

  三、我们愿意联合全球信息安全产业资源,共同打造信息安全的产业链,推进信息化与信息安全同步发展。信息安全和网络安全是非常长的产业链,我们尽管是一个企业,尽管是国有,我们只是在其中一些关键环节和关键领域里面希望有所作为。所以我们愿意与国内外同行共同打造这个产业链。

  四、作为中国电子信息的大型企业,中国电科希望能够为中国安全可信网络环境建设贡献一分力量,特别是参与国家互联网安全相关政策法规的建立,技术标准制定、重大信息系统,关键基础设施建设,为国家信息化建设贡献力量。也为世界的互联网安全贡献一份力量。

  熊群力:

  女士们、先生们,坚持开放、平等、自由的发展思想,建设安全可信的网络环境,符合世界各国的共同利益,也符合企业的长远利益。我们愿意秉承开放包容、务实创新的理念,携手各国学术界、产业界的力量,共同创造和平、开放、安全的互联网未来。预祝本次大会圆满成功,谢谢大家!

  布鲁斯·麦康奈尔:

  非常感谢。我想在座的各位都很欢迎中国电子科技公司能够进入安全技术领域,因为现在我们很多的技术不够安全,需要一开始就保障技术的安全,因此我们很高兴能够看到中电公司的专家能够加入我们,共同解决这个问题。接下来我们很荣幸能够邀请来自俄罗斯的这位莱普森·瓦伦德米先生,他是ITU俄罗斯的协调员。

  莱普森·瓦伦德米:

  尊敬的各位与会来宾,我想重申我昨天、今天一再所说的,我们非常感谢有机会来到这样一个美丽的地方,来交流我们的观点。我们认为这就是在网络方面的达沃斯,能够讨论在网络方面关键的问题,能够以一种自信的方式来进行讨论。

  莱普森·瓦伦德米:

  对于越来越多的人来说,互联网已经成为了一种生活方式,我们越来越多的依赖互联网和信息技术,但是人们和国家想要改变他们的脆弱性,不要被技术所绑架。互联网到底能够给人们带来好的还是坏的东西,联合国的决议草案就指出,国际网络安全是一个非常重要的问题,国际社会都需要对此加以关注,已经发生了很多的改变,网络空间越来越多的成为军事和政治对抗的战场,如何阻止这样一个局势的演变,如何挽救这个局面呢,现在没有任何一个国际组织能够解决网络冲突的问题,没有一个网络攻击的来源的调查的组织。因此需要保证网络空间的安全这一点越来越重要,建立这方面的国际谈判进程很缓慢。

  莱普森·瓦伦德米:

  而现在在现实当中,网络技术已经越来越深刻的改变了人类社会,现在网络空间的问题又因为一些政治问题,包括制裁所加剧,我们要对这样的局面说不,我们希望各国能够做出贡献,实现更安全、更稳定的网络空间,来推动信息的自由流动,保障国际网络的安全。

  今年一项决议得到了63个国家的支持,上海合作组织在2011年共同向联合国提交了一份文件,也就是《国家网络空间行为准则》,这是我们可以思考的问题,我们可以把这个文件变成实实在在的行动。我们看到在不同的地区,在欧洲、亚洲都迅速的采取行动来解决国际社会关于网络安全的关切,我们欢迎这样的做法。但是我们认为这个问题是普遍性的,需要得到全球的关注,因此联合国应该这个过程发挥更重要的角色。

  莱普森·瓦伦德米:

  2014年和2015年将会对于未来网络的发展具有重要的意义,俄罗斯对此非常关注。我们可以看到网络并不仅仅是俄罗斯经济主要行业的工具,同时也影响到我们政府,并且影响到政府与公民之间的关系。在俄罗斯网络的功能是一个涉及到国家安全的问题。上个月普京总统在俄罗斯的安全理事会上就提到这一点,他认为我们的一个重中之重就是加强网络空间的安全。网络空间应该是一个开放的国际资源,应该受到公平的国际机制的规范,需要确保各国都享有平等、普遍的经济发展的权利,我们支持网络治理的国际化,我们支持各国有平等的权利参与到这一进程当中。同时,他们也在网络治理方面拥有主权,我们希望在这些进程的后续过程以及联合国所采取的一系列的决议当中,都能够加入网络治理的问题。

  最后,我想强调在具体操作当中,我们主要的重点应该放在网络的可靠运行上,而并不是互联网解禁上,俄罗斯政府已经在这个过程当中采取民主的方式,我们是一个民主的国家,谢谢。

  布鲁斯·麦康奈尔:

  谢谢,感谢您刚才精彩的发言,条理非常清晰。现在我想有请我的好同事詹姆斯·安德鲁·路易斯,他是美国战略和国际研究中心主任。

  詹姆斯·安德鲁·路易斯:

  布鲁斯·麦康奈尔和我在网络安全方面几乎已经共同工作了20年了,我喜欢在中国参加国际网络大会的一个重要的原因就是觉得这些大会非常具有活力,我也非常感谢赵局长对我发出邀请,我们认为在这个问题上我们取得了很多共识,当然同时面临许多其他的挑战。

  要描述我们现在所面临的问题是很容易的,我不想让我的发言变得很无聊。网络已经成为各国之间竞争的新工具,当然它也是各国合作的一个很好的平台,我们现在在很多国际会议上听到这样的讨论,同时我们也要意识到关于互联网的政策已经发生了改变,在15年前我和布鲁斯·麦康奈尔共同制订了一些网络方面的政策,在今天已经不太适用了。因特网的现实怎么样了呢?第一个国界确实是存在的,正是因为有了国界,所以各国的主权在网络空间上仍然是适用的。

  詹姆斯·安德鲁·路易斯:

  第二点发生改变的就是因特网已经变成了一个全球性的网络,它一开始的时候仅仅是美国的网络,后来变成跨大西洋的网络,现在已经是全球网络,但是我们要进行全球参与并不是一件容易协调的事情。从因特网刚刚发明之初到现在,我们需要一个更加针对全球的、适用于各国主权的新的治理模式。现在各国也已经将其主权扩展到了网络空间,有时候是体现在对个人数据的管理,有时候是体现在对整个国家网络的管理,因为如果对网络管理不力的话,将会带来切实的经济利益的损失。

  那么要解决这些问题我们需要各国达成共识,尤其是需要一些主要的大国达成共识。当我昨天听一些嘉宾发言的时候,我意识到至少有六个国家达成了共识,包括欧盟、中国、美国、印度和巴西,因为这些都是主要的国家,对于互联网发展的未来会有一些分歧,所以这些国家需要达成一些共识。当然我们需要一些机制来让这些国家能够达成共识,有一些国际性的大会,我们发现是非常有用的,有助于各国达成共识,使得各国能够就实现因特网的稳定和安全达成共识。当然我们还有一个多利益攸关方的一个实验的模式。

  詹姆斯·安德鲁·路易斯:

  在90年代的时候我们认为全球化的浪潮非常的迅猛,我们认为各国很快就会在因特网方面达成一个共识,当时我们觉得因特网方面达成共识会非常容易,但是后来发现事实并不是如此。所以后来我们发现,在因特网治理方面我们要更多的尊重各国的主权。所以我们很需要今天这样的大会来让我们找到共识。

  当然找到共识也并不是多么困难的事情,最困难的是让各国都能尊重这样的共识。对我来说,我在这个事务所已经工作了许多年的时间,我知道如果要实现互联网的安全的话,必须所有国家都能够达成共识,因为每一个国家都是自己国家法律的最终的践行者,所以需要各国进行合作。多利益攸关方的合作是非常重要的,但是归根结底这些攸关方来自不同的国家,所以最终需要各国政府达成共识,这也意味着因特网的治理成为了一个政治问题。

  詹姆斯·安德鲁·路易斯:

  我们现在经常谈的是需要新的技术、新的产品,但是实际上我们是需要新的政策上的合作。我们需要各国达成一种政治上的共识。昨天我们还听到俄罗斯的同事谈到我们如何在责任和义务上做减法,也就是说不可能由单独一个国家或者一个机构制定一个单一的规则来统一所有的国家,而往往我们是需要不同的国家、不同的机构,需要团结不同的组织来应对这个问题,我们还需要各种各样的条约来进行网络安全的治理。

  我们如何才能取得进展呢?我觉得首先需要意识到各国都应该对他们的互联网空间具有主权。这是最首要的原则。

  当然,各国也要遵守相应的国际义务,因为这两者是相辅相成的。比如说世贸组织就是一个例子。比如说世界人权宣言也是一个例子。各国拥有自己的主权,但拥有自己主权的同时也要遵守国际义务。我认为这是一个非常重要的一点。

  詹姆斯·安德鲁·路易斯:

  下面我们要谈的就是关于ICANN,就是互联网名称与数字地址分配机构。当然,我们也认为这个机构需要改革。但ICANN对于因特网的发展,已经做出了很大的贡献,很大程度上促进了世界互联互通。

  最后,互联网安全的治理也应该是相互对等的,也就是说对一个国家适用的规则也应该对其他国家适用。所以,各国都应该放弃自己的强权或者是霸权。我们也需要对这种互惠的安排做出定义。之前关于国际治理措施我们达成过协议,包括对于交通运输的规则,我们都有一些国际公海和国际航空的规则,这是适用于所有国家的。对于国际金融的安排我们也达成过协议。而这种金融安排在1945年前其实是不存在的。而有些人说,我们为什么会看到有两场世界大战呢?那是因为我们没有一个好的机制的安排。

  詹姆斯·安德鲁·路易斯:

  所以,这就是我们应该就金融方面的规则安排达成一致。这就是为什么我作为一个美国人可以来中国照样使用我的信用卡,同样,中国人到美国也可以使用信用卡。所以说,无论是交通运输还是金融,我们都需要规则和准则。对于因特网的治理也是这样,我们需要规则。

  这里我只是简单的列出几条原则,我觉得这是各国最起码应该达成共识的一些原则,比如说各国的主权原则、国际义务的原则。

  我想就未来说,我们今天在乌镇所进行的讨论,非常必要。在明年春天的时候,我们还会在海牙举行会议,还有一些联合国网络治理方面的会议,还有国际电信联盟的会议。这些会议要达成一个很好的解决方案并非易事,但这都是我们所有人的责任。谢谢!

  布鲁斯·麦康奈尔:

  谢谢詹姆斯·安德鲁·路易斯,您讲的非常好。我想您切中要害,讲到了关键性的问题,因为没有人在网络空间是负责任的,包括您也讲到了政府的责任、公司的责任,还有金融部门和政府如何做出决定,和公司之间达成一致,在这个之中我们有很多可以借鉴的模式来做出决定,我同意你说的,我们需要在这个方面达成一致。

  讲到了公司,接下来我们很荣幸有请中国电子信息产业集团有限公司董事长苪晓武。

  苪晓武:

  女士们先生们!很高兴作为产业界的代表,有机会在非常美丽的千年古镇和大家一起共话互联网“互通互联、共享共治”。

  今天,互联网与我们的日常生活融为一体,大家都在充分享用其带来的便利。但同时也面临日益严峻的互联网安全威胁的挑战。全球互联网安全事件频发,2013年我们都知道,全球超过5亿条身份信息泄露。去年摩根大通泄露案,更是给世人敲响了安全的警钟。

  我们认为目前在全球互联网环境下,面临着五种威胁:极端个人威胁、黑客团体威胁、恐怖主义威胁、经济犯罪威胁、国家级威胁。这不仅给我们财产带来了损害,更是影响了国家的发展。我们认为目前任何单个机构,单一的企业,依靠传统的方式和措施手段已经难以有效的应对目前这种挑战和局面,必须转变防护模式,开放资源,相互合作,也就是走联合创新之路。

  苪晓武:

  在这里首先允许我简单介绍一下中国电子信息产业集团。我们是一个存在时间比较长,但是在业内还不太广为人知的企业。公司是成立于1989年,目前我们下属24家二级企业,15家控股上市公司,员工人数约13万人,营业收入去年达到了1937亿,在世界财富五百强,连年攀升。公司业务包括集成电路、网络安全、信息服务等。

  2013年公司下定决心把网络安全作为我们的核心主业,并且积聚资源。我们实施了网络安全系统工程,目的就是要联合业内的企业,精诚合作,来推进网络安全的本质安全和过程安全。

  经过接近4年的努力,我们在很多方面有了一定的成效,也打造了几个基地。中国电子产业链相对比较全。在网络安全领域里面,我们有操作系统,像中标、麒麟,有芯片,特别是最近我们基于RM64位16核芯片正在测试,正在验证。还有整机,像长城电脑,还有一些解决方案。

  苪晓武:

  我们在联合创新方面,和政府高校、研究机构和产业合作伙伴,国内、国外开展广泛合作。

  我们花一点时间讲一讲在具体业务上是怎么样进行联合创新的。首先我们想介绍一下在本质安全联合创新方面,大概是2011年,中国电子在国家有关部门支持下,成立了联合攻关基地,一共联合了约15家硬件企业,11家软件企业,还有5家系统集成商,共同打造完全自主可控的和自主可信的软硬件产品。

  经过接近4年的努力,攻关基地已经为安全可控实验验证建立了一套体系化实验验证环境和全过程的验证规程,促进了安全可控和安全可信应用系统。

  这些产品现在已经在政府的内网,就是办公网、办公自动化、公文传输上开始发挥着作用。在过程安全的联合创新方面,我们与40多家国内的专业网络安全企业、机构密切合作。采用网络化、体系化的聚合服务方式,汇聚国家和产业的能力形成合力,研发出面向国家基础设施安全的防护,基于聚合模式的解决方案。特别是基于云技术的解决方案。

  苪晓武:

  刚才我也很高兴,一进会场就碰到了我们本地的合作伙伴。这个平台经过一年多的运行,最近也被公安部授予了第一家基于云安全的增强级云安全防护平台。我们测出的结果,是在某一城市,安全可靠性达到了99%,综合成本为政府在IT投资节省了30%多,标准达到了3级。

  在产业联盟协同方面,今年4月份,作为理事长单位,我们发起和82家成员单位成立了可信计算产业联盟。同时我们也建立了由16位工程院院士组成的联盟科学技术委员会。主要是来护航一些重要的行业应用。

  中国电子经过接近4年的实践,我们确实感受到了今天日益复杂严峻的网络安全的氛围,只有走联合创新的道路才能取得成效,所以我们真诚的表示愿与全球业界共同研发,联合创新,打造互联网安全产业的生态圈。我们在北京建立了一个产业基地,这是第一期,已经开始投入使用,大概有16万平米,第二期也有16万平米,即将建成。建设这个产业基地的目的就是真诚的邀请国际、国内互联网安全的企业一起进驻。最终的目的是携手打造晴朗的网络空间,齐力铸就网络安全长城,谢谢大家!

  布鲁斯·麦康奈尔:

  非常感谢苪董事长的发言,我们现在继续在技术世界畅游。下面有请马克·卡罗先生。

  马克·卡罗:

  谢谢。我是惠普公司的CTO,今天我想要谈一谈我们在网络安全方面的创新。

  我给各位打一个比方,就是神经科学的比方,我日常的工作是担任惠普的副总裁,也就是首席技术官。我主要应对一些技术方面的问题,当然我还有一个工作,主要应对小儿麻痹症,应对肺结核方面的。因为肺结核是基因方面的疾病,我们主要是筹款来对肺结核一些诊治技术进行研究,所以我们主要对神经科学进行研究,对大脑科学进行研究。最近斯坦福大学发明了一项技术,就是深脑探测技术,其实它就是看一看大脑内部的神经纤维结构,获取一些数据。最近他们的一项成果就是对大脑进行实时的监控,这样可以及时的预防一些疾病。

  马克·卡罗:

  所以我把这些数据带到我的团队,我认为这对网络安全也有一定的启示,因为我觉得这两项技术其实是相通的。我们想一想,其实我们大脑每天也在处理许多的数据,当然这些数据的规模和格式也都是不一样的。网络技术的发展是非常快的,现在这些技术已经不是仅限于学校了,我们有外部的结构和内部的结构,我们的大脑皮层其实就像是一个防火墙一样,这种防火墙能保护我们内部的结构。但是在大数据时代和云计算时代这些情况也发生了变化,每天数据发展的很快,我们有时候无法及时监控这些数据。

  所以最后我们得出的结论就是,我们不是说要做到如何控制这些数据,而是要做到如何及时获取这些数据。所以我们在全球网络安全方面现在的投入达到770亿美元,更有意思的是每年被攻破的次数在逐年增加,年增长速度达到了25%。但是每次被攻破的损失增加率是10%,所以我们现在在挖掘许多方面的数据来加强研究。

  马克·卡罗:

  从我们所面临的挑战来看,实际上这些攻击的性质和动机并不是非常新鲜,比如说大多数是为了名利、财富或者是去攻击市场上的对手,有时候这些攻击是因为企业转型。比如说美国曾经的模式是B2B,现在变成了B2C。为什么这些企业要进行转型呢?那是因为现在流动性增加。当然,现在要追踪这些数据是非常困难的,因为各国都有国界,今天大部分的数据的鸿沟是来自于这种各国基础设施之间的差异。

  我们如何能够更好的控制这些设备呢?这就是回到我刚才想要打的比方,其实人的大脑正在思考,如何在感知到受到攻击的时候迅速做出反应。所以我们惠普在这个方面进行了一些投入,也就是对人的这种行为进行研究,思考什么时候人的行为是恰当的,什么时候出现了不良的操作。这里我可能不想更多的谈监管压力,我相信各位都已经非常的了解,但是就商业来说,我觉得监管大大增加了成本和复杂性,但是监管确实是必要的。

  马克·卡罗:

  这个幻灯片主要是说明了我们如何对网络空间进行控制,比如说它经常是这样的一个流程,包括渗透、发现、捕捉这种渗透以及最终反渗透。今天由于我们有了各种各样的应用,我们很容易发现一些深的行为,每个公司无论是国有的公司还是一些私营企业都无法仅靠自身的力量来防止一些渗透的行为。我们有一个叫做“威胁中心”的项目,这并不是一个多么新的理念,也就是说我们会对一些有关威胁的信息建立一个数据库,并且进行信息共享。我的讲话就基本是这样,谢谢!

  布鲁斯·麦康奈尔:

  这就证明我们需要创新,能够打破陈规,这是我们共同的挑战。并且我们也需要以一种能够相互交流的方式来这样做。接下来我想有请米格尔·贝农,他是负责信息安全评估工作组的组长,这是一个关键性的组织,下面有请他上台演讲。

  米格尔·贝农:

  我很高兴能够来到这里,很高兴能够见到大家。我希望能够吸引大家的注意,能够讲的让大家感兴趣。我主要是讲两点。我是一个编程师,我是一个技术人员,我很喜欢讲技术方面的东西,当然律师和政治家又是处在另外一个领域,这个领域对他们来说是完全陌生的。

  我看到了今天会场的这个村庄的图片,看一下这座楼,是用什么建成的呢?是用石头建成的。但是有水环绕在建筑周围。因此,建筑用石头建成,就能够保存上千年的时间。

  米格尔·贝农:

  我接下来转到第三工作组的任务上来。我看到所有的决策者、开发者所建立的这个基础,并不是由石头做成,我们第三工作组是一个低级别的工作组,因此我们就是一个打基础的人。我们推出的这样一个系统到底是做什么的呢?它并不是制定规则或者政策,而是提供技术方面的规范,因此我们比决策者的层级要低。我们总是需要满足市场的需求,需要找到市场的需求,这是完全对任何人都开放的,因此参与这个体系是完全开放的,就像是我们参加今天的大会一样。因此第三工作组,我们主要是关于安全方面的工程,还有安全保护,还有保护这些技术安全的做法,我们如何运用方法论来保障技术安全,这就是我们所做的。

  我们可以看一下有一系列的标准,很快的讲一讲,至少让大家有一个感性的认识。我们做了很多的事情,我们是非常活跃的一个工作组,几周以前我们的委员会还推出了新的标准,因此我们的所作所为吸引了越来越多的参与者,并且这个组织变得越来越发展壮大。我们日常的工作有很多方面,我们有很大的影响,影响到各方面,因此我们有一个联络组织来联系我们所影响的这些方方面面的团体。比如说有政府的工作组,有开放工作组等等,任何团体只要有利益参与,我们很高兴能够使他加入进来。我们的会议当中不仅有很多专家,还有很多其他的来自不同团体的人。

  米格尔·贝农:

  我再讲一下我们的产品。我们主要的产品到底是什么呢?我们卖什么呢?我们需要卖出不同的标准。第一个标准就是ISO15446,这是用来进行产品安全的评估,这是非常重要的一个标准,因为在这个基础之上,越来越多的国家以我们的标准来制造产品,越来越多的政府开始能够在产品安全方面为公民提供保障。因为我们需要能够衡量一个产品的安全指标,因此我们能够提供安全保障。

  这个产品非常的成功,有很多很多的政府都采用了这样的标准。但是我们是一直在幕后的工作,比如说15408 IT安全评估准则,有很多国家参与进来,我也知道中国有自己的标准,俄罗斯也有自己的安全认证体系,我们提出的是国际化的安全认证标准。在这些核心的标准周围我们还有一系列的产品,用于不同种类的产品,不同的技术指标。这构成了一个庞大的标准体系。

  米格尔·贝农:

  其他的明星产品还包括19790密码模块的安全要求。我很喜欢这个产品,如果你熟悉安全技术领域的话,你们可以知道有很多有其他名字的产品。美国也有一个安全性的标准要求。几天前他们给我们提出了一个建议,标准的建议,然后我们进行研究。我们过去也提供了一些配套的产品,在这些标准的基础之上很多国家进行一些修订、修改,美国和加拿大也是这样,现在日本、韩国、土耳其、巴西都是在这样做。也就是说他们把我们的标准吸纳进去,再进行提升、改善,建造出自己的标准体系。这个标准的发展过程是非常缓慢的,因此我们总是循序渐进的做,我们并不着急,并不急于求成,并不是让大家马上达成一致,我们最终的目的是建立一个国际化的标准,最终是各方都能达成一致,我们希望能够以系统性的循序渐进的方式达成这个目标。

  最后各位不要睡着了,大家可以看一看,我想再讲两点,决策者、监管者引入了这样一个概念,也就是确保基本技术的安全指标,如果没有这些安全指标,他们就无法进行监管,也无法这样进步。因此,监管者利用产品安全保障的指标来进行监管。

  第二点,他们利用了我们的标准,然后给我们提供反馈,使我们不断改善这些标准。谢谢。

  布鲁斯·麦康奈尔:

  谢谢米格尔·贝农先生。我们现在已经看到了各位的从政策制定这种高的层面到具体而微的技术层面的一些考虑,现在我们会探讨一些非常具体的技术问题,也就是应急处置问题。当我在美国国土安全部工作的时候,我也经历了美国的应急处置团队所进行的一些国际合作。所以今天我们非常荣幸的请到了国家互联网应急中心主任黄澄清先生来给我们做演讲。

  黄澄清:

  谢谢主持人。尊敬的各位来宾,各位专家,大家下午好!今天要跟大家讨论的是网络安全事件处置与国际合作,我用半分钟的时间介绍一下国家互联网应急中心,它是一个经政府批准的非政府、非盈利的组织,是中国处置网络安全事件的国际合作窗口,它的工作方针是积极预防、积极发现、快速响应、力保恢复。

  下面我首先把我们工作中监测到的数据讲一下。2014年上半年我们国家感染到的木马达到了19万台,控制主机的数量排在前三位的,第一是美国,控制了我们260万余台的主机,葡萄牙控制了241万的主机,其他的详细数据我就不说了。传播恶意程序的域名超过半数都是境外注册,发现恶意程序下载的链接有15394个,其中76.1%的域名在境外注册。上半年活跃的挂马站点域名注册,境外占了76.2%,境内22.8%。

  黄澄清:

  域名篡改和攻击的情况,政府网站有4.9%,境内网站被植入了后门,政府网站占了3.4%。上半年境内被篡改的网站按域名的分布分,被植入后门网站域名按域名分布,.com占了59.1%。48.8%是被境外IT地址所控制,控制我们国家境内网络数量,前三位的,美国控制了我们6118个网站,中国香港控制了我们3097个网站,韩国占了2307个网站。上半年境内网站植入后门境外IT地址分布,美国占29.3%,韩国6%,香港占了5%左右。

  通过数据能说明,目前我们面临的网络安全形势是比较严峻的。我们积极推动了国际合作的伙伴计划。下面我把我们推动国际合作伙伴计划的情况说一下。因为网络安全事件的处置,互联网无国界,需要积极的合作。

  2002年我们成立了国际著名的网络安全组织,随后我们又和东盟建立了很好的合作,6次和东盟展开了研讨,并且参与了我们网络安全应急演练,我们还参与了APEC、上合组织等工作。

  黄澄清:

  我们已经与59个国家和地区的127个组织建立了国际合作的伙伴关系,其中我们与17个组织签订了网络安全合作备忘录。国际合作跨境网络安全事件的处置,从2012到2014年上半年,CNCERT处置的跨境事件1.5万个,我们向境外组织投诉跨境事件是1.2万余其。

  我介绍几个案例,给大家提供一些思考,未来网络安全事件处置到底怎么做。举一个典型案例,去年3月12日,韩国银行和电视台遭受了攻击,韩国有两个电视台节目不能制作,三个银行瘫痪,用户不能通过取款机取款。韩国民官军小组建立了应急机制,3月21日民官军的负责人发布了一个信息,随后这个信息我们一起配合查证,通过查证发现IP地址误认为是中国,后来发现,一个韩国农协组织私自设的内部IP地址跟我们地址是重合的。第三天,韩国就发了一个声明,对已经发布的消息进行了更正。

  下面我请大家看一下这段视频。

  黄澄清:

  这个案例说明我们加强沟通能够避免误判,及时有效处理问题,三天把这个问题解决掉了。我们再从另外一个角度看个视频,这个视频是没有经过沟通,直接把内容发给了媒体,看看媒体的反应是什么,这个问题怎么解决,一会儿我来说。大家可以看到,看到这个新闻的媒体很兴奋,我觉得这没有经过沟通,这样来炒作,不利于网络安全的事件解决。时间证明这个问题到今天还是个谜。另外给我们网络安全合作也造成了阻力,没有解决问题。这是两个案例。

  下面我再介绍一个案例,这是今年年初,索契冬奥会前期,我们接到投诉,中国某一个IP地址供给了索契冬奥会官方网站,我们组织了专家进行分析,发现位于中国的主机仅仅是跳板机,早以被攻陷。实际是1月10日法国的黑客扫描了主机,成功破解了主机。冬奥会开幕前期,从位于立陶宛的主机攻击了冬奥会。我们经过处理给各方做了报告,及时的得到了解决。

  大家可以看到通过沟通能够有效的解决这些问题。未来微软打击僵尸网络,切断了上千万台的主机控制。我们对2010个在中国的漏洞进行了修复,案例很多,时间关系我不能说了。

  黄澄清:

  我最后就说一点体会。通过这个网络安全事件处置,我们认为首先大家要充分认识互联网无国界的特点,网络安全事件处置需要多方参与,特别是国际合作。第二个是网络安全组织包括各个国家建立起互信合作的关心,这是开展网络安全事件的基础。第三个就是明确相互合作具体内容,才能使跨境实践的处置更加高效。

  最后我的结束语是沟通才能理解,理解才能和平。我的汇报完了。谢谢大家!

  布鲁斯·麦康奈尔:

  非常感谢看到了这么多案例,我希望您有更多的机会讲讲,但时间有限。

  最后我们请出网络安全专家,来自瑞士的汉斯·鲁道夫·托蒙。他的讲话结束之后我们有茶歇时间!

  汉斯·鲁道夫·托蒙:

  谢谢!欢迎大家!首先感谢网信办鲁炜主任的邀请,也感谢主办方的安排和盛情款待。谢谢!

  我是一个网络空间安全专家,我来自瑞士,我想讲一讲在这个方面的一些内容,这使得我显得很重要。我想澄清一下我并不代表任何重要的组织,我所发表的任何言论只代表我本人的观点,并不是NFC之父,我不是这个领域的权威。我的时间有限,我想尽量控制在时间范围内,因此我也请出了翻译人员将我的PPT翻成了中文。我也不会重复之前演讲者的内容,只是做一些补充。

  简要的说,我认为互联网很好,但是不安全,原因就是安全很大程度上被忽视掉,我们必须要通过规则监管来更正这个错误。在欧洲,互联网这个产业是在之后才进行监管的,最初是没有监管的,互联网也经历了没有监管的一个演变的过程。但是现在我们认为必须要有监管,其中一个关键的问题就是标准,标准对于安全很重要,因为这涉及到很多网络认证等等。但是这些标准还不够好,我们必须要改变这样的局面,我们需要有更好的标准,更安全的标准,更高质量的标准,并且有透明的标准化。

  各国的贡献需要受到国际的认可,我想在此表扬中国在这方面取得的巨大成就。执行这些标准需要有国际治理,国际治理也必须要找到重点来制定标准。因为我们要实现监管者所想要看到的,并且符合公共安全的安全标准的话,就必须要制定标准,并且要在实实在在的网络空间实施这些标准。

  汉斯·鲁道夫·托蒙:

  第二个问题就是信任,信任是一切东西的根本,没有信任就没有生意可做。但是在网络空间还缺乏信任,这体现在标准上,监管者也要确保在落实这些标准过程当中需要有信任。最重要的信任的保障就是安全认证权威的等级分配,这样一个等级制度必须要由监管者得以实施和承认。

  最后一点,我想强调的就是隐私。隐私同样是生活当中必不可少的一部分,但是在之前,隐私也面临一些负面的影响。为了解决这个问题需要采取一些措施,需要法律层面、技术层面,需要采取一些技术措施,也就是说我们需要更好的安全标准,这些安全标准必须在实实在在的体系当中得到应用。我们也存在一些安全标准,但是少部分的网站是安全网站,大部分的网站是不安全的。但是如果没有防止这些网络攻击,就像之前的演讲者说的,就无法取得进步。

  同时认证也是很重要的,现在我们认为完全无限制的、完全开放的认证是不好的。隐私和我们了解商务伙伴的需求相互矛盾,因此保障公共秩序的当局需要了解你这个用户的相关信息,因此我们需要这个当中保持一个平衡,但是为了解决这个问题,当然国际条约、国际治理是必不可少的,使用数据也必须要得到国际条约的监管。

  汉斯·鲁道夫·托蒙:

  最后我们的机构得出的结论就是互联网具有非常高的价值,它是高价值的资产,但是不安全,一个安全的网络将会更有价值,更有活力。安全并不是一开始就存在的,而是需要通过建立机制,要有法官的存在才能够保障安全。因此互联网的安全必须要建立在法制基础之上,为了实现这个目标,我们需要地区的、国内的监管,但是这是不够的。我们还需要的是国际层面的因特网的管理和监管,这必须要基于互相尊重和相互信任,需要多边合作和保障透明的机制,每个国家的法律和文化都需要得到尊重。

  感谢大家的聆听,谢谢!

  布鲁斯·麦康奈尔:

  非常感谢。

  李欲晓:

  欢迎大家回到首届世界互联网大会“网络安全与国际合作”论坛第二阶段的讨论。首先欢迎大家参加第二阶段的讨论!

  在第一阶段的讨论过程当中,布鲁斯·麦康奈尔先生精彩的主持,涉及到了对于互联网领域更多宏观上的思考,包括法律、政策、机制,包括涉及到国家主权、涉及到标准方面的讨论,来自于不同国家不同层面的学者专家这方面的交流,实际上都表达了一个共同的心愿。网络安全是各个国家都共同关注的话题,每个国家都非常认真的重视自己的网络主权。各个国家专家和政府的代表,都表达了同样的态度。

  与此同时我们也看到来自于世界各国的代表都反映了,每个国家都在遭受巨大网络安全威胁。我也感到迷惑,当我们大家都遇到安全威胁的时候,这个威胁是哪里来的,实际上都要考虑这样的问题。我觉得刚才的主持布鲁斯·麦康奈尔本身就是一个网络空间战略的专家,我也很希望听到他以后在这个领域发表自己的观点。

  我本人是北京邮电大学国际学院院长李欲晓,今天下午主持这个网络空间安全和国际合作阶段的讨论。我想在这个过程当中我们也可以看到,在座的诸位之所以探讨网络安全的问题,一个基本出发点是在于我们今天的网络已经发展到一个广泛和深度的程度,已经不仅仅是基于网络本身、技术的范畴,已经是一个社会的领域,是一个公共的领域,是一个全社会深深交织在一起的领域。

  李欲晓:

  这个领域发展过程当中,不仅仅是网络技术本身,网络的应用、网络的开发、网络的经济,带来的是社会方方面面的改变,这个变化过程当中,我们怎么样保证这样一个网络空间是合理、长期、持久、稳定、和平的环境,这可能是我们今天大家坐在这里最主要的原因。我想各个国家都在面临相同的问题,全球之内都没有一个一致的网络安全规则,没有一个全球范围内大家都可以共同认可或者共同接受的网络空间治理规则体系,当我们在面对网络空间安全问题的时候,没有发现有一个一致的标准能够让我们共同讨论和交流。我想其实我们面对这些问题时,不仅仅是一种学术的交流,对社会、对国家、对于每一个网民而言,可能是一个心理上的恐慌。

  这样的一种恐慌,通过什么方式能够解决?是不是能够通过我们的技术手段加以解决?是不是能够通过我们的政策、机制的设计,通过我们相应法律法规的建设能够得到解决?我想这肯定是大家非常热切希望能够进行交流的方面。与此同时这是一个世界互联网大会的平台,因此我们看到,当我们面对全世界的时候,我们知道我们讨论互联网,讨论今天互联网空间,已经不仅仅是技术的平台,更多是面向全球新的人类发展空间。

  李欲晓:

  当我们面对这样空间的时候,可能每一个个体都希望它是一个安全的、持久稳定的环境。在这样一个安全和持久稳定的环境下,我们第一部分所讨论的,可能大家都很容易达成共识,就是战略层面上我们重视网络安全,我们每个国家都重视自己的网络主权,这个方面大家都需要进行交流和合作,与此同时,可能接下来我们需要考虑的不仅仅是宏观层面,还有一个要和宏观、微观相互结合的方面,也就是说我们这些想法,能够在哪些方面得到实现,我们在面对网络空间问题的时候,它到底对人类的行为,对人类社会的结构,对我们今后的机制设计,要产生哪些方面的作用和影响。我想后面几位演讲者将给大家提供他们的意见和想法。

  所以,在这里我也是非常高兴能有机会来主持这样一个活动。下面我们就开始今天的演讲环节。

  首先第一位,我们要邀请来自以色列的安全专家谢·希勒先生,他来给我们大家介绍“从大数据当中发现情报”这样一个主题!欢迎谢·希勒先生!

  谢·希勒:

  非常感谢邀请我到这样一个美丽的地方来讨论如何从大数据中发现情报这样一个问题。我尽量在十分钟之内讲完我的发言。

  我们公司是从2004年开始开放原代码,我们有一个系统,我们和传统的方法是不一样的,不是把数据带回家,把它碎片化,事实上我们是进行很好的分析,我们有一个很好的团队,用社会工程学的技术来实现我们的目标。与此同时我们进行实时的监控和分析。另外我们还做一些地理位置、地理围栏的工作。当然我们不会从事黑客的行为,我们处理的是网络上现有的信息,我们的用户是政府部门,还有一些大的公司,包括银行、电信、保险公司,主要是政府部门。

  谢·希勒:

  当我们看大数据的时候,大家都会看到大数据给我们带来的挑战,的确是一个问题,很难找到方向。尤其是马上要知道我们的方向。因为大量的互联网信息是不能检索的,所以我们有一些客户非常感兴趣的信息,但是是隐藏起来并且有密码的,我们不知道它在哪里。如果要成为他们当中的一部分,我们要跟这些所谓的坏人在一起。怎样实现这个目标,我们有一些特工。我们不是把所有的数据都拿回家,我们所需要的是有用的信息和情报,另外我们也要上facebook,看他们有什么爱好等等,这是一样的。我们现在要发现的就是成百上千人,在这个领域哪些是真正重要的,在这个网络时代是真正运筹帷幄的人,谁在影响他们。所以,我们希望实时拥有这样的信息。

  同时,我们要把那些垃圾排除在外。我们要知道哪些人是对我们有用的,哪些信息是有用的。我们怎么样能实现呢?我花几分钟的时间给大家讲讲。

  谢·希勒:

  首先就是数据地图,我们会上一个网站看谁说明在哪里有什么团体参与其中。我们做的是非常深入的分析,去一些非常重要的网站,我们系统将会挑出最重要的网站,我们会深入的分析和挖掘。这些找出来的信息能够让我们看到我们需要看到的人,那些团体活动。可能他们之间只有1%的活动或者信息是有用的,我们会找出他们地理之间的联系,来做一些实时的监控。

  我给大家边走边说。

  谢·希勒:

  我们现在看一些搜索。我们做的就是地图搜索,我们上一个网站,我们有一些团体文件网站,可以告诉我们他们有一些什么活动什么地方,有一些信息,我们得到的是所有的活动,在twitter上,还有一些秘密的团体。如果我们有一些工具的话,比如说这是facebook的团体,我们可以深入其中,可以看到所有发的帖子,还有成员。我可以做一些联系和分析,我也可以看到谁是最活跃的,最有影响力的,管理员位置,所有关于这个团体的信息都可以得到。

  可能有上千人,我看的是最有效最活跃的人,每个人都可以点进去看他们的网页,分析他们等等。我们现在做的就是来深入挖掘一个人的信息,他们的朋友,我们可以看到他们也会加入其他的团体,我们就会挖掘其他团体的信息等等。所以每一个事情都是通过点击可以分析的。比如说我把它放到提醒栏,实时提醒,有新的帖子就可以得到提醒。我也可以用颜色进行标注,我们现在做的就是去一个链接分析,我们有所有的数据和生态系统相关的信息,每一个信息都是被聚集在一起,比如说不同实体之间的关系,看看他们有什么共同认识的人、网页、活动等等,就产生了这个地图,可以看到不同的实体,主要的实体参加这些生态系统活动的人,有一些共同的成员,比如说这个网页我打开,把它放到链接分析当中去,我可以看到前十名,所有人都可以看到。

  谢·希勒:

  现在我做一个演示,那个网页谁会注册,比如做一个示威活动。现在这个系统会分析两个不同的团体,谁会参加示威游行的活动。这个网页当中的人会去很多活动,每个网页都可以点击进去知道他们所有的信息。

  我们现在做的就是让这个系统告诉我这些活动是从哪里来的,哪些国家。有很多国家会参与这些活动,我希望知道从地理的角度来分析,他们可能会说自己本地的语言。也许是从国外。我们做的就是去除一些孤立的信息。

  现在我们看过滤器减少我们要看的一些团体,我们现在只关注最多五千到一万人的,我们也可以看到具体的国家,他们有哪些团体在参加这样的活动。

  谢·希勒:

  我们现在要做的就是看看我们可以把它标签,可以看到很多twitter等等网站上的信息,可以看到谁是发帖的,谁点了赞等等,很快就会有这样一个地图,现在看看这个地理位置,所有信息都是自愿,用不同平台的人。他们可能是打开了这个地理位置,我可以知道他们在哪里,发帖的位置在哪里,我可以知道他现在在什么地方。我们到twitter上看,他们在哪里。现在我们就看10万公尺范围,我可能会列出最活跃的20个人,他们在哪个网站哪个链接,都可以分析到。现在我可以看到,哪些人是这个活动当中比较重要的成员,如果不仔细查,这就是10到20个人主要的信息,那些地方是他们会去参加活动的地方。所以我们可以点一下他们去那个地方参加活动具体的情况。

  最后,我想讲一讲关于监管。现在,每一分钟就可以看到30万个帖子,我们有一个新的搜索。我们可以搜索每一个信息,比如说在伦敦周围建立一个围墙,我们可以在伦敦地区画一个圈一个围墙,我们现在想做的就是把这个地区区域内的每个人发的twitter进行一些数据的选择、关健词等等。比如用红色标注一下,其他颜色也可以。

  很快我们就可以看到每一条twitter,可能是通过facebook或者是谷歌,我们到twitter网上看它们的位置,两秒钟我们就可以得到提醒,我们知道他是哪里来的,可能就两三秒的延后时间,这就是我讲的我们有了大数据怎么分析情报,不是黑客侵入,不是盗窃,都是合法的。谢谢!

  李欲晓:

  非常感谢谢·希勒先生刚才精彩的报告,从大数据当中发现情报,实际上需要大量的经验和深入的研究分析,确实也给我们带来了很精彩的感受。下一位邀请百度公司的先生张亚勤先生给我们演讲,他的题目是“互联网物理化与新安全生态”。

  张亚勤:

  大家下午好!我今天花10分钟的时间谈谈互联网发展趋势,互联网物理化带来的挑战。这两天大家都谈到我们从过去的桌面互联走向移动互联,下一个阶段是越来越走向万物互联,我叫做互联网物理化。

  如果看一下过去20年、30年我们做的事情是把物理的世界数字化、虚拟化,用IT连在一块,下面30年我们其实把互联网的技术、商业模式,再组回到物理世界里面。所以说万物相连,在影响我们传统的行业,不管是健康、医疗、金融、教育,包括机器制造。

  所以,这时候当我们连接万物的时候,大家估计在五六年之中会有五百亿个智能设备被连接,会有无数个数据,我们看到了大数据带来的机遇。

  这么多数据怎么办呢?你需要挖掘、处理,把它智能化结构化。人工智能包括机器学习,深度学习一些技术,出来迎接这样的挑战。所以整体来讲互联网是走向这样一个大的趋势,这个趋势给我们的安全带来了更多的挑战。我们过去所谈到的安全更多是信息的安全,在PC上的安全,是服务器的安全,包括网络内容的安全。

  张亚勤:

  到了物理化之后,首先信息安全有新的挑战,包括移动的,包括云端的,包括数据的安全,这个我们大家都在谈。

  另一方面,我们信息安全又有了新的维度。到了人身安全和财产安全,不管是支付也好,在线买东西也好,金融也好,这都是你的钱,所以这时候财产的安全很重要。

  另外一点,可穿戴设备,包括刚才讲所有互联网的技术,可以说用到各种各样场景里面,汽车、家具、医疗,这个时候的的确确安全会影响到你的人身真正的安全。

  所以虚拟和物理的世界真正融合在一块。当然了很多嘉宾也谈到网络空间治理和国家的安全。

  我们也看到很多例子,不管是隐私也好、安全也好,包括世界上很多很优秀的公司的软件都出现了一些安全的漏洞。看到ebay的1400万的数据被泄露。还有一个最安全、做互联网里面内核的技术(的公司),由于有漏洞,公司也破产了。另外也有黑客运用医疗设备的远程控制,可以把人杀掉,如果开车的时候用了电动汽车,里面其实就是一个手机有四个轮子,可以控制你的汽车,所以我们可以想象到各种各样的场景。

  说到在新的安全环境下,我认为有三个大的要素,首先是更多的智能化。刚才我说我们有500亿智能设备连接在一块的时候,这时候出现了很复杂的问题,但也给我们带来了很多新技术方面的能力。各种各样的数据,刚才以色列的专家谈到了,可以看到这些大数据所带来的新能力。

  张亚勤:

  另一方面,就是更全球化的视野,互联网是一个全球化的技术和平台,需要我们每个企业每个国家都去合作创造开放的生态。这个问题其实是很复杂的,不管是企业也好,政府官员也好,讲到空间治理、虚拟网络本身边界的时候都有一些不同的观点。我想整体来讲,我们需要有一个全球化开放的心态。这也是一直在谈的观点。这些大的生态趋势发展,也需要我们重构安全防护的机制。这个图稍微复杂一点,我就不细讲了。

  安全入口大大扩充了服务安全、企业安全,攻击方式也更加多元化,不仅仅是一些病毒、木马的注入。现在通过各种各样的大的数据社会工程的工具,危害可能更大一些。怎么防护呢?道高一尺魔高一丈,我们有更多新的技术,包括像我刚才讲的大数据和技术习,很多技术其实会给我们带来一些更好的防护方式。要立体化、多维的通过云端、网络,不仅仅是我们找特征、匹配、找样本。更多可以通过用户模型、流量的模型,通过这些各种各样数据的流动来给我们提供网络或者整个系统的感知力和洞察力。

  更多的是合作,包括传统的安全公司,包括和企业之间的,也包括企业和政府更多的合作。百度其实做安全也有一段历史了,相对于传统安全公司还比较新,是互联网公司。但近几年也有了很大的投入,也取得一些成果,我们在手机端方面,手机有安全卫士,不仅仅提供防护的功能、安全的功能。比如说流量的检测,防止你偷流量,拦截这种骚扰短信,它其实是泛安全的概念。

  张亚勤:

  PC端当然有杀毒的,也有保惠式,使你PC速度更快。云端我们也使网站的速度加快,使你找到最短DNS的路径。更重要的是我们在云端、PC、移动包括在未来的IUT设备方面,都可以有这个联动。因为百度是一个大数据公司,我们对流量、用户的模型是比较了解的,这些知识用到防护,用到安全是有很大能力和潜力的。

  除了技术层之外,生态环境方面,我们也做了很多努力。我们看到,腾讯也是我们的安全联盟,有很多合作。

  我们有很多产品的时候,我们有支付的工具,运用到我们支付,如果出现问题,当然现在问题很少了,我们会包赔。我们会对很多网站、对很多商家的信誉进行一种调查和认证,让大家放心。对一些恶意的流量或者恶意的不正常行为,我们会做出预警,所以口碑也好,阳光行动,优质的信息,这个都是给整个消费者提供系统端到端的一种保证和安全。

  简单的就说到这些,谢谢!

  李欲晓:

  感谢张总刚才的演讲,我们整个议程安排,因为每个人的时间就10分钟,所以对所有演讲者是一个严格的要求,必须要在这个时间内充分表达自己的思想。下一位邀请来自欧洲信息和通信系统标准化协会ECMA的副秘书长威廉·欧诺·艾尔辛格先生,他的演讲题目是“网络空间标准和规范化”。

  威廉·欧诺·艾尔辛格:

  非常感谢主持人的介绍,我也想感谢部长对我的邀请,感谢组织方的盛情邀请。作为第三名讲者,我想讲关于标准化的问题,我不会重复之前米格尔·贝农等人讲过的观点,我简短的重复一下他们的观点,然后再讲一下我要讲的内容。

  我想讲的内容主要有三点,一个是网络安全,一个是数据,一个是软件。

  威廉·欧诺·艾尔辛格:

  现在我们要应对的问题有很多,现在有很多的解决方案,但是最终而言,在全球范围内无法解决问题,因此我们需要各个政府能够展开合作。技术有时候是有漏洞的,有时候是受到了不当使用。因此我们总是处在防御性的消极的灭火模式,因此我们需要做的还有更多。接下来的十年我们需要做的更好。现在有一些很好的做法,就像是刚才的演讲者所说的,我们必须要有坚实的基础,必须要加固这个基础。

  在这里我们的任务是什么呢?我们需要从消极转为积极应对,我们需要应对的问题是大规模的,因为网络是一个大规模的产业,我们需要快速积极的应对。比如说如果需要保障隐私的话,我们就不能够有任何的时间延迟。

  关于隐私问题,人们的隐私不被尊重或者是隐私受到侵犯,或者还有人也受到了隐私被别人发现的困扰,现在我们已经取得了一些进展。比如说中国已经在这一方面做了很多贡献,保障个人隐私。因此我们需要在国际层面展开切实的合作,我们必须要建立信任,主要是可以采取两方面的措施,需要保障保密性和追究责任。

  威廉·欧诺·艾尔辛格:

  我们不能够让罪犯逍遥法外,我们需要保障国际安全的网络,以及更高层面的合作,这需要各国各行各业展开合作。有一些行业的解决办法可以被推广到国际层面。

  比如说我们ECMA是一个行业协会,因此我们把很多行业的做法,包括标准化的做法推广,并且与ISO展开良好的合作。就像刚才百度的副总裁所说,我们不仅关注用户,而且也关注交易,还有很多各个层面的问题,软件也发挥作用,还有数字作用等等,我们在很多方面都发挥重要的作用,我们也需要考虑到不同的领域,要扮演不同的角色。

  下一点,我们都了解大数据,也就是需要对数据进行分析,但是大数据还有另外一层意思,就是需要进行档案储备,这些档案可以是法律的、医学的、财政的、商业的。这些媒介有着一定的生命周期,软件也是如此,但是这些周期并没有在全球层面纳入考虑范围当中,或者是采取相应的措施来应对这个问题。我们需要在方方面面做出规划和进行管理,因此各国和各个行业都能够在这个方面发挥作用。

  比如说软件领域,也想多讲几句话。软件现在在我们的产业链当中越来越重要,我们需要保障软件的安全和稳定,在这个方面已经有专业的行业在做这个事情,但是做的还不够。软件发挥的作用越来越重要,因此我们需要展开合作。

  标准化是有一定的期限的,我想我们不仅要走的快,而且要走的远。就像是习近平所说的,我们独行快、众行远,谢谢。

  李欲晓:

  感谢威廉·欧诺·艾尔辛格先生。下一位邀请来自中国早期做网络安全的企业——绿盟的董事长沈继业先生给我们做演讲,他的演讲题目是“去伪存真,营造健康网安生态”,欢迎!

  沈继业:

  各位领导,各位专家,各位业内同仁,下午好!昨天晚上跟几位朋友吃饭的时候聊起来,在90年代初在国内买一个手机是多少钱呢,是2.8万人民币。这是什么概念,相当于一个工薪阶层十年收入的总和可以买一个手机。现在大家知道我们买一个不错的手机,大屏机、四核大概不到两千人民币就够了。实际上这些年硬件价格的快速下降,让PC机、智能手机还有各种智能终端迅速成为我们生活的一部分。大数据、云计算成为现实。

  第二个跟大家分享一下,我女儿读初中,他们前两个星期刚完成期中考试,他们把分数放到网站上让家长查这个分,他们有一个同学考的不太好,同学就去攻击这个网站。这么多年下来之后从攻击者的种类到攻击手法都变得很复杂。从个体到组织,到有目的的组织,从经济的目的到炫耀经济的目的,让攻击的种类和攻击的群体变得越来越复杂。

  沈继业:

  我们做网络安全已经15年了,想有什么很好的办法让我们不再疲于应付不断出现的问题,由此有一些想法。这是互联网之父说的一句话,他说互联网美好是因为现实美好,互联网丑陋因为现实的丑陋。所以我们形成一个思维逻辑,让互联网社会和现实社会形成某种关联,现实社会形成了一个相对稳定的秩序,国家与国家的合作、对抗,社会也有法律、道德的秩序等等形成一些逻辑关系,当然还有家庭、个人等等的一些情况。

  我们由此思考一个问题,现实社会跟网络社会之间是不是存在某种映射关系,网络社会跟现实社会的映射关系到底是什么,我们能不能借用现实社会形成的这些安全模型来推断出网络社会所能够借用的一些安全模型?

  这样我们就做了一个大的列表。因为现实社会的安全问题我们已经有了很多年的总结,都是很清楚,国家有国家的安全问题,涉及到主权、领土等等情况,家庭和个人涉及到隐私、财产安全等等情况。

  当然互联网和现实社会是什么关系,我们觉得有些映射关系值得考虑。一个是说物理维度上,现实社会比如说他做一个什么违法犯罪的事情,他要在具体的地点,这个在网络社会瞬间可达。还有比如说他在现实社会有很多资产,可是在网络社会所有的资产载体是信息一个载体,所以他保护的载体也是这样一个情况。比如说在现实社会有人抢银行,在网络社会也有人抢银行,但是这两个抢银行之间的逻辑会不同。涉及到物理位置的问题、移动范围的问题、身份的问题等等这些情况。

  沈继业:

  所以基于此的考虑,我们试图能够有一个很好的模型做到这些,做到由已知推未知。这样能做到的话,我们不会再疲于应付。长期以来看,我们自己的判断,不是一个悲观、也不是一个很乐观的判断,网络世界不会比现在的世界更危险,当然它也不会比现在的世界更安全,我说的就是这些,谢谢大家。

  李欲晓:

  感谢沈总非常精湛的演讲。应该说前面几位演讲者都是在思考网络安全。网络安全的天花板到底在什么地方,我们今天探讨网络安全,网络空间到底到什么地方它才是安全了。

  另外一个,今天当网络出现的时候,我们全世界的人去考虑网络空间未来的时候,实际上是我们设计一个世界,我们设计怎样的世界,怎样去设计。下面我们的话题开始转到更深入的对于人才的培养方面,有请美国网络安全教育计划NICE的前负责人、TGMG创始人兼总裁恩尼斯特·迈克达菲先生,恩尼斯特·迈克达菲先生演讲主题是“网络空间当前需求-意识、教育、培训和人才发展”。

  恩尼斯特·迈克达菲:

  首先我感谢主办方邀请我参加今天的论坛,这是一个非常有趣的经历,也是我第二次来到中国。

  我先介绍一下,我自己在过去12年一直为美国联邦政府服务,做了很多方面的事情,很多是关于网络安全的教育和人才培训。有一些科学方面的背景,我今天谈的跟我的专业有一些关系,我认为网络空间其实影响到了社会的方方面面。所以我们要有效的解决这一问题,最根本的层面上是需要解决教育的问题。这不仅仅是为我们现在的劳动力考虑,也是为我们未来的子孙后代考虑。因为我们的世界现在已经变的越来越复杂,我们每个人都需要对网络的安全有所了解,无论你是网络的从业人员还是普通的公民。

  恩尼斯特·迈克达菲:

  今天我也听到了许多网络专家的发言,他们也都谈到了我们如何创造一个纯净的网络环境,我们如何更好的保护自己。我们在现实世界经常谈到个人卫生问题,在网络世界也是这样的,我们要时刻关注对我们网络安全可能造成威胁的因素。我们也应该提高整个社会的认知程度,今天大部分演讲嘉宾都已经谈到一些现实案例,这些案例中涉及到了在网络世界对国家安全和个人安全以及对知识产权所有的侵害。而这些侵害其实都造成了实实在在的破坏,而这些破坏已经足以引起人们对网络安全威胁的认识。

  比起这个更加重要的是,我们需要科技。比如说现在这个世界,我们要做任何事情已经离不开计算机网络了。在过去的几十年中,计算机技术已经有了很大的发展,我相信在未来的几百年也将是如此。如果能够让计算机技术真正为人类所用,我们就要非常关注网络以及计算机网络的安全问题。

  我认为网络安全实际上是整个计算机工程在全世界范围内一个关键的因素。我们组织一直在进行一些国际合作。我们进行了一些项目,比如说与瑞士进行合作。这个项目中我们非常依赖安全可靠的信息来运作这个项目。

  对于社会更广泛的层面来说,我觉得更应该关注的是教育,也就是对网络安全的意识教育。

  恩尼斯特·迈克达菲:

  我觉得从小学、中学,一直到大学、研究生都应该关注教育。因为只有通过教育才能使学生们对网络以及网络安全有一个理论上的认识,同时也会有一些实践上的感知。

  当然,我们也会与一些工程技术人员进行交流,有一些大公司也雇佣了网络安全方面的工程师,但所有人都必须亲自体验、亲自参与这些过程才能够真正感知到网络安全的重要性。我们也希望能有一些教育机构参与这些项目。其实小学的课程是比较灵活的,他们可以随时进行调整,这样我们就可以在小学课程中加入这些网络安全的课程。同时也可以在大学以及研究生的课程中加入一些理论的学习。另外我们可以展开一些短期的几个月的培训,去处理一些具体的网络安全问题。比如说一个军人加入军队的话,非常关注安全的问题,即便是退伍以后也可以加强网络安全的意识。

  对于未来的战略,我们现在已经看到世界范围内对于网络安全专业人员培训的需求在不断的上升。所有国家也在调整自己的教育体系,使得自己的教育体系能够与国际接轨,能够很好的参与国际竞争。在过去四五年中我曾经担任美国网络安全教育计划项目的负责人。

  我们也制订了一个教育框架计划,我们这个框架计划是非常宽泛的,他包括了个人,也包括了一些政策制定者。包括了各种各样的事项。我们就是想通过这些人整合这些计划和项目,加强美国的网络安全。我们这些项目中一共发现了30个技能型的项目,对于加强网络安全是非常必要的。

  恩尼斯特·迈克达菲:

  而这些模式已经在全球范围内和不同领域内得到了推广。我们还有私营企业和教育机构,他们可以培养自己的员工和学生,使他们都能够使用我们的这种模式。而这种模式就是具体针对于加强每一个不同机构的网络安全。而且无论什么领域都可以通过培训的语言体系进行交流。所以我也鼓励人们能够在网络安全方面提高预先计划的意识,并且在人才培训中也加强他们的网络安全意识。我们也希望每个雇主能够审视一下他们的员工是否具备网络安全方面的技能和意识。

  最后我也想再次感谢主办方。谢谢!

  李欲晓:

  非常感谢恩尼斯特·迈克达菲刚才做的演讲。对于教育,中国和各个国家都是非常重视,尤其是网络安全方面。作为基本技能的培养,我们也意识到,可能将来这是下一代生存能力的组成部分。希望这样一个空间能够更为安全和谐一些。下面一位演讲者是腾讯的丁珂副总裁,他负责网络安全方面,他的演讲题目是“网络空间供应链安全的机遇和挑战”。大家欢迎!

  丁珂:

  大家下午好,其实今天我最想讲的观点是未来网络安全就是生产力,它会促进整个经济的核心发展。

  我知道有点跳跃,基本原因很简单。大家知道,互联网发展过来,一路承载的业务形态聊天类的即时通讯,再往后就是游戏,再往后就是我们的购物,到现在是O2O。在中间其实经历过PC时代到无线互联网的演变。无线互联网时代有一个新概念,叫IOT。

  这一路过来会发现互联网从以前偏向效率型和偏向娱乐性的工具,已经逐步渗透到人们的衣食住行,得到了广泛的关注。这个阶段的安全,我们也可以拉出一条线,张亚勤总裁也讲到了不同领域非常繁杂。但很不幸有一个奇怪的特征,他一路都是属于跟着互联网热点的趋势在走。热点走到哪安全保护到哪。一直有人问我们,说我们做的有些事情你们就没有提前做过吗?无线互联网年代会不会比PC互联网年代更加不可控,更加难度大呢?这个问题我思考了很久,但我个人的答案还是很乐观、正面的。

  丁珂:

  几个事例可以清楚的看出,我们整个PC互联网年代,比如说木马病毒发生的时候,或者以前著名的冲击波等等,整个行业的反应是比较崩溃的,两天以后连一个专杀的软件都没有。谁能够率先把这个问题解决,谁就能把品牌营销做到当时安全行业非常先进的地位。但现在你会看到大家讲了这么多技术,其实网络已经做到快速跟踪,可控性很强。

  我们最近有一个案例,说××神器,有一个安卓上的木马病毒,通过短信这种关系链传播,整个反应特别快,腾讯协助公安9个小时之内就锁定了制毒者,同时抓捕归案。整个行业把这类实践控制在非常小的范围。包括电信运营商等等。前途还是挺光明的。

  同时想想,是不是有一个机会能够促进生产力发展呢?举个例子,现在大家在做银行类发卡或者其他关键业务,电信发卡都有一个流程,就是面签,就是验明是你本人。未来是不是有一种可能,安全结合人的生物体征,在线上发卡快速把这类流程改变掉。腾讯一直致力于这个领域。

  之前没有想到用线上的方式把我的传播速度更快吗?相信很多人都想到过,只是当时的安全条件没有满足,如果我们能解决的话,或许将来的银行发卡,或者各种各样需要面签的业务,整个产业流程会发生一个质的改变。这样又会带来更高的效率,更大的生产力。

  丁珂:

  话题很大,但快速说起来,接下来的时间只能讲一件事情,就是我们最近在做的移动支付上的安全保护。

  目前中国6.32亿的网民,3.32亿是移动支付。有31.8%用户都陆续接触过钓鱼、木马的网站。2014年环比2013年整个经济损失的增长是400%。腾讯在05年的时候就做了一个虚拟货币,那时候还是比较偏娱乐的,给游戏用的,叫Q币,当时我们在建设这方面,基于社会工程和黑色产业链对抗。同时我们也关注,右手边的图,关注图上出现的各种问题。

  这个方面我们也思考了自己的解决方案。在这个过程中,腾讯始终坚持的态度是把我们积累出来实际的能力跟产业链结合。目前我们在云库方面有UIL的库,积累了过亿个库,可以帮国家快速控制住舆论的导向。第二个是骚扰短信和垃圾电话这一类库,尤其是跟经济相关的库应该是目前业界最全最领先的库,他可以解决的问题是在于逢年过节的时候减少经济损失。

  丁珂:

  第三部分我们是面向未来做了一个APK库,更多是未来APK,就是一个网站,主表现形态是UIL,但承载的内容隐含的危险不比一个网站小。我们也积累了一个目前非常领先的APK的库。通过这些库的积累,我们开放给整个行业,天下无贼这一类的联盟,主要是解决基于电信和电话这类新型欺诈跟经济犯罪有关的行为,我们联合了公安和银行形成了这样的联盟,一年内帮助整个中国社会挽回了几十亿的经济损失。

  我们的核心能力有一个逐步输出的过程,到这个阶段已经把跟手机厂家云库的对接和基本的安全模块分享除去。事实上我们现在收集终端侧的安全软件,腾讯主体,独立软件安全终端超过5个亿,但给到整个行业联盟的终端是超过2亿。自己的软件发展了5年,但整个行业只发展了一年半就有2亿。同时我们也要加强整个行业,包括政府,包括我们上下游产业链的规范和法律建设。

  最后我一直想借用国际友人的话,也是习大大的话,要想走的快,你一个人,要想走得远一起走。

  非常感谢我们大会组委会给了我这个分享的机会!谢谢大家!

  李欲晓:

  感谢丁总刚才的演讲。应该说网络安全的工作其实包括各个层面,尤其是网络信息服务提供者,在提供信息服务的过程当中,去考虑建立一个有效的安全防护体制,可能会有很大的价值。这个过程当中我们也会看到,今天的网络企业既有服务也有技术,与此同时我们很多的业务也来源于传统的领域,来源于软件、传统制造各个方面。下面有请微软全球副总裁陈实先生给我们演讲,他的演讲题目“探索云+移动计算时代的网络安全”,大家欢迎!

  陈实:

  谢谢主办方,谢谢李教授,也感谢有这样一个机会让我们分享我们在网络安全、信息安全、隐私安全方面的一些想法。

  刚才听到丁总讲信息安全是促进经济发展的动力,我一看应该是云技术是驱动经济发展的动力,好像和丁总说法有点不同。但是如果是一个不可信任的技术,没有信息安全的保证,没有个人隐私的保证,不管是移动也好、不管是云计算也好,这个技术不能被广泛的应用,不能给经济带来驱动力,就这样一个问题我非常赞同丁总的说法。

  大家知道从一个软件公司现在转变到一个服务跟一个设备公司,移动优先、云优先,云计算的应用跟互联网无时不在。同时也给我们带来了一些新的挑战,但是这些挑战并不稀奇。

  我们纵观人类发展的历史,新的技术总会带来相应的问题。讲通讯,在19世纪刚刚发明了邮政,就有邮件欺诈的问题,后来有电报也会发生电报信息被截取的问题,到互联网时代也有网络犯罪,有数字犯罪的情况。但是我想强调的是,并没有因为这些挑战影响了我们的技术发展。

  陈实:

  大家知道在刚刚发明电的时候,有些人家里有发电机,后来有电厂了。水也是这样,没有自来水的时候是挖一个井。但是如果这个电你开的时候有时亮有时不亮,这个会影响技术的应用。比如说银行,也是一种业务的模式,现在没有人认为放在自己家里的钱比放在银行里的钱更安全,甚至不会疑惑你去银行会不会提不到钱。这是类似于这种高效率的业务模式和技术对我们的生活带来的影响。

  挑战在哪里呢?有三个不同的目标需要实现,而不是只顾其一,需要平衡兼顾,又要保障公共安全。现在我们身在这样一个社会当中,不管是网络犯罪也好,国家安全也好。第二个,需要保护个人的隐私,别人把钱交到银行,就希望你保护他的隐私。第三,要促进技术的发展。这三个是我们努力的方向,微软的宗旨是看到人们十分注重自身控制其信息的能力。

  特别是互联网信息化的时代,微软也坚信,政府如果需要我们客户的信息的话,前提是要通过法律的手续,应在征得同意之前获得客户的信息。

  我们在此做了三方面的措施能够保证信息的安全跟个人的隐私。第一,我拿银行举例子,银行跟银行之间钱的流动,荷枪实弹的装甲车在保这个,微软之间数据流动是充分加密的。不仅如此,个人信息放到公司,都是加密形式的,就是充分保证。

  陈实:

  第二,我们云计算数据存储的地方,它对数据保护是十分重视的。比如说你要进入到我们数据中心,有多道防护措施,而且有很多措施,指纹、视网膜,保证能进入数据中心的人都是得到批准的。甚至你外来参观,进去之前他要称一称你的分量,出去也要称你的分量。

  第二个要做到充分的透明性,以银行举例,银行有很严格的操作程序,比如说他有准备金的率,你钱存进来以后银行可以拿一定的比例进行借贷,他保证你任何时候去取他能把钱给你。我们和政府一起保护源代码。微软在跟企业签订合同当中我们加了一条,任何政府如果他要获取企业的信息的话,不管是什么理由,国家安全的理由也好,因为犯罪查犯罪也好,他应该直接问企业用户去获取这个信息,而不是问微软来获取,因为这个信息在企业这里。

  陈实:

  另外我们也很明确的讲,如果是这个信息在其他国家,因为刚刚十几个老师也讲到数据的主权性,比如说微软在中国首次推出共有云,它的数据中心在中国,而不是离岸的。微软的一个原则,如果一个政府要问在一个其他国家的数据中心获取的话,我们的原则是本国政府的法律只限于本国。

  举个例子,美国政府由于调查犯罪的原因,需要我们提供在爱尔兰的数据,我们没有同意,美国法律只限于国内,为了这个我们还跟美国政府进行了诉讼。可以看到我们对于客户的隐私和信息是相当重视的。微软重视和保护客户的信息,因为只有他对技术能够信任、能够放心,他才能够用。

  这是一个信息时代,我在若干年前听到腾讯的总裁马化腾说,现在平均每人每6分钟看一下手机,信息太多了,现在我关注了一下,可能这个数字还在缩短,越来越多的人有愿望要分享信息。但是有两个前提,一个是这些人他要用信息,他要决定他和谁分享,不是别人决定的,同时他要决定如何来分享。在这种新的信息化时代,要使我们这些技术能够真正成为经济发展驱动力,我们要增加信任,加强透明,提高责任感,这样才能够更好的让先进的技术为人类服务,谢谢大家。

  李欲晓:

  感谢陈总刚才的精彩演讲。从我来讲是两个大的含义,一个在网络安全层面涉及到国家安全、社会安全和个人安全,第二个讲微软是一个有担当的企业,会承担它自己应承担的责任和义务。

  下一位有请来自ISO/IEC JTC1 SC27身份管理和隐私工作组组长凯·雷诺伯先生演讲,他的演讲题目是“网络空间隐私保护和可信身份管理”。

  凯·雷诺伯:

  各位下午好,非常荣幸今天能够参加这一会议,并且向各位报告一下我们这个组织现在从事的工作。

  我们今天想要探讨的是身份的管理问题。大家可以看到我是一个来自法兰克福的古腾堡大学的教授,我们这些年一直在从事SC27身份管理的研究。刚才我听到了许多精彩的演讲,你们谈到了一些非常重要的话题,之后我在演讲的时候我可能会跳过一些幻灯片,这里大家看到的是我们的这个组织,以及我们如何进行SC27的项目,并且进行身份管理,对身份进行标准化管理的操作。

  我们这里谈到的身份管理跟传统意义上的不太一样。这里我们会谈到几个方面,一个是身份管理与国际标准的展望,我们先谈一谈JTC1-SC27,我们第五工作组还比较年轻,我们主要关注于身份的管理和隐私的技术。

  当然,我发现其实在信息技术方面和个人的隐私保护方面存在许多技术的重叠,所以我们一定要整合这两个方面的合力。但是有时候个人的隐私和信息技术的范式方面存在着一些冲突,我把这种安全的范式叫做一种传统的IT安全范式,这种范式其实与我们公民隐私的范式存在着一些冲突。有一些信息技术的概念需要更加具有针对性,所以我非常高兴的听到我们之前的主题报告谈到了,比如说互联网、大数据等等,因为我是来自德国,我们在德国,我们发现有些服务并不能很好的服务社会和人类。这是对我们第五工作组的一个简要的介绍和我们这个范式的介绍。

  凯·雷诺伯:

  关于身份管理,我们希望介绍一种管理方法。两千多年《圣经》里曾经有这样一句话,主说不要恐惧,因为我已经为你挽回了名誉。也就是说我给了你新的名字,你是新的人了。人的名字要统一的,在我们这个第五工作组,我们有一种身份管理的方法,那就是采取一种统一的管理方法,这样使得我们对人的管理更加的高效。

  比如说,其实在不同的IT系统中会有不同用户帐户,有时候会对帐户登录,我们会进行统一管理。刚才有腾讯的嘉宾谈到人们希望相互联系,但是人们在不同的社交媒体上可能会展示自己不同的方面,有时候人们需要用不同的身份来展示自己。人们用这种不同的身份来展示自己认为重要的不同的侧面。所以这时候我们需要进行身份管理。

  所以我们就有了这个JTC1-SC27身份定义。我们并不需要去追踪一个单独的个人,我们需要对这个身份进行个体管理。我也很高兴,就这个框架协定我们已经达成了共识,我们也感谢中方的支持。当然还有一些没有解决的问题,比如说一些非常典型的联合身份管理框架中的隐私和安全问题。

  凯·雷诺伯:

  比如说在因特网我们通常有一个服务商,但有时候如果用户并没有提供他们的身份认证的话,网络的服务商不会轻易相信这些用户的。所以这就需要一个可信的第三方。这个第三方会接到一些请求,这些请求是要求了解这些用户的身份,而这种第三方更加了解用户的身份。

  我们看这一点。这也是跟身份管理有关。比如说我去酒店开一天房间的时候,我就需要把我的身份进行认证。因特网并不像酒店登记那么简单,要对整个个人履历都需要了解,但我在酒店办登记入住的时候只需要出示我的护照。并且这个护照不仅能够显示我的国籍,更可以显示我的国际旅行记录。但有时候这可能会涉及到我的隐私。所以这时候安全和隐私就会发生冲突,但我们也有一个项目,就是关于隐私友好管理的项目。我们现在正在对这个项目进行研究,它还处于可行性研究阶段。我们这个项目名称叫做“基于属性的证书”。

  比如说我的护照上会有我自己身份的证明,我可以决定我将如何使用这个身份证明。我可以决定这个护照上哪些身份的信息是我可以向某些人透露的,哪些是我不愿意透露的。

  我现在只有1分钟的时间了,最后简单的小结一下。

  凯·雷诺伯:

  那就是互联网使人们越走越近,我们共享的治理任务,是要建立一个能够更加保护隐私的友好互联网。我们要确保泄露信息达到最小化,同时我们也要更好地保护隐私。所以我们才需要这种保护隐私的项目。

  这里我还带来了一些材料,如果大家感兴趣的话,可以向我索取。同时我们还有一些网站,如果大家想要了解更多信息的话,也可以登陆这些网站与我进行更多的讨论。谢谢!

  李欲晓:

  感谢凯·雷诺伯先生对这方面做的精彩演讲,因为时间关系他的很多内容无法进展开,我想在座很多专家都对可信身份管理这方面非常感兴趣。因为我们也知道,美国2010年发布了可信身份国家战略,而且中国最近这几年也一直在推进网络实名制的建设,包括欧洲现在在提出标准化的进程,在这里面到底采取一个什么样的可信身份管理机制,可能也需要业内进行充分的讨论,我相信凯·雷诺伯先生这次到中国参加世界互联网大会一定有收获,因为很多在座的专家会后就会与你进行详细的交流和讨论。

  前面几位专家就人才的培养、教育的意识和供应链管理和安全,以及云和移动计算时代网络安全的理念,可信身份管理方面做了探讨,这些都是整个网络空间管理和网络空间安全方面具体可操作的措施和做法。我们现在再回到大的安全战略上面,下面有请华三通信的总裁吴敬传女士,给我们做互联网时代的大安全战略与实践的报告。大家欢迎!

  吴敬传:

  尊敬的赵泽良司长,尊敬各位专家,大家下午好!

  非常荣幸有这个机会参加这个论坛。作为华三,作为致力于打造全球IT基础架构的公司,我今天重点给大家分享的,就是在互联网时代的大安全事件。

  我经常用一个词语形容现在的时代,叫“云飘人动”,云就是云计算,使我们飘离了孤立了的这些信息能够计算和共享,使我们预测未来。动,是移动互联网,使我们每个人不再固定在一个空间里面。我们需要移动起来。因此在“云飘人动”的时代里面,我们呼唤的是大安全。

  什么是安全?安全就是正确的人获取正确的信息,这样信息量无边际的爆炸,在人员大规模移动的情况下,我们过去传统的安全手段是基于一种围墙式的安全,还给限定的时间、限定的地点、限定的人以限定的信息。事实上这种连接方式已经是无法做到信息共享,而且效率是非常低下的。

  吴敬传:

  在大移动,大数据的时代里面,我们互换的是一种大数据的模式。什么是大安全?大安全就是移动无边境的阶段里面,在数据量大为爆发的阶段里面我们来提供根据人员不同的身份、不同的介入终端、不同的地址、不同的信息这样安全的策略手段。

  因此我们看到,当我们面临人员身份、访问时间、终端类型以及访问地点和内容,任何一个要素转变的时候,我们需要给他建立快速安全的匹配授权,建立他的安全策略,定义他的安全连接和形成一种逻辑性的安全通道。这样才能实现我们过去对固有的安全策略的解放。

  今天在安全方面,我们会有各种大安全的技术战略和技术实践。首先我分享一下我们是如何建立这样一个技术时间的。

  首先第一条,过去我们是基于路径部署安全能力的,至于大家更关注的是如何连接,但今天连接已经不是问题的时候,我们会发现,我们需要基于安全的能力来选择路径,这里面其实给大家提及的就是如何建立一个安全的资源池,形成一个安全的云计算中心。技术不断的先进,六年前我们很难想象我们手机可以来替代手电、计步器、录音机等等功能。同样我们理解安全的时候,我们会把它跟固态的安全形态,比如说防火墙、IPS等等设备连接在一起。

  吴敬传:

  但今天我可以告诉大家,事实上这些硬件设备,可以跟安全能力弱耦合。就是当它是专业呈现软件的时候,可以与标准的设备结合在一起。这样我们会发现,虚拟机的方式可以百变成交换机、路由器,同时也可百变成具备安全能力的防火墙、深度入侵的能力。这样使得安全部署的敏捷性得到了大大提升。

  再举个案例,美图秀秀。我们发现过去照一张相,修修补补的时候,要使用专业的PS,但今天美图秀秀把很多东西模板化,同样未来的安全管理人员一样可以通过我们提供的安全管控平台,通过我们模板化的方式,让每一个IT人员可以轻松成为安全策略大师、安全管理大师。这就是我给大家分享的其中三点大安全实践,变成集中的、池化的,实现快速敏捷安全的部署。通过集中管控模板来使人人都能成为安全IT防护层大师。

  吴敬传:

  同时,我们还可以做到通过这种主动式的安全防护,替代过去旁挂式的安全防护建设模式。另外还有基于大数据的动态安全策略。今天我们以色列专家也跟大家分享了大数据的分析,可以作为一种主动的安全防护策略提供。最后一点就是我们把过去面向连接的安全实践,变成一个面向对象可定义和自适应的安全策略。

  这就是我们提供的七大安全实践。把这七大安全实践归总成最后一个,就是华三要提供的软件定义安全战略。在软件定义安全里面可以看到我们集合了拉开数据、云、网络虚拟化等等这样一些跟互联网相关的技术体系。在软件定义安全的体系架构里面,我们看到嵌入式安全可以帮我们把不同安全终端连接起来,我们通过安全云中心实现对安全资源的分配,通过安全控制中心实现对安全策略主动性的安全调控。

  吴敬传:

  另外,我们通过大数据分析中心,以及统一的安全策略管理,来实现安全主动的防护。最后我提到一点,事实上我们可以把安全变成一种服务,就像今天的云计算,可以变成安全云服务提供商。大家很清楚,今天我们是一个论坛,全球共享的论坛,在这样安全的大战略背后并不是任何一个企业都可以完成的。我们可以呼吁更多的企业、更多的专家共同形成一个安全大联盟,软件定义安全的大联盟。最后我们需要做到的,就是无时无刻、无处不在、无微不至,无为而治的安全策略。谢谢大家!

  李欲晓:

  感谢吴总刚才充满激情的演讲,讲了大安全战略是什么。我有两点认识,第一个是要看得懂,第二个是要做得到。下面进入到我们今天整个网络安全和国际合作演讲环节的最后一位。因为我们前面讲了所有的网络安全,这必然涉及到全球的网络安全问题,最后一位是国际电子商务顾问局的创建者及主席杰·贝维斯先生,他演讲的题目是“全球网络安全危机:全球响应框架”。

  杰·贝维斯:

  大家晚上好,赵局长,非常感谢您的友谊,感谢中国政府,我代表所有的演讲者感谢中国政府给我们独一无二的热情的招待。我是来自国际电子商务顾问局的,我们是一个注册认证的机构,我们会来培训一些“伦理黑客”,来培训相关的业界人才。我今天想谈一谈关于全球网络安全危机的全球的响应框架,我想大家都知道我是最后一个演讲者,所以大家可以耐心,如果那些已经睡着了的,希望你们可以醒过来。

  过去我们花了两天讨论网络、讨论网络安全,我想底线是很简单的,我们是好人,我们在失去战争的一面,我们可以说失败,不管是网络、隐私、所有的信息显示这些坏人赢过我们,这就是底线。所以我们的问题是什么呢,当这种攻击越来越复杂,为什么我们不能够超越他们,我们为什么不能够解决这样的问题,我们的预算增加了,法律更多了,人们的意识更多了,教育更先进了,但是黑客的攻击越来越多了,我们的业务越来越大,但是我们的组织会受到攻击的可能性就更大。

  杰·贝维斯:

  我们可以来看一看现在的现状,现在是什么情况呢?世界上190多个国家政府,可以说很少是有这种信息安全教育框架。美国在这个方面是领先的,我的好朋友有一系列的倡议,现在也在英国有类似的倡议,欧洲有很多在做类似的事情。很多政府还没有这样一个安全教育框架。至少他们没有试图解决安全教育的问题,这是一个非常复杂的领域,这就是要解决问题的一个方法之一。所以我们要和各个团队进行合作,我和中方也讨论了他们如何来签订这个谅解备忘录,解决这个问题。我们和所有的团队,不同的组织,有的是信息产业,有107个国家签订了这样的协议,还有APEC的国家,还有伊斯兰国家,但是是非常松散的架构。

  所以在电信领域怎么办呢,在金融领域又是什么情况,他们都是互相相关的。现在的情况怎么样?好人之间的信息分享跟坏人之间的信息分享还远远不够,我们要解决这个问题,我们讨论这个全球响应机制的时候,要确保这些好人怎么分享信息,怎么来推动法制,当然我在这里不是来谈政治,这是长期要解决的问题,有政策、政治,现在的问题是各国政府要联合起来,通过像今天这样的活动和会议来找到解决的办法。

  杰·贝维斯:

  作为我们、作为普通人,我们应该怎么样来做,来带来改变,这样的大会我们回去之后有什么样的收获,我们明天就可以实施。我想对更加安全的世界做出点点贡献。所以我们来讲一讲0和1的故事。

  我们讲攻击,刚才HP谈到了其实74%的信息都是和攻击相关,如果我们来想一想,互联网的世界如果没有应用就没有办法成功,我们谈到应用的时候就是0和1的故事。比如说攻击,和SQL攻击之间的区别,如何来界定一些参数,没有相关的技术参数来保护,整个世界都会受到损失。

  如果我们来看一看这些攻击的情况,你是要用URL来传输还是用Code,开发商他们不知道什么叫注入性的攻击。如果是这样,怎么样找到解决问题的方法。我们是一个非营利性的组织,我们觉得这是非常有意思的问题,我们做一些调研。我们有一个印度办公室,我们去印度开发中心来做一个调查,看一看这是不是一个问题。我希望在这里先做一个免责申明,这个问题和印度相关,但不是印度的问题。你也会在你的国家面临这个问题,这是一个全球性的问题,当然印度只是一个相关的国家,这个研究的结果并不是说明印度比其他国家都不安全,这是说明全球的国家都需要做这个培训。

  杰·贝维斯:

  我们去了世界上很多大学,美国、欧洲、印度、韩国、日本,我们很快意识到在计算机的学生当中,他们都在学习编程,但是他们没有综合安全编码的课程。这不是必修课,他们都在学编码,但是没有一个安全编码的课程。在印度有一百所以上的大学,我只有十分钟的时间,我不像上一周在白宫会议谈那么多,有一百多所大学都来参加了这个调查,结果很简单,只有1%的学生了解安全编码是怎么回事,不到1%。你可以想象这是那些计算工程系的学生。

  这说明了一个观点,我们创造了互联网,创造了应用,我们有邮政,创造了电话等等各种应用,我们从传统银行业务到了网络银行业务,但是安全是大家最后考虑的问题。突然发现我们有安全的问题,怎么办呢?不用担心,我们是解决这个问题的开发者,我们来解决这个问题,所以这是我们开发的模式。

  大家可以来看一看制药业是怎么做的,大家可能觉得我说的太快了,但是没有办法,我只有十分钟。大家看一看禽流感,中国也有这样的情况,H1N1,卫生很重要,但是网络也是一样,卫生要消毒,我们要保证所有人参与这个问题。我们怎么做,教他们怎样编程,我们没有告诉他们怎么保护自己的安全和隐私,这就是这个问题产生的原因,我们有了网络,但是不知道产生安全的网络。

  杰·贝维斯:

  我们只有不到1%的学生知道安全编码,但是我们要改变这个情况,这是我们面临的很大的问题。所以问题是什么,第一我们在开完这个大会之后要开始为这个问题准备,我们要停止生产这个问题,我们要去大学各个机构,告诉他们要教安全编码的课程。第二,我们需要找到问题的关键所在,今天的年轻人、小孩他们不知道这个复杂的问题,所以有了ITU国际电信联盟,我们有60个国家互相竞争,我们使得全世界的孩子都能够参与这个过程,互相竞争。所以网络攻击是可以用一个有乐趣的方式来进行的,我要感谢国际电信联盟来给我们支持,我也希望中国也可以在这个全球的安全互联网奥运会上取得好的成绩,这是我的email地址,如果大家有兴趣的话可以跟我联系,谢谢。

  李欲晓:

  感谢杰·贝维斯先生做的这个演讲,对于全球响应框架的报告,非常好。尽管我并不太乐意做一个失败者的会议的主持,但是我觉得杰·贝维斯还是给我们一个很好的警示,就是我们去正视网络空间安全所面对的问题,包括我们需要采取什么样的方式。而且很重要的一点,因为今天是来自全球的网络安全专家坐在一起讨论,在这个里面大家有共识,大家可能也有不同的意见。在我们这样一个世界互联网大会当中涉及到网络安全国际合作的层面将来有什么样的成果能够对于今后的全球网络安全和国际合作取得实质性的价值,我想在座的诸位都有自己的想法,也期望我们能够经过这几天的讨论,在这个方面有新的突破和新的进展。

  李欲晓:

  在这里也非常感谢今天所有到会的各位专家,从各个领域对网络安全方面进行阐述,对网络安全方面有极高的价值。网络安全相关的标准建设和完善以及人才培养,相应的国际合作,协调一致的行动,实际上我们在座的每一个人共同意识到一个问题,网络安全是只要跟网络相关的行业都需要面对的问题。

  这次世界互联网大会在中国的乌镇召开,而且提供了这样一个平台,网信办网络安全协调局又给我们提供了这样一个讨论网络安全和国际合作的场合,我想对今后发展来讲是很好的。希望每一位专家在会后可以进行交流和合作。我非常感谢布鲁斯·麦康奈尔先生开了一个好头,他的时间控制的非常好,我也希望将来在网络安全方面能够得到更多的交流和合作,谢谢大家。我们的这个论坛到此结束,谢谢。