各位领导、各位来宾，下午好。很高兴，一个是感谢CNNIC的邀请，感谢大会组委会让我有机会分享一下我自己在做网络安全，以及做态势感知平台建设当中的一些体会，提一些想法和理念。为什么讲理念？习大大说的，2016年习大大这个话讲完以后，你看两年多了，我们到底有多少在做了？比如说理念决定行动，前面几位嘉宾都说安全是发展的前提，2016年都提出来了。那就意味着你在考虑发展、考虑应用的时候，你必须首先考虑安全问题，这是在任何前提下都应该这么来做。

比如说我们讲全天候、全方位的感知网络安全态势。比如我们讲网络安全全方位，你包括哪几个方位，比如说我把网络安全做完了，网络安全包括哪几个维度。我觉得我们现在在这方面回答这些问题和做这方面思考的人不太多。既然领导已经说了这些，那是不是我们应该做，我们应该怎么做？怎么落地？这是我们要考虑的。王阳明有一句话叫知而不行，只是未知。好像很多看的都懂，但是你做起来的时候还是不懂。这样子，我就想把自己的思考给大家分享一下。

网络安全到底是什么？本质到底是什么意思？从网络安全的核心应该从哪几个方面来考虑？这些问题我们考虑的都不是太多，实际上大多数的都没有从本质上面来考虑。比如说我们讲网络安全的特点，比如说实效性、复杂性、专业性不对称。你遭到攻击的时候要马上处理的，这种实效性要体会出来的。你怎么发现攻击行为并马上处理，这是我们体现出来的能力，那种对抗。实际上能力的背后或者我们讲我们对抗的背后是一种什么样子？

所以我们讲做安全的话，一定是一个国家组织和个人的智力博弈的场所。你在做安全的时候，你永远不知道你的对手什么时间、什么时候用什么方式来对你发起攻击。在这种情况下，我们应该怎么来做？我们的对手是什么？我们的对手都是有国家、有组织背景的这些专业的人士，这种专业性就特别强。所以在这种过程当中，我们在做网络安全防护的时候我们应该怎么办？你怎么来提高你的网络安全防御的能力，来提高你的对手对你攻击的成本，我们应该怎么做。基于这样子，我的观点就是网络安全的核心实际上很少有人在研究，我感觉非常遗憾，我还是属于比较小众，大多数的观点还不一定被人接受但是你们自己可以判断我讲得对还是不对，我是从另外一个角度来考虑，然后给大家做一些参考。我认为网络安全今后要做的，一个是专业的分析队伍，第二个就是情报共享。不展开说了。

全天候是365天，7×24小时那叫全天候。我们大多数的安全厂商都属于卖盒子的，什么意思？就是说你买一个电脑你如果不坏，你永远不找他们，这就是盒子。如果你把安全当成一项服务，那7×24小时需要看到的。比如说防火墙，防火墙策略实时的监测有没有效果，有没有对于我做了安全策略他所采取的一些措施，比如说我把端口关了，有没有人对我进行探测，那是谁在探测，这是不是安全应该做的。所以说这里面我的观点就是改变观念，你怎么把你的基于对抗的理念放到行动上。在这种情况下，情报的共享是不是也可以特别重要？比如说我负责国家电子政务网络，我在北京发现的攻击和特征如果不共享出来，我自己处理完就完了，可能过两天在南京、杭州同样的情况会同样发展。所以在这种情况下，那就没有情报的共享、没有专业人员队伍的支撑，你这个安全是做不好的，这是我的体会。

在这种情况下，我们想到底应该怎么来做？这是一种理念。这是美国在CNAP上提出的要求，第一，实践证明单个机构已经没有办法应对复杂的威胁。第二，美国现在的做法是不再让单个的联邦政府来做单个的自己的IT运维建设和管理。但是我们国家的理念是什么？我讲出来你们都知道，我们的理念还是2003年中办的文件叫谁主管谁负责，谁使用谁负责。这种理念下的安全你怎么做。所以讲网络空间整个的系统关键及时、安全及时，实际上是需要研究人员、开发者、管理者、用户共同承担，所以这是一个。

苏格拉底有一句话，我们在座各位讲的网络安全跟我脑子里的网络安全一定是不一样的，那你怎么办那你就要术语定义。所以苏格拉底有一句话叫“智慧源于对术语的定义”。但是你看我们国家除了我们的标准，国家标准有一个章节叫术语和定义，其他所有的文件，包括技术文件都没有对术语定义这一说法。我们到现在是指导思想，这是不是有问题？你怎么来定义。我现在给我们部委、给省里面做方案、做技术文档的时候，我专门有一章节——术语定义。这是我的一种工作方法，如果这样子，基本上在统一的一个术语下面去讨论的话，你才会讨论很清晰。

不管电子政务、不管管控系统，在信息化网络安全，我们讲的习大大说的全方位。我是从五个方面来表现出来，你们认为是不是这么回事，你们可以自己判断。实际上你一分解，我的观点是复杂问题是要分解，而不是简单化或者是眉毛胡子一把抓。你一分解完，你会发现我们很多网络安全有问题。比如网络边界的安全，什么叫网络边界？国家关键基础设施的网络和互联网的连接点或者讲结合点，这是网络边界的安全，这是我的观点，到现在整体缺失。美国有TIC，我们国家是没有的。

第二，网络安全。我讲的网络安全更多的是基于动态的、行为的网络安全监控管理。你如果细想一下，我们的网络安全现基于等级保护、合规、基于静态的网络安全在做。

第三，终端安全。我们国家到现在对终端安全没有一个定义，你的脑子里面一会儿是服务器安全，一会儿是终端安全。笔记本电脑、台式机这些PC极端，还要包括可穿戴设备等等，更应该包括物联网前端设备，这是终端安全要干的事。终端安全可以分两类，一个是跟人关联的，你要把设备跟人绑定，证明这台设备是你本人在使用。物联网的安全终端，比如说公共系统，比如说更多的城市应急或者各个领域里面的物联网现在越来越多。那物联网的安全你是不是应该要做，保证设备传输出去的数据是你这台设备，那应该怎么做？数据的物联网芯片的安全、物联网在传输过程当中的安全，以及设备认证。

第四，应用安全。我们国家应用安全做得很糟糕，我定义的应该是基于单位身份角色的认证，以及应用软件原代码的安全和服务器的安全，应该叫主机安全，服务器裸机加操作系统。

第五，数据安全。你从采集到传输、到使用、到存储、到销毁，这是数据安全要干的事。数据安全要做数据的分类，原数据标准规范的制定，以及加密存储。

整个你把五个维度的安全如果都考虑到了，你的安全会做得比较好。但是你去看大多数都没有这样来做，你一分解，复杂问题就分解。你去看电子政务一直在讲电子政务的顶层设计，到底是什么样的顶层设计？我们讲了20年还在讲顶层设计。我理解的顶层设计，一个是顶层是对于电子政务的战略目标和规划的制定，从上往下。设计是什么？设计是从下往上的方案实施、工程实施以及落地落实。这样你的工程和实施是向你的目标去走的，我们没有，我们都是一个点一个点的工作。整个五个维度才是全方位整个的安全。

在这个情况下，这种安全的威胁既来自外部网络的攻击，又有来自内部的对于数据的窃取，所以整个数据在使用过程当中的全过程可控制、可管理、可追溯是不是我们应该考虑的。在座的有运维单位、甲方、乙方、厂商，你在做产品的时候是不是应该从这几个维度考虑。我如果是甲方我一定要提这样的要求，基于动态的安全从这五个维度一定要提，这样才能做得好。

我们为什么要讲这种明确的界定，就是智慧源于对术语的定义，这里术语实际上显得非常重要，国家这块太缺乏。现在让我来做，我就从基础工作做起。在统一的安全的概念和定义下面形成一致的认证框架，是你做好网络安全的基础。没有这个基础，我们现在都属于空中楼阁。我们讲概念和术语的挑战，实际上美国在布鲁金斯学会2012年就提出了《网络安全与美中关系》，网络安全领域定义中国人和美国人是不一样的。在国际上争取话语权，如果你定义术语都不一样，你怎么来做后面话语权的事情。

比如说美国政府有政府使用的术语定语，美国国防部有对国防部军事专业术语，包括欧盟相关术语的专业词汇和定语，这是人家国家这么干的，你看我们有吗。所以我多提一些问题引发大家的一些思考。因为刚才几位专家都已经说了去年的5·12，今天刚好是，想哭（音）病毒原因是什么？那是部分武器在互联网上面曝光，是不是全球的黑客都在研究这些网络武器库。对我们做防御的来说，是不是我们面临的挑战更大，所以网络武器库曝光以后，只要对我攻击了都认为是我的对手，他在研究这些网络武器以后，在我们网络里面的感知能力、隐藏能力、作战能力、行动能力都在增强，对我们做防御的是不是巨大的挑战，这种挑战我们准备好了吗？所以实际上多问几个为什么，我觉得我们的问题真的很大。

随便举个例子，因为这个是2015年炒的很火的，就是美国的认识管理局，400多万联邦成员信息被中国黑客窃取了。去年8月份到美国去开会去了，开完会直接被FBI带走，这就是起诉书。美国人怎么知道的？我们反过来，我们能不能够发现美国、俄罗斯各个全球的这些黑客对我们国家党政军网络的攻击，我们能指向他一个人吗？我们有这样的技术能力吗？基于对抗的背后是技术的展现和人才的展现。这就是中兴的，这个就不多说了。

我的观点就是说，态势感知平台到底怎么来解？这两年网上已经炒的很火热了，我的观点基本上都看不上眼。我的理念，一个是在互联网上面有两句或者讲必须牢记的原则。一个是你一旦成为目标，你总会是目标。这里面就有很多的案例，比如说东南亚的黑客度我们国家海洋安全持续的关注，你这两天处理完了，过两天人家会再来，持续对你的关注。比如说安全公司在研究全球到底有多少个黑客组织，他的每个黑客组织的特征是什么样子的，我们大概就能举起来几个，其实有很多。不知己知彼，你怎么做安全，这是一个。

第二，你必须放进来的，你就无法进行阻拦。比如说你的门户网站、邮件，你是必须开放到互联网上面的。所以为什么我们全球90%的APT攻击通过邮件，可以通过你的社会工程学、上下左右领导都可以确定目标，才能来进行攻击。基于这样子，我们应该怎么来做？这个是我们现在准备做的一个，就是对于事件的分级分类，我们国家现在没有的。所有的安全事件眉毛胡子一把抓，你怎么来分？比如说网信办、公安部天天对你的网站进行检测，发现漏洞就给你发个通知。那么在互联网上面跟黑客攻击的特征是一样的，你怎么区别出来？第二，比如说你发现了异常的行为，比如说我们经常发现电子政务的数据天天往美国、台湾、香港发，你该不该预警，我们讲跨境异常数据传输。还有更多的一些事件，你不分类你怎么去处理，你都不知道哪些是重点，哪些不是重点。下一步我们可能会申请国家标准，关于安全事件的分级分类或者安全事件报告的分级分类，国家是有分级分类的国家标准，但是那个事件的分级分类你看可操作吗？第二，他是指已经形成的安全事件的分类。如果没有形成的呢，比如说对邮件的暴力破解没有形成危害，被安全设备阻断掉的该不该分类。

基于这样的理念，态势感知还是从定义术语开始做。有效数据的获取，你们认为IDS的数据是有效数据吗？我们现在讲的（英文）系统，它是基于挑战，它都是经过泛式化处理，是第一手的有效数据吗？所以讲在这方面，一个是叫要素是有效数据的获取，什么是有效数据是你要判别的。第二，通过数据的关联分析对数据进行理解，最后对今后的趋势做一个判断，这是态势感知最初的定义。我们是不是应该从最初来走，我们现在到后面看的很漂亮，图案很好看，我说这个有什么用，看也看不明白。如果看着好看，《王者荣耀》一定做得比它更好看。你对于数据的获取、理解。

基于这样子我有一个要求，如果让我来做态势感知这就是我的要求。第一，目标就是习大大说的全天候、全方位感知网络安全态势。要实时发现网络异常情况，一定是基于行为。对于攻击目标要快速发现，要能够关联分析，快速定位，你才能采取措施。实际上基于这样子，态势感知最后是图形化展示。首先，领导要能看懂、专业人员要看懂，要能处理，非专业人员也能看懂的图，实际上这就是哲学的思维，大道至简，这种图才是态势感知今后要的图。这就是我的理念。

基于这样子，我们画了一个图。我的观点，现在国内没有哪一个公司能够把所有的安全做完，今后一定是一个生态链，人工智能、机器、学习都在用于安全，这是没有问题的。但是我的观点是，今后在很长一段时间里面一定是人和机器的高度协同。就是说，阿尔法GO是19×19，简单问题的复杂分析。安全是什么？安全是复杂问题的复杂分析。全球的人工智能现在大概只有两三岁小孩的水平，你说这个基于安全怎么来做。所以能够做简单的归并那是机器学习能够做的，最后是攻击行为还是误报应该采取什么样的措施，有专业人员做出判断。如果每一块有相关的内容，这个没办法展开说了。如果大家有需要，我们还可以再沟通。

最后，我的理念就是在任何情况下，我都要做到要求是可控制、可管理、可追溯。网络安全，最终需要做的安全是什么？是保证你的数据的安全，数据是你的资产、你的核心，网络是链接。所有的安全或者所有的信息化都离不开云管端，端就是终端，管是链接，你去看最近美国、英国，把网络这块叫链接，所有的3G、4G、5G，互联网是链接，链接有链接的要求。云计算是提供个性化的服务，上面要保证应用的安全、数据的安全，所以核心都是在云、管、端上面。这是需要你主动发现问题、处理问题。你的对手永远不会告诉你他从你这里拿走多少数据，这就是搞安全你应该把自己的系统主动做得更好。在这种情况下，我们的使命就是叫于无声处捍卫国家安全。

我的报告就是这些，谢谢大家。