时间：2018年6月6日

地点：新世纪日航饭店

名称：2018中国网络信息安全峰会

会议内容：

主持人 朱玉：尊敬的何翠芹会长、马忠玉主任，尊敬的各位领导、各位来宾、女士们、先生们大家上午好！欢迎大家莅临2018第三届中国网络信息安全峰会，本次峰会由中国信息协会主办，信息化观察网和传媒中心共同举办，我是本次会议的主办方中国信息协会副会长朱玉，很荣幸受邀担任本次峰会的主持。网络安全是国家安全的重要组成部分，这样的一个观点在各种场合被频繁的提及，一方面体现出了我国对网络安全重视程度，同时也凸显出了网络安全问题的紧迫性。中国网络信息安全峰会已经举办了三届，今年峰会的主题是数据为基，智领安全，我们期待在这样一个主题下，在这次产业领袖聚集的这样一个峰会上，我们和政、企、产、学、研各界代表一同通过头脑风暴启发业界网络安全破冰思维，发现解决当今的网络信息安全领域存在的迫切需求、技术难题和产业发展的痛点，从而进一步的推动网络信息安全产业的健康发展。

首先请允许我为大家介绍出席今天上午会议主要领导和嘉宾，他们是：

中国信息协会会长何翠芹；

国家信息中心副主任马忠玉；

公安部网络安全保卫局处长盘冠员；

北京北信源软件股份有限公司董事长助理钟力；

深信服科技股份有限公司解决方案中心负责人兼CTO王帆；

红芯联合创始人兼COO高婧；

江民科技CEO聂永春；

本次会议有来自政府、科研院所以及像社会机构、平台机构、行业重点企业和媒体界的朋友们大约有400多名，可以说6月的北京是骄阳似火的，我看了一下天气预报，最高气温已经接近了40度，我们的会场应该说是坐无虚席。这也是从一个侧面看出来大家对我们这样一个网络信息安全的峰会一个高度的关注和积极的参与，在这儿我也代表会议的组委会对各位的光临表示热烈的欢迎和衷心的感谢，谢谢大家。

目前我国在网络安全方面投入应该来说和欧美国家的差距还是比较明显的，这在另外一个侧面也反映出来我国的网络安全空间和市场的空间比较大，未来如果采用国产替代的政策的话，在座企业机会非常巨大的。从党的十八大以来，提出了一系列重大措施，推进我国网信事业取得了历史性成就，这里可以以全国网信工作作为时间节点，2014年总书记在中央网络安全领导小组第一次会议上讲话指引出去网络安全定位和目标，2016年419讲话总书记勾勒出了网络安全工作的方法，今年的网络安全和信息化会议的主题首次冠以全国工作会议的名义，同时也首次提出了信息化为中华民族带来了千载难逢的机遇，首次提出了网信军民融合的概念。总书记的讲话系统的阐述了网络强国的战略思想，形成了新时代的网信工作一个纲领，把网络安全和信息工作落到了实地，总书记用了三个心，一个是下定决心，第二个保持恒心，第三找准重心，我们今天这样一个峰会，也是贯彻落实全国网信工作会议的一个具体行动，同时也是为我们下一步网络信息安全工作吹响了新的号角。

今天上午的会议议程主要包括两个部分，第一个部分是领导致辞，第二个部分是主题报告环节，首先就让我们以热烈掌声有请主办方领导中国信息协会会长何翠芹致欢迎辞。

何翠芹：尊敬的马忠玉副主任，各位领导、各位来宾、同志们、朋友们大家上午好！由中国信息协会主办，信息化观察网和中国信息协会传媒中心共同承办的第三届2018中国网络安全峰会今天隆重召开，在此我谨代表中国信息协会对会议的顺利召开表示热烈的祝贺，对各位领导和嘉宾的光临表示诚挚的欢迎，对给予本次会议大力支持的中国轻工联合会，中国医疗器械行业协会，中国钢铁协会等有关单位表示衷心的感谢。

2017年以来在以习近平同志为核心的党中央领导下，我国出台了一系列的网络安全政策，并制定和着手实施网络强国战略，包括加强顶层设计，在党的十九大网络强国被正式纳入国家发展战略，明确我国在网络空间的核心利益，并定位到国家安全高度，大力倡导军民融合式的网络发展，下大力气解决与网络高端技术相关的科研成果转化问题，支持企业成为技术创新主体，成为信息产业发展主体，成为维护网络安全主体，全面强化对安全风险威胁和安全事件的预防和发展能力，构建以可信计算，坊间控制为主的主动防御技术体系，整合各种技术手段和信息资源，形成国家网络空间积极防御协作机制，建立国家网络空间战略预警平台，以及跨部门、跨行业的应急处理体系，加强对来自网络空间的内外风险管控。

不过我们必须清醒的认识到，与党中央的战略规划和政策扶植相比，有关部门与行业在行动落实上还存在盲目冒进或拖延徘徊的问题，一些舆论认为我们已经开始在5G技术或某些芯片，主要是中低端芯片，技术上有所进展，并在云计算、超算等领域局部领先，就预言弯道超车，从而忽略了我国在高端芯片操作系统应用软件行业标准，安全终端产品等核心技术研发和推广应用等多方面的不足。网络强国不能一蹴而就，当前我国的网络建设甚至还有一些逆水行舟的意味，各行各业如果不齐心协力，只是少数行业与部门孤军奋战，无论如何也难以克服前进中的激流险滩。

当前某些西方国家在网络高端技术上的封杀，不因成为阻力，相反应该成为我们奋起直追，加快推进网络强国目标的驱动力。我们必须按照党中央规划的路线图实现与网络相关的关键技术和主导产品的重大突破，整合产业上下游企业和自主信息安全产业链，推动政府部门和重要领域率先采用具有自主知识产权和可控网络安全技术的尝试，并加大从网络基础产品到应用产品和相关服务的一整套具有完全自主知识产权产业的发展。在不远的将来，真正实现网络及其相关领域的后来居上。

习近平总书记在全国网络安全和信息化工作会议上强调，信息化为中华民族带来了千载难逢的机遇，我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用。加强网络领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，这为我们贯彻落实国家信息化发展战略，国家网络空间安全战略，国家网络安全法，推动互联网、大数据、人工智能和实体经济深度融合，发展数字经济、共享经济，培育新增长点，形成新动能的网络强国战略走出一条中国特色的网络强国之路，进一步指明了方向。

既然网络安全被赋予了新的战略使命，也必须带来新的市场机遇，在互联网风起云涌之际，网络安全无疑将是与互联网经济共生、共存、共兴的阴阳两面和一体两翼。互联网经济有多大，互联网安全的需求就有多大，我们完全有理由相信互联网安全必将和互联网经济一样，成为新常态下我国经济转型重要的突破口和战略支点。

中国信息协会一直关注信息安全行业的发展和相关技术应用，致力于服务信息安全界的广大用户，多年来协会在主管单位支持下，在我国信息安全行业发展战略，发展政策，法律政策，管理体制等方面向政府和有关领导机构多次提出中肯建议，促进了信息安全基础建设和信息安全行业资源的分享和利用，我们认为信息安全体系经过多年的发展，系统维护水平不断提高，系统也越来越庞大，成绩有目共睹。但从另一方面而言，庞大的系统，在面对越来越厉害的黑客攻击时，也更容易遭受致命一击，今天峰会的主题是数据为基，智领安全，就是希望在座的各位精英能积极研讨，大胆谋划，拓宽思路，分享经济，充分交流，互相促进，为践行网络安全新生产力量法提升我国网络经济抗风险能力，优化我国网络经济战略内涵贡献力量。

中国网络信息安全峰会，已经举办了三届，政府相关部门领导众多具有影响力的专家和学者，以及来自网络安全一线服务机构、科研院所和安全企业的代表就网络安全领域的新技术、新成果展开近距离深入交流，我们希望把中国网络信息安全峰会打造成一个交流成果的平台，一个国家信息安全政策宣传的平台，一个各信息安全企业展示技术和产品的平台。今后中国信息协会将一如既往的服务信息安全产业和产业内的朋友们一起为共建一个自主可控可靠的信息安全空间而努力。

最后祝峰会圆满成功，谢谢大家。

主持人 朱玉：感谢何会长，正像何会长在讲话中提到的，当前网络犯罪的花样可以说是层出不穷，个人得信息也是经常遭到暴露。何会长特别强调一点网络强国建设不是一蹴而就的，我理解只有像爬雪山、过草地排除万难。我们大家以热烈的掌声谢谢何会长的致辞，下面我们就以热烈的掌声有请国家信息中心副主任马忠玉致辞，有请马主任。

马忠玉：尊敬的各位领导、各位来宾、女士们、先生们，大家上午好！很高兴参加2018年第三届安全网络峰会，和大家共同分享商讨网络信息安全在技术、产品、解决方案与应用服务等方面的最新成果。共建网络安全，大数据、云计算、物联网安全的新生态，这是我们这次大会的主题，我谨代表本次论坛的主办方对各位领导及嘉宾的到来表示热烈的欢迎和衷心的感谢。

网络信息安全是习总书记网络强国战略思想的重要组成部分，刚才何会长讲了，要将网络安全和信息化作为一体两翼，统一谋划，统一部署，统一推进，统一实施。全面系统研究解决网络内容的建设，网络安全还有核心技术的突破，信息化的驱动，网信领域的军民融合，网络空间的国际治理等问题，同时互联网发展治理存在着技术创新和维护安全，保障自由与构建秩序，信息共享与隐私保护，资源汇聚与数字鸿沟，开放合作与自主可控等矛盾，这些矛盾都需要我们来共同解决。

网络强国战略思想要正确处理好发展与安全、自由与秩序、开放和自主、继承与创新、管理与服务、网上与网下、国内与国际等方面的对立统一关系，并提出解决方案。习总书记把网络安全提升到了前所未有的高度，我们的网络安全产业也迎来了前所未有的大好机遇。国家信息中心高度重视网络安全，我们国家最早成立网络安全的单位之一，包括大数据安全、隐私信息保护等工作，都是国家信息中心高度关注和工作的重要领域，近年来我们围绕网络安全、大数据安全，国家信息中心着力提升安全检测能力，数据保全能力，数据修复能力和安全反应能力。

下一步国家信息中心将结合“互联网+”政务服务、政务信息的整合共享等工作，深入加强网络安全数据安全隐私信息的保护，充分发挥国信智库的能力，积极为家政务部门及地方政府献计献策。结合国家信息中心网络安全领域所开展的工作，就加强网络安全、大数据安全和隐私信息的保护我谈几点体会和大家交流。

第一，保障网信安全这是推进国家治理体系和治理能力现代化的重要保障，近年来政务信息的加快发展，伴随着我国进入大数据时代，政务信息共享的必要性和紧迫性日益凸显。直接关系到国家治理能力和治理体系的现代化，但是数据的不敢共享，不愿意共享严重阻碍了电子政务共享，它的主要障碍就是安全保障体系不健全，尤其对政务网，政务大数据安全保障目前还不够健全，建设和完善政务大数据安全保障体系，这是顺利推进和有效实现政务信息共享的必要前提。更是推动以信息化引领国家治理体系和治理能力现代化，构建用数据说话，用数据决策，用数据管理，用数据创新格局的必经之路。

第二，保障网信安全也是推进我国数字经济健康有序发展的必经之路。近年来随着互联网逐渐渗透到衣食住行等各行各业，人们的工作和生活越来越依赖互联网带来的便利，这也给了不法分子许多可乘之机，2017年网络诈骗趋势研究报告，2017年共收到全国用户提交的有效网络诈骗举报有2500多例，相比2016年提升了18%。网络诈骗等事件的频繁发生严重因为了社会大众信息消费信心，给数字经济发展带来了严重的挑战，我们认为只有各方携手严厉打击侵害个人信息的违法行为，提升各主体安全的意识，破解大数据安全难关，营造良好的网络空间环境，才能更好的促进数字经济健康有序发展。

第三，监督防范，多措并举，合力构建网络安全信息保障体系。破解网信安全难题首先加快相关大数据的安全立法，严格规范网络安全的收集、存储、使用和消费等行为，落实各周期安全主体责任。其次抓住数据搜集、数据利用、数据共享等环节，定期开展数据安全的监督检查，加强数据安全风险评估。

最后加强关键信息基础设施的保护，建立健全数据安全防护体系，加强数据攻击防泄露，防窃取等安全防护技术建设。构建大数据的安全保障体系，为加快我国大数据健康发展保驾护航。

最后还要特别加强我们的技术创新体系，把国之重器掌握在我们自己手中，我们现在CPU、操作系统包括互联网的核心技术主要还是依靠国外的技术，但是给我们的安全带来了非常重大的隐患。所以我们要保持恒心，找准重心，从产业体系、技术研发、制度环境、基础研究等多个角度入手，实现技术突破。

近两年我们在网络强国战略思想指导下，网信领域，包括我们的安全领域解决了许多长期没有解决的难题，办成了许多过去想办没有办成的大事，取得了非常重要进步，今后需要更加努力。

各位来宾、女士们、先生们，国家信息中心愿意同在座各位一起深入开展大数据安全研究和隐私信息的保护，以及网络安全的保护，切实为实施国家大数据战略做出新的贡献。

最后再次感谢大家光临本次论坛，谢谢大家。

主持人 朱玉：感谢马主任，据统计截止到2017年的12月份我国的网民规模已经达到了7.72亿，应该来说我国的网民数量是世界第一的，十大互联网企业我国占有四强，从电子商务到人工智能再到大数据，应该来说在互联网领域我们国家成就是可圈可点的，但是我们必须清楚的认识到，我国是一个网络大国，但是还不是网络的强国。刚才马主任也提到，我们还缺少核心技术，像灰犀牛、黑天鹅这样事件也会随时发生，我们期待在行业主管部门领导下时刻紧跟时代步伐，积极开拓创新，在网络安全工作中尽量的做到主动的应对，全面的防范，跟上网络安全问题的新形势，迎接新挑战，再次感谢马主任精彩致辞，谢谢马主任。

接下来我们就进入今天大会主题报告阶段，需要提前说明的是我们今天会议安排十分紧凑，为了能让大家听到更多精彩主题发言，会议不设茶歇时间，希望大家理解，谢谢大家。中国信息通讯研究院发布的中国大数据发展调查报告显示，预计到2020年中国大数据市场的规模将达到578亿元，随着数据资产价值的不断攀升，大数据产业规模不断壮大，大数据安全问题逐渐凸显出来，大数据的发展赋予了大数据安全，区别于传统数据安全的特殊性，在大数据的时代下数据安全、隐私安全以及像大数据平台的安全都面临着新的威胁和新的风险，如何做好大数据的安全保障，对我们来说是严峻的挑战，下面我们以热烈掌声有请公安部网络安全保卫局处长盘冠员同志，他将与我们共同分享如何共同构建大数据安全保护体系，有请盘处长。

盘冠员：尊敬的何会长、马主任、各位嘉宾上午好，首先感谢主办方邀请我来跟大家一块交流网络安全问题，今天我想给大家分享的题目叫共同构建大数据安全保护体系，为什么选择这个题目呢？主要是最近数据安全问题得到了中央主要领导同志高度重视，这几个月来尤其受facebook事件影响，习总书记就数据安全问题做了一系列的批示，也提出了一系列的要求，作为监管部门，公安机关来说，对数据安全的保护是我们主要的职责，我们想就这个问题跟大家探讨一下如何共同构建中国的拉开数据安全保护体系。

我想跟大家分享两个层次问题，第一个是对大数据怎么看第二个是大数据安全保护怎么办。我所讲的这个观点都是我们在工作实践当中一些体会，大数据怎么看，第一句话是习总书记说的，现在数据是信息化时代一个重要的生产要素和社会财富，大数据已经被称为一种新型的石油，既然把它誉为新型的石油，具有重要的基础性战略资源，现在数据已经成为国家的基础性战略资源，我们都知道我们现在生活在两个世界里，一个是物理世界，一个是网络世界。所以物理世界也有数据，网络世界也有数据，甚至是因为有了网络所以这个数据已经汇集成为大数据，现在已经进入了大数据时代。大数据时代所带来的影响，一个是国家博弈的空间和博弈的方式正在被重新定义。经济社会运行的模式也受了冲击，再一个就是国家的主权和安全利益现在面临着数据时代一些新的威胁和挑战，这个对我们来说思维的理念需要更新，治理的架构和模式也要改变。过去有人说谁掌握了互联网，谁就掌握了未来得世界，同样可以说谁掌握了大数据，谁就能在未来得竞争中占据优势，占据主动。

党中央对数据安全问题高度重视，近些年来出台了一系列措施，大家众所周知。这些政策和措施一方面促进了数据产业的蓬勃发展，另一方面为数据安全保护工作带来了新的压力任务越来越重。

大数据安全问题目前怎么看呢，目前面临主要有四个方面风险，第一个是国家基础和敏感数据安全风险十分突出，为什么这么说？是对咱们国家数据主权问题，数据主权现在面临着很大的侵蚀，这个风险我们觉得有这么几点，第一个现在境外机构，尤其是境外的情报机构对咱们国家一些重要和敏感的数据在这里收集和窃取方面十分突出。

第二个方面有国家背景的网络攻击入侵窃密活跃，境外的企业和机构依托产品技术服务的优势，都在大量通过各种各样的渠道收集咱们的基础数据和敏感数据，这方面我们公安机关这些年来办了很多这方面的案例，有的是互联网骨干节点数据被控制被窃取的，还有一些关键信息基础设施数据被窃取，因为保密的原因很多案例也没有宣传，没公开，大家心里都清楚，你现在用的手机也好，上网也好，我们都是业内人员都知道，我们用的产品服务和技术都是国外开发的，网络的技术架构也是国外的，产品也是国外的，在这方面安全风险非常大，具体也有例子可以说。

第二个风险就是大数据基础设施面临安全威胁，网络软硬件系统安全漏洞时有发现，数据基础设施面临黑客攻击破坏的高危风险。云服务数据平台不断涌现，风险呈现出聚合激化的效应，数据高度的集中，风险也高度集中，出去你把一个平台控制住了，尤其像阿里云、腾讯云这样的，这个平台控制住数据基本上能控制住，阿里云现在会聚了境内的重要应用，包括12306这种平台都在阿里云上，所有的数据信息都集中在他那个平台上，汇集了好几百万个网站，如果把这些平台控制住，数据聚合的风险大家也可想而知。软硬件漏洞也是如此。

第三个风险就是非法泄露和非法买卖数据活动猖獗，近年来媒体曝光的重大泄露事件越来越多，有的是人为操作失误，有的是内外勾结盗取，大数据非法买卖交易非常猖狂，2017年数据黑市交易有500亿人民币，合法的数据交易也就100个亿左右，但是黑产交易量非常大，我们最近公安机关在组织开展禁网行动2018，各地公安机关上报的有关窃取数据非法交易案例非常多，过一阵公安机关会陆续披露一些已经结案的案件，可以从这个案例当中发现现在境内非法买卖数据活动非常猖獗，我们每个人都是受害者，以我为例，我每天接到的推销广告电话无数个，为什么会发生这样的事呢，因为我们个人数据已经被买卖掉了，都掌握在商业公司里面。这个方面泄露和买卖数据这个活动除了境内是这样，境外也是如此，大家经常看这个网络安全新闻也是，很多国际上有名的数据，有的征信公司，有的一些大的应用经常会曝光，媒体曝出来数据泄露，尤其可怕的是我们最近办的一个案件，有一个内鬼，利用职务之便，通过银行的征信报告，这10多年来一直在收集征信的数据，银行征信数据都是百分之百真实的，这里面涉及到很多高层领导，有的领导在10多年可能还是中层的领导，现在都变成高层领导。我们说这个数据泄露和数据买卖带来的危害非常大，他掌握这个数据带来的安全风险可想而知。

第四个风险就是个人隐私安全面临巨大的风险，现在都在用各种各样的移动应用，APP，这些APP可以说100%都具有收集个人信息功能，采集个人数据。你个人拿这个手机，所有的行为数据、身份数据，包括地理位置活动轨迹基本上都变成APP开发者的囊中之物。为什么出现这种情况，因为现在这种免费应用模式，首先让你应用到很便利生活当中都是免费的，这种免费服务肯定是有代价的，要不然商家从哪来获取利益。同时恶意利用社交平台的技术和规则漏洞，收集挖掘使用个人信息情况非常突出，随着数据价值被日益的重视和发现，有关个人隐私安全问题也越来越得到大家的重视。因为个人的数据泄露后果就是网络诈骗和网络各种各样的盗窃，我们在这方面个人隐私安全现在面临的风险也非常大。

大数据时代各个国家都高度重视数据安全保护，通行的做法都是从立法、政策、监管等方面采取一些措施的，这个方面大家都知道最近有两个很有名的立法，一个是欧盟的《通用数据安全保护条例》，一个是美国出台的《澄清境外数据的合法使用法案》，国内很多企业为了应对欧盟《通用数据安全保护条例》采取了一些措施，国家信息安全标委会出台了规避技术指引，美国《云法案》，对我们执法机关来说影响非常大，这个法案实际上也是对咱们国家数据主权，刚才我说的第一个风险都带来很大的影响。

怎么样保护大数据安全，今天因为时间有限，我们只能提一下，首先处理好三个关系，第一个关系产业发展和政府监管关系，谷歌前CEO施密特认为政府要在监管和创新之间找到平衡，因为这些规定往往会使现有的企业受益。数据安全我们刚才说了，面临着很多安全风险，监管机构也要加强监管，否则也不利于产业的健康发展。

第二个处理好关系就是数据安全和资源共享关系，数据安全和资源共享也是有矛盾的，要想让数据更好的共享，更好的发挥作用，这个风险就得要评估好处理好，这些道理大家都知道。

第三个处理好关系就是公共安全利益和个人信息保护的关系，在这个方面也是，政府监管机构大家也看到，现在对数据监管的力度越来越大，这都是出于公共安全利益的保护。对个人信息安全保护有的也是，就个人隐私和政府监管之间存在矛盾，我们在视频监控方面，收集了个人大量隐私数据，如果用于社会治安管理，或者社会公共安全的话无可非议，个人信息个人隐私跟公共利益有时候往往是冲突的，大家都希望自己的隐私让别人知道越来越少，包括政府监管部门掌握那么多大量个人的隐私，大家也在担心，所以这个方面关系我们也要处理好。

总之政府监管部门把风险化解在源头，不要让经济风险演化为社会政治风险，因为监管目的都是为了这个，这两句话都是习总在最近开会时候全国网信工作会上讲话的时候说。

保护大数据有四个方面保护，第一个是法律政策保护，第一立法完善，立法完善目前有《网络安全法》，对于数据安全保护提出很多原则性措施，但是有很多可操作性不太强，现在公安机关和中央网信办在制定好几个配套的措施，一个是关键信息基础设施保护条例，一个是网络安全等级保护条例，这里面都涉及到数据保护问题，去年以来起草了很多遍草稿，但是最近根据数据安全保护新的发展，又增加了一些新的内容，目前这两个条例都在抓紧制定中，立法方面我们前不久跟中央有关部门建议，到时候是不是制定一个《数据安全保护法》，过去大家提到制定《个人信息安全保护法》，数据安全基础资源价值，战略价值越来越重要。这个必要性可行性和建议最后能不能落实，到时候就看我们能不能说服国家立法部门。

第二个法律政策保护就是政策跟进，因为毕竟立法永远滞后于形势的发展，就要及时出台相关数据保护政策。

第三个制定一些技术标准，包括一些推荐性的和强制性的，在数据安全方面我们觉得有必要多注意一些强制性的保护标准。

第二个保护措施就是监管执法保护，公安机关这方面责任，首先明确监管边界，因为从事数据安全保护监管部门有很多，有网信部门、工信部门、公安部门还有各个行业主管部门，各个部门在监管方面边界是什么，大家的职责分工是什么，这个方面目前还需要有关文件要明确。因为大家现在都是从网络安全这个角度来划分数据安全保护的，这方面还要进一步细化。同时还要建立协作配合机制，因为在中国监管最大的优势就是协同监管，大家齐心协力来加强监管，单靠哪一个监管部门都是不行的，所以在监管执法合力方面形成合力。

第二个要创新数据安全监管方式，因为数据安全监管跟过去还不完全一样，数据涉及到整个全生命周期有采集环节、传输环节、使用和开放等等各个环节，在每个环节怎么样监管，这个都遇到一些新的问题，我们现在也在研究探讨一些监管的具体措施，所以未来有可能会出台一系列有关数据全生命周期的安全监管方式。目的形成有效监管。

第三个监管执法保护严厉打击违法犯罪行为，加强行政执法，欧盟通用数据安全保护条例对违反数据法律的行为规定很高的罚款数额，在中国是不是也应该借鉴这方面的做法呢，我们到时候在立法政策方面也给国家提供一些建议。对于公安机关来说现在就是要用好现有的法律法规和现有的政策，加强对数据安全保护，尤其是对危害数据安全的违法犯罪行为严厉打击，这方面从去年以来，公安机关组织开展打侵犯公民个人信息犯罪案件办了好几万起了，抓的人也有上万人，这些案件陆续都会通过新闻向社会披露。

第三个保护措施安全技术保护，我们在座各个厂家强项，首先是要保护大数据的基础设施安全，基础设施安全刚才何会长和马主任也都说了，要建立基础设施的安全保护防护体系。

第二个严防内鬼，通过办理案件发现很多数据被泄露被窃取都是内外勾结所发生的，因为单靠黑客手段和网络攻击手段有的诗句他是拿不到的，没有内鬼配合数据很难泄露的，我们要严防内鬼，内鬼行业包含范围很多，很多数据泄露都是运维单位工作人员利用运维的便利，因为他有最高的控制权限，因为有的开发单位对这个数据库技术也不太熟，有的把这个权限赋予运维人员，这是有些人利用工作之便盗取数据进行销售。

第三个要运用新型数据安全保护技术，我们在安全保护技术方面开发一些新的技术。

第四个安全保护措施就是要加强社会力量保护，除了监管部门之外，还得要发挥主体，尤其是网络企业和机构的主体防护责任，有一句话就叫做守网有责，第二个相关社会组织建设行业规范和自律，我们中国信息安全协会作为一个社会组织，举办这样论坛，举办这样活动，就是在为数据安全保护呐喊，想规范这方面的行为，我觉得都是非常有意义，非常有价值的。第三个社会力量保护网民用户增强数据安全保护意识，掌握个人信息防护技能，积极举报相关违法犯罪线索，总的来说共同构建大数据安全保护体系，四位一体全链条的全环节的无缝对接的数据安全保护体系。

因为时间关系，我今天说的这些基本上都是一些措施比较高度的概括，最后我认为我们公安机关监管部门要想数据安全保护取得明显的成效，发挥更大作用，有赖于在座各位安全产业部门，安全技术开发部门，你们的发展壮大，因为企业对于中国当前的面临形势来说，咱们国内的安全服务企业越发展越壮大，我们安全保护就越有底气，越有能力。我们也希望在座的各位数据安全企业也好，服务单位也好，把自己的产业做强做大，为我们提供更强的支撑，更多的服务，最后再次感谢中国信息协会邀请我参与这个论坛，谢谢大家。

主持人 朱玉：感谢盘处，我个人理解大数据有三高，正如刚才盘处提到的，像高量级、高速率、高多样化，首先像大数据的数据库存储的数据越来越多，其中敏感数据比重也是越来越高，覆盖了所有的本地部署和云端的不同技术，不同供应商技术存在的高度不一致的，安全保护没有万年钥，必须要有应对多样化场景，盘处提到的法律政策保护，监管执法的保护，安全技术保护，社会力量保护，通过四个保护构建了四位一体全链条数据安全的保护体系，也再次谢谢盘处。

根据2017年的智能移动办公行业的趋势报告显示，2017年移动办公市场规模已经超过了54亿元，预计到2020年达到120余人，可以说拥有企业专属的移动智能终端安全管理系统已经成为未来不可流转的必然趋势，近年来北信源在已有的海量数据群和数千万量级终端管理经验基础上积极的布局，像虚拟化、大数据、“互联网+”安全的领域，为移动办公安全智能的不懈努力。

下面我们有请北京北信源软件股份有限公司董事长助理钟力，请他为我们介绍国内唯一由安全厂商打造的移动办公平台。

钟力：各位嘉宾上午好，我今天带来的内容是安全智能的移动办公，分享一下北信源在移动办公方面的探索和实践。内容主要分成三个部分，首先介绍一下移动办公的现状，还有比较迫切的需求，介绍我们北信源的解决方案，最后是我们一些案例分析。

首先我们看到现在移动办公市场是蓬勃发展，这也是得益于移动互联网和移动通信快速发展，刚才主持人也提到了我们的市场规模今年预计会超过70亿元，到2020年会突破百亿。为什么能够有这么快的发展，因为移动办公大大提高了我们办公的效率，我们现在已经很习惯于用微信或者其他等等工具，来建群进行交流，包括做一些办公方面的操作。

特别是近期以来，像我们这种行业部门，像政府、军工，其实有一些敏感信息这样的一些部门，他们也涌现了比较迫切办公需求。我们可以看到现在的移动办公市场是蓬勃发展，移动办公平台他们一些共性的东西是什么，就是即时通信。即时通信作为他最基础的一个手段，我们要办公，首先是人与人之间的交流，即时通信具有便捷快速的一个特点，我们也可以看看现在的典型方案，一种是平台级、云解决方案，这种方案好处很多的企业或者很多组织都在上面有建立自己的一个系统，我们能够进行相互的很便捷的一些交流。我们也可以看到它的一些不利之处，盘处长也提到了数据安全非常重要一点，如果像移动办公数据，汇聚在云上，或者汇聚在服务商的时候，你会对这样一个数据是不是安全，就像移动办公涉及到这种合同或者相关的一些商业数据，存在别人那儿是不是安全，你会有这样的一个担忧。

另外一种部署就是我这个企业，我这个组织自己部署自己的移动办公系统，就在内部部署，这种情况下数据跟原来是一样的，你会心理上感觉很安全，但是它缺乏一种沟通一种交流，我们讲的产业链，或者要讲合作，不同的这种单位我们需要相互的进行沟通交流，在这样的一种部署场景下，我们是很难进行交流的。我们既要保证数据的安全，又要进行互联互通，这是在移动办公里面涌现的一个比较大的需求。

更重要的我们现在移动办公是有一个全需求在里面的，非常大的需求，我们过去有纸的办公，在局域网内无纸化办公，这种办公场景到了移动办公场景要借助移动互联网或者移动通信，移动智能终端，手机这样的东西。在这样一个环境底下，安全是非常重要的，因为刚才提到，涉及到我们一个组织或者内部的一个敏感的信息，涉密的信息，而且在移动互联网这样一个应用场景下面，我们可能面对的这种网络安全威胁进一步的加剧，你不管是服务端也好，还是终端也好，还是通信业务也好，面临更大更多的威胁。我们作为一个单位的负责人，或者我们的信息主管，可能我们会认为我要部署这样一套系统应该对自己的服务器，对自己的数据应该有控制权，这些数据应该是我来管的，而不是第三方来管的。刚才也提到了，我们既要数据自己管，还需要相关单位的互联互通。同时还需要有相应的一些安全措施，包括像应用的安全，包括像通信链的安全等等，这是很迫切的安全需求。

同时我们可以看到实际上还有一个智能化的需求，现在我们讲智能移动办公，智能的一些需求，我们移动办公在外的时候，我刚才做了一些决策，需要很多相关的辅助信息，我们坐在办公室里，可能手头各种各样的资料等等都有，可能你在外的时候没有那么便利，数据也没有那么多。实际上移动办公我们在需要帮助的时候，现在很多精准的信息推送，是一种智能的支持。

因此我们认为信息安全已经成为现在移动办公的约束条件，信息安全问题解决的好，移动办公才可能解决的好。再一个智能化会成为移动办公快速发展的助推器，移动办公需要这样的一个既安全又智能的一体化平台，我们认为制约当前移动办公发展的，或者我们需要迫切解决用户的痛点或者是需求。

下面我介绍一下我们北信源的解决方案，应该说怎么解决移动办公，我们是分了三个层次，认为从这三个方面，首先我们要以安全即时通信作为基础的支撑，因为移动办公本身我们现在人和人之间的互动，沟通交流是根本，需要我们基本的一个安全通信手段，只有解决了安全的问题才可能解决应用的一些问题。

第二大块我们以这种开放规范化的接口实现移动办公应用的扩展和聚合，使我们像各种各样移动办公应用都能够在安全及时通信平台上进行聚合。

第三块以即时通信机器人方式支持智能化办公，但是一个表象就是相当于有一个秘书，或者有一个专家在帮你，做这种智能化的办公。从这三个层次进行移动办公的智能安全解决方案。

首先我们看安全，即时通信这个层面，首先要做的实际上也是三个层次，首先要有专属的即时通信服务器，云的方案不是专属的，服务器是人家的，在这个里面首先我们每个单位或者每个组织都有专属的服务器，这些服务器这些数据都是你自己控制的，而且即使是我们现在通过做云服务器方式，这样服务器管理权还是在用户手上。在专属情况下，后面会提到还有互联互通的一些事情。

第二我的服务器客户端，我的移动端应该有相应的安全措施，保障我们数据存储和阐述的安全，同时还可以在服务端和移动端进行安全的加固和安全的管理。

再上一个层次，即时通信相关的或者跟移动办公相关的一些特色安全功能，在移动办公场景下用户有比较强烈的一些需求功能。进一步的刚才提到了，要有专属的即时通信服务器，过去在一个局域网内部署的服务器都是专属服务器，那种应用场景下无法跟你的合作伙伴，商业伙伴合作，互联互通进行通信的。每一个位都有自己专属服务器情况下，我们要解决它的互联互通问题，在这块北信源提出了自己的路由+服务+用户的三层安全即时通信体系。我们现在不同的即时通信系统都是应用节点，我们在上面了解网络的人可能知道有一个路由层或者互联层的概念，将各个应用节点进行互联互通。

在互联层这个层面解决的是不同的即时通信服务器之间的互联互通它的一些互联关联，互联管理，以及相关的一些安全参数的交换问题。在服务层需要做的就是即时通信功能，包括跨系统即时通信相关部门，以及这种不同的即时通信系统之间的协议转化问题，因为现在即时通信跟电子邮件不太一样，电子邮件统一的协议，大家用不同的电子邮件系统都能互联互通，即时通信不一样，微信包括facebook，每一家他的协议都不一样，是专有的，要解决转化问题。同时不同的服务器之间，应该进行这种访问控制，可以基于服务器，基于用户的访问控制。通过这样一个体系使大家既拥有专属的即时通信服务器，又能在需要的时候进行互联互通。

互联互通里面实际上刚才我们要通信，涉及到跨系统的即时通信问题，这里面包括我们可能在现有比方说用微信，可能很司空见惯的一些事情，但是在跨系统即时通信时候会有一些困难，我们需要做比方说像一些群主的管理，包括文件传输，消息传输方面都会引用他的新问题。比方说两个服务器之间有20个用户在交互，这个服务器给另外一个服务器10个用户发一个文件，减少带宽消耗情况下，发一份过去，那边服务器发10份，这个群主直接发10份显然影响带宽，跨系统有很多策略和技术问题。

刚才提到的一些即时通信特有的安全功能，包括像消息销毁，我发出的消息我觉得不妥可以撤回，现在比方说像微信两分钟了，在移动办公场景下是不限时的，需要的时候，我们可以把这个消息给撤回，包括像群主可以把整个群的一些消息销毁掉，删除掉。还有阅后即焚，这样一些特色的安全功能都是移动办公的场景下会普遍使用的。

在移动网络用户，甚至移动办公应用怎么更好具备安全即时通信功能，我们推出了一个软件开发包，安全即时通信的SDK，有了这样一个SDK，我的移动办公应用等等还有其他快速的具备安全即时通信功能，不用再去写繁琐代码，安全即时通信平台上怎么来进行移动应用的聚合，这块我们是提供了开放的规范化的一个接口来实现这种移动应用的聚合，底层是我的基础这种安全即时通信服务。通过这样一个开放的接口，像很多的应用，包括像公众号，朋友圈这些东西都可以集成进来，围绕移动办公打造这样一个生态体系。

这个接口有四种模式，这些模式包括H5的模式，公共服务的模式，还有共享帐号模式。H5的模式就是实现移动应用在我安全即时通信平台上的聚合，现数据共享。公共服务模式刚才提到的像公众号，朋友圈这样一些内容。机器人模式提到跟智能办公相关，智能化支持密切相关。共享帐号就是可以实现在我一个平台上统一的进行认证，实现应用之间的数据共享。这是刚才提到H5的应用聚合，像移动办公很多东西，手机签到，流程审批，手机邮箱，云盘，音视频会议等等都可以聚合在这个平台上来。这个就不细说了，大家用了很多，公众号朋友圈开发的管理。面向移动办公可以将相关的很多应用进行聚合，像我们现在最常用的审批签到，包括议程一些重要事项安排等等这样一些东西都可以在我这个平台上实现有机聚合。这是一些特色的移动办公功能，阅后回执，延时消息，把一些关键的人物设成V标好友，他的消息能够得到及时响应，还有智能化东西，舆情分析，这里面集成了舆情的相关模块，这样的话比方说你在办公的时候需要相关一些信息，很快就可以给你推送汇聚过来。

在智能化支持方面，通过即时通信机器人支持办公，它的好处是什么，拟人化的交互，这个机器人是以即时通信用户身份出现的，我们可以进行点对点的通信，在群主里面相当于一个秘书一样，你可以是简单问答式的，他也可以自动感知信息，在这个群里面有一些共性的问题，他会去自动收集，自动分析，通过这种分析手段给你把相关的一些建议推送出来，这是自动感知，我们智能化的一些办公支持。这样一个机器人刚才提到的像这种数据查询和分析，包括给你做一些决策支持，智能大脑，这个词目前也很热，实际上面就是它可以做很多的数据分析，或者是人工智能的一些分析，基于专家知识，或者基于上下文给你一些相关的信息推送。包括像秘书功能等等，因为在移动办公一些场景下，我们从用户的角度非常需要这样一些辅助信息的。

刚才提到很多这样一些特点，从安全方面，从智能化支持方面这样一些解决方案，落实在我们北信源开发了这样一款产品，信源豆豆，以安全连接，智慧聚合为核心理念，私有服务器为载体，即时通信为基础的安全互联及应用聚合平台，不仅仅可以面向移动办公，在物联网设备互联方面这样一个平台也是非常适用的。主要是面向有效的去全面的支持移动办公，安全、智能、专业、排放这样一些特性，也有很多功能模块来支持移动办公。这样的一款技术品，它的技术特色也是我前面提到了相关的多个方面，比方说像安全性，私有化的部署，包括既有开放的平台，它一定是一个开放的平台，不仅仅是安全的即时通信，上面是可以聚合很多应用的。很重要一点我们高度支持国家的自主可控战略，我们相关的一些平台，服务端也好，移动端也好，是全面的支持我们的国产化平台，对国产的CPU操作系统，包括数据库，以及密码算法，我们国产的密码算法，全面支持国产化平台，这也是我们的一大特色。

最后花几分钟时间介绍一下我们应用实践，首先这样一款产品它是非常适合我们各种类型的用户在移动办公场景下进行使用的，包括像小团体、中小型客户、大型客户，有高安全要求的客户。小团队应用，是我们一大创新之处，我们可以很容易的，一个小团体或者几个人，我想就某件事情开一个专属的系统，非常的方便，直接以租用云服务器方式得到快速的部署，半个小时之内就可以搞定。中小型客户，这样的一些应用是提供了一体机的方式，把这样一个服务器买回去，以SaaS方式快速部署，整个一套移动办公系统都会集成在里面。包括大中型客户，我们服务端用集群服务器部署，涉及到一些集团，有多个异地的这种分子公司的情况下，可以采用多服务器的部署方式。

这里面介绍几个案例，这个是最早的，北京网信办来应用，经历了多次国家会议国际事件以及众多节假日安全保障。这个是公安部公安助手，在公安助手里面使它快速具备安全及时通信功能，并聚合了很多办公协查通告方面应用。这个也是属于公安部的，移动警务平台，警察移动端出警的时候，很多现场情况都可以及时传回总部，总部做相关力量的调配，指挥。这个是央行清算中心，清算业务系统直接集成在我的信源豆豆平台上，实际上也是一个移动办公的平台，包括像华夏银行、中国银行，以及像南方电网，把它的远程运维这样一个业务运行在我们的平台上。

对于高安全级别用户，这是航天科工集团，整个围绕以信源豆豆定制打造面向全集团的移动办公系统，这个是中央网信办的应急处置资源协调平台，这个平台就是进行安全事件的预警，信息通告，包括相关的一些处置。这两个是高安全级别的用户，这些都可以看到整个信源豆豆跟移动办公进行融合绑定，形成整体的移动办公系统。这里大家可以适用我们信源豆豆看看效果，如果你消息安全智能的移动办公的话，我想信源豆豆是非常好的选择，这是我今天的内容，谢谢大家。

主持人 朱玉：正如钟总刚才所说，安全是移动办公的核心，安全威胁是用户最大的担忧，更是对厂商的严峻挑战，我们也相信随着安全即时通信等等安全认证技术的发展，未来移动办公的安全性将会得到更多保障，再次感谢钟总。在互联网化、移动化和云化的趋势下，安全和IT基础设施在发生重大变化，业务的互联网化以后，像大部分系统都会和互联网相连，不管是直接的相连，还是间接的相连，数据资产就会变的更加重要。业务云化以后应用和数据高度的集中，会把鸡蛋放在一个篮子里，加上移动化持续发展，各种的生产工具、生活用品都会被连上网络，这样的话IT在未来会从传统的基础架构变的更加关注安全的需求。比如说像计算、存储、网络，这是IT的基础架构，未来安全一定会成为我们理解的第四大基础设施，任何业务系统建设必须具备四个基本要素，下面我们就有请深信服科技股份有限公司解决方案中心负责人兼CTO王帆，他将和我们分享IT架构升级，安全随需而变，有请王总。

王帆：各位好，首先很高兴来参加这次会议，这次会议演讲的整个主题是叫做数据为基，智领安全，这个主题很贴合我们未来得一个安全发展趋势，包括像未来的大数据和人工智能，包括未来通过人工智能去驱动安全的检测技术提升，是会成为安全未来发展非常核心重要的一个趋势。其实今天我过来给大家分享的主题叫做IT架构升级，安全随需而变化，分两个部分给大家分享深信服在这么多年来对于安全趋势的思考，以及这些安全趋势下做的安全实践，希望通过这些分享给各个安全产业，各个合作伙伴带来一些帮助。

首先给大家分享一组数据，这个是全球市值最高的10家安全公司，数据在2017年大部分都是来自于能源和金融的一些企业，2017年我们发现公司占比发生了巨大的变化，其中这里面大部分公司变成了IT类科技类的公司，其实我们可以看到右侧这个数据，十家里面有七家是IT产业的公司。我们讲IT科技正在不断改变世界，我们也相信其实未来IT科技将会去统治整个科技的发展。

IT科技引领整个世界的发展，到底是什么样的核心技术在影响我们的IT科技呢。这里面在我们看来其实包含四大类的技术，首先第一个互联网技术，还有包括移动和物联网技术，以及云计算和人工智能，这四个技术的领域发展，代表了未来IT科技发展的一个趋势。互联网其实改变了整个信息化的形态，很多业务变的越来越开放，并且实现了广泛的互联，通过互联网技术我们可以实现更高效的业务创新。移动和物联网技术应用会使得IT和IT产业向更多传统产业进行渗透，覆盖更多的一些传统产业。云计算承载了整个IT科技的一个创新，使IT科技的创新成本变的越来越低，通过人工智能技术未来有可能颠覆整个IT科技产业，包括安全行业的认知。其实现在大部分的咨询机构和安全机构都在分享一些关于企业数字化转型的趋势，其本质就是在于我们通过IT科技去帮助各行业完成整个的数字化转型。

以大家比较熟悉的汽车行业为例，汽车产业数字化转型，互联网技术可能改变了整个汽车行业它的一个营销和销售的模式，物联网和移动的技术会使得每一台汽车成为终端，厂商通过汽车终端承载各种各样的安全服务，实现更广泛的移动互联。人工智能技术催生了整个自动驾驶技术，更可能改变整个汽车产业，云计算技术作为整个产业转型的一个背后的支撑技术。其实未来IT科技会给我们带来很多的创新价值，同时另一方面也为我们带来严峻的安全挑战。

我们认为在企业数字化转型的过程当中，企业安全的变化其实是比较显著的，主要来自以下三个方面的变化。首先应用场景带来了安全需求的变化，新的需求滋生了新的安全技术，安全交付的形态也随之会发生一系列的改变。首先我们谈的是面向互联网提供安全，过去我们做安全基础是保证安全的环境，过去我们可能以这种隔离为机制，区分内外网，外部的一般都是不安全的，内部的相对来说是一个安全的环境。但是一旦这个环境被突破了，我们的安全会变的完全不可控，内部变的一马平川，进入到内网可以实现为所欲为的做法。

随着互联网技术发展，大部分用户和业务系统直接或间接的相连接，有数据层面的交换。其实我们现在应该假设在不安全的环境下去保障安全，由于这个思路的转变其实安全产业更多的从过去的防御技术到现在更多的加密、认证，包括行为感知，还有一些检测的技术，会快速的进行发展。互联网化之后，安全的风险也从过去的网络系统层面迁移到了应用和数据层面，如何去保护应用，和做内容级的安全检测去实现安全呢，成为未来在互联网化过程中安全发展的一个新的态势。

随着互联网，越来越多的应用系统实现更广泛的开放，越开放带来的安全风险就越多。以谷歌人工智能框架为例，几个月之内暴露出很大的漏洞，我们可以试想一下，人工智能控制的那种APP，被黑客所攻击，所控制，未来我们的安全问题不仅仅是一个网络安全态势的问题。安全另外一个需要适应的一个环境是云的环境，在云的环境当中，我们在部署传统的物理安全设备和基础设施，可能并不是那么的适应，在云的交付环境当中，我们通常会采用软件或者云化服务方式给业务提供安全的解决方案，其实在过去的主机当中，云计算环境当中，除了过去的主机还包括多了几个虚拟主机，安全策略也需要根据镜像和容器的迁移在云计算环境当中去实现一个迁移。过去希望做的边界隔离在于计算环境当中变成像流量的微隔离。云计算环境当中用户的需求也发生了改变，过去面向的都只是终端的用户，他的安全需求相对简单，事实上在云环境下，用户安全需求也发生了改变，我们以相对复杂一点的政务云为例，这里面肯定会出现三个不同需求的用户的层次，从下到上分别是平台方，运营方还有租户方。平台方对于安全需求相对比较简单，因为他的一个核心是保护整个基础架构的安全，所以平台方的需求促使了我们给平台方的解决方案跟过去传统的数据中心安全解决方案其实差异不大，而运营方的出现会使得整个安全交付的方式发生一定改变。

因为对于运营方而言如何为用户提供更好的安全服务，为业务系统提供更好的安全服务成为他们关注的重点，并且希望通过一些模式完成对租户的一个计费的评估。对于租户方对于安全平台架构控制力会逐步减弱，对于租户方采用什么样的安全服务，包括软件化的安全可以成为租户方安全采购的一个需求。

安全另外一个需要适应的环境就是移动和互联网的环境，事实上移动给业务带来非常广泛的便利性，大家也会发现，很多的业务他都会在手机或者移动终端上去使用或者开展，比如说领导审批一些邮件，也可以通过移动进行交付，人们与移动终端的接触会越来越紧密，事实上移动安全的领域，我们认为其实这个领域还处于一个起步阶段，其实真正只有5%的用户去实施部署移动安全解决方案。对于物联网而言，这个安全风险不应更广泛，前一段时间美国一半以上的互联网瘫痪，事实上就是本质上因为有数十万的摄象头被黑客控制，我们的IT我们的网络环境当中也会有很多的联网设备，包括像摄象头，包括像打印机，包括服务器等等一系列的物联网设备也会融入到里面。未来预测到2020年有208亿移动终端设备，如何保证移动和互联网安全，也是未来发展的非常重要趋势。

随着科技的进步，安全事件它的影响也在逐步扩大，过去一个安全事件顶多引起一些业务系统瘫痪，但是现在一个安全的事故小则可能影响一个公司的知识产权，大到它可能会形成严重的违法。所以其实安全的责任主体也在逐步的上移，可能过去一些安全工程师作为安全责任主体，到现在国家层面也是成为网络空间安全战略的一个责任主体，对于企业和企事业单位而言，它的责任主体也在不断的上升。如果安全保障不好，可能会导致一些一把手下课等等一些问题。

在2016年我们国家也发布了《网络安全法》，《网络安全法》的实施对于每个企业，或者每个企事业单位掌控用户数据，这些单位有很严格的要求。我们认为随着互联网或者物联网技术的发展，全国各个企事业单位或多或少都会掌握用户的数据，掌握用户这些数据的企事业单位，他都应该会受到相应的一些法律约束，在欧盟其实去年也发布了一个GDPR规范，它的规范目的在于它能够对于收集数据的企业进行约束，只要你的企业能收集到欧盟公民相关数据，就要受到规范的约束，如果保护不当的话，有可能造成严重的经济上的损失。

随着以上几大场景趋势的发展，我们认为安全的技术也随之发生变化，第一点是可见性成为安全的基础技术，外部就是不安全的，内部就是安全的，安全不需要看的一清二楚。互联网化之后大量的应用出现，也使得我们在整个网络环境当中，我们没办法去确认好的应用和坏的应用搀杂在一起。在这个时候可见性成为非常关键要素，物理世界也是一样，我们在建设平安城市，整个城市公共信息安全过程当中，监控作为整个建设非常重要部分。不管在IT网络，还是在真实的物理世界可见性成为未来发展非常重要的基础。

过去我们的大量投资主要是集中在防御，思考的问题都是我怎么防住外部的攻击，外部的入侵，但是事实上大家发现其实防御在很多的情况下，在现在这个时代，很容易被绕过，黑客一旦绕过防御之后，内部变的一马平川，所有的问题信息资产，敏感信息都暴露在黑客的面前。所以未来对于威胁的检测和对于安全事件的快速响应，会成为未来安全投资的重点，当然这个也不是说过去的防御不重要，只不过防御不能代表安全全部，它会成为整个安全投资非常重要一个部分。

另外一个技术发展趋势大家其实看到安全技术正在走向立体化的集成，我们也跟很多的合作伙伴有了比较广泛的合作，为什么？因为通过单一位置或者单点的安全部署，往往很难去承载整个比较有效的安全防护，以勒索病毒为例，如果你在边界，去年的勒索病毒为例，你在边界联合云端检测的机制，勒索病毒就进不来。即使已经进来了之后，如果你及时更新了系统的补丁，或者是采用EDR技术，使得终端不容易中招，即使终端中招了，有隔离手段，不至于影响数万台更广泛的终端，即使在最不济的情况下，有数据备份的机制，也不会受到巨大的损失。安全成为未来发展立体保护协同方式，会成为未来产业发展重要趋势。这个问题并不好，解决需要安全界各个厂商打通API接口，我们看到很多用户希望把安全交付在少数几个领导厂商的整个决策链当中。

大数据和AI广泛应用于安全，大数据和AI对于安全价值目前还处于比较初级的阶段，大数据其实这几年假的比较多，尤其安全的大数据，我们过去提到比较多的一些概念，像态势感知，其实都是安全大数据的一些表现。事实上前几年这些事情都比较火，尤其是态势感知，但是我们认为其实数据并不是越大越好，对于企业端用户而言，交付给用户的数据，如果是采集的数据来自于广泛物联网，对本身用户价值到底有多少，其实这个很难去判断，去说明的。其实大数据有了数据来源之后怎么应用，利用人工智能检测成为安全发展非常重要趋势，我们有了数据之后，通过人工智能进一步提升检测的精确度，真正能够把数据的价值交付给用户，这才是安全应用的一个关键。

安全行业历年来都会有一个矛盾，就是越安全用户体验越差，这个体验我们在日常生活中也会比较常见，我们登录一个网站，输入一个验证码，这个验证码保证了安全，但是对于用户的体验是非常糟糕的。我们也发现一些新的技术，真正在改变这一点。做的好的安全，其实与用户体验不冲突的，像我们手机的解码，从过去需要很复杂的去输入各种密码，采用各种验证方式，到后面的指纹，到后面的人脸识别方式，其实安全性在不断的提升，但是用户的体验在不断的提升。安全的交付能不能做的更简单一点，刚刚主持人也提到，安全产品成为IT四大基础设施之一的非常重要关键就是让安全产品能够让更多的用户，更简单的使用，其实简单意味着更安全，因为它不容易出错，比如说像过去的传统安全设备，配置上就需要专门工程师进行配置。日志更夸张了，需要专门分析团队进行分析，并且再加工，进行报告，这里面可不可以有一份能够直接让领导能够看懂的报告呢，这都是可以的。安全的未来一定会变的越来越简单，使得每一个IT的工程师能够把安全体系运转起来，需要产业和安全厂商进行共同努力，安全交付变的更加简单。

另外一个趋势就是在云计算发展下，软件定义交付框架会变成未来重要发展趋势，云环境下只能交付软件定义的安全，还有云化的服务。硬件交互模式上发生改变，硬件只是作为安全的框架，很多的软件化的方式都会通过云端订阅的方式获取，比如说客户部署了一个安全设备，这个设备它的资源可变的，需要防火墙资源，可以通过云端订阅防火墙的资源，如果需要态势感知，或者其他安全设备通过云端进行获取，这样交互方式对用户来说有很多好处，首先节约了IT投入成本，不至于带很多安全设备在用户机房里简单架设，而是按需索取。另外一点整个交互方式使得安全交互更适合业务弹性的发展，可能很多业务系统在上线时间需要紧迫的跟进安全的基础设施，这些测试系统随着业务的一个完成情况，很多时候都会快速的消失，这个时候就要求我们的安全也像服务一样能够进行弹性的交付。

我们看到了技术变化趋势，其实在随着云计算的发展，过去的基础设施和服务，软件都以服务的形式交付，我们认为未来得安全即服务大行其道，安全即服务会发生改变，过去我们依靠人工去进行一些渗透，包括评估，风险扫描漏洞等提供一些这样的服务。未来安全服务一定会采用大量自动化技术，加少量的人工，通过云的方式进行交付，完成整个交付，以上是我们看到过的未来安全发展的一些趋势。

作为中国网络安全的一个领导厂商，其实深信服在这些领域这么多年来都有不断的创新，接下来的时间我给大家简单从技术层面新的业务环境，还有包括新的交付方式分享一下深信服业务实践。关键构建检测能力核心在于什么呢？它的一个核心目的在于能够真正检测绕过了边界防御之后一系列发生的行为，他的定位从黑客的进入点开始，到横向移动，到远程控制，远程控制与通信，到内部的横向移动，以及数据资产的泄露和发现，最终对于业务系统整个破坏，整个全生命周期进行一个检测，它的目的在于去发现真正潜伏在你网络中的威胁。

构建检测能力，其实是业界现在探讨的比较多的一个话题，我们认为构建检测能力主要有三个方面组成，首先是数据，数据的来源和怎么有效提取，成为检测技术的一个基础来源。利用什么样的检测办法，检测交付什么样的内容，是后面两个非常大的关键。我们认为从数据层面并不是像现在大家看到的很多业界的建设方向，广泛的收集数据，数据其实并不是越多越好，而是要保证它的有效性，我们认为三个方面的数据对用户来说是比较有效的，首先来自于各种安全设备的日志，其次是来自于云端的威胁情报，通过行业化的方式进行交付，因为我们不需要获取太多与自己行业或者与相关系统无关的情况。

另外通过云端沙箱和安全联盟的数据，检测能力有了数据之后怎么建设安全检测能力呢，这个是最为关键的。因为有了数据并不代表我的检测能力就真的强，怎么样检测算法和模型去构建整个交付出来的检测威胁呢。我们现在应用了包括像深度学习、机器学习，通过人工智能技术实现了检测精确度、准确度的一个广泛提升。有了这些信息，再把它跟用户的业务系统资产进行关联，才能真正交付出用户基于决策的可视化信息。

我们在人工智能的投入也在两年前就开始布局，人工智能在未来的发展当中可能会替很多的人工做出安全的一些决策，但是目前在现阶段我们认为人工智能一个核心技术在于对于模型数据建模和训练，通过这种方式提升检测的有效性和准确度。我们在实践过程中发现对于过去僵尸网络检测大大提升的，过去有百分之六七十对僵尸主机的检测。另外一个技术应用在于端点检测方面，大家其实知道传统的引擎都依赖于病毒的特征，一个很大的弊端在于他没有办法发现新型的危险，我们基于人工智能的检测引擎，基于人工智能无特征检测技术，前一段时间勒索病毒，在我们经过一些对于算法和模型的建立，通过不断的训练，完成交付之后，后面的变种，在整个引擎当中检测率达到了100%，整个检测引擎目前在业界的一个检出率也是比较低的，其实人工智能给未来端点技术发展带来的一些不断的便利。

为了更好地交付云端和终端的安全能力，我们在云端构建所谓的安全云脑，广泛的采集了来自于深信在线的所有五万多家用户的所有一些设备上的信息，加入了深信服整个安全联盟，包括友商业界产业联盟的信息，以及包括合作交付信息。通过这些信息，安全分析师，包括数据科学家，通过人工智能技术进行建模，把相关的策略和能力交付到了我们在线的各种设备，我们的安全感知等等一系列产品，并且在终端，这些系列的检测类的产品上也实现了一些交付。

有了检测能力之后，往后一个方面如何进行可视化呈现，我们认为安全可视化在未来是成为一个基础，检测效果的一个呈现上起了非常大作用。改变过去客户对自身安全认知不足，没有办法获取足够的信息去帮助他决策的一个问题。安全感知平台上，从宏观、微观两个角度为用户交互价值，整个全网态势感知，以及业务系统，让领导们能够在安全的决策层面有一定的依据。在微观运营层面，包括业务系统风险，攻击的影响面，都会可视化的进行呈现，有利于我们在实施功能阶段去进行有效运维管理。最终通过可视化检测技术构建防御检测和响应的三级联动架构，主要交付云端能力和云端服务，为整个在线设备去提供安全的能力，使得安全设备不再是后续服务端基于固有的防御技术。通过端点可以实现一些策略的联动和快速的一些病毒本地清除和查杀。以上是在技术方面变化。

在新的场景，我给大家做一些分享，尤其在政务云比较复杂的云的环境下，这里面刚刚已经提到，有三个不同的角色，我们为三个不同的角色提供了不同差异化的安全结算，平台端解决南北东西问题，跟数据中心安全建设差异不大。对于运营方而言通过安全资源池的方式可以明确出用户的安全责任，实现权重分离，租户、运营方、平台方分别担当什么样的安全责任，我们现在所有的安全服务和安全资源能力都集成在了整个安全资源池的平台上，用户可以根据自己的需求，随意去进行编排，随意进行获取。以订阅的方式获取服务，一个系统需要满足保护要求，安全资源池上可以获得等级保护3级的包。NFV软件定义的方式不会改变用户习惯，只是部署了虚拟化环境中的虚礼机。另外是SaaS化安全服务，未来租户端越来越关注是业务本身安全，对于服务的获取可能大于购买很多的核心资产，未来在租户层的安全解决方案会由过去购买安全资产，变成购买为安全效果付费。

另外一种场景针对移动安全，新的业务场景，我们提供了双域隔离方式。新的交付方式体现于安全服务层面，随着现在技术的发展，威胁的发展，我们对于服务的诉求也是会发生很大改变，我们认为传统的人工服务会有三个方面不足，比如说时效性，过去的这个哥们刚毕业小伙子对于安全问题处置响应上会不规范，另外一个人怎么去对抗整个黑客产业，这个其实也是很难的问题。我们会认为未来得服务交付方式应该是大量的自动平台化团队，通过自动化的技术，云化的服务进行交互，解决以下三个问题。

这是我们整个服务清单，最终深信服通融合安全立体保护架构体系，为用户交付防御检测的一个技术，包括实现在边界、云端还有端点立体防护。今天我分享内容就到此结束，感谢大家。

主持人 朱玉：感谢王总，应该说王总讲的意犹未尽，在座的各位也听的是意犹未尽，如果大家感兴趣的话会后可以继续跟我们王总做进一步沟通和交流。刚才王总提到了通过实用的智能安全产品让用户的安全建设更加有效，更加简单，让创新打造简单稳定安全易用的云化新架构，让用户IT价值更具有创造力，我们也再次感谢王总，到底会后如果有进一步的需求想对接的交流的可以跟王总做进一步的沟通。我想大家肯定都记得，前段时间各大媒体热点事件围绕中兴展开的，中兴事件暴露了我国在芯片关键核心技术长期受制于人的限制，应该来说缺心少魂使得国内很多产业受制于别国，总书记在前不久的两院院士大会上提出了在关键的领域卡脖子的地方下大工夫，集合精锐力量做出战略性的安排，尽早的取得突破。应该来说让人感到欣慰的是在浏览器内核方面，我们的红芯已经研发出了世界上主流的微软、谷歌、苹果、火狐四大浏览器内核外的世界第五颗，也是唯一的一颗属于中国人自己的浏览器内核，下面我们有请红芯联合创始人兼COO高婧，请她和我们一起分享红芯重新定义新一代网络安全。

高婧：特别感谢刚才朱总的介绍，我们叫红芯，我是红芯的创始人COO高婧。今天我想来颠覆一下大家对于浏览器的认知，我想回答一个问题，这是一场安全的峰会，一家做浏览器的公司跑过来做什么，浏览器跟安全到底有什么关系。红芯这个名字不如像深信服或者北信源这么如雷贯耳，很多人没有听过红芯，提起部分客户名字大家都知道，比如国务院、国资委、国家统计局、国家航天局，企业侧的比亚迪、海信、中车集团、中石油，这些全部是我们的客户。

红芯到底在做什么，相信浏览器这个产品大家每天都会使用，基本上你的电脑桌面应该除了QQ这样的聊天工具之外，所有的应用入口就是通过浏览器。大家有没有想过，浏览器在2C消费级的定位，还有2B企业级定位展示的产品价值是完全不同的。我们个人使用上就是扮演着上网工具，包括很多做浏览器的公司他的商业模式其实通过我们的数据提供广告赚钱的，企业级应用的平台，浏览器实际上已经是我们每天办公的主要入口，包括PC端，包括移动端。浏览器跟安全有什么关系呢，如果浏览器是我们工作主要入口的话，我会非常看重它的安全性，因为我所有的行为数据，我的应用数据，其实都会在这个平台上流动。

第二我就关注它能不能帮我提高办公效率，这是企业关注的。我们政府机关包括军工单位一定也会关注，我的国家安全怎么样。刚才其实公安部的盘处长已经提到了，我们要做基础设施核心技术的网络安全，浏览器是什么，浏览器是我们上网的入口。如果我们在上网入口上不能保证我们的国家安全，我们连浏览器内核都没有自主研发能力的话，我们何谈网络安全，所以这是一个我们必须要解决的问题，也特别感谢刚才朱总的介绍。浏览器内核我们做第一个中国自主创新浏览器内核。

浏览器这个产品分为外核和内核的，外核就是每天看到的界面，提供信息流，这个更多就像我们造汽车，更像汽车的座椅、皮椅、内饰做这些东西，汽车的发动机和变速箱是什么呢，浏览器这个领域就是浏览器内核，浏览器的核心技术。基本上我们看到国际上最主流的几大浏览器，下面就是他们对应的内核名字。

我们能做这件事情技术门槛非常的，浏览器内核一千万行代码，不是说任何一间做应用做软件公司我要做一个IE做一个浏览器不是这样的，我的合伙人本峰他是微软总部的IE浏览器内核研发，他也是极少数掌握浏览器的中国人。我们跟中科院也是成立了红芯联合实验室，我们跟中科院计算机网络信息中心，他们致力于挖掘打造最新的网络安全建设。

我们怎么解决安全问题，必然要先讲一下我们的大背景，刚才王总讲很多了，移动和云的时代，最简单的用两个离开来表达现在这个IT架构上发生的变革，第一个就是人带着他的设备离开了内网，第二个就是应用也离开了内网。人移动办公无处不在这个我不多讲了，其实我们每天都在讲上云，云计算，我不知道大家有没有真的思考过，应用为什么要离开内网，应用为什么要上云。这个运维成本低，成本方面的考虑，中小企业会考虑，大中型企业成本会是最主要考虑因素吗？我们认为不是，我们聊过大量客户，后来我们发现根本原因其实是两个字叫做连接，企业的应用不止服务于自己内网员工了，他需要开始跟自己的上游，跟下游还有我的员工我们的供应关系变的越来越复杂，我们还有国际的员工，我们需要对外去连接，而如果我们一直把应用闭守在内网环境里面，这个是无法做到真正的连接的，应用必须要出去。

应对这样一个IP架构变化，传统的网络安全其实不太适应于新的时代，传统的网络安这道墙，这个就是物理的边界，传统网络安全基于固定的安全边界。当我们都移动了，当我们都上云了，固定的安全边界还会工作吗，我们有一些中间态的临时解决方案，但是根本上的架构不符合用户直接上云的，用户与云直接发生连接新的时代IP架构的，新时代需要新的安全。这个问题其实ZSCA早在2013年帮我们解决了这个问题，我们讲安全就是SDP软件定义的新边界，顾名思义就是说我们在新的时代围绕着移动的人和设备用软件去，而不是硬件，用软件去构建一个虚拟的边界。

先跟大家介绍一下国际上定义的SDP是什么，我们先普及一下，SDP很简单，三大组件构成的，第一SDP客户端，我们访问的发起端，第二就是SDP的应用网关，SDP支持两种情形，云端的应用，第三个就是SDP的 Controller，很简单架构。它能做什么呢，SDP有效防止这些最常见的网络攻击，包括DDoS，有几大核心优势我先列在这里，我待会儿会挨个讲。第一个就是网络隐身，预验证，预授权，应用级的访问准入，最后是扩展性。

什么叫网络隐身，我讲一个特别俗的例子，我们说对于一个贼来说，他想去盗窃一户人家，对他来讲什么是最重要的两个信息，对于一个贼来说，我想知道谁家有钱，这家人有没有钱，第二就是那我想知道他家住哪儿。当我掌握了这两个重要信息之后，我无非是破门而入，破窗而入还是怎么进去，只是一个技术问题了，每次360演讲都会说攻击是没有尽头的，我相信也是，能不能采取新的思路，我们能不能把你家从这个地球上彻底隐身掉，我们能不能把你想保护的应用从网络上彻底隐身掉。如果贼拿不到这个信息的话采用任何攻击方式又有什么意义呢，这个就是网络隐身的核心。

从技术上来讲通过SDP的客户端建立一个强偶合的关系，保证只有有这个SDK客户端的人才可以通过这个网关安全连接应用，其他所有的发起方压根看不到应用，对不相干的人做到了网络隐身。我们现在很多客户这样场景非常普遍，我们虽然对外开放，只需要对特定人群去开放，比如我的OA放在公网上了，它是一个淘宝需要所有人看到吗？不需要，所以就是起到这样一个网络隐身的作用。

第二就是预验证，其实都是延续了网络隐身的理念，预验证，包括预授权，都是说我不要让你先连接，因为只要你能访问到攻击可以发生，我们在座的安全同仁都知道。我们可不可以说先验证，你有合法的设备，你有合法的身份，因为企业里面也是要分级分权的，有了这些以后才能看到我，跟我发起连接，这些都是网络隐身的理念。相比网络安全，这道墙里安全，墙外不安全，这是非常一元的世界观。我们讲的是说我们不是网络安全，而是应用安全，很多时候就是要连接到某个应用，SDK里面只授权你到那个应用就好了，跟我的网络没有关系，跟我其他应用没有关系。

第五因为我们是软件定义的而不是硬件，我的扩展性会非常好。核心我还是希望大家记住隐身，相比传统网络安全理念我们永远都在攻防，传统网络安全给你穿一件防弹衣，能不能提出全新理念，我也可以把你隐身掉，红芯就是给你穿上一件隐身衣。这就是软件定义边界的概念，具体有什么场景，我刚才已经提到了，其实企业对外的连接我们最简单区分无非就是三类，连接上游，我们会有供应链管理系统，连接下游会有很多公司门店，经销商这样的系统，第三连接我们的员工，这些系统都有一个共同的特点，叫做限制性的开放，实际上我需要对外连接，我只需要对特定人群连接。我举个例子，供应商的管理，我们有一个客户，我就不能说是谁了，他就放在公网上，给他的供应商去访问，因为他有3000家供应商，他说每天我都会收到几百个攻击，为什么呢？黑客就不说了，还有就是我的竞争对手，因为他想偷到我的供应商信息，他想看到我的成本，想看到我的采购价格。大家很快感受到这些数据非常关键的，如果你只需要开放给供应商的话，让他来访问好了，为什么让那些不相关的人看到呢，你不是做一个淘宝。所以我们希望对这些人开放而对这些人让他完全看不到你隐身掉。

这个时候大家对红芯浏览器有了一个新的认识，我们其实不止做的是端，你看到的端，我们5G是非常完整的SDP全安全体系，采用了国际上面最标准的SDP架构，三个组件，从访问安全到数据安全到行为安全保护。红芯怎么做访问安全呢，我们SDP客户端就是红芯浏览器，为什么直接拿我们浏览器做客户端，最大好处就是它本身就是应用的统一入口，我们本身就是以这个浏览器访问应用的，我们直接拿它做客户端，相比把应用入口迁移到专门的APP里面去，大家知道迁移成本非常高的，而且又会出现浏览器不兼容，大量的碎片化的问题。所以我们是要通过红芯浏览器进行访问安全，这里是我们红芯的应用网关。

第二个预验证预授权这个问题怎么解决呢，我们采用的多因子身份验证，只是用密码已经太不安全了，我们一定要引用多因子认证，包括设备的绑定，这几个维度每加一个维度安全层级上升了很多，生物的识别这个秋收不用多说了。行为安全怎么做，浏览器有一个得天独厚的优势，只有浏览器能收集到跨应用的所有办公行为，所以其实我们可以提供，大量人的数据泄密来自于内鬼，90%泄露来自于失职，要么是有预谋的数据泄露，就是来自于内部人员，希望从根源上直接解决这个问题，第一做行为记录，第二当你的数据泄露之后可溯源的，他拍照怎么办，我们提出来数字版的海康卫士，把水印打在访问的页面上，含ID的，谁拍照分享出去我知道的，最后一系列的行为控制。

最后一公里的数据安全，很多客户其实对这个文档不落地的需求很强的，有些文档只需要看就好了，不需要把它带走，我们也是唯一一个对浏览器的缓存数据加密的，大家道三大运营商之一，他的客服中心丢过大量数据的，为什么？因为客服人员他们其实是用浏览器打开CRM，去打电话，这些信息你登录过的都会被留下来的，这是企业级的用途安全非常重要，我们唯一对缓存加密的浏览器。举一个例子我们一个客户叫上海城建，上海城建非常有代表性的，伴随数字化转型大趋势，为什么企业不重视数据安全，大量的资产都是物理资产，不是数字化的。现在为什么越来越重视，这家公司最主要资产就是数据资产，他的工程设计的图纸，他是知识密集型的，城建设计院，上海所有交通枢纽设计图纸都在这边。我们也知道是会发生内部泄露，而且有很强的利益驱动做这个事情。从多因子的身份验证，到行为的管控，数字水印，文档不落地，到访问安全，他有许多需要跟第三方连接，图纸打印需要供应商打印，这个供应商访问到文档管理系统，这个时候怎么控制呢，我觉得访问安全是一个非常适合的解决方案。

最后就是统一入口，其实整个SDP的核心，比方说在移动端每一家应用厂商跑过来跟你说我的APP是安全的，你真的相信吗？每家APP采用的安全标准都是什么你不知道，最好的方案就是一夫当关万夫莫开，聚合在统一入口，对统一入口采用安全管控标准。作为统一入口必须保证用户的体验，这就是刚才提到的第二点工作效率的问题，现在浏览器兼容性问题，尤其现在微软从明天开始就不再支持windows7了，都要升级，我们过去建设系统会陆续开始出现大量的浏览器兼容性问题，负责过IT同事我再说什么你们都知道。包括统一登录的问题，每家应用厂商给你的接口可能都不太一样，怎么做到统一登录。包括跨平台支持，国产的操作系统支持，PC端到移动端，物联网也在做跨平台支持。

还有一个很关键体验问题，过去很多客户因为规模很大，他们在过去十几年花了几十个亿建设了各种各样的应用系统，现在需要移动办公了，当然也有一些解决方案，比如说企业微信，他们给的方案，给的小应用应用的起来吗，我们觉得他没有特别尊重大中型企业过去的这些数字资产的积累，红芯给出的方案是我可否尊重企业过去的这些业务逻辑，你的数据资产，我在体验端，作为浏览器最可控的。我们在体验端给你一个移动最佳体验，他是一个全H5的体验，后面的后台我们是完全不需要改造，甚至不需要原厂商提供任何数据API，我们知道这个很痛苦，提供一个快速的基于现有的系统提供一个跨平台适配，这是一个普适的需求，这是一个非常典型的CRM，可以看到PC端很古朴的系统到移动端，非常清爽的界面，这个是我们的管理系统。其实在移动端界面定制，完全给你提供工具非常灵活的，它的这个数据完全同步的。这个就是我讲的体验。

更多的客户名字，刚才已经提到了。关于红芯，我相信在座有很多可能也是我们潜在可以合作的伙伴，现在我们研发总部是设在北京，我们在北上广深，包括西安都是有销售，服务的人员，我们都可以来开展合作。新闻联播也是很积极报道过我们，我们也成立了《中国企业级H5产业联盟》，非常关注H5技术发展，我们作为主席单位推动这个技术推广。这个是我们给国务院做的移动+安全解决方案，最后一页我想讲我们的愿景，过去我们谈论太多的消费互联网创业机会，我们都说要去做入口，讲到现在其实基本上是一片红海，一线城市都不行，要下沉到三四线城市。有一个巨大的需求，一个市场没有被服务好的，就是企业互联网，为什么叫企业互联网呢？以前每个企业一个网，以后不是这样的，上下游应用逐渐连成一张企业互联网，国外有一个定义叫Black Cloud，是安全的概念，这是一个安全的企业互联网。大概是一个什么规模呢，我看过一个数据2017年我们浏览器活跃用户数大概在3.5亿，中国人在用浏览器活跃的3.5亿，60%的人把浏览器当做办公平台，办公场景，2亿人浏览器对他来讲是办公入口，但是现在所有的其他浏览器厂商没有为企业这样一个办公场景提供一个最佳解决方案，这个就是红芯企业浏览器的定位，我们希望成为这两亿人每天工作，每天第一件事情就是打开红芯，高效的安全的办公。我们的广告语就是网络无边界安全有红芯，我们的展位出门直走就是，希望大家可以线下更多交流，谢谢。

主持人 朱玉：感谢高总，高总忘了提一下红芯名字由来。我简单解释一下，红中国红，代表着国产的自主可控，也代表着安全的可信赖，芯代表着国产的自主创新的浏览器内核，也代表着统一的工作入口，红芯将以自主可控的浏览器作为平台和统一的入口，构建了以人为中心的新一代安全体系，帮助企业打造安全高效的应用服务和大数据的生态，让我们以热烈的掌声送给高总和他背后的企业，谢谢高总。

网络的信息安全主要表现为软件、硬件以及系统的自主可控，虽然说目前我国的国产网络安全信息企业迎来了一个行业的发展黄金期，如何把握这样一个机遇，实际上就是在考验各个企业自身的一个实力，尤其是自主可控的这样一个核心技术。江民科技是国内老牌杀毒厂家了，从我上大学开始到现在，有30年的技术积累和市场体验，我觉得江民科技比较可贵的一点就是说它是始终秉持信息安全这样一个核心的技术，必须掌握在国人自己手指中国的这样一个概念，应该来说江民科技是国内目前不可多见的一种完全自主研发的一个国产品牌，他们自主研发的像杀毒引擎和核心的病毒库在业界也是占据了领先的水平，受到了业界和用户的认可。虽然30年的发展过程中，有很多的波澜起伏，但是江民始终秉持这样一个信念，下面有请江民科技CEO聂永春先生，他将为我们解读新形势下网络安全面临的挑战与机遇。

聂永春：感谢朱主席的介绍，我接着朱主席的话往下引，第一用我站在这里的真实现象告诉大家江民还在，因为最后一个发言大家等着吃饭，我不会耽误大家太多时间。为什么用这样一句玩笑话来开头呢，就像朱主席说的，30多年坚持不要说网络安全企业，就算是我们的国家企业，都有可能倒掉，我们在30几年以后站在台上跟大家讲我们还在，我们会告诉大家继续坚持做好自主可控，我们在做的事情其实很简单，我的整个PPT里面没有介绍一点点我们的产品，是为什么？因为第一在30多年的信息安全里面我们经历过各种各样的产品题材还有安全题材，我们只做好一件事，把我们的终端安全防护做好，其实这也是俗称的杀毒软件里面的核心，我们现在拥有的就是核心引擎，刚刚王总坐在我身边，我说你们99.7很厉害，但是里面的67.2基础引擎查毒的能力是我们的，也希望能给江民一个掌声，因为我们坚持把67%做好，很难。67%我们养的是和BAT一样价格的人，但是我们的收入大家知道有两个字叫免费，所以很难。我也延续高总刚刚的话题，自主可控，还有就是我终于知道我们经常说的做C端跟B端，B端的意思是black。

今天我们的题目是新形势下网络安全面临的挑战跟机遇，因为我整个来对江民进行运作，以及推动它从32年变成1岁的孩子这个过程中就真正意义上自己就遇到挑战跟机遇，我是去年4月份来全面接手操盘江民，5月12号就爆发了全球大型的病毒，勒索病毒。它爆发之后突然所有的网络安全界的公司，可能在一个月之内都说自己有了杀毒软件，我当时也觉得非常神奇这是为什么呢？说明市场里面离不开杀毒软件，网络安全里面会回归到病毒，这个时候我们的机遇就来了，我今天的主题讲两个，一个是网络安全的现状剖析，还有新形势下的网络安全挑战跟机遇。

在这个形势下，我的PPT第一页依然用了我们国家级的方法，不管是国家级的大会还有很多厂商第一批一般会把我们的领导放在上面，为什么？是因为我们的习主席，真正在大会小会上面不断的强调，没有网络安全就没有国家安全。我们的国家安全其实不是只有网络安全，还有很多安全问题，包括政策安全、资源安全、科技安全、社会安全、军事安全、国土安全，最后到信息安全，我们在座的大部分应该95%以上都是做安全这个行业，或者信息这个行业。我们在纵观其他安全里面都离不开信息安全，因为他们的基础信息网络都是靠网络组件，以信息传递的方式实现政务的现代化快速化。我们提到的网络安全是包容所有行业，所有的B端和C端，我后面会讲到C端安全问题在哪里。

这个过程中网络安全过程怎么演化和发展的，它就如我们的最早马车，发展成自行车，自行车发展成摩托车、汽车，以及到我们现在无人驾驶了，在每一个过程中都有安全问题，大家说把马粪扫干净了，这个工人怎么办，后面有了汽车发现有了环境污染问题，网络安全里面也是这样，最早的纸质办公发现，我们看过很多蝶战片，拿相机把纸拍下来，这是当时的信息泄露。到后面有电子文档，到局域网，到互联网，到云安全等等。很早的时候国家提出来了整个网络及网络安全是同步规划同步建设同步运行，强化技术规范，严格安全管理，切实提高防攻击、防篡改、防病毒能力，其实这里面都要打造自主知识产权，我们把IE这个做好。我们公司就是把防病毒做的自主知识产权最好。

我来分析一下国内外的现在局势，其实很紧张，大家从斯诺登事件开始发现，其实整个国际环境上面比我们要先行至少10年20年，甚至于30年网络安全战略，在信息获取上面原来没有感觉到一个HP的驱动程序里面会挂马，这个马俗称的叫漏洞，它是故意的，还是无意的，我相信如果回归到现在国家战略，还有国际形势大家应该能明白，没有真正的无辜的人。还有类似于我们一些国外的投资人，投资了我们现有的大数据互联网公司，占股比例非常高，他们要的是什么，真正简简单单是利益吗。

再看看我们国内，我们国内现在的网络安全技术是层出不穷，大多数在追随，我们感觉我们掉队了，每一个公司都在围绕着大而全，这个技术还没有掌握的过程中，我去合并，或者说购买，或者说俗称OEM，很大的安全隐患。安全事件现在也在层出不穷，我们的核心，就像红芯一样，做了一点点事情，我把B端的IE给做掉，听起来很小，但是和江民一样，他可能坚持20年30年，这个技术真正是我们中国的，而不是国外的。我们现在可悲的是有一些连杀毒引擎都还不能被国内的企业自我掌控，这就是我们国内现在网络安全的严峻形势。我们在不断创新的时候，还要更多投入到基础建设，基础研发，静下心来变成自己的。

这张图我觉得是合适的，我在这边如果画一个地球，这边画一个中国其实也一样，江民从C端免费之后，他要生存，为家为某些国家重要单位，因为我们是有保密义务的，B端里面沉淀下来做很多事情。在这里面能看到几乎全世界的组织，都对中国在进行攻击，以各种形式，端点上面，网络侧，甚至于包括我们的个人生活数据等等，我们不是听过一个段子嘛，美国人把中国情报收集完之后，发现70%是在聊天里面用的信息，20%是在谈论房价，还有在谈论股市，但是他们宁可收集到100%，为了里面零点零几的数据做分析，俗称的大数据也就是这背景。所以我们现在统计的好多数据，是西方国家掌握了中国的数据量，已经远超过我们自身国家对自身数据量掌握，也包括对其他国家数据量掌握，这个非常可怕。

还有在很多技术瓶颈上面，对我们做限制，包括我们之前中兴事件不说了，再就是5G战略，在5G里面上次和某公司研讨，在IPV9里面来融合设置安全，我们能不能做，可以做，但是国际标准不是我们的，我们怎么做。这就是2018年我们收集很多安全里面会碰到问题还有一些名词，后量子密码安全，到人脸识别到指纹识别，空间的传输，包括电子支付，包括区块链，区块链里面的安全，区块链也是一个大的技术集合，还有自动驾驶安全，人工智能安全。

国内提到网络安全战略以后，颁布了很多支持网络安全产业发展的政策，还包括法规，这个是非常好的，但是在很多我们参与到这些法规制定过程中，其实我们也碰到很多瓶颈，怎么把一个政策想全，大家在自己公司里面参与到公司制度制定，10年20年的公司还在不断的增加制度，改善制度，所以说我们只有把我们的意识提的更高。

这次国家也去做了很多网络安全宣传周，类似大会宣传网络安全，对我们全民提升网络安全意识非常好的机会点，只有国家重视了，这个事情才能推动的下去。上面讲述了一些国内外的网络安全竞争态势，还有我们自身的问题，还有国家对网络安全的重视，我下面讲一下新形势下网络安全的挑战和机遇。

我来介绍一下，江民的使命32年其实都没怎么变，包括昨天我碰到软协的主席也在说，32年你们坚持着用这种慈善的心，我们一直现在赞助1000多名残疾人，虽然我们现在收入很微薄，公司延续的精神。我们企业使命以保障国家党、政、军关键网络基础设施的安全稳定运行为企业最高使命，企业的理念，我们一直致力于技术铸就品牌，安全回报社会。

面对这些要做到哪几点呢，技术创新、立足根本、合作共赢、联动创新、以各种法规为依据来扩展，技术创新不断围绕着病毒引擎和我们的样本库32年的样本库，别人说他们是做大数据的，我在江民的时候我们很多人都是数据大，百批以上的威胁数据，第一我们要把它管好别跑了，这就是支撑网络安全问题，再就是我们怎么能把它提炼出来变成好的数据和跟我们分享的数据，再就是合作共赢，在国内大概真正掌握杀毒软件核心引擎的公司，不超过五家，真正把这个技术开放的，主流的五家里面基本上没怎么开放，所以说在去年的时候，我们就提出来一个总体战略，包括交换机，网络安全厂商等等业界所需要引擎和库的合作伙伴全面开放，所以说会后如果在座的厂家，包括用户我们也对一些大型用户他们需要攻防演练，需要数据样本都是开放的，来打造合作共赢，真正合作共赢这也是在好几次大会交流，包括和一些我们主管单位交流过程中说到了，现在网络安全出现了百家争鸣，各自为战，互相打击，这样的过程中，会让我们的客户不知道哪一家真正是好的，我们只有实现行业真正的标准方案，才可以一致对外，还有就是我们中国企业，网络安全企业一定要在这两年跟着“一带一路”走出去，我们只在国内转圈没用，江民是最早走出国门的杀毒软件，而且就是在日本一度是达到前三，在某些个国家。但是现在因为资金实力的问题，适当的撤回来，我们也会跟着一些友商再次走出去。

包括技术延伸里面，EDR我们也是提炼了原有的30%技术，加上后面的70%创新技术，对标也很简单，也是慢慢的把这个技术再争取做到全球领先，因为当年我们的杀毒软件已经做到的全球领先，为什么会在台湾被卡巴提起了国际诉讼，其实是因为核心竞争力达到，就像现在在美国告我们华为，封杀，不是让他们害怕。这也是我们从成立公司就一直在为国家做一些保障，从最早的奥运会，还之前也有，到现在的G20峰会等等，十九大，这都是我们应该输出的能力。

在杀毒里面不讲勒索病毒不行，由于大家整个安全防护出来了，各个厂商积极有了动作，这个并不可怕。但是我在这里用一个17年网络安全的老兵，加上32年的江民在病毒界的沉淀，我可以告诉大家今年这个病毒的延伸还有这个病毒，会在B端爆发的非常厉害，可能大家会说我怎么会这样说，第一很多企业还没有装杀毒软件，因为盲目相信了网关侧能解决所有问题，我不管你们是装哪一家的杀毒软件，是装免费的还是网络版还是单机版赶快回去装，因为这个的延时效应马上会出现，我不是危言耸听，因为我有数据。

第二，网关处的防护该关什么端口了，赶快回去关，不要看着报告挺开心，但是回到自己的企业，或者你们的客户爆发的时候，因为一旦爆发很不好解决的，它的传播速度是秒级的，会感染身边的电脑，我希望大家重视这个问题。等它爆发的时候再装上杀毒软件也会比较麻烦，我们的创新里面其实有一个版本，我们会让时光倒流，退回到爆发之前任何时间界定解决这个问题，大家需要的话积极赶快防护。一定会在今年年内爆发，很大规模的。

围绕今天的主题，数据为基，智领安全，我们讲讲大数据。云计算相遇大数据的时候，会出现什么样的一个概念，每天产生大量的数据。大数据时代我们能不能拒绝跟抵制呢？不可能，我们只能让它产生，产生了之后如何去解决，这里面我截取了一段话，如果你是一个个人，如果你拒绝的话，可能会时期生命，出去是一个国家的话，拒绝大数据时代的话，可能失去这个国家的未来，失去一代人的未来，我原来在公司里面会说，如果我们现在不活在未来，未来会活在过去，这句话就是印证这个时代，我们要想的更远，我们不要觉得自己的身份数据等等数据，电脑数据手机数据都不重要，当被需要的人拿走，你的画像全部在别人那里。

这就是我们每天产生的数据，这个时代怎么去有大数据的思维呢，第一我们要想好哪些数据可以公布的，哪些数据不可以公布的，利用合适的软件手段进行防护，包括自己个人的数据。这个是特别有意思的，大家可能也都知道，通过很多大数据的收集，总统的竞选都是可以统计出来的，我们延伸出来的，就是这句话，这个是现在在国家级很热的一个话题，谈到安全，谈到数据安全，那最重要想的是大数据去哪儿了，我们不知道数据驱哪儿了，不知道被谁用了，怎么知道安不安全呢，如果我们身份信息只是给了一些诈骗犯，其实现在大家还可以抵抗，一接到电话说你的家人在哪里出现了什么危险，现在一些年纪大的人都没那么好糊弄了。如果我们这些数据给了一些对家更关键更可怕的地方，就会影响到大家个人生活，大家去想，这是一个延伸性的话题。

用户隐私的保护，数据采集的隐私保护，如何精确的处理，包括发布，这个也是我们很多企业在去考虑在去做的，不简简单单只是一个大数据公司的问题，也是网络安全公司要去为这些隐私做保护，做分析，做技术做沉淀的时候了。

在这里我也不耽误大家体多时间了，江民公司大家有所了解，刚刚我也抛了一些问题，抛了一些合作，用最后一句话结束我的演讲，大家可能都看过这句话，每一个醒来的清晨告诉自己在梦想面前努力到无能为力，拼搏到感动自己。江民会继续努力，后30年一定会拼搏到打造自主可控的网络安全，谢谢大家。

主持人 朱玉：感谢聂永春总的精彩分享，再次感谢今天上午各位专家、领导给我们带来的精彩发言，整个的主题报告环节听下来以后，我想大家都会深有感触，网络安全信息化是一体两翼，驱动之双轮，但是在国家层面我个人觉得安全的问题应该是更加的重要和紧迫，在全球的互联网普及率超过三分之一，人类开始进入大数据和云计算环境下，网络空间安全已经超越主导和控制现实的空间安全，几十年来我们国家在信息化方面成绩显著，但是在网络方面应该来说我们与欧美国家的这样一个差距不但没有缩小，反而有所扩大，斯诺登事件，这样的一些事件揭示的恰恰是美国对全球空间的掌控能力和整体的布局能力，这种能力已经远远超过了我们原先的轨迹。我们大家上午都在提网络强国，真正的网络强国标志我觉得应该是国家的关键基础设施具备完善的防御能力，互联网产业为了强大的一个全球竞争力。网络安全领域军事领域具备足够的震慑力，只有做到这些才能真正意义上成为一个网络强国。我们在座各位只有坚持一个底线的思维，保持一个清醒的头脑，下好先手棋，打好主动战，刚才几位演讲嘉宾提到了注重调动像企业学界社会和民间的各层次的力量，这样的话才能切实的维护了咱们的网络安全，为网信的事业平稳、致远、筑牢根基，才能更符合网信事业的发展需要和时代趋势。

今天上午的会议就到此结束，谢谢大家。

时间：2018年6月6日 下午

地点：新世纪日航饭店

名称：2018中国网络信息安全峰会

会议内容：

主持人 朱玉：尊敬的各位领导、各位来宾、女士们、先生们大家下午好！欢迎大家回到2018第三届中国网络信息安全峰会，今天下午我们大家继续来探讨关于网信安全方面有关问题，我是本次会议主办方中国信息协会副会长朱玉，很荣幸受邀担任今天下午的主持。今天上午各位领导和各位嘉宾汇聚一堂，在思想交流、智力碰撞中激发出了创新火花，主要围绕今天大会的主题数据为基，智领安全探讨如何利用创新的技术，营造良好的网络环境，共商网络信息安全产业健康发展的一个解决之道。今天下午我们的会议也邀请到了有关科研院所的权威专家和有影响力的学者和企业代表，他们将就如何有效解决网络信息安全威胁问题进行探讨和交流，和大家一起共同思考构建安全生态的有效办法，也请大家一起来共同期待今天下午的精彩报告。首先请允许我为介绍今天下午主题报告环节主题演讲嘉宾，他们分别是：

国家信息技术安全研究中心原总工 国家发改委政府整合共享专家组成员李京春；

曙光信息产业（北京）有限公司网络安全事业部产品总监张榆；

金火眼（北京）科技有限公司创始人CEO魏小强；

北京时代新威信息技术有限公司总经理王新杰；

瑞星云安全事业部总监郑斌；

工信部赛迪网络安全研究所所长刘权；

咱们今天下午的会一共来自像政府、科研院所以及社会组织、平台机构、行业重点企业和媒体界朋友们大概有300多人，今天的北京确实比较热，我看了一下也是黄色的高温预警，我们的会场也是坐的满满的，可以看出来大家对今天下午会的高度关注和期待，我谨代表会议组委会对各位光临表示热烈的欢迎和衷心的感谢，谢谢大家。没有网络安全就没有国家安全，就没有经济社会的稳定运行，广大人民群众的利益也难以得到保障，总书记在全国网络安全和信息化工作会议上的重要讲话，着眼于新时代、新形势和新挑战，从党长期执政和国家的长治久安战略高度，深刻阐明了维护网络安全的重要性和实践要求，对做好新时代的网络安全和信息化工作具有重要的指导意义。

当今世界网络安全的威胁和风险也是日益突出，比如说我们今年爆发的facebook泄密事件，从这个泄密事件可以看出来网络安全威胁已经日益向政治、经济、文化、社会、生态、国防等等一些领域进行传导和渗透，我们所有从事网络信息安全工作的从业者来说，只有坚持一个底线的思维，保持一个清醒的头脑，打好主动战，这样的话才能切实维护网络安全。今天会议包括两个部分，第一部分主题报告，第二部分是颁奖环节，因为会议安排时间比较紧凑，为了让大家能够听到更多的精彩发言，我们今天的会议不再安排茶歇的时间，也希望各位理解和支持。

从去年8月以来按照党中央国务院关于政务信息系统整合共享工作的这样一个决策部署，国家发展改革委和相关部门以及地方紧密配合，高效的协作，集中的攻坚，使得多年来信息孤岛的一些硬骨头逐步的得到了消融，目前已经建立了71个部门，31个地方和新疆生产建设兵团互联互通的这样一个大通道，支持数据共享交换已经超过了305亿条次，消除了2900个信息孤岛，构建了涵盖53万多项目录的数据，打通了42个垂直的信息系统，发布了508个数据服务接口，初步梳理了20个重点领域的读点问题，接下来有请参与这项工作的国家信息技术安全研究中心原总工 国家发改委政府整合共享专家组成员李京春做精彩报告，李主任发言题目是进一步提升政务信息共享网络安全保障能力。

李京春：感谢主办方给我们这个机会，在这块让我们一起讨论信息共享网络安全这样的话题，我今天讲的内容刚才朱会长已经给大家说了，这项工作确实是难度非常大，做大数据也好，就是政府的信息要开放，但是这件事确实也方方面面问题难度非常大，现在也取得了很多的成果，做到了网络通、业务通、数据通，在这些过程当中的话，一个很重要的问题解决网络安全问题，这个问题怎么来很好的和数据共享交换共享这件事结合，现在是一个非常重要的。

我们知道数据共享我们政府的数据共享，原来都是由各个部委或者各个委办局他们自己有自己的信息中心，信息中心的话管理大量的本单位的这些业务数据，随着政务的数据向云上迁移，我们都在鼓励各委办局各部门都要采购云服务。现在传统的信息中心模式都开始往云上迁移了。

在这样的一个情况下，我们带来一个什么问题呢，我们很多数据异地的问题，放在不同的地方，有的云出现了一种各地方政府都也自己的一朵小云，本地化，行业也有行业云。这样的话他自己的规范性很难做到安全一致，所以出现了很多异构，有的用了Oracle，有的用了金仓，达梦，有的就是Hbase，结构都不一样。

再一个就是异主，虽然数据都上云了，数据主人是谁，还是原来委办局那些管理这些数据的主管领导，所以有这些异地、异构、异主的问题。这样的话对我们整合共享就带来了一定的难度，需要解决这样的异地、异主、异构的问题，保证数据客户端、网端、云端整个全过程的，所有的网络安全，实现异地证件的办理，异地医疗的报销等百姓场景应用，以及政府智能化的这种辅助决策。

现在在这里面有一些痛点，这个痛点问题是什么呢，首先我们还是看到了观念上还是比较保守的，标准现在还比较缺乏，虽然信息共享刚才我们听到朱会长讲的取得那么多成绩，有一些问题，甚至是思想认识上的问题还存在。大家可能都认为数据是金子，数据是石油，就这样我就这么交换出去了，怎么体现我的价值，怎么体现我的数据。去年国务院在抓这个事，政府间数据共享交换，有国家共享交换大平台，大家都通过这个大平台，有资源目录，大家需要什么样的数据到资源目录上去选去查，去对接，这样的话我就可以把这个部门的数据和这个部门的数据库连在一起，为百姓提供服务。他们很有顾虑，这样的话不想供，不会提供，不敢提供的问题从全国各个省还有一些部门普遍存在。各地区信息共享交换的机制、政策落实难，有些政策要求是很坚决的，但是还是落实起来有一定难度，标准规范也不健全，数据公开有阻力，这些问题是需要进一步解决。第一个堵点痛点还是思想认识上的问题。

第二个问题架构不统一，数据对接方式比较陈旧，现在我们看对接的话，由于刚才讲到了系统的异构，异地这些特点突出，这种高并发，大流量数据对接，就带来了难度。现在的对接目前还是以点对点对接，所以这种点对点的话就像我们传统，原来大家打电话这很清楚，我们一个楼里面要是装电话，那个时候没有数据总线，都是拉一根一根电话线，你看这栋楼是一片线，很不规范。现在这种点对点的对接就带来这样一个问题，一个应用可以满足了，但是将来对它的管理，对将来大容量，能不能满足要求带来问题了。今天在座的都是很多我们业内的企业家们，你们好好研究这些事情，原来解决这个插塞子的问题解决成功交换机，把语音数据共享交换了，今天也要解决数据共享交换的，我们希望能不能自动化一点，我们能不能通过更好的办法，不是这种点对点，或者是数据搬家，你要用我数据可以，把我的数据拷一部分走，各种方式，甚至有的网站上就有，你就到网站上去查了。这些办法都是比较陈旧的。这样的话作为大并发，未来大数据量这种共享，埋下了一些隐患。

第三个问题是数据多地复制，数据搬家，自己的数据要上云，自己存一部分，是自己的生产数据，还有一部分数据省里要给省里一块，也搬过去了，省的数据中心里也放下了，那个部门可能也有，也搬过去了。但是这些数据的将来带来的一个问题就是分散化、碎片化、动态化，带来这样的问题。这样的话复制存储时间一长，大家就看不一致性出来了，数据的完整性就被破坏了，更新周期不一样，很难保证我给你的那一批数据里面跟我的完全一致，这个时间一长带来问题了。

还有一个就是数据的属主缺乏信任，我对现在的技术，安全保障的能力，以及我要共享的一些合作伙伴，或者是企业在帮我做，对这里面的安全问题他表示担心，怕出责任问题，因为我们现在也在做网信办的网络安全云审查工作，政务云是白名单，那是一个一个的都要审的，通过了审查才能为电子政务服务。很多的安全措施没有到位，14号文吧那里面要求的就是谁提供数据还是谁的责任，安全的问题大家比较担心。

我们知道大数据共享应用是两个阶段，第一个阶段主要是数据的积累阶段，数据的积累阶段，主要是要解决数据的开放，数据不开放我就没办法积累，就没办法采集，这是要完成的，按照数据共享的一些规则，哪些是整个民众的，哪些是在一定范围的，这是要有开放规则的。要做到数据到信息的转换，有些数据实际上原始数据是可以直接利用的，这叫一次利用，直接共享就用了。还有的数据是你拿来就看不懂，人也看不懂这个数据，机器也看不懂，它是需要转换，把它转换成信息就明白了这是什么语义，什么意思，这个过程是比较复杂的，而且需要众包的技术等等，不光是要用到大数据技术，众包的技术，甚至还有机器学习的。

第二个阶段就是要分析挖掘了，主要是要引入这种智能AI，完成信息到知识的转化，通过关联，通过挖掘来完成数据二次的共享利用。

我结合一个场景图，现在我们看到这个图，比如说四个部门，或者是四个地区，他们各自都有各自的建成的省一级的数据中心，整合了一些数据，有的是物理整合，有的是逻辑。我们现在的做法就是要有一个国家级的共享视图，来完成这些部门跨地区跨行业跨层级信息交换，现在是服务接口的方式，点对点的方式比较多了，我们希望将来能有一种试图，大家搞数据库的话都清楚，建立一个视图，视图是和物理的那些库表都是对应的，一个场景定义一个试图，可以跨地区可以跨部门定视角，谈何容易，我们在一个服务器里面要做，甚至在一个部门里面建立这种视图可能容易，但是你要在全国解决异地异构异主的问题这个难度就大了，这里面就是有这样的问题。

我们希望通过一些基础研究，技术创新，能实现资源目录的快速查询，数据申请审批，我要用到这个部门的数据，还得要经过那个部门协调，你要经过国家的交换中心来协调和对方的属主来审批。以及要实现数据库的库表或者是对接，这里面安全问题考虑，这个难度还是比较大的，现在做的效率不高，我们希望有一种办法，习大大在420讲话当中讲到了一个基础研究，基础研究特别重要，我们大家都用到了软件定义网络，SDN这样的技术，将来都是软件定义一切，软件定义安全，软件定义数据，软件定义应用，我们用这样的办法来解决，只要经过配置就能实现相应的功能。希望在座的企业发挥自己的强项，来为数据共享整合共享交换共享，将来的共享就是大的数据共享交换机，现在叫做平台，能全程审计，很多的安全功能都在里面，包括计费，G2X、G2B这个信息交互，他要交易呢，这个过程当中我们仍然可以。

安全体系构建我们知道，在这个过程当中有数据主权的问题，有网络主权的问题，有国家主权的问题，这里面更多的大家都是看到数据利益，甚至是网络资源的利益，国家的利益，需要数据安全、网络安全、国家安全来支撑保障。《网络安全法》第31条就讲到了怎么做呢，在等级保护制度基础上开展。将来这件事也是国家关键基础设施，数据共享交换，里面有内生的安全，密码的技术，认证的技术。主权数据利益、数据安全我们可以看看很多国家都是这么做的，包括IBM，都是根据地范围，要求数据不能跨境，跨境的话需要审查，所以说要按照相关的法规，跟相关部门要定义业务部门的这些逻辑边界，为关键数据资产分配标识。我们这个数据要打标签，全程管理。

再一个定义全策略，在边界上监控。再一个数据各个环节保护。

针对网络这方面的话，在边界这方面，我们要落实《网络安全法》的各个角色，数据的提供商、运维，以及数据的属主这个责任，身份认证、设备认证，这个过程当中的打击网络犯罪、数据犯罪，以及制定完善重点保护的那些策略实施网络安全的重点保护工程，现在各省都在做这个事，大家就围绕信息共享都在申请重点保护的一些工程，建设工程。

围绕着国家主权、国家利益、国家安全，首先要完善相关的法律法规，特别是《网络安全法》的宣贯，还有一个就是对数据跨境进行管理，还一个就是开展网络的监控，维护国家安全，必要的开展网络安全审查和国家审查。我们知道总书记在网络安全与信息化协调小组第一次会议上就提到了，没有网络安全就没有国家安全，没有信息化就没有现代化，这个大家认为是不是一个口号，其实我们可以看到，现在总书记中央已经把网络安全和信息化网信工作提到一个前所未有的高度，我们现在的这些认识，我们现在的这些策略、战略，能不能满足这个要求，能不能够的上这个天花板，原来大家搞的信息安全战略，互联网治理，以及产业体系，技术体系，组织体系等等，这些能不能满足要求，在420讲话的时候我们发现习总书记是总设计师，在420讲话的时候提出了确定网络强国的战略思想，我们现在搞信息安全的这些专家们仔细的想过没有，我们考虑过传统的，我们思想还停留在传统的那些信息安全战略上，实际上总书记已经要求是划为强国战略思想。

包括提出了中国特色治网之道，包括路线图，都给我们制定出来了。大家回去好好看一看学习一下，包括产业，新型的产业体系布局，以及基础研究带动技术创新，要打通技术研究与技术创新的绿色通道。包括加强党的集中统一领导，我们知道在密码和保密，密码是党管密码，党管保密，但是现在加强党对网信工作的集中统一领导，就是党管网信工作。这个高度一下就提上来了，包括网信军民融合，这几个面全提上来了。

在420讲话里有一点，一把手工程，关键信息基础设施保护条例，其中讲到了运营单位主要负责人对关键信息基础设施安全保护负总责。政府部门主要领导，党组要关注这方面的工作。谢谢大家。

主持人 朱玉：正如李主任刚才所说，我们要建设制度健全规范，技术支撑有力这样的一个政务信息共享的网络安全保障体系，重点是要加快复杂的网络新技术的应用，大数据的聚集，互联系统等各种类型条件下网络安全保障制度的建设，切实提高像技术应用、复杂网络、运维人员、数据流动等方面安全的管理能力，同时刚才李主任也强调，强化网络安全运维队伍建设，加快网络安全保障大平台构建，提升网络安全事件应急响应的能力。因为李主任马上参加认证委关于信息安全标准会议，所以他已经离场了。

下面进入下一个主题报告环节，互联网的发展让全世界成为了地球村，在此同时与网络相关的一些黑客攻击和网络犯罪从来没有停止过，所谓自主可控核心在于可控，在软件和系统方面也要做到安全可控，曙光应该从2002年开始，推出了中国第一台采用了全自主龙腾塔式的服务器，实现了曙光安全产品体系阵营和全自主的安全解决方案，比如说像曙光的一个全自主的服务器和防火墙这样的一些安全产品，在国防军事，网络信息安全等等这样一些领域都有出色的表现，下面我们就有请曙光信息产业（北京）有限公司网络安全事业部产品总监张榆，他将为我们带来自主创新护航信息安全--曙光安全可控实践之路的主题分享。

张榆：各位领导、各位来宾大家下午好！我是来自中科曙光的张榆，今天我给大家分享的题目是自主创新护航信息安全--曙光安全可控实践之路。最近一段时间中美贸易战新闻非常火热，其中有一个很重要的问题就是核心芯片供应问题被当成谈判筹码，国内知名企业受到制约，这件事情引来很大热议，暴露出来的问题我国在核心器件这块容易受制于人这个问题，这个是一个短板，其实我国早就意识到这个问题，并且多年来其实一直在这块做了一些布局，而且发展之路是比较困难和艰辛。值得庆幸的是取得一些成果，很荣幸跟大家分享一下曙光在这个领域的探索和实践。

信息技术的发展归根结底其实是计算技术的发展，这几年我们可以看到云大物智飞速发展，国家在“十三五”科技创新规划中对发展先进计算做了布局，最新的量子计算，人工智能，人本计算等等这种先进计算技术能改变人的生活，促进了我们对未知世界的探索。

我们国家其实打算通过在先进计算上进行发力，从而达到国际领先水平，实现弯道超车。我们也应该看到愿景是美好的，但是同时也存在着很多的威胁和挑战。这些先进的应用其实都是构建于底层的基础平台上，底层基础平台我们指的是像GPU操作系统，中间件数据库等等，这些关键技术我们从一定程度上跟国际领先水平来比的话，还是存在一定的差距。并且有些关键技术我们比较缺乏的，相当于受到了一定的制约。

另外一个就是我们现在大部分信息系统都是采用国外进口的芯片和一些关键的软件，首先第一个就是可能会存在这种预置后门的风险，软件尤其是硬件一旦发生漏洞，能不能及时修改，能不能及时响应弥补这些漏洞，从而保证这个系统安全这是第二个风险。第三个就是供应链带来的风险，包括会不会遭受中断供应这种情况，会不会临时涨价，会不会拖延货期，对我们技术发展和信息系统造成影响。这三个威胁我就不具体举例子了，这几年我们都已经遇到过这些问题存在的情况，可以看到我们这美好的愿景如果是构建在这种像缺乏安全可控，构建于沙滩上的空中楼阁其实并不牢靠的，需要一种发展自主安全可控技术作为核心技术的基石。

国家的“十三五”信息规划上面也对发展安全可控技术做了一些描述，到2020年信息化能力我们要求跻身于国际前列，具有国际的竞争力，尤其是安全可控的信息产业生态基本建立。另外一个就是核心技术自主创新，实现系统性的突破，信息领域的核心基础设备自主创新能力全面增强，新一代的网络云计算、端计算和安全技术体系得到基本建立。

关于构建安全可控体系，中国工程院卢院士对这里有见解，我引用一下卢院士的思路，国家在安全可控领域的一些布局，从90年代，我们意识到核心技术短板的这个问题以后，首先在“十五”期间开展863计划，对信息系统中的CPU和操作系统两个最关键部件进行立项，解决从无到有的问题。“十一五”期间进一步发展设立核高基专项，曙光作为整机厂商我们当时依托于龙芯，承担了国家大量的研发课题，研发出一批能应用于信息系统中的整机产品。“十二五”暴露出最大的问题软件和硬件适配问题，第一个角度国产这种核心技术在目前来说技术上略微落后的情况下，软件生态是缺失的，在没有一定市场规模和应用基础情况下，大量的这种开发者和研究人员其实不愿意将他们领先的应用移植到安全可控的架构上来。

第二个软硬件适配，其实是有很大的优化空间的，要经过不断的试错和应用才能发现这些问题，举个例子比如说对于一些视频播放的应用，一开始我们其实定位是一些国家课题的这些CPU，比如说这种核心的CPU。其实对这种应用缺乏调优，需要大量投入去对每一种应用进行调优，通过这种调优基本上能实现一个数量级到两个数量级性能的提升，“十二五”期间更多做一些示范应用工程，能把我们的安全可控这种体系建立起来以后，真的落地应用起来，在不断应用中进行调试，这块其实是构建了很多，曙光也参与了不少的产业联盟，依托于软硬件厂商做整机兼容性适配。

“十三五”期间国家很明显了进一步发展，我们现在来看安全可控这块，在一些领域已经发展比较成熟和比较领先了，高性能计算、人工智能和量子计算在后面会给大家继续的分享。这块已经处于国际的领先水平，“十三五”规划就是更进一步在国际中取得一定的领先。

真正看安全可控三个关键层面定义，一个是技术发展是否受制于人，你不应该是受限于国外的授权，对于我自己的产品升级，还有缺陷修复，我是能自己去完成，不应该是依赖于国外这种技术。另外一个就是产品制造，不存在人为植入后门风险，第三个就是供给，我的这个产品货源还有价格要满足一个供应链的产品供给的安全。

我个人总结了一下安全可控的三个发展方向，第一步掌握核心的技术，掌握核心技术其实有三个思路，第一个就是自主研发，这种方式当然是最好的，难度非常大的，因为除了突破技术上的难题，整个生态链的构建非常难。第二个思路是基于开源架构做修改，这个相对简单，比较大的问题，就是他这个开源架构里面有很多坑，需要不断的去修补，不断的去完善，同时一定要避免浮躁的气氛，在开源上面加了一个壳，这种一定是要避免的。第三种就是引进吸收再创新，其实我们现在看到这也是一个主流的思路，这个就是咱们国家比较成功的高铁模式，这个的关键是在于究竟能不能真正的把这些核心的技术，比如说这种原代码引进进行吸收，不避免成为这种受制于授权。

第二步构建完整生态链，技术层面的突破我觉得难度是有，但不是解决不了的。现在比较难解决的问题是这种完整的生态链问题，这几年经常提的军民融合，其实美国一直是这个思路，咱们信息技术比如说互联网，计算机，最早都是美国军方里面应用的，其实应用于民用市场。同样现在中国其实也是这个思路，我们有好多领先的技术，好多这种比较领先的产品，存在于这个实验室，存在于科研院所实验室和存在于国防领域的。如何把这种领先的技术应用于民用领域，军民融合思路，另外是产学研结合的一个思路，第三个是构建产业联盟，这块我会以曙光为例，后面跟大家分享一下我们在这块做的一些实际工作。

第三个是说在全新领域弯道超车，在以下这三个领域达到国际领先水平了，在这块并且全部是采用一个自主创新的技术，可以通过在这些领域实现一个弯道超车。

曙光在构建生态产业链上做了不少的尝试，并且孵化出许多成功的一些产品和方案，跟大家分享一下，首先第一个就是因为曙光是中科院计算所控股的一个企业，我们非常能善于整合中科院体系的资源，2014年11月27号，中科院先进技术创新与产业化联盟，以中科曙光为牵头单位，联合了像计算所、电子所等8家单位，我们这些院所有很领先的技术，曙光有很强的市场敏锐程度，以及产品化的成熟经验，我们把这种技术作为产品产学研结合推向市场。

另外一个就是我们构建了安全可控的产业链，比如以龙芯为例，龙芯最新的CPU，从V架构和从性能上来说并不比英特尔或者AMD差那么多，有差距不是那么大，单从跑分上来看其实还是可以的。为什么大家在应用时候觉得用的慢，卡或者慢不好用，原因在于这个产品的软硬件趋势兼容性问题，因为作为通用CPU有大量应用需要做调优，最需要构建一个完整的产业链，集成底层的硬件，包括CPU、数据库、中间件、操作系统等等，大家在一起进行大量兼容性测试，构建了很多研发实验室，不断再去跑。把这个性能不断的调优，真正达到从可用到好用的质变。

这个也是建立了很多这种联合实验室，作为副理事长单位参加了8个国家重点实验室建设，都是安全可控相关的实验室，作为门主单位与15家业内领先的企业构建了联合实验室，并且与工信部、北京市政府、天津市政府等等建立了自主安全产业联盟。值得一提的我们跟神州信息，就是神州数码建立了融安联盟。

接下来跟大家分享一下曙光在安全可控领域里的实践和探索，第一个就是曙光一直以来最强的做这个高性能计算，其实我们在高性能计算就用了很多的自主可控或者安全可控的技术，作为一个探索。我们从右往左看，第一个2010年曙光星云，全球排名第二，安全可控领域的一个尝试，用了两个机柜。我们再看2013年，全球排名第一的天河2号，也是采用了部分的，相当于是尝试更近一步，自主架构高性能计算尝试更近一步，采用了4096片飞腾1500的CPU。这块是另一个思路，2011年神威蓝光是中国第二，它的纯自主架构，全国产CPU+系统软件，能跑到1100万亿次每秒的运算力，采用了8704片的申威1600。2016年依然是第一的太湖之光，也是采用了全国产的CPU+系统软化，采用了40960片260核的申威26010。天河2号达到全球第一以后，因为天河2号计算力这么高用了一部分的英特尔的芯片，这个拿到第一以后，美国对中国进行禁运，我们自主研发了一套中核芯片，计算效率比那个还高。超级计算机领域处于全球领先了，下一个战场就是每秒钟100亿一次的计算，中美在较劲。

我们看一下曙光6000，采用了64个超并行计算节点，里面有6个模块，这4个是一个X86版，做管理的，还有一个计算所的HPP控制器，一共用了512颗龙芯3B处理器，曙光在下一代超级计算及上面也会采用一个全国产的架构。

第二个比较领先的是量子安全，咱们潘建伟院士在量子安全领域研究比较多，现在整个量子通信或者量子计算这个技术国际上比较领先的地位。从北京到上还有一条量子传输加密传输的主干道，量子通信相当于传统的密钥方式，它是一个纯随机的两个量子钛，进行同步以后每个绘画都进行加密，理论上无法破解的，提高了加密传输安全性。咱们如果想用，比如说某些应用，或者某些企业想用到领先的量子加密呢，需要去做对接，我们曙光做了一个什么事呢，我们建立云计算中心，云计算中心把这些量子加密传输的东西做SDK，我们完成了对接，有一个云操作系统，这样的话在上面就是提供一些接口，你的应用不需要单独跟国科量子对接了，在我们云平台上完成了对接，能更好的把量子传输量子通信的这种技术更方便让大家使用，我们也是在2017年9月26号发布了量子通信与安全一体机。

第三个领先的领域是在人工智能领域，我们可以看到其实刚才的量子安全和人工智能寒武纪，都是我们中科院先进计算产业联盟产学研结合的成功案例，这块我们发布了一个采用石块，能插石块含5G智能芯片的服务器，人工智能分成训练和推理两个步骤，训练步骤大部分用的是GPU，其实在推理这个步骤GPU并不是最好的选择，毕竟是通用的芯片，最早做显卡的，显示图象处理的，寒武纪也是人工智能领域比较火的企业。

接下来我说一下我们做出第一台服务器，存储服务器，刀片服务器，双路服务器，最早来源于核高基，大家都说做整机的厂商不就是中关村攒机的嘛，其实并不是这样，我给大家讲一个故事，做X86主板可能相对简单一点，英特尔有完整成熟的东西共享，一般来说做X86给一些参考原理图，其实每个芯片之间信号定义非常清楚，你只需要关心电源参数，关心比较基本的参数就可以了。另外一个会提供设计图，还会在你调试，原理图设计出来给你验证，修改，协助调试，如果做一款英特尔服务器，享受这么多服务，极大的简化开发流程。龙芯CPU刚出来，这些地方完全是空白，我们也是得到了所有的东西都相当于是重新自己设计，我们也是得到了计算所和龙芯的大力支持，成立一个团队，专门做出第一款双路的SPM架构的服务器。龙芯只能用AMD的桥片。其实它这块规格有限，支持的硬盘数量，USB数量都比较少，双路服务器相对于稍微中端一点的服务器类别，并不够用这些扩展接口，我们自己适配了AMD的5690和5100的桥片，满足扩展需求。同时这块申请大量专利，而且把这些专利共享给了龙芯，我们在市面上看到现在用到5690和5100这种方案的其实都是用的曙光这种专利技术。

另外我们在上面集成了管理芯片，包括自己开发BIOS，全套驱动，并且做了一些库的移植和应用的调优，还有显卡支持等等，这块花很大工夫做了一个龙芯的服务器，但是其实我们的付出也得到了很多的回报。这块是我们申请专利，刚才我说得北桥芯片5690系列，我们都申请了专利。

除了服务器这块，我们在网络安全产品上也打造了一系列安全产品，因为自主安全可控就是主打安全，其实安全产品本身就更应该采用这种架构。我们在2007年推出龙芯防火墙，龙芯负载均衡，龙芯堡垒机，这些产品升级到最新的了能达到千兆的性能，已经能够满足一些企业要求，满足政府要求，2016年做了像这种网络可视化，或者网络运营监管里面很关键的网络设备，是高性能分流器，采用的是盛科交换芯片。

这块我们能提供整体的解决方案，这是一个办公的方案，软件全是国产，硬件也全是国产，包括从安全设备，服务器终端，还有交换机等等全部是用全国产的方案，保证了绝对的安全可控。

另一个思路假设我们现在国产的这种CPU性能确实是有瓶颈，其实我们是可以对它加速，这是我们自主研发的FPC芯片加速卡，这种卡用的国外厂商，其实在今年国内的国产水平突飞猛进，基本上满足一个应用的需求，我们现在也做了全国产智能加速，比如说对网络流量处理进行一个加速，提升3-8倍的处理性能，同时还能对一些硬盘的加解密，数据的压缩解压缩，通过不同逻辑实现加速，有些应用场景很关键，必须采用全国产方案，但是我可能CPU还达不到要求的这个高端性能，我们就可以通过这种方式给他加速。

这也是一个成功的案例，在某个项目里面，我们采用的就是国产的龙芯3B的处理器，还有国产的FPGA，还有国产的TCAM芯片，网络流量处理，网络流量分析极大的加速，能达到万兆性能，原来只能到千兆，现在达到万兆性能，满足关键应用领域的性能要求。那我今天的这个分享就到这里，谢谢大家。

主持人 朱玉：总书记在419讲话中就说过，我们不拒绝任何新技术，我们要搞清楚哪些可以引进的技术，必须是安全，可控的，同样的在中共中央关于网络强国的战略进行第36次学习上，总书记强调加快推进国家自主可控替代计划，构建了安全可控的信息技术体系。刚才张榆为我们介绍了安全可控的技术发展，产品制造和产品供给，同样也指出了掌握核心技术，构建完整生态全新领域弯道超车的一个安全可控的发展方向，再次感谢张总。

企业的网络安全领域，以及企业网络安全管理是一个综合交叉的综合性课题，我们在充分享用交叉管理带来的便利同时，应该把网络安全放在可以管理的范围之内，企业信息化建设过程中，虽然面临着众多的网络安全威胁，如果通过一定的技术手段和管理手段在安全的范围内不断的进行探索和尝试，实践过程中通过新的网络安全和管理办法，完全可以构建安全可靠的环境，从而为企业的快速发展提供有效的服务，下面我们就有请北京时代新威信息技术有限公司总经理王新杰，他和我们分享企业网络安全亟待监督机制。

王新杰：大家下午好，非常感谢主办方给我们这么一个机会来分享一下我们在企业网络安全领域的一些工作。刚才听完曙光张总的介绍，也是感觉到非常兴奋，中国的IT企业也终于有我们自己的CPU，有我们自己的操作系统，能够用我们自己生产的硬件开发的软件搭建我们自己的应用，的确是令人振奋的。接下来请各位从曙光的CPU兴奋当中拉回来，回来跟我一起看一下企业的网络安全应该怎么去做。

今天在站到这个台上之前，我负责市场的同事跟我说，主办方给我们一个演讲机会，让我讲一个题目，网络安全那么多前辈和新秀们，在每年很多大会上，每天都会很多新的话题，无论是管理，还是技术，无论是网络安全的管理，还是网络安全的技术，大家都讲的很多很透了，我们实在没有太多新的东西对大家可讲。但是还是要去讲，因为主办方给了这个机会。

我就想用这样一个题目和这样一个副标题来阐述一下这个广告，我的想法跟大家一起探讨企业在网络安全的建设中如何去利用监督机制来保证这个网络安全。利用信息系统审计建立一个企业的网络安全监督机制，是在当下所有的管理措施技术措施产品都非常到位的前提下做好网络安全的另一个思考和考虑。我叫王新杰，我们的企业叫时代新威，2003年创办的网络安全企业，以咨询和服务为主的。

今天题目有两个，一个就是在探讨我们企业网络安全面临的一些困境基础上，来考虑如何用监督机制来保障我们的网络安全。我想跟大家一起思考一下我们企业，企业级的，这些组织现在在网络安全方面到底还有一些什么样的问题，我是1998年开始从事网络安全工作的，已经20年了，好像网络安全问题比我刚开始做的时候有增无减，越做问题越多，为什么？我就在这20年跟客户一起建设网络安全工作当中有一些问题跟大家一起问一下，看看大家一起在内心当中回答一下。

一个就是当一个企业一个组织去考虑它的网络安全工作的时候，他的网络安全立项工作的目标和任务到底是什么，既然你是一个软件开发企业，你要做一个软件，解决某个领域的问题，往往就会问你每年的效益是多少，年底考核你跟红包有关系，但是网络安全这样一个工作我们如何定义这个目标，定义这个工作范围和工作任务，这是一个。一个企业根据他的规模，一个组织根据他的规模，根据他的业务，根据他的客户要求，他一年应该花多少钱来做网络安全，有没有例行的预算来做网络安全。第三个我们一个组织，应该安排具备怎样能力的同事们来站在网络安全这个岗位上。我们如何来判断你的网络安全工作是有效的还是无效的。

所有这些问题可能都是非常基本的，也可以说是非常简单的问题，但是在这20年的网络安全工作经历当中，我发现找到这些问题的答案并不容易，直到今天，今天在座的诸位我们可以一起去思考这些问题的答案是什么。是不是我们的网络安全工作应该在这些答案的基础上再往下展开，可是我们看的到，我们看到现在很多组织的网络安全工作通常的做法一个把网络安全交给IT部门去负责了，IT是你做的，IT的安全，网络安全就是你的了，你来负责，这是一个。还有一个产品导向，20年来我们的组织解决网络安全问题的一个很重要的做法，就是市面上有什么样的网络安全产品，我就找来买，钱少买一个差一点的，基本上是这样一个做法，产品导向。还有从2000年前后，管理体系信息安全的管理体系开始进入中国，有一个很时髦的词就出来了，我们可以过27000，27000认证，这也是一个做法。还有我们1994年开始要求做等级保护，到今天从信息安全的等级保护到网络安全的等级保护，我们做等保，过等保，所有的这些工作在我经历的20年的网络安全工作经历当中，好像都是运动式的多，常态化的少。一个要求来了，一阵风式的我们就搞，比如说在座的诸位如果有实施，给你两个月时间给我拿到27000的认证，基本上是两个月的运动，运动完了该怎么样又回到了原来的状态。

我就在思考，我们的网络安全产品，不可谓不少，我们网络安全标准和策略不可谓不少，但是网络安全问题依然没有很好的得到解决是什么原因呢？我就在想是不是没有人来过问这件事，没有人来最后给你这件事做好了奖励，做不好打板子，有很大的原因，所以我就想能不能在一个组织的网络安全工作当中，有效的建立一种监督机制。虽然这也是一个非常简单的问题，但是在我服务过的客户当中，看来做起来还非常的困难，很难说有一个有效的网络安全监督机制，来帮助一个组织判断你的网络安全目标是否到位，网络安全的措施是否有效，没有人来做这件事。

通过网络安全监督机制来明确你的目标和任务，来保障你的预算和人员，来判断你的网络安全绩效。这是一个很简单的方法，但是实现起来还是不那么容易。我后来也就翻一些资料，在实践当中，特别是跟金融领域里的客户打交道的时候，他们就提到一个概念，叫三道防线的概念，后来我也查这个概念也是从国外来的一个概念，金融行业讲三道防线的概念是什么概念呢？比如说一个银行，他要通过第一道防线来设计和建立以及执行部分信息网络安全控制措施，这就在信息科技部门。还需要第二道防线来负责网络安全的风险管理的框架和架构，这个是在一个银行的风险管理部门。第三个需要一个监督，就要在这个银行的内部审计部门，银行能够建立这样三道防线网络安全工作机制是得益于金融机构对风险的防控关注，刚才提到的信息科技部门，风险管理部门和内部审计部门，在一个银行，是一个标配，是都要有的。但是在其他行业的组织当中就不一定有这个标配，所以你这三道防线的职责就不一定很好的能够落实到位，这是金融行业的三道防线的网络安全的经验，可以给我们很多的借鉴和参考。

我们仔细思考实际上这就是一种机制，一种相互制衡的监督机制，网络安全对于以非网络安全为业务的组织来说，他是一个非效益部门，是一个成本中心，所以你要考核它，没有绩效来激励他，你只能靠监督来督促他，改进他，你要靠他自身的绩效推进这项工作往前走是不可以的，所以需要这样一种制衡和监督机制。

接下来就是广告的内容，我想很快把这个广告做一下。如何去建立这样一个监督机制呢，我就发现审计是一个非常好的手段，这个审计在座的诸位可能IT的多，搞技术的多，这个不是传统概念上的我们一个系统里面的日志审计这样一个纯粹的技术工作，你就把它理解成跟咱们传统的财务审计，经济责任审计有一类的一项工作，它是靠一种机制，一种管理的施再加上一些技术的手段来建立，来开展这样一个网络安全审计，或者叫它信息安全审计。所以在这个过程当中，有很多的信息系统审计，或者网络安全审计的技能在过去这20年的网络安全工作当中，并没有得到很好的重视，所以我们需要一个教育培训的过程，让大家要能够从第一道防线第二道防线角色上一下站到第三道防线的位置上来看我们网络安全工作的效果怎么样，所以这是教育培训。

同时在这个过程当中需要一些技术工具，需要一些技术手段，来帮你判断你所收集到审计证据是否有效的看到了这样一个网络安全功能的实现，所以工具服务和培训是建立这样一个监督机制，必须要有的一些工作。

我们所做的工作当中其中有一部分就是审计的服务，大家会看到最右侧，关键信息基础设施的审计服务，信息科技风险的服务，信息科技外包开发工作的审计服务，以及业务连续性的审计服务等等有很多，我不一一去赘述。但是大家也要注意，这个工作也有十几年的历史了，对于这个叫法也是百花齐放，各有各的叫法，就像我们的网络安全，在这之前可能很多人叫它信息安全，再往之前可以叫计算机安全，还有数据安全，系统安全，很多很多的叫法，审计也是一样，信息系统审计也有很多的叫法，比如说我们的金融行业叫信息科技风险审计，我们的审计行业就叫信息系统审计，我们的工信行业专门有一个全国信息标准化技术委员会，有一个ITSS工作组。还有美国的一个审计部门叫GAO，信息系统控制审计，最近中央有一些叫法，网络安全审计，所以叫法不一样，但是内容大致是一样的。

用审计建立一个网络安全监督机制几个关键点大家要去问，要区别回答。第一个你为什么要审，审计的目的是什么，是看IT的关键基础设施是否有效的运行，还是看业务连续性，措施是否有效，所以要回答。第二个我们审什么，你是审这个人，审这个岗位，审这台服务器，审这台数据库，还是审这个网络，还是审这个行为，根据审计依据确立下来。怎么去审，我们传统搞技术的写一个日志，让他在72个小时跑，给你一个报告，这就是审，时刻关注这个报告有事件报出来你就去解决事件。但是真正的网络安全审计和信息系统审计就不这么简单了，我经常用我们中医的做法，叫望闻问切来看信息系统审计怎么做，什么时间审，在哪儿审，这些都是一些具体的工作。

审计的输出交付，审计工作的交付有很多可选，一个很重要的一个叫审计工作底稿，这个在诸位的概念里面多半是一个新鲜的名词，但是这是审计领域里面的术语，你可以认为是审计过程当中的一个现场审计记录，但是作为审计工作底稿从审计的规范化角度讲有严格的规范，有严格的要求，无论从格式到内容，还有审计发现列表，审计报告，审计意见书，风险提醒函等等，这些概念都是来自于审计那一侧的，对于搞IT同事们来说需要了解一下。

还有审计工具，各种各样的审计工具，我们审计工具根据审计依据的要求，细化成审计规则和审计模型，希望通过这样一个工具按照你所希望的规则得出一个结论，用这种方式来形成审计工具。还有教育培训，像CISP，CISP大家都知道是国内比较知名的网络安全认证，在这个下面我们开发了一个审计师的课程，我们叫它注册信息系统审计师，这个也已经从去年开始，目前为止中国信息安全测评中心已经为这个证书发出去了差不多我估算，大概500多张证书的样子。还有CISA，还有CISP，CISSP，很多这样的认证，实际上是一种专业机能性质的认可。目前开展信息系统审计，或者网络安全审计，主要集中在金融行业，陆续向能源、电信、外资企业这些方面在不断的不扩散，诸位如果有在美上市的企业，有跟外企有业务关系的企业，通常会被要求开展这样一个审计。

未来我们国家五我考虑，我们国家的网络安全审计应该是一个事件，也应该是一个行业，既会跟网络安全工作紧密联系，又相对独立。将来的架构可能是有一个高层的法律法规层面的一个工作来要求，就像我们的《网络安全法》开展基础设施保护，实行网络安全等级保护等等，有一个法律要求各个行业开展审计的工作，建立这种进度的机制。一侧是实施或提供审计服务的一方，需要有审计国家标准，人员的要求，审计服务机构的要求，这一系列的规范，形成一些专业的审计服务机构，在各个行业要开展审计的，金融行业，目前我们国家银保监会对信息科技风险审计要求非常多，要求一个银行三年对信息科技领域的风险审计全覆盖。这是我要所做的广告内容，今天没有安排问题的阶段，我想在最后再给大家分享一个我最近的摄影作品，我最近在海淀七院门口拍的照片，一个拍在今年5月13号，星期天下午，一个是拍在6月3号，星期天下午，我就会开车送他过去，而我会发现有一个违停的监控摄象头，每次我老老实实会把车开到旁边的地库去时间久了以后观察，我就发现不对，这个上面内容我看着眼熟，我就拍了两张照片。

大家都知道这个监控是怎么回事了，但是我觉得它非常有用，网络安全审计，就像这个违停监控显示屏，尽管每天显示相同内容，但是他应该要在这里。谢谢大家。

主持人 朱玉：正如王总所说的，当前网络安全监管还是存在着权责不清，各自为战，效率低下等等一些问题，法律赋予网信部门统筹协调职能履行的还是不够顺畅，王总提了非常好建议，下一步除了强化网络安全统筹协调，更应该呼吁企业关注网络安全的审计动态，我们也期待有效的企业网络安全监管机制早日建立，再次感谢王总刚才精彩广告。到了智能社会，没有一个网络身份，或者身份不可信，可能说寸步难行，同时数据财富随着社会的发展成为一个主流，每一个人的可信身份都会成为网上的交易支付，包括像国家打击网络犯罪网络追溯的基础，从国家的治理角度来说，也需要可信身份认证和管理，国家网络信息安全战略提到，要把网络治理上升到国家的战略层面，所以说可信身份对于国家对于网络治理都是非常周期的一件事情，下面以热烈的掌声有请国家信息中心首席工程师李新友，请他分享对网络可信身份管理的几点思考。

李新友：谢谢朱会长，很高兴有这个机会能在这儿把我们最近的一些研究内容给大家汇报一下，今天想把个人网络可信身份管理这一块有一些想法跟大家做一个沟通。主要是讲四个内容，先讲一下什么叫网络可信身份，第二个是讲一下建设的必要性，再跟大家汇报一下怎么去做，有哪些思考，法律法规跟大家做一个沟通。

第一个讲什么是网络可信身份，大家可能都知道网络上的身份可能都接触过，就是帐号，跟自己的口令，我相信大家在互联网上有很多很多的帐号和自己的身份，什么叫可信身份呢，可能大家说法不一样，我们认为是把自己的真实的身份信息实名，实证和实人折算三个信息能够绑定到你的身份，你的网络身份里面去，你这个网络身份可能就是可信的。

我们把网络的可信身份表现成为一个网号和网络凭证这样一个表现形式，网络可信身份有什么特征呢，一个就是身份是真实的，是可核验的，你在网上像应用系统提交一个身份进行认证的时候，你这个身份是能够追溯到你本人的，第二个这个身份是对你的隐私有保护的，应用系统想得到你的真实身份是很难的，认证是在第三方做的，应用系统对你这个行为可追溯的，在网络上面想做不违法的，犯罪的行为，是可以追溯到你本人真实的社会里面这个人的。

网络可信身份信息包括三个层次东西，一个就是刚才提到的实名，基础的信息，比如说姓名、年龄、性别、手机、身份证号码等等，我相信在座的在网上做登录的时候，常常会被应用系统要求你提供你的身份证，或者要求提供你的手机号码，实名制的时候，如果你要不提供这些东西根本用不了这个系统，如果不愿意提供这些东西你也用不了这个应用系统，这是一个实名的层次。更进一步要实证，你要提供有效的凭证，比如说你的身份证，你的银行卡，我相信大家在用苹果手机的时候，第一提供了你的信用卡卡号，你在用微信红包或者支付宝的时候，有的微信红包没有提供银行卡，但是大部分跟你的银行卡做了一个绑定，如果不绑定的话，好多红包功能做不到了。这个就是实人，更进一层可信就是要很快你的人的生物特征信息进行绑定。比如说你的照片，你的指纹，你的声纹等等。在有些系统里面大家自觉不自觉的直接或者间接的把自己的生物特征，跟你的身份网络的帐号进行了一个绑定，比如说你手机开机的时候，你可能用的是你的指纹，用这一台手机进行某个应用系统的APP操作的时候，你可能就不需要用这个帐号，可能直接进去了，比如说淘宝，你用指纹登录到你的手机，或者用你的简单的图象，或者什么东西，登录到你手机的时候，再进淘宝的时候，可能不需要你再登录身份的信息了，为什么？就是因为这台手机认定是你的，是你开机的。所以这样就把你的实人跟你的这个身份绑定起来了，我这样一说大家可能都明白了吧。

这个身份的信息怎么去保护呢，这是一个非常重要的问题，有很多办法，比如说设了一个密码，我申请这个数字证书，大家见过一次一密的应用吗，有些可能还没有见过，每次我都要变一个密码给对方，还有动态的二维码，跟移动设备或者APP进行绑定，跟有效的凭证进行关联，跟你的生物特征或者行为特征进行关联，还有上面这些方式的多种组合对你的身份，真实身份或者说你的可信身份进行保护。

可信身份是分等级的，我们认为一级的可信，就是你的实人，实名，把你基本信息输入进去了，通过核验变成实名，提供有效凭证了，到银行里面去办的时候，你提交的这个身份证，或者到别的地方去办的时候，这是可信的第二级。我在这儿强调一下，在提供核验这一信息的时候，比如说实名实证核验的时候，不一定非要到现场，到银行柜台，或者到公安的身份证户籍管理地方去进行真正的核验，有可能远程登录，但是核验是身份管理系统后台做，提供信息是不是真的，是不是假的，提供银行卡或者身份证这样一个凭证，这个凭证到底真的还是假的，不一定当时注册时候提交，有可能是后台，你以前在某一个环节都已经做过一些核验了，这些核验结果拿来做身份可信度认定，另外就是三级，在二级基础上对你的人脸，声纹，或者指纹进行核验，得到了更高层次的可信等级。这是简单的概念。

第二个问题讲必要性，国家是否有必要对网络身份进行管理，现在我们的网络身份是怎么管理的，现在我们的网络身份，国家没有直接管理的，所有的管理都是应用系统在管，登录到不同的应用系统可能用到的就是应用系统要求先开始注册，注册完以后进入到系统里面去行授权的访问，有些应用系统不愿意管理你的帐号，用的是微信的号，或者是QQ的号，支付宝的号，只是系统之间信任的绑定，或者说信任的传递。但是总而言之，所有我们到目前为止，所有的身份管理全部都是在民间，没有到国家这个层面上来。

我们怎么办，中央网信办在这几年做了不少的工作，对主要发达国家的网络可信身份的现状进行调研，形成调研报告，对8+2网络身份管理的现状，存在的问题，还有战略的制定建设进行了调研，获得第一手资料。2014年开始委托中科院的信工所、公安部一所、赛迪研究院进行前期研究，形成相关研究报告，2017年底召开网络可信身份高峰论坛、闭门会等。

网络身份管理面临的问题和挑战，一个是个人的身份信息普遍存在于网络，个人隐私泄露频法，最严重的是facebook这个事件，咱们国家也有12306事件，实际上严重影响了咱们国家网络实名认证实施效果。

第二个网络上面存在身份欺诈、身份买卖黑色产业，这个严重危及人民生命财产安全。

第三个网络身份假冒，逃避舆情和行为追溯，增加国家公安部门对网络犯罪打击的力度。这三个是跟网络身份管理的密切相关的，也是严重的挑战，看我们怎么应战。

制定国家的网络可信身份战略，加强个人网络可信身份管理，国家《网络安全法》第24条明确规定的一件事情，只有把网络身份管理做好了，才能够对网络的空间进行治理。在今年的网信工作会议上，习近平特别强调加强网络空间治理的事情，国家对网络可信身份进行管理，在国外也是做了很多的，比如说美国，就提出可信身份国家战略，英国也在做这件事情，欧盟，包括韩国，韩国是做的最失败的，在国外的实践中，有成功的，也有失败的，所以我们一定要吸取他们的教训，吸取他们的经验，把他们的好的地方学来，做国家的战略管理。

必要性表现在这几个方面，政治层面网络身份将会成为国家实施网络强国的战略资源，第二个从社会层面上网络身份管理是网络空间治理的需要，是保证国家长治久安的需要，第三个从经济层面上看，数字化财富成为主流，网络身份成为网上交易，网上支付，网络追炉的基本依据，这个话很明白，如果没有身份的话，根本没有办法追溯你，我们俩交易的时候我也没什么依据。第四个层面就是网络协作网络交流将成为未来社会发展的主要特征，相关方需要相互信任，可信网络身份是网络信任的基石。最后一个从个人层面来说，保护你的个人隐私，打击网络犯罪。

如果大家觉得的确是必要的，我们该怎么去做，就是一个路线问题。国家如何管理网络身份。网络身份管理这一块，国家要做，应该制定一个他的战略目标，我觉得应该从这几个方面来考虑，一个就是建立一个以用户为中心的网络可信身份管理生态系统，实现线上可信，线下实名，这八个字很重要，就是在网络上面我跟你打交道的时候，身份是可信的，为什么是可信的，线下我是实名制的，通过线上网络身份能够在线下追踪到你这个人。

第二个能够保护个人隐私和用户基本权益，第三个目标就是精准打击网络犯罪，有效防范网络风险。第四促进网络社会和济健康稳定发展，最后就是保护国家信息安全，维护国家网络疆域主权。这是要做好网络可信身份管理的战略目标。

具体的为了达到实现这个目标，我们国家应该要建设可信网络身份库，对网络身份进行管理，建立基础的平台，同时要把网络身份的注册和使用要分开，要把网络的认证和应用分开，随后我们要在建设这个平台基础上实施网络的追溯，打击网络犯罪，这是一个基本的构想。

路线图和原则，一个就是个人的可信身份由国家授权机构管理核验、签发，很重要的，原来我们的身份让你提交这个有效的身份证件也好，提交实名的身份信息也好都是应用系统要你提交的，以后应该是国家授权的机构或者代理机构来要你提交，提交完了以后对你提交的信息是真的是假的进行核验，核验出来是真的，核发可信的身份证明。同时跟现有的社会身份管理制度衔接。第二个在网络可信的身份，国家核验发的网号应该是一人一号，你可以用这一个号码，跟国家强制要求你使用的网号应用系统里面去使用，也可以到国家认可的或者是建立联盟关系的应用系统里面去使用，一次注册全网就可以通用了，你不需要再去注册了，注册和应用分开了。另外一个注册跟使用是分开的，这样就很容易做到注册的时候，你的身份可信度是有人给你把握的。第三个是应用跟认证是要分开的，为什么分开，这样可以宏观过渡的获取身份信息，你这个应用系统就是要认证，认证给你分开了，我这个认证系统，只是告诉你应用系统，这个人是可信的，他的身份是可信的，他的可信度是多少，你要想获得他的信息那是不可能的，如果你要应用系统真的获取他的信息怎么办法，，你要经过国家认可，或者授权机构的认可，要通过个人得知情，这样可以有效的保护用户的隐私。

另外一个原则就是充分利用网络身份存量资源，国家做这样一个可信的身份管理平台，这样一个生态系统，以前的那些CA机构，以前那些身份的机构怎么弄，12306已经建立一个庞大的系统，支付宝有自己的用户管理的系统，还有微信也有自己的系统，这个怎么办法，充分利用它的资源，跟它形成一个可信的身份应用生态的环境，这也是一个基本的原则。这个图表示了网络注册申领的一个独立过程，现在注册申领跟应用系统没有关系的，个人可以通过注册申领这个平台去申请一个我的网号，我在申请的时候，是要有法定的机构，到法定的机构授权的平台上去申请，这个平台把你申请的这些信息进行身份的核验，怎么核验，可能是到国家的人口库核验，也有可能到你以前登录过的一些比如说银行、医保这样一些系统里面去进行核验你的身份。根据你的身份再对你进行签发，给你一个方案的网号，给你一个身份的号，国家还会把你这些信息存到一个网络的身份信息库去，你有了可信的身份以后，你怎么办，你就可以一次性注册，全网都可以使用了，每一个地方应用系统只要他跟可信身份，国家的可信身份协议关联起来，你就可以到他的应用系统里面去使用了。

刚才提到的就是原则，后台的实名，前端的可信这样一个东西，后台实名是指你在注册的时候是要在后台进行实名的核验的，前端的可信什么意思呢，你在应用的时候推动身份的认证，能够到应用系统里面去实施去应用。这样就是构成了一个可信身份生态环境。使用的时候刚才已经提到了，应用和认证是要分离的，应用就是网民登录到应用系统去，不是靠自己应用系统认证的，要把你提交的认证信息提交给第三方认证平台，第三方认证平台对你提交的凭证进行认证，看你是不是可信的身份，如果是的话，他会反馈给应用系统一个信息。只有这样做，才能够真正的达到个人得隐私保护，为什么呢？第一个你的身份信息存在哪儿了，存在国家网络身份库里去，如果一个应用系统把你的身份信息保存在那儿，你可能就会担心他的信息会被别人切掉了，应用系统说不可能切掉，facebook怎么样，照样泄露了。只有放在国家法权的这样一个地方，保存你的身份信息大家才能够放心的，这是一个阴私保护一个说法。

第二种说法应用系统再也没有权利收集你的网络真实的身份信息了，所有这些信息都是由授权的机构在那儿去管控。让你应用系统有限权责的访问，从两个方面来考虑的。 第三就是用户的身份信息应用系统在使用的时候，用户有知情权的，如果他不同意的话不能够获得用户真实信息。再一个原则利用存量资源尽快形成网络可信身份应用生态环境，引导第三方的存量资源来跟国家的网络可信身份管理平台进行对接，去应用，大家都在一个环境底下，能够使用的更好，以前的资源又能够使用，又能够保护起来，你现在这个资源能够充分利用起来。

最后一个法律法规上的问题，从现实社会对个人身份管理办法过程中，寻找网络空间个人身份管理办法，这是一个非常重要的事。国家对你的网络可信身份进行管理的话，国家必须要立法，要出台完全制度，或者出台法规，出台什么样的法律法规，我们就要从现实社会身份管理制度要衔接，要从他那儿获取管理办法。现在的管理身份是怎么管理的，我们的身份实际上有一个身份证法的，在身份证这个上面，存了很多信息，大家可能就关心身份证号了，实际上身份证里面你的本人真实的信息都不存在里面，姓名、年龄等等这些东西都在里面，更重要的是你还有收入特征在里面，一个是照片，二代身份证留有指纹的，现在在换二代身份证是要录下你的指纹，二代身份证里面有芯片的，芯片保护了你的身份信息的，大家可以看看一代身份证二代身份证，还有很多条形码，各种各样花纹都是要防伪的。

再一个就是现在的身份证管理，一个就是申领，大家可能知道我们这个身份证申领的时候是有依据的，比如说凭出生证，凭户口本到公安机关专门的一个机构去申请你的身份证，咱们很少有这样的，我的身份证在一个应用系统里面去申请吧，没见过吧，身份证在国家授权机关申领的。今天早晨有一条消息非常好，广东实行电子出生证，将来出生证也不是给你发一张卡了，是一个电子的，都已经联网了，这就是一个很好的凭证，电子凭证，深圳上周发过一个消息，住酒店可以不用身份证了，你可以用你的网上一些证明，只要证明你的身份就可以住到这个酒店里去，不用掏身份证了，到深圳出差如果忘了带身份证了可以照样住酒店了，都是一些很好的信息，这也是为我们做网络可信身份管理，国家来做网络身份管理制定很好的基础，形成很好的应用环境。

身份证管理的时候，另外一个就是核验，由各类机构自行核验，比如说我要进某个机关大门，到门卫那儿就可以拿着我的身份证去核验一下，看看我是不是这个人，如果是就能进去了，这里面核验说的就是一个认证过程，或者是验证过程，鉴别的一个过程，鉴别我是不是就是我这样一个事。在现实社会身份管理还有一个就是隐私的管理，要你自己个人看管好身份证件的信息，各个机构如果要收集了你的身份信息的话，各个机构负责进行保护，不能泄露出去。与网络身份有关系的这一块，咱们国家也有一些法律法规，《网络安全法》，《互联网用户帐号名称管理规定》《电子签名法》等等，国家研究制定个人信息保护法等等这些东西都是跟身份管理是有关系的。

我们要积极推动个人网络身份应用环境，从法律法规上面立法，确定网络身份的法律效力，明确管理机构应用范围和基本要求，制定个人网络身份的管理办法，制定个人网络应用的规范。跟这个身份管理的问题，就法律问题就是这样四个东西，一个就是对国家对个人网络可信身份管理是立法还是修改居民身分证法，还是颁布管理办法或者管理条例这个事大家需要考虑，有可能是国务院要发布条例了。第二个就是网络可信身份是不是可以替代居民身份证，这是一个很重要的目标。第三个怎么样保护个人隐私，刚才说了很多，法律上怎么保护个人隐私。第四个怎么样防止个人信息泄露，如果信息泄露了怎么样去打击信息泄露，打击网络犯罪，从法律这个层面上进行考虑。

再一个应用方面的问题，跟身份有关系的，建立各种各样的标准，可信身份分类分级标准，服务的标准，主要是建立这样一些标准规范，就是要形成一个可信身份的应用生态环境。国家要搞可信身份管理，并不是国家自己来搞，靠全社会力量，我报告就这些。谢谢。

主持人 朱玉：随着信息技术与互联网的高速发展和普及，我们网络空间已经不再是一个纯粹的虚拟空间，网络社会也不再只是虚拟的社会。如何依法治网，如何实施网络可信身份的管理，是我们目前面临的一个新的课题，在这里也特别感谢新友总的精彩报告。

网络安全威胁来源的手段一直在不断变化，以前主要依靠装几个安全设备和安全软件就想永保安全，目前看是不合时宜的，面对频发的全球网络安全事件，没有意识到风险就是最大的风险，只有全天候全方位感知网络安全事态，下面有请北京瑞星网络安全技术有限公司副总裁唐威，他将与我们分享情报驱动的威胁感知。

唐威：大家下午好！我是来自瑞星公司的唐威，首先大家提到瑞星可能应该都知道，我们瑞星是做杀毒的，到今天为止的话有27年的历史了。大家可以注意一下，我这个PPT上写的瑞星网安这是什么意思，公司最近刚刚改了一个名字，为什么改名呢？大家知道瑞星是做杀毒的，只知道瑞星小狮子，这个印象来自于瑞星以前主要做个人级产品。瑞星现在近几年来主要核心业务已经由传统的这种个人的业务在逐步的转向做企业级的网络安全业务。根据公司核心业务调整，重心的调整我们把公司名称改成瑞星网安。

今天我来跟大家分享就是我们瑞星在威胁感知这个方面的一些想法一些看法和一些成果，希望能够对我们在座的各位平时的工作和我们的友商多多少少有一些帮助。大概讲四个部分，首先第一部分网络安全形势分析，换一个说法就是为什么要有态势感知这个东西，首先为什么要有态势感知，第一个领导说要有，为什么呢？2016年419，我们从事网络安全工作的人大家都知道，419讲话我相信所有人看过不止一遍，不止学习一遍了，我们每年还要再反复的学习419讲话，作为从事网络安全工作人来说，习主席讲话确实很多地方都说到点上了。我刚才说领导说要有，大家可以翻译一下这个讲话，习主席说了必须要做到感知风险、感知威胁，是那领导说要有，那就必须朝这个方向去做。所以说现在市场上的态势感知，各种威胁感知的产品蓬勃发展非常多，而且这个领域我相信在近3-5年之内会有一个巨大的市场潜力，这是第一个层面。

第二个层面为什么要有态势感知，因为老出事，我们现实社会，真实社会老出事。因为很多人现在都会有普遍的一种感觉，就觉得像没有什么病毒了，没有什么问题了，尤其是普通的网民都觉得我电脑不装杀毒也不会中毒，真实的情况是什么呢？现在我国国内网络安全这种趋势已经逐步由以前偏向于个人，在逐步的转向由个人到企业，由明面上到背地里，表面上看上去风平浪静。有大量的APT事件，包括APT报告，近几年比较著名的就是海莲花，我们在去年跟踪了有将近一年时间发现了一个来自于一个你根本想象不到能发动网络攻击的地方，是境外一个国家，攻击国内的大量企业，而被攻击的企业名单里面就是我相信我们所有在座的人大家都知道，甚至都在用他们的服务，包括了金融业头牌、制造业头牌、汽车领域头牌，我今天不名字，因为这涉及到用户的机密。现在我们的企业时刻都会面临这种表面上看上去没什么事，实际上你的东西被人拿走了，这种问题非常常见的。

去年的勒索病毒，勒索病毒按理说如果说真正是在这种物理隔离做的非常好，完全没有一点小问题的情况之下不可能爆发，为什么我们很多甚至政府部门都宣称过等保三级，还中这个病毒，因为实际环境中仍然是有漏洞。今年在国内我们国内用户，或者企业，包括政府里面网络中面临非常主要的一个问题，现在的挖矿病毒，大家都知道挖矿能赚钱，挖矿病毒现在把永恒之蓝漏洞应用上，渗透到企业。之前企业没有打补丁，中过永恒之蓝，被锁过一次了，今年你的服务器是被当成矿机进行挖矿，这些问题就是我们现在企业面对的问题。

这张图是我们去年在5月12号永恒之蓝爆发以后我们利用了三天的时间，做了一个全国范围内可以监控永恒之蓝的一套系统，当时我们态势感知产品还没有上线，还没做好，但是到年底的时候产品已经落地了，我们收到公安部对于瑞星处理永恒之蓝问题的感谢信。

我刚才说了为什么要态势感知，有三个层面，第三个层面就是用户有实际的需求，为什么用户有实际需求，因为问题很多，而且领导说要有，所以说用户一定有这个需求的，因为我们做网络安全工作人员非常苦，平时没事的时候领导想不起你，只要一出事那就是你的问题，所以说网络安全工作中已经形成一个常态化的工作，对于网络安全管理人员来说对于他们的这种要求和考验是越来越高的，所以基于这三点原因，就要求我们企业必须要有这种能力，第二个问题我们来看一下态势感知产品现状。这个必然性刚才说了一大堆了，不说了。总结一句话，如果想防住威胁，必须要感知到威胁，就像我们人体健康是一样的。你今天觉得不舒服了，觉得自己可能感冒了，去医院看病，吃点药OK，没事了，你长期10年都觉得自己身体特健康，没事，可能在将来的某一天来一大火，你就受不了了，你自己不知道有问题，你每年也不去体检，这个就是你想防住威胁，必须要感知到威胁。

看一下市面上现在很多打着态势感知或者威胁感知的产品，右边那张图，各种产品加一个非常酷炫好看大屏，就叫态势感知，在座的大家经常去参加各种各样的论坛会议能看到，从我知道态势感知这件事，这个技术或者说这个需求的，那一天开始我觉得这个东西并不是最重要的，我们的用户绝对不是仅仅想要这个东西。考验态势感知我觉得是有三个能力，第三个可视化，可视化这个东西你又不是娱乐公司，又不是拍电影，去年拍一个1，今年拍一个2，这个东西不能老变，用户有视觉疲劳，你的数据是否最全，最新，是否有存储和分析大数据能力，你这个数据之间是不是能给它进行有效非常多维度，非常精准的关联分析，这个我觉得是最重要的。

这张PPT我们在分析数据的时候，尤其是一线网络安全管理人员，天天大家都会遇到的问题，因为我企业里可能有各种各样的设备，有各个厂商的产品，这些产品只要插电开机以后每天会产生海量的安全事件，你靠人工或者单纯靠这些设备你想有效的去抓住你到底得了什么病，这是很难的，举个例子，杀毒软件，你看到你杀毒软件报表就觉得这台机器中了一个病毒，那台机器中了一个病毒杀掉就可以了，防火墙报警，有一个外网IP对你某一个端口进行攻击，把这个加固一下或者怎么样，把这个攻击拦截就OK了，邮件中间件你的企业邮箱，近期会发现经常能收到一些莫名其妙的邮件，你通过加一些规则，或者说发一些提醒，让大家不要去点这些邮件附件，过了一段时间以后规则生效了，可以把这类邮件逐步的屏蔽掉。但是这三件事有没有可能就是一个APP攻击，这是绝对有可能的，所以说这就是对态势感知迫切的需求。

下面我们来谈一下，我今天的主题叫以情报驱动的态势感知，瑞星这块我们是怎么做态势感知的，我们是靠情报，什么叫情报，一会儿再说，说白一点情报是什么，或者瑞星为什么要做，你以前做杀毒的，为什么现在做这个。可以很负责任跟大家说，由于我们是专门做杀毒的，我们积累了非常海量的威胁数据，现在我们国内很多专门做威胁情报厂商跟我们瑞星都有非常紧密合作，我们手中有大量资源，帮助用户去分析发现各种各样的网络攻击问题，这是我们一个基本架构，我有我的一个网络探针放在企业的网络中，并且我做的接口都是通用接口，和瑞星现有产品，包括和所有友商产品日志都统一接口以后，提交到这个平台里，产生右侧的这些结果，帮助用户去发现问题解决问题，不光是发现和解决现有的问题，最终要实现的目标是提前预测到问题，这才是态势感知真正实现的价值。

刚才我提到的情报，我们认为情报大概有这四部分，第一部分就是最厉害的，0day漏洞所有信息，我们知道永恒之蓝这个漏洞为什么这么厉害，它对于我们来说，2017年5月12号之前就是一个大0day，大家不重视，有人用这个0day出来的时候，实际上没有办法的，随着NSA被黑，泄露那么多几十个G，以前从来没有在网络上出现的漏洞，说实话直到今天为止，我们的网络实际上是时刻处在一个非常不安全的这种状态下，除了0day以外，像APT组织，谁攻击的你，他是怎么干的，木马程序，他要进来以后，一定要有工具，通过什么工具做这个事情，以及到最后IP、DNS等等这些，这些可以理解为情报，瑞星以前强项在这块，病毒样本信息，其实在其他地方我们也都有很多积累。

我们看这些东西，可能0day的漏洞，对于我们实际很多用户来说的话，价值不大，本身产品日志没有时间分析，看这些东西更晕，我们在瑞星的态势感知，威胁感知里面产生两部分数据，一部分叫人读，一部分叫机读，人读就是给用户看的，这里面告诉你什么时间谁干的，干了什么，你应该怎么解决。机读部分更大的价值是在于提供给我们的友商，提供给对安全研究有兴趣和对从事网络安全的人员来说，对他们是有价值的，这部分信息我们对于整个社会会公开，即使不是瑞星用户，你也可以在这个平台去查询我们平台中产出的各种安全事件。

整个情报分析，像一个破案，就是这张图，柯南是怎么破案的，我们警察叔叔怎么破案的，第一你要采集收集数据分析，经过第三步，非常科学的推理，最后一部分可能是对于用户来说，是最重要的，你得有证据，因为我们谁都不敢保证，即使《网络安全法》出来了，我们没有任何一个组织，任人敢保证我负责这摊事不可能出事，这是不可能的。但是我们要尽量少的避免这些问题，尽量准确及时的能把证据保留下来，这个对于用户来说，是他们非常关注的，因为平时我也接触用户，所以我知道用户需要什么，这块我们帮助用户，可以说是用户很强的需求。

下面一张图就是情报的关联能力，关联能力我刚才简单举的例子，病毒样本和攻击你的IP，还有比如说电子邮件，这三个看似没有关系的东西到底有没有关系，我可以跟大家说，如果你的数据庞大到一定程度的情况下，可以说主流的这些数据之间我们都可以发现他们之间存在联系，这个图是非常简单的一个图，我们实际后台的那个关联图，有的是非常复杂的，基本上靠人看是不可能看懂的，就像蜘蛛网一样。但是只要你有足够强大的数据和这种分析能力的话，可以把这种数据都给它进行关联的，也就是说可以帮助你，只要我们把这些特别全的数据建立关联以后，帮助用户做什么事情呢？就是用户非常关心的一件事，溯源。我们可以看到从漏洞的利用，植入木马，控制服务器，横向渗透，在你企业内网做哪些东西，哪些工作，什么时间谁干了什么，最后产生的破坏是什么，产生的后果是什么，这些通过我们所有的这种关联数据的话，都是可以发现的。

案例分析给大家拆解一条，从用户那里来的一条情报，给大家看一下。这个就是溯源现在我们几乎遇到的每个用户在跟我们谈项目的时候都会问到这个问题，能不能溯源，怎么做到溯源，其实这个东西很简单，只要你有足够强大的数据，强大分析能力的话可以溯源，关键是数据新鲜度，还有全面性，当你的数据非常强大的时候，我刚才说了态势感知，不光它可以帮助我们的用户发现现在企业有没有问题，告诉你哪儿有问题，如果他的数据强调到一定程度以后，实际上可以帮助你提前预防问题，这个怎么理解。

举个例子比如说今年特别火爆的就是利用永恒之蓝传播的病毒，这个病毒从我接触到用户，比如说医疗和金融，尤其是一些医疗和能源，他们服务器遇到了这个问题，我们的平台里就有了这个数据，有了这个情报。在这种状态下，你如果是我们的用户，你可以看到这个情报，可以自查关联到你企业，看看企业有没有这个问题，如果有很不幸，如果没有在这个时间点上提前预防，说白了就是火没烧在我们家是最好的，为什么呢？因为你知道着火了，知道怎么防那个火就OK了，其实这是态势感知我们希望它能够实现的一个最终的效果。

刚才我老提数据的全面，瑞星的话因为我们做杀毒，所以我们的样本量是最多的，另外可以跟大家说我们现在和全球大概有30多家的安全厂商都有这种威胁情报的交换机制，并且我们在今年马上就要全国最大的第三方威胁情报组织建立一个合作，从今年开始我们就可以拿到最全，基本上大家业界公认的非常全非常新的情报数据，我们会把这些数据进行公开，大家可以去我们平台上去查，在座有很多是我们的友商，大家都可以共享这些数据。不右边这张图简单做了一个系统的截图，有各种各样的事，我把一些日志给你你也看不懂，你也没时间看，那我告诉你这里面海莲花是怎么回事，跟他相关的IP是什么，他利用的微代码是什么，直接在这个专题里面，生成很多个专题，这些专题都是在现实世界中正在发生，或者非常火爆，非常流行的，你在这些专题里可以快速解决企业现在已经有的非常严重的，或者说现在非常流行的一些问题，这个对于用户来说上手非常批的。根据企业自己情况自定义一些东西，包括大屏，第三个考验态势感知能力就是可视化，也可以根据用户自己需要，自己随便定义，只要你有足够多的大屏爱怎么玩无所谓。

我们就是要实现全天候全方位态势感知，帮助用户解决现有问题，首先知道现有问题解决问题，最后做到预测问题。

做一个案例分享，这个案例分享我做的实在是有点比较简单，带着大家去随便看一条情报，这个情报是我们调研一个医院用户，这个用户不是瑞星用户，他给我们反馈的情况是大概有3台服务器特别慢，慢到不能再慢了，帮我们分析这个问题，杀完了以后过两天又不行了，反复出现这个问题。这就是这段情报，这条情报在我们库里是非常简要的，非常短的一个情报，这一条在结构上比较完整的威胁情报，首先包含了它是什么威胁，它的版本号发现它的时间，以及相关的参考链接，如果你对这条情报感兴趣，但是又不是特别了解的情况下，你就可以去查询很多的安全连接。你的这个攻击者的IP地址，以及相关的主机名。跟这个威胁相关的所有的恶意代码的MD5值，最后报的病毒名称，就是下一张图了，在这里面他所有的信息都会给用户，或者给这些查询数据的这些用户展示出来，当然了这个只是我把人读部分和机读部分原数据给大家展示了，如果你是瑞星用户的话，在系统界面里也会直接以比较人性化的方式查询到，这些东西到底有什么用，如果说你有了他的MD5，你有了这个威胁的IP，你可以和你的其他产品进行联动，最简单的一个应用，你知道这些攻击者IP加到黑名单里，你知道攻击者采用的恶意代码MD5值，杀毒软件当时还杀不了，没关系，加到黑名单里面就可以了，这就可以做到态势感知是如何来帮助我们解决已知和未知的问题了。今天我讲的内容就到此结束，谢谢大家。

主持人 朱玉：感谢唐总的精彩分享，2018第一季度网络安全威胁态势分析与工作综述，这样一个报告显示第一季度共监测各列的网络安全威胁大概是4541万条，网络安全威胁态势呈现了主要以下几个特点，第一是底层的硬件漏洞波及广、修复难，共享类应用涉嫌危害用户的信息，黑客的入侵篡改时有发生，网络安全威胁不容小觑。下面我们就有请金火眼（北京）科技有限公司创始人CEO魏小强，他将分享攻守道：移动互联网时代的早期预警与主动防御。

魏小强：各位专家各位领导各位在座的朋友大家下午好！我是来自于金火眼的魏小强，很感谢主办方给这样一个机会，来跟大家分享一下，瑞星是老牌的公司，我们是创业公司，在这里跟大家分享一下我们的一点体会和想法。

我想给大家主要分享三个方面，第一个方面是安全江湖风云，最近安全的事件频发，我想分享一下对这方面的看法。第二个就是基于这样一个背景，针对一个很小的细节，基于帐号安全我们提出了我们的一些解决方案。最后介绍一下我们金火眼公司。最热门的就是区块链安全，区块链安全推向了风口浪尖，区块链技术颠覆着IT的体系。但是区块链的安全问题已经由来已久，大家注意到2014年时候有一家交易所，因为黑客的攻击导致了80多亿枚比特币被吸空，最后结果申请破产。还有一个事件2017年有一家虚拟交易所，也是遭到了黑客的攻击，他们遭到这个攻击，最终导致资产的损失达到了17%，这都是非常惊人的。2018年大家知道日本有一家公司，也是遭到黑客的攻击，最近大家都很熟悉，EOS的智慧合约漏洞。说明了区块链安全问题是非常严峻的。

第二个我想跟大家分享不仅仅区块链面临这样安全问题，还有帐号泄密大戏每天都在上演，我给大家分享最新的国外案件，大家注意到在加拿大有一家银行遭到黑客的勒索，勒索的金额是77万美金，这也是非常庞大。还有一个是安德玛也是国际巨头公司，前两天他们面临集体诉讼，他们遭到黑客攻击，导致泄密的用户个人信息达到了1.5个亿，我相信可能在座的有的朋友，在使用他们的产品也就意味着个人信息，这是一个全球数据了，可能遭受黑客的攻击。这个事件给我们的启示就是现在越来越多的公司，他们在提供这种服务的时候，在采集或者收集客户的一些信息，这种高价值的用户信息往往成为这些大的公司里面非常重要的价值，如果一旦没有好的手段来防御的话，面临巨大的安全威胁。

国内的案件在这里不提了，前几年已经发生了几起非常大的帐号泄密事件，都是千万级规模的帐号泄密，千万级相当于东南亚也好，欧洲很多国家的总的人数几倍。用户帐号泄密，用户自己的帐号，以及他在我们的移动互联网上访问其他的平台业务，所用的帐号也许有非常相似的地方，黑客会用这种数据字典进行攻击，后续的恶性影响，可能会更加可怕，几千万帐号的泄密会带来灾难性的后果。大家看一下，这几个事件，有什么样的共同点。

第一个大家注意到帐号被盗对客户而言第一时间是不知情的，打个比方，就像家门钥匙，钥匙被复制了，还在你兜里，复制的钥匙已经在互联网上飞了，但是你自己并不知情，黑客可能会拿这个钥匙随时打开你的家门，这就是帐号被泄密带来的威胁，这是第一个。

第二个说明像安德玛这样国际巨头，有非常强大的安全团队，自己也会有他们非常优秀的技术，面临集体诉讼时候，面对法官质疑，他说我们用了加密手段，来保护我们的密码，为什么还是泄密了，传统的安全防御手段面临着巨大的挑战。每个门上加了两个锁，你第12个门为什么要用容易撬开的锁呢，因为他用了比较简单的加密算法，这个算法对入侵者来说，它是容易做碰撞。

第三个共同点在我看来后果都相当严重，大的泄密事件，或者安全的攻击事件，将会导致上市公司可能造成巨大的损失，一个是经济损失，第二可能会面临重大的法律纠纷，这是另外一个层面的风险。基于这样一个背景，大家知道习大大提出了一个没有网络安全就没有国家安全，这个网络安全已然成为国家安全，这是国家安全战略。基于这样一个背景，《网络安全法》作为法理的基础支撑，大家知道6月1号《网络安全法》已经正式颁布，其实有三个点，一个就是保护企业的信息，在一些行业里面都在谈，必然会获得客户的一些信息，这个企业信息要保护，这是非常关键的一个关键点。

第三个要进行风险检测，也是安全法强调的一个，我们有没有一种办法做这样检测呢。

在这里问题来了，第一个问题对于企业来说如何知道帐号信息已经泄密，我的钥匙被复制之后，我能不能在最快的时间，第一时间我获知，我有没有这样的办法获知，降低风险。第二个问题如何防止数据泄密，跟有一些客户，他们的CIO沟通的时候，泄密渠道太多了，他们要发放一个贷款，他们线下门店需要客户来填写他相应信息，你就很难保证线下门店不泄露这个信息，这个链太长了，没有办法防止，问题是既然知道这个数据要保护非常难，在泄密之后有没有一种办法降低这种风险，减小企业所面临的一个损失。

另外一个就是们能不能早些预警，如果说帐号被盗，要泄密，被黑客攻击，有没有办法早期获知可能有这样的迹象，采取措施进行封杀。

金火眼是一家创新的年轻公司，我们推出了这样一个产品，解决方案，我们叫做金火眼帐号泄密检测主机的产品，它是业界第一款用于帐号检测的硬件级芯片级的解决方案。它可以帮助客户对他泄密的帐号进行监测，他有什么样的特点呢，第一我们拥有全球最大的已经真实泄密的这样一个帐号信息，可以第一时间帮助客户来诊断识别出他们已经泄密的这些帐号信息，这是一个。 第二个我们会非常全面的来精准的预测，或者精准的来进行识别。同时这里面也提供技术基于芯片级的加密技术，因为帐号二次泄密会带来灾难性影响，我们基于芯片加密来确保这个数据不会被二次泄密。 第三个最全面，我们提供一个可视化的界面，对企业来说非常的方便。对客户而言使用这样一个技术是在我们想帮助客户，你不需要传任何数据，完全可以部署在企业内部硬件的一款产品。 第二个是大数据和人工智能技术做预警，我们专注于一点，就是基于线上移动互联网的用户，我们会来提供了智慧探针，嵌在客户的APP当中，利用海量的大数据这样一个能力，帮助客户来做这种安全的预警。它的特点一个是海量数据支持，第二个对客户而言我们不需要客户提供任何样本数据，我们专注在早期的欺诈监测，因为最好是做到防范于未然。 第三个金火眼提供的服务是基于区链安全机的一个在线签名主机，基于芯片级的安全加密技术，它可以来保护区块链私钥，对私钥智能合约漏洞进行保护，实践的原理很简单，防止攻击，可以让密码认证的过程在硬件芯片内进行，而不离开硬件主机。它的配置也非常灵活，这个是提供在线的服务，具有这样一个优势。

从金火眼提供的服务我们关键词大概有这样两个，一个进行早期的预警，帮助客户发现哪些帐号已经泄密，可以来提供事前的补救。第二通过人工智能技术提供预警服务，通过对行为分析，我们建立多个大的模型，包括利用机器学习，深度学习技术，帮助客户来进行预警。另外一个就是主动防御，因为我们发现安全就像刚才讲的，保证100%安全很难的，有一个办法，如果我的钥匙一定会被入侵者复制，我就让它复制以后不能用，我们提供主动防御，利用芯片加密技术。

这里做一个简单演示，我们帮助一个客户做了一个检测，他的帐号已经泄密，我们可以看到它的泄露源头来自于黑客，你设你自己帐号密码的时候，也许在单位，或者是企业内部是一个员工，到移动互联网时候变成普通用户，个人帐号密码设的非常相似，帮助客户可以提供这样一种检测，检测到他的来源，帮助客户分析。

目前我们已经有一些客户使用我们的服务，阿里云也是我们战略合作伙伴，浪潮等等，我们跟百度和阿里也签了战略合作协议，我们是一家基于人工智能和大数据以及区块链的创新型公司，我们在硅谷设立了研发中心，目前我们有4项专利，基于这个技术4项专利，我们也是被评为国家高新技术企业，在上海设有分机构，北京是我们的总部。谢谢大家。

主持人 朱玉：再次感谢魏总，习总书记多次强调核心技术是我们最大的命门，核心技术受制于人，是我们最大的隐患，不掌握核心技术就会被卡脖子，不得不看别人的脸色行事，真正核心技术是花买不来的，所以我们必须真正下定决心保持恒心，找准重心，增强抓核心技术突破的紧迫感和使命感。下面我们就有请工信部赛迪网络安全研究所所长刘权，他将和我们分享我国IT领域核心技术安全可控的发展路径，有请刘所。

刘权：今天的话题多数都讲一些网络安全相关的防御事情，或者检测。但是从网络安全来讲，解决不了核心技术安全可控的事情，应该说其他的一些手段。我们现在IT的领域，应该说我们的问题和形势是非常严峻的，假如说引用两个领导的话来看的话，大家可以去判断，第一个在2014年马凯副总理到工信部调研说过一句话，这句话就是我国网络安全问题比我们想象严重的很多，说的也是核心技术的事情。第二个问题我再引用一下，杨学山副部长，他在多种场所都说过一句话，我国的IT系统对美国人来讲就是透明人，大家再去理解这样一句话，从这个问题上来看，应该说这个问题真的非常严峻，我国主要的一些核心，不管是心脏还是大脑，依赖度非常高，昨天和相关院士专家谈的时候，他们说了一句话，中国的软件产业，在前几年来看，十多年前大家还引以为豪的一个产业，但是现在一看，发现经过将近20年的发展，目前软件产业成为我国依赖程度非常严重的行业了，比硬件的依赖程度还要高很多，这就是我国的发展现实。

通过这几句话表明一个态度，我国基础的核心的这个产品支撑能力非常弱。第二解决不了这些问题，其他的手段我不是说没有效，应该说其他手段解决不了本质安全。在一定程度上我们还不能说绝对的无效，包括刚才新友主任所说的，网络可信，我认为基于这套理念，刚才魏总也提到了，我认为基于网络可信，再加上电子签名，这一套理论，我认为为核心的，在现在这种形势下，我个人这么多年一个经验，这种形式效果非常好的。

今天跟大家讲四个方面，第一核心技术，究竟哪些是核心技术，第二我国信息技术发展现状是什么，面临的问题，最后提几点想法。核心技术很多人都提到了，这个核心技术三个方面，一个是基础技术和通用技术，第二是非对称技术杀手锏技术，第三是前沿技术，颠覆性技术，这块习主席非常明确，核心技术是什么，包括未来得网络安全怎么发展，习主席在2014年时候也给出一个非常清晰的。

究竟这三块来讲，我们这个从基础和通用技术来讲，就是芯片和操作系统，这块是我们目前问题最严重的几个方面。第二个方面非对称技术，这个往往指的我们现在做网络安全传统老三样，基于大数据网络分析，这些手段，指的非对称技术。给大家报一个数据，除了芯片和操作系统对外依赖严重，包括我们常用的十款网络安全产品，包括杀毒软件，应该说这个主要的十款产品对外的依存度超过了50%，行业还是很严峻的。第三个就是前沿和颠覆性的技术，这块我们和国外差距不是太，处在同一个起跑线上，主要指量子计算再加上生命科学，这块大家都处于同一个起跑线上，中国还是在一定程度上是领先的。

这张表的话是出了整个核心技术的发展现状，经过这十多年的发展，到现在为止，我们从最初的完全引进，到现在为止应该说目前又纳入到国家南方1号，整个国产化的这样配置名单当中的，应该说有三大系列。ARM这个系列，认为是国产CPU的，重要系统当中去用的。我们开了一个会，在三个生态体系大家分别介绍，我记得当时那个会李新友也在上面谈了一下，政务领域安全可控产品需求分析。

现在三大体系来看，不管是基于申威的，还是基于龙芯的，再基于ARM的，ARM的系列生态更好一些，它的生态相对更加倾斜。从龙芯这个体系来看，现在应该是在终端一下这样的一些产品系列，应该说现在已经具备了比较好的生态体系，产品门类是比较齐全的。从高端系列来看，申威应该也是不错的，从目前经过这么多年的发展，咱们现在的能号称国产产品，龙芯、申威、ARM，三大体系在国内都是有一个比较好的发展，这是一个基本情况，从外设到操作系统，从操作系统到外设整个生态建立的比较齐全了。从去年开始，像天津、浙江，各区域完成国产化配置，在2020年左右，我认为这个体系应该说在全国从国家进程来看大规模在推进，从一个现状来看。

这张图的话给出了我国相关的操作系统一个项目情况，我们现在不管是团操作系统，再加上CPU，再加上中间件等等，国内都有相关的一些企业在提供一些服务。这张图给国外的，完全基于自主的芯片和操作系统的，再加上其他的和国外相关的，每个关注环节在国内一定有加在相关的服务，一定程度上对国外产品具备了可替换的功能，但是有些性能上确实还有一些不足不完善地方，这两张图给出了国内外的对比。

从目前的发展路线来看，我们应该非常感谢特朗普，对中兴事件的制裁，我们一直在做国家IT产品发展战略，20多个院士依托团队，每年都有工程院的重大课题在委托我们做，包括我们2013年，大家应该是听的很清楚的，在2013年10月份的时候习主席关于2014年的4月8号，在23个院士的信上做了回复，中国IT产品怎么样摆脱对外依赖的批示。当时院士建议800多字，习主席批了300多字。2010年开始从事这个事情，经过七八年的时间，咱们现在在国内IT核心技术发展路径中，不管从高层的领导，行业主管部门，业界院士来讲，更不用说企业界，对引进消化吸收，还是走安全可控，走自主可控的发展路径，一直到今年的3月份之前，出现了一个中兴完全被制裁事情之前，这两路径真的是非常重要，而且似乎有一种倾向，靠引进消化吸收这条路径的声音，呼声更强烈一些。但是有了这次中兴事件之后，在不同的场所，和不同的院士，不同的领导打交道的时候，在这个事情上，基本上是统一起来，在依靠这条路径形成我们的核心技术的发展路径，现在基本上大家都知道核心技术买不来的，更多的怎么样走自己发展，形成自主可控的这样生态体系。

我记得很清楚，在制裁中兴这个事件，一位老爷子，我就不提名字了，在有些报告上，做报告时候说了，中国举全国之力发展自己的芯片这个系统，那个观点说完以后互联网上骂声一片，要放在前几年的话这个观点是非常正常的，而且是多数人都能接受的。有了中兴事件之后，至少我认为在社会的各个阶层，这个观点已经形成了，这是一个情况。 从这个集成电路来说，国产化的刚才说已经被认定为三种，事实上国外主要芯片生产厂商在国内都有合作，包括AMD，包括IBM，IBM在上海，在北京都有合作厂商，国外的这些芯片生产厂商在国内都有合作。从基础软件来看，我们现在基础软件，多数都是基于开源软件的这个生态来发展起来的，包括国内的主流我们现在几个软件，应该说都是基于开源软件的，但是大家注意一点，开源软件是不是说完全开放的，或者说里面核心的东西大家都能获得的，这是需要大家认真考虑一个事情。但是事实上来看，开源软件并不是真正意义上开源，包括昨天我还请教了相关的业内一些人，在我国通信行业，现在应该说竞争力非常强，我暂且不说中兴的例子，应该说是非常激烈。但是现在国外已经采取了另外的一条策略，我们原来的产品体系是从上到下一个产业链条，这个产业链条形成之后，目前企业的竞争力应该说非常容易形成。大家注意现在一个变化，现在的整个IT行业的变化，第一个趋势是我们软件定义一切，什么概念？就是他现在对于底层的设施，底层的硬件产品，在整个生态当中的作用是会越来越好，包括我们将来的一些防火墙，杀毒软件等等，将来在软件上去实现。大家想想这个转变意味着什么，意味着原来形成整个产业链条纵深的能力，在软件定义一切的时候，原来的竞争力在这种形势下已经不会再出现。

不用按照原来的这种路径来做，他按照软件的方式，他横向的拆开，我们现在了解的情况，国外的重要厂家，基于软件提供相应的功能模块的时候，把中间的说明书，说的是非常复杂，让真正的业内人能看明白的话，就是从现在走到后面，非常简单的事情。它的问题很简单，打破竞争力，打破传统的惯性思维，使得在构造新的一个竞争高地，这是目前的一个趋势。我认为这个趋势影响很大。 第二个问题我们现在的开源软件，是不是真正开源的，我们现在也在业界了解到一个非常严重的现象，现在不管我们几个开源软件，尤其在通讯行业领域，我们现在有一些开源软件，开源社区里面有一些激励和奖励的因素在里面。中国包括华为包括中兴，国内的一些主要有竞争力的企业，在开源社区里面贡献了非常大的力量，把最好的东西，技术含量非常高的产品向开源社区做了，大家知道开源社区都要做贡献的，国外每个开源社区里面有一个核心，核心的核心谁来掌握，不是每个人都该掌握的。国外掌握内核的这些人，把他搜集到的这样好的主意，好的想法，他们消化吸收之后融入到这个核里面去，把中国提供的核心能力完全放在外国，这就是现在的现实。开源软件意味着什么，核的东西每次升级的时候是不变的，外围一些相关关联的知识产权，每次升级完了外围重新再架构一遍，这就是开源社区真实情况。现在这个倾向是非常明显的，我们考虑了开源社区该怎么发展，如果这样发展下去之后，中国会更加严重，这是第二个问题。

第三个问题拿现在大家习以为常的，现在都在用的，安操作系统都认为开源的，既然都认为开源，在美国制裁中心的时候，其中有一条安卓的系统不提供相关的支持和服务。第二后来我们梳理一下美国制裁中心产品列表当中，涉及到软件产品的多达100多，这是从制裁中心。安卓既然是开源的，为什么制裁的时候照样中兴不能用，刚才所说的，开源的软件核心的东西是不开源的。就拿安卓系统分析一下，他是2007年时候成立了一个联盟，基于这个生态联盟大家都可以共享知识产权，一个是GMS服务不开源的。第二个OTA，第三个CTS，兼容认证，这三个事情不开源的。GMS服务来讲，我们手机里面包括地图所有的应用都是基于这个服务，这个服务关掉以后，意味着我们无法获取新的软件，用户无法使用手机，第二个CTS是兼容性认证，只有你这个厂家，比如说联想、华为，生产厂家通过兼容性认证之后，他这个基于安卓系列的开发应用系统，才可以在手机上去用，他才可以允许你有自己的应用商店，允许你手机上用。如果这个服务，兼容性认证通不过的话，就意味着所有的应用都是没有的，这就是一个现实。我们号称开源的安卓系统。

后来又认真分析了，对于这个认证来讲，梳理了一下，其实他这个认证生态里面的认证分了三类，第一类认证的一些厂商是可以，第一类可以用你的操作系统，第二类认证的厂商，第一是可以用这个操作系统，第二的话也可以应用谷歌直接提供的部分应用，经过第三个层次认证的厂商既可以用操作系统，也可以用所有的谷歌提供的应用服务。我后来梳理一下，经过第三个层次的认证厂商，国内一家都没有，这个认证门槛非常高，我后来看三星等等有一些国外的厂商经过谷歌的认证，国内一家没有，这是我们的现实。 从现在的发展情况来看，应该说不管是哪一个系列的，包括我们龙芯的，包括国防科大，北大众志，国产的几个条件路线，第一有一部分应用，但是市场份额还是非常小的。这一张图给出了我们引进消化吸收相关情况，包括ARM的，Power的，X86的，在那一个层次上区别合作。ARM系列的授权和中科院的授权，再加上IBM等等给相关的合作厂商授权，这个权限是完全不一样的。大家注意这些在签订授权协议的时候，所有的厂商一定同时受美国商务部门出口条例的管制，大家注意这是一个现实。

接下来再给大家介绍一下美国的出口管理条例，5月25号欧盟通用数据管理条例这个生效之后，大家应该说对业界震慑很大，有两个原则，只要和欧盟打交道，你的企业受他的制约。第二他是罚的额度之高，最高是两千万，和你的营业额的4%，是欧元。其实美国的出口条例，和欧盟通用数据管理条例有很大相似之处。大家可以看一下他这几个定义，从内涵上来讲，这个是很容易的，但是从外延上来看，满足这几个条件的也是美国的产品，第一个条件是在美国生产制造的产品，第二个条件是美国厂商在美国境外制造的产品，第三个是非美国厂商制造的过境美国的产品，这也算是美国的产品，第四个是使用美国技术直接制造出的产品，第五个含有特定美国产品超过一定比例的产品。这就是有了中兴事件，回顾一下中兴事件，中兴事件在2016年3月份时候做了一个违反条例调查，因为中兴向伊朗销售了他生产的产品，2016年3月份时候开始对中兴进行调查，同时对华为，最后的结果是什么？在2017年的3月份时候，达成了和解，和解的代价是中兴赔了美国政府8.9亿美元，还再外加3亿美元，看你后期执行怎么样，他没交，当时交8.9亿。2015年中国对高通反垄断调查时候，是高通在中国年销售额的8%，罚他61亿人民币，如果中兴折合人民币的话，最后超过80亿。2015年中国罚高通，2016年美国罚中兴。今年4月份把中兴事件又有问题了，为什么中兴生产产品卖给伊朗，还受美国的管制，我相信在座的人一定有很多疑问，甚至憋了很多怨气，按照这种产品来看的话，中兴至少65%左右产品，采购产品都是美国的产品，中兴生产的时间最多是一个半月，包括这次，如果中兴和美国达成了和解的话，中兴下场是什么，一定是倒闭，美国这次制裁出来之后，中兴发布了一个通告，不再提供任何产品接新的单子，维护现有的客户正常运行。大家可以想像这个影响有多大，我们关心是一家企业一个制裁受这么大影响。如果我们核电站，中间相关的产品出现问题，如果我们现在用的互联网，美国关起来之后，对中国意味着什么，这就是我们的现实。

这是ARM在一定程度上也是受美国制裁。我们现在发展中面临问题，第一条路径引进消化吸收上来看，我们这条路就是你往下想一下，有中兴的事情，华为的事情，想往下走有可能走不下去了。

我从总体思路上来看的话，习主席在有些事情上都给出了一个非常明确的一些建议，这是在4月20号。我记得在2013年10月份，习主席在我刚才所说的23个院士建议上批了300多个字。里面批的原话是发扬两弹一星的精神，整合国家资源，找重点突破。这次网络安全和信息化工作会上，核心技术定义为是国之重器，国之重器是什么，和两弹一星是相提并论的，这就是国家对核心技术重视的程度。

从核心技术发展路径来看的话，我认为引进但必须安全可控，从现在来看，引进安全可控是非常难以实现的。但是对有些地方，在第二个层面和第三个层面，这是毫无疑问的。这两个路线上应该都有一些相关的问题，不管走自主可控的，还是走引进消化吸收的，应该说优势和劣势都是非常明显的。

从基本思路上来讲，我们是希望在引进消化吸收过程当中，最后能形成我国自主能力。我们和国外的引进消化吸收的时候，中国人是不缺钱，只要是能有钱买的来的，中国人往往是不去研发的，只要中国卡脖子工程时候，中国才会下力量去研发，这是现实。所以这次习主席也明确提出来，我们一定要改变我们原来跟在别人后面，你和别人差距大的时候，别人乐意卖给你，但是等你发展到一定程度和别人有可能才能竞争的时候，他一定会卖给你，我认为现在从中兴这个事件来看证明了习主席说的话。

最后发展目标来看的话，不管是引进，还是消化吸收，最重要达到五可一有，可调整，可呈现，有了问题能去修改，最主要最后形成自己的自主知识产权，不受制于人，这是最核心事情，在多个场所大家都听到了。

从CPU发展路径来看的话，我刚才也说了，我们应该是走培养基础能力，构建自主生态，抢占产业主导权，基于龙芯的和申威芯片的，再加上飞腾，利用自主生态基本上齐全了，从它现在能用向好用去发展，从有了生态向这个生态竞争力，在国际上有一定竞争力这个地方去提升。

从操作系统来看的话，不管从桌面的还是服务器的，大家共识是每个领域打破现在的一些技术优势和行业壁垒非常难，未来我们在云计算领域，云操作系统领域，应该说中国是有一定的市场空间，因为现在从阿里来看，从华为来看，他们现在都有非常强的这样一些实力，怎么样发展云操作系统过程当中，避免我刚才所出现的安卓这样的一些悲剧出现，中国把最好的东西生态上都贡献给国外厂商，反过来形成自己的行业壁垒，中国在发展的时候一定要避免这个情况。这个情况该怎么做，这是我一个时间表和路线图。这个情况该怎么做，我们从行业的专家和相关的企业当中，第一个事情我们在今上个学生的时候在万寿宾馆召开了中国安全可控产品相关的一些研讨会，当时把三个系列的生态体系都建造完了，对安全可控产品进行综合性的测评。今年的9月份在网络安全宣传周上，再重新召开，在这个事情上，我们会启动对自主生态的一些产品。

第二个安全可控的，每个产业链条，知识产权，安全可控的知识产权再加上性能的测试，整个结果应该是在今年的成都网络安全宣传周上我们进行现场的一些最后决赛，这是第一件事情。

第二件事情我们联合了几大运营商，再加上电网，还有中国的军工相关一些企业，我们计划来牵头，来打造核心在整个下一代网络上，核心的观点，核心的节点上最核心的一些设备，核心的一些软件上面，打造中国的社区，下周一有几个院士相关领导都去谈这个事情。形成自己的社区，而不是说现在大家把好的东西交到国外的社区当中去，我们希望社区里面能够有自己的话语权，从应用的角度上去着手，经过我们认可，经过这个联盟相关的社区认可的用户上会优先的去采用这样一些产品，拉动中国社区的一个发展，打造中国安全可控生态体系的一个健全和发展，最终提升整个中国IT行业的一个竞争力，真正改变我们现在受制于人的局面。谢谢大家。

主持人 朱玉：正如刘所所说核心技术中像基础和通用技术我们需要引进消化吸收，前沿和颠覆性的技术主要依靠自主创新，推动核心技术产品安全可控，有助于整合各类技术产品的市场，培养更具市场统治力的龙头企业，加快融入国际现有的技术发展体系，争取核心技术发展的一个控制权，也再次感谢刘所。

今天下午的第一个环节主题报告环节秋收到这里结束了，来自政府部门和科研机构企业界领导和专家和大家一起分享了网络信息安全建设的新丝路和新认识，我想在座各位都一定是受益匪浅，我个人也认为在构建网络信息安全生态系统上应该有五个新需要大家共同努力，第一个新思想观念有新突破，第二数据共享有一个新的境界，第三网络安全要有新的应对，第四技术应用要有新的创造，第五就是各位专家反复提到的安全可控要有新的作为。当前网络信息安全保护被赋予了更多的使命，互联网承载了我们的昨天今天和明天，每个人都有维护互联网安全的职责和使命，让我们共同牢记维护网络安全的历史使命，为构建网络安全强国贡献力量，第一个环节就结束。

第二个环节我们进行一个颁奖仪式，有请我们颁奖环节的主持人。

张主任：大家好，在颁奖开始之前，我提议大家以热烈的掌声感谢一下我们今天的主持人朱会长，尊敬的各位领导、各位来宾、女士们、先生们大家下午好！我是本次大会颁奖环节主持人，近年来中国信息协会推动互联网产业发展以及网络安全体系方面做了大量工作，同时为大力推进行业健康发展鼓励优秀企业发展，组委会每年大会期间都会对一批影响力比较强，成长力比较快，行业贡献比较突出的优秀企业进行表彰，下面进行大会颁奖环节，组委会研究决定，将对2017-2018年度在推动网络信息安全行业方面做出突出贡献企业和单位表彰，对他们做出的成绩给予鼓励和肯定。 首先颁发企业奖，获奖企业有（获奖企业名单）。下面我们继续颁发企业和服务类奖项，获奖企业有（获奖企业名单）。接下来颁发产品类奖项，获奖企业有（获奖企业名单）。下面我们颁发方案奖，获奖企业有（获奖企业名单）。至此2018第三届中国网络信息安全峰会圆满结束，感谢各位的参与，我们明年见。