本次的研討會的專家包括工信部電子科學技術情報研究所副所長萬鵬遠、VMware大中華區高級產品經理傅純一、VMware大中華區高級技術總監李剛和VMware大中華區軟件定義數據中心產品品牌總監林世偉。

企業數據安全也是社會安全問題

作為政府層面的研究專家，萬鵬遠帶來當前國家對于網絡安全在意識形態方面的上層認識。他談到，網絡安全問題是個持續發展的老話題，但從國家政策層面來考慮，國家已將網絡安全提高到國家戰略的高度?！皣抑飨诮盏囊淮尉W絡安全會議上就明確指出網絡安全與信息化發展是相輔相承的。當前，我國已經建立了較為完善的網絡安全防控體系，不僅制定了信息安全的等級保護的相關系列法規，更有多份綜合的網絡安全的相關法律法規出臺?！比f鵬遠表示。

另外，萬鵬遠認為，僅有的網絡安全層層政策的出臺還不夠，對于網絡安全政策的執行效果也應是當前關注的重點。為此，“我們除了要聽取安全專家的意見，更應有利益相關者的參與，從而將各項網絡安全政策能夠落實到實處?！?/p>

對于企業數據的安全問題，萬鵬遠也指出，在這一態勢下也應有新的認識，其內涵和外延都被擴展了?！捌髽I數據的安全問題，同時也關系到社會的安全問題。例如，近些年很多國外企業數據安全的實效同時釀制了更多的社會事件?！?/p>

對此，萬鵬遠肯定了經濟學人智庫從CIO和CEO角度做的網絡安全調查，對于國家網絡安全的發展起到了積極的促進作用。

企業對于網絡安全的新認識

傅純一對萬鵬遠提到的調查做了更為詳盡的介紹。特別地，不同于其它安全調查，此次調查不僅針對企業的IT部門，還有來自業務部門對于網絡安全問題的認知。有幾個重點從而凸顯出來：

1、CIO和CEO對于未來6個月企業遭受網絡攻擊的可能性較為一致；

2、普遍認為公司缺少針對網絡安全的相關培訓，但普遍認為企業存在安全漏洞；

3、公司高管認為一旦遭受攻擊的最大損失是失去客戶的信任，對于高科技企業來說其知識產權問題則更為嚴重；

4、對于技術條件的保障，CIO認為網絡安全的部署最重要，優先級應當高于業務戰略；而CEO們則更加傾向于網絡安全應當圍繞業務；

5、對于網絡安全的投資預算來看，CEO的認識和CIO的認識則有較大差距，前者認為這部分預算不應超過總預算的3成，而后者正好相反應超過7成。

若是以中國區與亞太區的比較，中國企業對網絡安全的認識則更為堪憂。

下一代網絡安全建設“虛擬機”成關鍵

林世偉表示，這項調查背后的目的是需要我們針對未來企業的安全需求作出更為準確的思考?！皬募夹g上來說，現有企業對于安全問題的認識更多來自于傳統網絡安全的部署限制，在云時代，網絡環境的變化既帶來了企業對于網絡安全認識的不足，也帶了企業應對的新的焦慮?！?/p>

傳統網絡安全是依據物理基礎設施劃分的邊界來部署的，而云時代的最大特點是就是在模糊這種邊界?！盎A架構越來越復雜，控制點、邊界的隔離等傳統網絡安全手段逐漸失效。隨著云計算、移動互聯的普及，企業內部網絡開示模糊，企業與外部網絡的邊界也在模糊?！崩顒偨忉尩?。

其實，針對從傳統“數據孤島”向云時代的過度，企業的安全策略是做出了很多突破依靠單一防火墻的努力。例如，當前很多安全服務企業在依靠的”虛擬機＋旁路部署“的模式。但這樣的部署方式，雖說能將安全策略突破網管。但是，隨著企業應用負載在云時代的大幅增長，依靠旁路計算的成本則給企業帶來性能負擔?！芭月凡渴鹪斐傻男阅茇摀谠茣r代大大凸顯了出來?！绷质纻ケ硎?。

從原理上來說，無論是基于邊界網關的安全部署，還是”虛擬機＋旁路部署“的模式，都需要依靠在網絡邊界生成的安全策略來實現安全防護。為此，“傳統安全機制的最大問題就是穿過邊界防火墻的威脅就沒有辦法防止了。安全策略的最大困難不是生成，但是這種生成無法依照應用、devops的變化生成，安全策略調整無法與義務變化相一致?！?/p>

“傳統上，企業IT基礎架構安全性和業務的靈活性在傳統架構上勢必要有沖突，而新的架構需要安全策略適應網絡的靈活需要。而新的架構的實現核心就是軟件定義網絡?！崩顒傃a充道。

軟件定義網絡倡導的安全策略是以虛擬機為單位的，從而打造的是“虛擬機＋分布式防火墻”式的安全策略，正如云時代的數據移動、存儲都是以虛擬機為單位表現形式的。

“虛擬機＋分布式防火墻的安全策略以虛擬機為單位，拜托了傳統必須依靠IP地址的部署，從而可以依據企業業務的不同形式來靈活調整。表示，之所以可以這樣，關鍵在于VMware在hypervisor上部署了安全策略，從而可以通過nsx實現四到二層安全?！绷质纻ソ榻B。

最后，可以設想一個場景，倘若銀行大量使用虛擬桌面，這樣的架構特點在于應用集中存儲于數據中心。倘若數據中心一臺服務器中毒，則影響的幅度已經難以想象。

這樣來看，今天VMware倡導的以虛擬機為單位的重新定義的數據中心安全模型，應當是個非?，F實的問題了。