問答時間：2020年10月08日

嘉賓簡介：

翟新元(人稱:老貓)：亞洲誠信CEO，數字證書領域的網際網路老兵。深耕於CA/PKI，專注於站點應用HTTPS安全加密傳輸的普及，主導了雲端自動化SSL證書模式的實現，使SSL證書從傳統的交付方式革新到雲端一鍵開啟HTTPS的精簡模式。

主持人簡介：

吳洪聲(人稱:奶罩)：騰訊雲中小企業產品中心總經理，DNSPod創始人，洋蔥令牌創始人，網路安全專家，域名及DNS技術專家，知名個人站長，中歐國際工商學院校友。

以下為對話原文整理：

吳洪聲：由於近期SSL證書有效時長再次縮短至398天，這一趨勢下，如何及時有效地應對頻繁的證書過期和更新？

翟新元：SSL/TLS 證書作為資料安全和隱私保護的安全標籤產品，在網際網路中被大量使用，但近幾年來，HTTPS安全事件仍然頻發，究其原因是因為企業缺乏專業的證書管理系統導致SSL證書使用無法實現全生命週期閉環管理，從而給企業帶來難以估量的財產和信譽損失。

為了提高SSL證書的使用安全，從 2020 年 9 月 1 日開始，蘋果、谷歌、Mozilla 的瀏覽器和裝置對有效期超過 398 天的新SSL/TLS證書不再信任。

縮短證書壽命好處固然有很多，但也使得SSL/TLS證書的管理愈發艱難。畢竟在2015年之前SSL/TLS證書的壽命足有五年之久，如今卻只有13個月；致使SSL/TLS證書管理的工作量激增。在資訊化高速發展的今天，企業擁有多個伺服器，每個伺服器可能需要多個證書，亦或是一個證書應用在不同的伺服器上，工作量之大可想而知。對於管理人員來說，手動跟蹤部署到數百臺伺服器的數千個證書的過期日期是相當複雜且艱難。再加上幾乎每年都要進行一次證書申請，每次都要進行正常的商務流程以及企業內部的稽核流程，不僅繁瑣而且週期（從簽發到續簽、替換和吊銷）非常長，這些都給安全運維人員帶來了很大的挑戰。

在自動化運維已成為必然趨勢的背景下，使用專業的HTTPS全生命週期閉環管理系統來解決證書管理的問題無疑是降本增效的好策略，今年我們釋出的雲化 SaaS 服務平臺CertCloud，可以全面解決SSL證書管理難題，真正實現“證書即服務，讓證書永不過期”，具有：多年期證書自動續簽、快速自動驗證、整合 ACME 協議部署、企業組織資訊預稽核等功能，將繁瑣的SSL證書管理工作實現最大程度的精簡，讓HTTPS更快更輕鬆也更安全。

吳洪聲：據報告顯示，90%的網路攻擊事件由一封釣魚郵件引起。2019年，全國企業級使用者共收到約424.3億封帶毒郵件，同比增長了108.36%，平均每天約有1.2億封帶毒郵件被髮出和接收。同樣，釣魚郵件總量超過340億，同比增長了68.5%。國內郵件安全整體形勢依然不容樂觀；特別是電子商務、醫療、汽車等行業近年因郵件欺詐而蒙受巨大損失的案例頻頻發生。面對這種現象，我們應該如何應對？如何建立完善的電子郵件安全防護體系？

翟新元：毋庸置疑，電子郵件仍是目前日常辦公中必不可少的溝通方式。從某種意義上來說，它更像是一個“官方文書”，更具有“公信力”。正因如此，郵件系統中往往儲存著企業及機構的大量敏感資訊，一旦洩露將造成重大的安全事故。當年令業界譁然的「希拉里郵件門」就是非常典型的事件之一。電子郵件通常基於明文協議傳輸，沒有加密、無法驗證郵件傳送者身份，非常容易被攔截、攻擊、篡改或仿冒。解決此類問題最有效的辦法就是採用S/MIME郵件安全證書，通過資料加密和身份認證，簽名技術來確保郵件在通訊傳輸過程中的保密和安全，從而規避釣魚攻擊造成的影響。

要建立完善的電子郵件安全防護體系，不僅僅需要S/MIME郵件安全證書，還需要從電子郵件客戶端、郵件伺服器端、郵箱系統服務商等全方面採取相應的技術措施，亞洲誠信也一直致力於給客戶提供更專業的企業郵件安全證書解決方案。

吳洪聲：隨著產業網際網路發展步入快車道，各行各業數字化升級門檻降低，資料交流更為頻繁，安全問題隨之而來。網路安全作為企業的生命線，面對不斷頻發的資訊保安事件及潛在的安全威脅，企業應該如何保障自身的網路資訊保安呢？

翟新元：隨著國家和網際網路環境對網路安全的要求提高,傳統的安全策略已無法滿足企業需求。企業的關注點也逐漸從體系建設、基礎網路安全向資料安全、業務安全方向轉變。

面對日益擴大的攻擊面和日益複雜的安全威脅，企業要堅持安全即服務，全面構建智慧型、主動性的安全保障體系，提升實戰化、體系化、常態化的安全運營能力，防範於未然，加大安全投入，深入推進安全技術和產品創新，積極應用人工智慧、大資料、雲端計算、物聯網等技術，運用創新安全技術化解日趨複雜的安全風險，將安全能力融入到業務系統的各環節之中，提升整體網路安全等級。

吳洪聲：據2019年的相關資料統計，大約43％的網路攻擊針對中小企業。儘管被攻擊企業如此之多，但大部分人只覺得只有大型公司的網路安全才值得關注，對於這種現象你有什麼看法呢？

翟新元：大型企業通常具有相對專業的安全管理意識和充足的預算，管理者也會重視對網路安全的投入，選購大量的安全防護裝置。對於大型企業來說，網路安全陣地失守的概率相對小，即便發生了網路安全事故，其承受風險能力也遠遠大於中小企業。也就是說，對大企業來說網路被非法入侵可能是一場小感冒，但對特別依賴業務資料資訊的中小企業來說可能是滅頂之災。

當前網路犯罪頻發，多數的大型企業已經擁有了自己的網路安全部門，或者和成熟的網路安全服務商進行了緊密的合作。相對於資源充裕與安全防護投入巨大的大型企業來說，中小企業的安全投入通常比較薄弱，與外部進行資料通訊，安全防護措施少之又少加上網路安全意識匱乏，網路安全人員缺失，給了很多不法黑客可乘之機，這使得中小企業更易淪為網路攻擊的受害者。所以，中小型企業越來越多地面臨與大型企業相同的網路安全風險，同樣需要構建全面的安全防護體系，特別是要把資料安全和隱私保護作為網路建設的重中之重。

吳洪聲：程式碼簽名機制是幫助開發者和終端使用者建立安全信任的軟體釋出環境和使用環境，但在實際應用中，存在著諸多安全管理問題和安全風險，極易造成重大財務損失以及品牌損害。比如去年三星SmartThings 敏感的原始碼、證書和金鑰一起洩露，其中包含了iOS和Android應用的私有證書。因程式碼簽名產生的安全管理風險難題應該如何解決，能簡單談談嗎？

翟新元：傳統的程式碼簽名證書，具有標識軟體或程式碼來源以及軟體開發者的真實身份，保障軟體不被篡改，保障簽名後的軟體下載安裝時不會彈出安全警告的作用，但是程式碼簽名證書在實際應用中，存在著諸多問題和安全風險。如：簽名金鑰容易被盜、無法跨區域共享金鑰、沒有簽名問責制和管理權利、無法跟蹤或審計簽名活動等。

保持強大的網路安全實踐，將證書和相應金鑰儲存在安全的環境中顯得尤其重要。這就需要一套更安全可靠的程式碼簽名系統，具備不可複製、抗抵賴、與通用系統整合使用的便利性。

亞洲誠信自主研發的VSign遠端程式碼簽名服務系統，實現跨地區跨部門多人簽名，不僅保護證書和私鑰的安全，所有的簽名活動都是可追蹤的，確保問責制和合規性。另外，雲端伺服器通過令牌實現證書共享，證書擁有者不必擔心證書的安全問題，請求籤名的使用者可以體驗到無感知的簽名服務。另外基於PKI的強身份認證技術和國家密碼局認證的硬體加密機，打破傳統的許可權管理，有效保護程式碼完整性和開發者信譽。

吳洪聲：沒有網路安全就沒有國家安全。在我國，隨著“網際網路+”的戰略提速，通過網際網路辦理業務已經十分普遍，尤其是電子政務業務大部分已經遷移到網際網路，但反觀政府網站的安全建設卻相對滯後，政府入口網站被篡改、敏感資料洩露等事件層出不窮。對於政府網站安全機制構建你有何看法？

翟新元：政府入口網站作為“政府形象”的標誌之一, 是釋出政府資訊、提供線上服務、與公眾互動交流的重要平臺和視窗，卻常常成為一些不法分子的重點攻擊物件，入口網站一旦被篡改或加入一些敏感的顯性內容,會引發較大的負面影響,嚴重時甚至會造成政治事件。

早在2017年國家釋出的《政府網站發展指引》就對全國政府網站的安全建設提出明確規範，部署必要的安全防護裝置，應對惡意攻擊、網頁篡改和漏洞利用等風險，保障網站安全執行；定期對政府網站開展安全檢測評估；建立安全監測預警機制，實時監測網站的硬體環境等提升政府網站的全防護能力。

保障網站安全的基礎防護措施上，應當採用SSL/TLS協議實現網路通訊加密，身份認證，防止資料被竊取或篡改，提升政府網站防篡改、防劫持、防洩密的能力。

在便利和風險並存的網際網路中，實時監測網站安全、監控網站資料，對於運維管理人員難度很大。DNSPod聯合亞洲誠信推出的SSLPod， 是一款HTTPS網站安全評級管理+監控告警系統，它是基於SaaS的架構，使用非常簡單，只要你輸入網站域名和埠，就可以對站點展開全面的HTTPS監控。一旦發現異常情況，使用者可以通過自定義的微信、電話、簡訊等各種告警方式瞭解到自己的網站是否出現了不安全的情況。

吳洪聲：我國網路基礎設施和核心技術裝置大量採用國外軟硬體，SSL證書作為網路安全的重要一環，幾乎被國外廠商壟斷。在日趨緊張的國際關係下，一旦SSL證書斷供或者吊銷，我們將如何應對？

翟新元：數字證書是網路空間信任體系的基石。目前，我國網際網路基礎通訊安全幾乎依賴於國外CA簽發的SSL證書，如果出現吊銷或斷供等極端情況，電子政務系統、銀行支付系統、移動支付系統、電子商務系統以及各類重要領域的網站或資訊管理系統，將面臨大規模訪問故障和巨大安全風險，尤其是對我國關鍵資訊基礎設施安全將造成毀滅性的打擊。

近年來，我國陸續頒佈的《網路安全法》《密碼法》等法規政策，都對採用商用密碼技術實現資料保密性、完整性、可用性等方面提出了相關要求，在應用環境不可控的情況下，使用自主可控的國產密碼技術加密資料，是保護我國網路資訊保安最有效的方式。

在目前的形勢下，必須儘快推動國產數字證書的應用和普及，提高國產數字證書的市場佔有率。針對可能出現的“斷供”視窗期，要有技術能力實現國際SSL證書無縫切換到國產SSL證書的應對方案，亞洲誠信致力於推廣全套的國密SSL證書應用解決方案，連續推出支援國密演算法的瀏覽器，支援國密演算法的自適應閘道器HSG(HTTPS Security Gateway),支援金融銀行、電子政務、教育、交通運輸、民生保障等關鍵領域進行國產SSL證書以及國密演算法升級改造。

吳洪聲：國密SSL證書現在落地和應用情況如何？何時才能在一定程度上擺脫對國外密碼技術和產品的依賴，建立自主可控的網路安全環境？

翟新元：目前，國密演算法尚未實現廣泛相容，使用率非常低，在Chrome、Safari等主流瀏覽器、作業系統等應用環境中不受信任，我國也尚未形成支援國密演算法的基礎軟體應用生態，在實際應用中很難真正落地實施。在面向開放網際網路的網站伺服器上，採用基於國密演算法的SSL證書實現HTTPS加密，將直接導致網站系統在使用者端無法正常訪問，出現報錯或無法連線等情況。

部署基於國密演算法的HTTPS加密，需要建立從數字證書、瀏覽器到伺服器的國密全生態應用環境，確保國密演算法全流程應用閉環；逐步實現同步相容全球瀏覽器，確保網站系統的可用性和全球通用性，只有兼顧國密合規和全球信任的解決方案才能真正落地實施。

吳洪聲：5G已經逐步走“近”我們的生活，但現在的 4G 網路依然無法完全消除現有的安全風險，仍舊會遭受到垃圾郵件、惡意軟體、資料和服務竊取等各種威脅。在安全風險管控上怎麼為5G鋪路？5G網路下我們又會遇到哪些新的安全問題？

翟新元：我國5G網路的建設與發展需要在推進過程中重視資訊保安問題，在技術層面，需要進一步加強網路入口管理、各層功能的實時測試和監控，並構建有彈性的網路結構。在管理層面，需要設計高效的安全運營管理模式。實行系統性、差異性的安全保護、統一的端到端的身份認證、加強邊緣計算的安全防護、進一步優化網路安全標準等為5G安全鋪路。

當我們享受5G所帶來的巨大賦能時，前所未有的安全風險也將隨之而來，一是，5G以“低時延+高可靠”的特性，與車聯網、遠端醫療、工業自動化、智慧電網等重要垂直行業結合時，網路攻擊物件及權益進一步擴大；二是，5G支援“大連線業務”，將更多關鍵基礎設施和重要應用架構在其上時，這些高價值目標或將吸引更大的攻擊力量——國家級黑客入場；三是，5G打破的網路邊界，進一步實現網路世界和物理世界融合時，針對虛擬世界的攻擊都將變成物理性傷害，網路攻擊的影響力指數級暴漲。

吳洪聲：隨著近幾年國際關係的轉變，在資訊保安和網路安全領域國際市場格局是否會有新一輪的洗牌？我們強調核心技術國有化，未來我國在安全領域的發展前景會是怎樣的？

翟新元：當前，全球資訊科技正在發生第三次革命，資訊科技、資訊產業、網路安全等將重新“洗牌”，全球化的網路安全將出現“新格局·新挑戰”。

各國在網路空間對抗態勢進一步加劇下，網路安全威脅和挑戰愈加嚴峻，更需要提升自主安全產品研發實力，構建自有核心技術生態，增強我國網路空間話語權。

"沒有網路安全就沒有國家安全"已上升為國家戰略，未來，在我國國家安全提升的大形勢下，資訊保安領域無論從技術、服務，還是管理水平，必將取得實質性的突飛猛進的發展，隨著數字化及人工智慧不斷深入，新技術新業態不斷湧現，大資料，雲端計算、物聯網、工業網際網路等持續深化，區塊鏈、5G、IPV6等應用普及，政府、企業、個人在網路安全保障方面的投入都將不斷增加，產業發展的驅動力強勁;多重利好因素將促使我國網路安全行業市場規模保持著較快的增長。

吳洪聲：如今我們身處萬物互聯的時代，社會逐步從“資訊化”向“智慧化”轉變。在人機互動、萬物互聯的底層，潛藏著哪些安全需求？在這樣的大背景下，為網路安全帶來了怎樣的發展機遇？

翟新元：萬物互聯，人機合一，很多人會覺得這是一個比較未來的概念，隨著萬物互聯時代的到來，人類正在走向智慧時代。數字和可信產業的支撐、使用者資料的保護變得異常重要，需要利用密碼在身份鑑別、資料加密和信任傳遞等方面來維護物聯網的安全秩序。另外，身份認證、訪問控制、入侵檢測、隱私保護、金鑰管理等也是需要關注的安全防範能力。

隨著萬物互聯到來，安全的外延和內涵將進一步擴充套件，安全帶來的挑戰將更大，安全需求也將更大，外部安全將圍繞法律合規和技術上的挑戰，內部安全將圍繞控制理念和形式有效性的挑戰。同時促進加快數字身份基礎設施建設，加快數字身份技術的落地應用，打造數字身份以及可信產業發展的新業態，把智慧城市、智慧社會的建設推向新的高度。

吳洪聲：十年前，智慧手機還沒有廣泛普及，Windows 7才剛剛釋出，網路安全更是一個小眾的圈子。這十年風風雨雨，網路安全逐步合規化、產業化，從一座孤島發展成了一自行其道的小世界。再過十年，網路安全會有怎樣的發展，能聊聊嗎？

翟新元：未來10年，將是網路安全產業爆發式發展的黃金十年，網路安全產業迎來歷史性風口。

1. 國內網路安全公司的差異化，更多會體現在垂直細分領域的專業技術研發革新能力。

2.自主創新技術、安全能力建設將成為企業發展的重要戰略。

3. 人工智慧、大資料、雲端計算、物聯網等技術不斷深入應用於網路安全。

當然，亞洲誠信會始終深耕於CA/PKI與數字證書領域，心懷星辰和大海，砥礪前行，致力於守護網路資料安全。

欄目介紹：

大家好，我是吳洪聲。

不知不覺，DNSPod十問這個欄目，已經做了第十九期。本來這個欄目叫洪聲十問，一期十個問題。然而細心的讀者可以發現，問題逐漸變為十一問，十二問。因為在實際採訪過程中我發現，十個問題的答案不足以將嘉賓思考上的高度展示給大眾。

此外，這個欄目受邀嘉賓的領域也在逐漸的擴大，從域名圈，站長圈到程式設計師圈，創業者圈。作為有著豐富行業經驗的大拿們，他們在這個欄目留下了他們的真知灼見。比如易名中國金小剛說的：“別想著持有對社會有不良影響的域名，這是一個底線。”比如CSDN創始人蔣濤說的：“對於一個技術驅動的公司而言，不斷更換新人並不是好事，技術要有一個積累的過程，應該鼓勵這些技術人去提升，對技術人員的回報或薪酬、等級要相應地跟管理平行。”

未來我們希望這個欄目的影響力會覆蓋更加多元的受眾。把更多正確的理念去對外傳遞。所以也歡迎各位在評論區留下你想看到我對話哪位嘉賓，還有你想問的問題，我們邀請你共同成為“吳洪聲十問”欄目的提問者，發聲者。（欄目統籌：趙九州責任編輯：張潔 胡瓊文）

SMB

騰訊雲中小企業產品中心

騰訊雲中小企業產品中心（簡稱SMB），作為騰訊雲體系中唯一專業服務於8000萬中小企業的業務線，致力於為中小微企業提供全面完善貼心的數字化解決方案。產品線覆蓋了企業客戶從創業起步期、規範治理期、規模化增長期、戰略升級期等全生命週期，針對性的解決企業的資訊化、數字化、智慧化的生產力升級需求。本中心還擁有兩大獨立騰訊子品牌：DNSPod與Discuz!，在過去15年間，為超過500萬企業級客戶提供了強大、優質、穩定的IT服務。

SMB團隊成員大多都有過創業經歷，有獲得過知名VC數千萬投資的，有被一線網際網路巨頭以數千萬全資收購的，也有開設數十家分公司後技術轉型而失敗倒閉的，我們成功過，也失敗過，我們深知創辦企業的難處與痛點，深刻的理解中小企業該如何敏捷起步、規範治理、規模化增長與數字化升級發展，我們會用自己踩坑的經驗給出最適合你的答案。

騰訊雲中小企業產品中心，助力中小企業數字化升級的好夥伴。

想了解更多官方資訊？

掃描阿D二維碼邀您加入DNSPod交流群