云安全联盟CSA大中华区主席李雨航：美国企业安全实践

从企业的角度我们先把历史回顾一下，从技术、商业、安全三个维度看问题。早期从60年代开始，美国的企业当时只有大存储机，我最开始是在IBM工作。在主机时代，从技术上面来讲，都是集中式储存，计算，终端是笨终端，网络都是私网，通过IBM网络来连接。从商业的角度看，企业投入非常的巨大，只有一些很大的企业有能力可以购买IBM机子，每一次升级比较的贵。大家对于安全比较的关注，大型主机这个时代，安全问题是非常好解决。把登陆的一些问题搞好，安全比较好做了。

到了PC转型，大家也开始采用互联网。商业就是卖许可证，成本降下来了，安全问题变得非常的严重。出现了病毒和黑客攻击，数据分散到了很多储存的地方，造成很大安全问题。靠物理安全，靠警卫解决不了这些问题。但是，经过多年企业的实践，总结了很多的经验，进入了大数据云计算的时代。这个时代实际上在后端是有中心化趋势。很多虚拟机，云计算中心是归成超级计算机，端这一块更厉害。每一个人有手机，有便携，以后可能还有物联网设备。这个终端越来越智能，量越来越大规模，从商务角度来讲，成本降的非常低。企业不仅使用计算资源，在座任何消费者，个人都是可以非常低价使用计算资源。那么，安全在这个时代就是变得更加的严峻。那么，安全的边界就会模糊，会消失。传统的信息安全，是防守不住的。

今天技术上面来讲，主要是有几个大的技术趋势，移动互联网，还有物联网，云计算，大数据。今后还要走向智能时代，万物互联，数据爆炸，机器学习，人工智能等新兴技术，还有很多技术会涌现，大数据，VR都是非常的火爆。云计算虽然出来的比较早，但是，现在新一代的技术，容器方面有很多新兴的技术，对于传统的IT，对于我们企业都会是一个颠覆性的技术。对于未来的发展，我是这样的理解，以后我们会出现一个超级的智能机器的计算模式。就像人一样的，我画了一个图。以前是大型主机分布式，以后就是非常的智能。机器人它的头脑就是由大数据支撑的，包括AI智能分析，云计算是一个心脏的作用，是一个引擎。那么，物联网设备有成千亿，都是超级机器人感官一样，移动互联网，包括以后的5G，就像一个神经，网络就是一个神经传递信号。那么，在这种情况下，实际上安全就会变得非常的重要。那么，安全，我打一个比喻，没有安全，这个人不管再怎么样有力量，再聪明，你有了问题，你就会对这个企业带来很大的风险。

那么，美国的企业他是在这种新的趋势下发现了很多的挑战。还有一些不完全全面，我随便选几个例子。比如说，社交网络，很多员工上班的时候，他也在社交网络上，大家也是一样的。一边儿上班，一边儿看着微信，这个就是一个风险。还有云计算，虚拟化，给企业带来很大挑战。数据要拿出去，大数据这个数据爆炸，这个数据给企业带来的风险。另外，还有互联网模式，是指企业要发布业务，现在非常注重这个速度，速度一定要非常的快。另外，是指外部合作。现在不可能有一个企业自己来完成自身的业务。一定要有合作的单位，供应商几十万，华为的供应商好几万。中国这个概念大一点，但是，美国叫做合规，是非常的重要。政府、还有行业、有很多强制性对于安全上的要求，对于企业必须的满足。另外，供应链，外包，整合，在微软，历史上经过了很多的并购，组合。最近是叫领兵，微软是重金把另并买下来了，以前有一个雅虎。买下来之前，这两个企业要融合，IT系统要打通，签这个合约以前，我们就开始把两个系统的网络连在一起，发现这个是非常非常的困难，非常有挑战性的工作。

还有移动的，还有新一代，在中国90后或者80后跟60后，可能在座也是有70后，跟这些工作方式，思维方式都不一样了。对于企业都是会造成不同的风险。还有物联网，企业使用移动设备。刚刚讲的这些条件会对企业带来非常大的风险。

美国企业普遍存在的一些风险，不是全部，主要是一些数据，对于企业保护数据是放在第一位的，是叫做静止的数据，数据资产是企业命根子，还有身份访问管理，软件安全性缺陷，还有遗忘失窃设备，还有传送数据。这些都是美国企业现有的安全风险，那么，实际上这些风险已经被黑客利用了。每年安全事件大幅度增加，这个数据泄露没有写在里面，这个数据也是成正比的。

在这种情况下，企业要做安全的。这个是很早提出来一个理念，在美国是受到业界广泛认同。在早期我们把安全防护，安全控制，一般是做在网络层面，企业有一个防火墙，布一些相应的安全措施。大家在一个墙的里面感到比较的安全。这种做法刚刚也是讲到了，因为编制的模糊消失，效率非常的低了。长期来讲，我们应该什么呢？越贴近，保护的目标，是越有效，成本也低，效率也高。这个数据最终目标叫做什么呢？自我保护。数据，本身是不可以保护自己的。是数据和应用要结合在一起，应用和数据安全将变得越来越重要，可能会比网络安全更重要一些。

我下面开始讲案例。一个是美国政府，在座有没有是政府机关事业单位的？大家都是企业的，稍微讲快一点。美国政府也算一个客户，非常大一个客户。美国政府它的职员，联邦政府有200多员工，有很多的部门，大家也是看到了，都是每一个部门员工分布的情况，美国政府IT的预算是比较的充足的。2017年，政府准备拿出将近900亿美金，安全也是其中的一部分，下面还会讲到，这个是一个奥巴马都是很熟悉了。边上是我在微软一个朋友，最近被奥巴马认定美国CIO，是负责美国联邦政府的IT，包括安全。

美国政府IT一些安全风险有主要几点。第一，技术上比较的落后，使用的版本都是比较的老旧。另外，他有很多的部门，部门之间是碎片化，而且，IT系统互相没有打通。另外，这200多万员工里面有专业知识非常的少。针对这个情况做了很多的安全的战略，措施。比如说，我这里不具体不都讲。一定要把漏洞和补丁管理好，这个是基本要求。企业打上补丁，把漏洞补住。实际上，大部分的安全的风险可能都会得到缓解。

最近的美国还出网络安全国家计划，是准备明年从IT规划里面拿出来190亿美金专门来做网络安全。刚刚讲到了美国以前是有一个安全顾问。但是，他最近对于安全非常重视，准备设计联邦首席信息安全官，向CIO汇报。大家也是看到了，政府在美国政府官员比企业少。所以，IT和安全，企业走在前面的，在企业安全和IT要领先。最下面是一些各部门的资金分配情况。因为在座没有太多的政府事业单位来的听众。

美国政府在新的技术趋势下，它是准备把传统的IT逐步地向云转型，它发表了一个战略，估计可能是要用10年的时间，战略已经发布了很早。年以前，2011年，因为白宫跟我们安全联盟关系非常好，是对接美国政府，欧洲区对接欧盟。亚太区对接亚太政府，我现在代表大中华区帮助中国的政府和企业来把国际的云安全经验介绍给大家。所以，美国白宫当时是把云安全联盟邀请了。然后2011年云安全联盟峰会上正式发布了美国的云计算战略，可能要到2020年，大部分美国的IT实际上运维在云计算的资源中，采用云服务的形式。右面大家也是看到了，美国各部门对云计算包括风险标准做了大量的工作，有很多工作就是云安全联盟帮助下进行的。

下面讲一讲微软的情况。在座的都是企业，微软可以给大家重点讲一下。微软是比尔盖茨创立的，我在微软的时候，他是CIO，是负责微软企业本身的IT。它是去年被奥巴马邀请去做美国的联邦政府的CIO，我是帮助做微软内部企业安全，我职责还有保护微软的产品安全，那个是另外一部分，就是网络安全。在微软网络安全和信息安全，也叫IT安全是分家的。是分成了两个不同的部门来做。昨天我在中国网络安全大会上给大家讲过，有去那个大会的比较清楚一些。很多大企业都是这样的，就把信息安全和网络安全是分开，华为也是这样的。我在华为现在是做网络安全。所以，信息安全，我是顾客，华为没有分享的。并员工年龄层是分布的比较的广，新员工有不同的文化，对于企业IT的要求都是不一样。采用的这些技术，还有邮件，全球化是100多个国家都是有办公室。将近1万名员工在海外，500多个办公室。对于这样一个大企业，要把安全做好是非常有挑战性的。

这个是信息安全的组织架构，这个名字按说是改了。是叫做风险管理，主要是信息安全，大家延用这个词语，在微软内部其他的部门，如果跟他讲风险管理，他就联系不到以前的信息安全这个部门的名称。所以，是把两个放在一起在这个组织里面，这个组织是比较大，有500人，他分了G2C合规风险，还有治理，这个是一个部门。还有对于新兴技术研究有一个部门，因为新兴技术挑战是对于IT冲击很大。还有安全运维，就是日常的运维工作，另外，业务连续性是非常的重要，也是在这个部门的职责。另外，对于应用还有IT基础设施的安全的评估，这个是专门有一个部门，就是评估测试保障没有漏洞。最后，还有一个工具部门，提供自动化的支撑。

安全管理实践，微软把数字资产分了三类。对于全员都要做好教育，这个对于每一个中国的企业，我相信也是非常的重要，我们因为要保护企业的数字资产数字资产要分类。高风险投入比较大，就是采取的安全保护措施比低风险，低敏感信息数据要采取更加好的防护。微软是分了三级，特别是根据对于业务的冲击，分级是比较好分的。关键怎么样识别这个资产？这个是困难所在，微软的经验是通过各种渠道，把识别资产的方式让员工熟练地掌握。通过物理的方式，我们有一个非常有效的一个尺子，每一个员工配一个尺子，可以拉来拉去的，它的资产一拉这个尺子可以知道结果，是属于哪一个类型。手机上面的自动化识别工具，还有外部网站，有很多这种自动化的工具，是帮助这些员工可以把这个资产识别好。微软管理工具是基于GRC这样一个平台之上，可以把刚刚讲的各个部门的企业、IT安全管理，都可以实现自动化。

这是微软跟美国政府一样的，也是要把全球IT要全面地向云转型，也是到2020年，大概通过混合云的模式，一部分的私有云，一部分的公有云，逐步把所有的IT的系统要签到云里面去。对于云计算，大家也是知道，安全是CIO和业务决策者的最重要的担心。微软的做法，一定先做安全合规，把安全合规做好，就可以把刚刚我讲的低敏感和中敏感的数据迁移到云中了。当然，高敏感的数据目前还是不可以放在任何云里面，还需要更先进的安全方案。这个图有各个国家，各个行业，还有各种组织对于云计算服务的一些安全要求，它是以证书的形式出现。微软是拿到了这么30多个安全合规的证书。大家看一下，右上角倒数第二个是CIC，是安全联盟的证书。当然，微软他只拿到了第一级，不如亚马逊，亚马逊是拿到第二级。还包括中国的阿里云，也是比微软拿到的级别要高。

最后的MCF，是微软IT部门自己根据自己的情况对于云计算提出的安全要求。制订一个安全框架，这个是当初在微软领导的一个项目。所以，大企业可以自己来制订对于云计算安全方面的一个需求，如果你没有这个能力，你可以找业界近似的安全需求。现在推出了27017，27018，这个是以安全联盟为基础，对于云计算的安全和隐私都提出了正式的需求。

我们再看一下消费化。端方面对于微软IT的一些冲击，这个微软的消费化，终端方面是分了4大部分。第一，企业的数据，因为有了网上很多其他的应用，可能从自己的企业内部转到了互联网上，有很多企业的数据从企业内消失的，到了互联网上去，主要是通过员工它自己的共享。比如说，大家是一部手机，你这一部手机既来做业务，可能自己私人用途也是在这个手机上。业务数据和私人数据可能就会混在一起，这个是一个风险。

还有应用。微软的企业，很多员工就自己去跑到外面采用一些外部的社交化，还有一些针对中小企业的一些IT应用，中国是微信，大家微信建一个群聊，聊本公司的工作。业务的数据又跑到了社交网络上去了。另外，还有管理。管理也是的，IT一般是采取中心化管理，有了移动互联网，很多管理系统不在IT部门控制之下了。当然，还有设备，不管使用苹果，安桌，还是其他的平板，这些设备IT部门都不可以制订策略统一管理，所以，造成了很大的困难。那么，针对这个情况，微软是先做了一个框架，对于消费技术。那么，我们这个框架是分了4部分。主要识别风险，基于风险这样一个框架。这种技术是公司鼓励的。跟公司战略配合，公司会鼓励这种消费技术，让IT拿出预算，拿出人力来做策略，要正式地支持。

左下角，员工可以用，但是，IT不支持你。比如说，安桌，你可以用，我IT部门不来支持你。有一些技术，IT可以作为一定的试点做支持。比如是Iphone，是一些单位标准，是要投入一定的力量先做一个试点，看一下以后放到里面来。这个技术对于企业安全危险太大了。IT一定要想办法禁止，我们可以从IT的策略，还有从技术角度，把它给挡住，可能是有一些风险很大的应用，我们不可以在企业里面用的。

微软最后一个，是叫做可视化的报告，对于业务决策者。对于这些义务的领导，它是会安全做的好还是不好，他们没有什么感觉。刚刚给大家讲了，安全好比是一个健康，健康到底好不好？可能是IT安全员自己有感觉，你很难跟领导讲清楚，你就可以采用这种可视化报告形式，把你的安全的健康的指数你呈现给你们的领导，呈现给业务决策人员。比如说在微软，健康指数。包括了补丁，包括了对于病毒的情况，还有数据中心，还有终端，各种各样的情况，我们用可视化方法呈现出来。未来，我们可以利用安全大数据卫星情报，生态感知，我们把这个做的更好，可以做成实时的。

那么，对于小企业来讲，我讲的微软这个方法并不一定使用。因为中小企业员工数量比较的少，你叫他拿很多的资金和这个不现实的。在美国比较好的实践，尽量地的采用云计算技术，有一个小公司，人是非常的少，他没有能力来做很多安全的事情。是采用云服务，把IT基础设计，还有很多管理交给云厂商只负责本身应用安全就可以了。这个公司成长很快，两年时间成为一个独角兽，从今年开始不可以算中小公司了。这个安全通过云服务的方式由企业可以低价获得。我在第二篇讲过云时代低成本。包括安全，在座这些企业今后都是可以低价通过云服务方式获得。亚马逊，华为，企业云，云服务商，它他们就是有义务为中小企业提供安全服务。把恐怖安全给中小企业解决掉。亚马逊，它是把安全已经打造进了公司的文化，从研发测试，就是研发和运维，他们是一体化的。就是团队和产品团队，实际上都是一个整体。另外，这个云是目前安全功能最多的，亚马逊不仅业务是领先，安全也是领先的。当然，其他的厂商，比如说，阿里云，微软云，华为企业云，可能很快就可以学习他们的先进经验，可以追上来。亚马逊还建立了生态体系，安全不是一家可以做的。亚马逊把业界所有的安全厂商，比较好的安全方案整合到自己的生态体系里面，客户可以根据你的需要服务少量费用，可以加不同的安全功能。因为亚马逊安全合规是做的最多，刚刚大家看到了微软是30多个，亚马逊是拿到了50多个认证。之后亚马逊虽然本身没有测试团队。雇佣了大量全球领先的乙方、第三方安全测试团队，对于它的安全做最后的那个。

最后讲一下中国企业特点，我回来了一年多。我感觉到了一个差异，不一定对，不对的化欢迎大家指出来。美国的员工非常的遵守安全规章制度，你企业定了一个安全政策，他一定是执行。中国的员工是什么？不是这样的。我举一个例子，右面这个图，我亲身的体会，这个图是在西雅图研究院，我经常开会，做会议培训。看一下上边写了一个，不要把吃的喝的带进来，因为我在门外面都是放了食品、饮料、让大家吃饱喝足听这个会议。美国有一个标志，非常守规矩，吃的喝的扔了进来。有一次交代了一下中国来的代表团成员参加会议。中国员工不听，吃的喝的都带到了会场，所以，企业IT安全策略我感觉是对中国员工是没有什么效率。中国并广告非常多，美国是非常非常的庆幸。中国的恶意软件非常多。还有美国黑客情况很厉害，攻击造成的后果是非常的大。但是，中国因为人口数量大，从事黑产人感觉很多。还有信息化，美国高度依赖信息化，中国感到信息化的程度还不高。另外，安全防护上，美国政府，不管是政府，大中企业，安全防护比较得到慰。在中国，我感觉防护不太到位。大家也是知道很多网站出了事情。实际上是很多厉害的黑客，并没有对价值不高的这些网站系统没有花力气攻击，要真的攻击，大家会有更多的问题的。

还有一个是法制的问题。我国法制环境还不尽完善，还需要其他相应的法规相应出台。这样对于企业有帮助。还有企业决策者，对于安全要有重视，拿出一定比例的预算来做安全防护工作。这些建议我就不仔细读了。谢谢大家给我机会分享一下美国企业的安全实践，预祝中国的企业安全能够尽早地赶上超过美国。

以上是51CTO.com记者从【WOT企业安全技术峰会】一线为您带来的精彩报道。一大波精彩内容报道正在袭来，敬请持续关注！ 

【编辑推荐】