2016年6月24日，由51CTO.com主辦的【WOT2016企業(yè)安全技術(shù)峰會(huì)】在北京珠三角JW萬豪酒店召開。本屆大會(huì)聚焦企業(yè)安全技術(shù)，共設(shè)置11大技術(shù)專場。來自云安全聯(lián)盟CSA的大中華區(qū)主席李雨航先生給大家?guī)砹酥黝}為《美國企業(yè)的安全實(shí)踐》的精彩主旨演講。他分享了當(dāng)前新興技術(shù)趨勢，全球企業(yè)普遍面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)，美國客戶是怎樣應(yīng)對的，并以政府客戶(美國聯(lián)邦政府)，大企行業(yè)標(biāo)桿(美國微軟)，及某美國中小企業(yè)為案例，介紹了他們的部分***實(shí)踐，***對中國企業(yè)與國際和美國企業(yè)的差異作了對比和建議。

演講結(jié)束，51CTO記者在***時(shí)間采訪了他，就云安全聯(lián)盟的概況及中國企業(yè)的安全問題進(jìn)行了深入交流。

【嘉賓簡介】

李雨航，云安全聯(lián)盟大中華區(qū)主席/協(xié)調(diào)司司長，華為全球***科學(xué)家/技術(shù)專家(網(wǎng)絡(luò)安全)，原微軟全球***安全架構(gòu)師/***信息安全官，在微軟有超過15年企業(yè)IT安全、網(wǎng)絡(luò)安全、和云安全工作經(jīng)驗(yàn)，原美國政府NIST(國家標(biāo)準(zhǔn)技術(shù)局)云計(jì)算/大數(shù)據(jù)安全顧問，原IBM全球服務(wù)***技術(shù)架構(gòu)師， 國際云安全學(xué)術(shù)大會(huì)主席兼西安交大院士級(jí)教授/華大博導(dǎo)/北大南郵教授。

云安全聯(lián)盟的發(fā)展概況

據(jù)李雨航介紹，CSA是一個(gè)國際行業(yè)和標(biāo)準(zhǔn)組織，自2009年在RSA大會(huì)正式成立，目前在全球共有四大區(qū)，分別是美洲區(qū)、歐非區(qū)、亞太區(qū)及大中華區(qū)。該組織向企業(yè)會(huì)員提供服務(wù)，現(xiàn)在會(huì)員大約有300家來自全球500強(qiáng)中的科技公司，還有很多的安全公司，比如：亞馬遜、微軟、英特爾、谷歌、阿里云、華為等大公司。其在全球有7萬多的個(gè)人會(huì)員，其中中國有一千多個(gè)個(gè)人會(huì)員，近百個(gè)地方分會(huì)，近千位業(yè)界資深安全專家。CSA以安全研究為基礎(chǔ)，對所有的新興技術(shù)安全進(jìn)行前期的安全研究及探索工作，安全專家在30多個(gè)工作組里做30多個(gè)安全研究項(xiàng)目。很多的安全研究成果被業(yè)界廣泛認(rèn)可，例如CSA云安全指南，STAR認(rèn)證，CCSK。

對于個(gè)人會(huì)員，CSA提供很多活動(dòng)機(jī)會(huì)，幫助他們學(xué)習(xí)***的技術(shù)發(fā)展趨勢和技術(shù)知識(shí)，甚至包括新技能培訓(xùn)。想要成為中國的個(gè)人會(huì)員很簡單，只要關(guān)注云安全聯(lián)盟CSA公眾號(hào)(csa_china)，就會(huì)自動(dòng)成為CSA中國會(huì)員。

CSA研究范圍包括眾多的新興技術(shù)，例如物聯(lián)網(wǎng)安全框架、大數(shù)據(jù)安全威脅分析、量子安全研究，以及對新一代云計(jì)算安全的研究等。目前，大中華區(qū)CSA正在制定產(chǎn)品級(jí)的云計(jì)算大數(shù)據(jù)技術(shù)安全標(biāo)準(zhǔn)，對手機(jī)移動(dòng)應(yīng)用的安全檢測也做了標(biāo)準(zhǔn)和方法的研究工作。

中國企業(yè)安全建設(shè)亟待加強(qiáng)

李雨航表示，在今天的WOT2016企業(yè)安全技術(shù)峰會(huì)上，他選擇主題為《美國企業(yè)的安全實(shí)踐》的演講，主要是因?yàn)槊绹腎T化走在了世界前列，不管是從IT的管理還是技術(shù)層面，都有很多好的經(jīng)驗(yàn)。于是他想通過將美國的一些先進(jìn)的經(jīng)驗(yàn)介紹給中國的同行，希望中國的同行能夠了解，有好的經(jīng)驗(yàn)可以借鑒，從而少走彎路。

中國企業(yè)與美國企業(yè)面臨的安全威脅大部分是相通的，只是美國的IT化程度比較高，相對來說，美國對安全比較重視，在法規(guī)和公司的策略標(biāo)準(zhǔn)上都比較健全。現(xiàn)在隨著云計(jì)算等新興技術(shù)的發(fā)展，中國有彎道超車的機(jī)會(huì)。

企業(yè)的安全防護(hù)一方面依賴于安全廠商的產(chǎn)品和服務(wù)，一方面也應(yīng)該認(rèn)識(shí)到，企業(yè)的安全責(zé)任是不能外包給服務(wù)商的，盡管服務(wù)商能夠滿足企業(yè)的安全要求，企業(yè)自身也是有責(zé)任的，需要經(jīng)常培訓(xùn)員工的安全意識(shí)，并以管理和技術(shù)手段削減內(nèi)部惡意人員威脅造成的風(fēng)險(xiǎn)。企業(yè)的安全，需要企業(yè)中每個(gè)員工來構(gòu)建。尤其對于資金不足的中小企業(yè)來說，在加強(qiáng)員工安全意識(shí)的同時(shí)，需要借助外部第三方的安全公司來加強(qiáng)風(fēng)險(xiǎn)管理。

***，對于企業(yè)的安全建設(shè)，李雨航給出了以下幾大建議：

•對健全法制企業(yè)要發(fā)聲，協(xié)助政府增大打擊黑產(chǎn)力度。

•寬進(jìn)嚴(yán)出，加強(qiáng)對安全狀況監(jiān)測，對違規(guī)人員問責(zé)。

•設(shè)立CISO或?qū)Ｂ毎踩藛T，培養(yǎng)安全戰(zhàn)略/管理型人才。

•增加預(yù)算雇傭外部第三方專業(yè)安全公司在技術(shù)上把關(guān)。

•利用新興技術(shù)的力量(安全云服務(wù)，大數(shù)據(jù)分析，威脅情報(bào)/事態(tài)感知…)。