【51CTO.com原創(chuàng)稿件】由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院主辦、51CTO承辦的"第七屆中國(guó)云計(jì)算標(biāo)準(zhǔn)和應(yīng)用大會(huì)"于2018年1月4日至1月5日在北京成功召開。本次大會(huì)全面展示我國(guó)云計(jì)算國(guó)家標(biāo)準(zhǔn)研制工作的成果，解讀國(guó)內(nèi)云計(jì)算產(chǎn)業(yè)政策，報(bào)告云計(jì)算標(biāo)準(zhǔn)化工作的重要進(jìn)展。同時(shí)，大會(huì)還重磅發(fā)布了國(guó)家開源領(lǐng)域的標(biāo)準(zhǔn)化產(chǎn)物，分享了云計(jì)算最新的技術(shù)趨勢(shì)和應(yīng)用創(chuàng)新成效，并頒發(fā)了云計(jì)算產(chǎn)品及解決方案第五批測(cè)評(píng)證書。此外，第二屆中國(guó)優(yōu)秀云計(jì)算開源案例評(píng)選結(jié)果也在大會(huì)現(xiàn)場(chǎng)公布。

在萬物互聯(lián)和數(shù)字化轉(zhuǎn)型蓬勃發(fā)展的時(shí)代，企業(yè)乃至整個(gè)產(chǎn)業(yè)的入云需求日漸迫切。隨著云計(jì)算產(chǎn)業(yè)配套政策的落地，云計(jì)算逐步從互聯(lián)網(wǎng)企業(yè)向傳統(tǒng)行業(yè)滲透。產(chǎn)業(yè)轉(zhuǎn)型與創(chuàng)新分論壇直擊產(chǎn)業(yè)轉(zhuǎn)型痛點(diǎn)，探討云計(jì)算服務(wù)能力如何加速傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)。
 

[[216502]]
百度專家郝軼

在1月5日的云網(wǎng)安全與存儲(chǔ)分論壇上，百度專家郝軼與我們分享了他在工作中得到的寶貴經(jīng)驗(yàn)。談到云計(jì)算安全的標(biāo)準(zhǔn)化問題，郝軼總結(jié)為三條，第一條叫做如果這個(gè)標(biāo)準(zhǔn)是管理要求的話，我們就關(guān)注它的過程。第二條，如果是個(gè)技術(shù)要求，我們就去關(guān)注它保護(hù)的對(duì)象。第三條，如果這個(gè)標(biāo)準(zhǔn)談到了比如說云計(jì)算，一個(gè)具體的方向，我們就去關(guān)注這個(gè)場(chǎng)景的特點(diǎn)，當(dāng)他談到一個(gè)場(chǎng)景我們就去關(guān)注他的場(chǎng)景特點(diǎn)。

以下是演講實(shí)錄：

各位領(lǐng)導(dǎo)，專家老師，大家上午好。我是百度的郝軼，由我來給大家講這次的內(nèi)容，也是前面提到的《云安全的法術(shù)》，如果是西方的法師我們通過哈利波特以及一些游戲的了解，你會(huì)發(fā)現(xiàn)他們喜歡扔一些火球、雷電這些東西，他更像是一個(gè)搞化學(xué)工程的科學(xué)家，如果是東方的法師我們會(huì)發(fā)現(xiàn)他們更喜歡去做一些比如什么夜觀天象、呼風(fēng)喚雨這些事，他更像是關(guān)注于天文和氣象，發(fā)現(xiàn)天文和氣象規(guī)律，然后并把它應(yīng)用起來，或者說喜歡論道講法，把這些方法論整理并宣傳出來的這些人。今天我們這次大會(huì)的標(biāo)題是云計(jì)算標(biāo)準(zhǔn)和應(yīng)用大會(huì)，我其實(shí)在這里就想說的是，關(guān)于云計(jì)算安全他相關(guān)的方法和技術(shù)，也就是云計(jì)算安全的標(biāo)準(zhǔn)化應(yīng)用，也就是我這里面法術(shù)的部分。

在講到云計(jì)算安全的標(biāo)準(zhǔn)和應(yīng)用的話，我要回顧一下我們目前相關(guān)的標(biāo)準(zhǔn)和方法，我們發(fā)現(xiàn)前面邵處也講了，其實(shí)當(dāng)我們關(guān)注云計(jì)算安全的時(shí)候，我們所使用的標(biāo)準(zhǔn)和方法以及相關(guān)的技術(shù)，其實(shí)不單是云計(jì)算的，也包括跟云計(jì)算有關(guān)的，比如他底層的一些內(nèi)容一些傳統(tǒng)的網(wǎng)絡(luò)邊界，也包括云計(jì)算上面的數(shù)據(jù)還有那些IT服務(wù)管理等等這些，我認(rèn)為他都相關(guān)。

在我的日常工作當(dāng)中我經(jīng)常接觸到的一些標(biāo)準(zhǔn)，比如說常見的有CCRA云參考框架，一個(gè)基礎(chǔ)的來介紹云安全或者云計(jì)算整體架構(gòu)的這么一個(gè)標(biāo)準(zhǔn)，有的標(biāo)準(zhǔn)講架構(gòu)，有的標(biāo)準(zhǔn)講了一些要求，比如國(guó)家推薦標(biāo)準(zhǔn)GBTA31167和31168，分別講了我們?cè)品?wù)商應(yīng)該如何向政府行業(yè)提供安全的云的服務(wù)，也講了作為政府部門如何要求云服務(wù)商提供什么樣的安全措施這類的標(biāo)準(zhǔn)，他提了一些在技術(shù)和管理上面的要求，同時(shí)我們有一個(gè)非常熟悉的標(biāo)準(zhǔn)還經(jīng)常用到的，就是我們等保，像1.0時(shí)候的GBTA239-2008信息安全等級(jí)保護(hù)基本要求，在我們有了等保2.0，但沒有發(fā)布，說要合在一起，在沒合的時(shí)候會(huì)分GBTA2239.1和網(wǎng)絡(luò)等級(jí)保護(hù)和點(diǎn)2，在這類的等級(jí)保護(hù)基本要求里面，我們就會(huì)發(fā)現(xiàn)他也要分類的，在等保1.0的時(shí)候分技術(shù)和管理，其中技術(shù)部分分為物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)，到2.0的時(shí)候有了一些調(diào)整，我們把它叫做物理和環(huán)境，網(wǎng)絡(luò)和通信，然后以及設(shè)備和計(jì)算還有應(yīng)用和數(shù)據(jù)，大家發(fā)現(xiàn)說其實(shí)無論怎么樣的分類內(nèi)容是差不多的，就像前面邵處剛剛講過的，他的第九頁講了說有邊界，有網(wǎng)絡(luò)，有終端，有應(yīng)用和數(shù)據(jù)。

我們會(huì)發(fā)現(xiàn)他有各種各樣的分類，同時(shí)我們也會(huì)去兼顧一些國(guó)際上的標(biāo)準(zhǔn)，當(dāng)然我們也通過《翻譯法》和一些修改很多轉(zhuǎn)化成了國(guó)標(biāo)，比如我們常見的，在座的各位如果做信息安全其實(shí)都知道，ISO27001信息安全管理體系，這個(gè)里面他會(huì)提到我們有方針、策略、組織和人員，然后相關(guān)的一些流程和它若干個(gè)相關(guān)的流程和控制措施，是這個(gè)樣子，當(dāng)然這有一些對(duì)具體場(chǎng)景化的標(biāo)準(zhǔn)，比如27017講的是云環(huán)境下的安全管理體系，27018講的是云環(huán)境下的個(gè)人標(biāo)識(shí)信息的保護(hù)，這都只是部分的我們經(jīng)常用到的東西，我做一些簡(jiǎn)單的介紹，還有如果做行業(yè)的話，做云計(jì)算安全還有國(guó)際與安全聯(lián)盟的相關(guān)內(nèi)容，CSASTAR里面有認(rèn)證聯(lián)盟，會(huì)對(duì)應(yīng)著國(guó)際上的什么加拿大的，一些行業(yè)的。比如說支付寶行業(yè)，他里面會(huì)引用墨西哥的一些標(biāo)準(zhǔn)，似乎我們?nèi)粘９ぷ鳟?dāng)中這些標(biāo)準(zhǔn)的內(nèi)容還是比較多的，下面這個(gè)表是因?yàn)槲蚁肴绻归_的話有好幾百個(gè)，已發(fā)布的安全位有150多，在研的還有150多，這些都是近期我在網(wǎng)上下載到的就是我們的這些標(biāo)準(zhǔn)，這就出現(xiàn)了一個(gè)問題，剛才我講的那些好多，我自認(rèn)為我小的時(shí)候差不多算過目不忘，記憶力還可以，但是它已經(jīng)如此的多，吳老師這一組人他們?cè)诜e極努力的為我們總結(jié)、歸納形成標(biāo)準(zhǔn)，也就總結(jié)了不到三百個(gè)到現(xiàn)在，算上沒發(fā)布的，我在后面學(xué)習(xí)和應(yīng)用，把這些標(biāo)準(zhǔn)有一部分是參考的，就是說我工作當(dāng)中，如果我去做規(guī)劃，做設(shè)計(jì)，我可以參考這些方法論和要求，但是有一部分標(biāo)準(zhǔn)他是規(guī)范，是要求，是涉及到合規(guī)，涉及到我必須把它做掉的，問題是在座的各位可能一部分人跟我一樣，我們都要去用這些標(biāo)準(zhǔn)，或者去遵守它，我們?cè)趺茨馨讶绱硕嗟臉?biāo)準(zhǔn)在實(shí)際的工作當(dāng)中用起來，就是我今天要講的內(nèi)容之一。

我希望在介紹的過程當(dāng)中能一方面像我這樣用標(biāo)準(zhǔn)的人用起來，另一方面我還知道有一些乙方的人，把我們梳理歸納的內(nèi)容把它的價(jià)值傳遞給我們的用戶，大家要盈利，怎么把它賣出去。

現(xiàn)在我講了這么多的標(biāo)準(zhǔn)情況，下面我就要講是不是有一種方式，或者我們能找到一些規(guī)律，能夠快速的了解這些標(biāo)準(zhǔn)，好像我現(xiàn)在在前面講的時(shí)候，就像已經(jīng)讀過了一樣，但其實(shí)不一定有精力去讀，因?yàn)槲宜懔艘幌?，以正常的閱讀速度，要想細(xì)讀的話要一個(gè)星期不一定讀的懂，但這么多我還要去用所以很難，作為一個(gè)習(xí)慣于投機(jī)取巧的人我就想了一些方法，是這樣的，我們發(fā)現(xiàn)在要求類的標(biāo)準(zhǔn)當(dāng)中，一部分講管理的，一部分講技術(shù)的，是這個(gè)情況吧，在講管理的時(shí)候，因?yàn)槲易约鹤鳛橐粋€(gè)云計(jì)算服務(wù)商，我要獲得很多認(rèn)證，每年我要維護(hù)的認(rèn)證差不多有十個(gè)，比如說我每年要拿的證有，年審的有等保，這是必過的，可信云、ISO9000、ISO2000，9000是質(zhì)量管理體系，2000是服務(wù)管理體系，ISO27001信息安全管理體系，ISO27017云環(huán)境下的信息安全管理體系，ISO27018云歡迎下的個(gè)人信息標(biāo)準(zhǔn)信息保護(hù)，然后還要去過CSASTAR，同時(shí)最近騰訊拿到了一個(gè)證我們還沒有過但是我也要關(guān)注，好處我是那個(gè)作者還容易一點(diǎn)。我其實(shí)還有一些一定要過的，比如說網(wǎng)信辦的檢查，如果我要是做政府行業(yè)，我一定得學(xué)上述的電子政務(wù)的相關(guān)標(biāo)準(zhǔn)我要學(xué)習(xí)它，如果我要做金融，我應(yīng)該做PCIDSS支付和安全行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)，但是現(xiàn)在我們?nèi)吮容^少，主要就是我，我要把這些東西全都記住，并且每年要過檢查，我還要去維護(hù)它。

一年有12個(gè)月，我差不多要過至少10個(gè)認(rèn)證，除了春節(jié)和十月一這一年就過去了，基本上每個(gè)月來一遍我還得學(xué)點(diǎn)別的。最后我們發(fā)現(xiàn)這個(gè)里面似乎有規(guī)律，什么呢？就是怎么讓大家迅速的把我剛才說的那些在我講的40分鐘之內(nèi)初步掌握，是這樣的。

凡是你面向?qū)ο笫侨说哪切〇|西，通過對(duì)人的活動(dòng)來完成的任務(wù)都幾乎屬于管理，先說管理類的。管理類的內(nèi)容有一個(gè)特點(diǎn)，就是他都有一個(gè)管理目標(biāo)，管理目標(biāo)是什么呢？比如說你叫質(zhì)量管理體系你的目標(biāo)就是提高質(zhì)量，如果你的目標(biāo)是提升IT服務(wù)，那么你的這個(gè)體系就要叫做IT服務(wù)管理體系，ISO20000，如果你的目標(biāo)是提升信息安全管理，就叫做信息安全管理體系，好了，每個(gè)體系都有一個(gè)目標(biāo)，這個(gè)目標(biāo)是怎么達(dá)成的呢？就是我們不太用什么方法能保障結(jié)果，但是人們發(fā)現(xiàn)在管理的這個(gè)過程當(dāng)中大家可以關(guān)注于管理相關(guān)的流程和過程，通過在過程當(dāng)中加控制點(diǎn)和控制措施來達(dá)到管理的目的，一般為了實(shí)現(xiàn)一個(gè)管理目標(biāo)他的套路是這樣的，他一定會(huì)找出跟這個(gè)管理目標(biāo)相關(guān)的一些流程把它梳理出來，如果大家去看有一堆流程，在這個(gè)流程里面控制措施，直到有一天我復(fù)習(xí)了一下，在2006年的時(shí)候我在制造行業(yè)的時(shí)候過過9000，我發(fā)現(xiàn)這些都跟9000很像，后來看看國(guó)際上的標(biāo)準(zhǔn)，確實(shí)9000算是一個(gè)基本的標(biāo)準(zhǔn)，早期大家都對(duì)它有些參考，在9000里面我找了這么一張圖，大家不用認(rèn)真看，其實(shí)你要知道，它講的就一件事，首先這個(gè)標(biāo)準(zhǔn)叫什么名，定義了他的范圍目標(biāo)，然后他要梳理出相關(guān)的流程，他要明確出誰來管理，就是管理者他的組織和人員，明確管理對(duì)象。這是我在2015年之前我在學(xué)27001的時(shí)候似乎就是這個(gè)樣子，大概就這么個(gè)影子，他分了多少個(gè)域?qū)λ鱾€(gè)場(chǎng)景進(jìn)行分類，是這樣吧？

到2015年左右，9000可能也受到其他標(biāo)準(zhǔn)的影響，它做了一個(gè)版本上的變更，它在做管理體系之前他加入一個(gè)環(huán)節(jié)，叫做風(fēng)險(xiǎn)評(píng)估，我覺得我們挺熟的，因?yàn)樽?7000的時(shí)候上來也先做風(fēng)險(xiǎn)評(píng)估，或者做ISO20000、2301，尤其是2301都有風(fēng)險(xiǎn)評(píng)估的環(huán)節(jié)，我想它有什么用？我認(rèn)為它一個(gè)非常有價(jià)值的角度是這樣的，當(dāng)我們做一個(gè)體系的時(shí)候就會(huì)發(fā)現(xiàn)，前面我講的梳理出來的流程做它的控制項(xiàng)，你發(fā)現(xiàn)它一般有一百多個(gè)控制項(xiàng)，一般在130-160左右，就是我接觸到的各種標(biāo)準(zhǔn)，比如CCM差不多160多個(gè)就算多個(gè)，然后27000系列等保系列差不多在130個(gè)左右，大概就是150左右擺動(dòng)，這些內(nèi)容非常多，以至于作為一個(gè)常見的甲方或者實(shí)用標(biāo)準(zhǔn)的人來講不太容易記憶，或者說我們的工作有的時(shí)候缺乏聚焦沒有重點(diǎn)，就是我原來一做管理體系這個(gè)事，就似乎像是一個(gè)又全，非常全，但是又不太細(xì)，什么都說到了，我們好像也沒有特別明確重點(diǎn)這么一件事情，但是如果在這個(gè)環(huán)節(jié)之前加上了風(fēng)險(xiǎn)評(píng)估的話，就能夠依據(jù)當(dāng)前的場(chǎng)景識(shí)別出現(xiàn)在的資產(chǎn)狀況、威脅情況，我們自己這個(gè)場(chǎng)景下特定的弱點(diǎn)和我們現(xiàn)有的控制措施以及采取風(fēng)險(xiǎn)，我們相當(dāng)于給這個(gè)龐大的體系結(jié)構(gòu)為我們自己的場(chǎng)景找到了重點(diǎn)，這就是我這部分工作的理解，所以我們做了一件事，是什么呢？

我在我的單位把相關(guān)所有的管理體系合并，我把我的9000、2000和22301比較相似的，落到IT行業(yè)的時(shí)候更像是20000了，對(duì)一個(gè)互聯(lián)網(wǎng)公司的22301他的業(yè)務(wù)連續(xù)性主要是IT的東西，他有大量的內(nèi)容是交叉的，我要做的事就是我要把多個(gè)管理體系的目標(biāo)把它進(jìn)行整合和梳理形成一個(gè)目標(biāo)組，就是我的這個(gè)目標(biāo)里面有質(zhì)量的，有IT服務(wù)，有業(yè)務(wù)連續(xù)性都在里面，有信息安全管理的，然后我把相關(guān)的流程都梳理出來，很多流程是重復(fù)的，因?yàn)樵砗芎?jiǎn)單，就一個(gè)具體的甲方來講，或者對(duì)一個(gè)具體的廠家來講，你管理這件事他管理的是人，就是管理者和被管理者，在我們單位就那么幾個(gè)人，管理者就那幾個(gè)，被管理者就是那幾個(gè)，非常明確，控制措施很多時(shí)候也可以復(fù)用，基于這種情況，我們現(xiàn)在就整合了9000、2000、22301和27001，順便有一個(gè)好處，就是CASTAR，它其實(shí)主要就是27001加上CCM，他的范圍都是基于27001的，我在做了這個(gè)整合就順便把CASTAR五整合掉了，這就是我們?cè)诠芾聿糠肿隽艘恍┱稀?br />
基于我們發(fā)現(xiàn)的規(guī)律之一，同時(shí)我們又發(fā)現(xiàn)另外一件事，安全標(biāo)準(zhǔn)里面談到要求，當(dāng)然講方法論和它是什么這些標(biāo)準(zhǔn)，我們一般會(huì)在做規(guī)劃的時(shí)候用，更好的表達(dá)我這個(gè)云計(jì)算是什么樣子，按照CCR類去描述就更好一些，他們要求的時(shí)候我們發(fā)現(xiàn)很多技術(shù)類的標(biāo)準(zhǔn)，他都是面向?qū)ο蟮?，這就又給了我可趁之機(jī)，什么意思呢？

大家還記得上一個(gè)演講者第九頁最后一行講到了數(shù)據(jù)，他提到了一件事，叫做數(shù)據(jù)安全包含著數(shù)據(jù)的創(chuàng)建，我們叫采集、專署、使用、存儲(chǔ)、銷毀、分發(fā)，他的全生命周期的相關(guān)安全工作，要對(duì)它進(jìn)行重點(diǎn)式分級(jí)和分類，并加以保護(hù)。是這么說的吧？其實(shí)我們發(fā)現(xiàn)剛才說到數(shù)據(jù)安全與我的這個(gè)標(biāo)準(zhǔn)是封皮，他講的是個(gè)人表示信息在云環(huán)境下的保護(hù)這么一件事，其實(shí)他是不謀而合的，無論是前面我們看到的國(guó)內(nèi)的相關(guān)的數(shù)據(jù)保護(hù)的要求還有國(guó)際上的要求，還有我們能看的見的像等級(jí)保護(hù)的要求它里面的技術(shù)部分。

最后一個(gè)環(huán)節(jié)，原來叫數(shù)據(jù)和備份現(xiàn)在叫應(yīng)用和數(shù)據(jù)，它都有一個(gè)特點(diǎn)，就是它一定不管做一個(gè)什么東西的安全，它的方式都是說先面向保護(hù)對(duì)象，比如我們現(xiàn)在要保護(hù)的數(shù)據(jù)，我們就要面向數(shù)據(jù)，然后去看他的全生命周期，看他在哪怎么用，誰能碰的到他，然后再加以控制措施，這些標(biāo)準(zhǔn)是通的，雖然前面我講那些方法的時(shí)候說可能上百個(gè)，但是落地到一個(gè)具體的場(chǎng)景這事又好辦了，因?yàn)槲易鳛橐粋€(gè)使用標(biāo)準(zhǔn)的人，我們家的IT資產(chǎn)就那些，他雖然有變化，但是在一個(gè)具體的年度內(nèi)的話，它的變化沒有那么大，這些資產(chǎn)還都是過去十多年一點(diǎn)一點(diǎn)攢到今天的，即使到了明年可能會(huì)有一些增加和減少，但不至于整體上沒有那么多變化，針對(duì)于我自有的這些數(shù)據(jù)資產(chǎn)，我要做的事或者是我的IT資產(chǎn)要做的事。

無論是什么樣的標(biāo)準(zhǔn)和要求，他讓我去做的具體工作其實(shí)都是說，我要對(duì)我的資產(chǎn)進(jìn)行分級(jí)分類梳理，我要找出我的那些重要資產(chǎn)是什么，我要知道我這個(gè)資產(chǎn)怎么來的，怎么走的，怎么用的，怎么保存的，在每一個(gè)環(huán)節(jié)上各個(gè)標(biāo)準(zhǔn)里面其實(shí)都給我很多參考，提了很多控制措施，以至于我懶到什么樣呢？比如說它是一個(gè)系統(tǒng)，往往他一定會(huì)要求標(biāo)識(shí)和鑒別、訪問控制、審計(jì)、報(bào)警，然后資源管理、入侵防范、惡意代碼，差不多六七個(gè)分類，就往我這個(gè)系統(tǒng)的標(biāo)準(zhǔn)上去套，如果他是一個(gè)數(shù)據(jù)資產(chǎn)，他一般會(huì)要求對(duì)這個(gè)數(shù)據(jù)進(jìn)行分級(jí)分類，他會(huì)要求傳輸?shù)倪^程當(dāng)中加密，要有認(rèn)證環(huán)節(jié)，然后存儲(chǔ)過程的時(shí)候要加密，銷毀的時(shí)候怎么處理，大概就是這些東西，就會(huì)形成那些方法的方法，或者我認(rèn)為是方法背后的規(guī)律就可以去發(fā)現(xiàn)他。

基于這種情況，我們就整合了我能找的到的所有的技術(shù)標(biāo)準(zhǔn)，因?yàn)槲胰ミ^一個(gè)管理體系的時(shí)候他里面有一條，說你最好依據(jù)國(guó)內(nèi)外或者行業(yè)的先進(jìn)標(biāo)準(zhǔn)去做這件事，我們現(xiàn)在作為一名服務(wù)商，就那點(diǎn)東西，我有我的邊界，有我的設(shè)備，有我的云管理平臺(tái)，有續(xù)機(jī)，就這點(diǎn)活，我就把它做掉，總是要做出一些特點(diǎn)。這個(gè)標(biāo)準(zhǔn)也可以相當(dāng)于追點(diǎn)熱點(diǎn)，我的單位是國(guó)內(nèi)第一家通過這個(gè)認(rèn)證的云服務(wù)商，但我們并不是第一家通過認(rèn)證的單位，第一個(gè)認(rèn)證單位是微信，我們是第二個(gè)，他專門保護(hù)的內(nèi)容，這就是我舉的一個(gè)關(guān)于資產(chǎn)的例子，就是關(guān)于技術(shù)對(duì)象的例子，如果把技術(shù)的部分都抽象成對(duì)象然后給他上控制措施就成了。

今天我要講的是云計(jì)算安全的標(biāo)準(zhǔn)應(yīng)用，前面講了很多標(biāo)準(zhǔn)它并不是云計(jì)算安全的，專門給云計(jì)算寫的但是云計(jì)算安全都得用，當(dāng)我們講云計(jì)算安全的標(biāo)準(zhǔn)和要求的時(shí)候我發(fā)現(xiàn)它的一個(gè)特點(diǎn)，它更多的其實(shí)一些變化就是面向了場(chǎng)景，這個(gè)業(yè)的內(nèi)容來自于ISO27017，就是講說27017這個(gè)東西在云計(jì)算環(huán)境下怎么用，這個(gè)標(biāo)準(zhǔn)我看了10分鐘我覺得差不多了，雖然看的不深我發(fā)現(xiàn)它一個(gè)特點(diǎn)，它幾乎每個(gè)章節(jié)和整體結(jié)構(gòu)跟27000是一模一樣的，他分別對(duì)云服務(wù)方和云租戶分別的角色做了場(chǎng)景上和實(shí)施責(zé)任上的說明，他其實(shí)是把一個(gè)通用的標(biāo)準(zhǔn)落地到了云計(jì)算的場(chǎng)景之下，如果云計(jì)算安全是面向場(chǎng)景的話，管理我說是面向過程的，技術(shù)是面向保護(hù)對(duì)象的話，我們就舉一反三，又干了另外兩件事，因?yàn)榻裉熳鳛橐粋€(gè)云服務(wù)商已經(jīng)不是那么高端了，就是包括我跟吳老師他們?nèi)W(xué)習(xí)寫標(biāo)準(zhǔn)的時(shí)候發(fā)現(xiàn)大家都已經(jīng)把這個(gè)云服務(wù)商的工作，怎么去做，做了大量的總結(jié)。

我作為一個(gè)廠商，我想把這個(gè)東西，有的時(shí)候?yàn)榱艘恍┼孱^也好，也是為了追求先進(jìn)的科技也好，我們現(xiàn)在主要提的都是ABC，什么呢？AI、bekdate，叫人工智能和大數(shù)據(jù)，所以為了追求點(diǎn)不同，顯得自己厲害，我平時(shí)自己在家我都在搞大數(shù)據(jù)安全和人工智能安全，這樣看上去噱頭一樣。這個(gè)里面有了以上的規(guī)律，你就會(huì)發(fā)現(xiàn)說人工智能安全，它其實(shí)并不復(fù)雜，技術(shù)類的東西它是面向?qū)ο蟮?，?duì)象怕分解一定可以分解，當(dāng)你把一個(gè)人工智能的應(yīng)用分解成為用戶這一層，訪問層，根據(jù)CCR類的，服務(wù)層和基礎(chǔ)設(shè)施以及基礎(chǔ)設(shè)施之上，服務(wù)層背后的那個(gè)叫人工智能的計(jì)算模型的話，你就發(fā)現(xiàn)除了人工智能建模那部分他幾乎跟云計(jì)算和大數(shù)據(jù)是通用的，因?yàn)楣芾韺?duì)象終端還是那個(gè)終端，訪問層的控制還是訪問層的那些控制，因?yàn)槟阍L問層要么是個(gè)外掛，要么是個(gè)APP，要么是個(gè)API，要么是個(gè)網(wǎng)絡(luò)通信，大多數(shù)就這些，因?yàn)檫@就是CSASTAR那個(gè)標(biāo)準(zhǔn)寫的，因?yàn)槟阍谠骗h(huán)境下的訪問層就是那幾種形式，你換成人工智能其實(shí)好象也是那個(gè)樣子，比如我經(jīng)常嘲笑我廠的機(jī)器人，看似很炫酷的機(jī)器人跟你聊天，我認(rèn)為它就是長(zhǎng)的好看一點(diǎn)的盒子，有一天我看到我們的工程師在維修他的時(shí)候我都太辛酸了，里面就是一堆電路板，一根線，理論上他相當(dāng)于五六十年代的收音機(jī)，本質(zhì)上也是這么一個(gè)套路，他是遠(yuǎn)端的能通訊的盒子。

在這種場(chǎng)景下，如果是技術(shù)上，他能分解了的話，大部分控制措施是可以復(fù)用的，所以針對(duì)于不同的場(chǎng)景，我們往往只關(guān)注那個(gè)場(chǎng)景的特點(diǎn)就夠了，我們?nèi)フ胰斯ぶ悄艿膱?chǎng)景和云計(jì)算的場(chǎng)景有什么不同，也就像我們?cè)谧鲈朴?jì)算安全的時(shí)候，我們的大方法論都跟普通安全差不多的我認(rèn)為，更多的是我們找到了云計(jì)算的場(chǎng)景，避暑他有虛擬化的部分，他有云隔離的要求，他有云管理平臺(tái)是這樣子吧，我們做一個(gè)具體的人工智能。

舉個(gè)例子，以27018舉個(gè)例子，怎么做的呢？比如人臉識(shí)別，數(shù)據(jù)怎么收集的？如果大家提前交了照片，可能涉及到數(shù)據(jù)的拷貝和網(wǎng)絡(luò)的直接傳輸比如HDDP，我們控制措施就是換成HDDPS，這些照片的保護(hù)是不是要切開分片，防止別人拿到這個(gè)照片，是不是要把一個(gè)人的照片和你的名字和你的身分證號(hào)要分在不同的地方存儲(chǔ)，然后再用一個(gè)標(biāo)或者一個(gè)方式把他們關(guān)聯(lián)起來，不能集中存儲(chǔ)在一起，這都是相關(guān)的控制措施，還有一些我們會(huì)關(guān)注，大家想過一個(gè)問題沒有，就是當(dāng)你每次被人臉識(shí)別的時(shí)候，他其實(shí)在采集你的一張照片，他會(huì)給你拍一個(gè)照，我們會(huì)關(guān)注拍的照片是一直被那個(gè)系統(tǒng)留下了還是用完就銷毀了還是它是API隨用隨刪，如果他被留下了這就是一個(gè)風(fēng)險(xiǎn)，我們要給他一定的控制措施說你不能留這樣的東西，如何對(duì)他的傳輸和存儲(chǔ)進(jìn)行加密，是不是有些感覺手段規(guī)定他的銷毀，會(huì)不會(huì)有一個(gè)技術(shù)手段來支持這個(gè)管理手段，說你怎么證明你銷毀了而不可恢復(fù)，這就是我們?cè)诰唧w場(chǎng)景下對(duì)以上這些標(biāo)準(zhǔn)的應(yīng)用。

總結(jié)了三條，第一條叫做如果這個(gè)標(biāo)準(zhǔn)是管理要求的話，我們就關(guān)注它的過程。第二條，如果是個(gè)技術(shù)要求，我們就去關(guān)注它保護(hù)的對(duì)象。第三條，如果這個(gè)標(biāo)準(zhǔn)談到了比如說云計(jì)算，一個(gè)具體的方向，我們就去關(guān)注這個(gè)場(chǎng)景的特點(diǎn)，當(dāng)他談到一個(gè)場(chǎng)景我們就去關(guān)注他的場(chǎng)景特點(diǎn)。還可以再舉例，比如做交通行業(yè)就去觀察交通行業(yè)的場(chǎng)景特點(diǎn)，去做大數(shù)據(jù)的時(shí)候就觀察大數(shù)據(jù)下面的場(chǎng)景特點(diǎn)。對(duì)前面那三條我又做了總結(jié)，就形成了這句話，"利用規(guī)律去實(shí)踐方法"，原因是早期方法沒有那么多，像11年前我們看GBTA26984-2007信息安全風(fēng)險(xiǎn)技術(shù)評(píng)估規(guī)范標(biāo)準(zhǔn)沒那么多，再早一點(diǎn)17859，2008年出的標(biāo)準(zhǔn)多一點(diǎn)，也就十多個(gè)，2008年的標(biāo)準(zhǔn)20040等級(jí)保護(hù)指南，20039信息安全，就常見的，什么20986、20988，那一年才十多個(gè)，像我這種閑著沒事的人我都能背下，但是到今天我真的背不下來了，太多了，怎么辦呢？我就提到了用那些規(guī)律去實(shí)踐這些方法，這樣能快速的去記憶這些東西并把它用起來。有一個(gè)傳統(tǒng)的詞匯就叫做以道論述，但是我們?cè)谶@方面盡量嘗試的去是簡(jiǎn)單不是最佳實(shí)踐是這么一個(gè)情況。

前面談到了云安全法術(shù)當(dāng)中的"法"，下面我來講一下"術(shù)"。我發(fā)現(xiàn)了一個(gè)問題，我不是那種不太能說的人，我之前作為一個(gè)安全廠商來講，我干的最多的一個(gè)事就是說服在座的各位盡可能多的，單價(jià)盡可能高的，次數(shù)也很多的來購買我的產(chǎn)品，這是我的職業(yè)，我認(rèn)為我在替我的老板創(chuàng)造價(jià)值，在座的各位也有很多是乙方，我挺想給大家講一下我是如何做到差不多10多年投標(biāo)就一次沒中的這個(gè)事。

后來我做了甲方，我既是甲方又是乙方，現(xiàn)在我在云服務(wù)商里面，我還得讓我們的云平臺(tái)更安全，我要說服我們的研發(fā)和運(yùn)維，但是對(duì)一個(gè)互聯(lián)網(wǎng)公司來講，這幫研發(fā)的年紀(jì)界很小，然后運(yùn)維年紀(jì)也都不大，他們賺錢賺的實(shí)在太多了，非常不容易被說服，他們往往覺得自己還比較有能力，因?yàn)槲蚁袼敲创蟮臅r(shí)候，連他N分之一的工資都拿不到，技術(shù)還是挺牛的，我就發(fā)現(xiàn)一個(gè)問題，尤其在安全領(lǐng)域，他是基于攻防的，就像在古代這是一場(chǎng)戰(zhàn)斗，單純的給人講道理是難以說服別人的，非常不生動(dòng)，大家不聽，后來我們總結(jié)出要是想讓他聽就得打臉，的就必須跟他打一架，因?yàn)橹v到安全這個(gè)事是一個(gè)攻防，所以下面這部分我會(huì)傾向于技術(shù)或者產(chǎn)品方面來講我們是怎么實(shí)踐這些標(biāo)準(zhǔn)的。

我們發(fā)現(xiàn)這些安全工具或者技術(shù)它有一些演變，早期我接觸到的甲方都是買買買，我們國(guó)內(nèi)主要安全的目標(biāo)大客戶其實(shí)集中在政府、金融、運(yùn)營(yíng)商、能源、醫(yī)療、軍工、軍隊(duì)、公安、教育他們是我們的大客戶，他的特點(diǎn)是效率比較高，你今天買快點(diǎn)要，甚至他可以沒簽合同就供貨了，但是得花點(diǎn)錢，成本比較大。

后來我們發(fā)現(xiàn)那些當(dāng)年的屌絲公司，就是那些做互聯(lián)網(wǎng)的，他喜歡用開源的工具，他會(huì)去網(wǎng)上找開源的工具搭建平臺(tái)，雖然投入一些運(yùn)維的工作，但是他也能用，這些開源的工具是能夠去使用的，是有效的，后來這些單位就會(huì)去自演他自己的工具，再后來現(xiàn)在我們看到了行業(yè)上很多互聯(lián)網(wǎng)公司會(huì)去挖那些安全廠商的人來去做那些安全的saas，一方面是把它自研的那些工具做云服務(wù)化，把它saas化，對(duì)外分享出去，就形成了今天我們?cè)谑袌?chǎng)上能看的到的收費(fèi)或者免費(fèi)的這些工具，這些工具有一些特點(diǎn)，就是前面講到了商業(yè)工具他效率高，但他也不便宜，因?yàn)橘I的人永遠(yuǎn)覺得他不用我花錢。

自研的產(chǎn)品其實(shí)效率并不高，因?yàn)槁驗(yàn)槟阕匝械萌パ?，研就有開發(fā)的周期，但是它成本其實(shí)也不低，因?yàn)樽钊贿@個(gè)工具沒有花錢，但是研發(fā)的成本還是很高的，工具可能一百萬沒花，但是你過了兩個(gè)研究花了二百萬，再配四個(gè)測(cè)試，還得有一個(gè)項(xiàng)目經(jīng)理，最后說界面不好看再配個(gè)美工，成本也不低。

還有一些是開源的工具，他看上去成本會(huì)低，因?yàn)榇_實(shí)沒花錢，但是要把它用起來的話坑比較多，大家需要不斷的去調(diào)整它，它看效率怎么說了，如果你算上調(diào)整的效率，他確實(shí)沒有saas和商業(yè)的高，但它對(duì)成熟的使用者來講，對(duì)成熟的OP和運(yùn)維來講的話，他的效率目前來講也可以接受，還有云服務(wù)化的工具，我認(rèn)為它成本相對(duì)較低效率較高，但是他有一個(gè)缺陷，就是你別的工具還好，但是現(xiàn)在它是一個(gè)安全場(chǎng)景下的工具，那么你一個(gè)saas化的工具不可避免的就是saas的云安全服務(wù)商，它數(shù)據(jù)一定云平臺(tái)上是有的，是這個(gè)情況吧，就是我們的一些演變。

尤其互聯(lián)網(wǎng)為例，我是這個(gè)行業(yè)的，早期也會(huì)買商業(yè)的工具，然后用開源的，把開源的做二次開發(fā)說是他自研的，在自研里面比較好的輸出，找點(diǎn)免費(fèi)的用戶，在免費(fèi)用戶里面過濾出一部分比較有錢的要錢，提供一些增值服務(wù)，在對(duì)那些特別有錢的又懶的給他提供服務(wù)，現(xiàn)在大概是這么一個(gè)套路。在這些工具并行的時(shí)代，我曾經(jīng)有很多恐慌，這也促成了我由安全廠商的角色跑去了互聯(lián)網(wǎng)公司。什么樣的恐慌呢？就是說現(xiàn)在有了saas的，有開源的，不要錢的，但問題是我們?cè)瓢踩蛘邆鹘y(tǒng)安全創(chuàng)傷，他賣的產(chǎn)品是要錢的，并且安全廠商是主要依靠銷售安全產(chǎn)品來盈利的。

過去五年很困擾我的一件事，是不有一天互聯(lián)網(wǎng)公司他要做的安全，需要把我傳統(tǒng)的安全廠商滅掉來端我的飯碗這件事，我就等著他們打后來，后來他們一直不打過來，我就跳過去看看他們?yōu)槭裁床淮蜻^來，原因是什么，到今天我有一些線索，但是也不算是成果，給大家匯報(bào)一下，就是說我認(rèn)為傳統(tǒng)的安全設(shè)備還是有他的市場(chǎng)，因?yàn)槲椰F(xiàn)在有的時(shí)候是甲方，我在采購安全工具的時(shí)候我在想我買到的是什么。

盡管現(xiàn)在有大量的開源工具，盡管現(xiàn)在互聯(lián)網(wǎng)公司他也對(duì)外輸出他的SaaS服務(wù)，但是我發(fā)現(xiàn)，其實(shí)如果論工具的功能來講，那些開源的安全產(chǎn)品，經(jīng)過仔細(xì)的配置和一系列填坑之后它是能用的，沒問題，但是他失去的成本是你運(yùn)維上的時(shí)間以及你研發(fā)上的時(shí)間，對(duì)互聯(lián)網(wǎng)公司來講，他的規(guī)模足夠大，我舉個(gè)例子，我們一個(gè)機(jī)房有五千臺(tái)設(shè)備，我們至少要有四個(gè)機(jī)房，我們部門就是兩萬臺(tái)設(shè)備，算上我們公司某些別的部門那至少就是十萬臺(tái)設(shè)備了，這么多設(shè)備我們買安全廠商這些盒子的時(shí)候他當(dāng)然覺得貴了，因?yàn)橐毁I就得買一千個(gè)，所以互聯(lián)網(wǎng)公司自研，自研究完了之后他說你看我們今年省了好幾千萬，我們?cè)斐鰞珊凶?，我們自己用了，他?jié)的是合適的，因?yàn)樗凰愠杀菊f我才用了十個(gè)人開發(fā)了這么一個(gè)東西，所以他成本是合的上的，但如果換成一般的，我前面提到的傳統(tǒng)大客戶呢？政府、醫(yī)療、軍工、軍隊(duì)、金融、運(yùn)營(yíng)商單位這些，他的主營(yíng)業(yè)務(wù)不是做IT的，他的服務(wù)器數(shù)量和IT系統(tǒng)的規(guī)模不至于那么龐大，雖然她的業(yè)務(wù)足夠復(fù)雜但是他的系統(tǒng)不龐大，這就導(dǎo)致了一個(gè)情況，對(duì)他們來講去采購那些商用的安全成本反而要比自研和開源還要低，因?yàn)橐坏┮_源就要上五個(gè)運(yùn)維，還得極強(qiáng)能力的，所以我認(rèn)為還是有機(jī)會(huì)的。

我認(rèn)為買的不止是盒子和工具而是相關(guān)的服務(wù)和技術(shù)支持，以及有什么事這種應(yīng)急響應(yīng)的這么一種權(quán)利，還有責(zé)任共擔(dān)的這么一個(gè)權(quán)利，如果我是甲方我買了盒子，我獲得相關(guān)的服務(wù)和支持，我出了事有人給我響應(yīng)，諸多的這些東西才是這個(gè)產(chǎn)品核心的價(jià)值，因?yàn)槲覀兊慕M織結(jié)構(gòu)和IT規(guī)模，互聯(lián)網(wǎng)和傳統(tǒng)行業(yè)還是有很大區(qū)別的。

到今天我們知道了說如果這些產(chǎn)品很長(zhǎng)一段時(shí)間會(huì)去并行，我們應(yīng)該如何提供更好的產(chǎn)品和把這個(gè)產(chǎn)品賣出去，我的建議是說產(chǎn)品它的本質(zhì)是利用這些工具提高我們的一些標(biāo)準(zhǔn)的執(zhí)行效率。我舉一個(gè)非常有特點(diǎn)的產(chǎn)品，就是他專門就是給方法提高執(zhí)行效率的是什么呢？比如我們的等級(jí)保護(hù)檢查工具箱，等級(jí)保護(hù)其實(shí)是由一系列標(biāo)準(zhǔn)組成的，但是我們?cè)跍y(cè)評(píng)的過程當(dāng)中和自查的過程當(dāng)中發(fā)現(xiàn)效率沒有那么理想，或者是說我們測(cè)評(píng)人員他的人工操作成本會(huì)比較高，所以國(guó)內(nèi)就造出了如等級(jí)保護(hù)工具箱這類的工具，它其實(shí)大大提高了標(biāo)準(zhǔn)執(zhí)行的效率，我認(rèn)為在這種場(chǎng)景下，他是一種以器載道。

另外我們?nèi)绾伟堰@種產(chǎn)品作為安全廠商更好的交付給我們的用戶，我發(fā)現(xiàn)今天的用戶已經(jīng)不太希望有人過來給你講說我有一個(gè)盒子它有什么功能，它比別人家好在哪里，大家更希望通過一種完整的解決方案，通過那種基于一般規(guī)律或者是說基于業(yè)內(nèi)大部分人的共識(shí)，通過一些標(biāo)準(zhǔn)形成的方法論所建立的方案，這就是過去幾年我在推廣我產(chǎn)品的時(shí)候干的一件事，其實(shí)我從不講產(chǎn)品，我每次給大家講的都是方法論和原理，因?yàn)橛脩粲肋h(yuǎn)他想要的其實(shí)是解決問題，比如解決控制問題，解決攻防問題，從來沒有一個(gè)用戶說我想要一個(gè)盒子它叫l(wèi)ife，是這個(gè)道理。

最后要說的是安全標(biāo)準(zhǔn)和應(yīng)用這件事情，我覺得它更像是修行，修就像是學(xué)習(xí)，行其實(shí)就是實(shí)踐，我們的標(biāo)準(zhǔn)工作者經(jīng)過多年不懈的努力還在持續(xù)不斷的為我們編寫和總結(jié)那些方法和規(guī)律。一會(huì)兒我們的王老師就會(huì)給我們講他總結(jié)了那么多的相干的方法，而對(duì)我們大部分人來講，以我的資質(zhì)是不太有能力做這么多的總結(jié)，但是我可以把它應(yīng)用和實(shí)踐到我的日常工作當(dāng)中去，為組織帶來價(jià)值。如果我是一個(gè)甲方，我就會(huì)利用這些標(biāo)準(zhǔn)來過很多的認(rèn)證，來提高我們組織內(nèi)部的質(zhì)量，IT服務(wù)管理，信息安全管理，業(yè)務(wù)連續(xù)性以及技術(shù)方面控制的強(qiáng)度，如果我是一個(gè)安全廠商，我就會(huì)利用這些方法論和標(biāo)準(zhǔn)，為我的用戶創(chuàng)造那些更貼合它場(chǎng)景的，并符合這些方法和標(biāo)準(zhǔn)的方案，讓我的老板賺到錢，讓我的用戶獲得落地的方案。

講到這里，謝謝大家，也希望在座的各位能夠?yàn)樽约旱慕M織帶來價(jià)值，能在今年年終獲得更好的收益，謝謝大家。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】