探索新技術(shù) 著眼大未來
——訪云安全聯(lián)盟大中華區(qū)主席李雨航

本刊記者：賀 鑫

探索新技術(shù) 著眼大未來
——訪云安全聯(lián)盟大中華區(qū)主席李雨航

本刊記者：賀 鑫

李雨航：世界著名安全專家和云計算專家，國際云安全聯(lián)盟CSA大中華區(qū)主席兼亞太區(qū)CSO，中國云體系聯(lián)盟常務(wù)理事?，F(xiàn)任華為全球網(wǎng)絡(luò)安全首席技術(shù)專家（首席科學(xué)家），西安交通大學(xué)高級院士、客座教授、南京郵電大學(xué)兼職教授。曾在微軟與IBM作為全球首席架構(gòu)師工作過20多年，是多國政府首腦和科技公司CEO所信賴的顧問。曾擔(dān)任國際云安全學(xué)術(shù)大會主席兼美國華盛頓大學(xué)博導(dǎo)，歐美高校云記錄組織協(xié)調(diào)官，諾貝爾物理獎與盧瑟福獎獲得者的研究助手。

十月的這幾天，北京的天空很藍，涼意初透，“2016云安全高層論壇暨云安全聯(lián)盟大中華區(qū)峰會”蓬勃地在北京新世紀日航酒店召開著，與會聽眾有來自全球云計算、電信、計算機安全領(lǐng)域的企業(yè)、組織和個人約一千多人，中國工程院院士方濱興、百度總裁張亞勤、俄羅斯通信總局副局長RomanSheredin、美國Synopsys公司CEO Chi-FoonChan、云安全聯(lián)盟全球主席Jim Reavis、騰訊云安全研究總監(jiān)王培、阿里高級安全專家沈錫鏞、上海交通大學(xué)信息安全學(xué)院院長李建華等眾多行業(yè)專家學(xué)者都發(fā)表了精彩的演講，為與會者帶來一場安全的饕餮盛宴。

清晨，借會場咖啡廳的一角，本刊記者早早來到這里，與百忙中的李雨航先生就云安全聯(lián)盟相關(guān)情況和從業(yè)經(jīng)驗等問題進行了深入的交流。

探索前沿技術(shù)，搭建世界溝通橋梁

我們首先關(guān)注的是云安全聯(lián)盟。說起云安全聯(lián)盟，作為大中華區(qū)主席的李雨航如數(shù)家珍，不無自豪。

李雨航首先介紹了云安全聯(lián)盟成立的背景和意義，他說，云安全聯(lián)盟是2009年在美國正式注冊成立。當(dāng)時云計算在美國興起，同時云安全成了重大的問題，所以業(yè)界一些很資深的專家就成立了這個聯(lián)盟，想解決云計算的安全問題。

云安全聯(lián)盟是中立的非盈利世界性行業(yè)組織，致力于國際云計算安全的全面發(fā)展。云安全聯(lián)盟的使命是“倡導(dǎo)

使用最佳實踐為云計算提供安全保障，并為云計算的正確使用提供教育，以幫助確保所有其它計算平臺的安全”。云安全聯(lián)盟的宗旨有四點：其一，提供用戶和供應(yīng)商對云計算必要的安全需求和保證證書的同樣認識水平；其二，促進對云計算安全最佳做法的獨立研究；其三，發(fā)起正確使用云計算和云安全解決方案的宣傳和教育計劃；其四，創(chuàng)建有關(guān)云安全保證的問題和方針的明細表。

現(xiàn)在云安全聯(lián)盟已經(jīng)從云計算發(fā)展到包含所有新興技術(shù)的安全，除了云計算，在大數(shù)據(jù)、物聯(lián)網(wǎng)、移動安全、還有量子安全等很多領(lǐng)域都開展了研究工作。

對于云安全聯(lián)盟大中華區(qū)的設(shè)立對中國產(chǎn)業(yè)的發(fā)展起到的作用，李雨航介紹說，各大區(qū)實體是在各自大區(qū)注冊的獨立的非盈利組織，以聯(lián)盟的形式運作，各大區(qū)之間有合作也有獨立性。對于大中華區(qū)，可以說是一個橋梁，連接政產(chǎn)學(xué)研、連接中外的橋梁。大中華區(qū)跟中國政產(chǎn)學(xué)研七家單位簽了約，來推動職業(yè)化，向職業(yè)化的道路發(fā)展。我們把中國的最佳實踐推廣到全球，把全球好的經(jīng)驗和資源引入到中國，這是大中華區(qū)的很重要的一個作用。

云安全聯(lián)盟在“2016云安全高層論壇暨云安全聯(lián)盟大中華區(qū)峰會”上發(fā)布了一個云計算安全技術(shù)標(biāo)準CSTR（草案），李雨航介紹說，這是我們發(fā)布的首個云計算安全技術(shù)標(biāo)準CSTR（草案），這個標(biāo)準（草案）對于IaaS，PaaS，SaaS各層的產(chǎn)品和方案提出了安全保障能力要求。這個標(biāo)準（草案）是大中華區(qū)云安全專家們一起制定的產(chǎn)品級安全標(biāo)準，對提升用戶基于云計算的信任意義重大，它將通過云安全聯(lián)盟的工作進一步得到全球的認可，成為又一項重要的行業(yè)和國際標(biāo)準。

云計算安全技術(shù)標(biāo)準填補了世界標(biāo)準的一些空白。云計算安全技術(shù)標(biāo)準是對產(chǎn)品或者方案的底層做深度的安全檢測，而其他的標(biāo)準是管理層面的東西多，技術(shù)層面的東西少。特別是對產(chǎn)品本身，帶有云環(huán)境特色的軟件，內(nèi)部具體要檢測什么，有高層的定義，但是不具體，因此檢測單位來實施的時候是沒有辦法把真正的安全狀況體現(xiàn)給用戶的。所以說云計算安全技術(shù)標(biāo)準是產(chǎn)品級的技術(shù)方面的安全要求，使客戶對產(chǎn)品、部件內(nèi)部有一個全面的了解。

在交談過程中，記者提到，云安全聯(lián)盟推出一項在全球最具權(quán)威的認證CSA-STAR，我們不清楚像這樣的標(biāo)準、認證在全球具有怎樣的影響力？同時云安全聯(lián)盟如何權(quán)衡與其他相關(guān)標(biāo)準組織之間的關(guān)系？

李雨航解釋道，CSA-STAR是云安全聯(lián)盟推出的最有權(quán)威性的一項認證，是對云服務(wù)商的一個安全的認證。它在全球推出最早、最具權(quán)威性。不管是美國、歐洲還是其他國家，他們的標(biāo)準都是參考了云安全聯(lián)盟的標(biāo)準，大部分發(fā)展中國家直接用云安全聯(lián)盟的標(biāo)準作為他們國家的標(biāo)準。這個認證在中國做了本地化，把中國的一些標(biāo)準加進來，所以前邊加了China，叫做CSAC-STAR。這個對推動全球的標(biāo)準化是非常有價值的。國際標(biāo)準本地化的思路在全球是通用的，各國都有自己差異化的認證。

云安全聯(lián)盟有個國際標(biāo)準委員會，專門和全球二十多個標(biāo)準組織對接，這些標(biāo)準都要通用，有的要互認。云安全聯(lián)盟的切入點是新興技術(shù)，聯(lián)盟中有很多資深的專家，做事效率非

常高，能夠給廠商和用戶產(chǎn)生價值。所以云安全聯(lián)盟得到了權(quán)威國際標(biāo)準化組織（ISO）的認同，彼此是互補關(guān)系。

對于云安全聯(lián)盟也做一些教育培訓(xùn)工作的提問，李雨航回答說沒錯，培訓(xùn)也是云安全聯(lián)盟重要的一項工作。培訓(xùn)是希望把云安全的知識普及，讓普通的不管是IT從業(yè)人員，還是專業(yè)的研發(fā)人員，甚至安全專家，都能夠增進知識和技能。云安全聯(lián)盟的一項培訓(xùn)叫做CCSK，這是一個核心的云安全個人證書，是全球性的。大中華區(qū)也做了本地化，稱作C-CCSK，這是一個基礎(chǔ)型的云安全專家證書，授權(quán)了第三方來做培訓(xùn)工作。因為云安全聯(lián)盟本身是獨立非盈利的，所以很多類似的業(yè)務(wù)都會授權(quán)給第三方機構(gòu)來做。

云安全聯(lián)盟的另一項培訓(xùn)課程是CSSP，這個課程是針對新出來的技術(shù)標(biāo)準，它是知識內(nèi)容和實踐經(jīng)驗相結(jié)合。云安全聯(lián)盟以后可能會和華為云、阿里云、騰訊云等相關(guān)企業(yè)合作，讓學(xué)生們可以在真實的云環(huán)境中來學(xué)習(xí)安全技能。

李雨航進一步介紹云安全聯(lián)盟的研究領(lǐng)域說，云安全聯(lián)盟還做了物聯(lián)網(wǎng)安全框架、大數(shù)據(jù)安全威脅分析、量子安全研究等。比如量子安全方面的研究，我們做了量子安全框架。業(yè)界先進的量子公司紛紛與云安全聯(lián)盟合作，用云安全聯(lián)盟的框架來作為指導(dǎo)。用新方法來做是云安全聯(lián)盟的一個特色，利用云計算、大數(shù)據(jù)，用這些新興技術(shù)，包括量子技術(shù)，把它的能力變成安全的一個有利因素。這些新興技術(shù)一方面帶來威脅和風(fēng)險，另一方面我們把它用好，它會給我們帶來價值。

關(guān)于云安全聯(lián)盟的性質(zhì)，李雨航總結(jié)說，我覺得可以用三個詞來形容，就是“獨立性、專業(yè)性、開放性”。我們是中立的非盈利世界性行業(yè)組織，我們有強大的資深專家團隊，我們的研究成果會免費與大家共享，共享的形式有多種，比如出版物、大會等。我們?yōu)榇蠹姨峁┮粋€交流平臺，讓政產(chǎn)學(xué)研，讓全球的專家在這個平臺溝通交流。我們做新興技術(shù)的安全，前沿技術(shù)的研究探索工作，幫助業(yè)界。

構(gòu)建網(wǎng)絡(luò)安全生態(tài)圈，實現(xiàn)信息技術(shù)自主可控

李雨航介紹完云安全聯(lián)盟，我們的話題轉(zhuǎn)到了網(wǎng)絡(luò)安全和實現(xiàn)信息技術(shù)自主可控。

隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全形勢也變得日益嚴峻，打造一個良好的安全生態(tài)圈至關(guān)重要。李雨航對我國構(gòu)建安全生態(tài)圈信心滿滿。

他說，當(dāng)前中國網(wǎng)絡(luò)安全的整體水平還不高，需要對產(chǎn)品和服務(wù)通過合規(guī)認證，得到用戶信任，做好正向安全能力建設(shè)和逆向安全評估驗證的工作，更全面地開展安全防護和監(jiān)控工作。安全要在早期就嵌入到系統(tǒng)架構(gòu)中，抱著堅定信心增進理解和融合，我對中國互聯(lián)網(wǎng)成功打造一個高度合作、頻繁互動的安全生態(tài)圈充滿信心。

李雨航認為，維護網(wǎng)絡(luò)安全就要規(guī)劃制定網(wǎng)絡(luò)安全戰(zhàn)略，從企業(yè)層面來看，可以從以下七個方面著手：

第一是發(fā)展基于風(fēng)險的方法。大家都知道，實際上企業(yè)發(fā)展業(yè)務(wù)并不是對安全很在意，企業(yè)非常關(guān)注業(yè)務(wù)的上線，業(yè)務(wù)的成功，認為安全只是一個保證。我們做安全的人員，比如說你對于一臺服務(wù)器做了攻擊，你能夠在里面拿

到許可，甚至拿到管理員權(quán)限，這是不是就是很嚴重的問題呢？如果這個服務(wù)器是企業(yè)可能要淘汰的，他根本就不用，這個問題對于企業(yè)來講沒有什么風(fēng)險的，我們評估風(fēng)險要從業(yè)務(wù)的角度看問題，給業(yè)務(wù)帶來的風(fēng)險。

第二是有了風(fēng)險之后，我們還要建立優(yōu)先級。從大的層面，我們到底是把安全的投資放到防護、監(jiān)控、事態(tài)感知還是事后的響應(yīng)恢復(fù)，還是怎么平衡？另外在這個方案上，我們有很多產(chǎn)品，很多產(chǎn)品集成一個方案，哪些產(chǎn)品是風(fēng)險最大的，我們一定要識別。因為安全和投資是緊密相關(guān)的，我們不可能有無限的資源來做安全保障工作。甚至是對于模塊，我們也要識別優(yōu)先級，比如一個模塊可能牽扯了好幾十個協(xié)議，可能有十幾個接口，那么這個里面哪些是高風(fēng)險的，我們都要做優(yōu)先級的這種識別。

第三是協(xié)調(diào)威脅和漏洞警告。這是非常重要的，因為現(xiàn)在黑客攻擊的是整個產(chǎn)業(yè)，如果出了一個問題，可能要影響多個單位。我們各個單位之間的協(xié)調(diào)，大家的安全互相通報，做安全情報共享，做威脅情報和事態(tài)感知都是比較重要的。

第四是打造響應(yīng)能力。如果事件發(fā)生了，我們一定要快速恢復(fù)。如果恢復(fù)不了，造成的影響可能比攻擊更大。比如幾年前RSA被黑客攻擊，就因為響應(yīng)很慢，所以造成了很大的影響。

第五是教育公眾。公眾教育非常重要，除了技術(shù)的漏洞，人的漏洞實際上更多更大。比如APT的威脅，最開始是利用人的漏洞，利用人的弱點去點擊一個連接，看一個郵件，做一些事情。所以我們對于公眾教育和培養(yǎng)人才，這都是極其重要的。

第六是一定要有安全預(yù)算投資在核心的技術(shù)和研究方面。我們一定要把安全嵌入，安全的ICT的產(chǎn)品嵌入我們網(wǎng)絡(luò)空間的基礎(chǔ)里面，才能夠把這個基礎(chǔ)打好。

第七是全球思維。我們要學(xué)習(xí)國際的先進經(jīng)驗，中國的經(jīng)驗也要介紹給全球。網(wǎng)絡(luò)空間是全球的，并不是某幾個國家的，所以我們必須以全球為范圍，一起把網(wǎng)絡(luò)安全的工作做好。

談到從宏觀及全球的角度維護網(wǎng)絡(luò)安全，李雨航說，網(wǎng)絡(luò)安全措施經(jīng)常被稱為三分技術(shù)七分管理，有很多事情可以通過管理手段來把安全做好。還有法律層面的問題。網(wǎng)絡(luò)空間實際是物理空間之外，是人們用來信息交互的空間，網(wǎng)絡(luò)空間形成的初期，規(guī)則不健全。網(wǎng)絡(luò)空間要有合理的規(guī)則，就需要國際的法律來保障，要健全網(wǎng)絡(luò)空間的法律，要各國之間達成一個共識?，F(xiàn)在不管是后門還是漏洞，絕對保證不了完全不存在，肯定是有的，只能說是把風(fēng)險降低。安全合規(guī)是第一步，最基礎(chǔ)的是把大部分風(fēng)險降下來，然后還要做更多的防御手段。用大數(shù)據(jù)、監(jiān)控等手段，利用新興技術(shù)的力量來把安全的能力加強，這是一個攻和防的關(guān)系，攻防總是在互相博弈。

李雨航進一步闡釋說，要實現(xiàn)信息技術(shù)自主可控，注重長遠戰(zhàn)略布局。在信息技術(shù)這個行業(yè)，美國做的比較早，在技術(shù)上美國是領(lǐng)先的。但是中國現(xiàn)在的發(fā)展趨勢很好，中國在經(jīng)濟的總量上和IT技術(shù)上是全世界第二位。我在歐洲考察后發(fā)現(xiàn)，歐洲實際上是不能跟中國來競爭的，特別是在互聯(lián)網(wǎng)的有些領(lǐng)域。中國在信息技術(shù)的應(yīng)用上比美國更多，比如打車軟件等這些生活上的應(yīng)用，比美國可能還更普及。當(dāng)然也存在一些問題，因

為這個產(chǎn)業(yè)最早是由美國發(fā)起的，所以很多核心技術(shù)是掌控在美國。對于中國來說，自主可控是一個很好的發(fā)展方向，但是要有一個比較好的戰(zhàn)略，從長遠來講要逐步實現(xiàn)自主可控，短期要承認已經(jīng)有了很多國外的技術(shù)。

在安全方面，李雨航認為要把安全工作做好，第一步就是采取合規(guī)性，為了降低風(fēng)險，一定要制定一些標(biāo)準，能夠通過這些標(biāo)準建立規(guī)范，能夠確保大部分的不管是產(chǎn)品、方案還是技術(shù)，都有一個最基本的安全保障。在這基礎(chǔ)之上再做更好的工作。而對于國外的產(chǎn)品，要遵循中國的法規(guī)，產(chǎn)品的關(guān)鍵技術(shù)應(yīng)該受到中國的審計和檢測。像蘋果這些產(chǎn)品應(yīng)該受到測評機構(gòu)的審查，才能夠讓中國的用戶放心地使用，當(dāng)然還有企業(yè)級的產(chǎn)品。做安全合規(guī)、安全保障、安全審計測評非常重要，在這基礎(chǔ)之上再研究關(guān)鍵的核心技術(shù)怎么樣來實現(xiàn)自主可控。

本刊副總編輯、執(zhí)行副社長唐莉與國際云安全聯(lián)盟CSA大中華區(qū)主席李雨航先生就云安全聯(lián)盟相關(guān)情況和從業(yè)經(jīng)驗等問題進行了深入交流。

走向國際，需求先行

記者與李雨航的交流，還涉及中國企業(yè)該如何走向國際的問題。李雨航對中國企業(yè)走向國際提出了自己的看法，他認為，中國企業(yè)要想走向國際，首先要了解客戶的需求。國外的客戶跟中國客戶不管在文化上還是制度上都存在差異。中國一項很好的產(chǎn)品要放到國外市場，可能會“水土不服”。反過來也是如此。國外產(chǎn)品進中國要“接地氣”，中國的產(chǎn)品出去要“接洋氣”。在了解客戶需求的基礎(chǔ)上，要通過國際的標(biāo)準，使產(chǎn)品達到國際要求，提高產(chǎn)品質(zhì)量。

中國的公司，特別是比較小的公司在技術(shù)研究上比較聚焦，在某個領(lǐng)域上比國外做的好。國外雖然做的東西多，但也不是行行都做得很好，比如說眾人科技在某些加密領(lǐng)域能夠比國外做得好，就是聚焦在一個細分領(lǐng)域。再比如云計算的加密問題根本就沒有解決，要想讓大家都很放心地把數(shù)據(jù)存放到云里面，還有很大的研究發(fā)展空間。一個細分的領(lǐng)域做得很好，中國的企業(yè)還是有很多機會的。云安全聯(lián)盟就是一個很好的平臺，在全球各區(qū)都有峰會，會邀請各國的企業(yè)參加，可以幫助中國的企業(yè)走出去。

這時，我們想到了李雨航在美國多年從事企業(yè)安全方面的工作經(jīng)歷，我們想請他結(jié)合個人經(jīng)歷談?wù)勂髽I(yè)走向國際的問題。李雨航先為我們回顧了不同時期的信息安全。

他說他最開始是在IBM工作。在大型主機時代，從技術(shù)上面來講，都是集中式儲存、計算，終端是笨終端，網(wǎng)絡(luò)都是私網(wǎng)。從商業(yè)的角度看，企業(yè)投入非常巨大，只有一些很大的企業(yè)有能力可以購買大型主機，每一次升級也比較貴。但是大家對于安全比較的關(guān)注，當(dāng)時的安全問題是非常好解決的，把物理安全和登錄身份認證等問題做好，安全也就好做了。

到了PC轉(zhuǎn)型時期，大家也開始采用互聯(lián)網(wǎng)。商業(yè)就是賣許可證，成本降下來了，安全問題變得非常嚴重。出現(xiàn)了病毒和黑客攻擊，數(shù)據(jù)分散到了很多儲存的地方，造成很大安全問題，靠物理安全解決不了這些問題。但是經(jīng)過多年企業(yè)的實踐，總結(jié)了很多的經(jīng)驗。

在大數(shù)據(jù)、云計算的時代，實際上在后端是有中心化趨勢。每一個人都有手機，以后可能還有物聯(lián)網(wǎng)設(shè)備。這個終端越來越智能，量也越來越大規(guī)模，從商業(yè)角度來講，成本降得非常低。不僅企業(yè)使用計算資源，任何消費者、個人都是可以非常低價使用計算資源。那么安全在這個時代就變得更加嚴峻。安全的邊界就會模糊，會消失，傳統(tǒng)的信息安全是防守不住的。

接著，李雨航介紹了趨勢。他認為，從技術(shù)層面來講，現(xiàn)在主要是有幾個大的趨勢：移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)。今后還要走向智能時代、萬物互聯(lián)、數(shù)據(jù)爆炸、機器學(xué)習(xí)、人工智能等新興技術(shù)，還有很多技術(shù)會涌現(xiàn)。那么，美國的企業(yè)在這種新的趨勢下發(fā)現(xiàn)了很多的挑戰(zhàn)。比如社交網(wǎng)絡(luò)，很多人上班的時候，也在社交網(wǎng)絡(luò)上，這個就是一個風(fēng)險；還有云計算、虛擬化、大數(shù)據(jù)等給企業(yè)帶來的風(fēng)險；還有政府和行業(yè)關(guān)于安全方面會有很多強制性的要求等。這些風(fēng)險都會被黑客利用，每年的安全事件都會大幅度增加。

然后李雨航介紹了國外做安全的經(jīng)驗，他說，在這種趨勢下，企業(yè)就要做安全，這種理念在美國受到業(yè)界廣泛的認同。美國很多大企業(yè)都是把信息安全和網(wǎng)絡(luò)安全分開，由兩個不同的部門來做。

國外的信息化比較發(fā)達，認為安全很重要，會有很多規(guī)矩，不管是基于行業(yè)標(biāo)準還是政府主導(dǎo)的，因此對于規(guī)章制度的建立比較成熟。而中國的合規(guī)性、法規(guī)、標(biāo)準都是不健全的，特別是安全行業(yè)的公司會覺得特別難做，因為企業(yè)都不愿意投入資金。美國有法規(guī)，要達到法規(guī)的要求，很多工作都需要安全公司來做，IT化非常成熟，企業(yè)都認識到安全的價值。現(xiàn)在中國大部分的企業(yè)，對安全的價值不認同。所以這方面還是要向國外學(xué)習(xí)的，把標(biāo)準規(guī)則建立起來。

李雨航主席還有后面的會議板塊要去組織，意猶未盡之余，我們結(jié)束了全部的采訪工作。然而，我們深知，這一定不是結(jié)束，而是一個新的開始，隨著中國網(wǎng)絡(luò)空間安全產(chǎn)業(yè)的國際化進程的加速，我們一定會和活躍在產(chǎn)業(yè)第一線，活躍在國際舞臺上的他，一路同行！