仝培杰

10月20日，中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)、公安部信息安全等級(jí)保護(hù)評(píng)估中心，聚合行業(yè)資深I(lǐng)T安全服務(wù)商和沉淀多年的安全能力者，成立了“行業(yè)（私有）云安全能力者聯(lián)盟”，并舉行了“中國(guó)首屆行業(yè)（私有）云安全技術(shù)論壇”。

這一舉動(dòng)，在我國(guó)云計(jì)算領(lǐng)域，乃至網(wǎng)絡(luò)安全領(lǐng)域，可謂一件值得慶賀的大事，尤其是對(duì)于行業(yè)用戶而言，將來在云安全發(fā)展方面，將是最大的受益者。

因?yàn)槌闪⒙?lián)盟最重要的一點(diǎn)，就是要抓住行業(yè)用戶的需求，從規(guī)劃、咨詢、方案設(shè)計(jì)、服務(wù)提供、運(yùn)營(yíng)支持、平臺(tái)提供以及測(cè)評(píng)等諸多方面，以確保行業(yè)（私有）云的安全，能夠形成一個(gè)完整的行業(yè)（私有）云安全產(chǎn)業(yè)鏈，提供整體的行業(yè)（私有）云安全解決方案，讓行業(yè)用戶有更多的安全選擇。

當(dāng)前，我國(guó)正值“十三五”開之時(shí)，在全面深化改革的戰(zhàn)略要求下，各行業(yè)都依托“互聯(lián)網(wǎng)+”、“大數(shù)據(jù)”、“云計(jì)算”進(jìn)行體制與機(jī)制的創(chuàng)新，其中云計(jì)算在促進(jìn)社會(huì)創(chuàng)新機(jī)制中扮演著重要角色。尤其是在近幾年，云計(jì)算已經(jīng)從邊緣突進(jìn)到中心，對(duì)產(chǎn)業(yè)和社會(huì)帶來變革性的影響，致使行業(yè)（私有）云的發(fā)展升級(jí)，并成為云計(jì)算市場(chǎng)發(fā)展的核心動(dòng)力。

云離不開安全，安全又是云的重要保障。相較于公有云，行業(yè)（私有）云可以提供更加透明、可控的計(jì)算資源，特別是隨著OpenStack開源體系技術(shù)的成熟，行業(yè)（私有）云架構(gòu)所具備的安全可控性高、應(yīng)用穩(wěn)定性好、軟硬件擴(kuò)展性高、管理過渡平滑、部署方式靈活的五大優(yōu)勢(shì)，更能契合國(guó)內(nèi)大型行業(yè)企業(yè)對(duì)云安全的需求。

我們必須看到，隨著云計(jì)算基礎(chǔ)技術(shù)的日趨成熟，云應(yīng)用在重要行業(yè)中的趨勢(shì)已日趨明顯，政務(wù)云、醫(yī)療云、交通云、金融云、能源云、媒體云、電力云、通信云、廣電云等行業(yè)（私有）云，將成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。同時(shí)，我們還可以看到，從傳統(tǒng)計(jì)算環(huán)境到行業(yè)（私有）云環(huán)境，科技創(chuàng)新推動(dòng)了信息化發(fā)展，在帶來便捷的同時(shí)，安全問題已經(jīng)成為主要的制約因素之一。雖然國(guó)家已經(jīng)制定了以信息安全等級(jí)保護(hù)為核心的合規(guī)標(biāo)準(zhǔn)，但是如何落地，如何有效地落地，已經(jīng)成為行業(yè)（私有）云安全發(fā)展的難點(diǎn)與痛點(diǎn)。若不盡快解難祛痛，那么“讓行業(yè)用戶有更多的安全選擇”就會(huì)成為一個(gè)美好的愿景和祈盼。

解難，需要本事；祛痛，需要本領(lǐng)；只有本事與本領(lǐng)兼?zhèn)?，才能被稱之為能力者。“行業(yè)（私有）云安全能力者聯(lián)盟”對(duì)成員恪守了“五大能力壁壘”標(biāo)準(zhǔn)：一是對(duì)創(chuàng)始人團(tuán)隊(duì)有要求，核心人員穩(wěn)定度在5年以上，并對(duì)信息安全領(lǐng)域有深刻理解；二是對(duì)技術(shù)研發(fā)能力有要求，研發(fā)團(tuán)隊(duì)至少50人以上，并有3年以上的團(tuán)隊(duì)合作經(jīng)驗(yàn)；三是對(duì)研究能力有要求，研究團(tuán)隊(duì)至少20人以上，長(zhǎng)期沉淀于核心安全技術(shù)的研究，在相應(yīng)市場(chǎng)領(lǐng)域占前三位；四是對(duì)產(chǎn)品化能力有要求，產(chǎn)品易用性已經(jīng)過市場(chǎng)檢驗(yàn)，銷售額利潤(rùn)已具備一定規(guī)模；五是對(duì)服務(wù)轉(zhuǎn)化能力有要求，可以將安全能力經(jīng)驗(yàn)轉(zhuǎn)化為產(chǎn)品或平臺(tái)，不完全依賴人工。

總而言之，就是要“本事與本領(lǐng)兼?zhèn)洹?，否則稱不上為“能力者”，更談何具有“解難祛痛”之能力？“能給行業(yè)用戶提供可以落地、可以實(shí)施的行業(yè)（私有）云安全解決之道”即為夸夸其談，那么“讓行業(yè)用戶有更多的安全選擇”就會(huì)淪落為一句空話，乃至一種美麗的謊言。

行業(yè)（私有）云安全能力者聯(lián)盟定位于共同研討標(biāo)準(zhǔn)、搭建試驗(yàn)環(huán)境、進(jìn)行合規(guī)驗(yàn)證、為行業(yè)（私有）云需求方，提供“大規(guī)模拒絕服務(wù)攻擊云端防御與清洗”、“Web應(yīng)用層及API接口防御與檢測(cè)”、“高持續(xù)性威脅攻擊（APT）檢測(cè)與響應(yīng)”、“核心數(shù)據(jù)資產(chǎn)保護(hù)與審計(jì)”、“大流量網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控與分析”、“云端管理資源濫用和人員管理”、“安全能力虛擬化調(diào)度及策略可視化管理”等主要威脅和需求領(lǐng)域合規(guī)的產(chǎn)品及解決方案。

據(jù)了解，行業(yè)（私有）云安全能力者聯(lián)盟首批發(fā)起成員涵蓋了信息安全專業(yè)研究機(jī)構(gòu)（國(guó)信衛(wèi)士網(wǎng)絡(luò)空間安全研究院），信息安全測(cè)評(píng)機(jī)構(gòu)（公安部信息安全等級(jí)保護(hù)評(píng)估中心、國(guó)家信息中心電子政務(wù)信息安全等級(jí)保護(hù)測(cè)評(píng)中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心），IT（安全）服務(wù)商（太極計(jì)算機(jī)股份有限公司、中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司、北京捷成世紀(jì)科技股份有限公司、北京華勝天成科技股份有限公司、北京市太極華青信息系統(tǒng)有限公司、北京神州泰岳軟件股份有限公司），云安全產(chǎn)品及服務(wù)商（中新網(wǎng)絡(luò)信息安全股份有限公司、北京圣博潤(rùn)高新技術(shù)股份有限公司、北京安博通科技股份有限公司、上海金電網(wǎng)安科技有限公司、成都科來軟件有限公司、北京景安云信科技有限公司）、云平臺(tái)產(chǎn)品及服務(wù)商（新華三集團(tuán)、華為技術(shù)有限公司、北京國(guó)信新網(wǎng)通訊技術(shù)有限公司）以及信息安全專業(yè)媒體（《網(wǎng)絡(luò)安全和信息化》雜志社）。

聯(lián)盟雖然有“五大能力壁壘”標(biāo)準(zhǔn)作為基本“門檻”，但她更是一個(gè)開放的聯(lián)盟。開放的目的在于吸納業(yè)內(nèi)行業(yè)云及安全能力者，整合不同能力者的核心能力，依托國(guó)家相關(guān)重點(diǎn)工程實(shí)驗(yàn)室做等級(jí)保護(hù)標(biāo)準(zhǔn)的落地驗(yàn)證，配合重點(diǎn)行業(yè)云平臺(tái)做等級(jí)保護(hù)標(biāo)準(zhǔn)的落地驗(yàn)證，形成合規(guī)的有效的行業(yè)（私有）云安全等級(jí)保護(hù)標(biāo)準(zhǔn)落地解決方案。而在技術(shù)層面上，成員之間持續(xù)進(jìn)行聯(lián)合創(chuàng)新，廣泛進(jìn)行兼容性驗(yàn)證，形成領(lǐng)先的解決方案，打造榜樣案例，樹立云等級(jí)保護(hù)標(biāo)準(zhǔn)落地的標(biāo)桿項(xiàng)目，為推動(dòng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮相關(guān)作用。

所有這些，目的是不言而喻的——讓行業(yè)用戶有更多的安全選擇。