以下为现场速记。
圆桌讨论
主持人:接下来是我们上午的圆桌环节,重点讨论当今的企业安全架构,大家可以准备一些问题询问。今天圆桌的主持人是联合汽车电子CIO赵超,请主持人上台,同时请以下参与的嘉宾上台:
国药集团信息部主任 雷万云先生
前途汽车CIO 邢红波先生
李宁集团IT系统总监 朱远刚先生
Palo Alto Networks (派拓网络)中国南区销售总监 殷成刚先生
深信服科技企业事业部运营总监 许承先生
赵超:这个环节我想代组委会行使一下时间管控权,刚才跟几位大咖商量了一下,我们要把它从一个小时缩短成半个小时,不知道范总是不是同意我们的临时决定?我这边就计时了。
大家可能已经发现了,在这次会议上我们的主办方留出了相当的篇幅给到信息安全这个话题,我刚才也提到了包括网络安全、数据安全和传统的信息安全。针对这个热点话题,其实它不亚于我们昨天中台的讨论,为此我们也有幸邀请到行业内的几位大咖,请他们就这几个问题发表一下他们个人的观点。
我们先请他们简短地介绍一下,因为都做过演讲,所以姓名和抬头都知道了。所以我们换一种方式,我们请各位嘉宾介绍一下你左边的嘉宾,每人一分钟。不用介绍姓名,随便用什么形容词都可以,比如神采飞扬或者怎么样,这个不算为难,是帮大家提提神。我们从雷总开始。
雷万云:邢总刚才的演讲非常精彩。
邢红波:抱歉,昨天在忙晚宴的事情,我错过很多精彩的演讲,但是雷总的开场演讲我记忆深刻,非常有高度。左边这位绝对是帅哥。
朱远刚:我的左边像是一个前辈,是一个专业的前辈,也是一个专家的形象。
殷成刚:小许许承,也是昨天有机会在会场认识的,大家是同行,也有这样的一个机会参加讨论会。谢谢!
许承:我的右边是昨天认识的派拓的殷总,很高兴有机会认识到业界的前辈。这位是赵总,昨天也认识了一下,希望后续有合作的机会。
赵超:几位嘉宾可不可以讲一下你们是怎么认识的,背后的根本原因在哪里,为什么突然一夜之间这个就变成非常火爆的命题,请雷总先介绍一下。
雷万云:我觉得信息安全确实确实非常重要,大家都非常清楚,至少华为使美国进入紧急状态,充分说明美国政府对信息安全从另一个角度的重视,根本没有的事情但是他可以这样做,说明他们是非常重视的。包括我们昨天的讨论和今天的讨论,刚才赵总讲到由内到外企业、行业、国家所有的资产、所有的安全、所有的业务管理、Nohow都在网上,所以一旦有问题,你的业务性、你的安全所有的都会出问题,这是有目共睹的一件事情。当时我2011年、2012年、2013年国家网络安全法还没有颁布的时候,我2012年、2013年写了一本《信息安全保卫战》,由体系的架构专门阐述了信息安全怎么由策略到刚才大家讲的过程,这本书也在引领很多企业怎么做信息安全的策略。
邢红波:为什么最近尤其是从前年,如果大家比较敏感的话,信息安全沉浸了很长的一段时间忽然成为越来越热的话题,我个人预测今年下半年或者明年可能会和中台一样。原因有以下几点:
第一个,由于AI的应用,我们信息安全的边界从企业的内部扩展到外部,原来企业的信息安全更注重To B端,现在已经往To C端延伸了。企业对外的服务原来是B2B的,现在汽车行业到了B2B2C的过程。这是一个原因。
第二个原因,从我个人的观察上看,我非常认同安全已经上升到国家层面上了。但是由于我们的技术发展,技术发展带来的不仅是好东西,还有坏东西,技术没有好坏,看放在谁手里用。由于我们的技术发展,我们面临的安全威胁就比较多,比如说工业互联网、自动化,我们现在做数字化的转型,我们很多实物资产已经变成虚拟数字资产,这个时候对我们IT提出的要求就越来越高了。
第三个层面,是我的演讲中特别关注的可能大家不太研究的一个点,现在黑客获取信息安全的驱动。我上次参加成都的安全峰会的时候拿到一本书叫《黑客心理学》,《黑客心理学》前言第一句话就说“信息安全问题是人的问题”,它首先是人的问题,我们在整个信息安全建设里有三方面的原因,有三个角色,第一是信息安全的建设者、第二是信息安全的保护者、第三是信息安全的破坏者,这三者的关系现在是有经济利益在里面的。由于黑客能用低于他的成本拿到高的收益,他现在就愿意干这件事情。其实背后还有更重要的原因,类似于比特币交易模式的存在给了黑客空间。
这是我的看法。谢谢!
朱远刚:对于信息安全这个事情我觉得确实对于IT、对于公司的业务发展来说一直都是非常关键的事情,对于公司业务、对于IT是一个红线的问题,也是一个基础的事情。但是确实信息安全不同阶段的重视程度是不一样的,大家都会感觉到,不出事的时候感觉不到它的存在,出事的时候才想起来安全的问题。大家经常在没有一些话题或者没有一些事件的时候也关注不到,最近因为各种事件的发生,包括随着互联网化的进程和数字化转型的进程,大家信息安全的意识越来越高、重视程度也越来越高。所以我也认为,不管是内部的管理要求、还是对于整个社会大家对于信息安全的重视程度来说,对于信息安全的要求会越来越高,投入也会越来越大,包括对消费者个人隐私保护各个方面的需求,都会促进我们在这方面的持续投入和提升。
赵超:殷总和许总是来自于乙方的,介绍一下这个大的形势到底怎么样变化,导致现在有点人人自危的状态。
殷成刚:我叫殷成刚,来自于派拓网络,我们是一家硅谷的明星公司,最近几年大家比较关注,今天上午听到几位嘉宾讲到信息安全。作为乙方来说,内部的变化使网络环境发生了很大的变化,我们原来传统的数据比较多的是储存在传统数据中心里面,当出现了云化的场景之后,我们再用传统手段来保护它。
主要是有两个原因:第一个,攻击手段更多样性、更隐密性,守方变得更加难。第二个,原来的攻击方法是破坏或者获取数据资产,今天变得更加赤裸裸,比如去年或前年的勒索病毒发生,直接获取利益回报,这种挑战对于我们今天的威胁更加直接或者做信息安全的同事甚至让老板都感觉到网络安全和信息安全我都感觉到了,以前是听同事在讲,今天是实实在在的发生在变化。
这两个原因导致信息安全变得越来越重要,面对这样的挑战的时候,我们既要考虑用户使用环境和业务形态的变化,也要考虑外部攻击环境和攻击形态的变化。
许承:大家好,我是来自深信服的许承。我对于安全这一块的理解,引用前美国国家安全局说过的一句话,这个世界上只有两种人,一种是知道自己已经被黑的人,另外一种人是不知道自己已经被黑的。这个说简单一点,其实黑客攻击安全事件这个事情,早在十几二十年前大家觉得这个事情离我们很远,比如熊猫烧香病毒我也接触过,之前的黑客行为确实是为了达到一种炫技或者呈现自己技能的表现形式,但是大家看到最近发生的一些安全事件是跟我们的业务包括信息资产息息相关的,包括刚才殷总也提到勒索事件、数据泄密,大家平时在网上会有这种感受,感觉信息安全事件离我们越来越近,以前我们感觉信息安全离我们很远,但是现在我们每个人都是信息安全的参与者。
我们深信服也一直在强调,网络安全是整个企业IT基础架构的一部分,除了计算、网络、存储之外,安全也是信息基础架构的一部分,所以信息安全建设对于企业来说现在是一个非常重要的环节。包括国家层面习主席发表4·19讲话,把信息安全提高到国家战略的高度,没有信息安全就没有网络安全。包括等保2.0和2017年发布的网络安全法都说明了信息安全落实到我们的行动当中,现在也有一些护网行动、禁网行动等等,在信息大爆炸时代信息安全与我们每个人都是息息相关的,不仅仅是企业IT信息化考虑的问题,更应该是每个企业员工要关注的问题。信息安全是我们每个人都要关注的一个问题。这是我的看法。
赵超:现在不是杞人忧天的时候,确实是山雨欲来风满楼。在这种情况下,我们甲方能不能评估一下,到底是敌人太强大了,还是我们自身缺少意识,哪一个方面在我们自己的企业里更加突出一些?
朱远刚:信息安全工作人确实是最关键的,现在对于一些所谓的攻击也好、或者我们做的一些防范也好,肯定是我们自我意识是最关键的。我有没有建好自己内部的体系,包括有没有去做一些应对的应急措施等等,当然必要的手段也是必须的。回顾我自己经历的安全事件,我可以跟大家分享一下,我今天是抱着一个学习态度来的,今天上午听邢总的分享,我对标了一下我们的进展,可能我们现在估计顶多处在1.5的的水平。在这么多年的业务运用过程当中,倒是没有出现过大的信息安全事故,可能还是有些人的经验或者快速应对,靠人的东西会多一些。另外一个可能还是运气好,可能还没有被一些顶级的黑客盯上。
我记得曾经有一次域名被攻击,当时我们的域名解析是放在内网的,被攻击之后我们的防火墙就全部被堵住了,整个内网都不能提供服务了,我们就紧急把域名解析迁到外头,搞瘫了好几个外面做域名服务的公司,最后找了一个比较大的公司终于扛住了攻击。但是他没有攻击我们内部的核心系统,我估计是运气好,他没有想深入的去攻击到我们更深入的防火墙,进入到我们的内部系统,而是想做一些尝试性的对我们官网域名的攻击动作。但是我想未来信息安全工作不能靠运气,我们必须要扎扎实实的把一些防病的工作做好。
邢红波:这件事我觉得要内部和外部两方面的因素都是有的,内部是对信息安全的重视程度,很多企业都建立了信息安全委员会,比如说赵总是最直接的体现,从IT总监转成信息安全总监。组织保障和安全意识是我们最根本的,还是那句话,信息安全管理是核心,技术是手段,没有管理,再好的技术也会起不到它应该起到的作用。人还是我们整个信息安全的核心,这是在内部来讲的。
对外部来讲,刚才两位乙方同行在分享的时候也说到,现在在信息安全的攻防战上,大家还是面临的整个情形还是比较险恶的。刚才朱总说到虽然以前没有碰到这个问题,是靠运气或者怎么样,但是也涉及到一个方面,信息安全是有效的,但是没有被人惦记而已,不怕贼偷,就怕被贼惦记。我们要跟进技术的发展,多和厂商进行交流,毕竟他们比我们更专业,我们要根据有影响力的信息安全事件评估一下自身,和厂商做一些好的交流。比如说勒索病毒出来的时候,很多企业没有办法,中招了,只能拿钱买平安。包括现在厂商经常讲态势感知,我认为态势感知这件事大家可以去研究,但是真正做到杜绝是很难的事情。
赵超:雷总,在数字化转型的大背景下,我们面临比较突出的问题,您认为是在哪一方面?
雷万云:我认为整体来讲现在对企业来说信息安全合适为好,这个非常重要。企业要评估合适,外界的压力确实一直有,但是我一直讲合适,你要保住最基本的要求,就是合适。确实信息安全花钱各方面要合适为止,我们是一个信息安全保卫战,我的那本书就叫《信息安全保卫战》,保卫到什么程度。这是一个理念。
第二个,你要在这里面深入,要跟你的老板、老总交流。我觉得重要的是保证我们是为企业服务的,主要是企业的角度和业务的连续性。最大的集团企业我提出来了,但是现在谈的人很少,我认为也是比较悲哀的,就是基于云、基于大的集团企业、基于大的复杂场景,又是由内、又是由外,单一的局部的是不行的。我在2012年、2013年提出来,包括和IBM有交流,我觉得要提出来一个信息安全的框架或者架构,有体系性的东西,是一个体系建设,而不是局部的。我曾经在一本书里面提出来,体系是由三部分组成的,第一是安全管理、第二是安全技术、第三是安全运维,当然这三块中间还是有交叉融合的部分形成一个安全的核心部分。
我原来辅导了很多安全的公司,我说你必须基于这三部分的框架,基于安全云来把这三部分做好,尤其和安全管理、安全策略、安全责任打交道的最终是人。当然我们用了很多技术,硬件的、软件的技术,最终要通过管理和技术的融合形成一个运维,自动化的运维、团队的运维、外包的运维等等,它又是把这两部分融合成一个部分。如果我们能够部署到一个云上,或者企业做的PaaS、私有云或者什么云上,我们在云上把安全设置出来。再加上由内到外的做法,对黑客态势的感知、内部的调整、再加上一些AI,我们的攻防就可以达到动态的平衡,这是一种比较理想的融合性的体系,而不是按下葫芦又起瓢,必须要系统性的考虑安全的问题,才能达到一个比较好的良性循环。
赵超:也就是说,这件事情的起点,我们一定要对自身有一个认识,不然的话就算有神医在手也救不了。刚才邢总已经接近了两位乙方说的,我们还是希望在技术上得到乙方的帮助。下面一个题目我想请教一下二位,目前的安全技术和进攻的技术相比较,魔道两界,毕竟安全技术是跟随技术,往往是在发生以后我们才想到应对,二位是不是可以分析一下,到底我们现在有什么样的落差?或者我们的安全技术非常强大,所有的问题我们都能hold住了,还是说现在实在是敌人太狡猾,我们只能应对到个7、8分,请二位阐述一下自己的见解。
许承:我分享一下我的见解,刚才赵总说安全能不能做到完全防御,我们说没有100%的安全,谁也不敢做这种保障,确实是没有哪个厂商或者技术公司敢做这种承诺。但是从我们以往的安全模型来看,比如说PDCA,就是我们说的防御、检测和响应,这是一个闭环。这个闭环最后虽然也发展出PD2、ATF所谓纵深的安全防御系统,当然这个对我来说,我们感觉它还是比较静态的防御系统。刚才雷博也提到了,整个安全需要做到合适,就是动态的闭环。
所以说,我们厂商在这一块的思考其实也是说过去PD2的防御模式相对来说是比较被动的,黑客想到攻击我的时候,我要想到怎么去防,如果防不住的时候,他进来的时候,我要做一些检测和响应,这是目前大多数企业能够想到或者做到的阶段。但是不知道各位有没有想过,PDR循环玩了一圈以后就停滞了,如果下一次还有一个攻击进来怎么办,我的动态循环能不能适应新的威胁攻击。我们知道现在的威胁攻击行为是越来越低成本化的,很多攻击工具已经工具化了,一个没有什么专业知识的黑客都可以利用打包好的工具迅速对你发起攻击。现在很多黑市上也出售一些黑客工具,我买过来就可以用,不需要有专业的知识。
以前的静态相对于比较过时的闭环体系应对现在的新型威胁是非常吃力的,所以我们现在在安全里面开始大量加入一些人工智能和机器学习的技术,来保障人工智能这一块的东西能够进行防御和响应,帮助我识别一些安全威胁,不再靠人工分析做一些应对。这个是事前安全防御能力的加强。
在检测和响应阶段,因为我们企业都知道,管信息化的人往往是比较少的,可能就几个人甚至没有人负责这方面的工作。整个企业对于安全运维的工作怎么把握,怎么有专业的人员时刻守护企业的安全,其实这也是企业一个比较明显的痛点,我的安全运维该怎么做、该由谁来做。其实这一块也是我们在考虑的一个问题,在企业的安全运维方面怎么帮助企业减轻压力。通过人工智能加上智慧的智能运维,能够帮助把我们前面提到的PDR循环就是防御、检测、响应的闭环持续滚动起来,通过我们说的“双轮”也好、或者驱动力也好,通过智能化的检测技术加上智能化运维的方式,使这个闭环迅速形成动态的防御体系。就像刚才赵总提到的,道高一尺,魔高一丈,我们需要不断的有一些新的技术和手段应对威胁的变化。但是安全做到100%还是比较困难的,我们只能尽量的降低企业的安全风险,但是完全避免还是比较难的。这是我的一些见解,谢谢!
殷成刚:举一个很典型的例子,今天大家讨论网络安全,我们经常反思很像踢足球的是攻方和守方,守方守了99次,守住了就不会进,攻方只需要进一次就行了,这不太公平,特别是对于防守一方。我需要防的点不是一个点,而是多个点,它就是网络安全的保卫战,如果是陆军还好,今天是海陆空要协同作战。我们在不同的应用场景和不同的技术场景上,可能根据历史原因或者技术原因选择了不同的技术手段,我很难通过海陆空进行协同作战。今天有大量的场景,每个技术类型都不同,我要想应对的时候,我原来的防守模式几乎都是单点应对。
我怎么一开始的时候就能想到一个框架,这个框架可以基于未来的发展方向、基于业务的拓展,同时把安全能够放进去,它能够支撑业务发展。这个是安全厂商思考的问题,他看到了今天的用户需求,我们需要7、8种安全技术,需要7、8种不同类型的人防御,这个对于用户来讲不现实。在寻求外部支援手段的时候,首先考虑的不是某个技术,这个安全技术怎么解决企业多样化的需求,解决了多样化的需求就会带来另外一个挑战,就是我们今天谈的人的问题,特别是做安全管理的人的问题,这是目前无论是在中国市场还是全球市场最大的一个挑战。我们有技术,我们可以花钱买产品,但是谁来运营这个产品,谁来自动化的应对外部的攻击,每次进攻不用我每次去应对,能够自动的实现防御手段。所以今天在安全业界里面也存在安全厂商能不能帮助用户降低人为的参与,更多的实现业务防御的自动化,帮助用户主动去应对,而不是后面的亡羊补牢。这个也是厂商应尽的一个责任,无论是国内的厂商也好、还是国外的厂商也好,几乎都在朝着安全云平台、安全自动化运维的方向在发展,希望帮助用户在这方面有所提升。
赵超:根据我们刚才约定的时间,我们有一点超时,但是我相信是所有环节里面最守时的一个,这个话题不再继续下去。后面还有一天多的时间,如果大家有什么问题想跟几位专家探讨都还是有机会的。最后我想借用这个平台,感谢一下范总和组委会,能够搭了天山论剑的平台,希望后面还有华山论剑或者武冈论剑,希望各位企业在练就了数字化屠龙宝剑的同时,也希望练就一身绝世武功。谢谢大家!
主持人:大家有没有问题要请教各位的?
观众:我是来自中国一汽的,我是负责一汽下面最大的子公司的信息化工作的。未来5年有可能利益驱动的信息化安全事件,是我们企业要注意的很重要的事,现在在我们集团已经发生了,这些问题我们已经惊动了公安部门,就是这么严重的一个问题。刚才邢总的演讲非常精彩,我受益匪浅,有一个问题想请教一下邢总。您在PPT分享的时候说到信息安全选择的原则就是平衡之道,这是非常重要的,实际上也是一个老的问题。您说信息安全优先和效率优先两者的平衡,我想问一下您是怎么处理的?
邢红波:平衡这件事归根到底是人的问题,我们公司的设计人员特别追求自由,我到这家公司来的时候,我们设计公司有两个人是做运维的,根本没有构建那个东西,我们是一步一步的梳理,从员工的意识上开始着手,不要试图一步到位,我们逐步的推动员工意识。因为刚才讲人是根本的,从组织保障和制度完善入手,我们还可以在内网上搞一些安全测试、知识竞赛。还有很重要的是,我们有了组织保障之后,相关制度要落实,在我们公司KPI是管理人一票否决的。业务部门会强烈反对,他会找各种理由告诉你这个东西打不开。但是因为前几年技术上确实有了问题,有一些加密软件尤其是我们的数模有打不开的情况,你不能怪人家,怪我们的技术不成熟。从我的从业经验上来看,这些技术现在是比较成熟的,这些借口是不成立的。如果有这些借口,可以和业务部门做一些沟通。比如我们之前从外面一个分公司招来一个总经理,他非常不适应我们各种加密的。我可以告诉你,由于我这次来得比较匆忙,我们所有的U盘口是被封掉的,我在电脑上做的都拷的出来,我也不行。所以说特权不滥用,包括我自己,包括总经理、董事长都不行,没有用,没有得到流程的授权就不能干这件事,这个非常重要。回过头来说,信息化建设我们说是一把手工程,大家讲了很多年了,信息安全建设也是一把手工程,如果你得不到最高层的支持和授权就很难推动这件事。但是我的经验看,技术上现在业务部门来挑战我们应该没有问题,我们应该对我们的厂商有信心。对不对?
观众:谢谢邢总!
观众:台上几位专家好,我是来自一个餐饮连锁企业的,好客来。我们也是碰到一些安全问题,我们在使用会员系统的时候,响应速度很高,所以我们把数据放在云端。我一直很担心,把数据放在云端会不会不安全。因为我的东西放在阿里云,我就问了阿里云的专家,他们说很安全。但是我问了一些别的专家,他们说不要放云端。我想问一下深信服的许总,我也是你们的客户,也用了你们的产品,我想了解一下,从你的角度看,数据放在云端是不是安全的?
许承:我觉得数据特别是餐饮客户的数据放在云端肯定是不安全的,虽然说阿里上面有一些相应的安全产品保障你的数据,他可能会有各种的方法。这也是为什么现在很多的企业对于公有云,包括前面赵总也提到了,她很排斥混合云的架构。其实混合云是可以用的,但是最好是一些关键的业务,我们建议是不存在混合云上面。但是这里也要做一个考量和平衡,你要考虑一下自己IT部门的技术能力,有没有办法做好数据的保障,如果说缺乏这一块的能力,其实退而求其次是可以作为一个临时过渡的方法放在阿里公有云上面存储的。
因为我们之前在上海也有一个同类型的客户,是顶新集团旗下的公司,他们也有一个会员系统,但是不敢把敏感数据放在云上面,他们自建了一个数据中心,按照等保三级进行了安全建设。因为数据放在公有云上面还是会存在一些风险,我不知道阿里里面不同的客户业务的分区是怎么做保障的,但是一旦存在这个风险,客户的网络被突破,有可能会发生一些横向转移的风险。这是我个人的一些看法,重要的敏感的数据还是建议保存在本地,但是你要衡量一下你当前的技术匹配能力,可能公有云可以作为一个临时过渡的手段,可以作为一个使用方法,但是不是长久之计。这个东西一旦突破之后,你觉得是好客来的责任,还是阿里的责任?
观众:我们现在碰到一个问题,客户在买单的时候,可能要2、3秒之内就要打开,而且我们的行业特点是在高峰期,比如说中午12点到1点的时候用户非常多。
许承:还有一种解决方案,可以利用云端可扩展的能力,数据和请求是可以分离的,我们有一些客户是这么做的,他的业务请求是可以放到公有云上面去请求的,但是他的数据是回到本地来读取的。
观众:比如我们的会员积分、电子券,它要立即计算出用户有什么优惠,可以打几折,5秒就算卡顿。
许承:我之前有遇到这种类型的客户,如果你对实时性要求比较高,还有一种解决,云端上面也有很多的生态厂商的组件,也可以选择一些安全组件进行安全加固,包括符合等保的要求,如果在延迟方面有要求,这个也是可以的。放在云端不是长久之计,现在也有很多解决方案,阿里有很多生态,包括深信服的云化产品也在阿里云上面有合作,包括其他的安全厂商都有一些产品可以选择,做一些安全加固是可以的。但是建议还是不要太依赖阿里,敏感的数据建议能自建还是自建。
朱远刚:对我们这种零售、偏零售、餐饮相关的消费品行业都有这种特点,我们有波峰、波谷,这个行业很多客户都在大量的用云服务。所以从我们的角度来说,我觉得云服务是我们未来必不可少的一个选项。其实我有一个想法,希望我们做安全服务的厂商能够跟云厂商合作,在云端也能够提供一个更加安全的使用环境,而不是必须选择一个自建或者怎么样的方式。
邢红波:这位兄弟,我特别想说两句。我个人觉得,你刚才讨论了很长时间,我有一个建议给你,一定要跳出技术,用更高的格局和思维方式来考虑这些问题。你们现在是放到公有云上了,肯定是做过评估了,你平衡完以后没有办法,只能这样选择。我们刚才说过,没有绝对的安全,只有相对的安全,雷总说得非常清楚,这个框架目前是适合你的。你可能有你的担心,等到公司到了某一个层级的时候,可以不用这个云,自己有能力的时候可以建自身的数据中心。你现在纠结的问题非常难搞,无解。
观众:其实黑客的损失我们可以控得住,但是还有政府的,黑客一天让我损失多少,我后台数据是可以监控的,第二天就会找到另外一个方法应对,但是有一些其它的,比如说其他部门像国家的权力机关介入云平台,有没有这种情况?
邢红波:这种政策的因素不是我们考虑的范围,最大的风险是政策风险。再提醒各位一句,我没有对云服务厂商有任何歧视,所有现在在用国外云服务的厂商一定要关注一下中美贸易战,很有可能出现最极限的情况,我们目前在国内能提供服务的厂商,大家在用的,有可能不给我们提供服务了。抱歉,不知道今天有没有亚马逊的同事在,他刚才讲到这个事,我要提醒一下大家,你说的问题我们解决不了,也是无解。
赵超:我行使一下主持人的权利,想吃饭的可以走,不想吃饭的可以留下来。我接着邢总的话,你现在是一个担忧,你不能根据担忧问人家怎么解决担忧。你可以把这些资产拿出来,你要做一个评估,到底风险在哪儿,我能不能承受,还是要相对理性一些。真的是一个担忧,我觉得现在很多的甲方IT一听到云的时候都是一种担忧,把云当成一个笼统的词来讲,这样无助于解决问题。
殷成刚:公有云市场在国外还是蛮成熟的,而且有一些客户采用上云的方式,说明对公有云的方式是认可的。在整个公有云计算的责权划分上有明确的规定,公有云负责基础架构安全,数据和应用安全由用户负责。现在安全厂商也在应对这个趋势,在公有云平台上提供基于SaaS服务的模型,而不是买软件的模型。其实大部分的主流硬件厂商在阿里都能够提供在云上的防护保护,以前我们传统数据中心有大量的测试手段可以验证我们的短板在哪里,今天比较难的是在公有云的环境验证到底漏洞和短板在哪里。我相信有相应的技术手段进行检测,当然这是成本问题。从业务需求来讲,其实公有云安全还是可信的,但是用户一定要分清责任,公有云负责基础架构安全,数据和应用安全由用户负责。
京公网安备 11010502049343号