“中国国际高新技术成果交易会”的重要组成部分——“2014中国高新技术论坛”于11月16-18日在深圳会展中心举行。上图为云创新和安全组织执行主席杰瑞-沃特里克。

以下为演讲实录：

杰瑞·沃特里克：非常感谢黄总给我做的介绍，首先我们之前已经听到了非常精彩的一些对话，一些讨论，讲了云、讲安全，而且讲了大数据，我今天在这里可能更多的会在安全这一块儿给大家做一个演讲。

首先包括一些服务的外包，和所谓的管理服务和云计算中间的差异是什么？可能从根本上而言，这些不同的术语它的意思到底是什么？我们可以看一下，传统的外包是什么？这也是伴随着我所成长的，所见证的历史，如果你要外包的话可能需要很大的数据中心，到目前为止已经做了很多这方面的工作。

2、是所谓的管理性的服务。这个概念到底是什么？管理性的服务，它也是代表着IT的服务，还有一个非常好的透明度，灵活性，另外一方面它的可获得性，可用性也要非常的高，我们需要了解的一点是什么？为什么我们有的时候需要外包，需要一些所谓管理性的服务，因为你要了解一些根本性的相关需求。

3、云计算。云计算到底是什么？云计算这概念代表着，也是一种经过管理的服务，使它的交付模型充分的利用网络来作为我们的基石，对于整个行业里面，我们可以看到，最开始所谓的云服务的提供上，或者是管理性服务的提供上现在在不断的涌现，他们已经形成了一种服务，所谓云服务的供应商，他们可以提供很多这些线上的服务。

如果我们再进一步来看，这样的一个模型，我们从一个大的架构和角度来看，这其中我们觉得一直非常有意思的就是跟具体的IT有关，对一个大的组织而言，IT扮演的角色是什么？首先一个公司有什么样的风险，从董事会来看，如果你在这个董事会里面可能需要有一些责任，或者对一些问责做出响应，如果出现问题的话，有一些潜在的风险，你必须要做出响应和应对，大家现在每天可能都会遇到一些所谓黑客的攻击，这个时候也是在董事会里面经常会讨论的一些内容，如果坦白的来说，如果我们把它称作是管理的话，就是你如何来应对IT的风险，如何来解决IT的风险问题，在这里给我们展示的是一个董事会的成员，如何来看待这样的一个模型，这是一些主流的一些大的企业可能会做的。

这是代表着一个自上而下的一个方法，对于大部分的企业，大的公司会使用，这里包括IT技术架构，个人计算，外包的IT，最右边的是IT，治理，这个也是我非常关注的领域，就是说IT如何和整个公司治理的架构相契合？

相信大家对于这一类的问题，我之前也是和一些企业的董事会成员就这类话题，这类分析进行探讨，现在所发生的一些现状是什么？我们可以看到大家的意识层面在不断的提升。

这上面看起来不是非常的清楚，但是我想在这里强调的是什么？我们需要关注的是那些董事会的高管如何来看待安全性？可以看到PWC做的一个研究，2014年的信息安全，我们看到今年的占比当中有超过60%的人觉得它是具有比较好，或者是非常高的，2014年的比例超过70%，另外一些调研，我们觉得调研有时候非常有意思，他可以给到你一些背景、一些概念，或者是对于一些受访者，他们觉得这个特别的重要，我们也可以看到重中之重的问题。

1、业务的持续性。在我的眼里，在这些受访者的眼里，比如说网络风险排在第二位，这个来的要更加重要一些，大部分受访者的人，他们会关注事件、灾难的一些恢复，可能对于他们的数据中心，或者是IT的数据当中如何来恢复这些状况，恢复是非常重要的，也就是业务的一个可持续性。

2、有关一些现有的技术，可能所带来的一些风险。

有移动计算，其中也是占了一个比较大的，人们把它视作具有波动性，不确定性的一些东西。另外一个是社交媒体的问题，包括使用像脸谱，或者是其他的社交媒体的一些网络的一些使用，它也是一个非常大的风险点，是董事会管理的时候比较关注的，有的时候会带来名誉方面的一些问题，有的时候你发了一条微博，其中涉及到一些其他的公司，最后带来的一些后果，很有可能是对一些公司的名誉、声誉带来巨大的影响。

有多少的公司，具体的时候会进行风险分析，这是内部的风险评估，在这里我们可以看到是71%，也就是这个大约3/4，超过70%的企业内部会做一些信息安全和物理安全，但是比较小的公司只有51%，或者是只有一半的人来做风险评估，在这里我想强调的是，我之前是做审计的，那个时候我会说你们在风险这一块儿做一些什么防范的机制？你们如果出现一些问题，你们如何来定义他们，如何来应对他们，在这里我们可以看到，调研的结果也证明了风险评估在不同企业里面受重的程度是不一样的。

你无论在什么样的业务当中，我们必须要有一个很好的风险管理的组合，我们需要做具体的分析，如果你给哪一家，都要充分的来定义内部出现的风险。

在这里其实是代表着一些标准的框架，我们从安全上面，一个大的角度来看，这其中不同的层级，有网络级、有应用层级，有运营系统，也包括虚拟化这个层级，也包括物理，我们的数据库、我们的设备等等。那对于风险可能会出现的一些新的领域，现在主要是在虚拟化这一层，可能比较容易出现风险，在这一侧我们会做一些云的一些数据库或者是自己来开发一些私有的或者是公有的一些平台。

从云风险管理角度我们要做什么？首先要识别有哪一些风险，第一是治理的缺乏，我之前已经说了，包括一些数据泄露，有很多的一些服务的可获得性出现的问题，缺少合规，最后一点你缺少数据的质量，可能在这一部分，在风险方面很多公司没有把这部分内容放在他们的风险管理中。

首先我们以一个所谓的治理上的损失来看，这中间需要做什么样环节的一些措施，防范的措施，正如我之前所提的，被外包的组织的它的安全方面做的很充分，至少它能够在你的一些指导方面，在你的一些指引方面可以做的不错，另外一方面服务水平协议也非常的重要，服务水平的协议是你和供应商之间，包括云服务供应商之间的关系如何，你必须要有一个很清晰的定义，这一点非常的重要。

从安全的角度，我们要把这部分的内容考虑到，整个SLA服务水平协议这个合作当中，如果提到这个，我们也包括合同管理，CSP有效的和管理，我们必须要持续的、有效的去管理这些协议。

我觉得无论是什么样的类型的服务，比如说CRM这样的服务，客户关系服务，可能现在已经是非常标准化的内容，大家可能经常会把它外包，作为一家企业，我们需要的是你要有一个服务供应商认证的报告，第三方的一个认证报告，我们会关注下一个点。

下一个点是有关数据损失、数据泄露的保护，首先数据分级非常的重要，数据的分类和分级对于我们如何来保存这些数据，风险的优先级是不一样的，我没有时间讲的太多，我就列出我个人觉得比较重要的一部分。

如果要做好风险控制，我们首先要做好风险分类、风险分级，第二个是虚拟化，这个是一个比较新的技术，特别是在云平台的应用方面，我也会说一些关于黑客的一些攻击实践，经常通过所谓的虚拟化，这里我不想讲的太技术，另外一方面我们还要做加密，就是要让数据安全的话，在这里我们会继续的关注一些业务影响分析，也就是BIA业务影响分析这个概念，非常的重要，它对于我们确保你的数据是得到了一个合适的控制和评估，我们在完成了BIA的分析的时候，你要做一些相关的服务和可用性的测试，定期做测试，数据的主权性也是非常重要的，如果我们把数据外包到外面，你要知道数据到了哪里。

这里有一个客户的例子，从他们这个角度大家做的是什么？他们没有数据备份的规范，他们没有，甚至这个数据已经被流到了另外的一个国家，他们做的反应是什么？我也觉得比较的震惊，他们觉得如果数据到了另外一个国家，就会带来一些风险，他们也开始非常的重视可能带来的一些挑战。

我们要清楚我们的数据和应用是在哪里做备份的，有的时候我们不仅要有一个正式的计划，还需要一个问责的问题，我之前所提高的认证，我在这里也不会讲的太深入，我们看一下一些主要的常见的问题，包括7001这些相关的报告，在这里我们所需要的是什么？当我们找到我们服务供应商的时候，必须要有证书，我强调的这三个证书是所有的CSP，你想要合作的CSP应该具有的，因为它也可以帮助到你更好的去了解需要控制的是什么？或者是云服务的供应商他们所需要的体系是什么？如果他们没有这样的认证，我最后想说一点，你必须要有一个定期的审计。

下一步是包括如何来更新你的行动计划，时间也差不多了，我就不多讲了，以上就是我的计划，非常感谢。