探索新技術 著眼大未來
——訪云安全聯盟大中華區主席李雨航

本刊記者：賀 鑫

探索新技術 著眼大未來
——訪云安全聯盟大中華區主席李雨航

本刊記者：賀 鑫

李雨航：世界著名安全專家和云計算專家，國際云安全聯盟CSA大中華區主席兼亞太區CSO，中國云體系聯盟常務理事。現任華為全球網絡安全首席技術專家（首席科學家），西安交通大學高級院士、客座教授、南京郵電大學兼職教授。曾在微軟與IBM作為全球首席架構師工作過20多年，是多國政府首腦和科技公司CEO所信賴的顧問。曾擔任國際云安全學術大會主席兼美國華盛頓大學博導，歐美高校云記錄組織協調官，諾貝爾物理獎與盧瑟福獎獲得者的研究助手。

十月的這幾天，北京的天空很藍，涼意初透，“2016云安全高層論壇暨云安全聯盟大中華區峰會”蓬勃地在北京新世紀日航酒店召開著，與會聽眾有來自全球云計算、電信、計算機安全領域的企業、組織和個人約一千多人，中國工程院院士方濱興、百度總裁張亞勤、俄羅斯通信總局副局長RomanSheredin、美國Synopsys公司CEO Chi-FoonChan、云安全聯盟全球主席Jim Reavis、騰訊云安全研究總監王培、阿里高級安全專家沈錫鏞、上海交通大學信息安全學院院長李建華等眾多行業專家學者都發表了精彩的演講，為與會者帶來一場安全的饕餮盛宴。

清晨，借會場咖啡廳的一角，本刊記者早早來到這里，與百忙中的李雨航先生就云安全聯盟相關情況和從業經驗等問題進行了深入的交流。

探索前沿技術，搭建世界溝通橋梁

我們首先關注的是云安全聯盟。說起云安全聯盟，作為大中華區主席的李雨航如數家珍，不無自豪。

李雨航首先介紹了云安全聯盟成立的背景和意義，他說，云安全聯盟是2009年在美國正式注冊成立。當時云計算在美國興起，同時云安全成了重大的問題，所以業界一些很資深的專家就成立了這個聯盟，想解決云計算的安全問題。

云安全聯盟是中立的非盈利世界性行業組織，致力于國際云計算安全的全面發展。云安全聯盟的使命是“倡導

使用最佳實踐為云計算提供安全保障，并為云計算的正確使用提供教育，以幫助確保所有其它計算平臺的安全”。云安全聯盟的宗旨有四點：其一，提供用戶和供應商對云計算必要的安全需求和保證證書的同樣認識水平；其二，促進對云計算安全最佳做法的獨立研究；其三，發起正確使用云計算和云安全解決方案的宣傳和教育計劃；其四，創建有關云安全保證的問題和方針的明細表。

現在云安全聯盟已經從云計算發展到包含所有新興技術的安全，除了云計算，在大數據、物聯網、移動安全、還有量子安全等很多領域都開展了研究工作。

對于云安全聯盟大中華區的設立對中國產業的發展起到的作用，李雨航介紹說，各大區實體是在各自大區注冊的獨立的非盈利組織，以聯盟的形式運作，各大區之間有合作也有獨立性。對于大中華區，可以說是一個橋梁，連接政產學研、連接中外的橋梁。大中華區跟中國政產學研七家單位簽了約，來推動職業化，向職業化的道路發展。我們把中國的最佳實踐推廣到全球，把全球好的經驗和資源引入到中國，這是大中華區的很重要的一個作用。

云安全聯盟在“2016云安全高層論壇暨云安全聯盟大中華區峰會”上發布了一個云計算安全技術標準CSTR（草案），李雨航介紹說，這是我們發布的首個云計算安全技術標準CSTR（草案），這個標準（草案）對于IaaS，PaaS，SaaS各層的產品和方案提出了安全保障能力要求。這個標準（草案）是大中華區云安全專家們一起制定的產品級安全標準，對提升用戶基于云計算的信任意義重大，它將通過云安全聯盟的工作進一步得到全球的認可，成為又一項重要的行業和國際標準。

云計算安全技術標準填補了世界標準的一些空白。云計算安全技術標準是對產品或者方案的底層做深度的安全檢測，而其他的標準是管理層面的東西多，技術層面的東西少。特別是對產品本身，帶有云環境特色的軟件，內部具體要檢測什么，有高層的定義，但是不具體，因此檢測單位來實施的時候是沒有辦法把真正的安全狀況體現給用戶的。所以說云計算安全技術標準是產品級的技術方面的安全要求，使客戶對產品、部件內部有一個全面的了解。

在交談過程中，記者提到，云安全聯盟推出一項在全球最具權威的認證CSA-STAR，我們不清楚像這樣的標準、認證在全球具有怎樣的影響力？同時云安全聯盟如何權衡與其他相關標準組織之間的關系？

李雨航解釋道，CSA-STAR是云安全聯盟推出的最有權威性的一項認證，是對云服務商的一個安全的認證。它在全球推出最早、最具權威性。不管是美國、歐洲還是其他國家，他們的標準都是參考了云安全聯盟的標準，大部分發展中國家直接用云安全聯盟的標準作為他們國家的標準。這個認證在中國做了本地化，把中國的一些標準加進來，所以前邊加了China，叫做CSAC-STAR。這個對推動全球的標準化是非常有價值的。國際標準本地化的思路在全球是通用的，各國都有自己差異化的認證。

云安全聯盟有個國際標準委員會，專門和全球二十多個標準組織對接，這些標準都要通用，有的要互認。云安全聯盟的切入點是新興技術，聯盟中有很多資深的專家，做事效率非

常高，能夠給廠商和用戶產生價值。所以云安全聯盟得到了權威國際標準化組織（ISO）的認同，彼此是互補關系。

對于云安全聯盟也做一些教育培訓工作的提問，李雨航回答說沒錯，培訓也是云安全聯盟重要的一項工作。培訓是希望把云安全的知識普及，讓普通的不管是IT從業人員，還是專業的研發人員，甚至安全專家，都能夠增進知識和技能。云安全聯盟的一項培訓叫做CCSK，這是一個核心的云安全個人證書，是全球性的。大中華區也做了本地化，稱作C-CCSK，這是一個基礎型的云安全專家證書，授權了第三方來做培訓工作。因為云安全聯盟本身是獨立非盈利的，所以很多類似的業務都會授權給第三方機構來做。

云安全聯盟的另一項培訓課程是CSSP，這個課程是針對新出來的技術標準，它是知識內容和實踐經驗相結合。云安全聯盟以后可能會和華為云、阿里云、騰訊云等相關企業合作，讓學生們可以在真實的云環境中來學習安全技能。

李雨航進一步介紹云安全聯盟的研究領域說，云安全聯盟還做了物聯網安全框架、大數據安全威脅分析、量子安全研究等。比如量子安全方面的研究，我們做了量子安全框架。業界先進的量子公司紛紛與云安全聯盟合作，用云安全聯盟的框架來作為指導。用新方法來做是云安全聯盟的一個特色，利用云計算、大數據，用這些新興技術，包括量子技術，把它的能力變成安全的一個有利因素。這些新興技術一方面帶來威脅和風險，另一方面我們把它用好，它會給我們帶來價值。

關于云安全聯盟的性質，李雨航總結說，我覺得可以用三個詞來形容，就是“獨立性、專業性、開放性”。我們是中立的非盈利世界性行業組織，我們有強大的資深專家團隊，我們的研究成果會免費與大家共享，共享的形式有多種，比如出版物、大會等。我們為大家提供一個交流平臺，讓政產學研，讓全球的專家在這個平臺溝通交流。我們做新興技術的安全，前沿技術的研究探索工作，幫助業界。

構建網絡安全生態圈，實現信息技術自主可控

李雨航介紹完云安全聯盟，我們的話題轉到了網絡安全和實現信息技術自主可控。

隨著互聯網的迅速發展，網絡安全形勢也變得日益嚴峻，打造一個良好的安全生態圈至關重要。李雨航對我國構建安全生態圈信心滿滿。

他說，當前中國網絡安全的整體水平還不高，需要對產品和服務通過合規認證，得到用戶信任，做好正向安全能力建設和逆向安全評估驗證的工作，更全面地開展安全防護和監控工作。安全要在早期就嵌入到系統架構中，抱著堅定信心增進理解和融合，我對中國互聯網成功打造一個高度合作、頻繁互動的安全生態圈充滿信心。

李雨航認為，維護網絡安全就要規劃制定網絡安全戰略，從企業層面來看，可以從以下七個方面著手：

第一是發展基于風險的方法。大家都知道，實際上企業發展業務并不是對安全很在意，企業非常關注業務的上線，業務的成功，認為安全只是一個保證。我們做安全的人員，比如說你對于一臺服務器做了攻擊，你能夠在里面拿

到許可，甚至拿到管理員權限，這是不是就是很嚴重的問題呢？如果這個服務器是企業可能要淘汰的，他根本就不用，這個問題對于企業來講沒有什么風險的，我們評估風險要從業務的角度看問題，給業務帶來的風險。

第二是有了風險之后，我們還要建立優先級。從大的層面，我們到底是把安全的投資放到防護、監控、事態感知還是事后的響應恢復，還是怎么平衡？另外在這個方案上，我們有很多產品，很多產品集成一個方案，哪些產品是風險最大的，我們一定要識別。因為安全和投資是緊密相關的，我們不可能有無限的資源來做安全保障工作。甚至是對于模塊，我們也要識別優先級，比如一個模塊可能牽扯了好幾十個協議，可能有十幾個接口，那么這個里面哪些是高風險的，我們都要做優先級的這種識別。

第三是協調威脅和漏洞警告。這是非常重要的，因為現在黑客攻擊的是整個產業，如果出了一個問題，可能要影響多個單位。我們各個單位之間的協調，大家的安全互相通報，做安全情報共享，做威脅情報和事態感知都是比較重要的。

第四是打造響應能力。如果事件發生了，我們一定要快速恢復。如果恢復不了，造成的影響可能比攻擊更大。比如幾年前RSA被黑客攻擊，就因為響應很慢，所以造成了很大的影響。

第五是教育公眾。公眾教育非常重要，除了技術的漏洞，人的漏洞實際上更多更大。比如APT的威脅，最開始是利用人的漏洞，利用人的弱點去點擊一個連接，看一個郵件，做一些事情。所以我們對于公眾教育和培養人才，這都是極其重要的。

第六是一定要有安全預算投資在核心的技術和研究方面。我們一定要把安全嵌入，安全的ICT的產品嵌入我們網絡空間的基礎里面，才能夠把這個基礎打好。

第七是全球思維。我們要學習國際的先進經驗，中國的經驗也要介紹給全球。網絡空間是全球的，并不是某幾個國家的，所以我們必須以全球為范圍，一起把網絡安全的工作做好。

談到從宏觀及全球的角度維護網絡安全，李雨航說，網絡安全措施經常被稱為三分技術七分管理，有很多事情可以通過管理手段來把安全做好。還有法律層面的問題。網絡空間實際是物理空間之外，是人們用來信息交互的空間，網絡空間形成的初期，規則不健全。網絡空間要有合理的規則，就需要國際的法律來保障，要健全網絡空間的法律，要各國之間達成一個共識?，F在不管是后門還是漏洞，絕對保證不了完全不存在，肯定是有的，只能說是把風險降低。安全合規是第一步，最基礎的是把大部分風險降下來，然后還要做更多的防御手段。用大數據、監控等手段，利用新興技術的力量來把安全的能力加強，這是一個攻和防的關系，攻防總是在互相博弈。

李雨航進一步闡釋說，要實現信息技術自主可控，注重長遠戰略布局。在信息技術這個行業，美國做的比較早，在技術上美國是領先的。但是中國現在的發展趨勢很好，中國在經濟的總量上和IT技術上是全世界第二位。我在歐洲考察后發現，歐洲實際上是不能跟中國來競爭的，特別是在互聯網的有些領域。中國在信息技術的應用上比美國更多，比如打車軟件等這些生活上的應用，比美國可能還更普及。當然也存在一些問題，因

為這個產業最早是由美國發起的，所以很多核心技術是掌控在美國。對于中國來說，自主可控是一個很好的發展方向，但是要有一個比較好的戰略，從長遠來講要逐步實現自主可控，短期要承認已經有了很多國外的技術。

在安全方面，李雨航認為要把安全工作做好，第一步就是采取合規性，為了降低風險，一定要制定一些標準，能夠通過這些標準建立規范，能夠確保大部分的不管是產品、方案還是技術，都有一個最基本的安全保障。在這基礎之上再做更好的工作。而對于國外的產品，要遵循中國的法規，產品的關鍵技術應該受到中國的審計和檢測。像蘋果這些產品應該受到測評機構的審查，才能夠讓中國的用戶放心地使用，當然還有企業級的產品。做安全合規、安全保障、安全審計測評非常重要，在這基礎之上再研究關鍵的核心技術怎么樣來實現自主可控。

本刊副總編輯、執行副社長唐莉與國際云安全聯盟CSA大中華區主席李雨航先生就云安全聯盟相關情況和從業經驗等問題進行了深入交流。

走向國際，需求先行

記者與李雨航的交流，還涉及中國企業該如何走向國際的問題。李雨航對中國企業走向國際提出了自己的看法，他認為，中國企業要想走向國際，首先要了解客戶的需求。國外的客戶跟中國客戶不管在文化上還是制度上都存在差異。中國一項很好的產品要放到國外市場，可能會“水土不服”。反過來也是如此。國外產品進中國要“接地氣”，中國的產品出去要“接洋氣”。在了解客戶需求的基礎上，要通過國際的標準，使產品達到國際要求，提高產品質量。

中國的公司，特別是比較小的公司在技術研究上比較聚焦，在某個領域上比國外做的好。國外雖然做的東西多，但也不是行行都做得很好，比如說眾人科技在某些加密領域能夠比國外做得好，就是聚焦在一個細分領域。再比如云計算的加密問題根本就沒有解決，要想讓大家都很放心地把數據存放到云里面，還有很大的研究發展空間。一個細分的領域做得很好，中國的企業還是有很多機會的。云安全聯盟就是一個很好的平臺，在全球各區都有峰會，會邀請各國的企業參加，可以幫助中國的企業走出去。

這時，我們想到了李雨航在美國多年從事企業安全方面的工作經歷，我們想請他結合個人經歷談談企業走向國際的問題。李雨航先為我們回顧了不同時期的信息安全。

他說他最開始是在IBM工作。在大型主機時代，從技術上面來講，都是集中式儲存、計算，終端是笨終端，網絡都是私網。從商業的角度看，企業投入非常巨大，只有一些很大的企業有能力可以購買大型主機，每一次升級也比較貴。但是大家對于安全比較的關注，當時的安全問題是非常好解決的，把物理安全和登錄身份認證等問題做好，安全也就好做了。

到了PC轉型時期，大家也開始采用互聯網。商業就是賣許可證，成本降下來了，安全問題變得非常嚴重。出現了病毒和黑客攻擊，數據分散到了很多儲存的地方，造成很大安全問題，靠物理安全解決不了這些問題。但是經過多年企業的實踐，總結了很多的經驗。

在大數據、云計算的時代，實際上在后端是有中心化趨勢。每一個人都有手機，以后可能還有物聯網設備。這個終端越來越智能，量也越來越大規模，從商業角度來講，成本降得非常低。不僅企業使用計算資源，任何消費者、個人都是可以非常低價使用計算資源。那么安全在這個時代就變得更加嚴峻。安全的邊界就會模糊，會消失，傳統的信息安全是防守不住的。

接著，李雨航介紹了趨勢。他認為，從技術層面來講，現在主要是有幾個大的趨勢：移動互聯網、物聯網、云計算、大數據。今后還要走向智能時代、萬物互聯、數據爆炸、機器學習、人工智能等新興技術，還有很多技術會涌現。那么，美國的企業在這種新的趨勢下發現了很多的挑戰。比如社交網絡，很多人上班的時候，也在社交網絡上，這個就是一個風險；還有云計算、虛擬化、大數據等給企業帶來的風險；還有政府和行業關于安全方面會有很多強制性的要求等。這些風險都會被黑客利用，每年的安全事件都會大幅度增加。

然后李雨航介紹了國外做安全的經驗，他說，在這種趨勢下，企業就要做安全，這種理念在美國受到業界廣泛的認同。美國很多大企業都是把信息安全和網絡安全分開，由兩個不同的部門來做。

國外的信息化比較發達，認為安全很重要，會有很多規矩，不管是基于行業標準還是政府主導的，因此對于規章制度的建立比較成熟。而中國的合規性、法規、標準都是不健全的，特別是安全行業的公司會覺得特別難做，因為企業都不愿意投入資金。美國有法規，要達到法規的要求，很多工作都需要安全公司來做，IT化非常成熟，企業都認識到安全的價值?，F在中國大部分的企業，對安全的價值不認同。所以這方面還是要向國外學習的，把標準規則建立起來。

李雨航主席還有后面的會議板塊要去組織，意猶未盡之余，我們結束了全部的采訪工作。然而，我們深知，這一定不是結束，而是一個新的開始，隨著中國網絡空間安全產業的國際化進程的加速，我們一定會和活躍在產業第一線，活躍在國際舞臺上的他，一路同行！