讓行業用戶有更多的安全選擇

仝培杰

10月20日，中國信息協會信息安全專業委員會、公安部信息安全等級保護評估中心，聚合行業資深IT安全服務商和沉淀多年的安全能力者，成立了“行業（私有）云安全能力者聯盟”，并舉行了“中國首屆行業（私有）云安全技術論壇”。

這一舉動，在我國云計算領域，乃至網絡安全領域，可謂一件值得慶賀的大事，尤其是對于行業用戶而言，將來在云安全發展方面，將是最大的受益者。

因為成立聯盟最重要的一點，就是要抓住行業用戶的需求，從規劃、咨詢、方案設計、服務提供、運營支持、平臺提供以及測評等諸多方面，以確保行業（私有）云的安全，能夠形成一個完整的行業（私有）云安全產業鏈，提供整體的行業（私有）云安全解決方案，讓行業用戶有更多的安全選擇。

當前，我國正值“十三五”開之時，在全面深化改革的戰略要求下，各行業都依托“互聯網+”、“大數據”、“云計算”進行體制與機制的創新，其中云計算在促進社會創新機制中扮演著重要角色。尤其是在近幾年，云計算已經從邊緣突進到中心，對產業和社會帶來變革性的影響，致使行業（私有）云的發展升級，并成為云計算市場發展的核心動力。

云離不開安全，安全又是云的重要保障。相較于公有云，行業（私有）云可以提供更加透明、可控的計算資源，特別是隨著OpenStack開源體系技術的成熟，行業（私有）云架構所具備的安全可控性高、應用穩定性好、軟硬件擴展性高、管理過渡平滑、部署方式靈活的五大優勢，更能契合國內大型行業企業對云安全的需求。

我們必須看到，隨著云計算基礎技術的日趨成熟，云應用在重要行業中的趨勢已日趨明顯，政務云、醫療云、交通云、金融云、能源云、媒體云、電力云、通信云、廣電云等行業（私有）云，將成為國家關鍵信息基礎設施的重要組成部分。同時，我們還可以看到，從傳統計算環境到行業（私有）云環境，科技創新推動了信息化發展，在帶來便捷的同時，安全問題已經成為主要的制約因素之一。雖然國家已經制定了以信息安全等級保護為核心的合規標準，但是如何落地，如何有效地落地，已經成為行業（私有）云安全發展的難點與痛點。若不盡快解難祛痛，那么“讓行業用戶有更多的安全選擇”就會成為一個美好的愿景和祈盼。

解難，需要本事；祛痛，需要本領；只有本事與本領兼備，才能被稱之為能力者。“行業（私有）云安全能力者聯盟”對成員恪守了“五大能力壁壘”標準：一是對創始人團隊有要求，核心人員穩定度在5年以上，并對信息安全領域有深刻理解；二是對技術研發能力有要求，研發團隊至少50人以上，并有3年以上的團隊合作經驗；三是對研究能力有要求，研究團隊至少20人以上，長期沉淀于核心安全技術的研究，在相應市場領域占前三位；四是對產品化能力有要求，產品易用性已經過市場檢驗，銷售額利潤已具備一定規模；五是對服務轉化能力有要求，可以將安全能力經驗轉化為產品或平臺，不完全依賴人工。

總而言之，就是要“本事與本領兼備”，否則稱不上為“能力者”，更談何具有“解難祛痛”之能力？“能給行業用戶提供可以落地、可以實施的行業（私有）云安全解決之道”即為夸夸其談，那么“讓行業用戶有更多的安全選擇”就會淪落為一句空話，乃至一種美麗的謊言。

行業（私有）云安全能力者聯盟定位于共同研討標準、搭建試驗環境、進行合規驗證、為行業（私有）云需求方，提供“大規模拒絕服務攻擊云端防御與清洗”、“Web應用層及API接口防御與檢測”、“高持續性威脅攻擊（APT）檢測與響應”、“核心數據資產保護與審計”、“大流量網絡數據監控與分析”、“云端管理資源濫用和人員管理”、“安全能力虛擬化調度及策略可視化管理”等主要威脅和需求領域合規的產品及解決方案。

據了解，行業（私有）云安全能力者聯盟首批發起成員涵蓋了信息安全專業研究機構（國信衛士網絡空間安全研究院），信息安全測評機構（公安部信息安全等級保護評估中心、國家信息中心電子政務信息安全等級保護測評中心、信息產業信息安全測評中心），IT（安全）服務商（太極計算機股份有限公司、中國電信集團系統集成有限責任公司、北京捷成世紀科技股份有限公司、北京華勝天成科技股份有限公司、北京市太極華青信息系統有限公司、北京神州泰岳軟件股份有限公司），云安全產品及服務商（中新網絡信息安全股份有限公司、北京圣博潤高新技術股份有限公司、北京安博通科技股份有限公司、上海金電網安科技有限公司、成都科來軟件有限公司、北京景安云信科技有限公司）、云平臺產品及服務商（新華三集團、華為技術有限公司、北京國信新網通訊技術有限公司）以及信息安全專業媒體（《網絡安全和信息化》雜志社）。

聯盟雖然有“五大能力壁壘”標準作為基本“門檻”，但她更是一個開放的聯盟。開放的目的在于吸納業內行業云及安全能力者，整合不同能力者的核心能力，依托國家相關重點工程實驗室做等級保護標準的落地驗證，配合重點行業云平臺做等級保護標準的落地驗證，形成合規的有效的行業（私有）云安全等級保護標準落地解決方案。而在技術層面上，成員之間持續進行聯合創新，廣泛進行兼容性驗證，形成領先的解決方案，打造榜樣案例，樹立云等級保護標準落地的標桿項目，為推動關鍵基礎設施網絡安全領域發揮相關作用。

所有這些，目的是不言而喻的——讓行業用戶有更多的安全選擇。