信息來源：比特網(wǎng)   

       2016年6月24-25日，由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術(shù)峰會(huì)】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會(huì)秉承專注技術(shù)、服務(wù)技術(shù)人員的理念已經(jīng)成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業(yè)者和技術(shù)愛好者的認(rèn)可和好評(píng)，并成為業(yè)界重要的技術(shù)分享及人脈拓展平臺(tái)。

       本次【W(wǎng)OT企業(yè)安全技術(shù)峰會(huì)】分為11大技術(shù)主題，分別是企業(yè)安全管理與運(yùn)維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動(dòng)Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務(wù)安全、威脅情報(bào)與攻擊防護(hù)、漏洞挖掘與分析、安全測試與應(yīng)急處理、技術(shù)管理專場。51CTO.com作為本次大會(huì)的主辦方，將通過快速報(bào)道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

       下面是大會(huì)主會(huì)場上來自云安全聯(lián)盟CSA大中華區(qū)主席李雨航先生帶來的主題為美國企業(yè)安全實(shí)踐的現(xiàn)場演講實(shí)錄。

云安全聯(lián)盟CSA大中華區(qū)主席 李雨航

       大家好我是李雨航，一個(gè)企業(yè)安全方面的老兵，我的主要工作經(jīng)驗(yàn)是在美國，有20多年經(jīng)驗(yàn)，很高興跟大家分享一下美國企業(yè)安全的一些經(jīng)驗(yàn)。

       從企業(yè)的角度我們先把歷史回顧一下，從技術(shù)、商業(yè)、安全三個(gè)維度看問題。早期從60年代開始，美國的企業(yè)當(dāng)時(shí)只有大存儲(chǔ)機(jī)，我最開始是在IBM工作。在主機(jī)時(shí)代，從技術(shù)上面來講，都是集中式儲(chǔ)存，計(jì)算，終端是笨終端，網(wǎng)絡(luò)都是私網(wǎng)，通過IBM網(wǎng)絡(luò)來連接。從商業(yè)的角度看，企業(yè)投入非常的巨大，只有一些很大的企業(yè)有能力可以購買IBM機(jī)子，每一次升級(jí)比較的貴。大家對(duì)于安全比較的關(guān)注，大型主機(jī)這個(gè)時(shí)代，安全問題是非常好解決。把登陸的一些問題搞好，安全比較好做了。

       到了PC轉(zhuǎn)型，大家也開始采用互聯(lián)網(wǎng)。商業(yè)就是賣許可證，成本降下來了，安全問題變得非常的嚴(yán)重。出現(xiàn)了病毒和黑客攻擊，數(shù)據(jù)分散到了很多儲(chǔ)存的地方，造成很大安全問題?？课锢戆踩?，靠警衛(wèi)解決不了這些問題。但是，經(jīng)過多年企業(yè)的實(shí)踐，總結(jié)了很多的經(jīng)驗(yàn)，進(jìn)入了大數(shù)據(jù)云計(jì)算的時(shí)代。這個(gè)時(shí)代實(shí)際上在后端是有中心化趨勢。很多虛擬機(jī)，云計(jì)算中心是歸成超級(jí)計(jì)算機(jī)，端這一塊更厲害。每一個(gè)人有手機(jī)，有便攜，以后可能還有物聯(lián)網(wǎng)設(shè)備。這個(gè)終端越來越智能，量越來越大規(guī)模，從商務(wù)角度來講，成本降的非常低。企業(yè)不僅使用計(jì)算資源，在座任何消費(fèi)者，個(gè)人都是可以非常低價(jià)使用計(jì)算資源。那么，安全在這個(gè)時(shí)代就是變得更加的嚴(yán)峻。那么，安全的邊界就會(huì)模糊，會(huì)消失。傳統(tǒng)的信息安全，是防守不住的。

       今天技術(shù)上面來講，主要是有幾個(gè)大的技術(shù)趨勢，移動(dòng)互聯(lián)網(wǎng)，還有物聯(lián)網(wǎng)，云計(jì)算，大數(shù)據(jù)。今后還要走向智能時(shí)代，萬物互聯(lián)，數(shù)據(jù)爆炸，機(jī)器學(xué)習(xí)，人工智能等新興技術(shù)，還有很多技術(shù)會(huì)涌現(xiàn)，大數(shù)據(jù)，VR都是非常的火爆。云計(jì)算雖然出來的比較早，但是，現(xiàn)在新一代的技術(shù)，容器方面有很多新興的技術(shù)，對(duì)于傳統(tǒng)的IT，對(duì)于我們企業(yè)都會(huì)是一個(gè)顛覆性的技術(shù)。對(duì)于未來的發(fā)展，我是這樣的理解，以后我們會(huì)出現(xiàn)一個(gè)超級(jí)的智能機(jī)器的計(jì)算模式。就像人一樣的，我畫了一個(gè)圖。以前是大型主機(jī)分布式，以后就是非常的智能。機(jī)器人它的頭腦就是由大數(shù)據(jù)支撐的，包括AI智能分析，云計(jì)算是一個(gè)心臟的作用，是一個(gè)引擎。那么，物聯(lián)網(wǎng)設(shè)備有成千億，都是超級(jí)機(jī)器人感官一樣，移動(dòng)互聯(lián)網(wǎng)，包括以后的5G，就像一個(gè)神經(jīng)，網(wǎng)絡(luò)就是一個(gè)神經(jīng)傳遞信號(hào)。那么，在這種情況下，實(shí)際上安全就會(huì)變得非常的重要。那么，安全，我打一個(gè)比喻，沒有安全，這個(gè)人不管再怎么樣有力量，再聰明，你有了問題，你就會(huì)對(duì)這個(gè)企業(yè)帶來很大的風(fēng)險(xiǎn)。

       那么，美國的企業(yè)他是在這種新的趨勢下發(fā)現(xiàn)了很多的挑戰(zhàn)。還有一些不完全全面，我隨便選幾個(gè)例子。比如說，社交網(wǎng)絡(luò)，很多員工上班的時(shí)候，他也在社交網(wǎng)絡(luò)上，大家也是一樣的。一邊兒上班，一邊兒看著微信，這個(gè)就是一個(gè)風(fēng)險(xiǎn)。還有云計(jì)算，虛擬化，給企業(yè)帶來很大挑戰(zhàn)。數(shù)據(jù)要拿出去，大數(shù)據(jù)這個(gè)數(shù)據(jù)爆炸，這個(gè)數(shù)據(jù)給企業(yè)帶來的風(fēng)險(xiǎn)。另外，還有互聯(lián)網(wǎng)模式，是指企業(yè)要發(fā)布業(yè)務(wù)，現(xiàn)在非常注重這個(gè)速度，速度一定要非常的快。另外，是指外部合作。現(xiàn)在不可能有一個(gè)企業(yè)自己來完成自身的業(yè)務(wù)。一定要有合作的單位，供應(yīng)商幾十萬，華為的供應(yīng)商好幾萬。中國這個(gè)概念大一點(diǎn)，但是，美國叫做合規(guī)，是非常的重要。政府、還有行業(yè)、有很多強(qiáng)制性對(duì)于安全上的要求，對(duì)于企業(yè)必須的滿足。另外，供應(yīng)鏈，外包，整合，在微軟，歷史上經(jīng)過了很多的并購，組合。最近是叫領(lǐng)兵，微軟是重金把另并買下來了，以前有一個(gè)雅虎。買下來之前，這兩個(gè)企業(yè)要融合，IT系統(tǒng)要打通，簽這個(gè)合約以前，我們就開始把兩個(gè)系統(tǒng)的網(wǎng)絡(luò)連在一起，發(fā)現(xiàn)這個(gè)是非常非常的困難，非常有挑戰(zhàn)性的工作。

       還有移動(dòng)的，還有新一代，在中國90后或者80后跟60后，可能在座也是有70后，跟這些工作方式，思維方式都不一樣了。對(duì)于企業(yè)都是會(huì)造成不同的風(fēng)險(xiǎn)。還有物聯(lián)網(wǎng)，企業(yè)使用移動(dòng)設(shè)備。剛剛講的這些條件會(huì)對(duì)企業(yè)帶來非常大的風(fēng)險(xiǎn)。

美國企業(yè)普遍存在的一些風(fēng)險(xiǎn)，不是全部，主要是一些數(shù)據(jù)，對(duì)于企業(yè)保護(hù)數(shù)據(jù)是放在第一位的，是叫做靜止的數(shù)據(jù)，數(shù)據(jù)資產(chǎn)是企業(yè)命根子，還有身份訪問管理，軟件安全性缺陷，還有遺忘失竊設(shè)備，還有傳送數(shù)據(jù)。這些都是美國企業(yè)現(xiàn)有的安全風(fēng)險(xiǎn)，那么，實(shí)際上這些風(fēng)險(xiǎn)已經(jīng)被黑客利用了。每年安全事件大幅度增加，這個(gè)數(shù)據(jù)泄露沒有寫在里面，這個(gè)數(shù)據(jù)也是成正比的。

       在這種情況下，企業(yè)要做安全的。這個(gè)是很早提出來一個(gè)理念，在美國是受到業(yè)界廣泛認(rèn)同。在早期我們把安全防護(hù)，安全控制，一般是做在網(wǎng)絡(luò)層面，企業(yè)有一個(gè)防火墻，布一些相應(yīng)的安全措施。大家在一個(gè)墻的里面感到比較的安全。這種做法剛剛也是講到了，因?yàn)榫幹频哪：В史浅５牡土?。長期來講，我們應(yīng)該什么呢？越貼近，保護(hù)的目標(biāo)，是越有效，成本也低，效率也高。這個(gè)數(shù)據(jù)最終目標(biāo)叫做什么呢？自我保護(hù)。數(shù)據(jù)，本身是不可以保護(hù)自己的。是數(shù)據(jù)和應(yīng)用要結(jié)合在一起，應(yīng)用和數(shù)據(jù)安全將變得越來越重要，可能會(huì)比網(wǎng)絡(luò)安全更重要一些。

       我下面開始講案例。一個(gè)是美國政府，在座有沒有是政府機(jī)關(guān)事業(yè)單位的？大家都是企業(yè)的，稍微講快一點(diǎn)。美國政府也算一個(gè)客戶，非常大一個(gè)客戶。美國政府它的職員，聯(lián)邦政府有200多員工，有很多的部門，大家也是看到了，都是每一個(gè)部門員工分布的情況，美國政府IT的預(yù)算是比較的充足的。2017年，政府準(zhǔn)備拿出將近900億美金，安全也是其中的一部分，下面還會(huì)講到，這個(gè)是一個(gè)奧巴馬都是很熟悉了。邊上是我在微軟一個(gè)朋友，最近被奧巴馬認(rèn)定美國CIO，是負(fù)責(zé)美國聯(lián)邦政府的IT，包括安全。

       美國政府IT一些安全風(fēng)險(xiǎn)有主要幾點(diǎn)。第一，技術(shù)上比較的落后，使用的版本都是比較的老舊。另外，他有很多的部門，部門之間是碎片化，而且，IT系統(tǒng)互相沒有打通。另外，這200多萬員工里面有專業(yè)知識(shí)非常的少。針對(duì)這個(gè)情況做了很多的安全的戰(zhàn)略，措施。比如說，我這里不具體不都講。一定要把漏洞和補(bǔ)丁管理好，這個(gè)是基本要求。企業(yè)打上補(bǔ)丁，把漏洞補(bǔ)住。實(shí)際上，大部分的安全的風(fēng)險(xiǎn)可能都會(huì)得到緩解。

       最近的美國還出網(wǎng)絡(luò)安全國家計(jì)劃，是準(zhǔn)備明年從IT規(guī)劃里面拿出來190億美金專門來做網(wǎng)絡(luò)安全。剛剛講到了美國以前是有一個(gè)安全顧問。但是，他最近對(duì)于安全非常重視，準(zhǔn)備設(shè)計(jì)聯(lián)邦首席信息安全官，向CIO匯報(bào)。大家也是看到了，政府在美國政府官員比企業(yè)少。所以，IT和安全，企業(yè)走在前面的，在企業(yè)安全和IT要領(lǐng)先。最下面是一些各部門的資金分配情況。因?yàn)樵谧鶝]有太多的政府事業(yè)單位來的聽眾。

       美國政府在新的技術(shù)趨勢下，它是準(zhǔn)備把傳統(tǒng)的IT逐步地向云轉(zhuǎn)型，它發(fā)表了一個(gè)戰(zhàn)略，估計(jì)可能是要用10年的時(shí)間，戰(zhàn)略已經(jīng)發(fā)布了很早。年以前，2011年，因?yàn)榘讓m跟我們安全聯(lián)盟關(guān)系非常好，是對(duì)接美國政府，歐洲區(qū)對(duì)接歐盟。亞太區(qū)對(duì)接亞太政府，我現(xiàn)在代表大中華區(qū)幫助中國的政府和企業(yè)來把國際的云安全經(jīng)驗(yàn)介紹給大家。所以，美國白宮當(dāng)時(shí)是把云安全聯(lián)盟邀請(qǐng)了。然后2011年云安全聯(lián)盟峰會(huì)上正式發(fā)布了美國的云計(jì)算戰(zhàn)略，可能要到2020年，大部分美國的IT實(shí)際上運(yùn)維在云計(jì)算的資源中，采用云服務(wù)的形式。右面大家也是看到了，美國各部門對(duì)云計(jì)算包括風(fēng)險(xiǎn)標(biāo)準(zhǔn)做了大量的工作，有很多工作就是云安全聯(lián)盟幫助下進(jìn)行的。

       下面講一講微軟的情況。在座的都是企業(yè)，微軟可以給大家重點(diǎn)講一下。微軟是比爾蓋茨創(chuàng)立的，我在微軟的時(shí)候，他是CIO，是負(fù)責(zé)微軟企業(yè)本身的IT。它是去年被奧巴馬邀請(qǐng)去做美國的聯(lián)邦政府的CIO，我是幫助做微軟內(nèi)部企業(yè)安全，我職責(zé)還有保護(hù)微軟的產(chǎn)品安全，那個(gè)是另外一部分，就是網(wǎng)絡(luò)安全。在微軟網(wǎng)絡(luò)安全和信息安全，也叫IT安全是分家的。是分成了兩個(gè)不同的部門來做。昨天我在中國網(wǎng)絡(luò)安全大會(huì)上給大家講過，有去那個(gè)大會(huì)的比較清楚一些。很多大企業(yè)都是這樣的，就把信息安全和網(wǎng)絡(luò)安全是分開，華為也是這樣的。我在華為現(xiàn)在是做網(wǎng)絡(luò)安全。所以，信息安全，我是顧客，華為沒有分享的。并員工年齡層是分布的比較的廣，新員工有不同的文化，對(duì)于企業(yè)IT的要求都是不一樣。采用的這些技術(shù)，還有郵件，全球化是100多個(gè)國家都是有辦公室。將近1萬名員工在海外，500多個(gè)辦公室。對(duì)于這樣一個(gè)大企業(yè)，要把安全做好是非常有挑戰(zhàn)性的。

       這個(gè)是信息安全的組織架構(gòu)，這個(gè)名字按說是改了。是叫做風(fēng)險(xiǎn)管理，主要是信息安全，大家延用這個(gè)詞語，在微軟內(nèi)部其他的部門，如果跟他講風(fēng)險(xiǎn)管理，他就聯(lián)系不到以前的信息安全這個(gè)部門的名稱。所以，是把兩個(gè)放在一起在這個(gè)組織里面，這個(gè)組織是比較大，有500人，他分了G2C合規(guī)風(fēng)險(xiǎn)，還有治理，這個(gè)是一個(gè)部門。還有對(duì)于新興技術(shù)研究有一個(gè)部門，因?yàn)樾屡d技術(shù)挑戰(zhàn)是對(duì)于IT沖擊很大。還有安全運(yùn)維，就是日常的運(yùn)維工作，另外，業(yè)務(wù)連續(xù)性是非常的重要，也是在這個(gè)部門的職責(zé)。另外，對(duì)于應(yīng)用還有IT基礎(chǔ)設(shè)施的安全的評(píng)估，這個(gè)是專門有一個(gè)部門，就是評(píng)估測試保障沒有漏洞。最后，還有一個(gè)工具部門，提供自動(dòng)化的支撐。

       安全管理實(shí)踐，微軟把數(shù)字資產(chǎn)分了三類。對(duì)于全員都要做好教育，這個(gè)對(duì)于每一個(gè)中國的企業(yè)，我相信也是非常的重要，我們因?yàn)橐Ｗo(hù)企業(yè)的數(shù)字資產(chǎn)數(shù)字資產(chǎn)要分類。高風(fēng)險(xiǎn)投入比較大，就是采取的安全保護(hù)措施比低風(fēng)險(xiǎn)，低敏感信息數(shù)據(jù)要采取更加好的防護(hù)。微軟是分了三級(jí)，特別是根據(jù)對(duì)于業(yè)務(wù)的沖擊，分級(jí)是比較好分的。關(guān)鍵怎么樣識(shí)別這個(gè)資產(chǎn)？這個(gè)是困難所在，微軟的經(jīng)驗(yàn)是通過各種渠道，把識(shí)別資產(chǎn)的方式讓員工熟練地掌握。通過物理的方式，我們有一個(gè)非常有效的一個(gè)尺子，每一個(gè)員工配一個(gè)尺子，可以拉來拉去的，它的資產(chǎn)一拉這個(gè)尺子可以知道結(jié)果，是屬于哪一個(gè)類型。手機(jī)上面的自動(dòng)化識(shí)別工具，還有外部網(wǎng)站，有很多這種自動(dòng)化的工具，是幫助這些員工可以把這個(gè)資產(chǎn)識(shí)別好。微軟管理工具是基于GRC這樣一個(gè)平臺(tái)之上，可以把剛剛講的各個(gè)部門的企業(yè)、IT安全管理，都可以實(shí)現(xiàn)自動(dòng)化。

       這是微軟跟美國政府一樣的，也是要把全球IT要全面地向云轉(zhuǎn)型，也是到2020年，大概通過混合云的模式，一部分的私有云，一部分的公有云，逐步把所有的IT的系統(tǒng)要簽到云里面去。對(duì)于云計(jì)算，大家也是知道，安全是CIO和業(yè)務(wù)決策者的最重要的擔(dān)心。微軟的做法，一定先做安全合規(guī)，把安全合規(guī)做好，就可以把剛剛我講的低敏感和中敏感的數(shù)據(jù)遷移到云中了。當(dāng)然，高敏感的數(shù)據(jù)目前還是不可以放在任何云里面，還需要更先進(jìn)的安全方案。這個(gè)圖有各個(gè)國家，各個(gè)行業(yè)，還有各種組織對(duì)于云計(jì)算服務(wù)的一些安全要求，它是以證書的形式出現(xiàn)。微軟是拿到了這么30多個(gè)安全合規(guī)的證書。大家看一下，右上角倒數(shù)第二個(gè)是CIC，是安全聯(lián)盟的證書。當(dāng)然，微軟他只拿到了第一級(jí)，不如亞馬遜，亞馬遜是拿到第二級(jí)。還包括中國的阿里云，也是比微軟拿到的級(jí)別要高。

       最后的MCF，是微軟IT部門自己根據(jù)自己的情況對(duì)于云計(jì)算提出的安全要求。制訂一個(gè)安全框架，這個(gè)是當(dāng)初在微軟領(lǐng)導(dǎo)的一個(gè)項(xiàng)目。所以，大企業(yè)可以自己來制訂對(duì)于云計(jì)算安全方面的一個(gè)需求，如果你沒有這個(gè)能力，你可以找業(yè)界近似的安全需求。現(xiàn)在推出了27017，27018，這個(gè)是以安全聯(lián)盟為基礎(chǔ)，對(duì)于云計(jì)算的安全和隱私都提出了正式的需求。

       我們?cè)倏匆幌孪M(fèi)化。端方面對(duì)于微軟IT的一些沖擊，這個(gè)微軟的消費(fèi)化，終端方面是分了4大部分。第一，企業(yè)的數(shù)據(jù)，因?yàn)橛辛司W(wǎng)上很多其他的應(yīng)用，可能從自己的企業(yè)內(nèi)部轉(zhuǎn)到了互聯(lián)網(wǎng)上，有很多企業(yè)的數(shù)據(jù)從企業(yè)內(nèi)消失的，到了互聯(lián)網(wǎng)上去，主要是通過員工它自己的共享。比如說，大家是一部手機(jī)，你這一部手機(jī)既來做業(yè)務(wù)，可能自己私人用途也是在這個(gè)手機(jī)上。業(yè)務(wù)數(shù)據(jù)和私人數(shù)據(jù)可能就會(huì)混在一起，這個(gè)是一個(gè)風(fēng)險(xiǎn)。

       還有應(yīng)用。微軟的企業(yè)，很多員工就自己去跑到外面采用一些外部的社交化，還有一些針對(duì)中小企業(yè)的一些IT應(yīng)用，中國是微信，大家微信建一個(gè)群聊，聊本公司的工作。業(yè)務(wù)的數(shù)據(jù)又跑到了社交網(wǎng)絡(luò)上去了。另外，還有管理。管理也是的，IT一般是采取中心化管理，有了移動(dòng)互聯(lián)網(wǎng)，很多管理系統(tǒng)不在IT部門控制之下了。當(dāng)然，還有設(shè)備，不管使用蘋果，安桌，還是其他的平板，這些設(shè)備IT部門都不可以制訂策略統(tǒng)一管理，所以，造成了很大的困難。那么，針對(duì)這個(gè)情況，微軟是先做了一個(gè)框架，對(duì)于消費(fèi)技術(shù)。那么，我們這個(gè)框架是分了4部分。主要識(shí)別風(fēng)險(xiǎn)，基于風(fēng)險(xiǎn)這樣一個(gè)框架。這種技術(shù)是公司鼓勵(lì)的。跟公司戰(zhàn)略配合，公司會(huì)鼓勵(lì)這種消費(fèi)技術(shù)，讓IT拿出預(yù)算，拿出人力來做策略，要正式地支持。

       左下角，員工可以用，但是，IT不支持你。比如說，安桌，你可以用，我IT部門不來支持你。有一些技術(shù)，IT可以作為一定的試點(diǎn)做支持。比如是Iphone，是一些單位標(biāo)準(zhǔn)，是要投入一定的力量先做一個(gè)試點(diǎn)，看一下以后放到里面來。這個(gè)技術(shù)對(duì)于企業(yè)安全危險(xiǎn)太大了。IT一定要想辦法禁止，我們可以從IT的策略，還有從技術(shù)角度，把它給擋住，可能是有一些風(fēng)險(xiǎn)很大的應(yīng)用，我們不可以在企業(yè)里面用的。

       微軟最后一個(gè)，是叫做可視化的報(bào)告，對(duì)于業(yè)務(wù)決策者。對(duì)于這些義務(wù)的領(lǐng)導(dǎo)，它是會(huì)安全做的好還是不好，他們沒有什么感覺。剛剛給大家講了，安全好比是一個(gè)健康，健康到底好不好？可能是IT安全員自己有感覺，你很難跟領(lǐng)導(dǎo)講清楚，你就可以采用這種可視化報(bào)告形式，把你的安全的健康的指數(shù)你呈現(xiàn)給你們的領(lǐng)導(dǎo)，呈現(xiàn)給業(yè)務(wù)決策人員。比如說在微軟，健康指數(shù)。包括了補(bǔ)丁，包括了對(duì)于病毒的情況，還有數(shù)據(jù)中心，還有終端，各種各樣的情況，我們用可視化方法呈現(xiàn)出來。未來，我們可以利用安全大數(shù)據(jù)衛(wèi)星情報(bào)，生態(tài)感知，我們把這個(gè)做的更好，可以做成實(shí)時(shí)的。

       那么，對(duì)于小企業(yè)來講，我講的微軟這個(gè)方法并不一定使用。因?yàn)橹行∑髽I(yè)員工數(shù)量比較的少，你叫他拿很多的資金和這個(gè)不現(xiàn)實(shí)的。在美國比較好的實(shí)踐，盡量地的采用云計(jì)算技術(shù)，有一個(gè)小公司，人是非常的少，他沒有能力來做很多安全的事情。是采用云服務(wù)，把IT基礎(chǔ)設(shè)計(jì)，還有很多管理交給云廠商只負(fù)責(zé)本身應(yīng)用安全就可以了。這個(gè)公司成長很快，兩年時(shí)間成為一個(gè)獨(dú)角獸，從今年開始不可以算中小公司了。這個(gè)安全通過云服務(wù)的方式由企業(yè)可以低價(jià)獲得。我在第二篇講過云時(shí)代低成本。包括安全，在座這些企業(yè)今后都是可以低價(jià)通過云服務(wù)方式獲得。亞馬遜，華為，企業(yè)云，云服務(wù)商，它他們就是有義務(wù)為中小企業(yè)提供安全服務(wù)。把恐怖安全給中小企業(yè)解決掉。亞馬遜，它是把安全已經(jīng)打造進(jìn)了公司的文化，從研發(fā)測試，就是研發(fā)和運(yùn)維，他們是一體化的。就是團(tuán)隊(duì)和產(chǎn)品團(tuán)隊(duì)，實(shí)際上都是一個(gè)整體。另外，這個(gè)云是目前安全功能最多的，亞馬遜不僅業(yè)務(wù)是領(lǐng)先，安全也是領(lǐng)先的。當(dāng)然，其他的廠商，比如說，阿里云，微軟云，華為企業(yè)云，可能很快就可以學(xué)習(xí)他們的先進(jìn)經(jīng)驗(yàn)，可以追上來。亞馬遜還建立了生態(tài)體系，安全不是一家可以做的。亞馬遜把業(yè)界所有的安全廠商，比較好的安全方案整合到自己的生態(tài)體系里面，客戶可以根據(jù)你的需要服務(wù)少量費(fèi)用，可以加不同的安全功能。因?yàn)閬嗰R遜安全合規(guī)是做的最多，剛剛大家看到了微軟是30多個(gè)，亞馬遜是拿到了50多個(gè)認(rèn)證。之后亞馬遜雖然本身沒有測試團(tuán)隊(duì)。雇傭了大量全球領(lǐng)先的乙方、第三方安全測試團(tuán)隊(duì)，對(duì)于它的安全做最后的那個(gè)。

       最后講一下中國企業(yè)特點(diǎn)，我回來了一年多。我感覺到了一個(gè)差異，不一定對(duì)，不對(duì)的化歡迎大家指出來。美國的員工非常的遵守安全規(guī)章制度，你企業(yè)定了一個(gè)安全政策，他一定是執(zhí)行。中國的員工是什么？不是這樣的。我舉一個(gè)例子，右面這個(gè)圖，我親身的體會(huì)，這個(gè)圖是在西雅圖研究院，我經(jīng)常開會(huì)，做會(huì)議培訓(xùn)。看一下上邊寫了一個(gè)，不要把吃的喝的帶進(jìn)來，因?yàn)槲以陂T外面都是放了食品、飲料、讓大家吃飽喝足聽這個(gè)會(huì)議。美國有一個(gè)標(biāo)志，非常守規(guī)矩，吃的喝的扔了進(jìn)來。有一次交代了一下中國來的代表團(tuán)成員參加會(huì)議。中國員工不聽，吃的喝的都帶到了會(huì)場，所以，企業(yè)IT安全策略我感覺是對(duì)中國員工是沒有什么效率。中國并廣告非常多，美國是非常非常的慶幸。中國的惡意軟件非常多。還有美國黑客情況很厲害，攻擊造成的后果是非常的大。但是，中國因?yàn)槿丝跀?shù)量大，從事黑產(chǎn)人感覺很多。還有信息化，美國高度依賴信息化，中國感到信息化的程度還不高。另外，安全防護(hù)上，美國政府，不管是政府，大中企業(yè)，安全防護(hù)比較得到慰。在中國，我感覺防護(hù)不太到位。大家也是知道很多網(wǎng)站出了事情。實(shí)際上是很多厲害的黑客，并沒有對(duì)價(jià)值不高的這些網(wǎng)站系統(tǒng)沒有花力氣攻擊，要真的攻擊，大家會(huì)有更多的問題的。

       還有一個(gè)是法制的問題。我國法制環(huán)境還不盡完善，還需要其他相應(yīng)的法規(guī)相應(yīng)出臺(tái)。這樣對(duì)于企業(yè)有幫助。還有企業(yè)決策者，對(duì)于安全要有重視，拿出一定比例的預(yù)算來做安全防護(hù)工作。這些建議我就不仔細(xì)讀了。謝謝大家給我機(jī)會(huì)分享一下美國企業(yè)的安全實(shí)踐，預(yù)祝中國的企業(yè)安全能夠盡早地趕上超過美國。