仝培杰

10月20日，中國信息協(xié)會信息安全專業(yè)委員會、公安部信息安全等級保護評估中心，聚合行業(yè)資深I(lǐng)T安全服務(wù)商和沉淀多年的安全能力者，成立了“行業(yè)（私有）云安全能力者聯(lián)盟”，并舉行了“中國首屆行業(yè)（私有）云安全技術(shù)論壇”。

這一舉動，在我國云計算領(lǐng)域，乃至網(wǎng)絡(luò)安全領(lǐng)域，可謂一件值得慶賀的大事，尤其是對于行業(yè)用戶而言，將來在云安全發(fā)展方面，將是最大的受益者。

因為成立聯(lián)盟最重要的一點，就是要抓住行業(yè)用戶的需求，從規(guī)劃、咨詢、方案設(shè)計、服務(wù)提供、運營支持、平臺提供以及測評等諸多方面，以確保行業(yè)（私有）云的安全，能夠形成一個完整的行業(yè)（私有）云安全產(chǎn)業(yè)鏈，提供整體的行業(yè)（私有）云安全解決方案，讓行業(yè)用戶有更多的安全選擇。

當(dāng)前，我國正值“十三五”開之時，在全面深化改革的戰(zhàn)略要求下，各行業(yè)都依托“互聯(lián)網(wǎng)+”、“大數(shù)據(jù)”、“云計算”進行體制與機制的創(chuàng)新，其中云計算在促進社會創(chuàng)新機制中扮演著重要角色。尤其是在近幾年，云計算已經(jīng)從邊緣突進到中心，對產(chǎn)業(yè)和社會帶來變革性的影響，致使行業(yè)（私有）云的發(fā)展升級，并成為云計算市場發(fā)展的核心動力。

云離不開安全，安全又是云的重要保障。相較于公有云，行業(yè)（私有）云可以提供更加透明、可控的計算資源，特別是隨著OpenStack開源體系技術(shù)的成熟，行業(yè)（私有）云架構(gòu)所具備的安全可控性高、應(yīng)用穩(wěn)定性好、軟硬件擴展性高、管理過渡平滑、部署方式靈活的五大優(yōu)勢，更能契合國內(nèi)大型行業(yè)企業(yè)對云安全的需求。

我們必須看到，隨著云計算基礎(chǔ)技術(shù)的日趨成熟，云應(yīng)用在重要行業(yè)中的趨勢已日趨明顯，政務(wù)云、醫(yī)療云、交通云、金融云、能源云、媒體云、電力云、通信云、廣電云等行業(yè)（私有）云，將成為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。同時，我們還可以看到，從傳統(tǒng)計算環(huán)境到行業(yè)（私有）云環(huán)境，科技創(chuàng)新推動了信息化發(fā)展，在帶來便捷的同時，安全問題已經(jīng)成為主要的制約因素之一。雖然國家已經(jīng)制定了以信息安全等級保護為核心的合規(guī)標準，但是如何落地，如何有效地落地，已經(jīng)成為行業(yè)（私有）云安全發(fā)展的難點與痛點。若不盡快解難祛痛，那么“讓行業(yè)用戶有更多的安全選擇”就會成為一個美好的愿景和祈盼。

解難，需要本事；祛痛，需要本領(lǐng)；只有本事與本領(lǐng)兼?zhèn)?，才能被稱之為能力者?！靶袠I(yè)（私有）云安全能力者聯(lián)盟”對成員恪守了“五大能力壁壘”標準：一是對創(chuàng)始人團隊有要求，核心人員穩(wěn)定度在5年以上，并對信息安全領(lǐng)域有深刻理解；二是對技術(shù)研發(fā)能力有要求，研發(fā)團隊至少50人以上，并有3年以上的團隊合作經(jīng)驗；三是對研究能力有要求，研究團隊至少20人以上，長期沉淀于核心安全技術(shù)的研究，在相應(yīng)市場領(lǐng)域占前三位；四是對產(chǎn)品化能力有要求，產(chǎn)品易用性已經(jīng)過市場檢驗，銷售額利潤已具備一定規(guī)模；五是對服務(wù)轉(zhuǎn)化能力有要求，可以將安全能力經(jīng)驗轉(zhuǎn)化為產(chǎn)品或平臺，不完全依賴人工。

總而言之，就是要“本事與本領(lǐng)兼?zhèn)洹?，否則稱不上為“能力者”，更談何具有“解難祛痛”之能力？“能給行業(yè)用戶提供可以落地、可以實施的行業(yè)（私有）云安全解決之道”即為夸夸其談，那么“讓行業(yè)用戶有更多的安全選擇”就會淪落為一句空話，乃至一種美麗的謊言。

行業(yè)（私有）云安全能力者聯(lián)盟定位于共同研討標準、搭建試驗環(huán)境、進行合規(guī)驗證、為行業(yè)（私有）云需求方，提供“大規(guī)模拒絕服務(wù)攻擊云端防御與清洗”、“Web應(yīng)用層及API接口防御與檢測”、“高持續(xù)性威脅攻擊（APT）檢測與響應(yīng)”、“核心數(shù)據(jù)資產(chǎn)保護與審計”、“大流量網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控與分析”、“云端管理資源濫用和人員管理”、“安全能力虛擬化調(diào)度及策略可視化管理”等主要威脅和需求領(lǐng)域合規(guī)的產(chǎn)品及解決方案。

據(jù)了解，行業(yè)（私有）云安全能力者聯(lián)盟首批發(fā)起成員涵蓋了信息安全專業(yè)研究機構(gòu)（國信衛(wèi)士網(wǎng)絡(luò)空間安全研究院），信息安全測評機構(gòu)（公安部信息安全等級保護評估中心、國家信息中心電子政務(wù)信息安全等級保護測評中心、信息產(chǎn)業(yè)信息安全測評中心），IT（安全）服務(wù)商（太極計算機股份有限公司、中國電信集團系統(tǒng)集成有限責(zé)任公司、北京捷成世紀科技股份有限公司、北京華勝天成科技股份有限公司、北京市太極華青信息系統(tǒng)有限公司、北京神州泰岳軟件股份有限公司），云安全產(chǎn)品及服務(wù)商（中新網(wǎng)絡(luò)信息安全股份有限公司、北京圣博潤高新技術(shù)股份有限公司、北京安博通科技股份有限公司、上海金電網(wǎng)安科技有限公司、成都科來軟件有限公司、北京景安云信科技有限公司）、云平臺產(chǎn)品及服務(wù)商（新華三集團、華為技術(shù)有限公司、北京國信新網(wǎng)通訊技術(shù)有限公司）以及信息安全專業(yè)媒體（《網(wǎng)絡(luò)安全和信息化》雜志社）。

聯(lián)盟雖然有“五大能力壁壘”標準作為基本“門檻”，但她更是一個開放的聯(lián)盟。開放的目的在于吸納業(yè)內(nèi)行業(yè)云及安全能力者，整合不同能力者的核心能力，依托國家相關(guān)重點工程實驗室做等級保護標準的落地驗證，配合重點行業(yè)云平臺做等級保護標準的落地驗證，形成合規(guī)的有效的行業(yè)（私有）云安全等級保護標準落地解決方案。而在技術(shù)層面上，成員之間持續(xù)進行聯(lián)合創(chuàng)新，廣泛進行兼容性驗證，形成領(lǐng)先的解決方案，打造榜樣案例，樹立云等級保護標準落地的標桿項目，為推動關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮相關(guān)作用。

所有這些，目的是不言而喻的——讓行業(yè)用戶有更多的安全選擇。