|
|
|
|
移动端

百度专家郝轶:云安全标准和应用是一种修行

中国电子技术标准化研究院主办、51CTO承办的"第七届中国云计算标准和应用大会"于2018年1月4日至1月5日在北京成功召开。大会全面展示我国云计算国家标准研制工作的成果,解读国内云计算产业政策,报告云计算标准化工作的重要进展。

作者:刘妮娜来源:51CTO|2018-01-09 14:59

【新品产上线啦】51CTO播客,随时随地,碎片化学习

【51CTO.com原创稿件】由中国电子技术标准化研究院主办、51CTO承办的"第七届中国云计算标准和应用大会"于2018年1月4日至1月5日在北京成功召开。本次大会全面展示我国云计算国家标准研制工作的成果,解读国内云计算产业政策,报告云计算标准化工作的重要进展。同时,大会还重磅发布了国家开源领域的标准化产物,分享了云计算最新的技术趋势和应用创新成效,并颁发了云计算产品及解决方案第五批测评证书。此外,第二届中国优秀云计算开源案例评选结果也在大会现场公布。

在万物互联和数字化转型蓬勃发展的时代,企业乃至整个产业的入云需求日渐迫切。随着云计算产业配套政策的落地,云计算逐步从互联网企业向传统行业渗透。产业转型与创新分论坛直击产业转型痛点,探讨云计算服务能力如何加速传统产业转型升级。


百度专家郝轶


在1月5日的云网安全与存储分论坛上,百度专家郝轶与我们分享了他在工作中得到的宝贵经验。谈到云计算安全的标准化问题,郝轶总结为三条,第一条叫做如果这个标准是管理要求的话,我们就关注它的过程。第二条,如果是个技术要求,我们就去关注它保护的对象。第三条,如果这个标准谈到了比如说云计算,一个具体的方向,我们就去关注这个场景的特点,当他谈到一个场景我们就去关注他的场景特点。

以下是演讲实录:

各位领导,专家老师,大家上午好。我是百度的郝轶,由我来给大家讲这次的内容,也是前面提到的《云安全的法术》,如果是西方的法师我们通过哈利波特以及一些游戏的了解,你会发现他们喜欢扔一些火球、雷电这些东西,他更像是一个搞化学工程的科学家,如果是东方的法师我们会发现他们更喜欢去做一些比如什么夜观天象、呼风唤雨这些事,他更像是关注于天文和气象,发现天文和气象规律,然后并把它应用起来,或者说喜欢论道讲法,把这些方法论整理并宣传出来的这些人。今天我们这次大会的标题是云计算标准和应用大会,我其实在这里就想说的是,关于云计算安全他相关的方法和技术,也就是云计算安全的标准化应用,也就是我这里面法术的部分。

在讲到云计算安全的标准和应用的话,我要回顾一下我们目前相关的标准和方法,我们发现前面邵处也讲了,其实当我们关注云计算安全的时候,我们所使用的标准和方法以及相关的技术,其实不单是云计算的,也包括跟云计算有关的,比如他底层的一些内容一些传统的网络边界,也包括云计算上面的数据还有那些IT服务管理等等这些,我认为他都相关。

在我的日常工作当中我经常接触到的一些标准,比如说常见的有CCRA云参考框架,一个基础的来介绍云安全或者云计算整体架构的这么一个标准,有的标准讲架构,有的标准讲了一些要求,比如国家推荐标准GBTA31167和31168,分别讲了我们云服务商应该如何向政府行业提供安全的云的服务,也讲了作为政府部门如何要求云服务商提供什么样的安全措施这类的标准,他提了一些在技术和管理上面的要求,同时我们有一个非常熟悉的标准还经常用到的,就是我们等保,像1.0时候的GBTA239-2008信息安全等级保护基本要求,在我们有了等保2.0,但没有发布,说要合在一起,在没合的时候会分GBTA2239.1和网络等级保护和点2,在这类的等级保护基本要求里面,我们就会发现他也要分类的,在等保1.0的时候分技术和管理,其中技术部分分为物理、网络、主机、应用和数据,到2.0的时候有了一些调整,我们把它叫做物理和环境,网络和通信,然后以及设备和计算还有应用和数据,大家发现说其实无论怎么样的分类内容是差不多的,就像前面邵处刚刚讲过的,他的第九页讲了说有边界,有网络,有终端,有应用和数据。

我们会发现他有各种各样的分类,同时我们也会去兼顾一些国际上的标准,当然我们也通过《翻译法》和一些修改很多转化成了国标,比如我们常见的,在座的各位如果做信息安全其实都知道,ISO27001信息安全管理体系,这个里面他会提到我们有方针、策略、组织和人员,然后相关的一些流程和它若干个相关的流程和控制措施,是这个样子,当然这有一些对具体场景化的标准,比如27017讲的是云环境下的安全管理体系,27018讲的是云环境下的个人标识信息的保护,这都只是部分的我们经常用到的东西,我做一些简单的介绍,还有如果做行业的话,做云计算安全还有国际与安全联盟的相关内容,CSASTAR里面有认证联盟,会对应着国际上的什么加拿大的,一些行业的。比如说支付宝行业,他里面会引用墨西哥的一些标准,似乎我们日常工作当中这些标准的内容还是比较多的,下面这个表是因为我想如果展开的话有好几百个,已发布的安全位有150多,在研的还有150多,这些都是近期我在网上下载到的就是我们的这些标准,这就出现了一个问题,刚才我讲的那些好多,我自认为我小的时候差不多算过目不忘,记忆力还可以,但是它已经如此的多,吴老师这一组人他们在积极努力的为我们总结、归纳形成标准,也就总结了不到三百个到现在,算上没发布的,我在后面学习和应用,把这些标准有一部分是参考的,就是说我工作当中,如果我去做规划,做设计,我可以参考这些方法论和要求,但是有一部分标准他是规范,是要求,是涉及到合规,涉及到我必须把它做掉的,问题是在座的各位可能一部分人跟我一样,我们都要去用这些标准,或者去遵守它,我们怎么能把如此多的标准在实际的工作当中用起来,就是我今天要讲的内容之一。

我希望在介绍的过程当中能一方面像我这样用标准的人用起来,另一方面我还知道有一些乙方的人,把我们梳理归纳的内容把它的价值传递给我们的用户,大家要盈利,怎么把它卖出去。

现在我讲了这么多的标准情况,下面我就要讲是不是有一种方式,或者我们能找到一些规律,能够快速的了解这些标准,好像我现在在前面讲的时候,就像已经读过了一样,但其实不一定有精力去读,因为我算了一下,以正常的阅读速度,要想细读的话要一个星期不一定读的懂,但这么多我还要去用所以很难,作为一个习惯于投机取巧的人我就想了一些方法,是这样的,我们发现在要求类的标准当中,一部分讲管理的,一部分讲技术的,是这个情况吧,在讲管理的时候,因为我自己作为一个云计算服务商,我要获得很多认证,每年我要维护的认证差不多有十个,比如说我每年要拿的证有,年审的有等保,这是必过的,可信云、ISO9000、ISO2000,9000是质量管理体系,2000是服务管理体系,ISO27001信息安全管理体系,ISO27017云环境下的信息安全管理体系,ISO27018云欢迎下的个人信息标准信息保护,然后还要去过CSASTAR,同时最近腾讯拿到了一个证我们还没有过但是我也要关注,好处我是那个作者还容易一点。我其实还有一些一定要过的,比如说网信办的检查,如果我要是做政府行业,我一定得学上述的电子政务的相关标准我要学习它,如果我要做金融,我应该做PCIDSS支付和安全行业数据标准,但是现在我们人比较少,主要就是我,我要把这些东西全都记住,并且每年要过检查,我还要去维护它。

一年有12个月,我差不多要过至少10个认证,除了春节和十月一这一年就过去了,基本上每个月来一遍我还得学点别的。最后我们发现这个里面似乎有规律,什么呢?就是怎么让大家迅速的把我刚才说的那些在我讲的40分钟之内初步掌握,是这样的。

凡是你面向对象是人的那些东西,通过对人的活动来完成的任务都几乎属于管理,先说管理类的。管理类的内容有一个特点,就是他都有一个管理目标,管理目标是什么呢?比如说你叫质量管理体系你的目标就是提高质量,如果你的目标是提升IT服务,那么你的这个体系就要叫做IT服务管理体系,ISO20000,如果你的目标是提升信息安全管理,就叫做信息安全管理体系,好了,每个体系都有一个目标,这个目标是怎么达成的呢?就是我们不太用什么方法能保障结果,但是人们发现在管理的这个过程当中大家可以关注于管理相关的流程和过程,通过在过程当中加控制点和控制措施来达到管理的目的,一般为了实现一个管理目标他的套路是这样的,他一定会找出跟这个管理目标相关的一些流程把它梳理出来,如果大家去看有一堆流程,在这个流程里面控制措施,直到有一天我复习了一下,在2006年的时候我在制造行业的时候过过9000,我发现这些都跟9000很像,后来看看国际上的标准,确实9000算是一个基本的标准,早期大家都对它有些参考,在9000里面我找了这么一张图,大家不用认真看,其实你要知道,它讲的就一件事,首先这个标准叫什么名,定义了他的范围目标,然后他要梳理出相关的流程,他要明确出谁来管理,就是管理者他的组织和人员,明确管理对象。这是我在2015年之前我在学27001的时候似乎就是这个样子,大概就这么个影子,他分了多少个域对它各个场景进行分类,是这样吧?

到2015年左右,9000可能也受到其他标准的影响,它做了一个版本上的变更,它在做管理体系之前他加入一个环节,叫做风险评估,我觉得我们挺熟的,因为做27000的时候上来也先做风险评估,或者做ISO20000、2301,尤其是2301都有风险评估的环节,我想它有什么用?我认为它一个非常有价值的角度是这样的,当我们做一个体系的时候就会发现,前面我讲的梳理出来的流程做它的控制项,你发现它一般有一百多个控制项,一般在130-160左右,就是我接触到的各种标准,比如CCM差不多160多个就算多个,然后27000系列等保系列差不多在130个左右,大概就是150左右摆动,这些内容非常多,以至于作为一个常见的甲方或者实用标准的人来讲不太容易记忆,或者说我们的工作有的时候缺乏聚焦没有重点,就是我原来一做管理体系这个事,就似乎像是一个又全,非常全,但是又不太细,什么都说到了,我们好像也没有特别明确重点这么一件事情,但是如果在这个环节之前加上了风险评估的话,就能够依据当前的场景识别出现在的资产状况、威胁情况,我们自己这个场景下特定的弱点和我们现有的控制措施以及采取风险,我们相当于给这个庞大的体系结构为我们自己的场景找到了重点,这就是我这部分工作的理解,所以我们做了一件事,是什么呢?

我在我的单位把相关所有的管理体系合并,我把我的9000、2000和22301比较相似的,落到IT行业的时候更像是20000了,对一个互联网公司的22301他的业务连续性主要是IT的东西,他有大量的内容是交叉的,我要做的事就是我要把多个管理体系的目标把它进行整合和梳理形成一个目标组,就是我的这个目标里面有质量的,有IT服务,有业务连续性都在里面,有信息安全管理的,然后我把相关的流程都梳理出来,很多流程是重复的,因为原理很简单,就一个具体的甲方来讲,或者对一个具体的厂家来讲,你管理这件事他管理的是人,就是管理者和被管理者,在我们单位就那么几个人,管理者就那几个,被管理者就是那几个,非常明确,控制措施很多时候也可以复用,基于这种情况,我们现在就整合了9000、2000、22301和27001,顺便有一个好处,就是CASTAR,它其实主要就是27001加上CCM,他的范围都是基于27001的,我在做了这个整合就顺便把CASTAR五整合掉了,这就是我们在管理部分做了一些整合。

基于我们发现的规律之一,同时我们又发现另外一件事,安全标准里面谈到要求,当然讲方法论和它是什么这些标准,我们一般会在做规划的时候用,更好的表达我这个云计算是什么样子,按照CCR类去描述就更好一些,他们要求的时候我们发现很多技术类的标准,他都是面向对象的,这就又给了我可趁之机,什么意思呢?

大家还记得上一个演讲者第九页最后一行讲到了数据,他提到了一件事,叫做数据安全包含着数据的创建,我们叫采集、专署、使用、存储、销毁、分发,他的全生命周期的相关安全工作,要对它进行重点式分级和分类,并加以保护。是这么说的吧?其实我们发现刚才说到数据安全与我的这个标准是封皮,他讲的是个人表示信息在云环境下的保护这么一件事,其实他是不谋而合的,无论是前面我们看到的国内的相关的数据保护的要求还有国际上的要求,还有我们能看的见的像等级保护的要求它里面的技术部分。

最后一个环节,原来叫数据和备份现在叫应用和数据,它都有一个特点,就是它一定不管做一个什么东西的安全,它的方式都是说先面向保护对象,比如我们现在要保护的数据,我们就要面向数据,然后去看他的全生命周期,看他在哪怎么用,谁能碰的到他,然后再加以控制措施,这些标准是通的,虽然前面我讲那些方法的时候说可能上百个,但是落地到一个具体的场景这事又好办了,因为我作为一个使用标准的人,我们家的IT资产就那些,他虽然有变化,但是在一个具体的年度内的话,它的变化没有那么大,这些资产还都是过去十多年一点一点攒到今天的,即使到了明年可能会有一些增加和减少,但不至于整体上没有那么多变化,针对于我自有的这些数据资产,我要做的事或者是我的IT资产要做的事。

无论是什么样的标准和要求,他让我去做的具体工作其实都是说,我要对我的资产进行分级分类梳理,我要找出我的那些重要资产是什么,我要知道我这个资产怎么来的,怎么走的,怎么用的,怎么保存的,在每一个环节上各个标准里面其实都给我很多参考,提了很多控制措施,以至于我懒到什么样呢?比如说它是一个系统,往往他一定会要求标识和鉴别、访问控制、审计、报警,然后资源管理、入侵防范、恶意代码,差不多六七个分类,就往我这个系统的标准上去套,如果他是一个数据资产,他一般会要求对这个数据进行分级分类,他会要求传输的过程当中加密,要有认证环节,然后存储过程的时候要加密,销毁的时候怎么处理,大概就是这些东西,就会形成那些方法的方法,或者我认为是方法背后的规律就可以去发现他。

基于这种情况,我们就整合了我能找的到的所有的技术标准,因为我去过一个管理体系的时候他里面有一条,说你最好依据国内外或者行业的先进标准去做这件事,我们现在作为一名服务商,就那点东西,我有我的边界,有我的设备,有我的云管理平台,有续机,就这点活,我就把它做掉,总是要做出一些特点。这个标准也可以相当于追点热点,我的单位是国内第一家通过这个认证的云服务商,但我们并不是第一家通过认证的单位,第一个认证单位是微信,我们是第二个,他专门保护的内容,这就是我举的一个关于资产的例子,就是关于技术对象的例子,如果把技术的部分都抽象成对象然后给他上控制措施就成了。

今天我要讲的是云计算安全的标准应用,前面讲了很多标准它并不是云计算安全的,专门给云计算写的但是云计算安全都得用,当我们讲云计算安全的标准和要求的时候我发现它的一个特点,它更多的其实一些变化就是面向了场景,这个业的内容来自于ISO27017,就是讲说27017这个东西在云计算环境下怎么用,这个标准我看了10分钟我觉得差不多了,虽然看的不深我发现它一个特点,它几乎每个章节和整体结构跟27000是一模一样的,他分别对云服务方和云租户分别的角色做了场景上和实施责任上的说明,他其实是把一个通用的标准落地到了云计算的场景之下,如果云计算安全是面向场景的话,管理我说是面向过程的,技术是面向保护对象的话,我们就举一反三,又干了另外两件事,因为今天作为一个云服务商已经不是那么高端了,就是包括我跟吴老师他们去学习写标准的时候发现大家都已经把这个云服务商的工作,怎么去做,做了大量的总结。

我作为一个厂商,我想把这个东西,有的时候为了一些噱头也好,也是为了追求先进的科技也好,我们现在主要提的都是ABC,什么呢?AI、bekdate,叫人工智能和大数据,所以为了追求点不同,显得自己厉害,我平时自己在家我都在搞大数据安全和人工智能安全,这样看上去噱头一样。这个里面有了以上的规律,你就会发现说人工智能安全,它其实并不复杂,技术类的东西它是面向对象的,对象怕分解一定可以分解,当你把一个人工智能的应用分解成为用户这一层,访问层,根据CCR类的,服务层和基础设施以及基础设施之上,服务层背后的那个叫人工智能的计算模型的话,你就发现除了人工智能建模那部分他几乎跟云计算和大数据是通用的,因为管理对象终端还是那个终端,访问层的控制还是访问层的那些控制,因为你访问层要么是个外挂,要么是个APP,要么是个API,要么是个网络通信,大多数就这些,因为这就是CSASTAR那个标准写的,因为你在云环境下的访问层就是那几种形式,你换成人工智能其实好象也是那个样子,比如我经常嘲笑我厂的机器人,看似很炫酷的机器人跟你聊天,我认为它就是长的好看一点的盒子,有一天我看到我们的工程师在维修他的时候我都太辛酸了,里面就是一堆电路板,一根线,理论上他相当于五六十年代的收音机,本质上也是这么一个套路,他是远端的能通讯的盒子。

在这种场景下,如果是技术上,他能分解了的话,大部分控制措施是可以复用的,所以针对于不同的场景,我们往往只关注那个场景的特点就够了,我们去找人工智能的场景和云计算的场景有什么不同,也就像我们在做云计算安全的时候,我们的大方法论都跟普通安全差不多的我认为,更多的是我们找到了云计算的场景,避暑他有虚拟化的部分,他有云隔离的要求,他有云管理平台是这样子吧,我们做一个具体的人工智能。

举个例子,以27018举个例子,怎么做的呢?比如人脸识别,数据怎么收集的?如果大家提前交了照片,可能涉及到数据的拷贝和网络的直接传输比如HDDP,我们控制措施就是换成HDDPS,这些照片的保护是不是要切开分片,防止别人拿到这个照片,是不是要把一个人的照片和你的名字和你的身分证号要分在不同的地方存储,然后再用一个标或者一个方式把他们关联起来,不能集中存储在一起,这都是相关的控制措施,还有一些我们会关注,大家想过一个问题没有,就是当你每次被人脸识别的时候,他其实在采集你的一张照片,他会给你拍一个照,我们会关注拍的照片是一直被那个系统留下了还是用完就销毁了还是它是API随用随删,如果他被留下了这就是一个风险,我们要给他一定的控制措施说你不能留这样的东西,如何对他的传输和存储进行加密,是不是有些感觉手段规定他的销毁,会不会有一个技术手段来支持这个管理手段,说你怎么证明你销毁了而不可恢复,这就是我们在具体场景下对以上这些标准的应用。

总结了三条,第一条叫做如果这个标准是管理要求的话,我们就关注它的过程。第二条,如果是个技术要求,我们就去关注它保护的对象。第三条,如果这个标准谈到了比如说云计算,一个具体的方向,我们就去关注这个场景的特点,当他谈到一个场景我们就去关注他的场景特点。还可以再举例,比如做交通行业就去观察交通行业的场景特点,去做大数据的时候就观察大数据下面的场景特点。对前面那三条我又做了总结,就形成了这句话,"利用规律去实践方法",原因是早期方法没有那么多,像11年前我们看GBTA26984-2007信息安全风险技术评估规范标准没那么多,再早一点17859,2008年出的标准多一点,也就十多个,2008年的标准20040等级保护指南,20039信息安全,就常见的,什么20986、20988,那一年才十多个,像我这种闲着没事的人我都能背下,但是到今天我真的背不下来了,太多了,怎么办呢?我就提到了用那些规律去实践这些方法,这样能快速的去记忆这些东西并把它用起来。有一个传统的词汇就叫做以道论述,但是我们在这方面尽量尝试的去是简单不是最佳实践是这么一个情况。

前面谈到了云安全法术当中的"法",下面我来讲一下"术"。我发现了一个问题,我不是那种不太能说的人,我之前作为一个安全厂商来讲,我干的最多的一个事就是说服在座的各位尽可能多的,单价尽可能高的,次数也很多的来购买我的产品,这是我的职业,我认为我在替我的老板创造价值,在座的各位也有很多是乙方,我挺想给大家讲一下我是如何做到差不多10多年投标就一次没中的这个事。

后来我做了甲方,我既是甲方又是乙方,现在我在云服务商里面,我还得让我们的云平台更安全,我要说服我们的研发和运维,但是对一个互联网公司来讲,这帮研发的年纪界很小,然后运维年纪也都不大,他们赚钱赚的实在太多了,非常不容易被说服,他们往往觉得自己还比较有能力,因为我像他那么大的时候,连他N分之一的工资都拿不到,技术还是挺牛的,我就发现一个问题,尤其在安全领域,他是基于攻防的,就像在古代这是一场战斗,单纯的给人讲道理是难以说服别人的,非常不生动,大家不听,后来我们总结出要是想让他听就得打脸,的就必须跟他打一架,因为讲到安全这个事是一个攻防,所以下面这部分我会倾向于技术或者产品方面来讲我们是怎么实践这些标准的。

我们发现这些安全工具或者技术它有一些演变,早期我接触到的甲方都是买买买,我们国内主要安全的目标大客户其实集中在政府、金融、运营商、能源、医疗、军工、军队、公安、教育他们是我们的大客户,他的特点是效率比较高,你今天买快点要,甚至他可以没签合同就供货了,但是得花点钱,成本比较大。

后来我们发现那些当年的屌丝公司,就是那些做互联网的,他喜欢用开源的工具,他会去网上找开源的工具搭建平台,虽然投入一些运维的工作,但是他也能用,这些开源的工具是能够去使用的,是有效的,后来这些单位就会去自演他自己的工具,再后来现在我们看到了行业上很多互联网公司会去挖那些安全厂商的人来去做那些安全的saas,一方面是把它自研的那些工具做云服务化,把它saas化,对外分享出去,就形成了今天我们在市场上能看的到的收费或者免费的这些工具,这些工具有一些特点,就是前面讲到了商业工具他效率高,但他也不便宜,因为买的人永远觉得他不用我花钱。

自研的产品其实效率并不高,因为慢,因为你自研得去研,研就有开发的周期,但是它成本其实也不低,因为最然这个工具没有花钱,但是研发的成本还是很高的,工具可能一百万没花,但是你过了两个研究花了二百万,再配四个测试,还得有一个项目经理,最后说界面不好看再配个美工,成本也不低。

还有一些是开源的工具,他看上去成本会低,因为确实没花钱,但是要把它用起来的话坑比较多,大家需要不断的去调整它,它看效率怎么说了,如果你算上调整的效率,他确实没有saas和商业的高,但它对成熟的使用者来讲,对成熟的OP和运维来讲的话,他的效率目前来讲也可以接受,还有云服务化的工具,我认为它成本相对较低效率较高,但是他有一个缺陷,就是你别的工具还好,但是现在它是一个安全场景下的工具,那么你一个saas化的工具不可避免的就是saas的云安全服务商,它数据一定云平台上是有的,是这个情况吧,就是我们的一些演变。

尤其互联网为例,我是这个行业的,早期也会买商业的工具,然后用开源的,把开源的做二次开发说是他自研的,在自研里面比较好的输出,找点免费的用户,在免费用户里面过滤出一部分比较有钱的要钱,提供一些增值服务,在对那些特别有钱的又懒的给他提供服务,现在大概是这么一个套路。在这些工具并行的时代,我曾经有很多恐慌,这也促成了我由安全厂商的角色跑去了互联网公司。什么样的恐慌呢?就是说现在有了saas的,有开源的,不要钱的,但问题是我们云安全或者传统安全创伤,他卖的产品是要钱的,并且安全厂商是主要依靠销售安全产品来盈利的。

过去五年很困扰我的一件事,是不有一天互联网公司他要做的安全,需要把我传统的安全厂商灭掉来端我的饭碗这件事,我就等着他们打后来,后来他们一直不打过来,我就跳过去看看他们为什么不打过来,原因是什么,到今天我有一些线索,但是也不算是成果,给大家汇报一下,就是说我认为传统的安全设备还是有他的市场,因为我现在有的时候是甲方,我在采购安全工具的时候我在想我买到的是什么。

尽管现在有大量的开源工具,尽管现在互联网公司他也对外输出他的SaaS服务,但是我发现,其实如果论工具的功能来讲,那些开源的安全产品,经过仔细的配置和一系列填坑之后它是能用的,没问题,但是他失去的成本是你运维上的时间以及你研发上的时间,对互联网公司来讲,他的规模足够大,我举个例子,我们一个机房有五千台设备,我们至少要有四个机房,我们部门就是两万台设备,算上我们公司某些别的部门那至少就是十万台设备了,这么多设备我们买安全厂商这些盒子的时候他当然觉得贵了,因为一买就得买一千个,所以互联网公司自研,自研究完了之后他说你看我们今年省了好几千万,我们造出两盒子,我们自己用了,他节的是合适的,因为他一算成本说我才用了十个人开发了这么一个东西,所以他成本是合的上的,但如果换成一般的,我前面提到的传统大客户呢?政府、医疗、军工、军队、金融、运营商单位这些,他的主营业务不是做IT的,他的服务器数量和IT系统的规模不至于那么庞大,虽然她的业务足够复杂但是他的系统不庞大,这就导致了一个情况,对他们来讲去采购那些商用的安全成本反而要比自研和开源还要低,因为一旦要开源就要上五个运维,还得极强能力的,所以我认为还是有机会的。

我认为买的不止是盒子和工具而是相关的服务和技术支持,以及有什么事这种应急响应的这么一种权利,还有责任共担的这么一个权利,如果我是甲方我买了盒子,我获得相关的服务和支持,我出了事有人给我响应,诸多的这些东西才是这个产品核心的价值,因为我们的组织结构和IT规模,互联网和传统行业还是有很大区别的。

到今天我们知道了说如果这些产品很长一段时间会去并行,我们应该如何提供更好的产品和把这个产品卖出去,我的建议是说产品它的本质是利用这些工具提高我们的一些标准的执行效率。我举一个非常有特点的产品,就是他专门就是给方法提高执行效率的是什么呢?比如我们的等级保护检查工具箱,等级保护其实是由一系列标准组成的,但是我们在测评的过程当中和自查的过程当中发现效率没有那么理想,或者是说我们测评人员他的人工操作成本会比较高,所以国内就造出了如等级保护工具箱这类的工具,它其实大大提高了标准执行的效率,我认为在这种场景下,他是一种以器载道。

另外我们如何把这种产品作为安全厂商更好的交付给我们的用户,我发现今天的用户已经不太希望有人过来给你讲说我有一个盒子它有什么功能,它比别人家好在哪里,大家更希望通过一种完整的解决方案,通过那种基于一般规律或者是说基于业内大部分人的共识,通过一些标准形成的方法论所建立的方案,这就是过去几年我在推广我产品的时候干的一件事,其实我从不讲产品,我每次给大家讲的都是方法论和原理,因为用户永远他想要的其实是解决问题,比如解决控制问题,解决攻防问题,从来没有一个用户说我想要一个盒子它叫life,是这个道理。

最后要说的是安全标准和应用这件事情,我觉得它更像是修行,修就像是学习,行其实就是实践,我们的标准工作者经过多年不懈的努力还在持续不断的为我们编写和总结那些方法和规律。一会儿我们的王老师就会给我们讲他总结了那么多的相干的方法,而对我们大部分人来讲,以我的资质是不太有能力做这么多的总结,但是我可以把它应用和实践到我的日常工作当中去,为组织带来价值。如果我是一个甲方,我就会利用这些标准来过很多的认证,来提高我们组织内部的质量,IT服务管理,信息安全管理,业务连续性以及技术方面控制的强度,如果我是一个安全厂商,我就会利用这些方法论和标准,为我的用户创造那些更贴合它场景的,并符合这些方法和标准的方案,让我的老板赚到钱,让我的用户获得落地的方案。

讲到这里,谢谢大家,也希望在座的各位能够为自己的组织带来价值,能在今年年终获得更好的收益,谢谢大家。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑:刘妮娜 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

软件设计师考试全真模拟试题及解析

本书是按照全国计算机技术与软件专业技术资格(水平)考试《软件设计师考试大纲》的要求,参照《软件设计师教程》及近年来考试试题编写的,...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊