让行业用户有更多的安全选择

仝培杰

10月20日，中国信息协会信息安全专业委员会、公安部信息安全等级保护评估中心，聚合行业资深IT安全服务商和沉淀多年的安全能力者，成立了“行业（私有）云安全能力者联盟”，并举行了“中国首届行业（私有）云安全技术论坛”。

这一举动，在我国云计算领域，乃至网络安全领域，可谓一件值得庆贺的大事，尤其是对于行业用户而言，将来在云安全发展方面，将是最大的受益者。

因为成立联盟最重要的一点，就是要抓住行业用户的需求，从规划、咨询、方案设计、服务提供、运营支持、平台提供以及测评等诸多方面，以确保行业（私有）云的安全，能够形成一个完整的行业（私有）云安全产业链，提供整体的行业（私有）云安全解决方案，让行业用户有更多的安全选择。

当前，我国正值“十三五”开之时，在全面深化改革的战略要求下，各行业都依托“互联网+”、“大数据”、“云计算”进行体制与机制的创新，其中云计算在促进社会创新机制中扮演着重要角色。尤其是在近几年，云计算已经从边缘突进到中心，对产业和社会带来变革性的影响，致使行业（私有）云的发展升级，并成为云计算市场发展的核心动力。

云离不开安全，安全又是云的重要保障。相较于公有云，行业（私有）云可以提供更加透明、可控的计算资源，特别是随着OpenStack开源体系技术的成熟，行业（私有）云架构所具备的安全可控性高、应用稳定性好、软硬件扩展性高、管理过渡平滑、部署方式灵活的五大优势，更能契合国内大型行业企业对云安全的需求。

我们必须看到，随着云计算基础技术的日趋成熟，云应用在重要行业中的趋势已日趋明显，政务云、医疗云、交通云、金融云、能源云、媒体云、电力云、通信云、广电云等行业（私有）云，将成为国家关键信息基础设施的重要组成部分。同时，我们还可以看到，从传统计算环境到行业（私有）云环境，科技创新推动了信息化发展，在带来便捷的同时，安全问题已经成为主要的制约因素之一。虽然国家已经制定了以信息安全等级保护为核心的合规标准，但是如何落地，如何有效地落地，已经成为行业（私有）云安全发展的难点与痛点。若不尽快解难祛痛，那么“让行业用户有更多的安全选择”就会成为一个美好的愿景和祈盼。

解难，需要本事；祛痛，需要本领；只有本事与本领兼备，才能被称之为能力者。“行业（私有）云安全能力者联盟”对成员恪守了“五大能力壁垒”标准：一是对创始人团队有要求，核心人员稳定度在5年以上，并对信息安全领域有深刻理解；二是对技术研发能力有要求，研发团队至少50人以上，并有3年以上的团队合作经验；三是对研究能力有要求，研究团队至少20人以上，长期沉淀于核心安全技术的研究，在相应市场领域占前三位；四是对产品化能力有要求，产品易用性已经过市场检验，销售额利润已具备一定规模；五是对服务转化能力有要求，可以将安全能力经验转化为产品或平台，不完全依赖人工。

总而言之，就是要“本事与本领兼备”，否则称不上为“能力者”，更谈何具有“解难祛痛”之能力？“能给行业用户提供可以落地、可以实施的行业（私有）云安全解决之道”即为夸夸其谈，那么“让行业用户有更多的安全选择”就会沦落为一句空话，乃至一种美丽的谎言。

行业（私有）云安全能力者联盟定位于共同研讨标准、搭建试验环境、进行合规验证、为行业（私有）云需求方，提供“大规模拒绝服务攻击云端防御与清洗”、“Web应用层及API接口防御与检测”、“高持续性威胁攻击（APT）检测与响应”、“核心数据资产保护与审计”、“大流量网络数据监控与分析”、“云端管理资源滥用和人员管理”、“安全能力虚拟化调度及策略可视化管理”等主要威胁和需求领域合规的产品及解决方案。

据了解，行业（私有）云安全能力者联盟首批发起成员涵盖了信息安全专业研究机构（国信卫士网络空间安全研究院），信息安全测评机构（公安部信息安全等级保护评估中心、国家信息中心电子政务信息安全等级保护测评中心、信息产业信息安全测评中心），IT（安全）服务商（太极计算机股份有限公司、中国电信集团系统集成有限责任公司、北京捷成世纪科技股份有限公司、北京华胜天成科技股份有限公司、北京市太极华青信息系统有限公司、北京神州泰岳软件股份有限公司），云安全产品及服务商（中新网络信息安全股份有限公司、北京圣博润高新技术股份有限公司、北京安博通科技股份有限公司、上海金电网安科技有限公司、成都科来软件有限公司、北京景安云信科技有限公司）、云平台产品及服务商（新华三集团、华为技术有限公司、北京国信新网通讯技术有限公司）以及信息安全专业媒体（《网络安全和信息化》杂志社）。

联盟虽然有“五大能力壁垒”标准作为基本“门槛”，但她更是一个开放的联盟。开放的目的在于吸纳业内行业云及安全能力者，整合不同能力者的核心能力，依托国家相关重点工程实验室做等级保护标准的落地验证，配合重点行业云平台做等级保护标准的落地验证，形成合规的有效的行业（私有）云安全等级保护标准落地解决方案。而在技术层面上，成员之间持续进行联合创新，广泛进行兼容性验证，形成领先的解决方案，打造榜样案例，树立云等级保护标准落地的标杆项目，为推动关键基础设施网络安全领域发挥相关作用。

所有这些，目的是不言而喻的——让行业用户有更多的安全选择。