2016可信云大会第二天下午的云安全分论坛，同时作为本届唯一个“直面安全”的分论坛，不仅邀请到了中国信息通信研究院技术与标准所主任工程师高巍对“可信云服务安全认证方案”进行解读，还邀请了深信服、联通沃云等企业代表对其云安全产品的进行技术层面的详细介绍。

除此以外，此次分论坛还有一个很重要的亮点，就是在议题之后，邀请到了长亭科技、安全狗、青藤云安全、芯盾时代、亿盾互联、安博通、天空卫士7家安全初创企业的高层代表参与的主题圆桌讨论——“安全创业那点事儿”。

此分论坛全程由安全牛主编李少鹏担任主持，而小编自然也没有闲着，精挑细选了此次“云安全分论坛”的嘉宾分享及圆桌讨论的干货，并整理如下。

在议题内容开始之前，中国信息通信研究院技术与标准研究所副所长何宝宏先对数据中心联盟安全专家的名单进行了宣读并颁发了证书。详细名单如下：

• 北京中睿天下信息技术有限公司副总经理魏海宇
• 北京中睿天下信息技术有限公司攻防实验室主管李炳涛
• 北京升鑫网络科技有限公司联合创始人COO程度
• 北京升鑫网络科技有限公司CEO张福
• 北京世纪互联宽带数据中心有限公司信息安全总监王文飞
• 北京世纪互联宽带数据中心有限公司高级工程师周行健
• 深圳市深信服电子科技有限公司资深安全专家余燕明
• 江苏通付盾科技有限公司主任研究员华保健
• 北京智游网安科技有限公司工程师曾志峰
• 北京尔创科技有限公司高级工程师魏哲
• 华为技术有限公司IT安全标准总监/高级工程师葛小宇
• 中国人民公安大学（信息技术与网络安全学院）助理教授孙海春
• 北京洋浦伟业科技发展有限公司梆梆安全研究院院长卢佐华
• 蓝盾信息安全技术股份有限公司CTO/高级副总裁杨育斌
• 北京奇虎科技有限公司技术总监/高工李鸿培
• 上海优刻得信息技术有限公司安全中心总监方勇
• 上海优刻得信息技术有限公司安全合规工程师杨丹
• 广州赛宝认证中心服务有限公司认证中心技术总监刘小茵

数据中心联盟安全专家颁证仪式

再说说此次的议题。

此次议题包括“可信云服务安全认证”、“可视性架构”、“政务云平台的云安全”、“打造安全可信云平台”、“可运营的云安全”以及“云端数据治理”6场主题分享。

1. 可信云服务安全认证方案解读
中国信息通信研究院技术与标准所主任工程师高巍

据高巍介绍，可信云安全认证的定位分别从“技术评测”和“管理评测”两个角度进行。技术评测主要是从用户的角度出发，以各类云服务的技术风险为目标，利用工人的工具及漏洞库进行。其中，针对云主机服务一项，包括“系统模板漏洞”、“服务Portal”（包括用户访问环节的安全风险防护和系统渗透测试）和“安全配置”（包括建议的云主机操作系统安全基线配置以及云主机服务安全配置）三项。而管理评测则是从企业内部管理的角度出发，以企业、平台整体的风险分析为目标，要求企业提供已通过的相关认证证明（如ISO27001、CSA-STAR、等级保护等）。最终，在认证过程上，数据中心联盟会指定第三方机构进行测试并将测试结果（技术测评报告以及管理评估证明材料审查报告）进行专家评审，最终确认企业云主机服务业务的风险程度是否符合要求（无严重风险且中等风险数量不超过三个），来确定企业是否可以得到可信云服务安全认证。

2. IXVISION可视化系统架构
IXIA企业事业部大中国区总经理曹智锋

IXVISION消除网络盲点，提升运维效率的能力主要体现在“智能可视”、“安全矩阵”和“主动运维”这三个方面。传统的可视化要求进行全面的数据采集和分发，而IXIA所提出的智能可视化则是将探针所采集到的数据在分发前汇聚到Network Packet Brokers中间件进行数据的过滤、负载均衡、SSL解密以及网络流数据的统计，通过智能的分析与数据分类，再由针对性的将数据分发给负责网络运维、应用维护、安全管理和数据审计的各平台。安全矩阵则是通过部署安全交换矩阵进行安全工具的串接，并结合其Threat Intelligence Gateway产品实现安全管理效率的提升。

3. 安全合规、交付简单、开放共赢的政务云云安全平台
深信服市场行销副总裁殷浩

在殷浩看来，云安全不再只是平台技术提供方或平台运营方的事情，而是关乎技术提供方、平台运营方、租户、监管机构和ISV这5方面进行安全权责的划分。而基于“上云前咨询->云上基础架构规划->安全架构规划->迁云实施”这一租户上云流程，也存在亟待平台方解决的“平台方是否能提供与线下原有数据中心匹配的安全能力”这一问题。

现有的云安全产品交付方案，主要为设备镜像化交付和SaaS安全服务交付两种，而深信服则是通过云安全资源池对云上客户进行安全服务的交付。通过云安全资源池中的安全运营宝、云端检测报告、失控主机包、高级防御包、基础防御包和安全接入包，结合云平台本身，为客户提供诸如资产发现、风险感知和预警等安全服务。

4. 打造安全可信的云平台
网宿科技安全规划与产品高级经理王枭卿

网宿科技的王枭卿认为，云安全本身应包括云计算服务提供商本身的安全，以及使用云计算平台的客户的安全，而对应分为内外两部分。其中内部防御措施报包括减少暴露面、补丁升级、配置加固、规划设计、定期进行评估审计、资源储备（DDoS，带宽，节点资源储备）以及使用专用防护系统；而外部在包括安全设备的虚拟化，为客户提供接入服务、将安全能力集成进虚拟机、基于云的安全服务（充足的资源、数据和流畅的运维过程）。网宿云安全主要提供针对CDN源站（web应用层攻击和扫描），云计算平台（抗DDoS，主要是通过其近15TB的带宽储备资源）以及DNS的防护。同时，因为网宿科技本身是中国非常大的CDN服务提供商，所以网宿云安全会结合其CDN的技术优势，进行防护的同时，提供动/静态页面的加速服务。

5. 可运营的云安全
联通沃云信息安全专家高级工程师沈余锋

据沈余锋介绍，中国联通在公共云平台的资源能力上，已经具备50万核的计算能力，40PB的存储能力以及360GB的互联网带宽。由于无法满足云环境下租户多层次的安全需求，其目前虽然已经在25个省份部署了等保3级的安全防护系统，但是只是做到了对硬件平台的防护，还在思考如何将安全设备的能力转化成安全服务提供给租户。目前中国联通沃云发展策略，包括自主研发的Web应用防护、入侵防御、防病毒、网络漏洞扫描、抗D、主机加固等服务，与其它合作伙伴合作的包括防盗链、DNS劫持检测以及基于大数据的安全服务等，并计划将客户分散的安全需求收缩到云安全中心进行统一管理。特备，对于异常流量监控和清洗服务，联通沃云根据流量类型特征（数据流总量、数据流传输速度、数据包大小、数据包数、数据包速率、连接数和持续时间等）进行统计并与正常业务流量进行区分，分别在集团大网（近源清洗）、高防云中心和资源池设备（本地清洗，20到30GB流量处理）三个不同层次提供清洗服务。

6. 云端数据治理
广州赛宝认证中心技术发展部李尧

李尧认为，云端数据治理的核心环节有4个，分别是元数据（技术元数据、业务云数据和操作元数据）的管理、主数据（客户主数据、产品主数据和市场主数据）的管理、数据质量的提升（完整性、准确性、及时性和一致性）以及数据安全和合规。对于云端数据指令效果的评估，赛宝也有其自己的云端数据治理成熟度评估模型，其目标在于建立云端数据治理组织、配备数据治理角色并分配相应的职责。

说完议题后，谈谈圆桌论坛。

首先介绍一下嘉宾：

天空卫士CEO刘霖、安博通CEO苏长君、亿盾互联CEO张象朱、芯盾时代CTO孙悦、青藤云安全COO程度、安全狗CMO朱一帆以及长亭科技CMO肉肉（王健）。

左起：李少鹏、肉肉、朱一帆、程度、孙悦、张象朱、苏长君、刘霖

此次圆桌论坛邀请到了这7家分别在各自不同细分安全领域发力并获得不错的市场反响的安全初创公司的企业代表，结合自己在创业过程中的经历和感悟，针对以下三个问题发表自己的看法。同样，小编将各嘉宾的的核心观点梳理如下。

问题1. 结合对技术、资本以及市场的看法，谈谈在安全创业中的痛点以及解决办法。

刘霖：对于所有的创业者而言，生存和发展都是最大的痛点。如果没有很好的技术前瞻度，发展会成问题，最后生存也会有问题。对于天空卫士来讲，最大的问题有两点，一是“在目前不断的成本上投入的情况下，什么时候会有产出”，二是“产出在未来是否能够保持在行业的领先位置”。当然，还有一个很重要的点，就是“你为什么要创业”。不能是为了改善自己的生活条件，或者让自己挣更多的钱这种理由，因为你很可能会坚持不下去；只有你的创业的目的足够高，它才能够支撑你有足够的毅力和信心走下去。

苏长君：创业者都在谈梦想，我不太认可梦想这个字，因为梦这个东西有时候会实现，有时候不会实现。我喜欢讲目标，如果目标这东西设在那，就一定要实现。安博通从创立之初就没有想去做一个大而全的企业，我认为网络安全是一个分工极细的市场，如果安全就像一个大楼，那么这个楼的房间都已经由华为、思科这些大型安全企业给你盖好了，我们的想法是去做一些合作，所以说我们公司从创立之初就一直“藏”在大的厂商背后为大家做服务，并把自己定义为上游厂商。同时，我们会“完全关注”到我们自己这个小领域里去，这是我实现目标的一个小诀窍，这也是我们从第一年就开始盈利的原因。初创企业一定要先自己认准自己的位置，并且让自己活下去，也就是说，让自己产生盈利产生现金流之后，再去考虑下一步发展。

张象朱：我们的技术非常有特点，除了我们向客户承诺的24小时内关停境内钓鱼网站外，我们还有能力出钓鱼网站检测情况的行业报告，并具体到大大小小的机构，细分到各水电购买等民用市场。现在比较大的一个痛点是，我们的产品线比较单一，虽然这同时也是我们“专一”的表现。

孙悦：芯盾时代是一家非常年轻的公司，从成立到现在不满一周年。目前身份认证的行业刚刚起步，在全新10月份开始跑市场的时候，收到的市场的反馈和目前大家对这个市场的关注是完全不同的。直到今年上半年央视曝出来这个问题之后，银行和银监会开始重视这个问题之后，情况才发生变化。所以这也是我要说的第一个点，就是“对瞄准的点，需要坚持”。另外，在身份认证这个领域，没有一个技术是一成不变或者是能够跑很长时间的东西；而认证方式上的技术点，因为你的客户们在一线，所以也许他们会比你理解得更多，这些都是非常宝贵的经验。所以第二个点，就是要“跟你的客户保持非常紧密的合作关系，甚至成为很好的朋友，而这会对你的技术和产品有很好的提升”。第三个点也是，一定要在你的收入和现金流上有一定的储备，今年的安全行业的融资情况并不是太乐观，这种情况下更会考验创业公司的收入和营业能力。

李少鹏：之前芯盾时代有参加今年8月份ISC（中国互联网安全大会）上的安全创客汇的并获得路演冠军，可否谈谈这次路演的体会？

孙悦：安全创客汇上的冠军，个人感觉可能运气成分多一点。3分钟的时间，如果是讲一个安全的项目，而且还是2B的项目的话，可能时间还是有点不够。后来在跟评委在台下聊天的过程中也了解到，3分钟其实也不能让他们对路演项目本身有足够深入的了解。所以之后，如果有类似活动的话，我个人建议可以把路演时间稍微延长一些，或者进行一些提前准备，比如先放一段视频，再由创始人进行3-5分钟的讲解，这样效果也许会更好。

程度：自适应安全目前还是个概念，我们也在慢慢在实现的。Gartner在提出这个架构后，和我的想法不谋而合，而且总结的比我们更全面，所以我们把它作为纲领性的东西，并做了自适应安全平台。它是一个架构性的东西，所有能力都可以在之后某个通过插件的形式加进去。之前看过很多创业的例子，理想和信念确实是支持你走下去很重要的东西。当时创业的时候，一开始根本没有国内案例，我们在民房里一年，更艰苦，早上9点到晚上10点，有些时候怕身体扛不住，早上起来还跑步，我们这样坚持了一年，现在虽然搬到稍微好点的写字楼里，工作的激情和态度还是一点不减。所以说我们需要脚踏实地地做事情。另外，还有一点，就是在初创公司，每个人都不光是独当一面，而是要独当很多面的，你得做很多事情，比如虽然我是技术出身，但我也会做一些市场的工作。

朱一帆：我是纯正的做市场出身，来安全狗之前操作O2O项目时有经历过很好拿钱的时候。接触安全狗后，感觉安全狗是一个非常踏实的企业。安全狗没有经历太“惨”的初创过程，本身是在2011年有美亚柏科孵化的项目，原来是内部一个做服务器安全的部门。从2011年到2013年，整整两年时间安全狗一直在做免费安全软件。直到2014年，我们才开始真正地开始商业化转型。所以我第一点要分享的，就是“信息安全是一个技术性门槛特别高的行业，一定要经过磨练，把体系完整了之后，你才能真正迈的出去”。第二是战略的问题，越到转型的关键期，企业战略也就也关键，“整个企业的战略、产品的战略、市场的战略，非常关键，可能走错一步，试错推翻重来的成本比你刚开始初创的时候还要巨大”。第三是人员管理的问题，“尤其是100-120和120-150人之间，这个对于CEO和整个管理团队的考验都非常大”。我们的几个副总，包括我在内，还有我们一个主管销售的副总裁和一位CTO，我们几位都还是有一些管理背景的，但是这些也都是当时很艰巨的问题，不同的阶段不同的问题，要一个一个去解决。还有就是信念和“行业之间的互相帮助、衬托以及竞争发展” ，这些也都是非常重要的。

肉肉：2014年长亭科技刚成立的时候，我们有四个创始人，那个时候只有一个创始人是毕业的。当时他们创业也的想法很简单，因为基本上都是清华蓝莲花战队的核心成员，就是想在毕业后仍聚在一起做事情。2015年7月，我们正式开始了安全服务，试图和客户建立一个信任关系的基础。比较幸运的是虽然那个时候长亭科技什么都没有，没有资金、没有客户、没有名声的公司，但在那种情况下我们做到在今年年初的时候，半年时间有60多家客户。我们一开始的目标是朝着防御产品做的，因为之前有在黑帽大会上进行过关于“SQL注入”防御的议题（有一些研究成果），所以一开始也做得是这个单点防御产品。我们希望把一些新的技术应用在传统没有解决好的网络安全问题上，去做到一个真正的网络安全的提升。今年7月份有了一款基于智能语义分析的WAF。长亭科技目前吸引人才主要是靠创始人的技术光环，而且实际上我们的研发团队一直占了公司总人数50%以上，一直在默默做研发。大家都在很认真地做事情，虽然最开始并没有什么大的目标或梦想，但是我们知道认准这件事就去把它做好。现在的网络安全防御软件存在很大的问题，而且很多问题是基因上的，我们会努力的改变这一现状。

问题2. 企业人员管理上的挑战

刘霖：在企业管理上，我认为中西方的文化差异是很大的。如果你给你的同事都当自己的朋友，更宽容的环境，鼓励他去创造，同时让他认识到他是这个公司的其中一份子，情况就会不太一样。我们天空卫士，有90后、80后，甚至还有60后，要把大家都维系在一起，企业文化很重要，而这个企业文化，我认为就是你把这个公司要带到什么位置。企业的核心还是看技术的，你的理想有多远，你能够把更多人吸引过来，而不是靠所谓的薪酬，而且只是薪酬他们也不会对你感兴趣。所以，我鼓励大家一定要选一个你愿意为之热血沸腾的事情去做。这个是能够鼓励我们整个人类不停去往前发展，我想我们公司的文化就是这样。

苏长君：人员管理这部分，我们公司有一个八字箴言，勇敢、奋斗、开放和合作。我们首先倡导我们所有人应该是勇敢者，鼓励大家能能勇敢的从华为这些大公司出来，做一些小事业。同时，我比较欣赏合作、开放的精神，我们从成立的第一天就把自己定位为合作者，定位为产业链的上游，试图把传统竞争型的经济变成一种合作型的经济。在公司内部我们也一直在跟大家讲，一定要合作，不要认为自己能独当一面，安博通不太推崇个人英雄主义，我们倡导大家一起去互补。公司内部有一种合作的文化，所以大家之间的关系非常融洽，而且做产品的效益非常高，互相之间的协作非常好。同时我们在跟业界做的时候，我们也是广泛去合作。

问题3. 通过一个数字、定位和期望，描述一下自己公司未来的目标。

刘霖：传统的网络安全对于科技发达的机构或者国家来讲基本上就是一个摆设，因为信息的不对等，我们不知道这里面还有多少差距。但是，只要入侵者进来，最后都是要拿数据走的，而在这个过程当中的行为最后都是可以通过智能的技术发现。同时，我觉得对于中国的安全圈来讲，个人隐私信息保护是需要切实解决的安全问题，如果你身边亲朋好友的手机、你的个人隐私都不能保护好，谈何安全。日日行行千里，。我们希望能为中国的网络安全为中国社会做出自己的贡献。

苏长君：说几个目标。我们的产品下一步也会做更多的轻量化、软件化和透视化，我会让它能最终嵌入到用户的业务系统。我们已经在做类似的事情，让它和业务完全支撑到一起，最终让安全从原来的成本中心，到因为用户的投资让它变成利润中心，让它变成为用户在盈利，并且产生用户业务价值。也就是说做安全的架构，而不是在架构上再做安全。

张象朱：专注于我们的反钓鱼网站，我们的责任也是服务社会，希望可以通过我们的技术，在老百姓收到诈骗短信之前，这些钓鱼网站处理干净。鱼网站是迈不过的一道坎，而且是必须解决的一个问题。目前国内真正做反钓鱼网站并把它当成一个正式的业务的，几乎没有，都是在提供免费的服务，也没有人真正解决这个行业的痛点。我们非常看好这个市场。

孙悦：我们希望能够在互联网或者移动互联网上让大家更方便能证明你到底是谁。每个人的人脑都是非常强大的智能识别系统。这里面的逻辑所在，你的相貌，你说话的声音，你的举止，行为方式等。但是这些所有的逻辑能不能映射到计算机里实现，目前所有技术已经足够支持我们做这件事情。我们现有的产品是在设备的智能化识别上、生物的智能化识别上，以及之后基于行为的智能化设别，也是往这个方向再走，这是第一个目标。第二个目标是技术产品化。无论任何人，你在技术领域的深究，包括你对底层的一些研究，这是绝对必要的，但是时不时一定要跳出来，甚至是每个人都要作为产品经理的角色，去考虑怎么把产品向市场推广，怎么用简单的话，怎么用简单的概念，将一个复杂的技术包装成用户很容易的理解的东西。而我们也相信，如果这项技术能够用几句话或者用最简单的概念让你的客户听得懂，一定会有比较好的市场空间。反之，大家要好好想一想这个技术到底用来支撑什么。我们一直也在推行这样的文化，包括我们在技术团队沟通中的时候也一定要强调这一点。同时，在于客户的交流，我们再网上走走，从业务层面去理解问题，去理解你的产品能不能推向市场，以及它究竟能给客户带来多少实用价值。

程度：国内的企业安全建设是滞后于黑客的军火库的，很多企业说我不需要安全，或者说我们给他发现了很多问题，他有可能响应也比较慢。现在我们在做产品的同时也在做教育客户的这种角色，教育客户告诉他安全比较重要，告诉他要重视安全问题。这一方面是在教育市场，一方面也是想把企业的安全做到一个足够的高度。如何来做？我们自己内部也有一个“红蓝对抗”机制，我们先按照我们自己的理解，内部去讨论，形成一个防御的解决方案，但是做出来之后，一定要用黑客的思路再测一遍。会不会被黑客的一些其它的技巧再去绕过，不断改进，来把这个产品做到足够的高度。

朱一帆：安全狗有两个文化，一个是“极致”，一个是“专注”，我们的目标是把两个文化有机地结合在一起。当然，这一切的前提是企业要生存下去，所以足够的资金储备和相应的融资计划是必须的。这里还要提到我们的slogan——领先的云安全服务和解决方案提供商。怎么做到领先？我的构思就用那种极致和专注的精神来做产品，来打磨技术，甚至市场营销策略。现在服云平台大家看到的功能点是五六个，后面我们会把每一个企业所能涉及到的安全问题全部放到我们的功能点里面去，我们可能会扩展到十几个的样子。

肉肉：我们公司技术基因很浓厚，但是目前还缺乏一些其它方面的考虑，在这些方面我们也一直在做着补充。我们的一个小目标是将我们的两款产品做到非常易用，现在产品的功能性不太担心，在易用性还需要再继续打磨。另外，还有一个大目标，就是建立一个能够正向循环的安全体系。现在我们已经实现了两个，一个是之前讲到的利用智能语义分析做的WAF，另一个是我们现在在内网的一款产品，相当于在内网做一个威胁感知。首先我们会将单点的产品打磨得更聪明，让它学会思考。而不是简单的规则比对，不会被轻易地绕过。并在这个基础上，实现各单点产品的联动。在这个过程中有些单点的产品不一定我们自己去做，也可能和其他家厂商合作。通过这样一个安全体系，帮助客户进行更加主动的防御。