2016年6月24日，由51CTO.com主辦的【WOT2016企業(yè)安全技術峰會】在北京珠三角JW萬豪酒店召開。本屆大會聚焦企業(yè)安全技術，共設置11大技術專場。來自云安全聯(lián)盟CSA的大中華區(qū)主席李雨航先生給大家?guī)砹酥黝}為《美國企業(yè)的安全實踐》的精彩主旨演講。他分享了當前新興技術趨勢，全球企業(yè)普遍面臨的安全風險和挑戰(zhàn)，美國客戶是怎樣應對的，并以政府客戶(美國聯(lián)邦政府)，大企行業(yè)標桿(美國微軟)，及某美國中小企業(yè)為案例，介紹了他們的部分***實踐，***對中國企業(yè)與國際和美國企業(yè)的差異作了對比和建議。

演講結束，51CTO記者在***時間采訪了他，就云安全聯(lián)盟的概況及中國企業(yè)的安全問題進行了深入交流。

【嘉賓簡介】

李雨航，云安全聯(lián)盟大中華區(qū)主席/協(xié)調司司長，華為全球***科學家/技術專家(網絡安全)，原微軟全球***安全架構師/***信息安全官，在微軟有超過15年企業(yè)IT安全、網絡安全、和云安全工作經驗，原美國政府NIST(國家標準技術局)云計算/大數(shù)據(jù)安全顧問，原IBM全球服務***技術架構師， 國際云安全學術大會主席兼西安交大院士級教授/華大博導/北大南郵教授。

云安全聯(lián)盟的發(fā)展概況

據(jù)李雨航介紹，CSA是一個國際行業(yè)和標準組織，自2009年在RSA大會正式成立，目前在全球共有四大區(qū)，分別是美洲區(qū)、歐非區(qū)、亞太區(qū)及大中華區(qū)。該組織向企業(yè)會員提供服務，現(xiàn)在會員大約有300家來自全球500強中的科技公司，還有很多的安全公司，比如：亞馬遜、微軟、英特爾、谷歌、阿里云、華為等大公司。其在全球有7萬多的個人會員，其中中國有一千多個個人會員，近百個地方分會，近千位業(yè)界資深安全專家。CSA以安全研究為基礎，對所有的新興技術安全進行前期的安全研究及探索工作，安全專家在30多個工作組里做30多個安全研究項目。很多的安全研究成果被業(yè)界廣泛認可，例如CSA云安全指南，STAR認證，CCSK。

對于個人會員，CSA提供很多活動機會，幫助他們學習***的技術發(fā)展趨勢和技術知識，甚至包括新技能培訓。想要成為中國的個人會員很簡單，只要關注云安全聯(lián)盟CSA公眾號(csa_china)，就會自動成為CSA中國會員。

CSA研究范圍包括眾多的新興技術，例如物聯(lián)網安全框架、大數(shù)據(jù)安全威脅分析、量子安全研究，以及對新一代云計算安全的研究等。目前，大中華區(qū)CSA正在制定產品級的云計算大數(shù)據(jù)技術安全標準，對手機移動應用的安全檢測也做了標準和方法的研究工作。

中國企業(yè)安全建設亟待加強

李雨航表示，在今天的WOT2016企業(yè)安全技術峰會上，他選擇主題為《美國企業(yè)的安全實踐》的演講，主要是因為美國的IT化走在了世界前列，不管是從IT的管理還是技術層面，都有很多好的經驗。于是他想通過將美國的一些先進的經驗介紹給中國的同行，希望中國的同行能夠了解，有好的經驗可以借鑒，從而少走彎路。

中國企業(yè)與美國企業(yè)面臨的安全威脅大部分是相通的，只是美國的IT化程度比較高，相對來說，美國對安全比較重視，在法規(guī)和公司的策略標準上都比較健全?，F(xiàn)在隨著云計算等新興技術的發(fā)展，中國有彎道超車的機會。

企業(yè)的安全防護一方面依賴于安全廠商的產品和服務，一方面也應該認識到，企業(yè)的安全責任是不能外包給服務商的，盡管服務商能夠滿足企業(yè)的安全要求，企業(yè)自身也是有責任的，需要經常培訓員工的安全意識，并以管理和技術手段削減內部惡意人員威脅造成的風險。企業(yè)的安全，需要企業(yè)中每個員工來構建。尤其對于資金不足的中小企業(yè)來說，在加強員工安全意識的同時，需要借助外部第三方的安全公司來加強風險管理。

***，對于企業(yè)的安全建設，李雨航給出了以下幾大建議：

•對健全法制企業(yè)要發(fā)聲，協(xié)助政府增大打擊黑產力度。

•寬進嚴出，加強對安全狀況監(jiān)測，對違規(guī)人員問責。

•設立CISO或專職安全人員，培養(yǎng)安全戰(zhàn)略/管理型人才。

•增加預算雇傭外部第三方專業(yè)安全公司在技術上把關。

•利用新興技術的力量(安全云服務，大數(shù)據(jù)分析，威脅情報/事態(tài)感知…)。