压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

李雨航：大家好，非常榮幸能夠來到中國(guó)網(wǎng)絡(luò)安全大會(huì)。我知道這是第四屆，第二屆的時(shí)候我也收到邀請(qǐng)，當(dāng)時(shí)因?yàn)楹炞C的原因沒有能夠來到會(huì)場(chǎng)，所以今天就彌補(bǔ)了這個(gè)遺憾。我代表云安全聯(lián)盟，大家也知道，除了云安全聯(lián)盟之外，我還有其他的職務(wù)，包括在華為，在一些大學(xué)。這次我給大家分享一下國(guó)際網(wǎng)絡(luò)安全的實(shí)踐。

大家可能現(xiàn)在非常清楚，網(wǎng)絡(luò)空間我們叫做“第五域”，我把這個(gè)定義放在這里，就不細(xì)讀了。大家可以看到，我們這個(gè)網(wǎng)絡(luò)空間包括了很多網(wǎng)，另外它的基礎(chǔ)是有光、電、磁，我把等離子體寫到這里，等離子體可以用來做通訊的工具。下面我花了海陸空天，從人類的發(fā)展歷史上來看，我們?cè)谖锢砜臻g做安全已經(jīng)做了很長(zhǎng)的時(shí)間，我們?cè)谖锢砜臻g做安全這些經(jīng)驗(yàn)，在我們做網(wǎng)絡(luò)安全的時(shí)候有很多值得借鑒的。比如我們?nèi)祟愒陉懙厣献霭踩赡苡腥f年的歷史，在海洋上有千年的歷史，在天空上有百年的歷史，網(wǎng)絡(luò)空間和太空是比較新的，可能大概也就是從60年代開始半個(gè)世紀(jì)的歷史。但是我們?cè)谖锢砜臻g做網(wǎng)絡(luò)安全的經(jīng)驗(yàn)，實(shí)際上有些是相通的，后面大家可能會(huì)看到。

對(duì)于網(wǎng)絡(luò)空間來講有非常多的威脅，主要的威脅我現(xiàn)在提了這四大方面。從政府、企業(yè)甚至消費(fèi)者來講，他們實(shí)際上關(guān)心的是自己的一些權(quán)益，比如說外國(guó)網(wǎng)軍的監(jiān)聽，大家也知道，政府實(shí)際上是非常擔(dān)心的，不僅是中美之間，大家可能知道有很多擔(dān)心的事件。包括全世界各個(gè)國(guó)家，比如我在國(guó)外走訪的時(shí)候，我見到土耳其的總統(tǒng)，他很擔(dān)心敘利亞的政府對(duì)他的監(jiān)聽。我到印尼，跟印尼總理聊，他們擔(dān)心澳大利亞政府的監(jiān)聽，這是對(duì)于政府層面的威脅。還有網(wǎng)絡(luò)進(jìn)攻，大家也知道黑客這些犯罪分子進(jìn)攻是越來越猖獗的，大家看網(wǎng)上的這些報(bào)告，每年的安全事故，這個(gè)數(shù)字越來越多。當(dāng)然還有間諜行動(dòng)，內(nèi)部人員的商業(yè)泄密，在很多企業(yè)都是頻繁發(fā)生的。

右下角這個(gè)大的威脅是新興技術(shù)。大家也知道，我們現(xiàn)在也很多的新興技術(shù)涌現(xiàn)，目前移動(dòng)物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)，以后ICDN、NFV、5G，還有智能，這些新興的技術(shù)會(huì)對(duì)整個(gè)網(wǎng)絡(luò)空間帶來非常大的安全挑戰(zhàn)。比如前幾天我們?cè)谌A為有一個(gè)內(nèi)部的戰(zhàn)略大會(huì)，我們把全球的頂級(jí)科學(xué)家，不管是研究機(jī)構(gòu)、大學(xué)，還有各大主流廠商，世界五百?gòu)?qiáng)的領(lǐng)軍人物都叫過來，大家都展示了他們未來技術(shù)的戰(zhàn)略、架構(gòu)和核心技術(shù)。我看到這里邊大家都在做連接，把數(shù)據(jù)分享。但是對(duì)于安全，大家都沒有把它涉及進(jìn)去。如果在座的有參加黑客大會(huì)的，可以看到黑客可以很容易的把各種設(shè)備都輕易的攻破，只是現(xiàn)在這些目標(biāo)太多了，這些黑客的時(shí)間有限，他們可能是關(guān)注一些價(jià)值比較大的目標(biāo)。

如何應(yīng)對(duì)這個(gè)問題呢？在國(guó)際上大家已經(jīng)開展了這方面的工作了。從云安全聯(lián)盟的角度也好，還是其他大廠商，在這方面有不少實(shí)踐經(jīng)驗(yàn)?；旧献鼍W(wǎng)絡(luò)安全戰(zhàn)略是跑不出這七個(gè)大的領(lǐng)域的，不管是你在哪個(gè)單位，你對(duì)我剛才前面講的這四大方面的威脅關(guān)注多個(gè)，或者是關(guān)注其中一個(gè)。在實(shí)踐方面是這七大塊，有的單位可能七塊都要做，有的要重點(diǎn)的做其中某些方面。這個(gè)內(nèi)容是我剛才講的第二屆網(wǎng)絡(luò)安全大會(huì)當(dāng)中我本來準(zhǔn)備給大家講的，今天我把這個(gè)框架給大家說一下。

第一是發(fā)展基于風(fēng)險(xiǎn)的方法。

大家都知道，實(shí)際上業(yè)務(wù)并不是對(duì)安全很Care，他非常關(guān)注業(yè)務(wù)的上線，業(yè)務(wù)的成功，安全只是一個(gè)保證。我們做安全的人員，比如說你對(duì)于一臺(tái)服務(wù)器做了攻擊，你能夠在里面拿到許可，甚至拿到管理員權(quán)限，這是不是就是很嚴(yán)重的問題呢？如果這個(gè)服務(wù)器是企業(yè)可能要淘汰的，他根本就不用，這個(gè)問題對(duì)于企業(yè)來講沒有什么風(fēng)險(xiǎn)的，我們?cè)u(píng)估風(fēng)險(xiǎn)要從業(yè)務(wù)的角度看問題，給業(yè)務(wù)帶來的風(fēng)險(xiǎn)。

第二是有了風(fēng)險(xiǎn)之后，我們還要建立優(yōu)先級(jí)。

從大的層面，大家現(xiàn)在也知道，我們到底是把安全的投資放到防護(hù)、監(jiān)控、事態(tài)感知還是事后的響應(yīng)恢復(fù)，還是怎么平衡？另外在這個(gè)方案上，我們有很多產(chǎn)品，很多產(chǎn)品集成一個(gè)方案，哪些產(chǎn)品是風(fēng)險(xiǎn)最大的，我們一定要識(shí)別。因?yàn)榘踩屯顿Y是緊密相關(guān)的，我們不可能有無限的資源來做安全保障工作。甚至是對(duì)于模塊，我們也要識(shí)別優(yōu)先級(jí)，比如一個(gè)模塊可能牽扯了好幾十個(gè)協(xié)議，可能有十幾個(gè)接口，那么這個(gè)里面哪些是高風(fēng)險(xiǎn)的，我們都要做優(yōu)先級(jí)的這種識(shí)別。

第三是協(xié)調(diào)威脅和漏洞警告。

這是非常重要的，因?yàn)楝F(xiàn)在黑產(chǎn)是整個(gè)產(chǎn)業(yè)，如果出了一個(gè)事，可能要形成多個(gè)單位。我們各個(gè)單位之間的協(xié)調(diào)，大家的安全互相通報(bào)，做安全情報(bào)共享，做威脅情報(bào)和事態(tài)感知都是比較重要的。

第四是打造響應(yīng)能力。

如果事件發(fā)生了，我們一定要快速恢復(fù)。如果恢復(fù)不了，這個(gè)可能造成的影響比攻擊更大。比如幾年前RSA被黑客攻擊了，把數(shù)據(jù)庫(kù)里面RSA的Key都拿去了。當(dāng)時(shí)他發(fā)現(xiàn)了這個(gè)問題，黑客進(jìn)攻的時(shí)候他都看到了，只是說響應(yīng)很慢，所以造成的影響太大了。

第五是教育公眾。

剛才陳鐘教授也講了，公眾教育非常重要，技術(shù)的漏洞在那里，人的漏洞實(shí)際上是更多更大，很多黑客，剛才我講的各種威脅是利用人的漏洞，比如APT的威脅，最開始是利用人的漏洞，利用人的弱點(diǎn)去點(diǎn)擊一個(gè)連接，看一個(gè)郵件，做一些事情。所以我們對(duì)于公眾教育和培養(yǎng)人才，這都是極端重要的。

第六一定要有安全預(yù)算投資在核心的技術(shù)和研究方面。

我們一定要把安全嵌入，ICT的產(chǎn)品嵌入我們網(wǎng)絡(luò)空間的基礎(chǔ)里面，才能夠把這個(gè)基礎(chǔ)打好。

第七是全球思維。

我想這也是為什么我們開這個(gè)大會(huì)，我們要學(xué)習(xí)國(guó)際的先進(jìn)經(jīng)驗(yàn)，另外中國(guó)的經(jīng)驗(yàn)也要介紹給全球。網(wǎng)絡(luò)空間是全球的，并不是某幾個(gè)國(guó)家的，所以我們必須以全球?yàn)榉秶?，一起把網(wǎng)絡(luò)安全的工作做好。

以前這個(gè)會(huì)議的名字叫Internet Security，今年改成Cyber Security，這個(gè)名字改得非常好，網(wǎng)絡(luò)安全實(shí)際上跟信息安全相關(guān)性是非常大的。但實(shí)際上差的并不太多，對(duì)有些單位網(wǎng)絡(luò)安全是指的產(chǎn)品安全，信息安全是保護(hù)企業(yè)內(nèi)部的系統(tǒng)。有些單位實(shí)際上是不分的，就叫網(wǎng)絡(luò)安全或者是叫信息安全。

下面我把幾個(gè)案例給大家講一下，作為實(shí)際的例子。

第一個(gè)案例是云安全聯(lián)盟。

云安全聯(lián)盟是一個(gè)國(guó)際行業(yè)標(biāo)準(zhǔn)組織，2008年、2009年開始成立，它做的工作是四大塊威脅，選取了新興技術(shù)的威脅，從云計(jì)算安全起家，對(duì)于新興技術(shù)的安全做研究，把成果提供給會(huì)員和業(yè)界。左邊是我們已經(jīng)做了不少研究工作，現(xiàn)在我們也近千名的專家，分成了30多個(gè)工作組，這是其中一部分工作，已經(jīng)發(fā)布了。還有一些工作目前正在進(jìn)行，比如陳主任剛才講的，移動(dòng)APP安全，我們也有一個(gè)工作組目前在進(jìn)行這方面的工作，建立標(biāo)準(zhǔn)，建立評(píng)估監(jiān)測(cè)方法和工具。這里面有一些研究工作，待會(huì)兒我給大家介紹。比如說量子，我們最初起家的是云安全指南，現(xiàn)在已經(jīng)有第三版了，這個(gè)有中文的，大家可以到中文網(wǎng)站下載，如果沒有的話，可以聯(lián)系云安全聯(lián)盟，我們可以給你提供中文版。我們把這些研究成果提供給我們的會(huì)員，我們會(huì)員現(xiàn)在在全球有300多家，都是世界五百?gòu)?qiáng)的科技公司，還有安全公司。目前在中國(guó)也有很多中國(guó)的企業(yè)加入會(huì)員，比如大家看到阿里云、360、華為，還有很多安全公司，騰訊是馬上就要加入了，下個(gè)月騰訊的云計(jì)算大會(huì)上，騰訊會(huì)宣布加入CSA的會(huì)員。如果在座的單位有興趣，也可以線下跟我聯(lián)系。我們的個(gè)人會(huì)員有7萬多個(gè)，在中國(guó)有一個(gè)公眾號(hào)，最后我會(huì)給大家，大家關(guān)注就會(huì)成為個(gè)人會(huì)員。在全球我們有4個(gè)職業(yè)大區(qū)，有美洲區(qū)、歐非區(qū)、亞太區(qū)，大中華區(qū)是最后一個(gè)。在全球我們有100多個(gè)地方分會(huì)，基本上每個(gè)超過百萬級(jí)的城市都有CSA的分會(huì)，在中國(guó)已經(jīng)有了十幾個(gè)了，比如北上廣深，都有我們的分會(huì)。工作組已經(jīng)介紹過了，我們是以安全研究作為核心。

在中國(guó)我們正在建立第一個(gè)產(chǎn)品級(jí)的國(guó)際安全標(biāo)準(zhǔn)。大家也知道，現(xiàn)在業(yè)界有非常多的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)一般是針對(duì)整個(gè)安全體系，主要是管理，比如ISO-27001。除了我后面要講到的，基本上沒有一個(gè)統(tǒng)一的安全評(píng)估監(jiān)測(cè)標(biāo)準(zhǔn)。我們CSA大中華區(qū)最近成立了工作，一個(gè)產(chǎn)品級(jí)的云安全和大數(shù)據(jù)的安全標(biāo)準(zhǔn)，包括產(chǎn)品的功能和評(píng)估?，F(xiàn)在參與的有很多單位，在華的比如華為、亞馬遜、微軟、英特爾、甲骨文、VMware這些主流廠商都在工作組里面，10月份我們可能就要發(fā)布這個(gè)標(biāo)準(zhǔn)了，這只是一個(gè)例子。

在核心技術(shù)研發(fā)方面我們有很多項(xiàng)目，比如軟件定義邊界，高度安全網(wǎng)絡(luò)那些都不講了。我挑一個(gè)例子，這是一個(gè)未來的量子計(jì)算，我們有一個(gè)工作組，大家也知道，量子計(jì)算還比較遙遠(yuǎn)，但是很多科研機(jī)關(guān)和安全公司已經(jīng)開始做這方面的準(zhǔn)備工作了。這個(gè)理論實(shí)際上是比較早的，是愛因斯坦在20多年前就提出了量子糾纏理論，這個(gè)理論是保障量子加密是絕對(duì)安全，有三大物理定律來保障這個(gè)絕對(duì)安全：一個(gè)是量子互補(bǔ)原理；二是量子不可克隆原理；三是量子不可確定的原理。八九十年代逐漸有了量子密鑰分發(fā)協(xié)議，才走向了實(shí)用階段。目前國(guó)際上幾個(gè)量子公司與云安全聯(lián)盟的Quantum Safe，以量子安全的框架為基礎(chǔ)，來做量子安全的工作?，F(xiàn)在大家在市面上實(shí)際上已經(jīng)可以買到一些量子加密機(jī)，但是根據(jù)我們的試點(diǎn)工作，它在云計(jì)算里面實(shí)際上目前還不能適用云計(jì)算的場(chǎng)景，還有相當(dāng)長(zhǎng)的時(shí)間把這個(gè)工作完成。

從攻擊者角度來講，量子首先是絕對(duì)安全，但是還是可以被攻破的。有幾個(gè)大學(xué)，比如MIT和多倫多大學(xué)的安全研究者，他們就把量子加密攻破了。但是這個(gè)攻破并不是說這個(gè)理論不行，是實(shí)現(xiàn)的問題。剛才我講這個(gè)協(xié)議，這個(gè)信號(hào)是要消除噪聲的，因?yàn)楝F(xiàn)在這個(gè)噪聲很大。如果要是噪聲不能消減到20%以下，那么黑客可以利用這個(gè)漏洞來攻進(jìn)系統(tǒng)。以后通過對(duì)于技術(shù)的改進(jìn)，把噪聲削減，這個(gè)量子技術(shù)實(shí)際上是可以越來越接近理論的。

我們剛才講到網(wǎng)絡(luò)安全人才培養(yǎng)是非常重要的，CSA在這方面也是有布局。我們跟西安交大、麻省理工學(xué)院有合作，準(zhǔn)備開CSO班。大家也知道，網(wǎng)絡(luò)安全有很多角色，除了首席網(wǎng)絡(luò)安全官，下面還有各種各樣的做研究、做工程、做測(cè)試攻擊的，有很大的人才缺口。這個(gè)CSA班舉兩個(gè)例子，我們的目標(biāo)是培養(yǎng)人才，要變成企業(yè)的CSO，這兩個(gè)頭像，一位是前微軟CSO，Schmidt，是領(lǐng)軍人物。第二是華為的全球首席安全官，以前是英國(guó)的首席安全官和首席信息官，都是業(yè)界成功的榜樣。所以我們現(xiàn)在設(shè)立這個(gè)班以后，還有其他的課程。最下面這個(gè)是C-CCSK，是CSA的一個(gè)認(rèn)證課程，云安全基礎(chǔ)理論。如果大家走到CSA這一步還有距離，可以從最基礎(chǔ)，CCSK起來，在中國(guó)我們最近已經(jīng)辦了好幾期課程了。

第二個(gè)案例，CSA的高級(jí)會(huì)員微軟。

我以前是微軟的首席安全架構(gòu)師，先看一下微軟的組織架構(gòu)，微軟在PC時(shí)代在安全領(lǐng)域是標(biāo)桿。實(shí)際上這個(gè)組織架構(gòu)，在新興技術(shù)的威脅下并不能夠完全的合適，十幾年來，微軟是采用這個(gè)組織架構(gòu)，大家看到他是一種聯(lián)邦制的。他有網(wǎng)絡(luò)安全TWC，當(dāng)時(shí)2011年我支持比爾·蓋茨一起搞起來的。這個(gè)是信息安全，下面是運(yùn)維管理，物聯(lián)網(wǎng)的安全，最右邊這個(gè)是物理安全。每個(gè)大的安全部門都有自己的CSO，是一種聯(lián)邦制。CSO要匯報(bào)給一個(gè)執(zhí)行副總裁，最后才到CEO那兒，所以這個(gè)安全實(shí)際上是比較分散。當(dāng)然這是有歷史的原因，公司的規(guī)模比較大，這些產(chǎn)品都是很分散的。另外每個(gè)大的工程團(tuán)隊(duì)，大家也看到，視窗、Office辦公室，這些工程團(tuán)隊(duì)里面也有專門的安全團(tuán)隊(duì)。另外還要跟法務(wù)、合規(guī)一起整合起來，這是微軟的一個(gè)組織上的架構(gòu)。

做的比較好的地方是Security Development Lifecycle，是安全開發(fā)生命周期，這個(gè)實(shí)踐不僅在微軟應(yīng)用了十幾年，現(xiàn)在在業(yè)界很多公司都已經(jīng)推出去了，還是比較有效的一個(gè)實(shí)踐。它的中心思想就是要把安全打入ICT產(chǎn)品研發(fā)的流程里面。因?yàn)槿绻蕾嚢踩珳y(cè)試團(tuán)隊(duì)和第三方外部的安全公司，最后做這些檢測(cè)實(shí)際上已經(jīng)晚了，那樣投資會(huì)非常大，而且會(huì)發(fā)現(xiàn)問題很多，也不好改。安全最好的辦法就是我們講在安全生命周期的最上游，越往上游做，安全越有效。我就不細(xì)講了，在這個(gè)周期里面有很多的階段，比如培訓(xùn)、要求階段，設(shè)計(jì)、實(shí)施、驗(yàn)證、回應(yīng)，大家可以到微軟的網(wǎng)站上有很多材料。如果大家需要培訓(xùn)，云安全聯(lián)盟有一個(gè)專門的培訓(xùn)課程。

再下面是安全建模，是Stride模型。這個(gè)模型是剛才我講的一部分，怎么樣識(shí)別威脅。這個(gè)也是微軟用得比較好的，現(xiàn)在受到了全球的承認(rèn)。比如說歐美這些政府和企業(yè)，實(shí)際上也是找了很多威脅建模。最后發(fā)現(xiàn)，特別是這種ICT開發(fā)廠商，實(shí)際上跟ICT的流程結(jié)合得最好，都是采用微軟的模型。它這是有流程，還有模型，我就不打開了，大家到微軟網(wǎng)站能夠看到詳細(xì)的，如果需要培訓(xùn)的話，云安全聯(lián)盟也有培訓(xùn)課程，在這個(gè)流程里面分了四個(gè)階段，對(duì)于這個(gè)威脅是分成了六大威脅，根據(jù)這幾大威脅要做一個(gè)安全架構(gòu)圖，特別使數(shù)據(jù)的流程圖，根據(jù)這個(gè)流程圖，你就可以比較好的識(shí)別這個(gè)威脅，可以在設(shè)計(jì)階段就把這個(gè)風(fēng)險(xiǎn)堵住。

第三個(gè)案例是華為的例子。

華為是從2011年才開始大規(guī)模的對(duì)網(wǎng)絡(luò)安全進(jìn)行投入。剛才我講的，華為要把前面三大威脅方面，網(wǎng)絡(luò)進(jìn)攻、新興技術(shù)、間諜活動(dòng)都要包容進(jìn)去，政府網(wǎng)軍的攻擊他認(rèn)為可能是這個(gè)企業(yè)跟政府的網(wǎng)軍力量不太匹配，這方面并不是目標(biāo)。所以大家可能以前聽到過美國(guó)的國(guó)安局進(jìn)攻華為，國(guó)安局的力量非常強(qiáng)，不光是美國(guó)國(guó)安局，英國(guó)的國(guó)安局相對(duì)等的，跟我都是伙伴，都非常熟悉，進(jìn)攻力量都非常強(qiáng)，就是美國(guó)的八大金剛都抵擋不住他們。所以大家對(duì)威脅做防范的時(shí)候，要根據(jù)風(fēng)險(xiǎn)來考慮。

華為要把自己的ICT產(chǎn)品做成最安全的，建立一套網(wǎng)絡(luò)安全體系，任正非發(fā)表了一個(gè)聲明，華為與其他企業(yè)的不同點(diǎn)是，他認(rèn)為安全至上，安全是華為公司最關(guān)鍵的戰(zhàn)略。他對(duì)客戶承諾，如果出現(xiàn)了安全問題，華為不惜一切代價(jià)，要把這個(gè)安全問題解決掉。甚至華為公司有了這個(gè)業(yè)務(wù)損失，也要不惜一切代價(jià)，以客戶的安全利益至上。所以我想業(yè)界還沒有哪個(gè)廠商敢于像任正非一樣做這個(gè)承諾。

在這個(gè)承諾之下，任正非搭建了一個(gè)非常龐大的安全體系，當(dāng)然這也是經(jīng)過了5年才逐步完善。我來這個(gè)大會(huì)的前幾天又有了一個(gè)新的重組，實(shí)際上只是一個(gè)微調(diào)，還是差不多的組織架構(gòu)。大家可以看到，華為跟微軟是相當(dāng)不同的，它是公司化的，任正非發(fā)表了聲明以后，他作為第一把手，對(duì)安全非常重視，來進(jìn)行投資。剛才我講過華為的首席安全官，大家看到任正非下面的GICPO，他來作為核心，一個(gè)大的首席安全官，掌管全公司、全球所有的網(wǎng)絡(luò)安全，包括戰(zhàn)略和執(zhí)行。因?yàn)槿A為公司很大，搞安全的可能有幾千人，部門也非常多，最新的架構(gòu)可能有20個(gè)以上的安全部門，絕大部分部門都是跟業(yè)務(wù)整合的，在下面這個(gè)框都是跟業(yè)務(wù)結(jié)合起來。這一塊是跟其他廠家不一樣的，大家可以想像成這是華為帝國(guó)，這是他的御林軍，藍(lán)色的是完全獨(dú)立于產(chǎn)品和業(yè)務(wù)的，我們叫做對(duì)云業(yè)務(wù)產(chǎn)品都不相信，我們要做獨(dú)立的審核檢驗(yàn)，所以等于現(xiàn)在我算是進(jìn)軍教頭，其他很多部門也是安全的總顧問。

這個(gè)框是所有業(yè)務(wù)的總裁，就是華為所有業(yè)務(wù)的領(lǐng)導(dǎo)人，董事會(huì)的，全部在這個(gè)委員會(huì)里面。這里面做最重大的決策，比如安全和業(yè)務(wù)有沖突了，我們業(yè)務(wù)要上馬，還是因?yàn)榘踩脑虿粶?zhǔn)他上，是在這個(gè)委員會(huì)進(jìn)行決策。當(dāng)然如果公司是有章程的，我們首席安全官有否決權(quán)，很多產(chǎn)品在發(fā)布階段就被御林軍擋住了，不準(zhǔn)發(fā)布。這些產(chǎn)品部門如果安全做得不好，他是會(huì)受到懲罰的，有很多懲罰機(jī)制，包括輕則扣他獎(jiǎng)金，重則降職，甚至是解雇。

這是華為的安全戰(zhàn)略任務(wù)，我們分了十大安全戰(zhàn)略任務(wù)，支持全面的安全戰(zhàn)略，我就不細(xì)講了，大家可以到網(wǎng)上下載，這些資料都是公開的，就是怎么樣建立安全戰(zhàn)略，到我剛才說的獨(dú)立的安全保障，到最后產(chǎn)業(yè)鏈、制造工業(yè)4.0、交付、運(yùn)營(yíng)、運(yùn)維，最后的審計(jì)，華為都有很多先進(jìn)經(jīng)驗(yàn)。我們這些先進(jìn)經(jīng)驗(yàn)都是要傳遞給業(yè)界的，在全球講了很多，這是任正非在沃達(dá)豐，是烏鎮(zhèn)大會(huì)上，下面這是我們的首席安全官。

剛才講了，華為有幾千的安全人員，這是我們的頂級(jí)安全專家。大家看到，除了我之外還有我們的首席安全官，還有我們的安全研究院院長(zhǎng)，他在新加坡，還有我們的安全咨詢業(yè)務(wù)總經(jīng)理。當(dāng)然我們需要很多人，現(xiàn)在空缺很多。我來這個(gè)大會(huì)，一個(gè)是支持宋主席，另外一個(gè)是招聘方面給大家透露一個(gè)信息，我們需要有這種戰(zhàn)略思維的人才，有攻擊性的人才。剛才大家看到我們的組織架構(gòu)里面，各個(gè)部門都需要很多人，我們需要首席黑客，要有一些進(jìn)攻型的人才，另外戰(zhàn)略型的都需要，大家有興趣都可以跟我講。

第四個(gè)案例，這是我們的一個(gè)戰(zhàn)略合作伙伴ISO。

大家很熟悉ISO，安全委員會(huì)主席跟ISO是緊密的合作伙伴，我們需要一些標(biāo)準(zhǔn)來打通全球網(wǎng)絡(luò)安全的產(chǎn)品互通。這些標(biāo)準(zhǔn)我下面寫了一些，未來的標(biāo)準(zhǔn)是跟剛才陳主任講的移動(dòng)APP結(jié)合得非常緊的，我們移動(dòng)安全應(yīng)用的檢測(cè)標(biāo)準(zhǔn)會(huì)由CSA發(fā)布，也將變成ISO的國(guó)際標(biāo)準(zhǔn)。

第五個(gè)案例，US Government。

我也不講太多了，最近大家聽到了美國(guó)的網(wǎng)絡(luò)安全行動(dòng)計(jì)劃，投資了1900億美金，所以他這個(gè)網(wǎng)絡(luò)安全能夠保持在世界領(lǐng)先。

第六個(gè)案例，European Union。

今天是一個(gè)很重要的日子，今天英國(guó)公投，我們尊重英國(guó)公民的意愿，我相信英國(guó)能夠做出正確的抉擇。

中外的差距與建議，我簡(jiǎn)單從高層講一下。一定要有一把手來抓，在國(guó)家這個(gè)層面我們已經(jīng)做到了。習(xí)主席可以說是中國(guó)的CSO，有網(wǎng)信辦的支持，以后需要制定國(guó)家戰(zhàn)略，實(shí)際上這個(gè)戰(zhàn)略已經(jīng)有了，像習(xí)主席在烏鎮(zhèn)大會(huì)，在4·19的網(wǎng)絡(luò)安全座談會(huì)上的講話，把要點(diǎn)實(shí)際上都講出來了。在企業(yè)方面，大家也要考慮，就是學(xué)習(xí)國(guó)外的先進(jìn)經(jīng)驗(yàn)，建立CSO機(jī)制，在網(wǎng)絡(luò)安全方面一定要有投入。另外對(duì)安全培訓(xùn)，像剛才陳教授講的，還有安全保障、合規(guī)認(rèn)證，各個(gè)方面大家都要有足夠的重視。

今天我就講到這里，我們的公眾號(hào)是csa_china，謝謝大家！