從企業的角度我們先把歷史回顧一下，從技術、商業、安全三個維度看問題。早期從60年代開始，美國的企業當時只有大存儲機，我最開始是在IBM工作。在主機時代，從技術上面來講，都是集中式儲存，計算，終端是笨終端，網絡都是私網，通過IBM網絡來連接。從商業的角度看，企業投入非常的巨大，只有一些很大的企業有能力可以購買IBM機子，每一次升級比較的貴。大家對于安全比較的關注，大型主機這個時代，安全問題是非常好解決。把登陸的一些問題搞好，安全比較好做了。

到了PC轉型，大家也開始采用互聯網。商業就是賣許可證，成本降下來了，安全問題變得非常的嚴重。出現了病毒和黑客攻擊，數據分散到了很多儲存的地方，造成很大安全問題。靠物理安全，靠警衛解決不了這些問題。但是，經過多年企業的實踐，總結了很多的經驗，進入了大數據云計算的時代。這個時代實際上在后端是有中心化趨勢。很多虛擬機，云計算中心是歸成超級計算機，端這一塊更厲害。每一個人有手機，有便攜，以后可能還有物聯網設備。這個終端越來越智能，量越來越大規模，從商務角度來講，成本降的非常低。企業不僅使用計算資源，在座任何消費者，個人都是可以非常低價使用計算資源。那么，安全在這個時代就是變得更加的嚴峻。那么，安全的邊界就會模糊，會消失。傳統的信息安全，是防守不住的。

今天技術上面來講，主要是有幾個大的技術趨勢，移動互聯網，還有物聯網，云計算，大數據。今后還要走向智能時代，萬物互聯，數據爆炸，機器學習，人工智能等新興技術，還有很多技術會涌現，大數據，VR都是非常的火爆。云計算雖然出來的比較早，但是，現在新一代的技術，容器方面有很多新興的技術，對于傳統的IT，對于我們企業都會是一個顛覆性的技術。對于未來的發展，我是這樣的理解，以后我們會出現一個超級的智能機器的計算模式。就像人一樣的，我畫了一個圖。以前是大型主機分布式，以后就是非常的智能。機器人它的頭腦就是由大數據支撐的，包括AI智能分析，云計算是一個心臟的作用，是一個引擎。那么，物聯網設備有成千億，都是超級機器人感官一樣，移動互聯網，包括以后的5G，就像一個神經，網絡就是一個神經傳遞信號。那么，在這種情況下，實際上安全就會變得非常的重要。那么，安全，我打一個比喻，沒有安全，這個人不管再怎么樣有力量，再聰明，你有了問題，你就會對這個企業帶來很大的風險。

那么，美國的企業他是在這種新的趨勢下發現了很多的挑戰。還有一些不完全全面，我隨便選幾個例子。比如說，社交網絡，很多員工上班的時候，他也在社交網絡上，大家也是一樣的。一邊兒上班，一邊兒看著微信，這個就是一個風險。還有云計算，虛擬化，給企業帶來很大挑戰。數據要拿出去，大數據這個數據爆炸，這個數據給企業帶來的風險。另外，還有互聯網模式，是指企業要發布業務，現在非常注重這個速度，速度一定要非常的快。另外，是指外部合作?，F在不可能有一個企業自己來完成自身的業務。一定要有合作的單位，供應商幾十萬，華為的供應商好幾萬。中國這個概念大一點，但是，美國叫做合規，是非常的重要。政府、還有行業、有很多強制性對于安全上的要求，對于企業必須的滿足。另外，供應鏈，外包，整合，在微軟，歷史上經過了很多的并購，組合。最近是叫領兵，微軟是重金把另并買下來了，以前有一個雅虎。買下來之前，這兩個企業要融合，IT系統要打通，簽這個合約以前，我們就開始把兩個系統的網絡連在一起，發現這個是非常非常的困難，非常有挑戰性的工作。

還有移動的，還有新一代，在中國90后或者80后跟60后，可能在座也是有70后，跟這些工作方式，思維方式都不一樣了。對于企業都是會造成不同的風險。還有物聯網，企業使用移動設備。剛剛講的這些條件會對企業帶來非常大的風險。

美國企業普遍存在的一些風險，不是全部，主要是一些數據，對于企業保護數據是放在第一位的，是叫做靜止的數據，數據資產是企業命根子，還有身份訪問管理，軟件安全性缺陷，還有遺忘失竊設備，還有傳送數據。這些都是美國企業現有的安全風險，那么，實際上這些風險已經被黑客利用了。每年安全事件大幅度增加，這個數據泄露沒有寫在里面，這個數據也是成正比的。

在這種情況下，企業要做安全的。這個是很早提出來一個理念，在美國是受到業界廣泛認同。在早期我們把安全防護，安全控制，一般是做在網絡層面，企業有一個防火墻，布一些相應的安全措施。大家在一個墻的里面感到比較的安全。這種做法剛剛也是講到了，因為編制的模糊消失，效率非常的低了。長期來講，我們應該什么呢？越貼近，保護的目標，是越有效，成本也低，效率也高。這個數據最終目標叫做什么呢？自我保護。數據，本身是不可以保護自己的。是數據和應用要結合在一起，應用和數據安全將變得越來越重要，可能會比網絡安全更重要一些。

我下面開始講案例。一個是美國政府，在座有沒有是政府機關事業單位的？大家都是企業的，稍微講快一點。美國政府也算一個客戶，非常大一個客戶。美國政府它的職員，聯邦政府有200多員工，有很多的部門，大家也是看到了，都是每一個部門員工分布的情況，美國政府IT的預算是比較的充足的。2017年，政府準備拿出將近900億美金，安全也是其中的一部分，下面還會講到，這個是一個奧巴馬都是很熟悉了。邊上是我在微軟一個朋友，最近被奧巴馬認定美國CIO，是負責美國聯邦政府的IT，包括安全。

美國政府IT一些安全風險有主要幾點。第一，技術上比較的落后，使用的版本都是比較的老舊。另外，他有很多的部門，部門之間是碎片化，而且，IT系統互相沒有打通。另外，這200多萬員工里面有專業知識非常的少。針對這個情況做了很多的安全的戰略，措施。比如說，我這里不具體不都講。一定要把漏洞和補丁管理好，這個是基本要求。企業打上補丁，把漏洞補住。實際上，大部分的安全的風險可能都會得到緩解。

最近的美國還出網絡安全國家計劃，是準備明年從IT規劃里面拿出來190億美金專門來做網絡安全。剛剛講到了美國以前是有一個安全顧問。但是，他最近對于安全非常重視，準備設計聯邦首席信息安全官，向CIO匯報。大家也是看到了，政府在美國政府官員比企業少。所以，IT和安全，企業走在前面的，在企業安全和IT要領先。最下面是一些各部門的資金分配情況。因為在座沒有太多的政府事業單位來的聽眾。

美國政府在新的技術趨勢下，它是準備把傳統的IT逐步地向云轉型，它發表了一個戰略，估計可能是要用10年的時間，戰略已經發布了很早。年以前，2011年，因為白宮跟我們安全聯盟關系非常好，是對接美國政府，歐洲區對接歐盟。亞太區對接亞太政府，我現在代表大中華區幫助中國的政府和企業來把國際的云安全經驗介紹給大家。所以，美國白宮當時是把云安全聯盟邀請了。然后2011年云安全聯盟峰會上正式發布了美國的云計算戰略，可能要到2020年，大部分美國的IT實際上運維在云計算的資源中，采用云服務的形式。右面大家也是看到了，美國各部門對云計算包括風險標準做了大量的工作，有很多工作就是云安全聯盟幫助下進行的。

下面講一講微軟的情況。在座的都是企業，微軟可以給大家重點講一下。微軟是比爾蓋茨創立的，我在微軟的時候，他是CIO，是負責微軟企業本身的IT。它是去年被奧巴馬邀請去做美國的聯邦政府的CIO，我是幫助做微軟內部企業安全，我職責還有保護微軟的產品安全，那個是另外一部分，就是網絡安全。在微軟網絡安全和信息安全，也叫IT安全是分家的。是分成了兩個不同的部門來做。昨天我在中國網絡安全大會上給大家講過，有去那個大會的比較清楚一些。很多大企業都是這樣的，就把信息安全和網絡安全是分開，華為也是這樣的。我在華為現在是做網絡安全。所以，信息安全，我是顧客，華為沒有分享的。并員工年齡層是分布的比較的廣，新員工有不同的文化，對于企業IT的要求都是不一樣。采用的這些技術，還有郵件，全球化是100多個國家都是有辦公室。將近1萬名員工在海外，500多個辦公室。對于這樣一個大企業，要把安全做好是非常有挑戰性的。

這個是信息安全的組織架構，這個名字按說是改了。是叫做風險管理，主要是信息安全，大家延用這個詞語，在微軟內部其他的部門，如果跟他講風險管理，他就聯系不到以前的信息安全這個部門的名稱。所以，是把兩個放在一起在這個組織里面，這個組織是比較大，有500人，他分了G2C合規風險，還有治理，這個是一個部門。還有對于新興技術研究有一個部門，因為新興技術挑戰是對于IT沖擊很大。還有安全運維，就是日常的運維工作，另外，業務連續性是非常的重要，也是在這個部門的職責。另外，對于應用還有IT基礎設施的安全的評估，這個是專門有一個部門，就是評估測試保障沒有漏洞。最后，還有一個工具部門，提供自動化的支撐。

安全管理實踐，微軟把數字資產分了三類。對于全員都要做好教育，這個對于每一個中國的企業，我相信也是非常的重要，我們因為要保護企業的數字資產數字資產要分類。高風險投入比較大，就是采取的安全保護措施比低風險，低敏感信息數據要采取更加好的防護。微軟是分了三級，特別是根據對于業務的沖擊，分級是比較好分的。關鍵怎么樣識別這個資產？這個是困難所在，微軟的經驗是通過各種渠道，把識別資產的方式讓員工熟練地掌握。通過物理的方式，我們有一個非常有效的一個尺子，每一個員工配一個尺子，可以拉來拉去的，它的資產一拉這個尺子可以知道結果，是屬于哪一個類型。手機上面的自動化識別工具，還有外部網站，有很多這種自動化的工具，是幫助這些員工可以把這個資產識別好。微軟管理工具是基于GRC這樣一個平臺之上，可以把剛剛講的各個部門的企業、IT安全管理，都可以實現自動化。

這是微軟跟美國政府一樣的，也是要把全球IT要全面地向云轉型，也是到2020年，大概通過混合云的模式，一部分的私有云，一部分的公有云，逐步把所有的IT的系統要簽到云里面去。對于云計算，大家也是知道，安全是CIO和業務決策者的最重要的擔心。微軟的做法，一定先做安全合規，把安全合規做好，就可以把剛剛我講的低敏感和中敏感的數據遷移到云中了。當然，高敏感的數據目前還是不可以放在任何云里面，還需要更先進的安全方案。這個圖有各個國家，各個行業，還有各種組織對于云計算服務的一些安全要求，它是以證書的形式出現。微軟是拿到了這么30多個安全合規的證書。大家看一下，右上角倒數第二個是CIC，是安全聯盟的證書。當然，微軟他只拿到了第一級，不如亞馬遜，亞馬遜是拿到第二級。還包括中國的阿里云，也是比微軟拿到的級別要高。

最后的MCF，是微軟IT部門自己根據自己的情況對于云計算提出的安全要求。制訂一個安全框架，這個是當初在微軟領導的一個項目。所以，大企業可以自己來制訂對于云計算安全方面的一個需求，如果你沒有這個能力，你可以找業界近似的安全需求?，F在推出了27017，27018，這個是以安全聯盟為基礎，對于云計算的安全和隱私都提出了正式的需求。

我們再看一下消費化。端方面對于微軟IT的一些沖擊，這個微軟的消費化，終端方面是分了4大部分。第一，企業的數據，因為有了網上很多其他的應用，可能從自己的企業內部轉到了互聯網上，有很多企業的數據從企業內消失的，到了互聯網上去，主要是通過員工它自己的共享。比如說，大家是一部手機，你這一部手機既來做業務，可能自己私人用途也是在這個手機上。業務數據和私人數據可能就會混在一起，這個是一個風險。

還有應用。微軟的企業，很多員工就自己去跑到外面采用一些外部的社交化，還有一些針對中小企業的一些IT應用，中國是微信，大家微信建一個群聊，聊本公司的工作。業務的數據又跑到了社交網絡上去了。另外，還有管理。管理也是的，IT一般是采取中心化管理，有了移動互聯網，很多管理系統不在IT部門控制之下了。當然，還有設備，不管使用蘋果，安桌，還是其他的平板，這些設備IT部門都不可以制訂策略統一管理，所以，造成了很大的困難。那么，針對這個情況，微軟是先做了一個框架，對于消費技術。那么，我們這個框架是分了4部分。主要識別風險，基于風險這樣一個框架。這種技術是公司鼓勵的。跟公司戰略配合，公司會鼓勵這種消費技術，讓IT拿出預算，拿出人力來做策略，要正式地支持。

左下角，員工可以用，但是，IT不支持你。比如說，安桌，你可以用，我IT部門不來支持你。有一些技術，IT可以作為一定的試點做支持。比如是Iphone，是一些單位標準，是要投入一定的力量先做一個試點，看一下以后放到里面來。這個技術對于企業安全危險太大了。IT一定要想辦法禁止，我們可以從IT的策略，還有從技術角度，把它給擋住，可能是有一些風險很大的應用，我們不可以在企業里面用的。

微軟最后一個，是叫做可視化的報告，對于業務決策者。對于這些義務的領導，它是會安全做的好還是不好，他們沒有什么感覺。剛剛給大家講了，安全好比是一個健康，健康到底好不好？可能是IT安全員自己有感覺，你很難跟領導講清楚，你就可以采用這種可視化報告形式，把你的安全的健康的指數你呈現給你們的領導，呈現給業務決策人員。比如說在微軟，健康指數。包括了補丁，包括了對于病毒的情況，還有數據中心，還有終端，各種各樣的情況，我們用可視化方法呈現出來。未來，我們可以利用安全大數據衛星情報，生態感知，我們把這個做的更好，可以做成實時的。

那么，對于小企業來講，我講的微軟這個方法并不一定使用。因為中小企業員工數量比較的少，你叫他拿很多的資金和這個不現實的。在美國比較好的實踐，盡量地的采用云計算技術，有一個小公司，人是非常的少，他沒有能力來做很多安全的事情。是采用云服務，把IT基礎設計，還有很多管理交給云廠商只負責本身應用安全就可以了。這個公司成長很快，兩年時間成為一個獨角獸，從今年開始不可以算中小公司了。這個安全通過云服務的方式由企業可以低價獲得。我在第二篇講過云時代低成本。包括安全，在座這些企業今后都是可以低價通過云服務方式獲得。亞馬遜，華為，企業云，云服務商，它他們就是有義務為中小企業提供安全服務。把恐怖安全給中小企業解決掉。亞馬遜，它是把安全已經打造進了公司的文化，從研發測試，就是研發和運維，他們是一體化的。就是團隊和產品團隊，實際上都是一個整體。另外，這個云是目前安全功能最多的，亞馬遜不僅業務是領先，安全也是領先的。當然，其他的廠商，比如說，阿里云，微軟云，華為企業云，可能很快就可以學習他們的先進經驗，可以追上來。亞馬遜還建立了生態體系，安全不是一家可以做的。亞馬遜把業界所有的安全廠商，比較好的安全方案整合到自己的生態體系里面，客戶可以根據你的需要服務少量費用，可以加不同的安全功能。因為亞馬遜安全合規是做的最多，剛剛大家看到了微軟是30多個，亞馬遜是拿到了50多個認證。之后亞馬遜雖然本身沒有測試團隊。雇傭了大量全球領先的乙方、第三方安全測試團隊，對于它的安全做最后的那個。

最后講一下中國企業特點，我回來了一年多。我感覺到了一個差異，不一定對，不對的化歡迎大家指出來。美國的員工非常的遵守安全規章制度，你企業定了一個安全政策，他一定是執行。中國的員工是什么？不是這樣的。我舉一個例子，右面這個圖，我親身的體會，這個圖是在西雅圖研究院，我經常開會，做會議培訓?？匆幌律线厡懥艘粋€，不要把吃的喝的帶進來，因為我在門外面都是放了食品、飲料、讓大家吃飽喝足聽這個會議。美國有一個標志，非常守規矩，吃的喝的扔了進來。有一次交代了一下中國來的代表團成員參加會議。中國員工不聽，吃的喝的都帶到了會場，所以，企業IT安全策略我感覺是對中國員工是沒有什么效率。中國并廣告非常多，美國是非常非常的慶幸。中國的惡意軟件非常多。還有美國黑客情況很厲害，攻擊造成的后果是非常的大。但是，中國因為人口數量大，從事黑產人感覺很多。還有信息化，美國高度依賴信息化，中國感到信息化的程度還不高。另外，安全防護上，美國政府，不管是政府，大中企業，安全防護比較得到慰。在中國，我感覺防護不太到位。大家也是知道很多網站出了事情。實際上是很多厲害的黑客，并沒有對價值不高的這些網站系統沒有花力氣攻擊，要真的攻擊，大家會有更多的問題的。

還有一個是法制的問題。我國法制環境還不盡完善，還需要其他相應的法規相應出臺。這樣對于企業有幫助。還有企業決策者，對于安全要有重視，拿出一定比例的預算來做安全防護工作。這些建議我就不仔細讀了。謝謝大家給我機會分享一下美國企業的安全實踐，預祝中國的企業安全能夠盡早地趕上超過美國。

以上是51CTO.com記者從【WOT企業安全技術峰會】一線為您帶來的精彩報道。一大波精彩內容報道正在襲來，敬請持續關注！ 

【編輯推薦】