知道创宇王利伟：「云」状态下的互联网安全解读

5月29日，由B12主办，苏河汇、良仓孵化器、猎云网联合主办的「企业服务大会|上海站·中国的企业服务为什么没有独角兽？」在上海召开。知道创宇高级安全顾问王利伟分享「“云”状态下的互联网安全解读」...




关注一下又不会怀孕！

5月29日，由B12主办，苏河汇、良仓孵化器、猎云网联合主办的「企业服务大会|上海站·中国的企业服务为什么没有独角兽？」在上海召开。B12邀请了钉钉、华创资本、易观智库、知道创宇、七牛云存储、UCloud等大咖坐而论道，带来企业服务的精彩干货分享。

以下是知道创宇高级安全顾问王利伟「“云”状态下的互联网安全解读」的主题分享：

王利伟：谢谢主持人和B12给我们组织了这样一个聚会，刚刚李总讲到的几点我都非常赞同，增收、节支、避险、提效，我们做的就是这里面最尴尬的就是避险，然后又碰到了刚刚李总提到的像2C那一套玩法是不是适合2B，我们做了云安全的防护平台，这个四年前就开始做了觉得应该也是2C那样我们先开始免费，免费向用户开放结果做了四年也是不断的买自己的服务器、不断的买带宽，不断的给客户提供免费服务但是自己饿得够呛没办法然后就找钱，腾讯去年给了1个亿美金，不然的话我估计现在也死了。

我们内部也在考虑，这些免费的用户我们到底要不要留，他们到底能给我们产生多大的价值，所以说的确也是比较尴尬，就是我们是结合了两个比较尴尬的境地，所以今天分享的主题也是以云相关的或者是以SaaS相关的主题，一个叫Securitycloud安全云，还有Cloud security这两个东西是有本质上的不同。

1

SaaS客户信息上云，如何保障安全？



所谓的安全云是现在提供云计算的SaaS服务厂家比如说做HR的、财务的等等这些云，另外一个概念是Cloud security，信息安全行业利用云计算或者大数据一些比较有代表性的公司，所以利用云的技术去实践网络安全这是另外一个范畴，看起来像安全云、云安全，然后是一个质上的不同，我们先看看安全云。

中国的企业市场快速增长，刚才包括华创资本也说了，虽然企业服务不只是SaaS，但是因为SaaS服务来说比较有代表性，但是的的确确中国目前的Saas服务增长的确比较猛，这是借用了CSDN的图表，这里面列了很多领域里边一些有代表性的SaaS服务公司，总统计来说这里边可能不全，但是也可以看得出来。SaaS服务越来越多，然后覆盖了各大行业和领域，然后有的行业和领域已经出现了一些非常非常不错的公司，因为在SaaS里边可能是HR和CRM是最火最赚钱也可以是最容易能做大的公司，从目前来看所以也出现了一些像电梯间里面经常能看到的分享销客等等，这样一些比较不错的公司。

当我们尝试着把客户的信息、财务什么都放到云上的时候，这个时候80%的企业考虑的第一要素是安全性。因为从现在发展得最好的SaaS领域来看第一、第二是HR和CRM，第三是IT建设。就拿这三个来说，一个企业HR的这些数据对一个企业的重要程度有多高？企业的客户对于这个企业的价值有多高？现在太多互联网公司或者说“互联网+”时代的这些公司，企业最核心的信息资产就是数据，财务数据、客户数据，不像是传统的企业。

比如说一个制造型的企业可能最值钱的东西是在生产线上、库房里面，现在没有了，所有的生产线、库存就是线上的数据，这些数据对于企业来说可以说是生存之本，这些东西你去放到别人的地方去在别人的管辖之内安全性就变成了我们首要考虑的因素，这也是最开始云计算普及以来越来越多的企业担心安全性的问题。当然了，随着云计算的厂家在安全这一块不断的加强，越来越多的客户也接受了这种形式，但是目前咱们现在这个行业特别是SaaS服务这个行业在安全方面做得怎么样。

这个是我随便找的做SaaS服务的厂家，本来想打码的后来忘了，我披露这些没有任何贬低或者表扬的意思，只是说让大家看一看现在这些厂家是怎么做的。这是一家CRM厂商在官方网站就有安全的频道，解释它是怎么样来保障用户的安全的，比如说做了一些加密、备份等等上面都有一些说明。另是另外一家可能在官方网站没有直接说明但是用户有提问，比如说数据是怎么样保证我的安全性的。

这是另外一家七大措施全方位保护客户的信息安全，从机房、网络都做了一些阐述。这是明道在他们的官方网站上说的，做得还不错，有了很详细的描述甚至还把他们的安全管理规范一些制度稳当也都放上去了，非常好。做得最好的就是AWS，有一个非常全面的安全频道。这是它们通过的一些法律法规、一些认证还有一些规范，可以看看打满了整个一屏，所以亚马逊的确是这个行业的标杆。这是另外一家也表明了自己在网络安全、数据安全、物理安全上的一些做法。

除了AWS之外，基本上更多的情况是SaaS的厂商对于客户数据的安全性承诺一般有四点。

第一点，就是我用了这个数据的传输加密就是SSL，这个SSL比较好甄别，就是你登陆它服务的网站就是在登陆或者注册那你看前面有没有绿标，如果是HTPS开头的证明是用了SSL传输加密的，在你登陆或者是注册的时候你的这些数据是密文的是不会轻易被窃听的，反之则不一样。

另外也会自己说是申请了一些证书，实际上这些证书跟SSL是一个概念，只不过实现的东西都是一样的。数据加密可能说到了数据存储是加密的，用户名密码在我这存储了是加密的，另外比如说把你的客户数据放到我这，我存储本身也是加密的，用了我一些加密的方式、方法等等。更多的企业也会提到咱们的数据是有备份的，不用担心磁盘故障或者是怎么样，将来你有一天存到我这也都可以，基本上都会有这几方面的保障。这个做得还是不错的很多厂商也会有这方面的声明，但是做这些就OK了吗？我们继续往下来看。

2

谁来为SaaS的安全性负责？



SaaS厂商安全的现状有专门说明自己有安全措施的厂商少于40%，SaaS厂商现在至少出现了2000家不止，就是在自己的官方网站或者说能看到公开的地方来生命自己的安全性措施的少于40%，有详细安全措施的披露，就是我的安全到底是怎么做的。比如说我数据销毁，数据销毁大家知道硬盘即便是坏了上面的数据也是可以被恢复的，如果你的数据存到他那那你的云服务厂商将来以后对于磁盘的销毁是怎么做的，像这种按道理这些厂商应该都是披露出来的。比如说像Google、AWS像中国比较知名的一些大企业都会告诉我这个硬盘到时候怎么销毁的可以物理销毁甚至有视频等等。

有这样详细披露的小于10%，包括内部的一些管理制度、规范等等，没有使用SSL的高达60%。这是什么概念呢？这也就是几百块钱的事，最简单的一个安全防护手段同时也是最主要的，目前我们能看到的C端比较知名的一些网站不管是互联网金融也好、电商也好、O2O也好，只要是有交易的SSL的普及率至少是在80%以上。大家看一看自己的京东或者淘宝都是有这个的，这个东西实际非常简单，但是又非常重要，为什么来说？比如说没有SSL的保护你在咖啡馆或者是在公共场合的Wifi登陆你企业的CRM、OA、ERP等等系统的时候，如果其中有一个黑客就可以看到你所有的数据，你的用户名密码，所以说这个东西很简单，但是企业为什么没去做？就是嫌它麻烦。

获得安全相关资质的少于10%，这个安全资质比如说AWS认证，这种只有不到10%的企业有这样安全的证明和资质。有自己安全团队的少于5%，这是什么概念呢？也就是说市面上5%的Saas企业根本没有自己的网络安全技术团队，而且这里面有请过第三方做过安全性测试的少于5%，也就是大多数Saas提供厂商他们对于自己的安全性到底是怎么样的自己都不知道，有可能说自己是挺好的，好像我们有的时候人的健康性一样我身体挺好的，吃什么什么香、睡得也挺好的，但是实际你真的好吗？他根本就没做过“体检”也没有做过“检查”也没有请医生给他看过，低于5%这个数字小得可怜。

谁到底为SaaS的安全性来负责？实际上如果你真的做的话不是很难，因为这个已经有了一些规范，很多传统的做法都有非常成熟的体系或者最佳实践只需要迁移到云上就好了，迁移到云上之后你看上面的图有一个Find the Gaps，以前你需要考虑物理安全，防火、防盗、断电的事情需要你考虑，但是迁移到了云之后这些事情就不需要你考虑了。但是这个最终的安全负责人是使用者，就是上面这些数据是谁的？比如说你用了谁谁家的CRM、用了谁家的云主机应用是你的、数据是你的你就要为他的安全性负责，责任是转移不出去的，但是你要具体做哪些保护的措施这个时候就需要Saas厂商去做。

到底需要做哪些工作呢？我这里面列了很多，这也是这些行业的最佳实践，从技术安全到终身防御以及运营层面的一些安全，这些东西都是他应该去考虑的。当然了有的企业可能是有一个过程并不是说一下子可以坐满的，但是有些基础规范的东西应该去覆盖到的。这个大家可以拍个照具体研究一下，我们就不展开详细讨论了。

3

关注SaaS安全，需要关注哪些点？



关于SaaS厂商这些安全性到底我们为什么这么关注它们。比如说SaaS厂商如果一个投资人、一个投资公司对这家公司感兴趣的话我们应该关注什么？我们应该关注这家企业对他们提供这个服务安全性的重视程度，比如一家做CRM的系统对于客户的数据安全程度关注度非常高，然后它关于这块的安全规划也非常明确，这个时候意味着什么？意味着这家公司的发展程度、技术能力和前瞻性都是非常好的。反之如果有一家公司对客户的安全根本不管不问，或者说根本没有明确的规划，这也可以客观地反映出来这家公司的前瞻性很差。

对于我们服务商自己我们应该关注哪些东西？首先我觉得是一些最佳实践包括安全标准，27001、CSA以及技术和管理体系的建设，这些东西意味着什么？实际上就意味着我们的竞争力。大家可以看到这个行业比较有意思的就是，往往最大的，在这个行业做得最好的他们的安全上也是做得最棒的。从这种程度上来讲，也就是说安全的程度决定了这个企业的竞争力。比如说像亚马逊云，大家公认它是这个行业的鼻祖，人家在安全性上做得就是好，你有对比就可以看得出来，而且也可以保障是有一个良性、可持续发展的。因为黑客但凡把你的客户数据偷走了，这个东西是致命性的打击。

对于最终用户在采用云的时候，我们应该关注什么呢？应该关注安全策略的透明度。比如说当你决定采购一家CRM或者是ERP的云服务的时候你要关注这个，你要关注成熟度要制定一系列的检查清单，检查这家云服务厂商是否能符合你的需求，这对于企业来说意味着自己的数据有更好的保护和保障。我们选择这个提供商可能也是更可靠、更靠铺，也侧方面来证明这家厂商是不是以客户价值为导向。

到底我们在选择这个服务的时候，我们把安全放在多么重要的角度？多么重要的高度？这个时候实际就是根据我们选择不同的业务然后基于我们的业务价值以及信息资产的价值综合评估，并是说任何选择、任何一种SaaS服务都需要把安全做到绝对的高这也是不可能的，显然安全的投资跟你的成本是要符合投资效益分析的。比如说把你所有的数据存储、数据库、核心交易系统都放到了某一家云服务厂商上面，那也就意味着这家服务厂商也就是这家云提供方案对于你企业来说是非常非常重要的，为什么？因为你所有的核心数据、所有的客户数据和存储都在人家那，这个时候是不是就需要对这家云服务厂商提出严格的要求？必须保障数据安全，因为那个东西是你的生存之本。

刚才讲了做安全云，云厂商应该做的一些安全方面的工作，同时安全也可以作为一种云的方式来交付，我们可以把它叫Security as a service可以做的也有很多比如说Web安全、DLP、安全评估、SIEM、BCP或者DRP，以前这些也是需要本地维护和部署，现在利用云计算的方式安全也可以做成以Saas的形式来交付而且做的还比较多。

作为云安全，到底会有什么样的一些好处呢？首先大家想一想，就拿我们传统时机需要买一个防火墙或者是IPS的设备，这些设备买回来之后需要在自己的机房安装、部署、调试，需要找到专业的人更新、管理、维护，坏了要有人去维修，有故障了要有备件替换这一系列是非常非常麻烦的，这也是为什么很多企业现在采用云主机而不是自建机房了。云主机的话只要开机付费就可以用了不需要像传统一样买一些服务器然后还要自己去做UPS等等，这是云安全带来的一些好处。

下面这张图我举个例子，也是我们现在正在做的事情，以云安全的形式来做Web安全怎么来做。这张图显示了大概的工作原理，就是说可以在全国不同的地区分布部署我们机房，这个机房是以云的方式来交付的。如果一个客户比如说做电商的还是做Saas服务的或者是做互联网金融的需要有一种安全防护方案的时候，它只需要通过域名解析到云防护平台上就好了不需要装任何的软件或者硬件也不需要有专业的人管理他，这就是云带来的安全便利和好处，像我们的服务器道理是一样的。

同时还会有一些技术上的优势，就是云计算能够给我们这个行业带来的东西，比如说我们可以建立一个庞大的信誉库因为传统的防御手段都是一对一的各扫门前雪。现在是多租户的环境，有一个人被攻击的时候我可以告诉所有人这就是大家的协同防御，这时候就可以防止供给的效果，效果也会更好，就是把这些黑数据统计。另外部署的成本都非常低不需要有专业的人、专业的设备维护管理，而且得到一个专业的团队来帮你支撑。另外，由于它是云端它实时在线响应也比较快，不用说硬盘坏了给厂商打电话半个小时打车过来再给你换，这是传统的手段比拟不了的，而且从此之后再没有说你这个东西并发是多少的事情了，因为以前安全的手段经常会造成瓶颈，因为这个东西并发了多少、吞吐了多少，你必须要考虑这个，因为云本身就是资源池的概念。

到最后有两个思考给大家，现在我们虽然以云的方式做安全防护，现在由于Saas领域比较火我们也有一些客户尝试跟我们接触给他们提供了一些安全的解决方案，包括野狗也是我们现在的客户。这些Saas的服务也在寻求一些安全解决类的方案，但是更多的情况是比较有意思的是什么呢？

很多SaaS厂商不接受SecaaS的方案。我们做安全的厂商，包括我公司边上一些其他朋友的公司一些安全公司是不愿意用Saas服务的，比如说CRM、ERP、OA。拿我公司来说现在所有的ERP、OA、CRM全都是用传统的方式，云的Saas形式我们凑了很多家没有一家采用的，这是留给大家思考，为什么呢？以上就是我的演讲，大家如果对于云安全或者安全云这个话题有更多的想探讨的东西可以加我的微信咱们私下再沟通，谢谢。

    关注 知道创宇云安全CLUB