在2012RSA中国信息安全大会期间，赛门铁克大中华区技术总监李刚做了题为《明日安全，今日塑造》的演讲，并接受了比特网记者的独家专访。

　　比特网：云计算、BYOD、社交网络，在带来更多便利的同时，也带来了更多不可控的安全风险。能否具体谈谈，IT环境的转变给信息安全带来了哪些挑战？

　　李刚：IT的改变确实对安全有很大的挑战，因为突破了几个边界，一个是突破了应用的边界，因为云计算及IT的变化，使得现在IT的应用基本上只是一个想象力的，没有任何技术性，这在以前不可思议的。你以前要把好的想法或者真实的问题用IT技术解决，肯定会想很多东西，会被IT框住，现在这个边界都打破了，有好的想法立刻可以实现，包括后面数据的东西。而且，因为云计算带有很多新的可以引入到应用行业里面，比如未知信息，个人的身份信息都可以纳入到里面去，所以应用很多，所以应用完全突破了。

　　另外一个就是服务的边界。你想做什么都可以做，不仅仅是企业内部员工，你完全可以找第三方人来做。我想做一个分析的系统，用手机可以看到，比如项目的进展情况，可以找第三方，直接把这个应用提供给我，不用买服务器，不用终端，直接买服务。为什么第三方愿意做呢？因为他也可以有收入。

　　第三个突破就是相关资产边界突破，就是企业内部IT对资产的概念，边界模糊了。现在很多东西不是你所拥有，你真正拥有的，就是拥有里面的信息和数据。所以你说云计算也好，社交网络也好，移动互联网也好，确实给移动信息带来很大推动，但是对安全挑战也非常巨大，完全是颠覆性的，尤其是这三大边界，尤其作为行业主管，控制力减弱，风险暴露提升。我觉得这是比较大的挑战。

　　比特网：新的安全形势会不会带来安全产业的洗牌？下一个阶段，具备什么条件的安全厂商能在新一轮竞争中赢得制高点？

　　李刚：洗牌倒不一定这么激烈的词，就像我上午说的，这样的挑战也是动态，尤其是发生大的变化的时候，既对传统的有很大的挑战，同时又带来很多新的机会。这里面我觉得，有一些新的趋势，第一个大的趋势，首先作为安全厂商要应对新的变化，我讲到了几个边界的突破，几个控制力减弱，那么就要提供更好的方法和思路，去做这个风险管理。什么方法和思路呢？对于云端来说，你整个IT和机房，你控制的东西越来越少，你就要抓住你控制的东西。信息去防御身份，去防御做什么。这是企业安全保护一个新的思路，也是作为安全厂商来说你要提供相应的手段，在这个环境里面去应对。这是我讲的新的领域和新的思路。

　　还有一点呢，就是刚才我说的问题，如何占领制高点。还有就是安全，也一个特别大的特点，就是没有威胁就谈不上安全，这个是互相依存，针锋相对。所以安全要提到威胁，今天参与的嘉宾都在谈，就是讲智能。智能是什么意思呢？就是要对威胁的产生要有及时的，敏感的这种预警，能够迅速捕捉到新的威胁的动态，以及具体哪些新的威胁。这是问题的一个方面。另一个方面就是，这些是一种知识，怎么样来变成智能，是另一个问题。对这个知识要及时加工，然后要把它变成一种产品和技术。使得能够帮助用户快速地更新防御体系中间的能力，去识别、去应对、去预警这样的威胁，这才是知识的水平。所以两方面，一方面的能力是快速获取情报，但是仅仅获知情报又怎样呢？必须快速地智能去提升防御体系产生反应。那么下一个就是走向，就是新的思路，比如说安全即服务，这在云安全里面好像是新加的一个。这个类似于把安全智能变成云服务的客户，因为客户很难说及时更新他的知识库，但是专业的云服务提供商构建这样一个智能体系是比较容易的，这是我们讲的把知识变成产品，变成服务的体系。也就是说，安全厂商要在新一轮竞争中赢得制高点，必须具备三点，第一要有新的思路，第二要有新的保护手段，第三要工具化。

　　比特网：云计算时代来临，我们已经谈了很多概念、趋势，如何落实到具体产品和方案上来呢？

　　李刚：所有的想法都是可以落实到产品上，比如说工具化，就有新的思路，不管是对营运也好，对设备也好，这种环境下怎么保护信息安全。刚才我只是提出一个理念，还要考虑具体什么手段和方法能够做到。比如，你怎么访问的时候获得授权，这是以人和信息为目标。我举例Salesforce.com，它以是SaaS为主的服务商，很多大的公司都用这个做云服务系统，实际上它现在也逐步退出企业用的社交网络，或者社交网络系统。就像我们说微博一样，是企业内部。我们怎么样去保证，个人的设备在访问企业的内部的社交网络服务的时候，能够获得适当正确的授权和访问权限。比如在公司可以有一种访问权限，离开公司就换个访问方式或者不能访问。公司内部可能更多的敏感一些，我举例，相当于这样的场景，如何管理移动设备，像这样的技术是必须要提供给客户的。

　　再有呢，刚才我说的云服务，你有很多好的想法和理念，能够及时地获得支持，我们就有云服务的方式提供给客户，既可以直接获取这样的，就是智能的安全性的警告，你也可以干脆把你相关的类似服务，把它重新变成SaaS的模式，这样它提供的就是，我们说的威胁之前获得的防御能力的手段，这是云服务的一个意义所在。

　　比特网：这块主要是指SaaS云安全服务？

　　李刚：对，今天主要谈到人力资源获得，现在威胁越来越专业化，威胁越来越有针对性，相应的对抗怎么样，需要用专业的手段去防护，就必须要有一个共享的这种模式，否则的话，一般企业很难去，一个是很难去负担这个成本，再一个，就跟医院一样，为什么每一个家庭没有一个医生，就是IT里面必须有专业的服务，给客户提供相应的安全保障手段。也不是说装一个，像什么云安全软件，装上这个系统就万事大吉了，你根据相应的变化要做相应的策略，要做调整。谁会真正深入地了解这云安全里面的威胁，这些云服务供应商，是否和他们所说的一致，你必须要收集或者放宽这些安全策略，都需要安全背景很深的通过这些渠道及时更新。你自己做可以，但是专业的云服务供应商，用云模式更好。

　　比特网：上周有相关的安全厂商跟媒体分享了一些SaaS云安全服务在中国的实际案例，那这块在赛门铁克有没有可以分享的内容？

　　李刚：这个倒是可以提供一些市场数据，因为毕竟这是赛门铁克是最大的一块业务，我们有些市场的数据。赛门铁克在去年有一个新的BU，就是较大的业务群，也是SaaS，跟赛门铁克相近的服务产品提供给客户，其中有我们的针对终端防护的，还有邮件提供的防护，这是第一的。Symantec.cloud已经在全球104多个国家获得了成功应用，并为1090万名终端用户提供安全防护与托管服务，充分满足其在安全性、灵活性与高效率方面的需求。同时，Symantec.coud也获得了业界的高度认可，被IDC评为网页安全托管服务与即时消息安全服务的全球领导者，并在Gartner的在邮件安全网关魔力象限中位列领导者象限。

　　比特网：今天上午您也提到安全防护在不同发展阶段的成熟度，我觉得有一点特别有意思，您提到部署安全不一定是按这个发展阶段一步一步来。这是什么原因呢？

　　李刚：我这个模型是从五方面评价企业安全防护体系是否成熟，最基本的，你要对法律要遵从，所以这部分是最基本的，做到这些就基本上达标，这个是成熟度最低的，然后就是智能，就是第二个，你要有相应的渠道获取这个智能，就对威胁有相应的感知和相应的机制。第三关注优先事项，对安全有感知能力，比如说我业务要大力推动，比如说有些保险企业，那么作为我安全规划来说，有很大的威胁，因为Ipad可以访问后台，如果这个丢失了，而且黑客可以通过这个进入后台。第四步可持续的风险管理体系，指的是说你对所在的风险有预防的方式去不断完善和加强。第五步就是与业务相关联，你这些所有业务都优先及时连接。实际上我们现在最最缺的，反而是第一步和最后一步，尤其是最后一步，之所以缺，是因为我们安全人员需要通过这个阶段来获得企业决策者支持。安全投入到底该占IT投入多少比例？这个到底有没有行业标准？保险行业和汽车制造业用于安全的投入占IT投入的比重肯定不一样，但是保险公司和保险公司之间安全投入应该是类似。之所以很难跟决策者沟通，是因为安全跟业务的联系很难可视化，安全的投入产出比也很难量化。你很难去描述，安全做不好会对业务产生多大的影响。在这方面，一定要有工具帮助客户。我怎么把企业的风险跟IT挂钩，决策者一目了然，我们真的处在高风险阶段。最可怕的就是对风险不可知。风险需要被梳理出来，被翻译成业务流程，被量化出来，但是我们还需要把这个方法自动化、工具化，不能只依赖咨询公司。

　　比特网：如果说要强调赛门铁克在云计算的优势和特色，应该怎样去描述？

　　李刚：这个主要是说我们几个方面，一个是刚才我所谈到的，一个很重要的就是，几个核心的一些必要的能力，就是需要有一个智能和云服务提供的能力。还有一个，赛门铁克在云服务和云计算的能力，我们本身提供云计算服务，包括云安全服务，我们这里作为预算和运营商出现，所以我们理解业务和挑战，这个是我们的一个特点。第二个，我们有大量的安全方案，通过云模式提供给客户，也是我们一个优势。第三个，就是我们应该是在比较早的时间点，推出了针对云环境的安全技术，那个技术是比较难，比较领先。暂时还没有类似的出现。所以这个也是独特的地方。第四点呢，就是我们的许多的所谓的传统的这样一些应用里面的技术，也提供有跟云时代共存的能力。比如说我们的备份产品既具有传统IT的，另一方面也支持备份的云，应有的云服务供应商。我的意思是说，你可以把现有的云服务供应商，当做目的地很容易备份到云里面去。我们本身是运营商，知道风险在哪里。第三点本身具有这方面特点，在业界是首创的。

　　比特网：你说的这个解决方案，可能其他的安全厂商也有。你们的特色是？

　　李刚：赛门铁克今年3月推出的O3云身份和访问控制(Symantec O3 Cloud Identity and Access Control)是企业的云信息保护平台，可以为云应用提供三层保护： 访问控制、信息安全和信息管理。O3云身份和访问控制为企业的云应用和服务提供了单一且安全的访问入口。 每个企业都希望自己的员工能够充分利用云服务，而同时他们也希望企业的关键信息在进出云时可以得到足够的保护。赛门铁克O3可以帮助企业在跨所有云服务和设备时，实现一致的身份和信息安全保护。赛门铁克O3云身份和访问控制在所有的Web应用(包括那些不支持联盟协议的应用)中实现了单点登录(SSO)。该解决方案可以充分利用企业现有的用于认证的身份基础架构，同时还实现了基于上下文的授权、密码管理以及联盟服务。除此之外，赛门铁克O3云身份和访问控制还与赛门铁克Validation and ID Protection Service (VIP)进行了预先整合，它可以帮助企业利用自己现有的VPN证书来提高访问任何一个云应用的安全性。

　　云安全其实有很多很多场景。一种场景是保护云本身安全，还有就是我在用云的方式提供安全，还有一种理解是我用云技术提供智能，提供安全能力，那还有一种，就是当你在使用云的时候怎么保证安全。

　　赛门铁克O3就是这样一款产品。比如，某一个企业在云时代可能跳过企业的管制自动用云，或者企业逐步引入到云，比如备份到云，用云办公，用云的协同软件。我昨天下午一个客户就是做协同，那个客户跟集成商为了交流软件，一个重要的核心运用代码放在一个文件共享的服务提供商里面，被我们系统查到了，这样的场景就需要布局技术。而且这个是黑的，你看不见，他就是做了，大概几十兆的代码上传上去，就好像有人把存折放马路上，是处在高风险状态下。你至少要知道，风险在哪？这个东西怎么落地呢？就需要一个技术。当你把所有的，试图提供云服务的服务商跟你内部之间建立一套手段，当然这个本身技术也可以运用saas技术提供，你可以提供给服务商，服务商给你做外部和管理流程，比如说你发邮件什么的警告你，要经过你批准。

　　比特网：你是指O3的应用场景是独到的。

　　李刚：对，把多个渠道，公有云的身份认证，敏感信息的保护，安全策略的强制。你放东西上去可以加密，所有这些东西必须加密才能出来。就是用一个技术帮你实现。

    比特网：在云计算时代，很难一家企业解决所有安全问题，在产业合作方面，赛门铁克有什么进展？

　　李刚：赛门铁克公司8月29日宣布推出覆盖VMware产品组合的全新解决方案以及技术整合，为虚拟环境提供更高级别的保护。赛门铁克目前已提供100多项与VMware云基础架构融合的产品或解决方案。

　　赛门铁克与Salesforce.com共同致力于制定解决方案来保护云和多种云服务。今年3月，赛门铁克推出了赛门铁克O3云身份和访问控制(Symantec O3 Cloud Identity and Access Control)，作为企业的云信息保护平台，可以为云应用提供三层保护： 访问控制、信息安全和信息管理。新推出的赛门铁克O3云身份和访问控制为企业的云应用和服务提供了单一且安全的访问入口。在赛门铁克与Salesforce.com展开的合作中， Salesforce.com和赛门铁克将把salesforce.com的Force.com平台与赛门铁克O3的强大安全优势集中起来，为Salesforce提供赛门铁克O3云身份与访问控制服务。而融入了赛门铁克O3的Salesforce将使客户能够利用他们已有的Salesforce身份安全解决方案，便捷地访问其所有的云服务，从而实现对Salesforce和其他云应用的双因素认证。该解决方案于2012年年中上市。Salesforce.com ISV和渠道部门高级副总裁Ron Huddleston表示：“社交企业希望能够通过Force.com的力量来构建和交付他们的移动和安全应用。融入了赛门铁克O3技术的Salesforce将使客户能够利用他们已有的Salesforce身份，从任意选择的设备上安全便捷地访问所有的云服务。”