【51CTO.com原創稿件】由中國電子技術標準化研究院主辦、51CTO承辦的"第七屆中國云計算標準和應用大會"于2018年1月4日至1月5日在北京成功召開。本次大會全面展示我國云計算國家標準研制工作的成果，解讀國內云計算產業政策，報告云計算標準化工作的重要進展。同時，大會還重磅發布了國家開源領域的標準化產物，分享了云計算最新的技術趨勢和應用創新成效，并頒發了云計算產品及解決方案第五批測評證書。此外，第二屆中國優秀云計算開源案例評選結果也在大會現場公布。

在萬物互聯和數字化轉型蓬勃發展的時代，企業乃至整個產業的入云需求日漸迫切。隨著云計算產業配套政策的落地，云計算逐步從互聯網企業向傳統行業滲透。產業轉型與創新分論壇直擊產業轉型痛點，探討云計算服務能力如何加速傳統產業轉型升級。
 

[[216502]]
百度專家郝軼

在1月5日的云網安全與存儲分論壇上，百度專家郝軼與我們分享了他在工作中得到的寶貴經驗。談到云計算安全的標準化問題，郝軼總結為三條，第一條叫做如果這個標準是管理要求的話，我們就關注它的過程。第二條，如果是個技術要求，我們就去關注它保護的對象。第三條，如果這個標準談到了比如說云計算，一個具體的方向，我們就去關注這個場景的特點，當他談到一個場景我們就去關注他的場景特點。

以下是演講實錄：

各位領導，專家老師，大家上午好。我是百度的郝軼，由我來給大家講這次的內容，也是前面提到的《云安全的法術》，如果是西方的法師我們通過哈利波特以及一些游戲的了解，你會發現他們喜歡扔一些火球、雷電這些東西，他更像是一個搞化學工程的科學家，如果是東方的法師我們會發現他們更喜歡去做一些比如什么夜觀天象、呼風喚雨這些事，他更像是關注于天文和氣象，發現天文和氣象規律，然后并把它應用起來，或者說喜歡論道講法，把這些方法論整理并宣傳出來的這些人。今天我們這次大會的標題是云計算標準和應用大會，我其實在這里就想說的是，關于云計算安全他相關的方法和技術，也就是云計算安全的標準化應用，也就是我這里面法術的部分。

在講到云計算安全的標準和應用的話，我要回顧一下我們目前相關的標準和方法，我們發現前面邵處也講了，其實當我們關注云計算安全的時候，我們所使用的標準和方法以及相關的技術，其實不單是云計算的，也包括跟云計算有關的，比如他底層的一些內容一些傳統的網絡邊界，也包括云計算上面的數據還有那些IT服務管理等等這些，我認為他都相關。

在我的日常工作當中我經常接觸到的一些標準，比如說常見的有CCRA云參考框架，一個基礎的來介紹云安全或者云計算整體架構的這么一個標準，有的標準講架構，有的標準講了一些要求，比如國家推薦標準GBTA31167和31168，分別講了我們云服務商應該如何向政府行業提供安全的云的服務，也講了作為政府部門如何要求云服務商提供什么樣的安全措施這類的標準，他提了一些在技術和管理上面的要求，同時我們有一個非常熟悉的標準還經常用到的，就是我們等保，像1.0時候的GBTA239-2008信息安全等級保護基本要求，在我們有了等保2.0，但沒有發布，說要合在一起，在沒合的時候會分GBTA2239.1和網絡等級保護和點2，在這類的等級保護基本要求里面，我們就會發現他也要分類的，在等保1.0的時候分技術和管理，其中技術部分分為物理、網絡、主機、應用和數據，到2.0的時候有了一些調整，我們把它叫做物理和環境，網絡和通信，然后以及設備和計算還有應用和數據，大家發現說其實無論怎么樣的分類內容是差不多的，就像前面邵處剛剛講過的，他的第九頁講了說有邊界，有網絡，有終端，有應用和數據。

我們會發現他有各種各樣的分類，同時我們也會去兼顧一些國際上的標準，當然我們也通過《翻譯法》和一些修改很多轉化成了國標，比如我們常見的，在座的各位如果做信息安全其實都知道，ISO27001信息安全管理體系，這個里面他會提到我們有方針、策略、組織和人員，然后相關的一些流程和它若干個相關的流程和控制措施，是這個樣子，當然這有一些對具體場景化的標準，比如27017講的是云環境下的安全管理體系，27018講的是云環境下的個人標識信息的保護，這都只是部分的我們經常用到的東西，我做一些簡單的介紹，還有如果做行業的話，做云計算安全還有國際與安全聯盟的相關內容，CSASTAR里面有認證聯盟，會對應著國際上的什么加拿大的，一些行業的。比如說支付寶行業，他里面會引用墨西哥的一些標準，似乎我們日常工作當中這些標準的內容還是比較多的，下面這個表是因為我想如果展開的話有好幾百個，已發布的安全位有150多，在研的還有150多，這些都是近期我在網上下載到的就是我們的這些標準，這就出現了一個問題，剛才我講的那些好多，我自認為我小的時候差不多算過目不忘，記憶力還可以，但是它已經如此的多，吳老師這一組人他們在積極努力的為我們總結、歸納形成標準，也就總結了不到三百個到現在，算上沒發布的，我在后面學習和應用，把這些標準有一部分是參考的，就是說我工作當中，如果我去做規劃，做設計，我可以參考這些方法論和要求，但是有一部分標準他是規范，是要求，是涉及到合規，涉及到我必須把它做掉的，問題是在座的各位可能一部分人跟我一樣，我們都要去用這些標準，或者去遵守它，我們怎么能把如此多的標準在實際的工作當中用起來，就是我今天要講的內容之一。

我希望在介紹的過程當中能一方面像我這樣用標準的人用起來，另一方面我還知道有一些乙方的人，把我們梳理歸納的內容把它的價值傳遞給我們的用戶，大家要盈利，怎么把它賣出去。

現在我講了這么多的標準情況，下面我就要講是不是有一種方式，或者我們能找到一些規律，能夠快速的了解這些標準，好像我現在在前面講的時候，就像已經讀過了一樣，但其實不一定有精力去讀，因為我算了一下，以正常的閱讀速度，要想細讀的話要一個星期不一定讀的懂，但這么多我還要去用所以很難，作為一個習慣于投機取巧的人我就想了一些方法，是這樣的，我們發現在要求類的標準當中，一部分講管理的，一部分講技術的，是這個情況吧，在講管理的時候，因為我自己作為一個云計算服務商，我要獲得很多認證，每年我要維護的認證差不多有十個，比如說我每年要拿的證有，年審的有等保，這是必過的，可信云、ISO9000、ISO2000，9000是質量管理體系，2000是服務管理體系，ISO27001信息安全管理體系，ISO27017云環境下的信息安全管理體系，ISO27018云歡迎下的個人信息標準信息保護，然后還要去過CSASTAR，同時最近騰訊拿到了一個證我們還沒有過但是我也要關注，好處我是那個作者還容易一點。我其實還有一些一定要過的，比如說網信辦的檢查，如果我要是做政府行業，我一定得學上述的電子政務的相關標準我要學習它，如果我要做金融，我應該做PCIDSS支付和安全行業數據標準，但是現在我們人比較少，主要就是我，我要把這些東西全都記住，并且每年要過檢查，我還要去維護它。

一年有12個月，我差不多要過至少10個認證，除了春節和十月一這一年就過去了，基本上每個月來一遍我還得學點別的。最后我們發現這個里面似乎有規律，什么呢？就是怎么讓大家迅速的把我剛才說的那些在我講的40分鐘之內初步掌握，是這樣的。

凡是你面向對象是人的那些東西，通過對人的活動來完成的任務都幾乎屬于管理，先說管理類的。管理類的內容有一個特點，就是他都有一個管理目標，管理目標是什么呢？比如說你叫質量管理體系你的目標就是提高質量，如果你的目標是提升IT服務，那么你的這個體系就要叫做IT服務管理體系，ISO20000，如果你的目標是提升信息安全管理，就叫做信息安全管理體系，好了，每個體系都有一個目標，這個目標是怎么達成的呢？就是我們不太用什么方法能保障結果，但是人們發現在管理的這個過程當中大家可以關注于管理相關的流程和過程，通過在過程當中加控制點和控制措施來達到管理的目的，一般為了實現一個管理目標他的套路是這樣的，他一定會找出跟這個管理目標相關的一些流程把它梳理出來，如果大家去看有一堆流程，在這個流程里面控制措施，直到有一天我復習了一下，在2006年的時候我在制造行業的時候過過9000，我發現這些都跟9000很像，后來看看國際上的標準，確實9000算是一個基本的標準，早期大家都對它有些參考，在9000里面我找了這么一張圖，大家不用認真看，其實你要知道，它講的就一件事，首先這個標準叫什么名，定義了他的范圍目標，然后他要梳理出相關的流程，他要明確出誰來管理，就是管理者他的組織和人員，明確管理對象。這是我在2015年之前我在學27001的時候似乎就是這個樣子，大概就這么個影子，他分了多少個域對它各個場景進行分類，是這樣吧？

到2015年左右，9000可能也受到其他標準的影響，它做了一個版本上的變更，它在做管理體系之前他加入一個環節，叫做風險評估，我覺得我們挺熟的，因為做27000的時候上來也先做風險評估，或者做ISO20000、2301，尤其是2301都有風險評估的環節，我想它有什么用？我認為它一個非常有價值的角度是這樣的，當我們做一個體系的時候就會發現，前面我講的梳理出來的流程做它的控制項，你發現它一般有一百多個控制項，一般在130-160左右，就是我接觸到的各種標準，比如CCM差不多160多個就算多個，然后27000系列等保系列差不多在130個左右，大概就是150左右擺動，這些內容非常多，以至于作為一個常見的甲方或者實用標準的人來講不太容易記憶，或者說我們的工作有的時候缺乏聚焦沒有重點，就是我原來一做管理體系這個事，就似乎像是一個又全，非常全，但是又不太細，什么都說到了，我們好像也沒有特別明確重點這么一件事情，但是如果在這個環節之前加上了風險評估的話，就能夠依據當前的場景識別出現在的資產狀況、威脅情況，我們自己這個場景下特定的弱點和我們現有的控制措施以及采取風險，我們相當于給這個龐大的體系結構為我們自己的場景找到了重點，這就是我這部分工作的理解，所以我們做了一件事，是什么呢？

我在我的單位把相關所有的管理體系合并，我把我的9000、2000和22301比較相似的，落到IT行業的時候更像是20000了，對一個互聯網公司的22301他的業務連續性主要是IT的東西，他有大量的內容是交叉的，我要做的事就是我要把多個管理體系的目標把它進行整合和梳理形成一個目標組，就是我的這個目標里面有質量的，有IT服務，有業務連續性都在里面，有信息安全管理的，然后我把相關的流程都梳理出來，很多流程是重復的，因為原理很簡單，就一個具體的甲方來講，或者對一個具體的廠家來講，你管理這件事他管理的是人，就是管理者和被管理者，在我們單位就那么幾個人，管理者就那幾個，被管理者就是那幾個，非常明確，控制措施很多時候也可以復用，基于這種情況，我們現在就整合了9000、2000、22301和27001，順便有一個好處，就是CASTAR，它其實主要就是27001加上CCM，他的范圍都是基于27001的，我在做了這個整合就順便把CASTAR五整合掉了，這就是我們在管理部分做了一些整合。

基于我們發現的規律之一，同時我們又發現另外一件事，安全標準里面談到要求，當然講方法論和它是什么這些標準，我們一般會在做規劃的時候用，更好的表達我這個云計算是什么樣子，按照CCR類去描述就更好一些，他們要求的時候我們發現很多技術類的標準，他都是面向對象的，這就又給了我可趁之機，什么意思呢？

大家還記得上一個演講者第九頁最后一行講到了數據，他提到了一件事，叫做數據安全包含著數據的創建，我們叫采集、專署、使用、存儲、銷毀、分發，他的全生命周期的相關安全工作，要對它進行重點式分級和分類，并加以保護。是這么說的吧？其實我們發現剛才說到數據安全與我的這個標準是封皮，他講的是個人表示信息在云環境下的保護這么一件事，其實他是不謀而合的，無論是前面我們看到的國內的相關的數據保護的要求還有國際上的要求，還有我們能看的見的像等級保護的要求它里面的技術部分。

最后一個環節，原來叫數據和備份現在叫應用和數據，它都有一個特點，就是它一定不管做一個什么東西的安全，它的方式都是說先面向保護對象，比如我們現在要保護的數據，我們就要面向數據，然后去看他的全生命周期，看他在哪怎么用，誰能碰的到他，然后再加以控制措施，這些標準是通的，雖然前面我講那些方法的時候說可能上百個，但是落地到一個具體的場景這事又好辦了，因為我作為一個使用標準的人，我們家的IT資產就那些，他雖然有變化，但是在一個具體的年度內的話，它的變化沒有那么大，這些資產還都是過去十多年一點一點攢到今天的，即使到了明年可能會有一些增加和減少，但不至于整體上沒有那么多變化，針對于我自有的這些數據資產，我要做的事或者是我的IT資產要做的事。

無論是什么樣的標準和要求，他讓我去做的具體工作其實都是說，我要對我的資產進行分級分類梳理，我要找出我的那些重要資產是什么，我要知道我這個資產怎么來的，怎么走的，怎么用的，怎么保存的，在每一個環節上各個標準里面其實都給我很多參考，提了很多控制措施，以至于我懶到什么樣呢？比如說它是一個系統，往往他一定會要求標識和鑒別、訪問控制、審計、報警，然后資源管理、入侵防范、惡意代碼，差不多六七個分類，就往我這個系統的標準上去套，如果他是一個數據資產，他一般會要求對這個數據進行分級分類，他會要求傳輸的過程當中加密，要有認證環節，然后存儲過程的時候要加密，銷毀的時候怎么處理，大概就是這些東西，就會形成那些方法的方法，或者我認為是方法背后的規律就可以去發現他。

基于這種情況，我們就整合了我能找的到的所有的技術標準，因為我去過一個管理體系的時候他里面有一條，說你最好依據國內外或者行業的先進標準去做這件事，我們現在作為一名服務商，就那點東西，我有我的邊界，有我的設備，有我的云管理平臺，有續機，就這點活，我就把它做掉，總是要做出一些特點。這個標準也可以相當于追點熱點，我的單位是國內第一家通過這個認證的云服務商，但我們并不是第一家通過認證的單位，第一個認證單位是微信，我們是第二個，他專門保護的內容，這就是我舉的一個關于資產的例子，就是關于技術對象的例子，如果把技術的部分都抽象成對象然后給他上控制措施就成了。

今天我要講的是云計算安全的標準應用，前面講了很多標準它并不是云計算安全的，專門給云計算寫的但是云計算安全都得用，當我們講云計算安全的標準和要求的時候我發現它的一個特點，它更多的其實一些變化就是面向了場景，這個業的內容來自于ISO27017，就是講說27017這個東西在云計算環境下怎么用，這個標準我看了10分鐘我覺得差不多了，雖然看的不深我發現它一個特點，它幾乎每個章節和整體結構跟27000是一模一樣的，他分別對云服務方和云租戶分別的角色做了場景上和實施責任上的說明，他其實是把一個通用的標準落地到了云計算的場景之下，如果云計算安全是面向場景的話，管理我說是面向過程的，技術是面向保護對象的話，我們就舉一反三，又干了另外兩件事，因為今天作為一個云服務商已經不是那么高端了，就是包括我跟吳老師他們去學習寫標準的時候發現大家都已經把這個云服務商的工作，怎么去做，做了大量的總結。

我作為一個廠商，我想把這個東西，有的時候為了一些噱頭也好，也是為了追求先進的科技也好，我們現在主要提的都是ABC，什么呢？AI、bekdate，叫人工智能和大數據，所以為了追求點不同，顯得自己厲害，我平時自己在家我都在搞大數據安全和人工智能安全，這樣看上去噱頭一樣。這個里面有了以上的規律，你就會發現說人工智能安全，它其實并不復雜，技術類的東西它是面向對象的，對象怕分解一定可以分解，當你把一個人工智能的應用分解成為用戶這一層，訪問層，根據CCR類的，服務層和基礎設施以及基礎設施之上，服務層背后的那個叫人工智能的計算模型的話，你就發現除了人工智能建模那部分他幾乎跟云計算和大數據是通用的，因為管理對象終端還是那個終端，訪問層的控制還是訪問層的那些控制，因為你訪問層要么是個外掛，要么是個APP，要么是個API，要么是個網絡通信，大多數就這些，因為這就是CSASTAR那個標準寫的，因為你在云環境下的訪問層就是那幾種形式，你換成人工智能其實好象也是那個樣子，比如我經常嘲笑我廠的機器人，看似很炫酷的機器人跟你聊天，我認為它就是長的好看一點的盒子，有一天我看到我們的工程師在維修他的時候我都太辛酸了，里面就是一堆電路板，一根線，理論上他相當于五六十年代的收音機，本質上也是這么一個套路，他是遠端的能通訊的盒子。

在這種場景下，如果是技術上，他能分解了的話，大部分控制措施是可以復用的，所以針對于不同的場景，我們往往只關注那個場景的特點就夠了，我們去找人工智能的場景和云計算的場景有什么不同，也就像我們在做云計算安全的時候，我們的大方法論都跟普通安全差不多的我認為，更多的是我們找到了云計算的場景，避暑他有虛擬化的部分，他有云隔離的要求，他有云管理平臺是這樣子吧，我們做一個具體的人工智能。

舉個例子，以27018舉個例子，怎么做的呢？比如人臉識別，數據怎么收集的？如果大家提前交了照片，可能涉及到數據的拷貝和網絡的直接傳輸比如HDDP，我們控制措施就是換成HDDPS，這些照片的保護是不是要切開分片，防止別人拿到這個照片，是不是要把一個人的照片和你的名字和你的身分證號要分在不同的地方存儲，然后再用一個標或者一個方式把他們關聯起來，不能集中存儲在一起，這都是相關的控制措施，還有一些我們會關注，大家想過一個問題沒有，就是當你每次被人臉識別的時候，他其實在采集你的一張照片，他會給你拍一個照，我們會關注拍的照片是一直被那個系統留下了還是用完就銷毀了還是它是API隨用隨刪，如果他被留下了這就是一個風險，我們要給他一定的控制措施說你不能留這樣的東西，如何對他的傳輸和存儲進行加密，是不是有些感覺手段規定他的銷毀，會不會有一個技術手段來支持這個管理手段，說你怎么證明你銷毀了而不可恢復，這就是我們在具體場景下對以上這些標準的應用。

總結了三條，第一條叫做如果這個標準是管理要求的話，我們就關注它的過程。第二條，如果是個技術要求，我們就去關注它保護的對象。第三條，如果這個標準談到了比如說云計算，一個具體的方向，我們就去關注這個場景的特點，當他談到一個場景我們就去關注他的場景特點。還可以再舉例，比如做交通行業就去觀察交通行業的場景特點，去做大數據的時候就觀察大數據下面的場景特點。對前面那三條我又做了總結，就形成了這句話，"利用規律去實踐方法"，原因是早期方法沒有那么多，像11年前我們看GBTA26984-2007信息安全風險技術評估規范標準沒那么多，再早一點17859，2008年出的標準多一點，也就十多個，2008年的標準20040等級保護指南，20039信息安全，就常見的，什么20986、20988，那一年才十多個，像我這種閑著沒事的人我都能背下，但是到今天我真的背不下來了，太多了，怎么辦呢？我就提到了用那些規律去實踐這些方法，這樣能快速的去記憶這些東西并把它用起來。有一個傳統的詞匯就叫做以道論述，但是我們在這方面盡量嘗試的去是簡單不是最佳實踐是這么一個情況。

前面談到了云安全法術當中的"法"，下面我來講一下"術"。我發現了一個問題，我不是那種不太能說的人，我之前作為一個安全廠商來講，我干的最多的一個事就是說服在座的各位盡可能多的，單價盡可能高的，次數也很多的來購買我的產品，這是我的職業，我認為我在替我的老板創造價值，在座的各位也有很多是乙方，我挺想給大家講一下我是如何做到差不多10多年投標就一次沒中的這個事。

后來我做了甲方，我既是甲方又是乙方，現在我在云服務商里面，我還得讓我們的云平臺更安全，我要說服我們的研發和運維，但是對一個互聯網公司來講，這幫研發的年紀界很小，然后運維年紀也都不大，他們賺錢賺的實在太多了，非常不容易被說服，他們往往覺得自己還比較有能力，因為我像他那么大的時候，連他N分之一的工資都拿不到，技術還是挺牛的，我就發現一個問題，尤其在安全領域，他是基于攻防的，就像在古代這是一場戰斗，單純的給人講道理是難以說服別人的，非常不生動，大家不聽，后來我們總結出要是想讓他聽就得打臉，的就必須跟他打一架，因為講到安全這個事是一個攻防，所以下面這部分我會傾向于技術或者產品方面來講我們是怎么實踐這些標準的。

我們發現這些安全工具或者技術它有一些演變，早期我接觸到的甲方都是買買買，我們國內主要安全的目標大客戶其實集中在政府、金融、運營商、能源、醫療、軍工、軍隊、公安、教育他們是我們的大客戶，他的特點是效率比較高，你今天買快點要，甚至他可以沒簽合同就供貨了，但是得花點錢，成本比較大。

后來我們發現那些當年的屌絲公司，就是那些做互聯網的，他喜歡用開源的工具，他會去網上找開源的工具搭建平臺，雖然投入一些運維的工作，但是他也能用，這些開源的工具是能夠去使用的，是有效的，后來這些單位就會去自演他自己的工具，再后來現在我們看到了行業上很多互聯網公司會去挖那些安全廠商的人來去做那些安全的saas，一方面是把它自研的那些工具做云服務化，把它saas化，對外分享出去，就形成了今天我們在市場上能看的到的收費或者免費的這些工具，這些工具有一些特點，就是前面講到了商業工具他效率高，但他也不便宜，因為買的人永遠覺得他不用我花錢。

自研的產品其實效率并不高，因為慢，因為你自研得去研，研就有開發的周期，但是它成本其實也不低，因為最然這個工具沒有花錢，但是研發的成本還是很高的，工具可能一百萬沒花，但是你過了兩個研究花了二百萬，再配四個測試，還得有一個項目經理，最后說界面不好看再配個美工，成本也不低。

還有一些是開源的工具，他看上去成本會低，因為確實沒花錢，但是要把它用起來的話坑比較多，大家需要不斷的去調整它，它看效率怎么說了，如果你算上調整的效率，他確實沒有saas和商業的高，但它對成熟的使用者來講，對成熟的OP和運維來講的話，他的效率目前來講也可以接受，還有云服務化的工具，我認為它成本相對較低效率較高，但是他有一個缺陷，就是你別的工具還好，但是現在它是一個安全場景下的工具，那么你一個saas化的工具不可避免的就是saas的云安全服務商，它數據一定云平臺上是有的，是這個情況吧，就是我們的一些演變。

尤其互聯網為例，我是這個行業的，早期也會買商業的工具，然后用開源的，把開源的做二次開發說是他自研的，在自研里面比較好的輸出，找點免費的用戶，在免費用戶里面過濾出一部分比較有錢的要錢，提供一些增值服務，在對那些特別有錢的又懶的給他提供服務，現在大概是這么一個套路。在這些工具并行的時代，我曾經有很多恐慌，這也促成了我由安全廠商的角色跑去了互聯網公司。什么樣的恐慌呢？就是說現在有了saas的，有開源的，不要錢的，但問題是我們云安全或者傳統安全創傷，他賣的產品是要錢的，并且安全廠商是主要依靠銷售安全產品來盈利的。

過去五年很困擾我的一件事，是不有一天互聯網公司他要做的安全，需要把我傳統的安全廠商滅掉來端我的飯碗這件事，我就等著他們打后來，后來他們一直不打過來，我就跳過去看看他們為什么不打過來，原因是什么，到今天我有一些線索，但是也不算是成果，給大家匯報一下，就是說我認為傳統的安全設備還是有他的市場，因為我現在有的時候是甲方，我在采購安全工具的時候我在想我買到的是什么。

盡管現在有大量的開源工具，盡管現在互聯網公司他也對外輸出他的SaaS服務，但是我發現，其實如果論工具的功能來講，那些開源的安全產品，經過仔細的配置和一系列填坑之后它是能用的，沒問題，但是他失去的成本是你運維上的時間以及你研發上的時間，對互聯網公司來講，他的規模足夠大，我舉個例子，我們一個機房有五千臺設備，我們至少要有四個機房，我們部門就是兩萬臺設備，算上我們公司某些別的部門那至少就是十萬臺設備了，這么多設備我們買安全廠商這些盒子的時候他當然覺得貴了，因為一買就得買一千個，所以互聯網公司自研，自研究完了之后他說你看我們今年省了好幾千萬，我們造出兩盒子，我們自己用了，他節的是合適的，因為他一算成本說我才用了十個人開發了這么一個東西，所以他成本是合的上的，但如果換成一般的，我前面提到的傳統大客戶呢？政府、醫療、軍工、軍隊、金融、運營商單位這些，他的主營業務不是做IT的，他的服務器數量和IT系統的規模不至于那么龐大，雖然她的業務足夠復雜但是他的系統不龐大，這就導致了一個情況，對他們來講去采購那些商用的安全成本反而要比自研和開源還要低，因為一旦要開源就要上五個運維，還得極強能力的，所以我認為還是有機會的。

我認為買的不止是盒子和工具而是相關的服務和技術支持，以及有什么事這種應急響應的這么一種權利，還有責任共擔的這么一個權利，如果我是甲方我買了盒子，我獲得相關的服務和支持，我出了事有人給我響應，諸多的這些東西才是這個產品核心的價值，因為我們的組織結構和IT規模，互聯網和傳統行業還是有很大區別的。

到今天我們知道了說如果這些產品很長一段時間會去并行，我們應該如何提供更好的產品和把這個產品賣出去，我的建議是說產品它的本質是利用這些工具提高我們的一些標準的執行效率。我舉一個非常有特點的產品，就是他專門就是給方法提高執行效率的是什么呢？比如我們的等級保護檢查工具箱，等級保護其實是由一系列標準組成的，但是我們在測評的過程當中和自查的過程當中發現效率沒有那么理想，或者是說我們測評人員他的人工操作成本會比較高，所以國內就造出了如等級保護工具箱這類的工具，它其實大大提高了標準執行的效率，我認為在這種場景下，他是一種以器載道。

另外我們如何把這種產品作為安全廠商更好的交付給我們的用戶，我發現今天的用戶已經不太希望有人過來給你講說我有一個盒子它有什么功能，它比別人家好在哪里，大家更希望通過一種完整的解決方案，通過那種基于一般規律或者是說基于業內大部分人的共識，通過一些標準形成的方法論所建立的方案，這就是過去幾年我在推廣我產品的時候干的一件事，其實我從不講產品，我每次給大家講的都是方法論和原理，因為用戶永遠他想要的其實是解決問題，比如解決控制問題，解決攻防問題，從來沒有一個用戶說我想要一個盒子它叫life，是這個道理。

最后要說的是安全標準和應用這件事情，我覺得它更像是修行，修就像是學習，行其實就是實踐，我們的標準工作者經過多年不懈的努力還在持續不斷的為我們編寫和總結那些方法和規律。一會兒我們的王老師就會給我們講他總結了那么多的相干的方法，而對我們大部分人來講，以我的資質是不太有能力做這么多的總結，但是我可以把它應用和實踐到我的日常工作當中去，為組織帶來價值。如果我是一個甲方，我就會利用這些標準來過很多的認證，來提高我們組織內部的質量，IT服務管理，信息安全管理，業務連續性以及技術方面控制的強度，如果我是一個安全廠商，我就會利用這些方法論和標準，為我的用戶創造那些更貼合它場景的，并符合這些方法和標準的方案，讓我的老板賺到錢，讓我的用戶獲得落地的方案。

講到這里，謝謝大家，也希望在座的各位能夠為自己的組織帶來價值，能在今年年終獲得更好的收益，謝謝大家。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】