目前，云安全面临的最大威胁还是来自于云端的数据泄露或丢 失，整个行业缺少有效的云安全标准机制。在最近一次技术沙龙上，新思科技软件质量与安全产品线业务负责人韩葆针对常见的安全问题，给出了几种解决方案，比如在云平台的研发过程中引入威胁建模；比如用户如何基于自身业务逻辑，做一套完整的应用防护；再比如云上的安全测试。

除了外部防御之外，其实网络安全问题还不能忽视内部的防御，比如安全岗位的设置、安全人才的培养，就这些问题，我们对韩葆进行了采访。

在就职新思科技之前，韩葆在安全行业的从业经历非常丰富，他曾在Sun中国研究院、Coverity（2014年被Synopsys收购）等多家公司负责软件团队研发测试与软件安全平台搭建等工作，目前是高级安全架构师。

这么多年网络安全行业从业经历，让韩葆发现大家仍旧在依赖传统后端安全防护(防火墙，路由器，IPS,IDS等)，而最有可能带来安全问题的前端软件研发过程中，防护意识仍旧不足甚至没有。如何将软件安全推广到IT研发和生产环境中，这是一个比较大的挑战。

其实在新思科技，网络安全、信息安全防护手段非常多，应该说还是计划缜密的，这一点给韩葆很深刻的感受。在韩葆看来，一款好的网络安全产品要具有这样几个特性：

首先是精准度高。比如安全分析的软件，误报率高的话根本不会被客户接受，往往采购后被束之高阁，所以精准度是很重要的一点。

其次是兼容性好，集成度高，不要打扰用户的正常行为。如果客户为了迎合一个安全产品改变所有开发流程、问题修复流程，或者强行打扰或中断正常工作状态，都是不够成熟的解决方案。在韩葆看来，好的产品和解决方案最好能做到润物细无声，与客户的各种系统都能无缝集成和打通，从而达到高可用的目标，真正用得起来，避免资源浪费。

另外是全面。网络安全行业是水桶效应非常明显的一个行业，你的某一块有缺失，那么被抓到痛点后会非常致命，近十年来韩葆的公司给很多企业做过BSIMM软件安全度量成熟度模型，发现大家的安全状态参差不齐，很难达到行业平均水平，所以解决方案必须要足够全面，才能真正满足所有客户需求。

具体到网络安全人员自身水平的提高，韩葆认为需要不断学习。CEH、CISSP之类的证书虽然不是必考，但是这些证书教学内容中的安全知识是非常全面的，信息安全是不断发展的一个行业，安全知识是不断积累的过程，学的多了，自然就触类旁通。安全无止境，网络安全从业者完全可以从后端发展成为专家，也可以从前端发展成设计推广解决方案的架构师。