云计算安全需求的能力层不包括哪些(能力层不含)

一、 不包括泛化的通用信息技术安全基础知识

• 基础密码学原理与应用： 能力层会关注如何在云环境中具体实施加密（如存储加密、传输加密、密钥管理服务），但不会从头讲解对称加密、非对称加密、哈希算法等密码学的基本原理。这些是学习者应具备的基础知识。
• 通用网络协议安全： 对TCP/IP协议栈、DNS、HTTP/HTTPS等协议本身的安全机制与固有脆弱性的深入分析，属于网络安全的通用范畴。云安全能力层更关注如何在这些协议之上，利用云服务（如Web应用防火墙、安全组、网络ACL）来构建适应云环境的防护体系。
• 操作系统与数据库基础安全加固： 操作系统（如Linux、Windows）的账户权限管理、补丁更新、日志审计，以及数据库（如MySQL、SQL Server）的访问控制、漏洞修复等，是传统的终端与服务器安全内容。在云上，这些工作部分转移给了客户（在IaaS/PaaS模式下），但对其基础知识的掌握被视为前置技能，不属于云安全能力层新增的核心能力。
• 普适性的安全开发生命周期（SDLC）： 安全编码实践、代码审计、漏洞扫描等是软件开发安全的通用要求。云安全能力层更侧重于如何利用云原生的工具（如集成在CI/CD流水线中的安全测试服务）来落地这些实践，而非定义这些实践本身。

易搜职考网在规划相关课程体系时，会默认学员已具备或正在同步学习这些基础，从而将教学重点聚焦于云环境带来的新挑战和新工具上。

二、 不包括云服务提供商（CSP）底层物理基础设施的安全管理与运营

• 物理数据中心安全： 包括数据中心的选址、建筑防护、门禁系统、视频监控、消防、电力冗余、环境控制等。这些是CSP的核心责任，客户无需也无法直接构建这方面的能力。客户的能力在于理解和信任CSP提供的相关合规认证（如ISO 27001, SOC 2）。
• 硬件供应链安全： 服务器、网络设备、存储设备的采购、验真、固件安全及生命周期管理，完全由CSP负责。客户的安全能力不延伸至此。
• 底层虚拟化平台与宿主机安全： 管理程序（Hypervisor）的安全性、宿主机操作系统的加固、物理服务器之间的隔离等，是CSP安全架构的核心。客户不具备访问和管理这些层面的权限，其安全能力建设应聚焦于自己可管理的虚拟机实例、容器或应用层。
• 全球骨干网络运营安全： CSP区域（Region）和可用区（AZ）之间互联的物理光纤网络的安全、抗DDoS基础设施的物理部署与调度等，属于CSP的网络运营范畴。客户的能力体现在如何设计跨AZ/Region的高可用和容灾架构，以利用这些底层能力。

对于通过易搜职考网进行学习的云架构师或安全工程师来说呢，理解这一边界意味着能更清晰地界定工作范围，将精力集中于客户可控的安全领域。

三、 不包括与云计算无直接关联的广义组织安全治理与风险管理

• 企业整体信息安全政策与战略制定： 制定组织的最高层级信息安全方针、确定风险偏好、分配安全预算等，属于公司治理层面。云安全能力层关注的是如何将这些宏观政策转化为针对云环境的具体控制措施（如云数据分类分级政策、云服务采购安全评估流程）。
• 非云相关的业务连续性计划（BCP）与灾难恢复（DR）： 针对地震、疫情等导致办公场所不可用的传统BCP，与云安全能力层关注的基于云的容灾备份（如利用跨区域复制实现RTO/RPO目标）是不同层面。前者范围更广。
• 全员安全意识培训的通用内容： 防范钓鱼邮件、保护个人设备、物理安全提醒等通用安全意识培训，是面向全体员工的。云安全能力层更侧重于针对开发、运维、IT管理等特定角色，进行云平台操作安全、配置安全、数据安全等方面的专项技能培训。易搜职考网提供的正是这类聚焦于云技术的深度技能培训。
• 与云计算无直接关系的法律法规符合性： 例如劳动法、消费者权益保护法中的信息安全条款，除非其特别指向云计算场景，否则不属于云安全能力层的核心关注点。该层更聚焦于GDPR、网络安全法、等保2.0中针对云计算扩展要求的落地。

四、 不包括纯粹的商业与法律合同谈判条款

• 服务等级协议（SLA）的具体数值谈判： 如何就可用性百分比、赔偿条款等进行商业谈判，属于采购和法律部门的职责。云安全团队需要提供技术输入（如需要多高的可用性、数据持久性要求），但谈判策略本身不是安全能力层的一部分。
• 数据主权与司法管辖权法律条款的博弈： 数据存储在哪个国家地区、受何种法律管辖，是重大的法律和商业决策。安全能力层负责提供在不同司法管辖区部署的技术方案及其安全影响分析，但不直接决定最终条款。
• 保险与责任划分的法律文书： 购买网络安全保险、与CSP明确安全事故后的责任划分与赔偿流程的法律协议，是风险转移的法律手段，其文本起草与谈判不属于技术性安全能力范畴。

易搜职考网的教学内容侧重于培养学员定义安全需求、评估服务安全性的能力，以便为合同谈判提供坚实的技术依据，而非取代法务角色。

五、 不包括特定的、单一化的产品或品牌解决方案的深度操作

• 某单一云厂商控制台的逐项操作指南： 例如，如何点击AWS IAM控制台的每一个按钮来创建策略，或Azure Security Center的每一步配置向导。这些是产品使用培训。能力层定义的是“需要实现精细化的身份与访问管理”或“需要实现工作负载的威胁检测与响应”，至于用哪个云厂商的哪个具体服务、如何操作来实现，是下一层的实施细节。
• 特定第三方安全工具（如某品牌CASB或CWPP）的独家功能详解： 能力层会指出需要“云访问安全代理”或“云工作负载保护平台”这类能力，但不会绑定到某个特定品牌，更不会深入其独家非标功能。它关注的是这类工具应解决的核心安全问题（如影子IT发现、工作负载合规检查）。
• 过时的或已被淘汰的技术方案细节： 能力层面向的是当前及在以后一段时间内的最佳实践，不会包含那些已被证明无效或主流云平台已不再推荐的具体技术实现路径。

易搜职考网的课程设计会平衡能力培养与实操性，在讲解通用能力模型的同时，会选取主流平台作为案例进行演示，但核心目标是让学员掌握跨平台的安全设计思想。

六、 不包括纯粹的理论学术研究或未成熟的前沿探索

• 密码学前沿理论（如全同态加密的实用化算法优化）： 虽然全同态加密对云数据安全有革命性潜力，但其目前计算开销巨大，尚未进入主流云安全产品大规模应用阶段。能力层会关注“数据加密”这一需求，但当前落地的仍是成熟的加密算法和密钥管理方案。
• 基于区块链的云安全审计架构的学术模型： 这类研究具有前瞻性，但距离成为行业标准或可普遍部署的能力要求还有距离。能力层当前涵盖的仍是基于中心化日志服务的审计与溯源。
• 人工智能/机器学习用于安全检测的特定算法研究： 能力层会包括“利用智能威胁检测”这一高级能力项，但不会深入神经网络模型设计、特征工程等具体算法细节。它更关注如何定义检测场景、评估检测效果、集成云厂商提供的AI驱动安全服务。

，云计算安全需求的能力层是一个精心界定范围的专业框架。它不包括作为基础的通用IT安全知识、由云提供商全权负责的物理与底层基础设施安全、与云无直接关联的广义组织治理、纯粹商业法律条款、特定产品操作手册以及尚未成熟的纯学术研究。清晰认识这些排除项，对于通过易搜职考网等专业平台学习和实践云安全的个人与组织来说呢，意义重大。这能引导我们将有限的注意力和资源，高度聚焦于在共享责任模型下，属于客户责任范围的那些因云而生、因云而变的核心安全能力建设上，例如云身份联邦、云安全态势管理、微服务安全、无服务器安全、云原生应用保护平台集成、跨云统一安全管理等，从而构建起真正有效、敏捷且与云环境适配的安全防御体系。