论文部分内容阅读
信息安全等级保护面临升级,《网络安全法》即将出台,而行业(私有)云承载着保障国家关键基础设施、重要信息系统、重要公共服务这三大领域内重要组织稳定运行的职责,其安全关乎国计民生,是国家信息安全格局的重要基石。新形势下,如何确保行业云安全落地?成为很多人关心的问题。
2016年10月20日,中国首届行业(私有)云安全技术论坛暨联盟成立仪式(简称PCSF)于北京万寿宾馆举行,大会就国际趋势、国内现状、等级保护制度、行业云趋势、合规落地、云安全威胁、云安全解决方案等几个部分进行了精彩分享。
等级保护制度进入2.0时代
前段时间,徐玉玉被电话诈骗骗走了近万元学费,伤心欲绝而心脏骤停,最后不幸离世。再次将公众的关注焦点汇集到了个人信息安全和个人数据保护问题上来。层出不穷的犯罪手段更是对网络安全提出了新的要求。
近年来随着国内外网络安全形势发展,网际空间已经成为继海、陆、空、天之后的第五空间,成为新形势下国家安全的重要领域之一。随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈组织化、复杂化和国际化的发展趋势。与此同时,随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。
2016年10月10日,第五届全国信息安全等级保护技术大会在云南昆明召开,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代,要构建“打防管控”一体化的网络安全综合防控体系,并全面开展信息通报预警工作,同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。
由公安部信息安全等级保护评估中心主导起草的《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》(以下简称:云等保标准)即将颁布执行,这是我国信息安全总体战略部署的重要一步。
2007年公安部就出台了《信息安全等级保护办法(试行)》,2009~2016年的大规模等保建设已经取得了可喜成绩。该政策施行多年,仍然存在一些问题,例如,管理部门多,行政效率差;执行团队缺乏经验,无从下手等。虽然与实际业务的结合存在诸多问题,但当时出台的《等级保护办法(试行)》已经为信息安全建设搭建了一个基本框架。
而此次即将出台的云等保标准已经走向成熟。但云等保标准的落地和实施,仍然存在诸多挑战。云等保标准针对云计算的特点,提出了部署在云计算环境下的重要信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算环境信息系统的安全建设和监督管理。云等保标准是由公安部发布的云安全等级保护标准文件,是目前在国内参照执行度最广泛的安全标准,为三大领域云计算安全建设提供了规范指引。因此,业内对云等保标准的出台充满了期待,但标准如何尽快务实落地,成为下阶段的核心挑战。
能力落地成关键
PCFA联盟成员单位涵盖信息安全领域的研究机构、测评机构、IT安全服务商、安全能力者、云平台提供商等。经过上午的闭门会议和高峰论坛,经过推选,行业(私有)云安全技术论坛暨联盟诞生了理事长、副理事长、秘书长以及理事单位等,确定了联盟的章程,明确了具体的工作方向、工作目标和工作任务以及工作机制,明确了工作组的基础是“务实”,“成果”和“干货”,并把其作为联盟的最终目标。希望具有实力和能力的社会机构企业“开放”自己专注的核心能力,加入联盟,汇聚智慧,为国家关键信息基础设施中的重要行业的行业(私有)云安全承载的重要公共服务,重要信息系统,重要关键设施提供有效与可用的“落地”成果,加强国际交流,研究趋势方向。
中国信息协会信息安全专业委员会副主任吴亚非在发言中指出,近年来随着国内外网络安全形势的发展,网际空间已成为第五空间,成为新形势下国家安全重要领域之一,尤其在威胁常态化的今天,重要行业纷纷建设行业私有云,安全是制约行业云发展的重要因素。在这样的背景下,中国信息协会信息安全专委会和公安部信息安全等保评估中心联合主办首届中国行业(私有)云安全PCSF论坛,希望通过论坛和联盟的形式,推动行业(私有)云安全关键技术以及标准的研究、应用和推广,在国家信息安全等保制度指导下,紧紧围绕行业用户需求及新技术特点,依托云等保标准,面向行业以及用户,就等保合规标准如何落地进行研讨。
公安部信息安全等级保护评估中心副主任张宇翔表示,在新形势下,新技术、新应用大量使用,信息安全从工作内容到监管对象都发生了变化。自然而言形成了大家对等保2.0的共识。张宇翔在发言中表示,很多行业都在思考如何进行云计算建设,安全可控是行业客户的底线。在等级保护2.0时代,面对威胁常态化,安全合规是基础,更需要创新,现实需要大家聚合在一起,利用各方的技术成果和服务能力为行业提供有效的云安全落地解决方案。PCSF联盟是开放,是包容的,目的是促进产业的互补。无论是传统的IT服务供应商,还是广大新型云服务供应商,无论是传统已经上市的网络安全界翘楚,还是默默正在埋头苦干做技术研究的网络安全技术提供者。本次大会希望共同推动在10月10日昆明举办的由公安部网络安全保卫局、中央网信办网络安全协调局、工信部网络安全管理局、国家密码管理局、国家保密局、中国科学院办公厅为指导单位和由公安部第三研究所主办的第五届全国信息安全等级保护技术大会上提出的进入等级保护制度2.0时代,共同推动等级保护关键技术的研发、应用以及解决新技术新应用安全问题,为深入推进落实国家信息安全等级保护制度发挥重要作用。
公安部网络保卫局总工程师郭启全表示,等保2.0的落实,不能靠喊口号、开大会、发文件,而是必须一起抓落实。等级保护已经进入到2.0时代,《网络安全法》即将出台,信息安全等级保护也要过渡到网络安全等级保护,法规明确要求国家实施等保制度。未来等级保护制度会把云平台、大数据、物联网、工控系统等等纳入到等保制度管理,公安部开始陆陆续续要出台一些政策和标准。 国家信息中心副主任周民表示,行业云的发展当前正面临着一个非常良好的机遇期。云计算技术是新技术,由于云的多租户特点,灵活配置扩容的特点,安全如何保障?公安部作为等保的主管单位,这些年来一直致力于云等保相关标准规范制定工作,国家信息中心也积极参与到国家云等保相关标准制定工作中。通过这些标准规范的制定,能够对云的发展起到保驾护航作用,希望通过本次论坛,大家一起在行业和行业之间,行业和企业之间进行相互的沟通与交流,能够进一步促进云计算技术在各行业的落地,进一步促进云安全等保的实施。
中国工程院院士沈昌祥表示,等级保护由1.0到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
公安部信息安全等级保护主任助理李明对即将发布的云等保标准进行了解读,他指出,在云计算环境下,云等保的对象依旧明确。云租户是计算和数据的最终责任者,其他服务提供者不能够分担云租户的安全管理责任。要分辨出控制边界和管理责任边界的不同。
国家信息中心电子政务外网办安全处处长邵国安表示,网络安全是动态的,是基于风险的管理,要基于实时检测、实时分析、态势感知等技术。网络安全核心是专业分析队伍和信息事件的共享,政务外网已设计战略目标,以国家、省、地三级建立信息共享和同省直通。希望今后通过行业(私有)云安全能力者联盟制定相应的标准规范,建立新技术的攻防研发生态。
工匠精神确保行业聚力
不管是云等保标准,还是行业云安全能力落地,都离不开系统集成商、产品提供商、评测机构、IT安全服务商的共同努力。正如公安部信息安全等级保护评估中心副主任张宇翔所说,只有服务供应商、产品供应商、技术能力提供商一起合力,才能够有机会为国家网络安全,为等保制度的落地做出更多的工作。比如等保2.0里有一个重要环节就是服务形态,产品形态都要发生相应变化。未来希望通过PCSF的努力,能够让行业用户有更好的选择。“比如国家信息中心的政务云是私有云,但是对部委用户来说又是公有云。所以在云平台的建设过程中有不同的形态,不同的组合,这过程当中业务的模式,技术的提供要站在用户角度更多思考,让用户有更多的选择。这就是我们成立这个联盟最根本的宗旨。”
本次论坛上,理事长吴亚非为首批联盟单位颁发了证书。PCSA联盟在中国信息协会信息安全专业委员会的领导下组织成立,是信息安全专业委员会的一个工作组。联盟的宗旨是致力于云安全关键技术及标准的研究、应用和推广,为各行业(私有)云建设提供安全咨询和解决方案;在国家信息安全等级保护制度的指导下,紧紧围绕行业用户需求及新技术特点,依托国家相关工程实验室进行标准的验证和落地,通过广泛吸纳行业云关键技术领域的生态组织,融汇联盟成员智慧,同时加强对网际空间发展的跟踪研判,加强国际安全产业交流,不断提升安全研究能力、技术研发能力与落地能力,为我国重要行业的关键基础设施网络安全领域贡献力量。
对此,联盟成员纷纷表示了自己的看法。太极计算机股份有限公司信息安全与自主可控战略业务本部副总经理郭峰认为,工匠精神是目前很多国内厂商所缺乏的。本次联盟更希望从研究机构、标准制定者、云平台提供商、安全能力者和IT服务商的优势和缺点,进行互补,借鉴互联网企业的迭代思维和互联网思维,专注打造核心能力,用工匠精神打造精品。在等保1.0过程当中做到了策略体系化,但并不持续。在安全管理标准化和防御体系方面还有进一步加强空间,他呼吁具有深厚安全技术积淀的企业能够开放安全能力,融合产业力量,真正的推动我国信息安全发展,形成真正适合我国信息安全行业(私有)云安全发展的落地解决方案。
在技术方面,中新网络信息安全股份有限公司副总经理金锴认为,目前移动设备成为DDoS攻击的最主要攻击源,且呈日益增大趋势,包括脉冲高频供给、短时瞬发等攻击,现有DDoS技术手段无法有效防御。会上中新正式发布的中新金盾DDOS 2.0防护设备,具备单台300G的大流量清洗防御性能,从最早点对点防御,发展到现在的线防御,从而实现了行业云层面的防御。
北京安博通科技股份有限公司首席执行官苏长君表示,云计算环境中,从网元节点上安全能力需要以资源形式按需调度,所有安全策略和风险必须快速动态而且可视,否则很难实现落地的安全管理策略。安博通SPOS将可视化管理能力从硬件中抽象出来,真正作为服务部署到云端,实现虚拟化环境中的安全部署,真正跟解决方案融到一起,让安全设备和用户业务融到一个系统中,发生“化学反应”。
成都科来软件有限公司副总经理兼产品运营部总监李飞表示,科来全流量分析引擎好比案件系统,与传统特征匹配方式不同,是基于异常行为的检测。把所有网络流量进行全量存储,按需存储,用来记录事件原始过程,从而还原事件的真相。上海金电网安科技有限公司解决方案部经理何呈栩,北京圣博润高新技术股份有限公司常务副总经理兼研发中心负责人潘玉珣,新华三集团安全产品部总工程师何平,华为技术有限公司云计算高级咨询顾问王新军,中国最大的互联网开源技术社区开源中国的创始人,中国开源社区的布道者马越等也都分享了最新的技术和产品。
2016年10月20日,中国首届行业(私有)云安全技术论坛暨联盟成立仪式(简称PCSF)于北京万寿宾馆举行,大会就国际趋势、国内现状、等级保护制度、行业云趋势、合规落地、云安全威胁、云安全解决方案等几个部分进行了精彩分享。
等级保护制度进入2.0时代
前段时间,徐玉玉被电话诈骗骗走了近万元学费,伤心欲绝而心脏骤停,最后不幸离世。再次将公众的关注焦点汇集到了个人信息安全和个人数据保护问题上来。层出不穷的犯罪手段更是对网络安全提出了新的要求。
近年来随着国内外网络安全形势发展,网际空间已经成为继海、陆、空、天之后的第五空间,成为新形势下国家安全的重要领域之一。随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈组织化、复杂化和国际化的发展趋势。与此同时,随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。
2016年10月10日,第五届全国信息安全等级保护技术大会在云南昆明召开,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代,要构建“打防管控”一体化的网络安全综合防控体系,并全面开展信息通报预警工作,同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。
由公安部信息安全等级保护评估中心主导起草的《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》(以下简称:云等保标准)即将颁布执行,这是我国信息安全总体战略部署的重要一步。
2007年公安部就出台了《信息安全等级保护办法(试行)》,2009~2016年的大规模等保建设已经取得了可喜成绩。该政策施行多年,仍然存在一些问题,例如,管理部门多,行政效率差;执行团队缺乏经验,无从下手等。虽然与实际业务的结合存在诸多问题,但当时出台的《等级保护办法(试行)》已经为信息安全建设搭建了一个基本框架。
而此次即将出台的云等保标准已经走向成熟。但云等保标准的落地和实施,仍然存在诸多挑战。云等保标准针对云计算的特点,提出了部署在云计算环境下的重要信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算环境信息系统的安全建设和监督管理。云等保标准是由公安部发布的云安全等级保护标准文件,是目前在国内参照执行度最广泛的安全标准,为三大领域云计算安全建设提供了规范指引。因此,业内对云等保标准的出台充满了期待,但标准如何尽快务实落地,成为下阶段的核心挑战。
能力落地成关键
PCFA联盟成员单位涵盖信息安全领域的研究机构、测评机构、IT安全服务商、安全能力者、云平台提供商等。经过上午的闭门会议和高峰论坛,经过推选,行业(私有)云安全技术论坛暨联盟诞生了理事长、副理事长、秘书长以及理事单位等,确定了联盟的章程,明确了具体的工作方向、工作目标和工作任务以及工作机制,明确了工作组的基础是“务实”,“成果”和“干货”,并把其作为联盟的最终目标。希望具有实力和能力的社会机构企业“开放”自己专注的核心能力,加入联盟,汇聚智慧,为国家关键信息基础设施中的重要行业的行业(私有)云安全承载的重要公共服务,重要信息系统,重要关键设施提供有效与可用的“落地”成果,加强国际交流,研究趋势方向。
中国信息协会信息安全专业委员会副主任吴亚非在发言中指出,近年来随着国内外网络安全形势的发展,网际空间已成为第五空间,成为新形势下国家安全重要领域之一,尤其在威胁常态化的今天,重要行业纷纷建设行业私有云,安全是制约行业云发展的重要因素。在这样的背景下,中国信息协会信息安全专委会和公安部信息安全等保评估中心联合主办首届中国行业(私有)云安全PCSF论坛,希望通过论坛和联盟的形式,推动行业(私有)云安全关键技术以及标准的研究、应用和推广,在国家信息安全等保制度指导下,紧紧围绕行业用户需求及新技术特点,依托云等保标准,面向行业以及用户,就等保合规标准如何落地进行研讨。
公安部信息安全等级保护评估中心副主任张宇翔表示,在新形势下,新技术、新应用大量使用,信息安全从工作内容到监管对象都发生了变化。自然而言形成了大家对等保2.0的共识。张宇翔在发言中表示,很多行业都在思考如何进行云计算建设,安全可控是行业客户的底线。在等级保护2.0时代,面对威胁常态化,安全合规是基础,更需要创新,现实需要大家聚合在一起,利用各方的技术成果和服务能力为行业提供有效的云安全落地解决方案。PCSF联盟是开放,是包容的,目的是促进产业的互补。无论是传统的IT服务供应商,还是广大新型云服务供应商,无论是传统已经上市的网络安全界翘楚,还是默默正在埋头苦干做技术研究的网络安全技术提供者。本次大会希望共同推动在10月10日昆明举办的由公安部网络安全保卫局、中央网信办网络安全协调局、工信部网络安全管理局、国家密码管理局、国家保密局、中国科学院办公厅为指导单位和由公安部第三研究所主办的第五届全国信息安全等级保护技术大会上提出的进入等级保护制度2.0时代,共同推动等级保护关键技术的研发、应用以及解决新技术新应用安全问题,为深入推进落实国家信息安全等级保护制度发挥重要作用。
公安部网络保卫局总工程师郭启全表示,等保2.0的落实,不能靠喊口号、开大会、发文件,而是必须一起抓落实。等级保护已经进入到2.0时代,《网络安全法》即将出台,信息安全等级保护也要过渡到网络安全等级保护,法规明确要求国家实施等保制度。未来等级保护制度会把云平台、大数据、物联网、工控系统等等纳入到等保制度管理,公安部开始陆陆续续要出台一些政策和标准。 国家信息中心副主任周民表示,行业云的发展当前正面临着一个非常良好的机遇期。云计算技术是新技术,由于云的多租户特点,灵活配置扩容的特点,安全如何保障?公安部作为等保的主管单位,这些年来一直致力于云等保相关标准规范制定工作,国家信息中心也积极参与到国家云等保相关标准制定工作中。通过这些标准规范的制定,能够对云的发展起到保驾护航作用,希望通过本次论坛,大家一起在行业和行业之间,行业和企业之间进行相互的沟通与交流,能够进一步促进云计算技术在各行业的落地,进一步促进云安全等保的实施。
中国工程院院士沈昌祥表示,等级保护由1.0到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
公安部信息安全等级保护主任助理李明对即将发布的云等保标准进行了解读,他指出,在云计算环境下,云等保的对象依旧明确。云租户是计算和数据的最终责任者,其他服务提供者不能够分担云租户的安全管理责任。要分辨出控制边界和管理责任边界的不同。
国家信息中心电子政务外网办安全处处长邵国安表示,网络安全是动态的,是基于风险的管理,要基于实时检测、实时分析、态势感知等技术。网络安全核心是专业分析队伍和信息事件的共享,政务外网已设计战略目标,以国家、省、地三级建立信息共享和同省直通。希望今后通过行业(私有)云安全能力者联盟制定相应的标准规范,建立新技术的攻防研发生态。
工匠精神确保行业聚力
不管是云等保标准,还是行业云安全能力落地,都离不开系统集成商、产品提供商、评测机构、IT安全服务商的共同努力。正如公安部信息安全等级保护评估中心副主任张宇翔所说,只有服务供应商、产品供应商、技术能力提供商一起合力,才能够有机会为国家网络安全,为等保制度的落地做出更多的工作。比如等保2.0里有一个重要环节就是服务形态,产品形态都要发生相应变化。未来希望通过PCSF的努力,能够让行业用户有更好的选择。“比如国家信息中心的政务云是私有云,但是对部委用户来说又是公有云。所以在云平台的建设过程中有不同的形态,不同的组合,这过程当中业务的模式,技术的提供要站在用户角度更多思考,让用户有更多的选择。这就是我们成立这个联盟最根本的宗旨。”
本次论坛上,理事长吴亚非为首批联盟单位颁发了证书。PCSA联盟在中国信息协会信息安全专业委员会的领导下组织成立,是信息安全专业委员会的一个工作组。联盟的宗旨是致力于云安全关键技术及标准的研究、应用和推广,为各行业(私有)云建设提供安全咨询和解决方案;在国家信息安全等级保护制度的指导下,紧紧围绕行业用户需求及新技术特点,依托国家相关工程实验室进行标准的验证和落地,通过广泛吸纳行业云关键技术领域的生态组织,融汇联盟成员智慧,同时加强对网际空间发展的跟踪研判,加强国际安全产业交流,不断提升安全研究能力、技术研发能力与落地能力,为我国重要行业的关键基础设施网络安全领域贡献力量。
对此,联盟成员纷纷表示了自己的看法。太极计算机股份有限公司信息安全与自主可控战略业务本部副总经理郭峰认为,工匠精神是目前很多国内厂商所缺乏的。本次联盟更希望从研究机构、标准制定者、云平台提供商、安全能力者和IT服务商的优势和缺点,进行互补,借鉴互联网企业的迭代思维和互联网思维,专注打造核心能力,用工匠精神打造精品。在等保1.0过程当中做到了策略体系化,但并不持续。在安全管理标准化和防御体系方面还有进一步加强空间,他呼吁具有深厚安全技术积淀的企业能够开放安全能力,融合产业力量,真正的推动我国信息安全发展,形成真正适合我国信息安全行业(私有)云安全发展的落地解决方案。
在技术方面,中新网络信息安全股份有限公司副总经理金锴认为,目前移动设备成为DDoS攻击的最主要攻击源,且呈日益增大趋势,包括脉冲高频供给、短时瞬发等攻击,现有DDoS技术手段无法有效防御。会上中新正式发布的中新金盾DDOS 2.0防护设备,具备单台300G的大流量清洗防御性能,从最早点对点防御,发展到现在的线防御,从而实现了行业云层面的防御。
北京安博通科技股份有限公司首席执行官苏长君表示,云计算环境中,从网元节点上安全能力需要以资源形式按需调度,所有安全策略和风险必须快速动态而且可视,否则很难实现落地的安全管理策略。安博通SPOS将可视化管理能力从硬件中抽象出来,真正作为服务部署到云端,实现虚拟化环境中的安全部署,真正跟解决方案融到一起,让安全设备和用户业务融到一个系统中,发生“化学反应”。
成都科来软件有限公司副总经理兼产品运营部总监李飞表示,科来全流量分析引擎好比案件系统,与传统特征匹配方式不同,是基于异常行为的检测。把所有网络流量进行全量存储,按需存储,用来记录事件原始过程,从而还原事件的真相。上海金电网安科技有限公司解决方案部经理何呈栩,北京圣博润高新技术股份有限公司常务副总经理兼研发中心负责人潘玉珣,新华三集团安全产品部总工程师何平,华为技术有限公司云计算高级咨询顾问王新军,中国最大的互联网开源技术社区开源中国的创始人,中国开源社区的布道者马越等也都分享了最新的技术和产品。