近日,中國(guó)首屆行業(yè)(私有)云安全技術(shù)論壇暨聯(lián)盟成立儀式(簡(jiǎn)稱PCSF2016)于北京萬(wàn)壽賓館舉行,“務(wù)實(shí)”“落地”“干貨”“成果”“開(kāi)放”這些關(guān)鍵詞成為大會(huì)的主旋律,大會(huì)能夠容納大約700人的會(huì)場(chǎng)也滿滿當(dāng)當(dāng),還有很多人報(bào)名較晚,沒(méi)有辦法入場(chǎng)。大會(huì)組委會(huì)表示,確實(shí)出乎意料,近400多名的重要行業(yè)的政府、央企、電信、金融、電力、交通等客戶的和300多名行業(yè)人士的到場(chǎng),也確實(shí)反應(yīng)了這個(gè)領(lǐng)域大家都在關(guān)注。
上午的閉門會(huì)議和高峰論壇,重點(diǎn)由聯(lián)盟成員單位推選了聯(lián)盟的理事長(zhǎng)、副理事長(zhǎng)、秘書長(zhǎng)以及副理事單位等,確定了聯(lián)盟的章程,以及明確了具體的工作方向、工作目標(biāo)和工作任務(wù)以及工作機(jī)制,明確了工作組的基礎(chǔ)是“務(wù)實(shí)”,“成果”和“干貨“是聯(lián)盟最終的目標(biāo)。希望具有實(shí)力和能力的社會(huì)機(jī)構(gòu)企業(yè)“開(kāi)放”自己專注的核心能力,加入聯(lián)盟,匯聚智慧,為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施中的重要行業(yè)的行業(yè)(私有)云安全承載的的重要公共服務(wù),重要信息系統(tǒng),重要關(guān)鍵設(shè)施提供有效的可用的“落地”的成果,加強(qiáng)國(guó)際交流,研究趨勢(shì)方向。PCFA聯(lián)盟成員單位涵蓋信息安全領(lǐng)域的研究機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)、IT安全服務(wù)商、安全能力者、云平臺(tái)提供商、專業(yè)媒體。
下午主論壇,在“質(zhì)由新生,信仰共造”的主題下大會(huì)正式開(kāi)始,指導(dǎo)單位、主辦單位、承辦單位的和聯(lián)盟單位成員聚焦在共同的主題下,進(jìn)行國(guó)際趨勢(shì)、國(guó)內(nèi)現(xiàn)狀、等級(jí)保護(hù)制度、行業(yè)云趨勢(shì)、合規(guī)落地、云安全威脅、云安全解決方案等幾個(gè)部分進(jìn)行了精彩分享。
首先由主辦方中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)副主任吳亞非先生致辭,近年來(lái)隨著國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的發(fā)展,網(wǎng)際空間已成為第五空間,成為新形勢(shì)下國(guó)家安全重要領(lǐng)域之一,尤其在威脅常態(tài)化的今天,重要行業(yè)將建設(shè)行業(yè)私有云,安全是制約的行業(yè)云發(fā)展重要因素。在這樣的背景下,中國(guó)信息協(xié)會(huì)信息安全專委會(huì)和公安部信息安全等保評(píng)估中心聯(lián)合主辦首屆中國(guó)行業(yè)(私有)云安全PCSF論壇,希望通過(guò)論壇的和聯(lián)盟的形式,推動(dòng)行業(yè)(私有)云安全關(guān)鍵技術(shù)以及標(biāo)準(zhǔn)的研究、應(yīng)用和推廣,在國(guó)家信息安全等保制度指導(dǎo)下,緊緊圍繞行業(yè)用戶需求及新技術(shù)特點(diǎn),依托云等保標(biāo)準(zhǔn),面向行業(yè)以及用戶,就等保合規(guī)標(biāo)準(zhǔn)如何落地進(jìn)行研討。
公安部信息安全等級(jí)保護(hù)評(píng)估中心副主任張宇翔先生在致辭中提出四個(gè)要點(diǎn)。首先,聽(tīng)到看到很多重要行業(yè)用戶正在思考是究竟把現(xiàn)有業(yè)務(wù)直接上公有云,還是建立混合云,還是構(gòu)建私有云。其次,行業(yè)用戶需要自主可控、安全可靠的合規(guī)的行業(yè)云,不管哪一類的云,安全可控是行業(yè)客戶的底線。第三,主辦大會(huì)及推動(dòng)聯(lián)盟的目的,就是為落實(shí)國(guó)家等級(jí)保護(hù)制度,在等級(jí)保護(hù)2.0時(shí)代,面對(duì)威脅常態(tài)化,安全合規(guī)是基礎(chǔ),更需要?jiǎng)?chuàng)新,現(xiàn)實(shí)需要大家聚合在一起,利用各方的技術(shù)成果和服務(wù)能力為行業(yè)提供有效的云安全落地解決方案。第四,聯(lián)盟是開(kāi)放,是包容的,促進(jìn)產(chǎn)業(yè)的互補(bǔ)。無(wú)論是傳統(tǒng)的IT服務(wù)供應(yīng)商,還是廣大新型云服務(wù)供應(yīng)商,無(wú)論是傳統(tǒng)已經(jīng)上市的網(wǎng)絡(luò)安全的翹楚,還是默默正在埋頭苦干做技術(shù)研究的網(wǎng)絡(luò)安全技術(shù)提供者。本次大會(huì)希望共同推動(dòng)在10月10日昆明舉辦的由公安部網(wǎng)絡(luò)安全保衛(wèi)局、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局、工信部網(wǎng)絡(luò)安全管理局、國(guó)家密碼管理局、國(guó)家保密局、中國(guó)科學(xué)院辦公廳為指導(dǎo)單位和由公安部第三研究所主辦的第五屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)上提出的進(jìn)入等級(jí)保護(hù)制度2.0時(shí)代,共同推動(dòng)等級(jí)保護(hù)關(guān)鍵技術(shù)的研發(fā)、應(yīng)用以及解決新技術(shù)新應(yīng)用安全問(wèn)題,為深入推進(jìn)落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度發(fā)揮重要作用。也確實(shí)希望信息安全產(chǎn)業(yè)界能出現(xiàn)領(lǐng)先國(guó)際安全產(chǎn)業(yè)的獨(dú)角獸。
公安部網(wǎng)絡(luò)保衛(wèi)局總工程師郭啟全先生在致辭中指出,黨中央和總書記從來(lái)沒(méi)像今天這么重視網(wǎng)絡(luò)安全,我們不缺重大措施、政策、標(biāo)準(zhǔn)、制度,也不缺智慧和辦法,缺的是實(shí)實(shí)在在抓落實(shí)。光喊口號(hào)不行,開(kāi)大會(huì)、發(fā)文件也不夠,必須一起抓落實(shí)。等級(jí)保護(hù)已經(jīng)進(jìn)入到2.0時(shí)代,《網(wǎng)絡(luò)安全法》快出臺(tái)了,信息安全等級(jí)保護(hù)也要過(guò)渡到網(wǎng)絡(luò)安全等級(jí)保護(hù),法規(guī)明確要求國(guó)家實(shí)施等保制度。未來(lái)等級(jí)保護(hù)制度會(huì)把云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等等納入到等保制度管理,公安部開(kāi)始陸陸續(xù)續(xù)要出臺(tái)一些政策和標(biāo)準(zhǔn)。大家關(guān)心的云系統(tǒng)怎么定級(jí),如何保護(hù)?公安部相關(guān)部門從2014年6月份就開(kāi)始組織30多個(gè)單位,研究我們國(guó)家的新技術(shù)新應(yīng)用的等保標(biāo)準(zhǔn),陸陸續(xù)續(xù)就快出來(lái)了。我們一起要把等級(jí)保護(hù)2.0這個(gè)制度落實(shí)好。今天這樣一個(gè)專題研討會(huì)議很好,公安部支持;同時(shí)公安部支持企業(yè)以及產(chǎn)業(yè)發(fā)展。根據(jù)處理過(guò)的很多網(wǎng)絡(luò)案件,我們發(fā)現(xiàn)有許多內(nèi)鬼不斷竊取本行業(yè)數(shù)據(jù)出售。并且提到了廣為關(guān)注的徐玉玉案件。公安機(jī)關(guān)必須按照打防管控一體化的辦法,形成國(guó)家網(wǎng)絡(luò)安全綜合防御體系。公安部將組織大規(guī)模的培訓(xùn),要指導(dǎo)大家把平臺(tái)建好,把手中的網(wǎng)絡(luò)安全手段制造好,才能達(dá)到共同的安全目標(biāo),才能按照總書記要求把安全工作落實(shí)到位。
國(guó)家信息中心副主任周民先生在致辭中指出,日前總書記關(guān)于信息化方面講話中提到要建設(shè)全國(guó)一體化大數(shù)據(jù)中心,幾個(gè)核心元素,一個(gè)是數(shù)據(jù)中心,也就是傳統(tǒng)所說(shuō)的機(jī)房,一個(gè)是的云平臺(tái),大數(shù)據(jù)平臺(tái),以及支撐云平臺(tái)和大數(shù)據(jù)平臺(tái)運(yùn)行的相關(guān)的安全平臺(tái)。“十三五”規(guī)劃中,各行各業(yè),尤其是一些金融行業(yè)、政府行業(yè),以及大的國(guó)有企業(yè)也在紛紛構(gòu)建自己的云平臺(tái)?梢哉f(shuō)行業(yè)云的發(fā)展當(dāng)前正面臨著一個(gè)非常良好的機(jī)遇期。云計(jì)算技術(shù)是新技術(shù),由于云的多租戶的特點(diǎn),靈活配置擴(kuò)容的特點(diǎn),安全如何保障?公安部作為等保的主管單位,這些年來(lái)一直致力于云等保相關(guān)標(biāo)準(zhǔn)規(guī)范制定工作,國(guó)家信息中心也是積極參與到國(guó)家云等保相關(guān)標(biāo)準(zhǔn)制定工作中。通過(guò)這些標(biāo)準(zhǔn)規(guī)范的制定,能夠?qū)υ频陌l(fā)展起到比較好的保駕護(hù)航的作用,希望通過(guò)本次論壇,大家在一起行業(yè)和行業(yè)之間,行業(yè)和企業(yè)之間進(jìn)行相互的溝通與交流,能夠進(jìn)一步促進(jìn)云計(jì)算技術(shù)在各行業(yè)的落地,進(jìn)一步促進(jìn)云安全的等保的實(shí)施。
中國(guó)工程院院士沈昌祥在《等保制度的創(chuàng)新與發(fā)展》主題演講中,分析了我國(guó)等保制度發(fā)展過(guò)程,從借鑒到基于國(guó)情的制定,指出等保制度是要保護(hù)我們國(guó)家的網(wǎng)絡(luò)空間安全的,要抵御攻擊。也是適用于新型技術(shù)條件下的,等保制度是科學(xué)的,是創(chuàng)新的。最早確定了兩維(業(yè)務(wù)和系統(tǒng))來(lái)確定定級(jí),比國(guó)外的部件定級(jí)更為科學(xué)的。從現(xiàn)在看來(lái),又從兩維看云計(jì)算,大數(shù)據(jù),把系統(tǒng)搞清楚了在云計(jì)算中,如何明確等級(jí)保護(hù)定級(jí),原來(lái)的四點(diǎn)也是實(shí)用的,只是原來(lái)自己家家戶戶的計(jì)算中心由自己負(fù)責(zé),但是現(xiàn)在是兩家負(fù)責(zé),比如系統(tǒng)資源保證可信,這就是計(jì)算中心負(fù)責(zé)。應(yīng)用程序怎么運(yùn)行,業(yè)務(wù)信息怎么處理,還是由用戶自己制定策略,定義自己的角色,管理中心還是自己的。第三方審計(jì)進(jìn)行匯總,這可能出現(xiàn)糾紛扯皮。因此云計(jì)算環(huán)境下,可信支撐技術(shù)條件下,等級(jí)保護(hù)才能把家家戶戶應(yīng)用確保安全,順利完成計(jì)算任務(wù),等級(jí)保護(hù)從由1.0到2.0是被動(dòng)防御變成主動(dòng)防御的變化,以前被動(dòng)防御的,要求防火墻、殺病毒、IDS,要上升到了主動(dòng)防護(hù),我們要求高等級(jí)、三級(jí)以上不許超級(jí)用戶。依照等級(jí)保護(hù)制度可以做到整體防御、分區(qū)隔離;積極防護(hù)、內(nèi)外兼防;自身防御、主動(dòng)免疫;縱深防御、技管并重。
公安部信息安全等級(jí)保護(hù)的主任助理李明先生,圍繞“變”與“不變”兩個(gè)關(guān)鍵詞對(duì)即將發(fā)布的云等保標(biāo)準(zhǔn)進(jìn)行了研讀,使與會(huì)嘉賓對(duì)云安全的發(fā)展形勢(shì)和云等保標(biāo)準(zhǔn)的設(shè)計(jì)思路有了更加清晰的認(rèn)識(shí)。他指出,云計(jì)算很復(fù)雜,集成了很多技術(shù),但是并沒(méi)有神秘,不是一下跳到現(xiàn)在,等保依然是適用的。雖然云計(jì)算需要管理幾萬(wàn)臺(tái)設(shè)備,但是如果抽掉一些枝節(jié)發(fā)現(xiàn)結(jié)構(gòu)是很清楚的,云等保的對(duì)象是比較容易找的。只要抓住一點(diǎn),云租戶是計(jì)算和數(shù)據(jù)的最終責(zé)任者,其他人都是幫你的,但是不能夠分擔(dān)云租戶的安全管理責(zé)任?刂七吔绾凸芾碡(zé)任邊界是不等同的,控制邊界就在于在落實(shí)的時(shí)候責(zé)任的展現(xiàn)形式,落實(shí)的動(dòng)作形式是不一樣的。
論壇上行業(yè)(私有)云安全能力者聯(lián)盟(簡(jiǎn)稱PCSA)宣布成立,理事長(zhǎng)吳亞非為首批聯(lián)盟單位頒發(fā)了證書。PCSA在中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)的領(lǐng)導(dǎo)下組織成立,是信息安全專業(yè)委員會(huì)的一個(gè)工作組,由信息安全專業(yè)研究機(jī)構(gòu)、信息安全測(cè)評(píng)機(jī)構(gòu)、IT(安全)服務(wù)商、云安全產(chǎn)品及服務(wù)商、云平臺(tái)產(chǎn)品及服務(wù)商、信息安全媒體自愿結(jié)成的社會(huì)組織。聯(lián)盟的宗旨是致力于云安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)的研究、應(yīng)用和推廣,為各行業(yè)(私有)云建設(shè)提供安全咨詢和解決方案;在國(guó)家信息安全等級(jí)保護(hù)制度的指導(dǎo)下,緊緊圍繞行業(yè)用戶需求及新技術(shù)特點(diǎn),依托國(guó)家相關(guān)工程實(shí)驗(yàn)室進(jìn)行標(biāo)準(zhǔn)的驗(yàn)證和落地,通過(guò)廣泛吸納行業(yè)云關(guān)鍵技術(shù)領(lǐng)域的生態(tài)組織,融匯聯(lián)盟成員智慧,同時(shí)加強(qiáng)對(duì)網(wǎng)際空間發(fā)展的跟蹤研判,加強(qiáng)國(guó)際安全產(chǎn)業(yè)交流,不斷提升安全研究能力、技術(shù)研發(fā)能力與落地能力,為我國(guó)重要行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全領(lǐng)域貢獻(xiàn)力量。未來(lái),聯(lián)盟將吸納更多能力者企業(yè)。