2016年10月10日����,第五屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)在云南昆明召開�,公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工在“加快完善國家信息安全等級(jí)保護(hù)制度����,全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全”的發(fā)言中指出�����,國家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求����,等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代����,要構(gòu)建“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系,并全面開展信息通報(bào)預(yù)警工作�����,同時(shí)要建立網(wǎng)絡(luò)安全重大漏洞隱患的監(jiān)測發(fā)現(xiàn)和整改督辦機(jī)制�����。
由公安部信息安全等級(jí)保護(hù)評(píng)估中心主導(dǎo)起草的《云計(jì)算信息安全等級(jí)保護(hù)基本要求》�����、《云計(jì)算信息安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》��、《云計(jì)算信息安全等級(jí)保護(hù)測評(píng)要求》(簡稱:云等保標(biāo)準(zhǔn))即將頒布執(zhí)行,這是我國信息安全總體戰(zhàn)略部署的重要一步��。
“云等保標(biāo)準(zhǔn)”針對(duì)云計(jì)算的特點(diǎn)�,提出了部署在云計(jì)算環(huán)境下的重要信息系統(tǒng)安全等級(jí)保護(hù)的安全要求,其中包括技術(shù)要求和管理要求�����,適用于指導(dǎo)分等級(jí)的云計(jì)算環(huán)境信息系統(tǒng)的安全建設(shè)和監(jiān)督管理���。云等保標(biāo)準(zhǔn)是由公安部發(fā)布的云安全等級(jí)保護(hù)標(biāo)準(zhǔn)文件,是目前在國內(nèi)參照?qǐng)?zhí)行度最廣泛的安全標(biāo)準(zhǔn)�,為三大領(lǐng)域云計(jì)算安全建設(shè)提供了規(guī)范指引。為此����,業(yè)內(nèi)對(duì)“云等保標(biāo)準(zhǔn)”的出臺(tái)充滿了期待,但標(biāo)準(zhǔn)如何盡快務(wù)實(shí)落地�����,成為下階段的核心挑戰(zhàn)�����。
2007年公安部就出臺(tái)了《信息安全等級(jí)保護(hù)辦法(公通字[2007]43號(hào))》,該政策施行已經(jīng)為信息安全建設(shè)搭建了一個(gè)基本框架�,伴隨著云計(jì)算等新技術(shù)、新應(yīng)用的發(fā)展�,新領(lǐng)域的“云等保標(biāo)準(zhǔn)”即將出臺(tái),而“云等保標(biāo)準(zhǔn)”的落地和實(shí)施��,面臨諸多挑戰(zhàn)�����,是不容忽視的重要環(huán)節(jié)�。
行業(yè)(私有)云承載著保障國家關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)����、重要公共服務(wù)這三大領(lǐng)域內(nèi)重要組織穩(wěn)定運(yùn)行的職責(zé),其安全關(guān)乎國計(jì)民生���,是國家信息安全格局的重要基石在國家重要行業(yè)信息安全建設(shè)中��,確實(shí)存在對(duì)防御成熟度認(rèn)知不足的問題��,魔高一尺���,道高一丈���,不同的防御成熟度存在不同級(jí)別的安全威脅,需要使用相應(yīng)的信息安全防御手段應(yīng)對(duì)威脅�,國際上將安全防御成熟度劃分為五個(gè)階段,目前行業(yè)(私有)云安全已發(fā)展到第三階段����。
首先,“云等保標(biāo)準(zhǔn)”對(duì)責(zé)任主體���、責(zé)任內(nèi)容��、評(píng)測對(duì)象等方面的規(guī)定都有所調(diào)整,對(duì)此需要重新理解���。其次�����,安全與業(yè)務(wù)的貼合度問題��。對(duì)于行業(yè)(私有)云來說����,合規(guī)是基礎(chǔ),動(dòng)態(tài)安全策略可視化是靈魂����。隨著云計(jì)算、大數(shù)據(jù)�����、移動(dòng)互聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)等這些新興IT技術(shù)的發(fā)展與落地�����,傳統(tǒng)信息安全的邊界越來越模糊�����,新的攻擊形態(tài)層出不窮����,像APT、DDoS等網(wǎng)絡(luò)攻擊正變得更加智能化和復(fù)雜化�����,實(shí)現(xiàn)“安全業(yè)務(wù)化”和“安全能力整合化”,是“云等保標(biāo)準(zhǔn)”落地推動(dòng)的目標(biāo)�����。
為應(yīng)對(duì)上述挑戰(zhàn)���,本次PSCF論壇聚合成立了行業(yè)(私有)云安全技術(shù)聯(lián)盟���,聚合安全能力沉淀的服務(wù)商,具有重大現(xiàn)實(shí)意義����。信息安全產(chǎn)品�����、解決方案和服務(wù)團(tuán)隊(duì)����,需要對(duì)行業(yè)用戶業(yè)務(wù)需求、IT部署策略具有深刻的理解�,并在此基礎(chǔ)上擁有較強(qiáng)的研發(fā)創(chuàng)新能力��,才能實(shí)現(xiàn)貼合業(yè)務(wù)的安全�����。用戶單位的IT與安全人才儲(chǔ)備畢竟有限��,更多還是要充分釋放服務(wù)商的能力和價(jià)值�����。一個(gè)堅(jiān)持在信息安全建設(shè)一線的服務(wù)商�����,通過持續(xù)研究���,將技術(shù)洞察固化為研發(fā)與服務(wù)體系,可以有效消弭“云等保標(biāo)準(zhǔn)”和業(yè)務(wù)現(xiàn)實(shí)需求之間的距離�����。發(fā)揮骨干服務(wù)商的力量�,也將進(jìn)一步推動(dòng)共建能力的基礎(chǔ)建設(shè),保障體系的有效運(yùn)行�。云服務(wù)安全可控性是系統(tǒng)化�����、多因素的問題���,在我國尚無成熟經(jīng)驗(yàn)可遵循,應(yīng)凝聚管理部門�����、黨政用戶�����、服務(wù)商����、行業(yè)專家和第三方機(jī)構(gòu)等多方智慧,經(jīng)過實(shí)踐錘煉����,共同夯實(shí)云計(jì)算安全保障能力基礎(chǔ)�,為行業(yè)(私有)云安全管理體系的持續(xù)運(yùn)行提供有力支撐。
為推動(dòng)“云等保標(biāo)準(zhǔn)”務(wù)實(shí)落地�,由公安部信息安全等級(jí)保護(hù)評(píng)估中心�、中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)主辦的2016首屆中國行業(yè)(私有)云安全技術(shù)論壇暨聯(lián)盟成立儀式(簡稱PCSF2016)�����,將面向產(chǎn)業(yè)界和行業(yè)用戶單位針對(duì)“云等保標(biāo)準(zhǔn)”的頒布進(jìn)行預(yù)熱宣傳和產(chǎn)業(yè)力量動(dòng)員�����。屆時(shí)�����,我國信息安全產(chǎn)業(yè)的骨干廠商與服務(wù)商將齊聚一堂�����,圍繞“推動(dòng)云等保標(biāo)準(zhǔn)務(wù)實(shí)落地”展開多角度的技術(shù)研討����,真知灼見令人期待。
