近年來随着國内外網絡安全形勢發展,網際空間已經成為繼海、陸、空、天之後的第五空間,成為新形勢下國家安全的重要領域之一。随着“棱鏡門”事件的曝光,國與國之間的資訊安全對抗日益公開化,網際空間的安全威脅正逐漸呈組織化、複雜化和國際化的發展趨勢。與此同時,随着雲計算、大資料、移動網際網路、物聯網等這些新興it技術的發展與落地,傳統資訊安全的邊界越來越模糊,新的攻擊形态層出不窮,安全威脅呈現複雜常态化趨勢。
2016年10月10日,第五屆全國資訊安全等級保護技術大會在雲南昆明召開,公安部網絡安全保衛局郭啟全總工在“加快完善國家資訊安全等級保護制度,全力保衛關鍵資訊基礎設施安全”的發言中指出,國家對網絡安全等級保護制度提出了新的要求,等級保護制度已進入2.0時代,要建構“打防管控”一體化的網絡安全綜合防控體系,并全面開展資訊通報預警工作,同時要建立網絡安全重大漏洞隐患的監測發現和整改督辦機制。
由公安部資訊安全等級保護評估中心主導起草的《雲計算資訊安全等級保護基本要求》、《雲計算資訊安全等級保護安全設計技術要求》、《雲計算資訊安全等級保護測評要求》(簡稱:雲等保标準)即将頒布執行,這是我國資訊安全總體戰略部署的重要一步。
“雲等保标準”針對雲計算的特點,提出了部署在雲計算環境下的重要資訊系統安全等級保護的安全要求,其中包括技術要求和管理要求,适用于指導分等級的雲計算環境資訊系統的安全建設和監督管理。雲等保标準是由公安部釋出的雲安全等級保護标準檔案,是目前在國内參照執行度最廣泛的安全标準,為三大領域雲計算安全建設提供了規範指引。為此,業内對“雲等保标準”的出台充滿了期待,但标準如何盡快務實落地,成為下階段的核心挑戰。
2007年公安部就出台了《資訊安全等級保護辦法(公通字[2007]43号)》,該政策施行已經為資訊安全建設搭建了一個基本架構,伴随着雲計算等新技術、新應用的發展,新領域的“雲等保标準”即将出台,而“雲等保标準”的落地和實施,面臨諸多挑戰,是不容忽視的重要環節。
行業(私有)雲承載着保障國家關鍵基礎設施、重要資訊系統、重要公共服務這三大領域内重要組織穩定運作的職責,其安全關乎國計民生,是國家資訊安全格局的重要基石在國家重要行業資訊安全建設中,确實存在對防禦成熟度認知不足的問題,魔高一尺,道高一丈,不同的防禦成熟度存在不同級别的安全威脅,需要使用相應的資訊安全防禦手段應對威脅,國際上将安全防禦成熟度劃分為五個階段,目前行業(私有)雲安全已發展到第三階段。
首先,“雲等保标準”對責任主體、責任内容、評測對象等方面的規定都有所調整,對此需要重新了解。其次,安全與業務的貼合度問題。對于行業(私有)雲來說,合規是基礎,動态安全政策可視化是靈魂。随着雲計算、大資料、移動網際網路、物聯網等這些新興it技術的發展與落地,傳統資訊安全的邊界越來越模糊,新的攻擊形态層出不窮,像apt、ddos等網絡攻擊正變得更加智能化和複雜化,實作“安全業務化”和“安全能力整合化”,是“雲等保标準”落地推動的目标。
為應對上述挑戰,本次pscf論壇聚合成立了行業(私有)雲安全技術聯盟,聚合安全能力沉澱的服務商,具有重大現實意義。資訊安全産品、解決方案和服務團隊,需要對行業使用者業務需求、it部署政策具有深刻的了解,并在此基礎上擁有較強的研發創新能力,才能實作貼合業務的安全。使用者機關的it與安全人才儲備畢竟有限,更多還是要充分釋放服務商的能力和價值。一個堅持在資訊安全建設一線的服務商,通過持續研究,将技術洞察固化為研發與服務體系,可以有效消弭“雲等保标準”和業務現實需求之間的距離。發揮骨幹服務商的力量,也将進一步推動共建能力的基礎建設,保障體系的有效運作。雲服務安全可控性是系統化、多因素的問題,在我國尚無成熟經驗可遵循,應凝聚管理部門、黨政使用者、服務商、行業專家和第三方機構等多方智慧,經過實踐錘煉,共同夯實雲計算安全保障能力基礎,為行業(私有)雲安全管理體系的持續運作提供有力支撐。
為推動“雲等保标準”務實落地,由公安部資訊安全等級保護評估中心、中國資訊協會資訊安全專業委員會主辦的2016首屆中國行業(私有)雲安全技術論壇暨聯盟成立儀式(簡稱pcsf2016),将面向産業界和行業使用者機關針對“雲等保标準”的頒布進行預熱宣傳和産業力量動員。屆時,我國資訊安全産業的骨幹廠商與服務商将齊聚一堂,圍繞“推動雲等保标準務實落地”展開多角度的技術研讨,真知灼見令人期待。
本文轉自d1net(轉載)
![Nacos 2.0 更新前後性能對比壓測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)