深秋的北京,寒意渐浓。而在西三环外的万寿宾馆,一场关于信息安全等级保护的讨论却在如火如荼地进行。
在日前举办的中国首届行业(私有)云安全技术论坛暨联盟成立仪式上,行业(私有)云发展趋势、云安全关键技术、云计算信息安全等级保护(以下简称“云等保”)标准及落地实施等成为众多与会者热议的话题。
中国工程院院士沈昌祥表示,信息安全等级保护从1.0进入2.0时代是一种从被动防御向主动防御的转变。“依照新的等级保护制度,可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。”
行业云成为核心动力
目前,我国正值“十三五”开局时期。在全面深化改革的战略要求下,各行业都在依托“互联网+”“大数据”进行体制机制创新。其中,云计算在促进社会创新机制中扮演着重要角色,而行业(私有)云的发展升级将成为云计算市场发展的核心动力。
国家信息中心副主任周民表示,当前各行各业,尤其是一些金融行业、政府行业以及大的国有企业纷纷构建自己的云平台。“可以说,行业云的发展正面临着一个非常良好的机遇期。”
据介绍,相较于公有云,行业(私有)云可提供更加透明、可控的计算资源。尤其是行业(私有)云架构所具备的安全可控性高、应用稳定性好、软硬件扩展性高、管理过渡平滑、部署方式灵活等5大优势更能显著契合国内企业的需求。
调查显示,由于对系统安全性与可控性的关注,国内61.7%的企业更偏好使用行业(私有)云架构,2020年行业(私有)云将达到712亿元的市场规模。
同时,一些重要行业出于安全可控的因素,更倾向使用行业(私有)云架构。在国内运营商、金融与政府三大行业自身的内生驱动下,行业(私有)云市场将维持年化21%的高速增长率,成为加速云计算行业爆发的关键点。
第五空间面临新威胁
然而,随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈国际化、复杂化和组织化发展趋势。来自外部的入侵和攻击与内部的违规非法操作行为,正在频繁冲击着国家关键信息基础设施。
中国信息协会信息安全专业委员会副主任吴亚非提出,网络空间已成为继海、陆、空、天之后的第五空间,成为新形势下维护国家安全的重要领域之一。
与此同时,随着云计算、大数据、移动互联网、物联网等新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,对信息安全的威胁正变得更加智能化和复杂化。
云安全联盟则在今年年初发布的报告中列出了数据泄露、凭证被盗和身份验证如同虚设、系统漏洞利用、账户劫持等“十二大云安全威胁”。报告强调,云计算的共享特性和按需定制本质除了给企业带来价值和效率上的提升,也引入了新的安全风险和威胁。
推动云等保标准落地
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
公安部网络安全保卫局总工郭启全曾提出,在等保2.0时代,要构建“打防管控”一体化的网络安全综合防控体系,并全面开展信息通报预警工作,同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。
而为了应对云计算时代的网络安全威胁,原等保标准的主要起草单位——公安部信息安全等级保护评估中心开始牵头制定云计算安全相关的等保标准,其包括《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》和《云计算信息安全等级保护测评要求》。
首届中国行业(私有)云安全技术论坛正是为了推动云等保标准的务实落地而举办,吸纳了包括中新网安、安博通、科来在内的一批信息安全能力者企业的“行业(私有)云安全能力者联盟”(PCSA)也同期成立。由此,我国行业(私有)云安全建设在规范化轨道上加速发展。