文 | 本刊記者 石菲

等級(jí)保護(hù)2.0時(shí)代，PCSF護(hù)航行業(yè)云安全

文 | 本刊記者 石菲

信息安全等級(jí)保護(hù)已經(jīng)進(jìn)入到2.0時(shí)代，《網(wǎng)絡(luò)安全法》即將出臺(tái)，對(duì)于承載著保障國家關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)云來說，信息安全等級(jí)保護(hù)究竟該如何落實(shí)？

信息安全等級(jí)保護(hù)面臨升級(jí)，《網(wǎng)絡(luò)安全法》即將出臺(tái)，而行業(yè)（私有）云承載著保障國家關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)、重要公共服務(wù)這三大領(lǐng)域內(nèi)重要組織穩(wěn)定運(yùn)行的職責(zé)，其安全關(guān)乎國計(jì)民生，是國家信息安全格局的重要基石。新形勢(shì)下，如何確保行業(yè)云安全落地？成為很多人關(guān)心的問題。

2016年10月20日，中國首屆行業(yè)（私有）云安全技術(shù)論壇暨聯(lián)盟成立儀式（簡(jiǎn)稱PCSF）于北京萬壽賓館舉行，大會(huì)就國際趨勢(shì)、國內(nèi)現(xiàn)狀、等級(jí)保護(hù)制度、行業(yè)云趨勢(shì)、合規(guī)落地、云安全威脅、云安全解決方案等幾個(gè)部分進(jìn)行了精彩分享。

等級(jí)保護(hù)制度進(jìn)入2.0時(shí)代

前段時(shí)間，徐玉玉被電話詐騙騙走了近萬元學(xué)費(fèi)，傷心欲絕而心臟驟停，最后不幸離世。再次將公眾的關(guān)注焦點(diǎn)匯集到了個(gè)人信息安全和個(gè)人數(shù)據(jù)保護(hù)問題上來。層出不窮的犯罪手段更是對(duì)網(wǎng)絡(luò)安全提出了新的要求。

近年來隨著國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)發(fā)展，網(wǎng)際空間已經(jīng)成為繼海、陸、空、天之后的第五空間，成為新形勢(shì)下國家安全的重要領(lǐng)域之一。隨著“棱鏡門”事件的曝光，國與國之間的信息安全對(duì)抗日益公開化，網(wǎng)際空間的安全威脅正逐漸呈組織化、復(fù)雜化和國際化的發(fā)展趨勢(shì)。與此同時(shí)，隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等這些新興IT技術(shù)的發(fā)展與落地，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮，安全威脅呈現(xiàn)復(fù)雜常態(tài)化趨勢(shì)。

2016年10月10日，第五屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)在云南昆明召開，國家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代，要構(gòu)建“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系，并全面開展信息通報(bào)預(yù)警工作，同時(shí)要建立網(wǎng)絡(luò)安全重大漏洞隱患的監(jiān)測(cè)發(fā)現(xiàn)和整改督辦機(jī)制。

由公安部信息安全等級(jí)保護(hù)評(píng)估中心主導(dǎo)起草的《云計(jì)算信息安全等級(jí)保護(hù)基本要求》、《云計(jì)算信息安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《云計(jì)算信息安全等級(jí)保護(hù)測(cè)評(píng)要求》（以下簡(jiǎn)稱：云等保標(biāo)準(zhǔn)）即將頒布執(zhí)行，這是我國信息安全總體戰(zhàn)略部署的重要一步。

2007年公安部就出臺(tái)了《信息安全等級(jí)保護(hù)辦法（試行）》，2009～2016年的大規(guī)模等保建設(shè)已經(jīng)取得了可喜成績(jī)。該政策施行多年，仍然存在一些問題，例如，管理部門多，行政效率差；執(zhí)行團(tuán)隊(duì)缺乏經(jīng)驗(yàn)，無從下手等。雖然與實(shí)際業(yè)務(wù)的結(jié)合存在諸多問題，但當(dāng)時(shí)出臺(tái)的《等級(jí)保護(hù)辦法（試行）》已經(jīng)為信息安全建設(shè)搭建了一個(gè)基本框架。

而此次即將出臺(tái)的云等保標(biāo)準(zhǔn)已經(jīng)走向成熟。但云等保標(biāo)準(zhǔn)的落地和實(shí)施，仍然存在諸多挑戰(zhàn)。云等保標(biāo)準(zhǔn)針對(duì)云計(jì)算的特點(diǎn)，提出了部署在云計(jì)算環(huán)境下的重要信息系統(tǒng)安全等級(jí)保護(hù)的安全要求，其中包括技術(shù)要求和管理要求，適用于指導(dǎo)分等級(jí)的云計(jì)算環(huán)境信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。云等保標(biāo)準(zhǔn)是由公安部發(fā)布的云安全等級(jí)保護(hù)標(biāo)準(zhǔn)文件，是目前在國內(nèi)參照?qǐng)?zhí)行度最廣泛的安全標(biāo)準(zhǔn)，為三大領(lǐng)域云計(jì)算安全建設(shè)提供了規(guī)范指引。因此，業(yè)內(nèi)對(duì)云等保標(biāo)準(zhǔn)的出臺(tái)充滿了期待，但標(biāo)準(zhǔn)如何盡快務(wù)實(shí)落地，成為下階段的核心挑戰(zhàn)。

能力落地成關(guān)鍵

PCFA聯(lián)盟成員單位涵蓋信息安全領(lǐng)域的研究機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)、IT安全服務(wù)商、安全能力者、云平臺(tái)提供商等。經(jīng)過上午的閉門會(huì)議和高峰論壇，經(jīng)過推選，行業(yè)（私有）云安全技術(shù)論壇暨聯(lián)盟誕生了理事長、副理事長、秘書長以及理事單位等，確定了聯(lián)盟的章程，明確了具體的工作方向、工作目標(biāo)和工作任務(wù)以及工作機(jī)制，明確了工作組的基礎(chǔ)是“務(wù)實(shí)”，“成果”和“干貨”，并把其作為聯(lián)盟的最終目標(biāo)。希望具有實(shí)力和能力的社會(huì)機(jī)構(gòu)企業(yè)“開放”自己專注的核心能力，加入聯(lián)盟，匯聚智慧，為國家關(guān)鍵信息基礎(chǔ)設(shè)施中的重要行業(yè)的行業(yè)（私有）云安全承載的重要公共服務(wù)，重要信息系統(tǒng)，重要關(guān)鍵設(shè)施提供有效與可用的“落地”成果，加強(qiáng)國際交流，研究趨勢(shì)方向。

中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)副主任吳亞非在發(fā)言中指出，近年來隨著國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，網(wǎng)際空間已成為第五空間，成為新形勢(shì)下國家安全重要領(lǐng)域之一，尤其在威脅常態(tài)化的今天，重要行業(yè)紛紛建設(shè)行業(yè)私有云，安全是制約行業(yè)云發(fā)展的重要因素。在這樣的背景下，中國信息協(xié)會(huì)信息安全專委會(huì)和公安部信息安全等保評(píng)估中心聯(lián)合主辦首屆中國行業(yè)（私有）云安全PCSF論壇，希望通過論壇和聯(lián)盟的形式，推動(dòng)行業(yè)（私有）云安全關(guān)鍵技術(shù)以及標(biāo)準(zhǔn)的研究、應(yīng)用和推廣，在國家信息安全等保制度指導(dǎo)下，緊緊圍繞行業(yè)用戶需求及新技術(shù)特點(diǎn)，依托云等保標(biāo)準(zhǔn)，面向行業(yè)以及用戶，就等保合規(guī)標(biāo)準(zhǔn)如何落地進(jìn)行研討。

公安部信息安全等級(jí)保護(hù)評(píng)估中心副主任張宇翔表示，在新形勢(shì)下，新技術(shù)、新應(yīng)用大量使用，信息安全從工作內(nèi)容到監(jiān)管對(duì)象都發(fā)生了變化。自然而言形成了大家對(duì)等保2.0的共識(shí)。張宇翔在發(fā)言中表示，很多行業(yè)都在思考如何進(jìn)行云計(jì)算建設(shè)，安全可控是行業(yè)客戶的底線。在等級(jí)保護(hù)2.0時(shí)代，面對(duì)威脅常態(tài)化，安全合規(guī)是基礎(chǔ)，更需要?jiǎng)?chuàng)新，現(xiàn)實(shí)需要大家聚合在一起，利用各方的技術(shù)成果和服務(wù)能力為行業(yè)提供有效的云安全落地解決方案。PCSF聯(lián)盟是開放，是包容的，目的是促進(jìn)產(chǎn)業(yè)的互補(bǔ)。無論是傳統(tǒng)的IT服務(wù)供應(yīng)商，還是廣大新型云服務(wù)供應(yīng)商，無論是傳統(tǒng)已經(jīng)上市的網(wǎng)絡(luò)安全界翹楚，還是默默正在埋頭苦干做技術(shù)研究的網(wǎng)絡(luò)安全技術(shù)提供者。本次大會(huì)希望共同推動(dòng)在10月10日昆明舉辦的由公安部網(wǎng)絡(luò)安全保衛(wèi)局、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局、工信部網(wǎng)絡(luò)安全管理局、國家密碼管理局、國家保密局、中國科學(xué)院辦公廳為指導(dǎo)單位和由公安部第三研究所主辦的第五屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)上提出的進(jìn)入等級(jí)保護(hù)制度2.0時(shí)代，共同推動(dòng)等級(jí)保護(hù)關(guān)鍵技術(shù)的研發(fā)、應(yīng)用以及解決新技術(shù)新應(yīng)用安全問題，為深入推進(jìn)落實(shí)國家信息安全等級(jí)保護(hù)制度發(fā)揮重要作用。

公安部網(wǎng)絡(luò)保衛(wèi)局總工程師郭啟全表示，等保2.0的落實(shí)，不能靠喊口號(hào)、開大會(huì)、發(fā)文件，而是必須一起抓落實(shí)。等級(jí)保護(hù)已經(jīng)進(jìn)入到2.0時(shí)代，《網(wǎng)絡(luò)安全法》即將出臺(tái)，信息安全等級(jí)保護(hù)也要過渡到網(wǎng)絡(luò)安全等級(jí)保護(hù)，法規(guī)明確要求國家實(shí)施等保制度。未來等級(jí)保護(hù)制度會(huì)把云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等等納入到等保制度管理，公安部開始陸陸續(xù)續(xù)要出臺(tái)一些政策和標(biāo)準(zhǔn)。

國家信息中心副主任周民表示，行業(yè)云的發(fā)展當(dāng)前正面臨著一個(gè)非常良好的機(jī)遇期。云計(jì)算技術(shù)是新技術(shù)，由于云的多租戶特點(diǎn)，靈活配置擴(kuò)容的特點(diǎn)，安全如何保障？公安部作為等保的主管單位，這些年來一直致力于云等保相關(guān)標(biāo)準(zhǔn)規(guī)范制定工作，國家信息中心也積極參與到國家云等保相關(guān)標(biāo)準(zhǔn)制定工作中。通過這些標(biāo)準(zhǔn)規(guī)范的制定，能夠?qū)υ频陌l(fā)展起到保駕護(hù)航作用，希望通過本次論壇，大家一起在行業(yè)和行業(yè)之間，行業(yè)和企業(yè)之間進(jìn)行相互的溝通與交流，能夠進(jìn)一步促進(jìn)云計(jì)算技術(shù)在各行業(yè)的落地，進(jìn)一步促進(jìn)云安全等保的實(shí)施。

中國工程院院士沈昌祥表示，等級(jí)保護(hù)由1.0到2.0是被動(dòng)防御變成主動(dòng)防御的變化，依照等級(jí)保護(hù)制度可以做到整體防御、分區(qū)隔離；積極防護(hù)、內(nèi)外兼防；自身防御、主動(dòng)免疫；縱深防御、技管并重。

公安部信息安全等級(jí)保護(hù)主任助理李明對(duì)即將發(fā)布的云等保標(biāo)準(zhǔn)進(jìn)行了解讀，他指出，在云計(jì)算環(huán)境下，云等保的對(duì)象依舊明確。云租戶是計(jì)算和數(shù)據(jù)的最終責(zé)任者，其他服務(wù)提供者不能夠分擔(dān)云租戶的安全管理責(zé)任。要分辨出控制邊界和管理責(zé)任邊界的不同。

國家信息中心電子政務(wù)外網(wǎng)辦安全處處長邵國安表示，網(wǎng)絡(luò)安全是動(dòng)態(tài)的，是基于風(fēng)險(xiǎn)的管理，要基于實(shí)時(shí)檢測(cè)、實(shí)時(shí)分析、態(tài)勢(shì)感知等技術(shù)。網(wǎng)絡(luò)安全核心是專業(yè)分析隊(duì)伍和信息事件的共享，政務(wù)外網(wǎng)已設(shè)計(jì)戰(zhàn)略目標(biāo)，以國家、省、地三級(jí)建立信息共享和同省直通。希望今后通過行業(yè)（私有）云安全能力者聯(lián)盟制定相應(yīng)的標(biāo)準(zhǔn)規(guī)范，建立新技術(shù)的攻防研發(fā)生態(tài)。

工匠精神確保行業(yè)聚力

不管是云等保標(biāo)準(zhǔn)，還是行業(yè)云安全能力落地，都離不開系統(tǒng)集成商、產(chǎn)品提供商、評(píng)測(cè)機(jī)構(gòu)、IT安全服務(wù)商的共同努力。正如公安部信息安全等級(jí)保護(hù)評(píng)估中心副主任張宇翔所說，只有服務(wù)供應(yīng)商、產(chǎn)品供應(yīng)商、技術(shù)能力提供商一起合力，才能夠有機(jī)會(huì)為國家網(wǎng)絡(luò)安全，為等保制度的落地做出更多的工作。比如等保2.0里有一個(gè)重要環(huán)節(jié)就是服務(wù)形態(tài)，產(chǎn)品形態(tài)都要發(fā)生相應(yīng)變化。未來希望通過PCSF的努力，能夠讓行業(yè)用戶有更好的選擇?！氨热鐕倚畔⒅行牡恼?wù)云是私有云，但是對(duì)部委用戶來說又是公有云。所以在云平臺(tái)的建設(shè)過程中有不同的形態(tài)，不同的組合，這過程當(dāng)中業(yè)務(wù)的模式，技術(shù)的提供要站在用戶角度更多思考，讓用戶有更多的選擇。這就是我們成立這個(gè)聯(lián)盟最根本的宗旨?！?/p>

本次論壇上，理事長吳亞非為首批聯(lián)盟單位頒發(fā)了證書。PCSA聯(lián)盟在中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)的領(lǐng)導(dǎo)下組織成立，是信息安全專業(yè)委員會(huì)的一個(gè)工作組。聯(lián)盟的宗旨是致力于云安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)的研究、應(yīng)用和推廣，為各行業(yè)（私有）云建設(shè)提供安全咨詢和解決方案；在國家信息安全等級(jí)保護(hù)制度的指導(dǎo)下，緊緊圍繞行業(yè)用戶需求及新技術(shù)特點(diǎn)，依托國家相關(guān)工程實(shí)驗(yàn)室進(jìn)行標(biāo)準(zhǔn)的驗(yàn)證和落地，通過廣泛吸納行業(yè)云關(guān)鍵技術(shù)領(lǐng)域的生態(tài)組織，融匯聯(lián)盟成員智慧，同時(shí)加強(qiáng)對(duì)網(wǎng)際空間發(fā)展的跟蹤研判，加強(qiáng)國際安全產(chǎn)業(yè)交流，不斷提升安全研究能力、技術(shù)研發(fā)能力與落地能力，為我國重要行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全領(lǐng)域貢獻(xiàn)力量。

對(duì)此，聯(lián)盟成員紛紛表示了自己的看法。太極計(jì)算機(jī)股份有限公司信息安全與自主可控戰(zhàn)略業(yè)務(wù)本部副總經(jīng)理郭峰認(rèn)為，工匠精神是目前很多國內(nèi)廠商所缺乏的。本次聯(lián)盟更希望從研究機(jī)構(gòu)、標(biāo)準(zhǔn)制定者、云平臺(tái)提供商、安全能力者和IT服務(wù)商的優(yōu)勢(shì)和缺點(diǎn)，進(jìn)行互補(bǔ)，借鑒互聯(lián)網(wǎng)企業(yè)的迭代思維和互聯(lián)網(wǎng)思維，專注打造核心能力，用工匠精神打造精品。在等保1.0過程當(dāng)中做到了策略體系化，但并不持續(xù)。在安全管理標(biāo)準(zhǔn)化和防御體系方面還有進(jìn)一步加強(qiáng)空間，他呼吁具有深厚安全技術(shù)積淀的企業(yè)能夠開放安全能力，融合產(chǎn)業(yè)力量，真正的推動(dòng)我國信息安全發(fā)展，形成真正適合我國信息安全行業(yè)（私有）云安全發(fā)展的落地解決方案。

在技術(shù)方面，中新網(wǎng)絡(luò)信息安全股份有限公司副總經(jīng)理金鍇認(rèn)為，目前移動(dòng)設(shè)備成為DDoS攻擊的最主要攻擊源，且呈日益增大趨勢(shì)，包括脈沖高頻供給、短時(shí)瞬發(fā)等攻擊，現(xiàn)有DDoS技術(shù)手段無法有效防御。會(huì)上中新正式發(fā)布的中新金盾DDOS 2.0防護(hù)設(shè)備，具備單臺(tái)300G的大流量清洗防御性能，從最早點(diǎn)對(duì)點(diǎn)防御，發(fā)展到現(xiàn)在的線防御，從而實(shí)現(xiàn)了行業(yè)云層面的防御。

北京安博通科技股份有限公司首席執(zhí)行官蘇長君表示，云計(jì)算環(huán)境中，從網(wǎng)元節(jié)點(diǎn)上安全能力需要以資源形式按需調(diào)度，所有安全策略和風(fēng)險(xiǎn)必須快速動(dòng)態(tài)而且可視，否則很難實(shí)現(xiàn)落地的安全管理策略。安博通SPOS將可視化管理能力從硬件中抽象出來，真正作為服務(wù)部署到云端，實(shí)現(xiàn)虛擬化環(huán)境中的安全部署，真正跟解決方案融到一起，讓安全設(shè)備和用戶業(yè)務(wù)融到一個(gè)系統(tǒng)中，發(fā)生“化學(xué)反應(yīng)”。

成都科來軟件有限公司副總經(jīng)理兼產(chǎn)品運(yùn)營部總監(jiān)李飛表示，科來全流量分析引擎好比案件系統(tǒng)，與傳統(tǒng)特征匹配方式不同，是基于異常行為的檢測(cè)。把所有網(wǎng)絡(luò)流量進(jìn)行全量存儲(chǔ)，按需存儲(chǔ)，用來記錄事件原始過程，從而還原事件的真相。上海金電網(wǎng)安科技有限公司解決方案部經(jīng)理何呈栩，北京圣博潤高新技術(shù)股份有限公司常務(wù)副總經(jīng)理兼研發(fā)中心負(fù)責(zé)人潘玉珣，新華三集團(tuán)安全產(chǎn)品部總工程師何平，華為技術(shù)有限公司云計(jì)算高級(jí)咨詢顧問王新軍，中國最大的互聯(lián)網(wǎng)開源技術(shù)社區(qū)開源中國的創(chuàng)始人，中國開源社區(qū)的布道者馬越等也都分享了最新的技術(shù)和產(chǎn)品。