文 | 本刊記者 石菲

等級保護2.0時代，PCSF護航行業(yè)云安全

文 | 本刊記者 石菲

信息安全等級保護已經(jīng)進入到2.0時代，《網(wǎng)絡安全法》即將出臺，對于承載著保障國家關鍵基礎設施的行業(yè)云來說，信息安全等級保護究竟該如何落實？

信息安全等級保護面臨升級，《網(wǎng)絡安全法》即將出臺，而行業(yè)（私有）云承載著保障國家關鍵基礎設施、重要信息系統(tǒng)、重要公共服務這三大領域內重要組織穩(wěn)定運行的職責，其安全關乎國計民生，是國家信息安全格局的重要基石。新形勢下，如何確保行業(yè)云安全落地？成為很多人關心的問題。

2016年10月20日，中國首屆行業(yè)（私有）云安全技術論壇暨聯(lián)盟成立儀式（簡稱PCSF）于北京萬壽賓館舉行，大會就國際趨勢、國內現(xiàn)狀、等級保護制度、行業(yè)云趨勢、合規(guī)落地、云安全威脅、云安全解決方案等幾個部分進行了精彩分享。

等級保護制度進入2.0時代

前段時間，徐玉玉被電話詐騙騙走了近萬元學費，傷心欲絕而心臟驟停，最后不幸離世。再次將公眾的關注焦點匯集到了個人信息安全和個人數(shù)據(jù)保護問題上來。層出不窮的犯罪手段更是對網(wǎng)絡安全提出了新的要求。

近年來隨著國內外網(wǎng)絡安全形勢發(fā)展，網(wǎng)際空間已經(jīng)成為繼海、陸、空、天之后的第五空間，成為新形勢下國家安全的重要領域之一。隨著“棱鏡門”事件的曝光，國與國之間的信息安全對抗日益公開化，網(wǎng)際空間的安全威脅正逐漸呈組織化、復雜化和國際化的發(fā)展趨勢。與此同時，隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等這些新興IT技術的發(fā)展與落地，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮，安全威脅呈現(xiàn)復雜常態(tài)化趨勢。

2016年10月10日，第五屆全國信息安全等級保護技術大會在云南昆明召開，國家對網(wǎng)絡安全等級保護制度提出了新的要求，等級保護制度已進入2.0時代，要構建“打防管控”一體化的網(wǎng)絡安全綜合防控體系，并全面開展信息通報預警工作，同時要建立網(wǎng)絡安全重大漏洞隱患的監(jiān)測發(fā)現(xiàn)和整改督辦機制。

由公安部信息安全等級保護評估中心主導起草的《云計算信息安全等級保護基本要求》、《云計算信息安全等級保護安全設計技術要求》、《云計算信息安全等級保護測評要求》（以下簡稱：云等保標準）即將頒布執(zhí)行，這是我國信息安全總體戰(zhàn)略部署的重要一步。

2007年公安部就出臺了《信息安全等級保護辦法（試行）》，2009～2016年的大規(guī)模等保建設已經(jīng)取得了可喜成績。該政策施行多年，仍然存在一些問題，例如，管理部門多，行政效率差；執(zhí)行團隊缺乏經(jīng)驗，無從下手等。雖然與實際業(yè)務的結合存在諸多問題，但當時出臺的《等級保護辦法（試行）》已經(jīng)為信息安全建設搭建了一個基本框架。

而此次即將出臺的云等保標準已經(jīng)走向成熟。但云等保標準的落地和實施，仍然存在諸多挑戰(zhàn)。云等保標準針對云計算的特點，提出了部署在云計算環(huán)境下的重要信息系統(tǒng)安全等級保護的安全要求，其中包括技術要求和管理要求，適用于指導分等級的云計算環(huán)境信息系統(tǒng)的安全建設和監(jiān)督管理。云等保標準是由公安部發(fā)布的云安全等級保護標準文件，是目前在國內參照執(zhí)行度最廣泛的安全標準，為三大領域云計算安全建設提供了規(guī)范指引。因此，業(yè)內對云等保標準的出臺充滿了期待，但標準如何盡快務實落地，成為下階段的核心挑戰(zhàn)。

能力落地成關鍵

PCFA聯(lián)盟成員單位涵蓋信息安全領域的研究機構、測評機構、IT安全服務商、安全能力者、云平臺提供商等。經(jīng)過上午的閉門會議和高峰論壇，經(jīng)過推選，行業(yè)（私有）云安全技術論壇暨聯(lián)盟誕生了理事長、副理事長、秘書長以及理事單位等，確定了聯(lián)盟的章程，明確了具體的工作方向、工作目標和工作任務以及工作機制，明確了工作組的基礎是“務實”，“成果”和“干貨”，并把其作為聯(lián)盟的最終目標。希望具有實力和能力的社會機構企業(yè)“開放”自己專注的核心能力，加入聯(lián)盟，匯聚智慧，為國家關鍵信息基礎設施中的重要行業(yè)的行業(yè)（私有）云安全承載的重要公共服務，重要信息系統(tǒng)，重要關鍵設施提供有效與可用的“落地”成果，加強國際交流，研究趨勢方向。

中國信息協(xié)會信息安全專業(yè)委員會副主任吳亞非在發(fā)言中指出，近年來隨著國內外網(wǎng)絡安全形勢的發(fā)展，網(wǎng)際空間已成為第五空間，成為新形勢下國家安全重要領域之一，尤其在威脅常態(tài)化的今天，重要行業(yè)紛紛建設行業(yè)私有云，安全是制約行業(yè)云發(fā)展的重要因素。在這樣的背景下，中國信息協(xié)會信息安全專委會和公安部信息安全等保評估中心聯(lián)合主辦首屆中國行業(yè)（私有）云安全PCSF論壇，希望通過論壇和聯(lián)盟的形式，推動行業(yè)（私有）云安全關鍵技術以及標準的研究、應用和推廣，在國家信息安全等保制度指導下，緊緊圍繞行業(yè)用戶需求及新技術特點，依托云等保標準，面向行業(yè)以及用戶，就等保合規(guī)標準如何落地進行研討。

公安部信息安全等級保護評估中心副主任張宇翔表示，在新形勢下，新技術、新應用大量使用，信息安全從工作內容到監(jiān)管對象都發(fā)生了變化。自然而言形成了大家對等保2.0的共識。張宇翔在發(fā)言中表示，很多行業(yè)都在思考如何進行云計算建設，安全可控是行業(yè)客戶的底線。在等級保護2.0時代，面對威脅常態(tài)化，安全合規(guī)是基礎，更需要創(chuàng)新，現(xiàn)實需要大家聚合在一起，利用各方的技術成果和服務能力為行業(yè)提供有效的云安全落地解決方案。PCSF聯(lián)盟是開放，是包容的，目的是促進產(chǎn)業(yè)的互補。無論是傳統(tǒng)的IT服務供應商，還是廣大新型云服務供應商，無論是傳統(tǒng)已經(jīng)上市的網(wǎng)絡安全界翹楚，還是默默正在埋頭苦干做技術研究的網(wǎng)絡安全技術提供者。本次大會希望共同推動在10月10日昆明舉辦的由公安部網(wǎng)絡安全保衛(wèi)局、中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局、工信部網(wǎng)絡安全管理局、國家密碼管理局、國家保密局、中國科學院辦公廳為指導單位和由公安部第三研究所主辦的第五屆全國信息安全等級保護技術大會上提出的進入等級保護制度2.0時代，共同推動等級保護關鍵技術的研發(fā)、應用以及解決新技術新應用安全問題，為深入推進落實國家信息安全等級保護制度發(fā)揮重要作用。

公安部網(wǎng)絡保衛(wèi)局總工程師郭啟全表示，等保2.0的落實，不能靠喊口號、開大會、發(fā)文件，而是必須一起抓落實。等級保護已經(jīng)進入到2.0時代，《網(wǎng)絡安全法》即將出臺，信息安全等級保護也要過渡到網(wǎng)絡安全等級保護，法規(guī)明確要求國家實施等保制度。未來等級保護制度會把云平臺、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等等納入到等保制度管理，公安部開始陸陸續(xù)續(xù)要出臺一些政策和標準。

國家信息中心副主任周民表示，行業(yè)云的發(fā)展當前正面臨著一個非常良好的機遇期。云計算技術是新技術，由于云的多租戶特點，靈活配置擴容的特點，安全如何保障？公安部作為等保的主管單位，這些年來一直致力于云等保相關標準規(guī)范制定工作，國家信息中心也積極參與到國家云等保相關標準制定工作中。通過這些標準規(guī)范的制定，能夠對云的發(fā)展起到保駕護航作用，希望通過本次論壇，大家一起在行業(yè)和行業(yè)之間，行業(yè)和企業(yè)之間進行相互的溝通與交流，能夠進一步促進云計算技術在各行業(yè)的落地，進一步促進云安全等保的實施。

中國工程院院士沈昌祥表示，等級保護由1.0到2.0是被動防御變成主動防御的變化，依照等級保護制度可以做到整體防御、分區(qū)隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

公安部信息安全等級保護主任助理李明對即將發(fā)布的云等保標準進行了解讀，他指出，在云計算環(huán)境下，云等保的對象依舊明確。云租戶是計算和數(shù)據(jù)的最終責任者，其他服務提供者不能夠分擔云租戶的安全管理責任。要分辨出控制邊界和管理責任邊界的不同。

國家信息中心電子政務外網(wǎng)辦安全處處長邵國安表示，網(wǎng)絡安全是動態(tài)的，是基于風險的管理，要基于實時檢測、實時分析、態(tài)勢感知等技術。網(wǎng)絡安全核心是專業(yè)分析隊伍和信息事件的共享，政務外網(wǎng)已設計戰(zhàn)略目標，以國家、省、地三級建立信息共享和同省直通。希望今后通過行業(yè)（私有）云安全能力者聯(lián)盟制定相應的標準規(guī)范，建立新技術的攻防研發(fā)生態(tài)。

工匠精神確保行業(yè)聚力

不管是云等保標準，還是行業(yè)云安全能力落地，都離不開系統(tǒng)集成商、產(chǎn)品提供商、評測機構、IT安全服務商的共同努力。正如公安部信息安全等級保護評估中心副主任張宇翔所說，只有服務供應商、產(chǎn)品供應商、技術能力提供商一起合力，才能夠有機會為國家網(wǎng)絡安全，為等保制度的落地做出更多的工作。比如等保2.0里有一個重要環(huán)節(jié)就是服務形態(tài)，產(chǎn)品形態(tài)都要發(fā)生相應變化。未來希望通過PCSF的努力，能夠讓行業(yè)用戶有更好的選擇?！氨热鐕倚畔⒅行牡恼赵剖撬接性?，但是對部委用戶來說又是公有云。所以在云平臺的建設過程中有不同的形態(tài)，不同的組合，這過程當中業(yè)務的模式，技術的提供要站在用戶角度更多思考，讓用戶有更多的選擇。這就是我們成立這個聯(lián)盟最根本的宗旨?！?/p>

本次論壇上，理事長吳亞非為首批聯(lián)盟單位頒發(fā)了證書。PCSA聯(lián)盟在中國信息協(xié)會信息安全專業(yè)委員會的領導下組織成立，是信息安全專業(yè)委員會的一個工作組。聯(lián)盟的宗旨是致力于云安全關鍵技術及標準的研究、應用和推廣，為各行業(yè)（私有）云建設提供安全咨詢和解決方案；在國家信息安全等級保護制度的指導下，緊緊圍繞行業(yè)用戶需求及新技術特點，依托國家相關工程實驗室進行標準的驗證和落地，通過廣泛吸納行業(yè)云關鍵技術領域的生態(tài)組織，融匯聯(lián)盟成員智慧，同時加強對網(wǎng)際空間發(fā)展的跟蹤研判，加強國際安全產(chǎn)業(yè)交流，不斷提升安全研究能力、技術研發(fā)能力與落地能力，為我國重要行業(yè)的關鍵基礎設施網(wǎng)絡安全領域貢獻力量。

對此，聯(lián)盟成員紛紛表示了自己的看法。太極計算機股份有限公司信息安全與自主可控戰(zhàn)略業(yè)務本部副總經(jīng)理郭峰認為，工匠精神是目前很多國內廠商所缺乏的。本次聯(lián)盟更希望從研究機構、標準制定者、云平臺提供商、安全能力者和IT服務商的優(yōu)勢和缺點，進行互補，借鑒互聯(lián)網(wǎng)企業(yè)的迭代思維和互聯(lián)網(wǎng)思維，專注打造核心能力，用工匠精神打造精品。在等保1.0過程當中做到了策略體系化，但并不持續(xù)。在安全管理標準化和防御體系方面還有進一步加強空間，他呼吁具有深厚安全技術積淀的企業(yè)能夠開放安全能力，融合產(chǎn)業(yè)力量，真正的推動我國信息安全發(fā)展，形成真正適合我國信息安全行業(yè)（私有）云安全發(fā)展的落地解決方案。

在技術方面，中新網(wǎng)絡信息安全股份有限公司副總經(jīng)理金鍇認為，目前移動設備成為DDoS攻擊的最主要攻擊源，且呈日益增大趨勢，包括脈沖高頻供給、短時瞬發(fā)等攻擊，現(xiàn)有DDoS技術手段無法有效防御。會上中新正式發(fā)布的中新金盾DDOS 2.0防護設備，具備單臺300G的大流量清洗防御性能，從最早點對點防御，發(fā)展到現(xiàn)在的線防御，從而實現(xiàn)了行業(yè)云層面的防御。

北京安博通科技股份有限公司首席執(zhí)行官蘇長君表示，云計算環(huán)境中，從網(wǎng)元節(jié)點上安全能力需要以資源形式按需調度，所有安全策略和風險必須快速動態(tài)而且可視，否則很難實現(xiàn)落地的安全管理策略。安博通SPOS將可視化管理能力從硬件中抽象出來，真正作為服務部署到云端，實現(xiàn)虛擬化環(huán)境中的安全部署，真正跟解決方案融到一起，讓安全設備和用戶業(yè)務融到一個系統(tǒng)中，發(fā)生“化學反應”。

成都科來軟件有限公司副總經(jīng)理兼產(chǎn)品運營部總監(jiān)李飛表示，科來全流量分析引擎好比案件系統(tǒng)，與傳統(tǒng)特征匹配方式不同，是基于異常行為的檢測。把所有網(wǎng)絡流量進行全量存儲，按需存儲，用來記錄事件原始過程，從而還原事件的真相。上海金電網(wǎng)安科技有限公司解決方案部經(jīng)理何呈栩，北京圣博潤高新技術股份有限公司常務副總經(jīng)理兼研發(fā)中心負責人潘玉珣，新華三集團安全產(chǎn)品部總工程師何平，華為技術有限公司云計算高級咨詢顧問王新軍，中國最大的互聯(lián)網(wǎng)開源技術社區(qū)開源中國的創(chuàng)始人，中國開源社區(qū)的布道者馬越等也都分享了最新的技術和產(chǎn)品。