等级保护1.0升级2.0,PCSF2016精彩落幕 -----“务实,落地,开放,成果,干货”
10月20日,中国首届行业(私有)云安全技术论坛暨联盟成立仪式(简称PCSF2016)于北京万寿宾馆举行,不管是在上午的闭门会议和高峰论坛中,还是在下午的主论坛,“务实”“落地”“干货”“成果”“开放”这些关键词是大会的整个主旋律,大会能够容纳大约700人的会场也满满当当,还有很多人报名较晚,没有办法入场。大会组委会表示,确实出乎意料,近400多名的重要行业的政府、央企、电信、金融、电力、交通等客户的和300多名行业人士的到场,也确实反应了这个领域大家都在关注。
上午的闭门会议和高峰论坛,重点由联盟成员单位推选了联盟的理事长、副理事长、秘书长以及副理事单位等,确定了联盟的章程,以及明确了具体的工作方向、工作目标和工作任务以及工作机制,明确了工作组的基础是“务实”,“成果”和“干货“是联盟最终的目标。希望具有实力和能力的社会机构企业“开放”自己专注的核心能力,加入联盟,汇聚智慧,为国家关键信息基础设施中的重要行业的行业(私有)云安全承载的的重要公共服务,重要信息系统,重要关键设施提供有效的可用的“落地”的成果,加强国际交流,研究趋势方向。PCFA联盟成员单位涵盖信息安全领域的研究机构、测评机构、IT安全服务商、安全能力者、云平台提供商、专业媒体。
下午主论坛,在“质由新生,信仰共造”的主题下大会正式开始,指导单位、主办单位、承办单位的和联盟单位成员聚焦在共同的主题下,进行国际趋势、国内现状、等级保护制度、行业云趋势、合规落地、云安全威胁、云安全解决方案等几个部分进行了精彩分享。
首先由主办方中国信息协会信息安全专业委员会 副主任吴亚非先生致辞,近年来随着国内外网络安全形势的发展,网际空间已成为第五空间,成为新形势下国家安全重要领域之一,尤其在威胁常态化的今天,重要行业将建设行业私有云,安全是制约的行业云发展重要因素。在这样的背景下,中国信息协会信息安全专委会和公安部信息安全等保评估中心联合主办首届中国行业(私有)云安全PCSF论坛,希望通过论坛的和联盟的形式,推动行业(私有)云安全关键技术以及标准的研究、应用和推广,在国家信息安全等保制度指导下,紧紧围绕行业用户需求及新技术特点,依托云等保标准,面向行业以及用户,就等保合规标准如何落地进行研讨。
公安部信息安全等级保护评估中心副主任张宇翔先生在致辞中提出四个要点。首先,听到看到很多重要行业用户正在思考是究竟把现有业务直接上公有云,还是建立混合云,还是构建私有云。其次,行业用户需要自主可控、安全可靠的合规的行业云,不管哪一类的云,安全可控是行业客户的底线。第三,主办大会及推动联盟的目的,就是为落实国家等级保护制度,在等级保护2.0时代,面对威胁常态化,安全合规是基础,更需要创新,现实需要大家聚合在一起,利用各方的技术成果和服务能力为行业提供有效的云安全落地解决方案。第四,联盟是开放,是包容的,促进产业的互补。无论是传统的IT服务供应商,还是广大新型云服务供应商,无论是传统已经上市的网络安全的翘楚,还是默默正在埋头苦干做技术研究的网络安全技术提供者。本次大会希望共同推动在10月10日昆明举办的由公安部网络安全保卫局、中央网信办网络安全协调局、工信部网络安全管理局、国家密码管理局、国家保密局、中国科学院办公厅为指导单位和由公安部第三研究所主办的第五届全国信息安全等级保护技术大会上提出的进入等级保护制度2.0时代,共同推动等级保护关键技术的研发、应用以及解决新技术新应用安全问题,为深入推进落实国家信息安全等级保护制度发挥重要作用。也确实希望信息安全产业界能出现领先国际安全产业的独角兽。
公安部网络保卫局总工程师郭启全先生在致辞中指出,党中央和总书记从来没像今天这么重视网络安全,我们不缺重大措施、政策、标准、制度,也不缺智慧和办法,缺的是实实在在抓落实。光喊口号不行,开大会、发文件也不够,必须一起抓落实。等级保护已经进入到2.0时代,《网络安全法》快出台了,信息安全等级保护也要过渡到网络安全等级保护,法规明确要求国家实施等保制度。未来等级保护制度会把云平台、大数据、物联网、工控系统等等纳入到等保制度管理,公安部开始陆陆续续要出台一些政策和标准。大家关心的云系统怎么定级,如何保护?公安部相关部门从2014年6月份就开始组织30多个单位,研究我们国家的新技术新应用的等保标准,陆陆续续就快出来了。我们一起要把等级保护2.0这个制度落实好。今天这样一个专题研讨会议很好,公安部支持;同时公安部支持企业以及产业发展。根据处理过的很多网络案件,我们发现有许多内鬼不断窃取本行业数据出售。并且提到了广为关注的徐玉玉案件。公安机关必须按照打防管控一体化的办法,形成国家网络安全综合防御体系。公安部将组织大规模的培训,要指导大家把平台建好,把手中的网络安全手段制造好,才能达到共同的安全目标,才能按照总书记要求把安全工作落实到位。
国家信息中心副主任周民先生在致辞中指出,日前总书记关于信息化方面讲话中提到要建设全国一体化大数据中心,几个核心元素,一个是数据中心,也就是传统所说的机房,一个是的云平台,大数据平台,以及支撑云平台和大数据平台运行的相关的安全平台。“十三五”规划中,各行各业,尤其是一些金融行业、政府行业,以及大的国有企业也在纷纷构建自己的云平台。可以说行业云的发展当前正面临着一个非常良好的机遇期。云计算技术是新技术,由于云的多租户的特点,灵活配置扩容的特点,安全如何保障?公安部作为等保的主管单位,这些年来一直致力于云等保相关标准规范制定工作,国家信息中心也是积极参与到国家云等保相关标准制定工作中。通过这些标准规范的制定,能够对云的发展起到比较好的保驾护航的作用,希望通过本次论坛,大家在一起行业和行业之间,行业和企业之间进行相互的沟通与交流,能够进一步促进云计算技术在各行业的落地,进一步促进云安全的等保的实施。
中国工程院院士沈昌祥在《等保制度的创新与发展》主题演讲中,分析了我国等保制度发展过程,从借鉴到基于国情的制定,指出等保制度是要保护我们国家的网络空间安全的,要抵御攻击。也是适用于新型技术条件下的,等保制度是科学的,是创新的。最早确定了两维(业务和系统)来确定定级,比国外的部件定级更为科学的。从现在看来,又从两维看云计算,大数据,把系统搞清楚了在云计算中,如何明确等级保护定级,原来的四点也是实用的,只是原来自己家家户户的计算中心由自己负责,但是现在是两家负责,比如系统资源保证可信,这就是计算中心负责。应用程序怎么运行,业务信息怎么处理,还是由用户自己制定策略,定义自己的角色,管理中心还是自己的。第三方审计进行汇总,这可能出现纠纷扯皮。因此云计算环境下,可信支撑技术条件下,等级保护才能把家家户户应用确保安全,顺利完成计算任务,等级保护从由1.0到2.0是被动防御变成主动防御的变化,以前被动防御的,要求防火墙、杀病毒、IDS,要上升到了主动防护,我们要求高等级、三级以上不许超级用户。依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
公安部信息安全等级保护的主任助理李明先生,围绕“变”与“不变”两个关键词对即将发布的云等保标准进行了研读,使与会嘉宾对云安全的发展形势和云等保标准的设计思路有了更加清晰的认识。他指出,云计算很复杂,集成了很多技术,但是并没有神秘,不是一下跳到现在,等保依然是适用的。虽然云计算需要管理几万台设备,但是如果抽掉一些枝节发现结构是很清楚的,云等保的对象是比较容易找的。只要抓住一点,云租户是计算和数据的最终责任者,其他人都是帮你的,但是不能够分担云租户的安全管理责任。控制边界和管理责任边界是不等同的,控制边界就在于在落实的时候责任的展现形式,落实的动作形式是不一样的。
国家信息中心电子政务外网办安全处处长邵国安先生在演讲中结合国家电子政务外网云安全建设实践强调,如何确实理解习总书记的419讲话落地到实践,网络安全是动态的,整个基于风险的管理,意味要变成基于实时检测、实时分析、态势感知,分析到现在的政务云发展,政务业务首先部署在独立的政务云上,我们讲的政务部门是六套班子,原则上政务业务不得部署到公有云上。考察了全球,到美国也是AWS到联邦政府建设了私有云,没有在公有云上承载政务的业务。政务云基本上按照等保三级建设或者以上建设,重要的数据要求加密。不管你自己建还是在使用,都要对数据和业务系统做处理。主要关注三者之间的关系,一个是管理部门,租户,还有云服务商,数据产权一定要在政府手里,到云计算上也是一样。目前来说我把它理解成网络空间上的一场不对称战争。我们需要整合国家好的力量,来提高攻击者的代价和入侵的成本,来提高我们的网络安全能力。网络安全核心是专业分析队伍和信息事件的共享,政务外网已设计战略目标,以国家、省、地三级建立信息共享和同省直通。希望今后通过行业(私有)云安全能力者联盟制定相应的一些标准规范,建立新技术的攻防研发生态。
作为IT(安全)服务商代表,太极股份郭峰发表了题为《如何有效构建等级保护2.0时代“行业云”信息安全等保落地体系》的发言,分享诸多干货以及大实话。首先,未来的安全体系面临的复杂是常态化,对国际、国内趋势和落地性、防御成熟度、需求层次的综合分析分享了中国电科太极的“踏实”安全实验室的相关研究。第二,分析了安全合规建设的难点和痛点,从2004年-2016年所经历的几个大的阶段,等级保护1.0时代还有很多内容需要补充,Garnter发布的自适应安全体系是未来的关键,太极的100多人的安全服务团队努力在朝这个方面努力,第三,关于行业是“上云”还是“上晕”,在整个决策的过程中,安全和价值的平衡是关键点,并且提到很多值得借鉴的经验,尤其是从业务出发。第四方面,通过参加国际的RSA2016大会,看到国内的很多厂家不具备的工匠精神,只是为了噱头而去互相炒作,更希望从研究机构、标准制定者、云平台提供商、安全能力者和IT服务商的优势和缺点,进行互补,借鉴BAT的迭代思维和互联网思维,专注打造核心能力,用工匠精神打造精品。等保1.0过程当中,策略体系化做了,但不持续;安全管理标准化做了,防御体系不可落地。呼吁具有深厚安全技术积淀的企业能够开放安全能力,融合产业力量,真正的推动我国信息安全发展,形成真正适合我国信息安全行业(私有)云安全发展的落地解决方案。
面对云计算安全挑战,国际云安全联盟发布了十二大威胁,根据行业云特点,聚焦在“大规模拒绝服务攻击云端防御与清洗”、“Web应用层及API接口防御与检测”、“高持续性威胁攻击(APT)检测与响应”、“核心数据资产保护与审计”、“大流量网络数据监控与分析”、“云端管理资源滥用和人员管理”、“安全能力虚拟化调度及策略可视化管理”等主要威胁和需求,安全能力者企业分享了相应的云等保合规产品及解决方案,全部都是技术“干货”,精彩纷呈。
中新网络信息安全股份有限公司副总经理金锴分享了该公司下一代信息安全防御体系。他指出,目前移动设备成为DDoS攻击的最主要攻击源,且呈日益增大趋势,包括脉冲高频供给、短时瞬发等攻击,现有DDoS技术手段无法有效防御。会上中新正式发布的中新金盾DDOS 2.0防护设备,具备单台300G的大流量清洗防御性能,从最早的点的防御,发展到现在的线的防御,实现行业云层面的防御。金盾云的工作模式可以实现云到端,一旦发现超过私有云带宽的攻击就可以通过金盾云清洗中心牵引过去,实现实时DDoS防御。同时,中新网安还提供虚拟化安全解决方案,包括下一代包含WAF、VPN、vDDoS等等的下一代防火墙系统,通过虚拟化探针可以实现与以APT同步工作,以实现针对云计算环境下高持续威胁的防御措施。
中新在会上同时发布的中新金盾APT 2.0产品 “猎潜者”。中新网安副总经理叶博洋说,猎潜者采用科学防御措施,可多种防御向量联动。猎潜者在沙箱中创新设立了双引擎,这能够快速、高效、准确对样本进行分析,准确度非常高。同时,为防御APT攻击中的逃逸技术,提供了高保真、特征对比、动作回访等,并且还配套了安全专家服务,帮助企业快速定位APT。叶博洋强调,中新网安的防DDOS和猎潜者基于动态安全防御的核心思想。据了解,中新网安具备14年网络安全经验,在合肥有三幢自己的研发中心和办公楼,作为IT企业还是很少见的。同时在北京与清华大学网络行为研究所有联合的研发中心,并参与了制定国内多个服务标准。
北京安博通科技股份有限公司首席执行官苏长君先生分享了安全管理2.0(行业云安全能力虚拟化调度及安全策略可视化管理产品及解决方案),帮助云计算用户实现私有云环境中安全能力虚拟化调度。他指出,云计算环境中,从网元节点上安全能力需要以资源形式按需调度,所有安全策略和风险必须快速动态而且可视,否则很难实现落地的安全管理策略。安博通SPOS将可视化管理能力从硬件中抽象出来,真正作为服务部署到云端,实现虚拟化环境中的安全部署,真正跟解决方案融到一起,让安全设备和用户业务融到一个系统中,发生“化学反应”。云等保分隔离、防护、策略、可视这四个方面,用东西向、南北向流量防护方式,加自适应的平台,对网络流量、策略、身份认证和门户,整体实现云等保解决方案。安博通积累了多年DPI/DFI引擎识别经验,可以做到流量深度检测,从而实现海量安全策略管理、快速查询和匹配。目前,安博通SPOS已经被集成到阿里云中,达到安全和云之间的结合,在成都云计算中心、陕西电信也有成功案例。安博通其SPOS产品类似于手机搭载安卓系统一样,此前默默无闻在各个厂商后面做支撑。大概100台下一代防火墙有60台是安博通研发的操作系统。
成都科来软件有限公司副总经理兼产品运营部总监李飞分享了该公司云端大流量网络数据监控与分析解决方案。他指出,传统的基于特征匹配的方式远远跟不上威胁的针对性和隐蔽性的发展;而且,很多时候用户只重视安全防御,希望把信息资产保护在一个围墙里围起来,而没有重视威胁的检测。科来全流量分析引擎好比案件系统,与传统特征匹配方式不同,是基于异常行为的检测。把所有网络流量进行全量存储,按需存储,用来记录事件原始过程,被还原事件的真相。首先实现安全分析和安全检测,并进一步实现异常检测,与数据包级别回溯,还原交互过程,确认风险异常。该解决方案借助于大数据的计算和存储能力,实时计算能力,快速搜索能力处理安全告警,并通过应用展示层实现,通过统一运维管理平台实现全方位的安全态势感知。据了解,科来13年时间潜心研究网络安全领域,服务于企业级用户以外,对于个人用户是有很多,比如软件网络分析类产品,以及在110个国家进行使用,国内有90万次的下载,国内25家的应用技术服务中心帮助用户实现本地化的技术支持。
上海金电网安科技有限公司解决方案部经理何呈栩分享了该公司私有云环境下的云计算环境及跨区域多级安全互联解决方案。他支持,越来越多企业都已经把数据作为企业核心资产,但在数据处理过程当中也会受到包括泄漏、破坏、篡改等威胁。金电网安在多年技术积累基础上推出了多级安全互联平台,主要基于网络隔离技术,综合了操作系统可信网增强、可信增强子系统、多级前置子系统等系统。目前,基于等保的要求与行业用户实际需求,该解决方案进行了升级,首先安全功能上将跨区域的两边分别当成不同定级系统,区域间实现安全互联部件,综合运用安全隔离、访问控制等等机制,减少攻击面基础上构建互联协议白名单,对交互内容进行严格的解析和过滤,同时对处理的过程进行审计。在管理方面,统一的多级安全管理中心统一进行系统管理、策略管理和安全审计。采用可信计算技术对互联业务,包括系统环境、网络环境、平台自身环境进行可信的封装,保障自身安全及策略。
北京圣博润高新技术股份有限公司常务副总经理兼研发中心负责人潘玉珣分享了该公司的云计算环境下用户行为监测与管理解决方案。潘玉珣指出,近来发生的网络安全事件当中有共同的特点,即很大一部分是由于内部人员行为造成的,无论是内部职员、承包商、供应商,第三方运维服务人员。该解决方案可实现全方位用户行为的审计管理,包括用户行为的分析,对用户行为基线的建立,用户行为的刻画、分类分级管理,包括对用户行为发展趋势的预测,以及对各用户行为的取证管理方面。在用户行为刻画过程当中采用了大数据技术,实现行为基线建立、分析模型、行为判别、用户分级。通过机器学习模型建立用户的行为基线,机器学习通过长期或者短期的学习可以把用户基线创建起来以后,就可以结合环境因素和情绪因素对用户行为性质进行判别。同时,针对云计算环境的实际要求,圣博润对解决方案进行了轻量化与简单化。
新华三集团安全产品部总工何平分享了新华三华三基于等保标准的泛云安全设计理念。在云化数据中心管理中,分为三层防御措施和管理手段。第一层南北流量防护,通过虚拟化资源部署策略,在云管理平台里进行虚拟化环境管理,网络数据中心必然有网络,部署安全防范措施。第二层Vxlan隔离。第三层云数据中心内部流量监管,就是东西向流量防护。
华为技术有限公司云计算高级咨询顾问王新军先生分享了华为基于等保要求下的云平台安全架构设计和能力。从华为自身来讲,安全能力已成为华为基因的一部分: 华为通过构建从云安全咨询规划、安全验证到交付实施的全流程安全能力,为客户提供端到端符合法规遵从的安全解决方案;针对云和大数据,华为拥有完全遵从等保安全相关标准的云和大数据安全架构;另外,基于华为强大的芯片自主研发能力,进一步保障了产品和方案的安全可信。华为不仅自身具备雄厚的安全能力,同时华为云平台提供开放的标准接口,便于应用和安全合作伙伴基于云环境开发,携手共同构筑云时代的安全能力。
大会邀请了中国最大的互联网开源技术社区的开源中国的创始人,中国开源社区的布道者马越作为嘉宾,分享了在面临开源项目大规模应用,行业用户如何确保代码高质量保证安全。 开源中国推出平台化互联网应用产品“码云” ,将代码管理、检测、开发过程、项目管理融合一体。让甲乙双方相互信任,相互协作。确保行业云安全的进行代码质量管理,进行透明的项目管控,代码托管以及代码质量分析。国内确实还没有一家完整的互联网模式进行应用代码质量分析和托管的社区,很多行业用户听完介绍,都希望能够采用这种新型的互联网模式解决自己的开源的代码开发、托管以及检测等等。阿里巴巴“月饼门”事件,就是内部人员写源码进阿里系统,保证自己低价抢到两盒月饼,阿里这样的公司技术在中国是顶尖的,在内部还能反应过来,如果没有源代码级安全防护永远没有从根本上做到自主可控。而有了码云平台发现软件开发过程,项目管理,自动部署,持续集成,测试全可以围绕它打开。
论坛上行业(私有)云安全能力者联盟(简称PCSA)宣布成立,理事长吴亚非为首批联盟单位颁发了证书。PCSA在中国信息协会信息安全专业委员会的领导下组织成立,是信息安全专业委员会的一个工作组,由信息安全专业研究机构、信息安全测评机构、IT(安全)服务商、云安全产品及服务商、云平台产品及服务商、信息安全媒体自愿结成的社会组织。联盟的宗旨是致力于云安全关键技术及标准的研究、应用和推广,为各行业(私有)云建设提供安全咨询和解决方案;在国家信息安全等级保护制度的指导下,紧紧围绕行业用户需求及新技术特点,依托国家相关工程实验室进行标准的验证和落地,通过广泛吸纳行业云关键技术领域的生态组织,融汇联盟成员智慧,同时加强对网际空间发展的跟踪研判,加强国际安全产业交流,不断提升安全研究能力、技术研发能力与落地能力,为我国重要行业的关键基础设施网络安全领域贡献力量。未来,联盟将吸纳更多能力者企业。
PCSA官方微信公众号 “行业(私有云)安全能力者联盟”后续将陆续分享大会演讲PPT精华版,欲进一步了解大会“干货”,请关注PCSA官方微信。
相关文章
- 1条评论
- 辙弃慵挽2022-05-29 02:41:54
- 为发展趋势的预测,以及对各用户行为的取证管理方面。在用户行为刻画过程当中采用了大数据技术,实现行为基线建立、分析模型、行为判别、用户分级。通过机器学习模型建立用户的行为基线,机器学习通过长期或者短期的学习可以把