等級保護1.0升級2.0,PCSF2016精彩落幕 -----“務實,落地,開放,成果,干貨”
責編:mhshi |2016-10-24 14:28:5310月20日,中國首屆行業(私有)云安全技術論壇暨聯盟成立儀式(簡稱PCSF2016)于北京萬壽賓館舉行,不管是在上午的閉門會議和高峰論壇中,還是在下午的主論壇,“務實”“落地”“干貨”“成果”“開放”這些關鍵詞是大會的整個主旋律,大會能夠容納大約700人的會場也滿滿當當,還有很多人報名較晚,沒有辦法入場。大會組委會表示,確實出乎意料,近400多名的重要行業的政府、央企、電信、金融、電力、交通等客戶的和300多名行業人士的到場,也確實反應了這個領域大家都在關注。
上午的閉門會議和高峰論壇,重點由聯盟成員單位推選了聯盟的理事長、副理事長、秘書長以及副理事單位等,確定了聯盟的章程,以及明確了具體的工作方向、工作目標和工作任務以及工作機制,明確了工作組的基礎是“務實”,“成果”和“干貨“是聯盟最終的目標。希望具有實力和能力的社會機構企業“開放”自己專注的核心能力,加入聯盟,匯聚智慧,為國家關鍵信息基礎設施中的重要行業的行業(私有)云安全承載的的重要公共服務,重要信息系統,重要關鍵設施提供有效的可用的“落地”的成果,加強國際交流,研究趨勢方向。PCFA聯盟成員單位涵蓋信息安全領域的研究機構、測評機構、IT安全服務商、安全能力者、云平臺提供商、專業媒體。
下午主論壇,在“質由新生,信仰共造”的主題下大會正式開始,指導單位、主辦單位、承辦單位的和聯盟單位成員聚焦在共同的主題下,進行國際趨勢、國內現狀、等級保護制度、行業云趨勢、合規落地、云安全威脅、云安全解決方案等幾個部分進行了精彩分享。
首先由主辦方中國信息協會信息安全專業委員會 副主任吳亞非先生致辭,近年來隨著國內外網絡安全形勢的發展,網際空間已成為第五空間,成為新形勢下國家安全重要領域之一,尤其在威脅常態化的今天,重要行業將建設行業私有云,安全是制約的行業云發展重要因素。在這樣的背景下,中國信息協會信息安全專委會和公安部信息安全等保評估中心聯合主辦首屆中國行業(私有)云安全PCSF論壇,希望通過論壇的和聯盟的形式,推動行業(私有)云安全關鍵技術以及標準的研究、應用和推廣,在國家信息安全等保制度指導下,緊緊圍繞行業用戶需求及新技術特點,依托云等保標準,面向行業以及用戶,就等保合規標準如何落地進行研討。
公安部信息安全等級保護評估中心副主任張宇翔先生在致辭中提出四個要點。首先,聽到看到很多重要行業用戶正在思考是究竟把現有業務直接上公有云,還是建立混合云,還是構建私有云。其次,行業用戶需要自主可控、安全可靠的合規的行業云,不管哪一類的云,安全可控是行業客戶的底線。第三,主辦大會及推動聯盟的目的,就是為落實國家等級保護制度,在等級保護2.0時代,面對威脅常態化,安全合規是基礎,更需要創新,現實需要大家聚合在一起,利用各方的技術成果和服務能力為行業提供有效的云安全落地解決方案。第四,聯盟是開放,是包容的,促進產業的互補。無論是傳統的IT服務供應商,還是廣大新型云服務供應商,無論是傳統已經上市的網絡安全的翹楚,還是默默正在埋頭苦干做技術研究的網絡安全技術提供者。本次大會希望共同推動在10月10日昆明舉辦的由公安部網絡安全保衛局、中央網信辦網絡安全協調局、工信部網絡安全管理局、國家密碼管理局、國家保密局、中國科學院辦公廳為指導單位和由公安部第三研究所主辦的第五屆全國信息安全等級保護技術大會上提出的進入等級保護制度2.0時代,共同推動等級保護關鍵技術的研發、應用以及解決新技術新應用安全問題,為深入推進落實國家信息安全等級保護制度發揮重要作用。也確實希望信息安全產業界能出現領先國際安全產業的獨角獸。
公安部網絡保衛局總工程師郭啟全先生在致辭中指出,黨中央和總書記從來沒像今天這么重視網絡安全,我們不缺重大措施、政策、標準、制度,也不缺智慧和辦法,缺的是實實在在抓落實。光喊口號不行,開大會、發文件也不夠,必須一起抓落實。等級保護已經進入到2.0時代,《網絡安全法》快出臺了,信息安全等級保護也要過渡到網絡安全等級保護,法規明確要求國家實施等保制度。未來等級保護制度會把云平臺、大數據、物聯網、工控系統等等納入到等保制度管理,公安部開始陸陸續續要出臺一些政策和標準。大家關心的云系統怎么定級,如何保護?公安部相關部門從2014年6月份就開始組織30多個單位,研究我們國家的新技術新應用的等保標準,陸陸續續就快出來了。我們一起要把等級保護2.0這個制度落實好。今天這樣一個專題研討會議很好,公安部支持;同時公安部支持企業以及產業發展。根據處理過的很多網絡案件,我們發現有許多內鬼不斷竊取本行業數據出售。并且提到了廣為關注的徐玉玉案件。公安機關必須按照打防管控一體化的辦法,形成國家網絡安全綜合防御體系。公安部將組織大規模的培訓,要指導大家把平臺建好,把手中的網絡安全手段制造好,才能達到共同的安全目標,才能按照總書記要求把安全工作落實到位。
國家信息中心副主任周民先生在致辭中指出,日前總書記關于信息化方面講話中提到要建設全國一體化大數據中心,幾個核心元素,一個是數據中心,也就是傳統所說的機房,一個是的云平臺,大數據平臺,以及支撐云平臺和大數據平臺運行的相關的安全平臺。“十三五”規劃中,各行各業,尤其是一些金融行業、政府行業,以及大的國有企業也在紛紛構建自己的云平臺。可以說行業云的發展當前正面臨著一個非常良好的機遇期。云計算技術是新技術,由于云的多租戶的特點,靈活配置擴容的特點,安全如何保障?公安部作為等保的主管單位,這些年來一直致力于云等保相關標準規范制定工作,國家信息中心也是積極參與到國家云等保相關標準制定工作中。通過這些標準規范的制定,能夠對云的發展起到比較好的保駕護航的作用,希望通過本次論壇,大家在一起行業和行業之間,行業和企業之間進行相互的溝通與交流,能夠進一步促進云計算技術在各行業的落地,進一步促進云安全的等保的實施。
中國工程院院士沈昌祥在《等保制度的創新與發展》主題演講中,分析了我國等保制度發展過程,從借鑒到基于國情的制定,指出等保制度是要保護我們國家的網絡空間安全的,要抵御攻擊。也是適用于新型技術條件下的,等保制度是科學的,是創新的。最早確定了兩維(業務和系統)來確定定級,比國外的部件定級更為科學的。從現在看來,又從兩維看云計算,大數據,把系統搞清楚了在云計算中,如何明確等級保護定級,原來的四點也是實用的,只是原來自己家家戶戶的計算中心由自己負責,但是現在是兩家負責,比如系統資源保證可信,這就是計算中心負責。應用程序怎么運行,業務信息怎么處理,還是由用戶自己制定策略,定義自己的角色,管理中心還是自己的。第三方審計進行匯總,這可能出現糾紛扯皮。因此云計算環境下,可信支撐技術條件下,等級保護才能把家家戶戶應用確保安全,順利完成計算任務,等級保護從由1.0到2.0是被動防御變成主動防御的變化,以前被動防御的,要求防火墻、殺病毒、IDS,要上升到了主動防護,我們要求高等級、三級以上不許超級用戶。依照等級保護制度可以做到整體防御、分區隔離;積極防護、內外兼防;自身防御、主動免疫;縱深防御、技管并重。
公安部信息安全等級保護的主任助理李明先生,圍繞“變”與“不變”兩個關鍵詞對即將發布的云等保標準進行了研讀,使與會嘉賓對云安全的發展形勢和云等保標準的設計思路有了更加清晰的認識。他指出,云計算很復雜,集成了很多技術,但是并沒有神秘,不是一下跳到現在,等保依然是適用的。雖然云計算需要管理幾萬臺設備,但是如果抽掉一些枝節發現結構是很清楚的,云等保的對象是比較容易找的。只要抓住一點,云租戶是計算和數據的最終責任者,其他人都是幫你的,但是不能夠分擔云租戶的安全管理責任。控制邊界和管理責任邊界是不等同的,控制邊界就在于在落實的時候責任的展現形式,落實的動作形式是不一樣的。
國家信息中心電子政務外網辦安全處處長邵國安先生在演講中結合國家電子政務外網云安全建設實踐強調,如何確實理解習總書記的419講話落地到實踐,網絡安全是動態的,整個基于風險的管理,意味要變成基于實時檢測、實時分析、態勢感知,分析到現在的政務云發展,政務業務首先部署在獨立的政務云上,我們講的政務部門是六套班子,原則上政務業務不得部署到公有云上。考察了全球,到美國也是AWS到聯邦政府建設了私有云,沒有在公有云上承載政務的業務。政務云基本上按照等保三級建設或者以上建設,重要的數據要求加密。不管你自己建還是在使用,都要對數據和業務系統做處理。主要關注三者之間的關系,一個是管理部門,租戶,還有云服務商,數據產權一定要在政府手里,到云計算上也是一樣。目前來說我把它理解成網絡空間上的一場不對稱戰爭。我們需要整合國家好的力量,來提高攻擊者的代價和入侵的成本,來提高我們的網絡安全能力。網絡安全核心是專業分析隊伍和信息事件的共享,政務外網已設計戰略目標,以國家、省、地三級建立信息共享和同省直通。希望今后通過行業(私有)云安全能力者聯盟制定相應的一些標準規范,建立新技術的攻防研發生態。
作為IT(安全)服務商代表,太極股份郭峰發表了題為《如何有效構建等級保護2.0時代“行業云”信息安全等保落地體系》的發言,分享諸多干貨以及大實話。首先,未來的安全體系面臨的復雜是常態化,對國際、國內趨勢和落地性、防御成熟度、需求層次的綜合分析分享了中國電科太極的“踏實”安全實驗室的相關研究。第二,分析了安全合規建設的難點和痛點,從2004年-2016年所經歷的幾個大的階段,等級保護1.0時代還有很多內容需要補充,Garnter發布的自適應安全體系是未來的關鍵,太極的100多人的安全服務團隊努力在朝這個方面努力,第三,關于行業是“上云”還是“上暈”,在整個決策的過程中,安全和價值的平衡是關鍵點,并且提到很多值得借鑒的經驗,尤其是從業務出發。第四方面,通過參加國際的RSA2016大會,看到國內的很多廠家不具備的工匠精神,只是為了噱頭而去互相炒作,更希望從研究機構、標準制定者、云平臺提供商、安全能力者和IT服務商的優勢和缺點,進行互補,借鑒BAT的迭代思維和互聯網思維,專注打造核心能力,用工匠精神打造精品。等保1.0過程當中,策略體系化做了,但不持續;安全管理標準化做了,防御體系不可落地。呼吁具有深厚安全技術積淀的企業能夠開放安全能力,融合產業力量,真正的推動我國信息安全發展,形成真正適合我國信息安全行業(私有)云安全發展的落地解決方案。
面對云計算安全挑戰,國際云安全聯盟發布了十二大威脅,根據行業云特點,聚焦在“大規模拒絕服務攻擊云端防御與清洗”、“Web應用層及API接口防御與檢測”、“高持續性威脅攻擊(APT)檢測與響應”、“核心數據資產保護與審計”、“大流量網絡數據監控與分析”、“云端管理資源濫用和人員管理”、“安全能力虛擬化調度及策略可視化管理”等主要威脅和需求,安全能力者企業分享了相應的云等保合規產品及解決方案,全部都是技術“干貨”,精彩紛呈。
中新網絡信息安全股份有限公司副總經理金鍇分享了該公司下一代信息安全防御體系。他指出,目前移動設備成為DDoS攻擊的最主要攻擊源,且呈日益增大趨勢,包括脈沖高頻供給、短時瞬發等攻擊,現有DDoS技術手段無法有效防御。會上中新正式發布的中新金盾DDOS 2.0防護設備,具備單臺300G的大流量清洗防御性能,從最早的點的防御,發展到現在的線的防御,實現行業云層面的防御。金盾云的工作模式可以實現云到端,一旦發現超過私有云帶寬的攻擊就可以通過金盾云清洗中心牽引過去,實現實時DDoS防御。同時,中新網安還提供虛擬化安全解決方案,包括下一代包含WAF、VPN、vDDoS等等的下一代防火墻系統,通過虛擬化探針可以實現與以APT同步工作,以實現針對云計算環境下高持續威脅的防御措施。
中新在會上同時發布的中新金盾APT 2.0產品 “獵潛者”。中新網安副總經理葉博洋說,獵潛者采用科學防御措施,可多種防御向量聯動。獵潛者在沙箱中創新設立了雙引擎,這能夠快速、高效、準確對樣本進行分析,準確度非常高。同時,為防御APT攻擊中的逃逸技術,提供了高保真、特征對比、動作回訪等,并且還配套了安全專家服務,幫助企業快速定位APT。葉博洋強調,中新網安的防DDOS和獵潛者基于動態安全防御的核心思想。據了解,中新網安具備14年網絡安全經驗,在合肥有三幢自己的研發中心和辦公樓,作為IT企業還是很少見的。同時在北京與清華大學網絡行為研究所有聯合的研發中心,并參與了制定國內多個服務標準。
北京安博通科技股份有限公司首席執行官蘇長君先生分享了安全管理2.0(行業云安全能力虛擬化調度及安全策略可視化管理產品及解決方案),幫助云計算用戶實現私有云環境中安全能力虛擬化調度。他指出,云計算環境中,從網元節點上安全能力需要以資源形式按需調度,所有安全策略和風險必須快速動態而且可視,否則很難實現落地的安全管理策略。安博通SPOS將可視化管理能力從硬件中抽象出來,真正作為服務部署到云端,實現虛擬化環境中的安全部署,真正跟解決方案融到一起,讓安全設備和用戶業務融到一個系統中,發生“化學反應”。云等保分隔離、防護、策略、可視這四個方面,用東西向、南北向流量防護方式,加自適應的平臺,對網絡流量、策略、身份認證和門戶,整體實現云等保解決方案。安博通積累了多年DPI/DFI引擎識別經驗,可以做到流量深度檢測,從而實現海量安全策略管理、快速查詢和匹配。目前,安博通SPOS已經被集成到阿里云中,達到安全和云之間的結合,在成都云計算中心、陜西電信也有成功案例。安博通其SPOS產品類似于手機搭載安卓系統一樣,此前默默無聞在各個廠商后面做支撐。大概100臺下一代防火墻有60臺是安博通研發的操作系統。
成都科來軟件有限公司副總經理兼產品運營部總監李飛分享了該公司云端大流量網絡數據監控與分析解決方案。他指出,傳統的基于特征匹配的方式遠遠跟不上威脅的針對性和隱蔽性的發展;而且,很多時候用戶只重視安全防御,希望把信息資產保護在一個圍墻里圍起來,而沒有重視威脅的檢測。科來全流量分析引擎好比案件系統,與傳統特征匹配方式不同,是基于異常行為的檢測。把所有網絡流量進行全量存儲,按需存儲,用來記錄事件原始過程,被還原事件的真相。首先實現安全分析和安全檢測,并進一步實現異常檢測,與數據包級別回溯,還原交互過程,確認風險異常。該解決方案借助于大數據的計算和存儲能力,實時計算能力,快速搜索能力處理安全告警,并通過應用展示層實現,通過統一運維管理平臺實現全方位的安全態勢感知。據了解,科來13年時間潛心研究網絡安全領域,服務于企業級用戶以外,對于個人用戶是有很多,比如軟件網絡分析類產品,以及在110個國家進行使用,國內有90萬次的下載,國內25家的應用技術服務中心幫助用戶實現本地化的技術支持。
上海金電網安科技有限公司解決方案部經理何呈栩分享了該公司私有云環境下的云計算環境及跨區域多級安全互聯解決方案。他支持,越來越多企業都已經把數據作為企業核心資產,但在數據處理過程當中也會受到包括泄漏、破壞、篡改等威脅。金電網安在多年技術積累基礎上推出了多級安全互聯平臺,主要基于網絡隔離技術,綜合了操作系統可信網增強、可信增強子系統、多級前置子系統等系統。目前,基于等保的要求與行業用戶實際需求,該解決方案進行了升級,首先安全功能上將跨區域的兩邊分別當成不同定級系統,區域間實現安全互聯部件,綜合運用安全隔離、訪問控制等等機制,減少攻擊面基礎上構建互聯協議白名單,對交互內容進行嚴格的解析和過濾,同時對處理的過程進行審計。在管理方面,統一的多級安全管理中心統一進行系統管理、策略管理和安全審計。采用可信計算技術對互聯業務,包括系統環境、網絡環境、平臺自身環境進行可信的封裝,保障自身安全及策略。
北京圣博潤高新技術股份有限公司常務副總經理兼研發中心負責人潘玉珣分享了該公司的云計算環境下用戶行為監測與管理解決方案。潘玉珣指出,近來發生的網絡安全事件當中有共同的特點,即很大一部分是由于內部人員行為造成的,無論是內部職員、承包商、供應商,第三方運維服務人員。該解決方案可實現全方位用戶行為的審計管理,包括用戶行為的分析,對用戶行為基線的建立,用戶行為的刻畫、分類分級管理,包括對用戶行為發展趨勢的預測,以及對各用戶行為的取證管理方面。在用戶行為刻畫過程當中采用了大數據技術,實現行為基線建立、分析模型、行為判別、用戶分級。通過機器學習模型建立用戶的行為基線,機器學習通過長期或者短期的學習可以把用戶基線創建起來以后,就可以結合環境因素和情緒因素對用戶行為性質進行判別。同時,針對云計算環境的實際要求,圣博潤對解決方案進行了輕量化與簡單化。
新華三集團安全產品部總工何平分享了新華三華三基于等保標準的泛云安全設計理念。在云化數據中心管理中,分為三層防御措施和管理手段。第一層南北流量防護,通過虛擬化資源部署策略,在云管理平臺里進行虛擬化環境管理,網絡數據中心必然有網絡,部署安全防范措施。第二層Vxlan隔離。第三層云數據中心內部流量監管,就是東西向流量防護。
華為技術有限公司云計算高級咨詢顧問王新軍先生分享了華為基于等保要求下的云平臺安全架構設計和能力。從華為自身來講,安全能力已成為華為基因的一部分: 華為通過構建從云安全咨詢規劃、安全驗證到交付實施的全流程安全能力,為客戶提供端到端符合法規遵從的安全解決方案;針對云和大數據,華為擁有完全遵從等保安全相關標準的云和大數據安全架構;另外,基于華為強大的芯片自主研發能力,進一步保障了產品和方案的安全可信。華為不僅自身具備雄厚的安全能力,同時華為云平臺提供開放的標準接口,便于應用和安全合作伙伴基于云環境開發,攜手共同構筑云時代的安全能力。
大會邀請了中國最大的互聯網開源技術社區的開源中國的創始人,中國開源社區的布道者馬越作為嘉賓,分享了在面臨開源項目大規模應用,行業用戶如何確保代碼高質量保證安全。 開源中國推出平臺化互聯網應用產品“碼云” ,將代碼管理、檢測、開發過程、項目管理融合一體。讓甲乙雙方相互信任,相互協作。確保行業云安全的進行代碼質量管理,進行透明的項目管控,代碼托管以及代碼質量分析。國內確實還沒有一家完整的互聯網模式進行應用代碼質量分析和托管的社區,很多行業用戶聽完介紹,都希望能夠采用這種新型的互聯網模式解決自己的開源的代碼開發、托管以及檢測等等。阿里巴巴“月餅門”事件,就是內部人員寫源碼進阿里系統,保證自己低價搶到兩盒月餅,阿里這樣的公司技術在中國是頂尖的,在內部還能反應過來,如果沒有源代碼級安全防護永遠沒有從根本上做到自主可控。而有了碼云平臺發現軟件開發過程,項目管理,自動部署,持續集成,測試全可以圍繞它打開。
論壇上行業(私有)云安全能力者聯盟(簡稱PCSA)宣布成立,理事長吳亞非為首批聯盟單位頒發了證書。PCSA在中國信息協會信息安全專業委員會的領導下組織成立,是信息安全專業委員會的一個工作組,由信息安全專業研究機構、信息安全測評機構、IT(安全)服務商、云安全產品及服務商、云平臺產品及服務商、信息安全媒體自愿結成的社會組織。聯盟的宗旨是致力于云安全關鍵技術及標準的研究、應用和推廣,為各行業(私有)云建設提供安全咨詢和解決方案;在國家信息安全等級保護制度的指導下,緊緊圍繞行業用戶需求及新技術特點,依托國家相關工程實驗室進行標準的驗證和落地,通過廣泛吸納行業云關鍵技術領域的生態組織,融匯聯盟成員智慧,同時加強對網際空間發展的跟蹤研判,加強國際安全產業交流,不斷提升安全研究能力、技術研發能力與落地能力,為我國重要行業的關鍵基礎設施網絡安全領域貢獻力量。未來,聯盟將吸納更多能力者企業。
PCSA官方微信公眾號 “行業(私有云)安全能力者聯盟”后續將陸續分享大會演講PPT精華版,欲進一步了解大會“干貨”,請關注PCSA官方微信。
