“业务＋数据”定义安全战略

       PCSA《行业云安全解决方案》通过专家组评审

       2017年3月30日下午， 由中国信息协会信息安全专业委员会主办的《行业云安全解决方案》专家评审会在万寿宾馆召开，十五位来自监管单位、政府、运营商、广电、新华社、媒体、保险、解放军、信息安全及信息化的专家及数十位联盟成员单位代表参加了本次会议。

 

 

 

 

 

       本次会议是信息安全专业委员会行业云安全工作组成立后的第四次专家会，是在“业务+数据”定义安全战略，以及云计算时代云安全带来的新挑战的大背景下，行业云安全工作组聚合行业力量，在等级保护2.0时代，打造“合规+刚需”的行业云安全解决方案，满足行业云建设的安全需求。

        专家组经过一下午的讨论和质询，专家们一致认为设计方案依据政策标准方向准确，围绕可视、可管、可控、可持续的目标，面向行业云“合规+刚需”的安全防护需求，借鉴“预测、防御、检测和响应”的自适应安全防御框架，提出了行业云下一代网络安全主动防御体系，为行业云平台安全建设提供了指导性的解决方案。

        同时，专家们认为行业云安全解决方案的目标明确、框架合理，结构完整、内容祥实，围绕核心关键能力的建设，提出的方案具有较强的适用性，可控展性和可操作性。

        另外，专家们认为行业云安全解决方案首次较为全面地提出行业云环境下网络安全保障体系框架，具有创新性和先进性，对推动云计算安全等级保护标准的应用实施和建立行业云安全生态链具有积极的作用。

        专家组给予方案编制组的同志们充分的肯定，在方案的创新性、完整性、可操作性等方面给于较高评价，中国信息协会信息安全专业委员会行业云安全工作组的《行业云安全解决方案》一致通过专家评审。

       以下为会议过程 ：

       第一阶段：背景介绍

       中国信息协会信息安全专业委员会行业云安全工作组（PCSA）秘书长、PCSA主任专家委员致辞，阐述了工作组及工作任务的核心背景，面对众多行业用户行业云安全如何该如何建设，专业委员会决定聚集网络安全行业的能力者，为行业云安全建设盲点进行出谋划策。

       信息安全专业委员会行业云安全工作组（PCSA）副秘书长就行业云工作组成立背景及主要工作任务做出详细的介绍。

        第二阶段：解决方案组汇报：

        行业云安全解决方案组组长代表工作组20多位同志的智慧结晶向专家组进行《行业云安全解决方案》汇报，一共分为四个篇章，背景、总体设计、详细设计、方案总结。

        汇报中，在第一部分方案背景中特别指出业务＋数据定义安全战略，并强调方案的设计目标基于“预测、防护、检测、响应”自适应安全体系，以按需提供云化安全服务为目标，构建云环境下的下一代的主动安全防御体系。通过整合不同安全能力，实现行业云安全的“合规＋刚需”目标，推动云等保的落地实施。

        第二部分总体设计重点强调了方案核心设计的制度、标准依据、目的、原则，思想和框架。

           与会专家，通过两个小时的聆听，两个小时的质询，对解决方案组方案的每一个篇章按照行业云场景，主要威胁、防范措施、关键技术、合规落地、可操作性都进行了详细的质询。

        国家发改委信息化专家，原审计署信息办主任，行业云安全专家组副主任委员周德铭老师，特别关注方案的可操作性，围绕等级保护十二年如一日，信息安全老问题和云时代新挑战都存在，重点阐述了政务云两大类“政府治理”和“公共服务”的两类云环境应用场景如何落地，提出相关的建议和意见，提出安全能力服务化，表示行业云安全工作组对行业云安全解决方案对制度和标准的理解很深入，并具有较高的集成性，建议方案能够进一步上升为行业云安全等级保护建设的规范指南，为政府治理行业云和公共服务行业云提供网络安全的服务机制。

        行业云安全专家组专家 解放军某信息安全中心 宋建平老师，围绕云环境下信任于标识的主题提出相关建议和意见，云和传统最大的区别是让行业用户信任云，使用云一定要建立信任关系，合规是基础，等级要标识，用户要标识。建立强信任链，认同合规+刚需的整体方案思路，建议做好行业协会带动行业发展，让用此方案的用户放心，让企业踏实研究。

       行业云安全专家组专家，原解放军测评认证中心主任，等级保护专家，肖稳田老师重点围绕等级保护在传统信息系统中建设的盲点，弊端，方案落地性几个方面，提出对于在云环境下的落地时，安全能力资源池要开放，兼容，可以被有效调度，加强信息安全管理体系和安全运行体系与信息安全技术体系的衔接设计和耦合性提供了相关建议。

        行业云安全专家组专家，北京工业大学的赵勇老师，作为沈院士的弟子，对等级保护政策标准有着深刻的和独到的见解，围绕云平台以及云服务商和云上信息系统定级，定级边界，责任主体，提供了相应的建议和意见，对于安全能力资源池与云管理平台的调度联动，云平台，安全资源池自身安全性以及边界云＋端技术的具体技术实现方面提出建议。

        行业云安全专家组专家，原中国移动集团公司信息安全处处长周智老师，重点围绕自适应的安全体系，强调，实现“检测、响应、预测、防御”的手段和机制，以及说明深度和程度方面提出相关建议，要在安全运维的能力上考虑相关适用在云上的建议。

        行业云安全专家组专家，新闻出版广电总局监管中心副总工张瑞芝老师，重点围绕云场景，细化在不同云下的安全解决方案，例如私有云、混合云、对内服务、对外服务、细化二、三、四级场景等方面以及如何信息安全体系纵深防御提出建设性的建议和意见。

       行业云安全专家组专家，新华社技术局实验室副主任丁望老师 提到行业云安全解决方案未来可以考虑以安全服务的方式提供和交付，丁老师也提到未来在大规模的云环境，比如存在分布式的数据中心时，整个云安全解决方案会不会很复杂、庞大，费用成本等问题，同时如何支持复杂环境下的持续运维保障能力，与平台方的边界界定等问题。

        行业云安全专家组专家，中央电视台技术管理中心信息安全部处长琚宏伟老师 建议在方案中增加安全管理体系、安全运行体系等部分的内容，作为建设单位参考。

       行业云安全专家组专家，国家电子政务外网办信息安全处处长邵国安老师，提到行业云的指向和定位到底是什么？比如可以先讨论政务云的建设，首先要明确责任，云服务提供商、管理单位和租户的责任义务及边界，应能主动发现网络攻击、异常访问、溯源反制、监测预警及应急处置等技术手段和解决方案。应做到全天候全方位的感知网络安全态势，全过程的可控制、可管理和可追溯，网络安全的本质是对抗，所以做安全的最终目标是让云计算环境具备主动防御和一定免疫功能的安全保障环境。

       行业云安全专家组专家，标准研读组组长、公安部等保中心主任助理，李明老师表达《行业云安全解决方案》充分展示了合规，已经不再是目标，而是安全线上的一条基础线。刚需，已经不在是合规，而是源于业务本身的基本需求。这次的通过专家组的评审使解决方案向落地更近一步。期待PCSA接下来的工作战果。

       行业云安全专家组副主任委员，国土资源部顾炳中老师表达《行业云安全解决方案》对云基础设施的安全与应用数据的安全建设具有指导意义，业务和数据安全战略，合规＋刚需的目标非常明确和清晰。

       会议一致同意该方案通过评审，在会议现场完成《中国信息协会息安全专业委员会行业云安全工作组<行业云安全解决方案>专家评审意见》稿，并由专家组组长签字确认。

致谢：

 

标签： 安全 标准 服务商 媒体 企业 网络 网络安全 网络安全行业 问题 信息安全 信息化 行业 用户 云服务 云计算 云计算安全 政务

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。