北京字典价格联盟

行业|云等保中的“安全能力者”

楼主:中国信息安全 时间:2018-06-08 16:38:08

点击上方“中国信息安全” 可以订阅
随着信息安全形势的变化,云计算的应用加速,公安部信息安全等级保护评估中心主导制定了《云计算信息安全等级保护基本要求》《云计算信息安全等级保护测评要求》等云安全标准,推动行业(私有)云安全建设规范化。

近日,中国首届行业(私有)云安全技术论坛暨联盟成立仪式于北京举行,联盟的宗旨是致力于云安全关键技术及标准的研究、应用和推广,在国家信息安全等级保护制度的指导下,广泛吸纳行业云关键技术领域的生态组织,为我国重要行业的关键基础设施网络安全领域贡献力量。


云安全等保的特点
新华三作为联盟中的“安全能力者”,在会上解读了对云等保标准的看法,新华三安全产品部总工何平认为,要满足等级保护的要求,不仅要实现云租户资源独立、按需交付,还要满足等级保护安全合规、稳定可靠。


据介绍,新华三已经在全国建设了上百个云项目,对云安全等保有着深刻的体会。何平表示,华三云的优势在于建立了非常完善的网络安全服务体系,融合NFV软件安全、服务链、软件定义等新技术,使安全以服务方式交付,从各个层面帮助用户感知并主动防御网络安全威胁,让用户在系统上线的第一时间就得到完整的安全防护。

新华三安全产品线研发总监崔鹏介绍道,《信息安全技术 信息系统安全等级保护基本要求》目前规划了五个分册,第一分册是“通用安全要求”,第二个分册是“云计算安全技术要求”,其余分册的内容分别包含移动互联技术、物联网系统、工业控制系统等领域的内容,第一分册是其他分册的基础,其他四个分册都是针对不同领域,对第一分册的更新和补充。“云计算安全技术要求”分册针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算信息系统的安全建设和监督管理。

基于丰富的实践经验,新华三作为国内重要的云平台产品和服务商,参与了《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云安全等保合规”)云等保相关标准的制定。

在新标准的参与上,新华三针对在云计算环境中应用到的主机虚拟化技术安全、软件定义网络技术安全、NFV技术安全和服务链技术安全等方面提出了相关的安全技术要求;在云计算环境中,云平台运维及运营管理方面也给出相关安全管理要求。

谈到新的云安全等保和以前有何不同时,崔鹏表示,新的等保基础标准扩大到了云计算、大数据、移动互联和工业控制四个方面,后面又衍生出五个子系统,云安全等保是专门的一块。云计算安全等保实际上是对原有等保标准在云计算方向上的补充。新的标准和传统等保相比,大的技术标准和管理要求没变,主要是针对新技术环境如虚拟化所带来的安全风险,增加了相应的要求,例如在架构上要实现不同云租户之间的网络隔离。“云安全等保合规”具体包括三个方面的内容:云计算环境下的安全威胁、云计算安全等级保护评测流程以及云计算安全等级保护要求。

新华三在私有云建设上的“安全能力”

崔鹏首先介绍了私有云和公有云在安全方面的区别,崔鹏认为,两个云本身架构不同,边界不同,所用标准也不同。私有云更加个性化,业务千差万别,同一个私有云里,不同的租户有着不同的要求。私有云和公有云相比,安全措施更加复杂,要求更高,例如政务系统就不能放到公有云上。

崔鹏强调,标准是一个辅助,行业经验非常重要。私有云的建设和安全性是非常复杂的系统性工程,要有很好的行业经验才能做好。并且,云的项目建设投入也非常大,不是所有人都有能力和机会去参与。新华三的业务包含了网络、计算、通信、安全、存储、虚拟化等,作为云平台产品和服务商,在全国已经建设了100多个行业云,其中10个为国家级的云项目,在基于云等保标准的云安全产品及技术上面有着丰富的实践经验。在很多方面,新华三已经形成了自己的技术优势,例如云平台里所使用的自己研发的云操作系统。崔鹏认为,这其实就是一个良性循环,项目越做越有经验,越有经验就做得更好。

在云时代,安全问题变得更加重要,让用户放心地使用云,而不是让安全成为云发展的障碍,这是未来网络安全建设的首要问题。崔鹏表示,一直以来,网络和安全是分不开的,现在建设云的时候,安全也是绕不开的一个问题。新华三将自身在云安全上丰富的技术和管理经验分享出来,在标准中体现,推动整个行业的发展。同时,新华三在云平台建设上也秉承开放的方式,通过行业(私有)云安全技术论坛暨联盟这种产业生态链,将更多优秀的产品和技术集成到自身的云平台中,将平台做得更好、更安全,给用户提供更多有价值的服务。


长按二维码关注“中国信息安全”公众



朋友 图片 表情 草稿箱
请遵守社区公约言论规则,不得违反国家法律法规