行业｜云等保中的“安全能力者”

近日，中国首届行业(私有)云安全技术论坛暨联盟成立仪式于北京举行，联盟的宗旨是致力于云安全关键技术及标准的研究、应用和推广，在国家信息安全等级保护制度的指导下，广泛吸纳行业云关键技术领域的生态组织，为我国重要行业的关键基础设施网络安全领域贡献力量。

据介绍，新华三已经在全国建设了上百个云项目，对云安全等保有着深刻的体会。何平表示，华三云的优势在于建立了非常完善的网络安全服务体系，融合NFV软件安全、服务链、软件定义等新技术，使安全以服务方式交付，从各个层面帮助用户感知并主动防御网络安全威胁，让用户在系统上线的第一时间就得到完整的安全防护。

新华三安全产品线研发总监崔鹏介绍道，《信息安全技术 信息系统安全等级保护基本要求》目前规划了五个分册，第一分册是“通用安全要求”，第二个分册是“云计算安全技术要求”，其余分册的内容分别包含移动互联技术、物联网系统、工业控制系统等领域的内容，第一分册是其他分册的基础，其他四个分册都是针对不同领域，对第一分册的更新和补充。“云计算安全技术要求”分册针对云计算信息系统的特点，提出了云计算信息系统安全等级保护的安全要求，其中包括技术要求和管理要求，适用于指导分等级的云计算信息系统的安全建设和监督管理。

基于丰富的实践经验，新华三作为国内重要的云平台产品和服务商，参与了《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》（下文简称“云安全等保合规”）云等保相关标准的制定。

在新标准的参与上，新华三针对在云计算环境中应用到的主机虚拟化技术安全、软件定义网络技术安全、NFV技术安全和服务链技术安全等方面提出了相关的安全技术要求；在云计算环境中，云平台运维及运营管理方面也给出相关安全管理要求。

谈到新的云安全等保和以前有何不同时，崔鹏表示，新的等保基础标准扩大到了云计算、大数据、移动互联和工业控制四个方面，后面又衍生出五个子系统，云安全等保是专门的一块。云计算安全等保实际上是对原有等保标准在云计算方向上的补充。新的标准和传统等保相比，大的技术标准和管理要求没变，主要是针对新技术环境如虚拟化所带来的安全风险，增加了相应的要求，例如在架构上要实现不同云租户之间的网络隔离。“云安全等保合规”具体包括三个方面的内容：云计算环境下的安全威胁、云计算安全等级保护评测流程以及云计算安全等级保护要求。

崔鹏首先介绍了私有云和公有云在安全方面的区别，崔鹏认为，两个云本身架构不同，边界不同，所用标准也不同。私有云更加个性化，业务千差万别，同一个私有云里，不同的租户有着不同的要求。私有云和公有云相比，安全措施更加复杂，要求更高，例如政务系统就不能放到公有云上。

崔鹏强调，标准是一个辅助，行业经验非常重要。私有云的建设和安全性是非常复杂的系统性工程，要有很好的行业经验才能做好。并且，云的项目建设投入也非常大，不是所有人都有能力和机会去参与。新华三的业务包含了网络、计算、通信、安全、存储、虚拟化等，作为云平台产品和服务商，在全国已经建设了100多个行业云，其中10个为国家级的云项目，在基于云等保标准的云安全产品及技术上面有着丰富的实践经验。在很多方面，新华三已经形成了自己的技术优势，例如云平台里所使用的自己研发的云操作系统。崔鹏认为，这其实就是一个良性循环，项目越做越有经验，越有经验就做得更好。

在云时代，安全问题变得更加重要，让用户放心地使用云，而不是让安全成为云发展的障碍，这是未来网络安全建设的首要问题。崔鹏表示，一直以来，网络和安全是分不开的，现在建设云的时候，安全也是绕不开的一个问题。新华三将自身在云安全上丰富的技术和管理经验分享出来，在标准中体现，推动整个行业的发展。同时，新华三在云平台建设上也秉承开放的方式，通过行业(私有)云安全技术论坛暨联盟这种产业生态链，将更多优秀的产品和技术集成到自身的云平台中，将平台做得更好、更安全，给用户提供更多有价值的服务。