业内专家|“业务+数据”定义安全战略“合规+刚需”是未来趋势-PCSA《行业云安全解决方案》通过专家组评审

 

2017年3月30日下午, 由中国信息协会信息安全专业委员会主办的《行业云安全解决方案》专家评审会在万寿宾馆召开,十五位来自监管单位、政府、运营商、广电、新华社、媒体、保险、解放军、信息安全及信息化的专家及数十位联盟成员单位代表参加了本次会议。



本次会议是信息安全专业委员会行业云安全工作组成立后的第四次专家会,是在“业务+数据”定义安全战略,以及云计算时代云安全带来的新挑战的大背景下,行业云安全工作组聚合行业力量,在等级保护2.0时代,打造“合规+刚需”的行业云安全解决方案,满足行业云建设的安全需求。

专家组经过一下午的讨论和质询,专家们一致认为设计方案依据政策标准方向准确,围绕可视、可管、可控、可持续的目标,面向行业云“合规+刚需”的安全防护需求,借鉴“预测、防御、检测和响应”的自适应安全防御框架,提出了行业云下一代网络安全主动防御体系,为行业云平台安全建设提供了指导性的解决方案。

同时,专家们认为行业云安全解决方案的目标明确、框架合理,结构完整、内容祥实,围绕核心关键能力的建设,提出的方案具有较强的适用性,可控展性和可操作性

另外,专家们认为行业云安全解决方案首次较为全面地提出行业云环境下网络安全保障体系框架,具有创新性和先进性,对推动云计算安全等级保护标准的应用实施和建立行业云安全生态链具有积极的作用。

专家组给予方案编制组的同志们充分的肯定,在方案的创新性、完整性、可操作性等方面给于较高评价,中国信息协会信息安全专业委员会行业云安全工作组的《行业云安全解决方案》一致通过专家评审。


以下为会议过程 :

第一阶段:背景介绍

中国信息协会信息安全专业委员会行业云安全工作组(PCSA)秘书长、PCSA主任专家委员致辞,阐述了工作组及工作任务的核心背景,面对众多行业用户行业云安全如何该如何建设,专业委员会决定聚集网络安全行业的能力者,为行业云安全建设盲点进行出谋划策。



信息安全专业委员会行业云安全工作组(PCSA)副秘书长就行业云工作组成立背景及主要工作任务做出详细的介绍。


自去年10月20日,PCSA成立以来,就着手《行业云安全解决方案》的研究,可谓时间紧,任务重。PCSA成员单位分为五个工作组,分别是标准研读组,解决方案组、能力验证组、联合开发组、行业验证组,各司其职,聚合能力,加快解决方案的务实落地。《行业安全解决方案》将在2017年上半年国家几个重点实验室和联盟单位和行业用户进行落地验证。

第二阶段:解决方案组汇报:

行业云安全解决方案组组长代表工作组20多位同志的智慧结晶向专家组进行《行业云安全解决方案》汇报,一共分为四个篇章,背景、总体设计、详细设计、方案总结。





汇报中,在第一部分方案背景中特别指出业务+数据定义安全战略,并强调方案的设计目标基于“预测、防护、检测、响应”自适应安全体系,以按需提供云化安全服务为目标,构建云环境下的下一代的主动安全防御体系。通过整合不同安全能力,实现行业云安全的“合规+刚需”目标,推动云等保的落地实施。

第二部分总体设计重点强调了方案核心设计的制度、标准依据、目的、原则,思想和框架。



在第三部分,详细设计部分详细方案围绕总体框架,重点一个中心,三重防护为核心,详细分析云环境特点,以合规为基线,重点解决核心关键目标,按照云环境区域边界、通信网络、云计算环境,安全能力资源池和能力调度中心为核心,分析了各层风险和威胁以及安全措施。

专家组聆听介绍:




与会专家,通过两个小时的聆听,两个小时的质询,对解决方案组方案的每一个篇章按照行业云场景,主要威胁、防范措施、关键技术、合规落地、可操作性都进行了详细的质询。

国家发改委信息化专家,原审计署信息办主任,行业云安全专家主副主任委员周德铭老师,特别关注方案的可操作性,围绕等级保护十二年如一日,信息安全老问题和云时代新挑战都存在,重点阐述了政务云两大类“政府治理”和“公共服务”的两类云环境应用场景如何落地,提出相关的建议和意见,提出安全能力服务化,表示行业云安全工作组对行业云安全解决方案对制度和标准的理解很深入,并具有较高的集成性,建议方案能够进一步上升为行业云安全等级保护建设的规范指南,为政府治理行业云和公共服务行业云提供网络安全的服务机制。

行业云安全专家组专家 解放军某信息安全中心 宋建平老师,围绕云环境下信任于标识的主题提出相关建议和意见,云和传统最大的区别是让行业用户信任云,使用云一定要建立信任关系,合规是基础,等级要标识,用户要标识。建立强信任链,认同合规+刚需的整体方案思路,建议做好行业协会带动行业发展,让用此方案的用户放心,让企业踏实研究。

行业云安全专家组专家,原解放军测评认证中心主任,等级保护专家,肖稳田老师重点围绕等级保护在传统信息系统中建设的盲点,弊端,方案落地性几个方面,提出对于在云环境下的落地时,安全能力资源池要开放,兼容,可以被有效调度,加强信息安全管理体系和安全运行体系与信息安全技术体系的衔接设计和耦合性提供了相关建议。

行业云安全专家组专家,北京工业大学的赵勇老师,作为沈院士的弟子,对等级保护政策标准有着深刻的和独到的见解,围绕云平台以及云服务商和云上信息系统定级,定级边界,责任主体,提供了相应的建议和意见,对于安全能力资源池与云管理平台的调度联动,云平台,安全资源池自身安全性以及边界云+端技术的具体技术实现方面提出建议。

行业云安全专家组专家,原中国移动集团公司信息安全处处长周智老师,重点围绕自适应的安全体系,强调,实现“检测、响应、预测、防御”的手段和机制,以及说明深度和程度方面提出相关建议,要在安全运维的能力上考虑相关适用在云上的建议。

行业云安全专家组专家,新闻出版广电总局监管中心副总工张瑞芝老师,重点围绕云场景,细化在不同云下的安全解决方案,例如私有云、混合云、对内服务、对外服务、细化二、三、四级场景等方面以及如何信息安全体系纵深防御提出建设性的建议和意见。

行业云安全专家组专家,新华社技术局实验室副主任丁望老师 提到行业云安全解决方案未来可以考虑以安全服务的方式提供和交付,丁老师也提到未来在大规模的云环境,比如存在分布式的数据中心时,整个云安全解决方案会不会很复杂、庞大,费用成本等问题,同时如何支持复杂环境下的持续运维保障能力,与平台方的边界界定等问题

行业云安全专家组专家,中央电视台技术管理中心信息安全部处长琚宏伟老师 建议在方案中增加安全管理体系、安全运行体系等部分的内容,作为建设单位参考。

行业云安全专家组专家,国家电子政务外网办信息安全处处长邵国安老师,提到行业云的指向和定位到底是什么?比如可以先讨论政务云的建设,首先要明确责任,云服务提供商、管理单位和租户的责任义务及边界,应能主动发现网络攻击、异常访问、溯源反制、监测预警及应急处置等技术手段和解决方案。应做到全天候全方位的感知网络安全态势,全过程的可控制、可管理和可追溯,网络安全的本质是对抗,所以做安全的最终目标是让云计算环境具备主动防御和一定免疫功能的安全保障环境。

行业云安全专家组专家,标准研读组组长、公安部等保中心主任助理,李明老师表达《行业云安全解决方案》充分展示了合规,已经不再是目标,而是安全线上的一条基础线。刚需,已经不在是合规,而是源于业务本身的基本需求。这次的通过专家组的评审使解决方案向落地更近一步。期待PCSA接下来的工作战果。

行业云安全专家组副主任委员,国土资源部顾炳中老师表达《行业云安全解决方案》对云基础设施的安全与应用数据的安全建设具有指导意义,业务和数据安全战略,合规+刚需的目标非常明确和清晰。

会议一致同意该方案通过评审,在会议现场完成《中国信息协会息安全专业委员会行业云安全工作组<行业云安全解决方案>专家评审意见》稿,并由专家组组长签字确认。

致谢:



中新网安是PCSA行业(私有)云安全能力者联盟的首批成员单位,也是行业内新时代安全能力者的代表。中新网安为行业云解决方案输出两大核心能力:

  • 1. 大规模拒绝服务攻击云端防御与清洗

  • 2. 深度用户行为分析与威胁预警

中新网安的核心能力是大流量环境下广度和深度的攻击分析,通过一体化的服务能力,帮助用户具备风险关闭的能力。当下的网络世界是没有秩序的,表面上看是一场DDoS攻击,但极有可能是坏分子对业务系统的APT攻击终结。我国有大量的重要私有信息被境外黑客组织所关注,例如:医疗的临床试验数据,为国外的药品研制提供了大量的数据支撑。核心数据的流失主要在于我们没有足够充分的手段遏制该行为。

该解决方案,首先深入业务根本需求,根据业务的服务流向,业务的数据交换,业务风险环节等多维度判定风险偏好,结合产品工具快速落地,落实针对性风险偏好,结合产品工具快速落地,落实针对性风险策略,做到按需控制。面向全行业具有核心资产的组织机构,注重两端深度威胁,开展以防护数据核心资产及互联设备安全为核心的解决方案。