PCSA《行業(yè)云安全解決方案》通過專家組評審

       2017年3月30日下午， 由中國信息協(xié)會信息安全專業(yè)委員會主辦的《行業(yè)云安全解決方案》專家評審會在萬壽賓館召開，十五位來自監(jiān)管單位、政府、運(yùn)營商、廣電、新華社、媒體、保險(xiǎn)、解放軍、信息安全及信息化的專家及數(shù)十位聯(lián)盟成員單位代表參加了本次會議。

 

 

 

 

 

       本次會議是信息安全專業(yè)委員會行業(yè)云安全工作組成立后的第四次專家會，是在“業(yè)務(wù)+數(shù)據(jù)”定義安全戰(zhàn)略，以及云計(jì)算時(shí)代云安全帶來的新挑戰(zhàn)的大背景下，行業(yè)云安全工作組聚合行業(yè)力量，在等級保護(hù)2.0時(shí)代，打造“合規(guī)+剛需”的行業(yè)云安全解決方案，滿足行業(yè)云建設(shè)的安全需求。

        專家組經(jīng)過一下午的討論和質(zhì)詢，專家們一致認(rèn)為設(shè)計(jì)方案依據(jù)政策標(biāo)準(zhǔn)方向準(zhǔn)確，圍繞可視、可管、可控、可持續(xù)的目標(biāo)，面向行業(yè)云“合規(guī)+剛需”的安全防護(hù)需求，借鑒“預(yù)測、防御、檢測和響應(yīng)”的自適應(yīng)安全防御框架，提出了行業(yè)云下一代網(wǎng)絡(luò)安全主動防御體系，為行業(yè)云平臺安全建設(shè)提供了指導(dǎo)性的解決方案。

        同時(shí)，專家們認(rèn)為行業(yè)云安全解決方案的目標(biāo)明確、框架合理，結(jié)構(gòu)完整、內(nèi)容祥實(shí)，圍繞核心關(guān)鍵能力的建設(shè)，提出的方案具有較強(qiáng)的適用性，可控展性和可操作性。

        另外，專家們認(rèn)為行業(yè)云安全解決方案首次較為全面地提出行業(yè)云環(huán)境下網(wǎng)絡(luò)安全保障體系框架，具有創(chuàng)新性和先進(jìn)性，對推動云計(jì)算安全等級保護(hù)標(biāo)準(zhǔn)的應(yīng)用實(shí)施和建立行業(yè)云安全生態(tài)鏈具有積極的作用。

        專家組給予方案編制組的同志們充分的肯定，在方案的創(chuàng)新性、完整性、可操作性等方面給于較高評價(jià)，中國信息協(xié)會信息安全專業(yè)委員會行業(yè)云安全工作組的《行業(yè)云安全解決方案》一致通過專家評審。

       以下為會議過程 ：

       第一階段：背景介紹

       中國信息協(xié)會信息安全專業(yè)委員會行業(yè)云安全工作組（PCSA）秘書長、PCSA主任專家委員致辭，闡述了工作組及工作任務(wù)的核心背景，面對眾多行業(yè)用戶行業(yè)云安全如何該如何建設(shè)，專業(yè)委員會決定聚集網(wǎng)絡(luò)安全行業(yè)的能力者，為行業(yè)云安全建設(shè)盲點(diǎn)進(jìn)行出謀劃策。

       信息安全專業(yè)委員會行業(yè)云安全工作組（PCSA）副秘書長就行業(yè)云工作組成立背景及主要工作任務(wù)做出詳細(xì)的介紹。

        第二階段：解決方案組匯報(bào)：

        行業(yè)云安全解決方案組組長代表工作組20多位同志的智慧結(jié)晶向?qū)＜医M進(jìn)行《行業(yè)云安全解決方案》匯報(bào)，一共分為四個(gè)篇章，背景、總體設(shè)計(jì)、詳細(xì)設(shè)計(jì)、方案總結(jié)。

        匯報(bào)中，在第一部分方案背景中特別指出業(yè)務(wù)＋數(shù)據(jù)定義安全戰(zhàn)略，并強(qiáng)調(diào)方案的設(shè)計(jì)目標(biāo)基于“預(yù)測、防護(hù)、檢測、響應(yīng)”自適應(yīng)安全體系，以按需提供云化安全服務(wù)為目標(biāo)，構(gòu)建云環(huán)境下的下一代的主動安全防御體系。通過整合不同安全能力，實(shí)現(xiàn)行業(yè)云安全的“合規(guī)＋剛需”目標(biāo)，推動云等保的落地實(shí)施。

        第二部分總體設(shè)計(jì)重點(diǎn)強(qiáng)調(diào)了方案核心設(shè)計(jì)的制度、標(biāo)準(zhǔn)依據(jù)、目的、原則，思想和框架。

           與會專家，通過兩個(gè)小時(shí)的聆聽，兩個(gè)小時(shí)的質(zhì)詢，對解決方案組方案的每一個(gè)篇章按照行業(yè)云場景，主要威脅、防范措施、關(guān)鍵技術(shù)、合規(guī)落地、可操作性都進(jìn)行了詳細(xì)的質(zhì)詢。

        國家發(fā)改委信息化專家，原審計(jì)署信息辦主任，行業(yè)云安全專家組副主任委員周德銘老師，特別關(guān)注方案的可操作性，圍繞等級保護(hù)十二年如一日，信息安全老問題和云時(shí)代新挑戰(zhàn)都存在，重點(diǎn)闡述了政務(wù)云兩大類“政府治理”和“公共服務(wù)”的兩類云環(huán)境應(yīng)用場景如何落地，提出相關(guān)的建議和意見，提出安全能力服務(wù)化，表示行業(yè)云安全工作組對行業(yè)云安全解決方案對制度和標(biāo)準(zhǔn)的理解很深入，并具有較高的集成性，建議方案能夠進(jìn)一步上升為行業(yè)云安全等級保護(hù)建設(shè)的規(guī)范指南，為政府治理行業(yè)云和公共服務(wù)行業(yè)云提供網(wǎng)絡(luò)安全的服務(wù)機(jī)制。

        行業(yè)云安全專家組專家 解放軍某信息安全中心 宋建平老師，圍繞云環(huán)境下信任于標(biāo)識的主題提出相關(guān)建議和意見，云和傳統(tǒng)最大的區(qū)別是讓行業(yè)用戶信任云，使用云一定要建立信任關(guān)系，合規(guī)是基礎(chǔ)，等級要標(biāo)識，用戶要標(biāo)識。建立強(qiáng)信任鏈，認(rèn)同合規(guī)+剛需的整體方案思路，建議做好行業(yè)協(xié)會帶動行業(yè)發(fā)展，讓用此方案的用戶放心，讓企業(yè)踏實(shí)研究。

       行業(yè)云安全專家組專家，原解放軍測評認(rèn)證中心主任，等級保護(hù)專家，肖穩(wěn)田老師重點(diǎn)圍繞等級保護(hù)在傳統(tǒng)信息系統(tǒng)中建設(shè)的盲點(diǎn)，弊端，方案落地性幾個(gè)方面，提出對于在云環(huán)境下的落地時(shí)，安全能力資源池要開放，兼容，可以被有效調(diào)度，加強(qiáng)信息安全管理體系和安全運(yùn)行體系與信息安全技術(shù)體系的銜接設(shè)計(jì)和耦合性提供了相關(guān)建議。

        行業(yè)云安全專家組專家，北京工業(yè)大學(xué)的趙勇老師，作為沈院士的弟子，對等級保護(hù)政策標(biāo)準(zhǔn)有著深刻的和獨(dú)到的見解，圍繞云平臺以及云服務(wù)商和云上信息系統(tǒng)定級，定級邊界，責(zé)任主體，提供了相應(yīng)的建議和意見，對于安全能力資源池與云管理平臺的調(diào)度聯(lián)動，云平臺，安全資源池自身安全性以及邊界云＋端技術(shù)的具體技術(shù)實(shí)現(xiàn)方面提出建議。

        行業(yè)云安全專家組專家，原中國移動集團(tuán)公司信息安全處處長周智老師，重點(diǎn)圍繞自適應(yīng)的安全體系，強(qiáng)調(diào)，實(shí)現(xiàn)“檢測、響應(yīng)、預(yù)測、防御”的手段和機(jī)制，以及說明深度和程度方面提出相關(guān)建議，要在安全運(yùn)維的能力上考慮相關(guān)適用在云上的建議。

        行業(yè)云安全專家組專家，新聞出版廣電總局監(jiān)管中心副總工張瑞芝老師，重點(diǎn)圍繞云場景，細(xì)化在不同云下的安全解決方案，例如私有云、混合云、對內(nèi)服務(wù)、對外服務(wù)、細(xì)化二、三、四級場景等方面以及如何信息安全體系縱深防御提出建設(shè)性的建議和意見。

       行業(yè)云安全專家組專家，新華社技術(shù)局實(shí)驗(yàn)室副主任丁望老師 提到行業(yè)云安全解決方案未來可以考慮以安全服務(wù)的方式提供和交付，丁老師也提到未來在大規(guī)模的云環(huán)境，比如存在分布式的數(shù)據(jù)中心時(shí)，整個(gè)云安全解決方案會不會很復(fù)雜、龐大，費(fèi)用成本等問題，同時(shí)如何支持復(fù)雜環(huán)境下的持續(xù)運(yùn)維保障能力，與平臺方的邊界界定等問題。

        行業(yè)云安全專家組專家，中央電視臺技術(shù)管理中心信息安全部處長琚宏偉老師 建議在方案中增加安全管理體系、安全運(yùn)行體系等部分的內(nèi)容，作為建設(shè)單位參考。

       行業(yè)云安全專家組專家，國家電子政務(wù)外網(wǎng)辦信息安全處處長邵國安老師，提到行業(yè)云的指向和定位到底是什么？比如可以先討論政務(wù)云的建設(shè)，首先要明確責(zé)任，云服務(wù)提供商、管理單位和租戶的責(zé)任義務(wù)及邊界，應(yīng)能主動發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常訪問、溯源反制、監(jiān)測預(yù)警及應(yīng)急處置等技術(shù)手段和解決方案。應(yīng)做到全天候全方位的感知網(wǎng)絡(luò)安全態(tài)勢，全過程的可控制、可管理和可追溯，網(wǎng)絡(luò)安全的本質(zhì)是對抗，所以做安全的最終目標(biāo)是讓云計(jì)算環(huán)境具備主動防御和一定免疫功能的安全保障環(huán)境。

       行業(yè)云安全專家組專家，標(biāo)準(zhǔn)研讀組組長、公安部等保中心主任助理，李明老師表達(dá)《行業(yè)云安全解決方案》充分展示了合規(guī)，已經(jīng)不再是目標(biāo)，而是安全線上的一條基礎(chǔ)線。剛需，已經(jīng)不在是合規(guī)，而是源于業(yè)務(wù)本身的基本需求。這次的通過專家組的評審使解決方案向落地更近一步。期待PCSA接下來的工作戰(zhàn)果。

       行業(yè)云安全專家組副主任委員，國土資源部顧炳中老師表達(dá)《行業(yè)云安全解決方案》對云基礎(chǔ)設(shè)施的安全與應(yīng)用數(shù)據(jù)的安全建設(shè)具有指導(dǎo)意義，業(yè)務(wù)和數(shù)據(jù)安全戰(zhàn)略，合規(guī)＋剛需的目標(biāo)非常明確和清晰。

       會議一致同意該方案通過評審，在會議現(xiàn)場完成《中國信息協(xié)會息安全專業(yè)委員會行業(yè)云安全工作組<行業(yè)云安全解決方案>專家評審意見》稿，并由專家組組長簽字確認(rèn)。

致謝：

 

標(biāo)簽： 安全 標(biāo)準(zhǔn) 服務(wù)商 媒體 企業(yè) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全行業(yè) 問題 信息安全 信息化 行業(yè) 用戶 云服務(wù) 云計(jì)算 云計(jì)算安全 政務(wù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。