金秋十月的苏州,气候宜人,金桂与丹桂竞相吐芬争艳,情景恰如当今的网络安全领域一样,热闹非凡。
2016年10月20-22日,由信息安全与通信保密杂志主办、山石网科承办,中国计算机学会计算机安全专业委员会、中国网络空间安全协会、中国信息产业商会首席信息官分会、中关村可信计算产业联盟、中关村网络安全与信息化产业联盟、中国网信军民融合促进会等多家单位协办支持的以“创新驱动发展”为研讨主旨的“云起苏州、共话安全——新时代云安全创新策略高层研讨会”在苏州高新区科技城隆重召开。国内网络安全领域的主管部门领导、苏州高新科技城区领导、专家学者、行业精英,以及来自国家部委、江苏、安徽、广东、山东、河北、江西、河南等各级政府相关机构代表,新华社等媒体,近200人相聚苏州,共同研究探讨云安全策略的创新发展,推动新形势下云安全理论和技术创新发展。
中国计算机学会计算机安全专业委员会严明主任和信息安全与通信保密杂志执行副社长主持了此次峰会。会议由政策趋势研讨、行业应用研讨和行业沙龙三个板块组成,内容丰富,包括云安全政策解读、理论、标准、等级保护、技术创新……,涵盖金融、交通、电子政务、移动、保险、智慧城市等诸多行业和领域。
“云计算为我们描绘未来美好图景的同时,新的云端攻击方法层出不穷,云计算安全事件频发。面对如此形势,加快增强网络空间安全防御能力刻不容缓;业界对于云计算安全问题的认识越来越客观清晰,云安全也逐渐从理念走向实践;全社会对于云计算的期待与担忧并存,” 中国网络空间安全协会副秘书长赵宏志同时提出三点倡议:协作共筑云计算安全、创新驱动云计算安全、依法护航云计算安全。
山石网科总裁兼CEO罗东平在致辞中表示,“云起苏州·共话安全”,在这里进行新时代云安全的创新策略研讨恰逢其时,因为随着我国政府向公共服务政府的转型,政府对民生问题的重视不断加强,政务云作为新一代的数据服务和共享平台,将成为电子政务发展不可或缺的利器。在刚刚过去的杭州云栖大会上,我看到阿里云自己在预测,是2000亿美金的云计算市场。云计算市场,发展得非常迅猛,信息化和网络安全是一体之两翼、驱动之双轮,信息就是信息化和安全密不可分,实际上是一个共生的关系。
在推广安全方案的时候,接触了大量的政府、金融等互联网相关行业,以及很多大型的企事业单位。在这过程中我们发现,云计算环境下的安全问题,其实远比我们想象的严重得多。
虽然网络信息安全技术取得了很大的进步,但还有很大差距,发展具有国际竞争力的核心技术,加快国产自主创新,作为一线的网络安全公司,山石网科实际上对此非常有体会,山石和华为今年参加了NSSLabs的公开测试,我听说华为把这个号称史上最严苛的竞赛,比作行业的奥林匹克竞赛,我们两家都取得了非常优异的成绩。特别是山石网科超越了绝大多数世界顶级的厂家,在威胁综合检测率上排在第三,在整个客户价值上我们排在了第一的位置上,这是国内厂家第一次参加公开比拼。我觉得这不仅是我们山石网科感到非常振奋,我觉得整个国内的网络安全界应该是一种信心的提升。
本次研讨会大家都从不同的纬度,对我国云计算安全理论和实践作出各自的贡献,作为一线的网络安全厂商,山石网科将谨记“日日行,不怕千万里;常常做,不怕千万事”,发挥在云安全技术上面在全球领先的优势,秉承工匠精神,为云计算安全作出的贡献。
中国工程院倪光南院士在做《构建安全可控的信息技术体系》的主题演讲报告中表示,加快推进国产自主可控替代计划,构建安全可控的信息技术体系是我国网信领域的一个重要任务。在网信领域,需要处理好安全和发展的关系,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。因此,如果将网络安全和信息化作为两项独立的工作,分别对待,分别处理,或者仅仅将网络安全作为信息化的辅助措施都是不正确的。
在上午的政策趋势演讲环节,全国信息安全标准化委员会高级工程师王惠莅做了主题为《国家云计算安全标准制定工作介绍》的演讲。她表示已发布的国家标准,有GB/T31167-2014《信息安全技术 云计算服务安全指南》和GB/T31168-2014《信息安全技术云计算服务安全能力要求》,前一个标准标准主要面向政府部门,提出了使用云计算服务时的信息安全管理要求。第二个标准面向云服务商,提出了云服务商在为政府部门提供云计算服务时应该具备的信息安全能力要求两个标准在2014年-2015年在北京、上海、济南、成都、无锡和襄阳等6个城市进行了试点。是我国党政部门云计算服务安全管理的重要依据。
她还介绍了6项在研标准,包括《信息安全技术 云计算安全参考架构》,《云计算服务安全能力评估方法》,《信息安全技术 云桌面安全技术要求》,信息安全技术 网站安全云防护平台技术要求,信息安全技术政府门户网站云计算服务安全指南,信息安全技术云计算服务持续监管框架及技术规范。并表示下一步工作思考是,发布《云计算安全标准路线图》;采取国际标准化与国内标准化同步开展的策略,在积极开展国内标准化工作的同时,同步推进国际标准化工作,适时提出国际标准建议;广泛征求意见,结合试点工作,开展在研标准的验证工作;开展云桌面安全、云网站安全等产品标准的研制;结合国家网络安全审查需求,完善云计算服务网络安全审查支撑标准;结合新技术新应用的发展,探索云计算与大数据、云计算与智慧城市、云计算与关键信息基础设施等相关安全标准。
公安部信息安全等级保护评估中心常务副主任张宇翔做了主题为《云卷云舒——云计算安全等级保护标准的变与不变》的演讲报告。张主任在报告中表示,我们等级保护的标准,目前有关的制度变与不变,更准确说是云计算的等级保护标准变与不变。大家都很清楚从计算的形式、管理的形式,包括我们操作系统的发展,到最后我们安全的关注点,其实等级保护的基础是什么?就是关注业务信息的安全和系统的安全服务的连续性。这是我们等级保护核心的要点,是一个不变的地方,后面我们能看到整个云计算的标准,在制定和扩展的过程当中,是紧紧围绕核心的要点,云计算虽然复杂,但是它不神秘,不神秘是因为我们切切实实在使用,在面对。
平安集团资深安全产品经理、云安全联盟上海分会联席负责人沈勇做了主题为《云计算安全审计的现状和展望》的报告。他在报告中表示云计算安全审计目前存在的问题主要有云技术飞速发展而审计人员缺乏、审计方法耗时耗力而且频率过低、云服务商是大玩家,并对未来发展方向做出展望。
山石网科通信技术有限公司副总裁、首席技术专家杨庆华做了主题为《从御敌于国门之外 到云内处处设防》的演讲报告。他在报告表示,其实我们看到,现在的云计算中心,任何一个云计算中心的建设者,谁也不敢说我的云计算中心不做安全防护。没有任何人有这个胆量去做,所以做了大量的云计算的安全防护,防护在哪儿?边界。我们几乎看到所有的云计算中心都有高性能的、高稳定性的防火墙,高性能的、高稳定性的IPS防DOS等等,我们能想到的安全措施在云计算中心的边界几乎全有。但是内部是什么情况?外部重兵把守,内部畅通无阻。真正理解的云计算内部网络安全环境应是:云外需重兵把守,云内微隔离,云外敌强我弱、我明敌暗到云内敌弱我强,敌明我暗。未来必将取得云安全战略反攻的胜利。
安天实验室首席技术架构师、主要创始人肖新光做了主题为《虚拟化场景下的恶意代码威胁与防御》的报告。
下午的行业应用报告环节,由信息安全与通信保密杂志执行副社长唐莉主持。
江苏省国家密码管理局 包丰副局长在《电子政务云安全思考》演讲报告中,从物理安全、虚拟化安全、安全合规等角度谈了对电子政务云的思考。他指出基于云计算模式的电子政务对数据安全、隐私保护提出了更高的要求,在数据管理权与所有权分离的状态下这些问题显得更加突出。从电子政务的角度来看,需要严格界定电子政务云的应用边界,同时还要健全云计算数据保护的标准体系,建立完善的云计算服务平台建设规范和信息安全管理规范,从管理上最大限度地降低风险隐患。
中国交通通信信息中心交通运输信息安全中心技术总监、高级工程师杜渐在《交通运输行业安全工作实践》报告中表示,除了大数据、云计算,交通运输行业更多的是物联网特征明显,像货物的监测、车联网、船联网,还有桥梁、隧道联网等等,涉及到物联网的技术非常广泛。这样的模式之下,交通运输行业的信息化一是业务非常广泛,二是具有非常普遍的脆弱性。那么在关键基础设施领域安全保护策略方面,就需要加快关键基础设施保护政策法规标准制定,加快自主可控产品技术革新,明确数据开放范围并加强管控。
山石网科通信技术有限公司防火墙产品市场总监贾斌在《网络安全的巷战时代》演讲报告中表示内网安全防护中,巷战起了关键作用,并介绍了山石网科的内网安全解决方案——智·安全。
中兴通讯股份有限公司总裁助理、副总经理徐明,在《智慧城市的安全思考与实践》演讲中提出,安全生态圈是智慧城市安全之保证,安全生态圈是智慧城市安全之保证。
中科睿光软件技术有限公司产品总监刘冠川、北京易捷思达科技发展有限公司华东区技术顾问李宏辉、浪潮信息云及安全产品部安全产品经理厉雅洁从不同的角度做了云计算相关报告。
会议还举行了行业沙龙头脑风暴环节,CNCERT/B总工程师张京捷、中关村网络安全与信息化产业联盟企业移动计算工作组组长王克、山石网科通信技术有限公司总裁兼CEO罗东平、中兴通讯公共安全产品副总经理黄树强、安天首席战略官方华参与了主题为“新时代云安全创新战略思考”的行业沙龙,各位嘉宾各抒己见、见解深刻。
唐莉社长最后表示,谢谢在座的与会嘉宾坚持到现在。在我心里有很多的感慨,信息安全与通信保密杂志在业界三十多年以来确实受到了业界专家、企业的大力支持,也一路见证产业的发展历程,在这里一并感谢大家,希望在接下来的日子里我们能够有更多的合作。
