威胁常态化合规须先行,行业私有云安全如何落地

当今的网络安全是整体的而不是割裂的,是开放的而不是封闭的,是相对的而不是绝对的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系,并且是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。

网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了”。今年4月,习近平总书记在《在网络安全和信息化工作座谈会上的讲话》中明确指出:“加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”10月,习近平总书记,对网络强国建设提出了六个“加快”的要求,再次提到加快增强网络空间安全防御能力。

整个国际环境尤其是在未来的云环境下,威胁已经常态化,采用云计算技术以后,带来便利的同时,网络间边界将变成动态的,同时威胁也会发生新的不断的变化,在2016年三月的RSA大会上,云安全联盟对12大威胁进行了汇总分析,见下图:

云安全十二大威胁

不同于公有云承载的大部分是中小企业用户,重要行业的私有云会承载很多涉及到国家安全和社会公众利益的众多重要信息系统,有一定的独特性和安全性的考虑。要求安全保密性高、应用稳定性好、软硬件扩展性高、管理可控、过渡平滑、部署方式灵活,因此,行业(私有)云随着十三五信息化建设的大潮会成为国家关键信息基础设施的主力军,未来会成为国家关键信息基础设施格局的重要基石。

行业(私有)云中的重要基础设施、重要信息系统、重要公共服务三大领域成为了信息安全建设中重点保护对象。因此,安全是关键因素,如何进行行业私有云安全有效落地。国际第三方咨询机构Garnter也给出了最新的自适应防御体系的建议,引起安全业界的广泛关注。在整个自适应安全体系结构中,强调安全合规要先行,动态安全策略是关键,检测、响应、预测、防御是四个象限,由于合规是基础,所以,整体的行业(私有)云安全如何合规落地成为焦点。

10月10日的第五届等级保护大会提到,等级保护制度已经进入2.0时代,构建“打防管控”一体化的网络安全综合防护体系、开展信息通报预警平台、建立网络安全重大漏洞隐患的监测发现和整改督办机制,是需要思考和落实的重点问题。归结到行业(私有)云所面临的重要威胁的主要需求体现在:“大规模拒绝服务攻击云端防御与清洗”;“Web应用层及API接口防御与检测”;“高持续性威胁攻击(APT)检测与响应”;“核心数据资产保护与审计”; “大流量网络数据监控与分析”;“云端资源滥用和人员管理”;“安全能力虚拟化调度及策略可视化管理”等。

针对重要行业计算环境向云计算环境升级的广泛趋势,由中国信息协会信息安全专业委员会、公安部信息安全等级保护评估中心联合主办的2016首届中国行业(私有)云安全技术论坛将于10月20日召开,届时将面向行业用户及业内专家就云等保标准如何落地进行研讨。大会主旨,聚合国家安全研究机构、第三方测评服务机构、IT(安全)服务商、专注的安全能力者、云平台产品及服务商、专业媒体平台,为三大领域行业(私有)云安全保驾护航,具有重要的现实意义。

qq%e6%88%aa%e5%9b%be20161018115204

通过广泛吸纳行业云关键技术领域的生态组织,融汇联盟成员智慧,同时加强对网际空间发展的跟踪研判,不断提升安全研究能力、技术研发能力与落地能力,为我国重要行业的关键基础设施网络安全领域贡献力量。联盟未来将吸纳更多的云计算及信息安全领域的行业能力者,共同推动行业(私有)云和信息安全产业发展。