行业(私有)云安全技术联盟成立暨云等保标准研读

自公有云波澜壮阔地发展了一段时期之后,行业云、私有云或专有云,逐渐开始风起云涌,一个专注中国行业云/私有云安全的技术联盟应运而生。

1

一、行业(私有)云的市场有多大?

公有云目前的主要用户为中小企业,但国内中小企业在整个IT市场需求中占的比例很小,因此行业云/私有云的潜在市场非常巨大。当然,后者的建设周期要比前者长的多,而且随着时间的推移和安全问题的解决,公有云还会逐渐吃掉私有云的部分市场。

云市场具体的数字很难判断,但仍然可以大致估算一下。IDC的报告显示,2015年度国内整个公有云计算市场的总量约为56.8亿元,年平均增长率为79%。如果把国家部委、重点行业、大型国企与中小企业占IT系统市场的比例为10比1来看,行业云/私有云的潜在市场体量惊人。

但后者发展的障碍在于,云计算还存在一些问题,如政策相关、安全相关、责任相关等问题,许多机构还在犹豫是否上云,而且私有云的建设周期要长,因此还存在一定变数。

二、为什么成立行业(私有)云安全联盟?

之前许多人对云有一种认识,即公有云包打天下。但随着云的普及,在整个信息技术市场,占据重要地位的国家部委、政府机构、重点行业和大型国有企业,承载着重要信息系统和重要公共服务的安全运行,而这些网络信息系统一直都是各种网络犯罪活动和网络间谍活动觊觎并攻击的重要目标,习主席“没有网络安全就没有国家安全”的声音言犹在耳,因此行业云/私有云的需求突显。

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。

——习近平

在这个大背景下,本周四,首届中国行业(私有)云安全技术联盟宣布成立。

三、联盟组成机构

此次联盟成立活动,得到了公安部等保中心的大力支持,联盟挂靠在中国信息协会信息安全专业委员会,核心参与厂商分为三大类:

IT安全服务商

  • 太极股份(主要行业:政府)
  • 中国电信集成(主要行业:中国电信)
  • 捷成世纪(主要行业:广电)
  • 华胜天成(主要行业:金融)
  • 太极华青(主要行业:财税)
  • 神州泰岳(主要行业:中国移动)

云安全产品及服务商

  • 中新网安(核心能力:抗DDoS、APT)
  • 圣博润(核心能力:堡垒机)
  • 安博通(核心能力:安全可视化)
  • 金电网安(核心能力:数据交换控制)
  • 科来软件(核心能力:网络流量大数据分析)
  • 景安云信(核心能力:防问控制)

云平台产品及服务商

  • 新华三
  • 华为
  • 国信新网

2

据联盟主要负责人介绍,选择联盟企业成员将恪守“五大能力壁垒”

1. 创始人团队:核心人员稳定度在5年以上,并对信息安全领域有深刻理解。

2. 技术研发能力:研发团队至少50人以上,并有3年以上的团队合作经验。

3. 研究能力:研究团队至少20人以上,长期沉淀的核心安全技术,在相应市场领域占前三位。

4. 产品化能力:产品易用性已经市场检验,销售额利润已具备一定规模。

5. 服务转化能力:可以将安全能力转化为产品或平台,不完全依赖人工。

四、云安全等保标准研读

公安部等保中心主任助理李明在联盟论坛的演讲中表示,正在评审修订的云等保标准有三大特点:

复杂但不神秘——信息技术与商业模式结合的自然产物;
巨大但不模糊——云计算环境中具备清晰的等级保护对象;
多方但不混乱——云租户是网络安全的最终责任人。

在平台安全方面:

基础设施、云管理平台(云操作系统,Hypervisor)的组件自身安全应遵循《安全通用要求》;
登录云管理平台的管理用户进行相应等级的身份鉴别,确保云平台运维管理员和云服务管理员权限分离;
当进行远程管理时,管理终端和云计算平台边界设备要建立双向身份验证机制。

在资源隔离方面:

应保证云平台管理流量与云租房业务流量分离;
禁止虚拟实例直接访问宿主机上的物理硬件;
不同虚拟机之间的虚拟CPU指令隔离;
应保证分配给虚拟机的内存空间仅供期独占访问;
应根据承载的业务系统安全保护等级划分资源池,并实现资源池之间的隔离;
应保证虚拟机仅能迁移至相同安全保护等级的资源池。

在数据安全方面:

应提供查询云租房数据及备份存储位置的方式;
应保证云租房业务及数据能移植到其他云平台或者迁移到本地信息系统;
确保虚拟机迁移过程中的完整性保护和信息防泄露;
对虚拟机镜像文件进行完整性保护和更新,检测非授权修改;
对虚拟机快照文件进行保密性保护。

注意事项:

定级对象需满足通用要求和云计算扩展要求;
云计算虚拟对象需要满足通用要求中的部分要求;
一般信息系统对象需要满足扩展要求的部分要求;
云平台既需要具备相应等级自身保护能力,也需要具备提供云上应用相应等级的保护能力。

作为参与等保标准制定的厂商新华三,在讨论对云等保标准的理解和落地时表示,新华三已经在各省市建立上了百朵云,积累了宝贵的经验。新的等保标准扩展了云计算、大数据、移动互联和工业控制四个方面。其中云等保是在原有等保标准的技术和管理要求的基础上,增加了对虚拟化环境下相应的要求,增加了若干风险点,如网络架构要实现不同云租户之间的网络隔离。

五、为什么要建设行业云或私有云?

同时作为联盟的核心厂商新华三,其参会代表在接受记者采访时表示,从安全来讲,云计算的发展目前面临的最重要挑战就是安全,包括访问安全和数据安全,而行业云或私有云可以在一定程度上缓解用户的担忧。

此外,面对的用户需求不一样。相比公有云提供标准化的服务而言,行业云/私有云的管理、业务或应用具有多样性,会出现更多的定制化需求。尤其是云的建设者需要对甲方的环境有着较深的理解,包括对方的IT架构、管理监管体系、业务流程和应用环境等。

虽然国家一直在强调网络安全的重要性,但实际上无论是个人还是企业忽视安全问题、缺乏安全意识还是个普遍现象,以致于网络安全成为国内信息技术全面发展的一个短板。

从另一面来看,云计算的发展在碰到安全这个瓶颈时,反过来一定会倒逼安全的发展。即将推出的云安全等保标准,能够消除很多安全上的担忧,必将极大的促进云计算的发展,这是一个水到渠成的自然结果。

相关阅读

云安全等保的前世今生

 


王小瑞
财经、IT文章写作者,社会工程学名著《欺骗的艺术》译者,《财经界》杂志长期撰稿人,曾任中国计算机安全网、光芒网主编,现任安全牛主编。

0 评

忘记密码