首页
首页  >  

云计算的安全保护策略和措施

2013-04-17  来源:中国信息产业网  作者:

公安部网络安全保卫局总工程师 郭启全

在座的各位专家、各位朋友,很高兴有这样的机会,把有关的云计算的内容,谈点个人体会,供大家参考。

题目好像有点大,实际上呢,我的内容希望尽量集中在政策角度,还有方向思路性的东西,那么要想把云计算的工作做好,那么先回顾一下我们国家这个近年来出台的有关信息安全方面的法律法规和政策。

去年的6月份,国务院印发了关于大力推进信息化发展和切实保障信息安全的若干意见,国发23号文,这个文件会对我们国家的信息化的发展和信息安全的工作,把握一个大的方向,所以这个文件非常重要。

第二就是去年的7月份,发改委公安部、财政部、国家保密局、国家电子政务内网办,我们五个部门联合印发了,关于进一步加强国家电子政务网络建设和应用的通知,发改高技1986号,此文件解决的是什么问题呢?就是政府部门部省市县四级政府,他的网络建设和应用大致的措施还有安全问题,这个文件都予以了明确的规定。

第三,是全国人大出台的关于加强网络信息保护的决定,这个决定侧重于保护个人信息,落实实名制,所以呢作为企业来讲,可以从中捕捉到商机,和我们国家最高立法部门对于信息保护的大致的策略,另外就是国务院在今年2月份,印发了关于推进物联网有序健康发展的指导意见,就是这个7号文。

再和大家通报一下,我估计近期五或者几个部委,要出台云计算健康发展的指导意见,因为相关部门都已经会签,对于云计算到底怎么发展,那么国家会出台相应的政策,指导全国让云计算有序健康的发展,那么前面给大家梳理了一下,国家的法律和政策,目的还是要我们各个方面认真研究和深入领会国家的法律政策,因为大的方向国家法律还有政策都已经确定了。因此认真研究领会把握发展方向这就是我们在开展云计算工作的时候,要了解的主要政策和法律。

下面简单介绍一下近年来,我们信息安全职能部门和行业主管部门,开展的信息安全工作,国家正在组织开展信息安全专项,首先是开展了下一代互联网安全防范的试点工作,现在中石油国税总局正在开展基于IPV6的专网的安全防护试点,和过渡期网站的安全防护试点工作,也就是如国家大面积推广的基于IPV6的下一代互联网,那么安全先行。在安全先行的过程当中,什么最重要?一些重要行业的网络和政府的网站,这个网站不是仅仅的一个网站,他也是业务应用系统,所以选择非常典型的网络和系统开展试点。这是我们几个部委开展最追求的工作之一。

第二,推进物联网云计算的安全政策具体措施的研究和出台,所以随着下一代互联网、物联网云计算,以及陆续的大数据,移动互联网相关政策措施的出台,会对我们国家这些新技术、新应用的发展起到一个推动作用。

第三,是已经开展研究下一代互联网信息安全标准和关键信息安全产品相关标准的编制工作,这项工作也是公安部在主管,那么还有是开展下一代互联网信息安全专项产品测试工作。在座的不知道了解不了解,就是基于IPV6的这个下一代互联网的信息安全专项产品,他的测试我们已经搞完了,发改委已经公布了我们检测的结果,发改委对于信息安全企业,提供支持,那么提供支持的依据就是公安部组织开展的安全产品的专项测试工作。

那么这些工作他关联性非常强,整个组成了信息安全专项工作,他的关联性,我们通过试点要验证在IPV6环境下,我们的专用网,我们的重要系统,我们的网站他的防护的策略,以及开放的试点搞一批试点,出台一批政策,研发一批产品支持一批企业。所以他的标准产品试点这三个工作,是紧密结合的,这就是我给大家通报的第一个信息,也是最重要的信息。

第二,重要行业和中央企业,深入开展等级保护工作。这几年几十个重要行业部门,分别出台行业的等级保护政策和标准规范,组织培训这个积极开展等级保护工作。防还是第一位的,所以呢这些重要行业,在这个安全防护,安全防范上,特别是以等级保护工作为抓手,认真开展工作,取得了很大成效,另外就是对于央企的工作,公安部会同国资委继出台相关的开展等级保护工作的文件,也举办了这个100多家央企的等级保护工作的培训会,推动央企的等级保护工作开展。

那么我们国家的安全工作的对象重中之重在什么呢?一是在政府,二就是国企,央企是国企的代表,这116家是最重要的,因此开展工作要抓重点,这就是重点。

第三,公安部从2010年开始连续三年组织全国公安机关,开展等级保护专项检查,以后每年都要搞,搞检查的目的一是为政府部门和中央企业提供支持和服务。第二督促检查指导企业,指导相关政府部门,开展好信息安全工作。这个检查是公安机关在执法,他和其他部门组织开展的工作不一样。另外公安部牵头几个部门,共同组织了为产、学、研、用、管等各个方面提供广泛的交流平台,就是最重要的这个,以后每年都要搞的这个成为最重要品牌的这个全国信息安全等级保护技术大会。

去年在这个技术大会上,我们请到了,先说这个会是谁主办的?这个中科院的这个工信技术中心,也就是中科院牵头办,公安部、工信部、保密局、密码局作为指导部门,参会的规模先说范围,一个是公安、一个是政府、一个央企、一个信息安全企业、一个专家,齐了吧?只要是关心信息安全的群体部门,他都来这个技术大会,参加这个技术大会,我们的目标还是给大家提供一个交流平台,不仅仅是技术交流,还给大家提供一个交流的机会,我认为这是最主要的目的,我们要把它作为品牌,今年6月份最晚也得7月份,还得召开,我和大家可以通报一下。

今年由公安部第三研究所来承办,公安办等几个部委,还是指导单位。第三,简单介绍一下,我们信息安全面对的形势和机遇,那么为什么谈形势,为什么还说这是机遇,这里面它是关联的,形势严峻是坏事也好事,因为对于企业来讲他就是个机遇,现在大家都知道,无论电视、媒体、网站铺天盖地的,炒作中国威胁论,炒作中国黑客攻击,其实中国是最大的受害者。

因此我们现在网络安全面临的形势,是威胁日趋严峻,他怎么就严峻呢?三个方面,来自境外的网络站的威胁日益严峻,日益升级,第二来自境内来的网络入侵攻击、破坏活动日益猖獗,网络维法犯罪活动日趋上升。那么作为关心信息安全的方方面面,那么我们要研究安全的方针、策略、技术、产品与应对。

第二,新技术、新应用给安全保护带来的新课题,这是我们企业还有相关的职能部门最为关心的,一个是基于IPV6的下一代互联网的应用,一个是物联网的应用,云计算的应用,移动互联网的应用,大数据的时代来临,这些新技术新应用的逐步推广,会有利地推动我们国家经济的发展,社会的发展,社会的进步。借鉴西方大国在新技术、新应用方面的经验、措施。比如说物联网、云计算的实施在西方大国有一些成功的经验,还有一些重要的数据证明云计算能极大地提高计算效率。对于有些国家来讲,通过云计算使得数据的安全性得到有效保护,节省资源,资料反映某国家推行云计算之后,他全国的数据中心能减少20%。

这是一个很了不起的事实、数据。还有降低能耗,降低25%,这些都是新技术、新应用带给全球、全世界以及我国即将产生的大的变化,但是新技术新应用,在大面积推开推广之前,首先要解决什么问题呢?还是安全问题,那么传统的安全问题,我们尚没有很好的解决,说实话这几年开展的工作,这6、7年我们国家的信息安全工作,基础工作得到了这个一定的提高,但是从我们的能力水平,针对网络站的威胁,我们的能力还差得太远,还太欠缺,我所谓的传统的安全问题,尚没有很好的解决,就是这个。

因为我们掌握的情况要多一些,国家的关键信息基础设施的底数,我们可能初步掌握,按照状况我们基本了解,外面的威胁内部的发展变化带来的新问题、新情况我们掌握。因此安全形势就是这样的形势,那么又有新的安全问题出现,因为新技术,新应用带来的安全问题必然考虑,所以这就是我为什么今天到这儿来给大家汇报,给大家解读,我们的一些安全政策。安全策略。

第三,党的十八大,对网络安全提出新的要求。十八大为我们国家今后发展定的调子,我比较关心党的十八大,对网络安全怎么看?大家都知道,这个在十八大报告当中,已经把网络安全和粮食安全、能源、资源安全,作为全球性问题对待,首先认识提高了。

第二,要关注海洋太空网络空间安全,又把网络安全提升到网络空间安全,地位又更加提高了。所以这就是党对于网络安全,网络空间安全的认识、给予他的地位,因此我们搞安全的人,这个应该说有了主心骨,无论是政府、企业专家有了一个主心骨。前面给大家通报一些内容,这个也是为第四个内容做一下铺垫,第四个我想谈谈有关云计算的云安全。首先谈云计算面临的威胁和风险,他到底都有哪些新问题新情况,因为云计算具有资源共享、数据大集中、虚拟化、基础设施和边界多变等特点。

所以使其面临更大的威胁和风险,因为数据大集中,对于某些国家,认为这是安全的,可是对于我们国家不一定安全。方便是方便了,但是我们应用的产品比国外的多,里面到底怎么样谁心里都清楚,搞安全的谁心里没个数。他安全吗?他偷起来更方便了,10个篮子鸡蛋,你都搁到一个筐里,他把那一个筐拎走了,他安全吗?这最普通的道理所以我们连那个威胁和风险更大了,所以搞云推广应用的这些同志们,别后脑勺子一热就加快推进,我们要讲科学发展、健康发展,健康发展不就科学发展吗?昨天上午我到某一个大央企开会,物联网的试点,说物联网飞快发展,飞速发展,这8个大的试点工程,我去给他评审方案,我一看这不行啊。依托互联网,加上传感器把那个东西弄起来,这就一个大智能的什么什么东西,智能油田,智能电网,这都智能化了,这是物联网做出的贡献,但是安全你要解决不好,那就危险了,所以呢我强调还是先来解决安全问题,因为他更容易遭受入侵攻击,他的数据安全、系统安全、服务安全、更具复杂性。这是他最大的风险和问题。

所以传统安全保护策略、技术、产品、不能完全适用,这一点我们要看准。第二,为云计算确定科学合理的安全保护方针和策略。这就是我们国务院或者几个部委,互相出台的文件当中一定要解决的,可能你要问的,你说为什么物联网的出了,云计算的没出来,别着急我们研究政策也得一个一个来,先把下一代互联网弄明白了,政策出来了试点也搞了,产品这个标准都在弄着,第二个把物联网的弄出来了,第三个就是云计算的。

所以我为什么通报大家,云计算的那个政策很快就出来。怎么一个方针和策略呢?云计算因为属于关键信息基础设施,他具有基础设施,基础信息网和重要信息系统的特征,国家信息安全等级保护制度,解决什么安全呢,基础网络和重要信息系统安全的,他是基本国策,基本制度。因此等级保护这个制度适用于云计算,使用于物联网,适用于下一代互联网,适用于新技术、新应用。大家可以查查这个国务院出台的物联网的那个文里面怎么说的,物联网要落实信息安全等级保护制度,云计算要落实信息安全等级保护制度,要开展定级、测评、安全建设整改、检查等一系列工作,你才能保证他的安全。

特别是刚才说的23号文,和7号文等文件,进一步明确要求,对于这个无论是物联网还是云计算,都提出贯彻落实这个制度,开展相关工作的要求。所以等级保护制度,对于新技术新应用,具有朴实性、实用。既然说等级保护,那么把一些等级保护,我们作为政策制订者和组织者,和组织者,公安部对于等级保护工作的一些思路和变化,给大家通报一下。

等级保护除了几个规定动作,定级、备案、安全、建设、整改、测评、检查五个规定动作之外,还要开展指导有关部门,监督有关部门开展安全监测、风险评估、灾备安全事件处置这个专项技术检测,安全产品管理,公共系统安全,都要在大制度下那么开展相关的这个相关工作。另外开展这些工作需要有支撑体系,这个支撑体系左面是政策,右面是标准,这是两个最重要的支撑,中间还有四个,一个是新技术、新应用的研究体系,国际战略研究体系,等级保护宣传培训体系,等级保护检查体系,靠这个体系支撑整个等级保护的开展,那么这些体系靠谁去完成,有几大方面的力量,一个是信息安全服务力量,服务机构、企业,一个是等级测评的队伍,他是公正的第三方,一个是领导协调机构,作为政府领导开展的工作的机构,还有等级保护的联络员,我们各重要行业部门的联络员,等级保护的专家队伍,这是几方面的队伍,发挥这些方面的作用和力量,最重要的力量是等级保护的监管队伍就是公安机关这支队伍,因为他是牵头组织者,来带领方方面面建立完善这样的体系开展这些工作,这就是我们等级保护的一些思路和想法以及策略。

第三,为云计算定制有针对性的安全保护路线图,我也在有些场合听到有些企业在讲云计算,有些讲的还是不错,比如说天融信他们搞过一次,云计算和等级保护的关系,讲云计算怎么落实等级保护制度,我们研究的比较透,什么叫定制呢?因为他是新技术、新应用,云计算有他的安全的特殊性,因此要认真研究信息系统等级保护安全设计技术要求,这个国家标准对于云计算更实用,他是按照一个中心、三维防护,五个保护重点的思路进行安全技术设计。他更适用于云这种大系统、大平台,再大的云也有计算环境,也有服务范围,也有边界,也有通讯范围,也有通讯,所以这个标准对他来讲是特实用的,第二针对不同的云,研究云计算系统云数据和云服务的安全保护措施。

第三,由于云计算主要由大量的分布式异构虚拟计算资源构成,多租户、同步以及日志中如何分离数据等技术问题,给云计算侦查取证工作带来很大挑战,这是我们公安机关提出来的。大家也得研究研究不仅仅研究云的保护,怎么保护的,还要研究什么呢?帮助我们公安机关研究什么呢?利用云和针对云的违法犯罪这里面公安机关要打击,打击怎么打?也得有技术,也得有产品,是这个道理吧?所以这就是商机,所以云计算的环境下,进行取证活动,需要在各个环节都保证证据的证明力,满足证据的关联要求、合法要求和真实性要求,这东西怎么来做?这还得企业帮助公安机关来做,所以从云计算来讲,安全我们认为一,大众方向、大众方针不能错。

第二,保护的措施需要共同研究,需要企业去进行深入研究,另外就是从公安机关,打击也是保护,打击犯罪就是保护你这个云计算的健康发展、有序发展。

由于时间的关系,不对的地方请各位批评、指正。谢谢!

关键词:云计算 去年的6月份,国务院印发了关于大力推进信息化发展和切实保障信息安全的若干意见,国发23号文,这个文件会对我们国家的信息化的发展和信息安全的工作,把握一个大的方向,所以这个文件非常重要。 云计算 IPV6 信息安全

相关新闻