AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
兩大重磅分享丨共話網絡安全服務產業發展&探討網絡安全標準與實踐
9月11-17日,2023年國家網絡安全宣傳周主會場在福州成功舉辦。安恒信息多維度參加本次活動,助力網安科普、賦能數字建設。安恒信息首席安全官、高級副總裁袁明坤出席“網絡安全服務產業發展分論壇”并參與圓桌對話。安恒信息高級副總裁劉志樂在“網絡安全標準與實踐分論壇”上作《云計算服務安全標準落地實踐》主題演講。
網絡安全服務的新需求、新規則、新挑戰
9月16日,2023年國家網絡安全宣傳周“網絡安全服務產業發展分論壇”成功在福州舉辦。論壇由中央網信辦網絡安全協調局指導,中國網絡安全產業聯盟和中國電子技術標準化研究院主辦。
袁明坤在以“網絡安全服務的新需求、新規則、新挑戰”為主題的圓桌對話上,分享了對網絡安全服務產業的新需求與新挑戰的見解。
袁明坤首先強調了標準在服務產業中的重要性。他指出,當前網絡安全服務產業存在低價、同質化競爭以及基礎服務工作人力堆砌等問題。這些問題部分源于產業自身的問題,但企業用戶對網絡安全服務需求的明確度不足也是原因之一,大多數企業用戶的需求仍主要集中在等保合規階段。而事實上,等保合規只是網絡安全的基礎,為了更有效的保障企業用戶的網絡安全,后面還有更多的工作需要做。
他接著說:“安恒信息參與了很多國家級的安全服務項目,如大運會和亞運會,場館里的核心系統都需要過等保。但這還遠遠不夠。”他進一步解釋,等級保護只是起點,為了確保國家重大活動的順利進行,還需要進行更多的工作,比如攻防演練、滲透測試和建立應急機制等。
由于國家層面和社會對網絡安全的重視度提高,不論是國家級攻防演練還是行業用戶對網絡安全實戰化的要求,都開始重視網絡安全服務。這對于服務產業來說是一個非常好的信號。袁明坤表示:“我已經從事安全服務20年了,我相信我能做到50年。但我更希望企業用戶對安全服務的需求能更加科學。”
例如國外GDPR法案、CMMC標準或是其他的法律法規標準,就是有了這些國家要求的驅動,企業才會重視安全,才會愿意解決一些價格低、競爭復雜的問題。“我們期待國家能出臺更多落地標準,以及更加細化的行業規則來引導并明確用戶對服務的需求。”
在談到人工智能對網絡安全服務產業的沖擊時,袁明坤認為人工智能是機遇而非僅是挑戰。他指出,在接下來的3到5年內,人工智能可能會成為一個幫助安全服務人員提升能力的工具。然而,這需要安全服務團隊愿意接受并利用這一新技術。
“AI大模型對于網絡安全服務產業來說并不是萬能的,但在服務產業升級過程中,安全服務人員在人工分析過程中積累的知識庫、流程、標準以及對不同行業的業務理解才是最重要的內容。”袁明坤如是說,可以將這些內容形成核心數據,再結合AI大模型的能力,才能真正助力服務產業的持續升級并提升團隊的競爭力。這是人工智能所帶來的服務產業升級最大的機會。
云計算服務安全標準落地實踐
9月17日,由全國信息安全標準化技術委員會秘書處、中國電子技術標準化研究院主辦的“網絡安全標準與實踐分論壇”在福州成功舉辦。
劉志樂介紹《云計算服務安全標準落地實踐》。他強調,在云計算市場競爭升級的背景下,云服務商需要不斷提高自身的效率和性能,以滿足用戶不斷增長的需求。同時,云安全治理也需要得到更多的重視,通過持續開展安全運營,保障用戶的數據安全和隱私。
云計算安全標準的落地實踐是保障云計算安全的重要工作。目前,我國已經相繼發布了云計算技術以及云計算安全相關的系列標準,其中兩項由安恒信息參與起草的《信息安全技術 云計算服務安全能力要求》和《信息安全技術 云計算服務安全指南》也已正式發布。
《信息安全技術 云計算服務安全能力要求》規定了云計算服務應具備的安全能力要求,包括數據安全、系統安全、網絡安全等方面。《信息安全技術 云計算服務安全指南》則提供了云計算服務安全管理的基本原則,包括客戶數據和業務的安全責任、云計算平臺上客戶業務系統的運行監管、退出服務的流程等。這兩項標準的發布,為云計算服務提供了更為詳細的安全指導和要求。
提到云計算服務安全管理基本原則,劉志樂介紹到,“安全管理責任不宜隨服務外包而轉移,無論客戶數據和業務是位于內部信息系統還是云服務商的云計算平臺上,客戶都是安全的最終責任人。客戶提供給云服務商的數據、設備等資源,以及云計算平臺上客戶業務系統運行過程中收集、產生、存儲的數據和文檔等都宜屬客戶所有,客戶擁有這些資源的全部控制權。”
另外,客戶數據和業務的司法管轄權不宜因采用云計算服務而改變。除非我國法律法規有明確規定,云服務商不得依據其他國家的法律和司法要求將客戶數據及相關信息提供給他國政府及組織。
同時,承載客戶數據和業務的云計算平臺宜按照國家或行業管理要求進行管理,為客戶提供云計算服務的云服務商宜遵守國家或行業相關安全管理政策及文件。還要堅持先評后用原則,客戶宜要求云服務商具備保障客戶數據和業務系統安全的能力,并通過第三方評估機構的安全評估。客戶宜選擇通過評估的云服務商,并監督云服務商切實履行安全責任,落實安全管理和防護措施。
劉志樂進一步介紹說,在云計算服務生命周期安全管理方面,主要分為規劃準備、選擇服務商與部署、運行監管和退出服務四個階段。在規劃準備階段,客戶應確定自身上云的數據和業務類型;根據數據和業務的類型確定云計算服務的安全能力要求。在選擇云服務商與部署階段,客戶宜根據安全需求、云計算服務的安全能力和安全評估結果選擇云服務商。在運行監管階段,客戶宜指導監督云服務商履行合同規定的責任義務。在退出云計算服務時,客戶宜要求云服務商履行相關責任和義務,確保退出云計算服務階段數據和業務安全。
安恒信息在云安全方案架構方面擁有多年的實踐經驗。例如,某省移動為滿足省內政企客戶的多樣化需求,打造“網+云+DICT”一站式解決方案,其中網絡安全產品作為其中重要的一環,主要向政企云客戶提供安全能力,實現業務系統的安全加固,并助力用戶實現等保合規。通過采用安恒信息的云安全解決方案,全省一盤棋打造對外統一的安全服務,安全能力按照“集中+近源”的架構進行部署,有效激活云、IDC、專線全場景客戶,并以此為抓手拉通各級部門協同作戰,有效減低建設成本和運營成本,幫助客戶有效提升了對外服務的綜合競爭力,以安全增值服務助力業務轉型升級。
作為連續十年從未缺席國家網絡安全宣傳周的網絡安全企業,安恒信息致力于構建安全可信的數字世界。在未來,安恒信息將不忘初心,持續耕耘,專注前沿科技研發、安全服務優化,在數字時代保持核心競爭力,為用戶帶來更完善的服務,為數字經濟牢筑安全堡壘。
往期精彩回顧
2023-09-19
2023-09-18
