首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

兩大重磅分享丨共話網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展&探討網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與實(shí)踐

閱讀量：次 文章來源：安恒信息

9月11-17日，2023年國家網(wǎng)絡(luò)安全宣傳周主會(huì)場(chǎng)在福州成功舉辦。安恒信息多維度參加本次活動(dòng)，助力網(wǎng)安科普、賦能數(shù)字建設(shè)。安恒信息首席安全官、高級(jí)副總裁袁明坤出席“網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展分論壇”并參與圓桌對(duì)話。安恒信息高級(jí)副總裁劉志樂在“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與實(shí)踐分論壇”上作《云計(jì)算服務(wù)安全標(biāo)準(zhǔn)落地實(shí)踐》主題演講。

網(wǎng)絡(luò)安全服務(wù)的新需求、新規(guī)則、新挑戰(zhàn)

9月16日，2023年國家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展分論壇”成功在福州舉辦。論壇由中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局指導(dǎo)，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟和中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦。

袁明坤在以“網(wǎng)絡(luò)安全服務(wù)的新需求、新規(guī)則、新挑戰(zhàn)”為主題的圓桌對(duì)話上，分享了對(duì)網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)的新需求與新挑戰(zhàn)的見解。

袁明坤首先強(qiáng)調(diào)了標(biāo)準(zhǔn)在服務(wù)產(chǎn)業(yè)中的重要性。他指出，當(dāng)前網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)存在低價(jià)、同質(zhì)化競(jìng)爭(zhēng)以及基礎(chǔ)服務(wù)工作人力堆砌等問題。這些問題部分源于產(chǎn)業(yè)自身的問題，但企業(yè)用戶對(duì)網(wǎng)絡(luò)安全服務(wù)需求的明確度不足也是原因之一，大多數(shù)企業(yè)用戶的需求仍主要集中在等保合規(guī)階段。而事實(shí)上，等保合規(guī)只是網(wǎng)絡(luò)安全的基礎(chǔ)，為了更有效的保障企業(yè)用戶的網(wǎng)絡(luò)安全，后面還有更多的工作需要做。

他接著說：“安恒信息參與了很多國家級(jí)的安全服務(wù)項(xiàng)目，如大運(yùn)會(huì)和亞運(yùn)會(huì)，場(chǎng)館里的核心系統(tǒng)都需要過等保。但這還遠(yuǎn)遠(yuǎn)不夠?！彼M(jìn)一步解釋，等級(jí)保護(hù)只是起點(diǎn)，為了確保國家重大活動(dòng)的順利進(jìn)行，還需要進(jìn)行更多的工作，比如攻防演練、滲透測(cè)試和建立應(yīng)急機(jī)制等。

由于國家層面和社會(huì)對(duì)網(wǎng)絡(luò)安全的重視度提高，不論是國家級(jí)攻防演練還是行業(yè)用戶對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)化的要求，都開始重視網(wǎng)絡(luò)安全服務(wù)。這對(duì)于服務(wù)產(chǎn)業(yè)來說是一個(gè)非常好的信號(hào)。袁明坤表示：“我已經(jīng)從事安全服務(wù)20年了，我相信我能做到50年。但我更希望企業(yè)用戶對(duì)安全服務(wù)的需求能更加科學(xué)。”

例如國外GDPR法案、CMMC標(biāo)準(zhǔn)或是其他的法律法規(guī)標(biāo)準(zhǔn)，就是有了這些國家要求的驅(qū)動(dòng)，企業(yè)才會(huì)重視安全，才會(huì)愿意解決一些價(jià)格低、競(jìng)爭(zhēng)復(fù)雜的問題?！拔覀兤诖龂夷艹雠_(tái)更多落地標(biāo)準(zhǔn)，以及更加細(xì)化的行業(yè)規(guī)則來引導(dǎo)并明確用戶對(duì)服務(wù)的需求?！?

在談到人工智能對(duì)網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)的沖擊時(shí)，袁明坤認(rèn)為人工智能是機(jī)遇而非僅是挑戰(zhàn)。他指出，在接下來的3到5年內(nèi)，人工智能可能會(huì)成為一個(gè)幫助安全服務(wù)人員提升能力的工具。然而，這需要安全服務(wù)團(tuán)隊(duì)愿意接受并利用這一新技術(shù)。

“AI大模型對(duì)于網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)來說并不是萬能的，但在服務(wù)產(chǎn)業(yè)升級(jí)過程中，安全服務(wù)人員在人工分析過程中積累的知識(shí)庫、流程、標(biāo)準(zhǔn)以及對(duì)不同行業(yè)的業(yè)務(wù)理解才是最重要的內(nèi)容?！痹骼と缡钦f，可以將這些內(nèi)容形成核心數(shù)據(jù)，再結(jié)合AI大模型的能力，才能真正助力服務(wù)產(chǎn)業(yè)的持續(xù)升級(jí)并提升團(tuán)隊(duì)的競(jìng)爭(zhēng)力。這是人工智能所帶來的服務(wù)產(chǎn)業(yè)升級(jí)最大的機(jī)會(huì)。

云計(jì)算服務(wù)安全標(biāo)準(zhǔn)落地實(shí)踐

9月17日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處、中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦的“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與實(shí)踐分論壇”在福州成功舉辦。

劉志樂介紹《云計(jì)算服務(wù)安全標(biāo)準(zhǔn)落地實(shí)踐》。他強(qiáng)調(diào)，在云計(jì)算市場(chǎng)競(jìng)爭(zhēng)升級(jí)的背景下，云服務(wù)商需要不斷提高自身的效率和性能，以滿足用戶不斷增長(zhǎng)的需求。同時(shí)，云安全治理也需要得到更多的重視，通過持續(xù)開展安全運(yùn)營，保障用戶的數(shù)據(jù)安全和隱私。

云計(jì)算安全標(biāo)準(zhǔn)的落地實(shí)踐是保障云計(jì)算安全的重要工作。目前，我國已經(jīng)相繼發(fā)布了云計(jì)算技術(shù)以及云計(jì)算安全相關(guān)的系列標(biāo)準(zhǔn)，其中兩項(xiàng)由安恒信息參與起草的《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》和《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》也已正式發(fā)布。

《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》規(guī)定了云計(jì)算服務(wù)應(yīng)具備的安全能力要求，包括數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全等方面。《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》則提供了云計(jì)算服務(wù)安全管理的基本原則，包括客戶數(shù)據(jù)和業(yè)務(wù)的安全責(zé)任、云計(jì)算平臺(tái)上客戶業(yè)務(wù)系統(tǒng)的運(yùn)行監(jiān)管、退出服務(wù)的流程等。這兩項(xiàng)標(biāo)準(zhǔn)的發(fā)布，為云計(jì)算服務(wù)提供了更為詳細(xì)的安全指導(dǎo)和要求。

提到云計(jì)算服務(wù)安全管理基本原則，劉志樂介紹到，“安全管理責(zé)任不宜隨服務(wù)外包而轉(zhuǎn)移，無論客戶數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計(jì)算平臺(tái)上，客戶都是安全的最終責(zé)任人?？蛻籼峁┙o云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計(jì)算平臺(tái)上客戶業(yè)務(wù)系統(tǒng)運(yùn)行過程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等都宜屬客戶所有，客戶擁有這些資源的全部控制權(quán)?！?/span>

另外，客戶數(shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不宜因采用云計(jì)算服務(wù)而改變。除非我國法律法規(guī)有明確規(guī)定，云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織。

同時(shí)，承載客戶數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)宜按照國家或行業(yè)管理要求進(jìn)行管理,為客戶提供云計(jì)算服務(wù)的云服務(wù)商宜遵守國家或行業(yè)相關(guān)安全管理政策及文件。還要堅(jiān)持先評(píng)后用原則，客戶宜要求云服務(wù)商具備保障客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力，并通過第三方評(píng)估機(jī)構(gòu)的安全評(píng)估。客戶宜選擇通過評(píng)估的云服務(wù)商，并監(jiān)督云服務(wù)商切實(shí)履行安全責(zé)任，落實(shí)安全管理和防護(hù)措施。

劉志樂進(jìn)一步介紹說，在云計(jì)算服務(wù)生命周期安全管理方面，主要分為規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管和退出服務(wù)四個(gè)階段。在規(guī)劃準(zhǔn)備階段，客戶應(yīng)確定自身上云的數(shù)據(jù)和業(yè)務(wù)類型；根據(jù)數(shù)據(jù)和業(yè)務(wù)的類型確定云計(jì)算服務(wù)的安全能力要求。在選擇云服務(wù)商與部署階段，客戶宜根據(jù)安全需求、云計(jì)算服務(wù)的安全能力和安全評(píng)估結(jié)果選擇云服務(wù)商。在運(yùn)行監(jiān)管階段，客戶宜指導(dǎo)監(jiān)督云服務(wù)商履行合同規(guī)定的責(zé)任義務(wù)。在退出云計(jì)算服務(wù)時(shí)，客戶宜要求云服務(wù)商履行相關(guān)責(zé)任和義務(wù)，確保退出云計(jì)算服務(wù)階段數(shù)據(jù)和業(yè)務(wù)安全。

安恒信息在云安全方案架構(gòu)方面擁有多年的實(shí)踐經(jīng)驗(yàn)。例如，某省移動(dòng)為滿足省內(nèi)政企客戶的多樣化需求，打造“網(wǎng)+云+DICT”一站式解決方案，其中網(wǎng)絡(luò)安全產(chǎn)品作為其中重要的一環(huán)，主要向政企云客戶提供安全能力，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的安全加固，并助力用戶實(shí)現(xiàn)等保合規(guī)。通過采用安恒信息的云安全解決方案，全省一盤棋打造對(duì)外統(tǒng)一的安全服務(wù)，安全能力按照“集中+近源”的架構(gòu)進(jìn)行部署，有效激活云、IDC、專線全場(chǎng)景客戶，并以此為抓手拉通各級(jí)部門協(xié)同作戰(zhàn)，有效減低建設(shè)成本和運(yùn)營成本，幫助客戶有效提升了對(duì)外服務(wù)的綜合競(jìng)爭(zhēng)力，以安全增值服務(wù)助力業(yè)務(wù)轉(zhuǎn)型升級(jí)。

作為連續(xù)十年從未缺席國家網(wǎng)絡(luò)安全宣傳周的網(wǎng)絡(luò)安全企業(yè)，安恒信息致力于構(gòu)建安全可信的數(shù)字世界。在未來，安恒信息將不忘初心，持續(xù)耕耘，專注前沿科技研發(fā)、安全服務(wù)優(yōu)化，在數(shù)字時(shí)代保持核心競(jìng)爭(zhēng)力，為用戶帶來更完善的服務(wù)，為數(shù)字經(jīng)濟(jì)牢筑安全堡壘。

往期精彩回顧

亞奧理事會(huì)與安恒信息簽約，共筑亞洲賽事網(wǎng)絡(luò)安全屏障

2023-09-19