信息來(lái)源：安全牛

第五屆中國(guó)網(wǎng)絡(luò)安全大會(huì)(NSC2017)在國(guó)家會(huì)議中心舉行。今年的NSC由賽可達(dá)實(shí)驗(yàn)室、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心、國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、首都創(chuàng)新大聯(lián)盟共同主辦，旨在通過(guò)對(duì)安全行業(yè)政策法規(guī)、熱點(diǎn)技術(shù)和行業(yè)應(yīng)用的探討，推動(dòng)“產(chǎn)、學(xué)、研、用”的緊密結(jié)合。

安全牛小編這次照例去現(xiàn)場(chǎng)聽(tīng)會(huì)，并著重關(guān)注了和等級(jí)保護(hù)、政務(wù)云、數(shù)據(jù)安全相關(guān)的三場(chǎng)分享?，F(xiàn)將主要觀點(diǎn)整理如下。

1. 以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施為核心的等保2.0及云等保

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工郭啟全在上午主論壇關(guān)于等保2.0和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的分享中，介紹了我國(guó)在法律層面(《網(wǎng)絡(luò)安全法》第二十一條)對(duì)國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，以及等保2.0在全新國(guó)家網(wǎng)絡(luò)安全基本制度體系下，以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施為重點(diǎn)，實(shí)現(xiàn)主動(dòng)、綜合和縱深防御等新特點(diǎn)。

特別在等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)系方面，郭啟全還強(qiáng)調(diào)，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是普適性制度，是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，而關(guān)鍵信息基礎(chǔ)設(shè)施則是等級(jí)保護(hù)制度的保護(hù)重點(diǎn)，兩者著不可分割。但對(duì)各行業(yè)關(guān)鍵信息處設(shè)施覆蓋范圍的判定，需要在定級(jí)備案的第三級(jí)（含）以上的保護(hù)對(duì)象中確定。

同時(shí)，2.0時(shí)代等保的對(duì)象和內(nèi)容，也發(fā)生了變化，并針對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控的行業(yè)提出了更多的擴(kuò)展安全要求。

特別在云等保方面，根據(jù)云服務(wù)商所提供的不同類型的云服務(wù)，云服務(wù)商與云上租戶所需承擔(dān)的安全責(zé)任不同，而雙方也都應(yīng)明確其保護(hù)對(duì)象和責(zé)任主體的區(qū)別。

據(jù)公安部第三研究所云計(jì)算安全測(cè)試實(shí)驗(yàn)室的負(fù)責(zé)人陳妍介紹，云等保在等級(jí)保護(hù)的原有框架下對(duì)具體內(nèi)容進(jìn)行了擴(kuò)充，責(zé)任主體、責(zé)任內(nèi)容和評(píng)測(cè)對(duì)象等規(guī)定均有變化。其中，云租戶的安全與云平臺(tái)息息相關(guān)，卻又互相獨(dú)立。

根據(jù)云平臺(tái)提供的從基礎(chǔ)設(shè)施IaaS、到PaaS最后到SaaS服務(wù)的類型不同，云平臺(tái)和用戶需要承擔(dān)的責(zé)任也會(huì)發(fā)生變化，這可以通過(guò)下圖中的責(zé)任共擔(dān)模型清晰體現(xiàn)?？傮w來(lái)講SaaS服務(wù)租戶需要承擔(dān)的安全測(cè)評(píng)是最少的。當(dāng)然，云平臺(tái)也不允許承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。

責(zé)任共擔(dān)模型

除此之外，IaaS、PaaS、SaaS服務(wù)的安全管理責(zé)任主體及對(duì)象（安全組件）也需要明確。

在測(cè)評(píng)步驟方案，還是遵循從定級(jí)->備案->系統(tǒng)建設(shè)整改->等級(jí)測(cè)評(píng)->定期監(jiān)督檢查這一過(guò)程。特別針對(duì)混合云和云平臺(tái)嵌套環(huán)境，則可以針對(duì)不同云平臺(tái)進(jìn)行測(cè)評(píng)。

陳妍還針對(duì)云上用戶分別給出了身份鑒別、安全審計(jì)、入侵防范和云服務(wù)商選擇的安全指引。

因?yàn)樵破脚_(tái)提供的安全服務(wù)往往默認(rèn)關(guān)閉或用戶不知情，所以云上租戶要明確業(yè)務(wù)系統(tǒng)上云并不等于安全。陳妍建議云服務(wù)提供IaaS+SaaS(Security)的服務(wù)模式，來(lái)更好的保護(hù)云環(huán)境和租戶的安全。

2. 政務(wù)云及安全態(tài)勢(shì)感知平臺(tái)建設(shè)

截止到2016年12月，中國(guó)的政務(wù)外網(wǎng)已經(jīng)是全球最大的不涉密政務(wù)專網(wǎng)，已對(duì)國(guó)內(nèi)24個(gè)省和新疆生產(chǎn)建設(shè)兵團(tuán)實(shí)現(xiàn)了縣級(jí)和鄉(xiāng)鎮(zhèn)的專線覆蓋。

據(jù)國(guó)家信息中心安全管理處處長(zhǎng)邵國(guó)安介紹，安全態(tài)勢(shì)是一種持續(xù)性的對(duì)抗，需要能夠?qū)崿F(xiàn)全天候、全方位（包括網(wǎng)際安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、全生命周期的數(shù)據(jù)安全）對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知。

政務(wù)信息化建設(shè)中的5方面的安全要求

在政務(wù)外網(wǎng)的統(tǒng)一安全策略方面，采取了包括公網(wǎng)地址私用、全骨干網(wǎng)等保三級(jí)保護(hù)、統(tǒng)一的安全監(jiān)測(cè)和網(wǎng)絡(luò)信任體系、可信的互聯(lián)網(wǎng)接入和減少各級(jí)政務(wù)部門的互聯(lián)網(wǎng)出口等措施。同時(shí)，將可能的安全事件進(jìn)行分級(jí)分類，包括8個(gè)一級(jí)分類和近30余項(xiàng)的二級(jí)分類。

安全事件分級(jí)分類

除此以外，還在遵循國(guó)家標(biāo)準(zhǔn)、參考國(guó)際相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，編寫了《政務(wù)云安全要求》，規(guī)定了各級(jí)政府部門在使用電子云計(jì)算開(kāi)展點(diǎn)在政務(wù)過(guò)程中應(yīng)遵循的安全要求，并在今年2月份通過(guò)了專家評(píng)審。

要求中明確規(guī)定：政務(wù)業(yè)務(wù)不得部署在公有云上、按照等保第三級(jí)進(jìn)行保護(hù)、對(duì)外提供服務(wù)的互聯(lián)網(wǎng)業(yè)務(wù)區(qū)要和對(duì)內(nèi)提供的業(yè)務(wù)區(qū)在物理層面進(jìn)行隔離、數(shù)據(jù)使用全過(guò)程要可管理可追溯可控制、加入密碼資源池根據(jù)需要調(diào)用密鑰對(duì)核心數(shù)據(jù)進(jìn)行加密存儲(chǔ)等。

云計(jì)算環(huán)境的不同角色的安全需求

政務(wù)云存在問(wèn)題及思考

3. 核心數(shù)據(jù)資產(chǎn)的管理和保護(hù)

在數(shù)據(jù)安全方面，數(shù)據(jù)泄露一直是最直接的安全威脅和挑戰(zhàn)。

威瑞森在今年4月末剛剛發(fā)布數(shù)據(jù)泄露調(diào)研報(bào)告中表示，數(shù)據(jù)泄露背后的內(nèi)部威脅令人擔(dān)憂，雖然只有25%的泄露事件有內(nèi)部用戶參與，但總體數(shù)量上確是在上漲。同時(shí)，利用惡意郵件、金融欺詐的攻擊手段越來(lái)越多，針對(duì)金融、醫(yī)療這兩大高危行業(yè)的趨勢(shì)也趨于明顯。

傳統(tǒng)的數(shù)據(jù)安全技術(shù)，包括加密、訪問(wèn)控制、外設(shè)管理、url過(guò)濾等手段，對(duì)內(nèi)部人員參與的數(shù)據(jù)泄露事件幾乎形同虛設(shè)，且無(wú)法感知到具體的數(shù)據(jù)內(nèi)容及流向。

據(jù)主打統(tǒng)一內(nèi)容安全(UCS)這一理念的天空衛(wèi)士合伙人楊明非介紹，UCS包括web/郵件安全網(wǎng)關(guān)、數(shù)據(jù)防泄漏(DLP)、云的安全接入和移動(dòng)安全等領(lǐng)域，而其數(shù)據(jù)保護(hù)部分的核心便是DLP產(chǎn)品。

傳統(tǒng)的DLP無(wú)法發(fā)現(xiàn)敏感數(shù)據(jù)，且無(wú)法針對(duì)網(wǎng)絡(luò)和終端發(fā)現(xiàn)的行為進(jìn)行實(shí)時(shí)阻斷；而UCS應(yīng)覆蓋包括數(shù)據(jù)中心、辦公場(chǎng)所、移動(dòng)終端、分支機(jī)構(gòu)等的企業(yè)生態(tài)環(huán)境，通過(guò)反向DLP的部署實(shí)現(xiàn)對(duì)應(yīng)用的保護(hù)，并與云服務(wù)商或SaaS服務(wù)合作，為更多中小企業(yè)提供DLP服務(wù)。

企業(yè)整體數(shù)據(jù)防泄漏規(guī)劃-UCS

下一代數(shù)據(jù)防泄漏的發(fā)展方向是基于數(shù)據(jù)和用戶行為的內(nèi)部威脅防護(hù)系統(tǒng)。這與美國(guó)軍火商雷神(Raytheon)收購(gòu)數(shù)據(jù)防泄露廠商websense后耗資10億美金，結(jié)合大數(shù)據(jù)行為分析技術(shù)為美國(guó)國(guó)防部研發(fā)的方向上是一致的。

DLP+大數(shù)據(jù)安全實(shí)現(xiàn)的內(nèi)部威脅管理（數(shù)據(jù)覆蓋云、網(wǎng)絡(luò)、應(yīng)用、終端等環(huán)境，并針對(duì)內(nèi)部行為進(jìn)行關(guān)聯(lián)分析），將會(huì)是未來(lái)對(duì)核心數(shù)據(jù)資產(chǎn)管理和保護(hù)的主流方式。