信息來源：安全牛

第五屆中國網(wǎng)絡(luò)安全大會(NSC2017)在國家會議中心舉行。今年的NSC由賽可達(dá)實驗室、國家計算機(jī)病毒應(yīng)急處理中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、首都創(chuàng)新大聯(lián)盟共同主辦，旨在通過對安全行業(yè)政策法規(guī)、熱點技術(shù)和行業(yè)應(yīng)用的探討，推動“產(chǎn)、學(xué)、研、用”的緊密結(jié)合。

安全牛小編這次照例去現(xiàn)場聽會，并著重關(guān)注了和等級保護(hù)、政務(wù)云、數(shù)據(jù)安全相關(guān)的三場分享?，F(xiàn)將主要觀點整理如下。

1. 以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施為核心的等保2.0及云等保

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工郭啟全在上午主論壇關(guān)于等保2.0和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的分享中，介紹了我國在法律層面(《網(wǎng)絡(luò)安全法》第二十一條)對國家實行網(wǎng)絡(luò)安全等級保護(hù)制度的要求，以及等保2.0在全新國家網(wǎng)絡(luò)安全基本制度體系下，以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點，實現(xiàn)主動、綜合和縱深防御等新特點。

特別在等級保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)系方面，郭啟全還強(qiáng)調(diào)，網(wǎng)絡(luò)安全等級保護(hù)制度是普適性制度，是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，而關(guān)鍵信息基礎(chǔ)設(shè)施則是等級保護(hù)制度的保護(hù)重點，兩者著不可分割。但對各行業(yè)關(guān)鍵信息處設(shè)施覆蓋范圍的判定，需要在定級備案的第三級（含）以上的保護(hù)對象中確定。

同時，2.0時代等保的對象和內(nèi)容，也發(fā)生了變化，并針對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控的行業(yè)提出了更多的擴(kuò)展安全要求。

特別在云等保方面，根據(jù)云服務(wù)商所提供的不同類型的云服務(wù)，云服務(wù)商與云上租戶所需承擔(dān)的安全責(zé)任不同，而雙方也都應(yīng)明確其保護(hù)對象和責(zé)任主體的區(qū)別。

據(jù)公安部第三研究所云計算安全測試實驗室的負(fù)責(zé)人陳妍介紹，云等保在等級保護(hù)的原有框架下對具體內(nèi)容進(jìn)行了擴(kuò)充，責(zé)任主體、責(zé)任內(nèi)容和評測對象等規(guī)定均有變化。其中，云租戶的安全與云平臺息息相關(guān)，卻又互相獨立。

根據(jù)云平臺提供的從基礎(chǔ)設(shè)施IaaS、到PaaS最后到SaaS服務(wù)的類型不同，云平臺和用戶需要承擔(dān)的責(zé)任也會發(fā)生變化，這可以通過下圖中的責(zé)任共擔(dān)模型清晰體現(xiàn)?？傮w來講SaaS服務(wù)租戶需要承擔(dān)的安全測評是最少的。當(dāng)然，云平臺也不允許承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)。

責(zé)任共擔(dān)模型

除此之外，IaaS、PaaS、SaaS服務(wù)的安全管理責(zé)任主體及對象（安全組件）也需要明確。

在測評步驟方案，還是遵循從定級->備案->系統(tǒng)建設(shè)整改->等級測評->定期監(jiān)督檢查這一過程。特別針對混合云和云平臺嵌套環(huán)境，則可以針對不同云平臺進(jìn)行測評。

陳妍還針對云上用戶分別給出了身份鑒別、安全審計、入侵防范和云服務(wù)商選擇的安全指引。

因為云平臺提供的安全服務(wù)往往默認(rèn)關(guān)閉或用戶不知情，所以云上租戶要明確業(yè)務(wù)系統(tǒng)上云并不等于安全。陳妍建議云服務(wù)提供IaaS+SaaS(Security)的服務(wù)模式，來更好的保護(hù)云環(huán)境和租戶的安全。

2. 政務(wù)云及安全態(tài)勢感知平臺建設(shè)

截止到2016年12月，中國的政務(wù)外網(wǎng)已經(jīng)是全球最大的不涉密政務(wù)專網(wǎng)，已對國內(nèi)24個省和新疆生產(chǎn)建設(shè)兵團(tuán)實現(xiàn)了縣級和鄉(xiāng)鎮(zhèn)的專線覆蓋。

據(jù)國家信息中心安全管理處處長邵國安介紹，安全態(tài)勢是一種持續(xù)性的對抗，需要能夠?qū)崿F(xiàn)全天候、全方位（包括網(wǎng)際安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、全生命周期的數(shù)據(jù)安全）對網(wǎng)絡(luò)安全態(tài)勢的感知。

政務(wù)信息化建設(shè)中的5方面的安全要求

在政務(wù)外網(wǎng)的統(tǒng)一安全策略方面，采取了包括公網(wǎng)地址私用、全骨干網(wǎng)等保三級保護(hù)、統(tǒng)一的安全監(jiān)測和網(wǎng)絡(luò)信任體系、可信的互聯(lián)網(wǎng)接入和減少各級政務(wù)部門的互聯(lián)網(wǎng)出口等措施。同時，將可能的安全事件進(jìn)行分級分類，包括8個一級分類和近30余項的二級分類。

安全事件分級分類

除此以外，還在遵循國家標(biāo)準(zhǔn)、參考國際相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，編寫了《政務(wù)云安全要求》，規(guī)定了各級政府部門在使用電子云計算開展點在政務(wù)過程中應(yīng)遵循的安全要求，并在今年2月份通過了專家評審。

要求中明確規(guī)定：政務(wù)業(yè)務(wù)不得部署在公有云上、按照等保第三級進(jìn)行保護(hù)、對外提供服務(wù)的互聯(lián)網(wǎng)業(yè)務(wù)區(qū)要和對內(nèi)提供的業(yè)務(wù)區(qū)在物理層面進(jìn)行隔離、數(shù)據(jù)使用全過程要可管理可追溯可控制、加入密碼資源池根據(jù)需要調(diào)用密鑰對核心數(shù)據(jù)進(jìn)行加密存儲等。

云計算環(huán)境的不同角色的安全需求

政務(wù)云存在問題及思考

3. 核心數(shù)據(jù)資產(chǎn)的管理和保護(hù)

在數(shù)據(jù)安全方面，數(shù)據(jù)泄露一直是最直接的安全威脅和挑戰(zhàn)。

威瑞森在今年4月末剛剛發(fā)布數(shù)據(jù)泄露調(diào)研報告中表示，數(shù)據(jù)泄露背后的內(nèi)部威脅令人擔(dān)憂，雖然只有25%的泄露事件有內(nèi)部用戶參與，但總體數(shù)量上確是在上漲。同時，利用惡意郵件、金融欺詐的攻擊手段越來越多，針對金融、醫(yī)療這兩大高危行業(yè)的趨勢也趨于明顯。

傳統(tǒng)的數(shù)據(jù)安全技術(shù)，包括加密、訪問控制、外設(shè)管理、url過濾等手段，對內(nèi)部人員參與的數(shù)據(jù)泄露事件幾乎形同虛設(shè)，且無法感知到具體的數(shù)據(jù)內(nèi)容及流向。

據(jù)主打統(tǒng)一內(nèi)容安全(UCS)這一理念的天空衛(wèi)士合伙人楊明非介紹，UCS包括web/郵件安全網(wǎng)關(guān)、數(shù)據(jù)防泄漏(DLP)、云的安全接入和移動安全等領(lǐng)域，而其數(shù)據(jù)保護(hù)部分的核心便是DLP產(chǎn)品。

傳統(tǒng)的DLP無法發(fā)現(xiàn)敏感數(shù)據(jù)，且無法針對網(wǎng)絡(luò)和終端發(fā)現(xiàn)的行為進(jìn)行實時阻斷；而UCS應(yīng)覆蓋包括數(shù)據(jù)中心、辦公場所、移動終端、分支機(jī)構(gòu)等的企業(yè)生態(tài)環(huán)境，通過反向DLP的部署實現(xiàn)對應(yīng)用的保護(hù)，并與云服務(wù)商或SaaS服務(wù)合作，為更多中小企業(yè)提供DLP服務(wù)。

企業(yè)整體數(shù)據(jù)防泄漏規(guī)劃-UCS

下一代數(shù)據(jù)防泄漏的發(fā)展方向是基于數(shù)據(jù)和用戶行為的內(nèi)部威脅防護(hù)系統(tǒng)。這與美國軍火商雷神(Raytheon)收購數(shù)據(jù)防泄露廠商websense后耗資10億美金，結(jié)合大數(shù)據(jù)行為分析技術(shù)為美國國防部研發(fā)的方向上是一致的。

DLP+大數(shù)據(jù)安全實現(xiàn)的內(nèi)部威脅管理（數(shù)據(jù)覆蓋云、網(wǎng)絡(luò)、應(yīng)用、終端等環(huán)境，并針對內(nèi)部行為進(jìn)行關(guān)聯(lián)分析），將會是未來對核心數(shù)據(jù)資產(chǎn)管理和保護(hù)的主流方式。