2018年3月21-22日,由中國信息通信研究院主辦、中國通信標準化協會支持的"OSCAR云計算開源產業大會"在國家會議中心舉行。
隨著云計算技術的日益發展,并開始進入“深水區”,開源技術與云計算融合的程度進一步加深,并開始成為產業發展的重要支撐。"OSCAR云計算開源產業大會"將邀請行業內多位大咖與權重人物共同探討、交流云計算開源技術、研發、治理、產業化方面的經驗,探索開源與云計算的創新發展新路徑。
3月21日下午,在OSCAR云計算開源產業大會·開源和私有云安全論壇上,工業和信息化部網絡安全管理局網絡與數據安全處處長付景廣發表致辭,以下為致辭全文:
各位來賓、各位專家,大家下午好!很高興參加本次論壇,這次論壇聚焦云計算安全,體現了業界對網絡安全問題的重視。
大家都知道,習近平總書記在419講話中深刻指出,發展和安全是一體之兩翼驅動之雙輪,沒有網絡安全就沒有國家安全,沒有安全就沒有高質量的發展。我們要深刻領會這一重要思想,在云計算發展的同時必須高度重視安全問題。
近年來云計算和云服務發展很快,各種形式的業務平臺應用已經逐漸走向成熟。云服務將網絡資源、計算資源、存儲資源進行整合,極大的提高了部署信息系統的效率,也降低了運營成本,不僅創造了新的業務模式,而且為互聯網+、大數據、人工智能等新技術的發展提供了基礎支撐,對促進網絡強國建設和數字經濟發展具有重要意義。
為指導云計算產業持續健康發展,國務院2015年出臺了《關于促進云計算創新發展培育信息產業新業態的意見》,根據國務院部署,工信部2017年也出臺了《云計算發展三年行動計劃2017—2019》。在這些政策文件中,安全都是其中的重要內容,明確了安全保障的目標、任務和具體措施,希望大家認真學習,主動謀劃,切實抓好貫徹落實。
下面就如何認識和保障云計算安全簡要談三點意見和建議供大家參考。
一、堅持問題導向,認清云服務面臨的主要安全風險。云服務通過資源整合、分布式部署,在很大程度上提高了系統的安全性和健壯性,也便于實施集中化的安全監控。但沒有絕對的安全,概括起來,云服務的安全風險我認為主要體現在以下三個方面。一是云平臺自身的運行安全,包括網絡中斷的風險,系統癱瘓的風險,這是用戶最擔心的問題。二是云平臺中用戶數據的安全,個人信息和數據安全的重要性越來越引起各方面的高度關注。三是云平臺被濫用的風險,這一點尤其我特別想強調一下,我們的一些監測發現,有的云計算被不法分子惡意利用,成為實施網絡攻擊、傳播病毒的工具和手段。對于以上這三個問題,還需要我們認真研究,拿出有針對性的改進和解決方案。
二、深入貫徹落實《網絡安全法》,切實落實云服務企業的安全主體責任。大家都知道《網絡安全法》于去年6月正式實施,這是國家加強網絡空間安全管理的一項重要舉措。根據《網絡安全法》規定,網絡運營者是自身網絡安全的責任主體,必須按照法律、行政法規和國家標準的強制性規定,落實網絡安全管理制度和技術措施,加強風險隱患動態排查,健全網絡安全應急工作機制。對于不依法履行網絡安全保護義務的,有關部門要依法追究法律責任。這里面對網絡運營者,包括云服務提供者的責任和義務其實是有明確的規定,云服務提供者也是網絡運營者,這一點請大家把握。希望大家認真學習《網絡安全法》,切實履行好企業的法定義務和社會責任。
三、加強技術和管理創新,不斷提升云服務安全可控水平。一是要突破核心技術。總書記指出,核心技術是安全上最大的命門,核心技術受制于人是最大的隱患。我們要加強技術攻關,努力掌握云計算基礎技術和通用技術,提高云計算產業自主可控水平。要積極參與開源社區建設,緊跟最新發展趨勢,努力引領云計算前沿技術和顛覆性技術發展。二是加強標準制定。要加強云計算安全標準制定,通過安全標準指導云服務企業采取安全措施,保障自身安全。相關協會、聯盟要組織加強行業自律,探索基于標準開展安全認證,面向社會證明企業云服務安全能力,信通院牽頭的相關聯盟在這方面做了非常有益的探索。另外,相關企業要積極參與國際云安全標準的制定工作,把我們的標準走向國際,引領整個國際相關技術和產業的發展。三是強化手段建設,云服務企業要建設網絡安全監測手段,實現對各類網絡攻擊威脅的及時發現、有效處置。既要監測處置針對云平臺的攻擊入侵,也要監測處置利用云資源對外發起的攻擊入侵。工信部將通過網絡安全試點示范鼓勵云安全技術手段推廣應用,同時也將鼓勵云計算、大數據技術應用于網絡安全技術手段建設。四是加強安全監管。根據法律法規,directadmin漢化 虛擬主機,開展公有云服務需要取得電信主管部門頒發的電信業務經營許可證,工信部在這方面將進一步加強云服務市場準入和日常運營中的網絡安全監管。強化網絡安全檢查評估和應急管理,指導督促相關企業完善安全措施。此外,工信部也配合中央網信辦開展政府采購云服務安全審查工作。對于金融、能源、交通等行業的私有云的安全,按照誰主管誰負責的原則,由各行業主管部門分工負責管理。五是完善相關工作機制。健全網絡安全應急管理機制,進一步將公有云服務納入國家公共互聯網網絡安全應急體系。健全網絡安全威脅監測與處置機制,進一步充分發揮云服務企業在網絡安全威脅監測、威脅處置方面的作用,與互聯網行業一道,共同構建網絡空間安全環境。
