2018年3月21-22日，由中國信息通信研究院主辦、中國通信標準化協會支持的"OSCAR云計算開源產業大會"在北京國家會議中心圓滿落幕。

在21日召開的"開源和私有云安全論壇"上，工信部網絡安全管理局付景廣、四川大學網絡空間安全學院陳興蜀、信通院云安全主管封莎、浩天安理律師事務所王新銳、華為安全首席架構師甘永存、OpenSSL代碼貢獻榜華人第一楊洋、360云安全事業部產品總監王亮等多位領導及業內專家出席了本次大會，發表了精彩演講。

工信部網絡安全管理局網絡與數據安全處處長付景廣為OSCAR開源和私有云安全論壇致辭，他表示，在云計算發展的同時，必須高度重視安全問題。就"如何認識和保障云計算安全"，付處長提出了幾點意見和建議：一是堅持問題導向，認清云服務面臨的主要安全風險； 二是要深入貫徹落實《網絡安全法》，切實落實云服務企業的安全主體責任；三是要加強技術和管理創新，不斷提升云服務安全可控水平。

四川大學網絡空間安全學院常務副院長、教授陳興蜀就《云技術安全能力及運行監管》進行了精彩的分享，分別從基于可信計算的虛擬機全生命周期安全、云計算服務安全能力評估方法和工具以及云服務運行監管三個方面展開介紹。基于可信計算的虛擬機全生命周期安全分兩個方面，首先是針對可信虛擬機生命周期的保護，圍繞虛擬機的創建、啟動、運行、關閉、銷毀、遷移的全生命周期建立安全機制，從而保障各個階段都處于可信的狀態，以及在云計算平臺上如何實現對虛擬機的全程狀態監控。

中國信息通信研究院高級工程師、云安全主管封莎分別從私有云安全調研結果、云服務用戶數據保護能力評估背景以及《云服務用戶數據保護能力評估方法 第2部分：私有云》解讀三個方面展開介紹。中國的私有云市場現在處于一個增幅平穩的狀態，私有云安全受到了廣泛關注，并且數據安全問題已經成為私有云安全能力建設的一個焦點。在這樣的背景下，中國信息通信研究院啟動了云服務用戶數據保護能力評估系列的工作。其中，《云服務用戶數據保護能力評估方法 第2部分：私有云》從用戶角度出發，涉及到15大類36項數據安全保護能力的一系列指標，全面的覆蓋私有云數據安全的事前防范、事中保護和事后追溯三個階段。

北京浩天安理律師事務所管理合伙人王新銳從云服務中的數據安全風險、網絡安全法對云服務提供商的合規要求以及端和云的數據合規分析三個方面來解讀。其中，云服務中的數據安全存在六個方面的風險，分別是數據控制者對于個人數據缺乏有效的控制、數據處理缺乏透明度、數據的泄露和濫用、不同主體間的責任承擔問題、數據刪除不徹底以及數據跨境傳輸問題。對于網絡安全法對云服務提供商的合規要求：一是網絡安全等級保護制度和網絡運營者的安全保護義務，二是網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意，三是關鍵信息基礎設施涉及的個人信息和重要數據本地存儲原則和跨境傳輸的安全評估要求，四是個人信息保護。

華為安全首席架構師甘永存就《讓安全貼近負載》發表演講，他表示傳統的負載都是比較穩定、靜態的，通常不會變。但是在云上，這個負載會變化非常快，而且是彈性的，傳統的安全架構可能跟不上這種負載的變化，而通過將安全貼近負載，可以適應基礎設施云化，同時滿足用戶基于應用視角的安全策略管理、業務的擴縮容和安全策略全生命周期管理，并提供更精細化的隔離。

OpenSSL代碼貢獻榜華人第一、白山云楊洋分享了在2014年4月OpenSSL心臟滴血漏洞出現后四年內OpenSSL發展的歷史，包括CII （Core Infrastructure Initiative）的創立、OpenSSL 各版本的發布及主要功能特性的介紹、OpenSSL開發流程和社區建設、開源許可證更換以及OpenSSL Book介紹等。他表示，互聯網的基礎都是基于開源軟件前提下得以研發和運行的，但是由于企業和用戶對于開源軟件安全的關注度不夠，導致開源軟件存在一些漏洞和安全問題。