2018年3月21-22日,由中國信息通信研究院主辦、中國通信標準化協(xié)會支持的"OSCAR云計算開源產(chǎn)業(yè)大會"在北京國家會議中心圓滿落幕。
在21日召開的"開源和私有云安全論壇"上,工信部網(wǎng)絡安全管理局付景廣、四川大學網(wǎng)絡空間安全學院陳興蜀、信通院云安全主管封莎、浩天安理律師事務所王新銳、華為安全首席架構師甘永存、OpenSSL代碼貢獻榜華人第一楊洋、360云安全事業(yè)部產(chǎn)品總監(jiān)王亮等多位領導及業(yè)內(nèi)專家出席了本次大會,發(fā)表了精彩演講。
工信部網(wǎng)絡安全管理局網(wǎng)絡與數(shù)據(jù)安全處處長付景廣為OSCAR開源和私有云安全論壇致辭,他表示,在云計算發(fā)展的同時,必須高度重視安全問題。就"如何認識和保障云計算安全",付處長提出了幾點意見和建議:一是堅持問題導向,認清云服務面臨的主要安全風險; 二是要深入貫徹落實《網(wǎng)絡安全法》,切實落實云服務企業(yè)的安全主體責任;三是要加強技術和管理創(chuàng)新,不斷提升云服務安全可控水平。
四川大學網(wǎng)絡空間安全學院常務副院長、教授陳興蜀就《云技術安全能力及運行監(jiān)管》進行了精彩的分享,分別從基于可信計算的虛擬機全生命周期安全、云計算服務安全能力評估方法和工具以及云服務運行監(jiān)管三個方面展開介紹。基于可信計算的虛擬機全生命周期安全分兩個方面,首先是針對可信虛擬機生命周期的保護,圍繞虛擬機的創(chuàng)建、啟動、運行、關閉、銷毀、遷移的全生命周期建立安全機制,從而保障各個階段都處于可信的狀態(tài),以及在云計算平臺上如何實現(xiàn)對虛擬機的全程狀態(tài)監(jiān)控。
中國信息通信研究院高級工程師、云安全主管封莎分別從私有云安全調(diào)研結果、云服務用戶數(shù)據(jù)保護能力評估背景以及《云服務用戶數(shù)據(jù)保護能力評估方法 第2部分:私有云》解讀三個方面展開介紹。中國的私有云市場現(xiàn)在處于一個增幅平穩(wěn)的狀態(tài),私有云安全受到了廣泛關注,并且數(shù)據(jù)安全問題已經(jīng)成為私有云安全能力建設的一個焦點。在這樣的背景下,中國信息通信研究院啟動了云服務用戶數(shù)據(jù)保護能力評估系列的工作。其中,《云服務用戶數(shù)據(jù)保護能力評估方法 第2部分:私有云》從用戶角度出發(fā),涉及到15大類36項數(shù)據(jù)安全保護能力的一系列指標,全面的覆蓋私有云數(shù)據(jù)安全的事前防范、事中保護和事后追溯三個階段。
北京浩天安理律師事務所管理合伙人王新銳從云服務中的數(shù)據(jù)安全風險、網(wǎng)絡安全法對云服務提供商的合規(guī)要求以及端和云的數(shù)據(jù)合規(guī)分析三個方面來解讀。其中,云服務中的數(shù)據(jù)安全存在六個方面的風險,分別是數(shù)據(jù)控制者對于個人數(shù)據(jù)缺乏有效的控制、數(shù)據(jù)處理缺乏透明度、數(shù)據(jù)的泄露和濫用、不同主體間的責任承擔問題、數(shù)據(jù)刪除不徹底以及數(shù)據(jù)跨境傳輸問題。對于網(wǎng)絡安全法對云服務提供商的合規(guī)要求:一是網(wǎng)絡安全等級保護制度和網(wǎng)絡運營者的安全保護義務,二是網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意,三是關鍵信息基礎設施涉及的個人信息和重要數(shù)據(jù)本地存儲原則和跨境傳輸?shù)陌踩u估要求,四是個人信息保護。
華為安全首席架構師甘永存就《讓安全貼近負載》發(fā)表演講,他表示傳統(tǒng)的負載都是比較穩(wěn)定、靜態(tài)的,通常不會變。但是在云上,這個負載會變化非常快,而且是彈性的,傳統(tǒng)的安全架構可能跟不上這種負載的變化,而通過將安全貼近負載,可以適應基礎設施云化,同時滿足用戶基于應用視角的安全策略管理、業(yè)務的擴縮容和安全策略全生命周期管理,并提供更精細化的隔離。
OpenSSL代碼貢獻榜華人第一、白山云楊洋分享了在2014年4月OpenSSL心臟滴血漏洞出現(xiàn)后四年內(nèi)OpenSSL發(fā)展的歷史,包括CII (Core Infrastructure Initiative)的創(chuàng)立、OpenSSL 各版本的發(fā)布及主要功能特性的介紹、OpenSSL開發(fā)流程和社區(qū)建設、開源許可證更換以及OpenSSL Book介紹等。他表示,互聯(lián)網(wǎng)的基礎都是基于開源軟件前提下得以研發(fā)和運行的,但是由于企業(yè)和用戶對于開源軟件安全的關注度不夠,導致開源軟件存在一些漏洞和安全問題。
