信息來源：安全牛

第五屆中國網(wǎng)絡安全大會(NSC2017)在國家會議中心舉行。今年的NSC由賽可達實驗室、國家計算機病毒應急處理中心、國家網(wǎng)絡與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、首都創(chuàng)新大聯(lián)盟共同主辦，旨在通過對安全行業(yè)政策法規(guī)、熱點技術(shù)和行業(yè)應用的探討，推動“產(chǎn)、學、研、用”的緊密結(jié)合。

安全牛小編這次照例去現(xiàn)場聽會，并著重關(guān)注了和等級保護、政務云、數(shù)據(jù)安全相關(guān)的三場分享?，F(xiàn)將主要觀點整理如下。

1. 以保護國家關(guān)鍵信息基礎設施為核心的等保2.0及云等保

公安部網(wǎng)絡安全保衛(wèi)局總工郭啟全在上午主論壇關(guān)于等保2.0和關(guān)鍵基礎設施保護的分享中，介紹了我國在法律層面(《網(wǎng)絡安全法》第二十一條)對國家實行網(wǎng)絡安全等級保護制度的要求，以及等保2.0在全新國家網(wǎng)絡安全基本制度體系下，以保護國家關(guān)鍵信息基礎設施為重點，實現(xiàn)主動、綜合和縱深防御等新特點。

特別在等級保護與關(guān)鍵信息基礎設施的關(guān)系方面，郭啟全還強調(diào)，網(wǎng)絡安全等級保護制度是普適性制度，是關(guān)鍵信息基礎設施保護的基礎，而關(guān)鍵信息基礎設施則是等級保護制度的保護重點，兩者著不可分割。但對各行業(yè)關(guān)鍵信息處設施覆蓋范圍的判定，需要在定級備案的第三級（含）以上的保護對象中確定。

同時，2.0時代等保的對象和內(nèi)容，也發(fā)生了變化，并針對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控的行業(yè)提出了更多的擴展安全要求。

特別在云等保方面，根據(jù)云服務商所提供的不同類型的云服務，云服務商與云上租戶所需承擔的安全責任不同，而雙方也都應明確其保護對象和責任主體的區(qū)別。

據(jù)公安部第三研究所云計算安全測試實驗室的負責人陳妍介紹，云等保在等級保護的原有框架下對具體內(nèi)容進行了擴充，責任主體、責任內(nèi)容和評測對象等規(guī)定均有變化。其中，云租戶的安全與云平臺息息相關(guān)，卻又互相獨立。

根據(jù)云平臺提供的從基礎設施IaaS、到PaaS最后到SaaS服務的類型不同，云平臺和用戶需要承擔的責任也會發(fā)生變化，這可以通過下圖中的責任共擔模型清晰體現(xiàn)。總體來講SaaS服務租戶需要承擔的安全測評是最少的。當然，云平臺也不允許承載高于其安全保護等級的業(yè)務應用系統(tǒng)。

責任共擔模型

除此之外，IaaS、PaaS、SaaS服務的安全管理責任主體及對象（安全組件）也需要明確。

在測評步驟方案，還是遵循從定級->備案->系統(tǒng)建設整改->等級測評->定期監(jiān)督檢查這一過程。特別針對混合云和云平臺嵌套環(huán)境，則可以針對不同云平臺進行測評。

陳妍還針對云上用戶分別給出了身份鑒別、安全審計、入侵防范和云服務商選擇的安全指引。

因為云平臺提供的安全服務往往默認關(guān)閉或用戶不知情，所以云上租戶要明確業(yè)務系統(tǒng)上云并不等于安全。陳妍建議云服務提供IaaS+SaaS(Security)的服務模式，來更好的保護云環(huán)境和租戶的安全。

2. 政務云及安全態(tài)勢感知平臺建設

截止到2016年12月，中國的政務外網(wǎng)已經(jīng)是全球最大的不涉密政務專網(wǎng)，已對國內(nèi)24個省和新疆生產(chǎn)建設兵團實現(xiàn)了縣級和鄉(xiāng)鎮(zhèn)的專線覆蓋。

據(jù)國家信息中心安全管理處處長邵國安介紹，安全態(tài)勢是一種持續(xù)性的對抗，需要能夠?qū)崿F(xiàn)全天候、全方位（包括網(wǎng)際安全、網(wǎng)絡安全、終端安全、應用安全、全生命周期的數(shù)據(jù)安全）對網(wǎng)絡安全態(tài)勢的感知。

政務信息化建設中的5方面的安全要求

在政務外網(wǎng)的統(tǒng)一安全策略方面，采取了包括公網(wǎng)地址私用、全骨干網(wǎng)等保三級保護、統(tǒng)一的安全監(jiān)測和網(wǎng)絡信任體系、可信的互聯(lián)網(wǎng)接入和減少各級政務部門的互聯(lián)網(wǎng)出口等措施。同時，將可能的安全事件進行分級分類，包括8個一級分類和近30余項的二級分類。

安全事件分級分類

除此以外，還在遵循國家標準、參考國際相關(guān)標準的基礎上，編寫了《政務云安全要求》，規(guī)定了各級政府部門在使用電子云計算開展點在政務過程中應遵循的安全要求，并在今年2月份通過了專家評審。

要求中明確規(guī)定：政務業(yè)務不得部署在公有云上、按照等保第三級進行保護、對外提供服務的互聯(lián)網(wǎng)業(yè)務區(qū)要和對內(nèi)提供的業(yè)務區(qū)在物理層面進行隔離、數(shù)據(jù)使用全過程要可管理可追溯可控制、加入密碼資源池根據(jù)需要調(diào)用密鑰對核心數(shù)據(jù)進行加密存儲等。

云計算環(huán)境的不同角色的安全需求

政務云存在問題及思考

3. 核心數(shù)據(jù)資產(chǎn)的管理和保護

在數(shù)據(jù)安全方面，數(shù)據(jù)泄露一直是最直接的安全威脅和挑戰(zhàn)。

威瑞森在今年4月末剛剛發(fā)布數(shù)據(jù)泄露調(diào)研報告中表示，數(shù)據(jù)泄露背后的內(nèi)部威脅令人擔憂，雖然只有25%的泄露事件有內(nèi)部用戶參與，但總體數(shù)量上確是在上漲。同時，利用惡意郵件、金融欺詐的攻擊手段越來越多，針對金融、醫(yī)療這兩大高危行業(yè)的趨勢也趨于明顯。

傳統(tǒng)的數(shù)據(jù)安全技術(shù)，包括加密、訪問控制、外設管理、url過濾等手段，對內(nèi)部人員參與的數(shù)據(jù)泄露事件幾乎形同虛設，且無法感知到具體的數(shù)據(jù)內(nèi)容及流向。

據(jù)主打統(tǒng)一內(nèi)容安全(UCS)這一理念的天空衛(wèi)士合伙人楊明非介紹，UCS包括web/郵件安全網(wǎng)關(guān)、數(shù)據(jù)防泄漏(DLP)、云的安全接入和移動安全等領域，而其數(shù)據(jù)保護部分的核心便是DLP產(chǎn)品。

傳統(tǒng)的DLP無法發(fā)現(xiàn)敏感數(shù)據(jù)，且無法針對網(wǎng)絡和終端發(fā)現(xiàn)的行為進行實時阻斷；而UCS應覆蓋包括數(shù)據(jù)中心、辦公場所、移動終端、分支機構(gòu)等的企業(yè)生態(tài)環(huán)境，通過反向DLP的部署實現(xiàn)對應用的保護，并與云服務商或SaaS服務合作，為更多中小企業(yè)提供DLP服務。

企業(yè)整體數(shù)據(jù)防泄漏規(guī)劃-UCS

下一代數(shù)據(jù)防泄漏的發(fā)展方向是基于數(shù)據(jù)和用戶行為的內(nèi)部威脅防護系統(tǒng)。這與美國軍火商雷神(Raytheon)收購數(shù)據(jù)防泄露廠商websense后耗資10億美金，結(jié)合大數(shù)據(jù)行為分析技術(shù)為美國國防部研發(fā)的方向上是一致的。

DLP+大數(shù)據(jù)安全實現(xiàn)的內(nèi)部威脅管理（數(shù)據(jù)覆蓋云、網(wǎng)絡、應用、終端等環(huán)境，并針對內(nèi)部行為進行關(guān)聯(lián)分析），將會是未來對核心數(shù)據(jù)資產(chǎn)管理和保護的主流方式。