信息來源:安全牛
自公有云波瀾壯闊地發(fā)展了一段時期之后,行業(yè)云、私有云或?qū)S性疲饾u開始風(fēng)起云涌��,一個專注中國行業(yè)云/私有云安全的技術(shù)聯(lián)盟應(yīng)運而生�。
一�、行業(yè)(私有)云的市場有多大?
公有云目前的主要用戶為中小企業(yè)��,但國內(nèi)中小企業(yè)在整個IT市場需求中占的比例很小�,因此行業(yè)云/私有云的潛在市場非常巨大。當(dāng)然�,后者的建設(shè)周期要比前者長的多,而且隨著時間的推移和安全問題的解決�,公有云還會逐漸吃掉私有云的部分市場。
云市場具體的數(shù)字很難判斷�,但仍然可以大致估算一下。IDC的報告顯示��,2015年度國內(nèi)整個公有云計算市場的總量約為56.8億元��,年平均增長率為79%��。如果把國家部委、重點行業(yè)��、大型國企與中小企業(yè)占IT系統(tǒng)市場的比例為10比1來看�,行業(yè)云/私有云的潛在市場體量驚人。
但后者發(fā)展的障礙在于��,云計算還存在一些問題�,如政策相關(guān)�、安全相關(guān)、責(zé)任相關(guān)等問題�,許多機構(gòu)還在猶豫是否上云,而且私有云的建設(shè)周期要長��,因此還存在一定變數(shù)�。
二、為什么成立行業(yè)(私有)云安全聯(lián)盟�?
之前許多人對云有一種認(rèn)識,即公有云包打天下��。但隨著云的普及�,在整個信息技術(shù)市場,占據(jù)重要地位的國家部委��、政府機構(gòu)��、重點行業(yè)和大型國有企業(yè),承載著重要信息系統(tǒng)和重要公共服務(wù)的安全運行��,而這些網(wǎng)絡(luò)信息系統(tǒng)一直都是各種網(wǎng)絡(luò)犯罪活動和網(wǎng)絡(luò)間諜活動覬覦并攻擊的重要目標(biāo)�,習(xí)主席“沒有網(wǎng)絡(luò)安全就沒有國家安全”的聲音言猶在耳,因此行業(yè)云/私有云的需求突顯�。
金融、能源��、電力��、通信�、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重��,也是可能遭到重點攻擊的目標(biāo)�。
——習(xí)近平
在這個大背景下,本周四�,首屆中國行業(yè)(私有)云安全技術(shù)聯(lián)盟宣布成立。
三��、聯(lián)盟組成機構(gòu)
此次聯(lián)盟成立活動�,得到了公安部等保中心的大力支持,聯(lián)盟掛靠在中國信息協(xié)會信息安全專業(yè)委員會�,核心參與廠商分為三大類:
IT安全服務(wù)商
-
太極股份(主要行業(yè):政府)
-
中國電信集成(主要行業(yè):中國電信)
-
捷成世紀(jì)(主要行業(yè):廣電)
-
華勝天成(主要行業(yè):金融)
-
太極華青(主要行業(yè):財稅)
-
神州泰岳(主要行業(yè):中國移動)
云安全產(chǎn)品及服務(wù)商
-
中新網(wǎng)安(核心能力:抗DDoS、APT)
-
圣博潤(核心能力:堡壘機)
-
安博通(核心能力:安全可視化)
-
金電網(wǎng)安(核心能力:數(shù)據(jù)交換控制)
-
科來軟件(核心能力:網(wǎng)絡(luò)流量大數(shù)據(jù)分析)
-
景安云信(核心能力:防問控制)
云平臺產(chǎn)品及服務(wù)商
據(jù)聯(lián)盟主要負(fù)責(zé)人介紹,選擇聯(lián)盟企業(yè)成員將恪守“五大能力壁壘”:
1. 創(chuàng)始人團隊:核心人員穩(wěn)定度在5年以上��,并對信息安全領(lǐng)域有深刻理解��。
2. 技術(shù)研發(fā)能力:研發(fā)團隊至少50人以上��,并有3年以上的團隊合作經(jīng)驗�。
3. 研究能力:研究團隊至少20人以上,長期沉淀的核心安全技術(shù)��,在相應(yīng)市場領(lǐng)域占前三位��。
4. 產(chǎn)品化能力:產(chǎn)品易用性已經(jīng)市場檢驗��,銷售額利潤已具備一定規(guī)模��。
5. 服務(wù)轉(zhuǎn)化能力:可以將安全能力轉(zhuǎn)化為產(chǎn)品或平臺��,不完全依賴人工�。
四��、云安全等保標(biāo)準(zhǔn)研讀
公安部等保中心主任助理李明在聯(lián)盟論壇的演講中表示�,正在評審修訂的云等保標(biāo)準(zhǔn)有三大特點:
復(fù)雜但不神秘——信息技術(shù)與商業(yè)模式結(jié)合的自然產(chǎn)物;
巨大但不模糊——云計算環(huán)境中具備清晰的等級保護(hù)對象��;
多方但不混亂——云租戶是網(wǎng)絡(luò)安全的最終責(zé)任人。
在平臺安全方面:
基礎(chǔ)設(shè)施��、云管理平臺(云操作系統(tǒng)��,Hypervisor)的組件自身安全應(yīng)遵循《安全通用要求》��;
登錄云管理平臺的管理用戶進(jìn)行相應(yīng)等級的身份鑒別��,確保云平臺運維管理員和云服務(wù)管理員權(quán)限分離��;
當(dāng)進(jìn)行遠(yuǎn)程管理時�,管理終端和云計算平臺邊界設(shè)備要建立雙向身份驗證機制。
在資源隔離方面:
應(yīng)保證云平臺管理流量與云租房業(yè)務(wù)流量分離�;
禁止虛擬實例直接訪問宿主機上的物理硬件;
不同虛擬機之間的虛擬CPU指令隔離�;
應(yīng)保證分配給虛擬機的內(nèi)存空間僅供期獨占訪問;
應(yīng)根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護(hù)等級劃分資源池�,并實現(xiàn)資源池之間的隔離;
應(yīng)保證虛擬機僅能遷移至相同安全保護(hù)等級的資源池��。
在數(shù)據(jù)安全方面:
應(yīng)提供查詢云租房數(shù)據(jù)及備份存儲位置的方式�;
應(yīng)保證云租房業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng);
確保虛擬機遷移過程中的完整性保護(hù)和信息防泄露�;
對虛擬機鏡像文件進(jìn)行完整性保護(hù)和更新,檢測非授權(quán)修改�;
對虛擬機快照文件進(jìn)行保密性保護(hù)。
注意事項:
定級對象需滿足通用要求和云計算擴展要求;
云計算虛擬對象需要滿足通用要求中的部分要求�;
一般信息系統(tǒng)對象需要滿足擴展要求的部分要求;
云平臺既需要具備相應(yīng)等級自身保護(hù)能力�,也需要具備提供云上應(yīng)用相應(yīng)等級的保護(hù)能力。
作為參與等保標(biāo)準(zhǔn)制定的廠商新華三��,在討論對云等保標(biāo)準(zhǔn)的理解和落地時表示��,新華三已經(jīng)在各省市建立上了百朵云��,積累了寶貴的經(jīng)驗��。新的等保標(biāo)準(zhǔn)擴展了云計算�、大數(shù)據(jù)、移動互聯(lián)和工業(yè)控制四個方面�。其中云等保是在原有等保標(biāo)準(zhǔn)的技術(shù)和管理要求的基礎(chǔ)上��,增加了對虛擬化環(huán)境下相應(yīng)的要求��,增加了若干風(fēng)險點��,如網(wǎng)絡(luò)架構(gòu)要實現(xiàn)不同云租戶之間的網(wǎng)絡(luò)隔離��。
五��、為什么要建設(shè)行業(yè)云或私有云?
同時作為聯(lián)盟的核心廠商新華三��,其參會代表在接受記者采訪時表示�,從安全來講,云計算的發(fā)展目前面臨的最重要挑戰(zhàn)就是安全�,包括訪問安全和數(shù)據(jù)安全,而行業(yè)云或私有云可以在一定程度上緩解用戶的擔(dān)憂��。
此外��,面對的用戶需求不一樣�。相比公有云提供標(biāo)準(zhǔn)化的服務(wù)而言,行業(yè)云/私有云的管理�、業(yè)務(wù)或應(yīng)用具有多樣性,會出現(xiàn)更多的定制化需求��。尤其是云的建設(shè)者需要對甲方的環(huán)境有著較深的理解��,包括對方的IT架構(gòu)�、管理監(jiān)管體系、業(yè)務(wù)流程和應(yīng)用環(huán)境等�。
雖然國家一直在強調(diào)網(wǎng)絡(luò)安全的重要性,但實際上無論是個人還是企業(yè)忽視安全問題��、缺乏安全意識還是個普遍現(xiàn)象��,以致于網(wǎng)絡(luò)安全成為國內(nèi)信息技術(shù)全面發(fā)展的一個短板。
從另一面來看��,云計算的發(fā)展在碰到安全這個瓶頸時�,反過來一定會倒逼安全的發(fā)展。即將推出的云安全等保標(biāo)準(zhǔn)�,能夠消除很多安全上的擔(dān)憂,必將極大的促進(jìn)云計算的發(fā)展��,這是一個水到渠成的自然結(jié)果��。
