信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》),该条例是计算机信息系统安全保护的法律基础。其中第九条规定计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。公安部在《条例》发布实施后便着手开始了近年来随着国内外网络安全形势发展,网际空间已经成为继海、陆、空、天之后的第五空间,成为新形势下国家安全的重要领域之一。随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈组织化、复杂化和国际化的发展趋势。与此同时,随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。
2016年10月10日,第五届全国信息安全等级保护技术大会在云南昆明召开,公安部网络安全保卫局郭启全总工在“加快完善国家信息安全等级保护制度,全力保卫关键信息基础设施安全”的发言中指出,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代,要构建“打防管控”一体化的网络安全综合防控体系,并全面开展信息通报预警工作,同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。
由公安部信息安全等级保护评估中心主导起草的《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》(简称:云等保标准)即将颁布执行,这是我国信息安全总体战略部署的重要一步。
“云等保标准”针对云计算的特点,提出了部署在云计算环境下的重要信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算环境信息系统的安全建设和监督管理。云等保标准是由公安部发布的云安全等级保护标准文件,是目前在国内参照执行度最广泛的安全标准,为三大领域云计算安全建设提供了规范指引。为此,业内对“云等保标准”的出台充满了期待,但标准如何尽快务实落地,成为下阶段的核心挑战。
2007年公安部就出台了《信息安全等级保护办法(公通字[2007]43号)》,该政策施行已经为信息安全建设搭建了一个基本框架,伴随着云计算等新技术、新应用的发展,新领域的“云等保标准”即将出台,而“云等保标准”的落地和实施,面临诸多挑战,是不容忽视的重要环节。
行业(私有)云承载着保障国家关键基础设施、重要信息系统、重要公共服务这三大领域内重要组织稳定运行的职责,其安全关乎国计民生,是国家信息安全格局的重要基石在国家重要行业信息安全建设中,确实存在对防御成熟度认知不足的问题,魔高一尺,道高一丈,不同的防御成熟度存在不同级别的安全威胁,需要使用相应的信息安全防御手段应对威胁,国际上将安全防御成熟度划分为五个阶段,目前行业(私有)云安全已发展到第三阶段。
首先,“云等保标准”对责任主体、责任内容、评测对象等方面的规定都有所调整,对此需要重新理解。其次,安全与业务的贴合度问题。对于行业(私有)云来说,合规是基础,动态安全策略可视化是灵魂。随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,像APT、DDoS等网络攻击正变得更加智能化和复杂化,实现“安全业务化”和“安全能力整合化”,是“云等保标准”落地推动的目标。
为应对上述挑战,本次PSCF论坛聚合成立了行业(私有)云安全技术联盟,聚合安全能力沉淀的服务商,具有重大现实意义。信息安全产品、解决方案和服务团队,需要对行业用户业务需求、IT部署策略具有深刻的理解,并在此基础上拥有较强的研发创新能力,才能实现贴合业务的安全。用户单位的IT与安全人才储备毕竟有限,更多还是要充分释放服务商的能力和价值。一个坚持在信息安全建设一线的服务商,通过持续研究,将技术洞察固化为研发与服务体系,可以有效消弭“云等保标准”和业务现实需求之间的距离。发挥骨干服务商的力量,也将进一步推动共建能力的基础建设,保障体系的有效运行。云服务安全可控性是系统化、多因素的问题,在我国尚无成熟经验可遵循,应凝聚管理部门、党政用户、服务商、行业专家和第三方机构等多方智慧,经过实践锤炼,共同夯实云计算安全保障能力基础,为行业(私有)云安全管理体系的持续运行提供有力支撑。
为推动“云等保标准”务实落地,由公安部信息安全等级保护评估中心、中国信息协会信息安全专业委员会主办的2016首届中国行业(私有)云安全技术论坛暨联盟成立仪式(简称PCSF2016),将面向产业界和行业用户单位针对“云等保标准”的颁布进行预热宣传和产业力量动员。届时,我国信息安全产业的骨干厂商与服务商将齐聚一堂,围绕“推动云等保标准务实落地”展开多角度的技术研讨,真知灼见令人期待。计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对计算机信息系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的意义。
为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》(以下简称《准则》)国家标准,并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。
