等级保护制度已进入2.0时代，云等保标准颁布在即

2016-10-14

形势

近年来随着国内外网络安全形势发展，网际空间已经成为继海、陆、空、天之后的第五空间，成为新形势下国家安全的重要领域之一。随着“棱镜门”事件的曝光，国与国之间的信息安全对抗日益公开化，网际空间的安全威胁正逐渐呈组织化、复杂化和国际化的发展趋势。与此同时，随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地，传统信息安全的边界越来越模糊，新的攻击形态层出不穷，安全威胁呈现复杂常态化趋势。

2016年10月10日，第五届全国信息安全等级保护技术大会在云南昆明召开，公安部网络安全保卫局郭启全总工在“加快完善国家信息安全等级保护制度，全力保卫关键信息基础设施安全”的发言中指出，国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代，要构建“打防管控”一体化的网络安全综合防控体系，并全面开展信息通报预警工作，同时要建立网络安全重大漏洞隐患的监测发现和整改督办机制。

由公安部信息安全等级保护评估中心主导起草的《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》（简称：云等保标准）即将颁布执行，这是我国信息安全总体战略部署的重要一步。

“云等保标准”针对云计算的特点，提出了部署在云计算环境下的重要信息系统安全等级保护的安全要求，其中包括技术要求和管理要求，适用于指导分等级的云计算环境信息系统的安全建设和监督管理。云等保标准是由公安部发布的云安全等级保护标准文件，是目前在国内参照执行度最广泛的安全标准，为三大领域云计算安全建设提供了规范指引。为此，业内对“云等保标准”的出台充满了期待，但标准如何尽快务实落地，成为下阶段的核心挑战。

2007年公安部就出台了《信息安全等级保护办法（试行）》，随着2009-2016年的大规模等保建设已经取得了可喜成绩。该政策施行多年，仍然存在一些问题，例如，管理部门多，行政效率差；执行团队缺乏经验，无从下手等。虽然与实际业务的结合存在诸多问题，但当时出台的《等级保护办法（试行）》已经为信息安全建设搭建了一个基本框架。经过反复研讨，诸多方案设计论证，伴随着云计算业务的发展，此次出台的“云等保标准”已经走向成熟。但“云等保标准”的落地和实施，仍然存在诸多挑战，是不容忽视的重要环节。

行业（私有）云承载着保障国家关键基础设施、重要信息系统、重要公共服务这三大领域内重要组织稳定运行的职责，其安全关乎国计民生，是国家信息安全格局的重要基石在国家重要行业信息安全建设中，确实存在对防御成熟度认知不足的问题，魔高一尺，道高一丈，不同的防御成熟度存在不同级别的安全威胁，需要使用相应的信息安全防御手段应对威胁，国际上将安全防御成熟度划分为五个阶段，目前行业（私有）云安全已发展到第三阶段。

首先，“云等保标准”对责任主体、责任内容、评测对象等方面的规定都有所调整，对此需要重新理解。其次，安全与业务的贴合度问题。对于行业（私有）云来说，合规是基础，动态安全策略可视化是灵魂。随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地，传统信息安全的边界越来越模糊，新的攻击形态层出不穷，像APT、DDoS等网络攻击正变得更加智能化和复杂化，实现“安全业务化”和“安全能力整合化”，是“云等保标准”落地推动的目标。

为应对上述挑战，本次PSCF论坛聚合成立了行业（私有）云安全技术联盟，聚合安全能力沉淀的服务商，具有重大现实意义。信息安全产品、解决方案和服务团队，需要对行业用户业务需求、IT部署策略具有深刻的理解，并在此基础上拥有较强的研发创新能力，才能实现贴合业务的安全。用户单位的IT与安全人才储备毕竟有限，更多还是要充分释放服务商的能力和价值。一个坚持在信息安全建设一线的服务商，通过持续研究，将技术洞察固化为研发与服务体系，可以有效消弭“云等保标准”和业务现实需求之间的距离。发挥骨干服务商的力量，也将进一步推动共建能力的基础建设，保障体系的有效运行。云服务安全可控性是系统化、多因素的问题，在我国尚无成熟经验可遵循，应凝聚管理部门、党政用户、服务商、行业专家和第三方机构等多方智慧，经过实践锤炼，共同夯实云计算安全保障能力基础，为行业（私有）云安全管理体系的持续运行提供有力支撑。

为推动“云等保标准”务实落地，由公安部信息安全等级保护评估中心、中国信息协会信息安全专业委员会主办的2016首届中国行业（私有）云安全技术论坛暨联盟成立仪式（简称PCSF2016），将面向产业界和行业用户单位针对“云等保标准”的颁布进行预热宣传和产业力量动员。届时，我国信息安全产业的骨干厂商与服务商将齐聚一堂，围绕“推动云等保标准务实落地”展开多角度的技术研讨，真知灼见令人期待。