2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。
随着云计算技术的日益发展,并开始进入“深水区”,开源技术与云计算融合的程度进一步加深,并开始成为产业发展的重要支撑。"OSCAR云计算开源产业大会"将邀请行业内多位大咖与权重人物共同探讨、交流云计算开源技术、研发、治理、产业化方面的经验,探索开源与云计算的创新发展新路径。
3月21日下午,在OSCAR云计算开源产业大会·开源和私有云安全论坛上,工业和信息化部网络安全管理局网络与数据安全处处长付景广发表致辞,以下为致辞全文:
各位来宾、各位专家,大家下午好!很高兴参加本次论坛,这次论坛聚焦云计算安全,体现了业界对网络安全问题的重视。
大家都知道,习近平总书记在419讲话中深刻指出,发展和安全是一体之两翼驱动之双轮,没有网络安全就没有国家安全,没有安全就没有高质量的发展。我们要深刻领会这一重要思想,在云计算发展的同时必须高度重视安全问题。
近年来云计算和云服务发展很快,各种形式的业务平台应用已经逐渐走向成熟。云服务将网络资源、计算资源、存储资源进行整合,极大的提高了部署信息系统的效率,也降低了运营成本,不仅创造了新的业务模式,而且为互联网+、大数据、人工智能等新技术的发展提供了基础支撑,对促进网络强国建设和数字经济发展具有重要意义。
为指导云计算产业持续健康发展,国务院2015年出台了《关于促进云计算创新发展培育信息产业新业态的意见》,根据国务院部署,工信部2017年也出台了《云计算发展三年行动计划2017—2019》。在这些政策文件中,安全都是其中的重要内容,明确了安全保障的目标、任务和具体措施,希望大家认真学习,主动谋划,切实抓好贯彻落实。
下面就如何认识和保障云计算安全简要谈三点意见和建议供大家参考。
一、坚持问题导向,认清云服务面临的主要安全风险。云服务通过资源整合、分布式部署,在很大程度上提高了系统的安全性和健壮性,也便于实施集中化的安全监控。但没有绝对的安全,概括起来,云服务的安全风险我认为主要体现在以下三个方面。一是云平台自身的运行安全,包括网络中断的风险,系统瘫痪的风险,这是用户最担心的问题。二是云平台中用户数据的安全,个人信息和数据安全的重要性越来越引起各方面的高度关注。三是云平台被滥用的风险,这一点尤其我特别想强调一下,我们的一些监测发现,有的云计算被不法分子恶意利用,成为实施网络攻击、传播病毒的工具和手段。对于以上这三个问题,还需要我们认真研究,拿出有针对性的改进和解决方案。
二、深入贯彻落实《网络安全法》,切实落实云服务企业的安全主体责任。大家都知道《网络安全法》于去年6月正式实施,这是国家加强网络空间安全管理的一项重要举措。根据《网络安全法》规定,网络运营者是自身网络安全的责任主体,必须按照法律、行政法规和国家标准的强制性规定,落实网络安全管理制度和技术措施,加强风险隐患动态排查,健全网络安全应急工作机制。对于不依法履行网络安全保护义务的,有关部门要依法追究法律责任。这里面对网络运营者,包括云服务提供者的责任和义务其实是有明确的规定,云服务提供者也是网络运营者,这一点请大家把握。希望大家认真学习《网络安全法》,切实履行好企业的法定义务和社会责任。
三、加强技术和管理创新,不断提升云服务安全可控水平。一是要突破核心技术。总书记指出,核心技术是安全上最大的命门,核心技术受制于人是最大的隐患。我们要加强技术攻关,努力掌握云计算基础技术和通用技术,提高云计算产业自主可控水平。要积极参与开源社区建设,紧跟最新发展趋势,努力引领云计算前沿技术和颠覆性技术发展。二是加强标准制定。要加强云计算安全标准制定,通过安全标准指导云服务企业采取安全措施,保障自身安全。相关协会、联盟要组织加强行业自律,探索基于标准开展安全认证,面向社会证明企业云服务安全能力,信通院牵头的相关联盟在这方面做了非常有益的探索。另外,相关企业要积极参与国际云安全标准的制定工作,把我们的标准走向国际,引领整个国际相关技术和产业的发展。三是强化手段建设,云服务企业要建设网络安全监测手段,实现对各类网络攻击威胁的及时发现、有效处置。既要监测处置针对云平台的攻击入侵,也要监测处置利用云资源对外发起的攻击入侵。工信部将通过网络安全试点示范鼓励云安全技术手段推广应用,同时也将鼓励云计算、大数据技术应用于网络安全技术手段建设。四是加强安全监管。根据法律法规,开展公有云服务需要取得电信主管部门颁发的电信业务经营许可证,工信部在这方面将进一步加强云服务市场准入和日常运营中的网络安全监管。强化网络安全检查评估和应急管理,指导督促相关企业完善安全措施。此外,工信部也配合中央网信办开展政府采购云服务安全审查工作。对于金融、能源、交通等行业的私有云的安全,按照谁主管谁负责的原则,由各行业主管部门分工负责管理。五是完善相关工作机制。健全网络安全应急管理机制,进一步将公有云服务纳入国家公共互联网网络安全应急体系。健全网络安全威胁监测与处置机制,进一步充分发挥云服务企业在网络安全威胁监测、威胁处置方面的作用,与互联网行业一道,共同构建网络空间安全环境。