2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的”OSCAR云计算开源产业大会”在北京国家会议中心圆满落幕。
在21日召开的”开源和私有云安全论坛”上,工信部网络安全管理局付景广、四川大学网络空间安全学院陈兴蜀、信通院云安全主管封莎、浩天安理律师事务所王新锐、华为安全首席架构师甘永存、OpenSSL代码贡献榜华人第一杨洋、360云安全事业部产品总监王亮等多位领导及业内专家出席了本次大会,发表了精彩演讲。
工信部网络安全管理局网络与数据安全处处长付景广为OSCAR开源和私有云安全论坛致辞,他表示,在云计算发展的同时,必须高度重视安全问题。就”如何认识和保障云计算安全”,付处长提出了几点意见和建议:一是坚持问题导向,认清云服务面临的主要安全风险; 二是要深入贯彻落实《网络安全法》,切实落实云服务企业的安全主体责任;三是要加强技术和管理创新,不断提升云服务安全可控水平。
四川大学网络空间安全学院常务副院长、教授陈兴蜀就《云技术安全能力及运行监管》进行了精彩的分享,分别从基于可信计算的虚拟机全生命周期安全、云计算服务安全能力评估方法和工具以及云服务运行监管三个方面展开介绍。基于可信计算的虚拟机全生命周期安全分两个方面,首先是针对可信虚拟机生命周期的保护,围绕虚拟机的创建、启动、运行、关闭、销毁、迁移的全生命周期建立安全机制,从而保障各个阶段都处于可信的状态,以及在云计算平台上如何实现对虚拟机的全程状态监控。
中国信息通信研究院高级工程师、云安全主管封莎分别从私有云安全调研结果、云服务用户数据保护能力评估背景以及《云服务用户数据保护能力评估方法 第2部分:私有云》解读三个方面展开介绍。中国的私有云市场现在处于一个增幅平稳的状态,私有云安全受到了广泛关注,并且数据安全问题已经成为私有云安全能力建设的一个焦点。在这样的背景下,中国信息通信研究院启动了云服务用户数据保护能力评估系列的工作。其中,《云服务用户数据保护能力评估方法 第2部分:私有云》从用户角度出发,涉及到15大类36项数据安全保护能力的一系列指标,全面的覆盖私有云数据安全的事前防范、事中保护和事后追溯三个阶段。
北京浩天安理律师事务所管理合伙人王新锐从云服务中的数据安全风险、网络安全法对云服务提供商的合规要求以及端和云的数据合规分析三个方面来解读。其中,云服务中的数据安全存在六个方面的风险,分别是数据控制者对于个人数据缺乏有效的控制、数据处理缺乏透明度、数据的泄露和滥用、不同主体间的责任承担问题、数据删除不彻底以及数据跨境传输问题。对于网络安全法对云服务提供商的合规要求:一是网络安全等级保护制度和网络运营者的安全保护义务,二是网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意,三是关键信息基础设施涉及的个人信息和重要数据本地存储原则和跨境传输的安全评估要求,四是个人信息保护。
华为安全首席架构师甘永存就《让安全贴近负载》发表演讲,他表示传统的负载都是比较稳定、静态的,通常不会变。但是在云上,这个负载会变化非常快,而且是弹性的,传统的安全架构可能跟不上这种负载的变化,而通过将安全贴近负载,可以适应基础设施云化,同时满足用户基于应用视角的安全策略管理、业务的扩缩容和安全策略全生命周期管理,并提供更精细化的隔离。
OpenSSL代码贡献榜华人第一、白山云杨洋分享了在2014年4月OpenSSL心脏滴血漏洞出现后四年内OpenSSL发展的历史,包括CII (Core Infrastructure Initiative)的创立、OpenSSL 各版本的发布及主要功能特性的介绍、OpenSSL开发流程和社区建设、开源许可证更换以及OpenSSL Book介绍等。他表示,互联网的基础都是基于开源软件前提下得以研发和运行的,但是由于企业和用户对于开源软件安全的关注度不够,导致开源软件存在一些漏洞和安全问题。
360企业安全集团云安全事业部产品总监王亮从三个角度解读了私有云场景的安全问题,一是分析云计算服务存在的安全需求,二是在云计算服务中云安全的运营能力定义,三是分享360云数据中心安全运营实践案例。在云计算场景中,参与者可以分为云的建设方、运营方、监管方和租户方,而这些参与者在建设、运行以及监管、使用的过程中都需要合规,以及需要对安全进行运营管理,这是所有参与者共性的需求。在谈到云安全运营时,最根本的三点可以总结为PPT,即People、Process、Technology.王亮表示,基本上整个云可以分为两大部分,在业务层面可分为Biz-SecOps,而在云的开发过程当中,就是大家比较熟悉Dev-SecOps.Dev-SecOps的特点是敏捷快速,同时往往就忽略了安全的特性,因此360在这个过程当中把安全作为一个非常重要的因素嵌入到整个开发和运维的流程当中,从而解决这个问题。