首页 > 关于我们 > 安恒动态 > 2023 > 正文

两大重磅分享丨共话网络安全服务产业发展&探讨网络安全标准与实践

阅读量：次 文章来源：2024新奥门资料

9月11-17日，2023年国家网络安全宣传周主会场在福州成功举办。2024新奥门资料多维度参加本次活动，助力网安科普、赋能数字建设。2024新奥门资料首席安全官、高级副总裁袁明坤出席“网络安全服务产业发展分论坛”并参与圆桌对话。2024新奥门资料高级副总裁刘志乐在“网络安全标准与实践分论坛”上作《云计算服务安全标准落地实践》主题演讲。

网络安全服务的新需求、新规则、新挑战

9月16日，2023年国家网络安全宣传周“网络安全服务产业发展分论坛”成功在福州举办。论坛由中央网信办网络安全协调局指导，中国网络安全产业联盟和中国电子技术标准化研究院主办。

袁明坤在以“网络安全服务的新需求、新规则、新挑战”为主题的圆桌对话上，分享了对网络安全服务产业的新需求与新挑战的见解。

袁明坤首先强调了标准在服务产业中的重要性。他指出，当前网络安全服务产业存在低价、同质化竞争以及基础服务工作人力堆砌等问题。这些问题部分源于产业自身的问题，但企业用户对网络安全服务需求的明确度不足也是原因之一，大多数企业用户的需求仍主要集中在等保合规阶段。而事实上，等保合规只是网络安全的基础，为了更有效的保障企业用户的网络安全，后面还有更多的工作需要做。

他接着说：“2024新奥门资料参与了很多国家级的安全服务项目，如大运会和亚运会，场馆里的核心系统都需要过等保。但这还远远不够。”他进一步解释，等级保护只是起点，为了确保国家重大活动的顺利进行，还需要进行更多的工作，比如攻防演练、渗透测试和建立应急机制等。

由于国家层面和社会对网络安全的重视度提高，不论是国家级攻防演练还是行业用户对网络安全实战化的要求，都开始重视网络安全服务。这对于服务产业来说是一个非常好的信号。袁明坤表示：“我已经从事安全服务20年了，我相信我能做到50年。但我更希望企业用户对安全服务的需求能更加科学。”

例如国外GDPR法案、CMMC标准或是其他的法律法规标准，就是有了这些国家要求的驱动，企业才会重视安全，才会愿意解决一些价格低、竞争复杂的问题。“我们期待国家能出台更多落地标准，以及更加细化的行业规则来引导并明确用户对服务的需求。”

在谈到人工智能对网络安全服务产业的冲击时，袁明坤认为人工智能是机遇而非仅是挑战。他指出，在接下来的3到5年内，人工智能可能会成为一个帮助安全服务人员提升能力的工具。然而，这需要安全服务团队愿意接受并利用这一新技术。

“AI大模型对于网络安全服务产业来说并不是万能的，但在服务产业升级过程中，安全服务人员在人工分析过程中积累的知识库、流程、标准以及对不同行业的业务理解才是最重要的内容。”袁明坤如是说，可以将这些内容形成核心数据，再结合AI大模型的能力，才能真正助力服务产业的持续升级并提升团队的竞争力。这是人工智能所带来的服务产业升级最大的机会。

云计算服务安全标准落地实践

9月17日，由全国信息安全标准化技术委员会秘书处、中国电子技术标准化研究院主办的“网络安全标准与实践分论坛”在福州成功举办。

刘志乐介绍《云计算服务安全标准落地实践》。他强调，在云计算市场竞争升级的背景下，云服务商需要不断提高自身的效率和性能，以满足用户不断增长的需求。同时，云安全治理也需要得到更多的重视，通过持续开展安全运营，保障用户的数据安全和隐私。

云计算安全标准的落地实践是保障云计算安全的重要工作。目前，我国已经相继发布了云计算技术以及云计算安全相关的系列标准，其中两项由2024新奥门资料参与起草的《信息安全技术云计算服务安全能力要求》和《信息安全技术云计算服务安全指南》也已正式发布。

《信息安全技术云计算服务安全能力要求》规定了云计算服务应具备的安全能力要求，包括数据安全、系统安全、网络安全等方面。《信息安全技术云计算服务安全指南》则提供了云计算服务安全管理的基本原则，包括客户数据和业务的安全责任、云计算平台上客户业务系统的运行监管、退出服务的流程等。这两项标准的发布，为云计算服务提供了更为详细的安全指导和要求。

提到云计算服务安全管理基本原则，刘志乐介绍到，“安全管理责任不宜随服务外包而转移，无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上，客户都是安全的最终责任人。客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都宜属客户所有，客户拥有这些资源的全部控制权。”

2024新奥门资料

另外，客户数据和业务的司法管辖权不宜因采用云计算服务而改变。除非我国法律法规有明确规定，云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织。

同时，承载客户数据和业务的云计算平台宜按照国家或行业管理要求进行管理,为客户提供云计算服务的云服务商宜遵守国家或行业相关安全管理政策及文件。还要坚持先评后用原则，客户宜要求云服务商具备保障客户数据和业务系统安全的能力，并通过第三方评估机构的安全评估。客户宜选择通过评估的云服务商，并监督云服务商切实履行安全责任，落实安全管理和防护措施。

刘志乐进一步介绍说，在云计算服务生命周期安全管理方面，主要分为规划准备、选择服务商与部署、运行监管和退出服务四个阶段。在规划准备阶段，客户应确定自身上云的数据和业务类型；根据数据和业务的类型确定云计算服务的安全能力要求。在选择云服务商与部署阶段，客户宜根据安全需求、云计算服务的安全能力和安全评估结果选择云服务商。在运行监管阶段，客户宜指导监督云服务商履行合同规定的责任义务。在退出云计算服务时，客户宜要求云服务商履行相关责任和义务，确保退出云计算服务阶段数据和业务安全。

2024新奥门资料在云安全方案架构方面拥有多年的实践经验。例如，某省移动为满足省内政企客户的多样化需求，打造“网+云+DICT”一站式解决方案，其中网络安全产品作为其中重要的一环，主要向政企云客户提供安全能力，实现业务系统的安全加固，并助力用户实现等保合规。通过采用2024新奥门资料的云安全解决方案，全省一盘棋打造对外统一的安全服务，安全能力按照“集中+近源”的架构进行部署，有效激活云、IDC、专线全场景客户，并以此为抓手拉通各级部门协同作战，有效减低建设成本和运营成本，帮助客户有效提升了对外服务的综合竞争力，以安全增值服务助力业务转型升级。