2023年5月29日至6月1日,全国信息安全标准化技术委员会(以下简称“信安标委”)2023年第一次“标准周”活动在云南昆明举行。此次活动聚集了全国顶级的网络安全标准专家、学者和业界领袖,共同探讨网络安全标准领域的前沿议题和最佳实践,为数字经济提供坚实的安全保障。
在“网络安全标准护航数字经济高质量发展”高峰论坛上,腾讯安全副总裁、云鼎实验室负责人董志强发表《云平台高安全等级架构》主题演讲,与参会者分享腾讯安全在云平台安全领域的创新实践和技术成果,以及在参与标准制定上的实践经验和工作建议。
董志强认为,数据泄露和供应链等安全威胁带来的安全风险日益突出,成为企业开展数字化经营的掣肘因素。企业的数字化转型需要高安全等级架构为业务保驾护航,尤其是对于关键基础设施而言,其安全稳定运行关系国计民生、公共利益和国家安全,亟需更高等级的安全架构提供支撑。
基于多年云平台安全建设经验,董志强系统分享了腾讯云平台高安全等级架构的实践,以期为大型企业尤其是“关基”平台提供参考。董志强在发言中也提出,应以标准制定的形式将云平台架构层面的安全工作推进实施,促进行业共识形成与协同发展。
董志强表示,企业安全面临层出不穷的安全新威胁,数字化转型需要高安全等级架构为业务保驾护航,IT基础设施云原生化引发底层可信需求,产品服务化引发用户可感知的默认安全需求,数据业务智能化引发安全、数据、智能、架构融合实现业务免疫系统的需求。腾讯安全通过如下几个方面,来构建云平台的高等级安全:
一、数据中心安全:从数据中心面、物理网络面、硬件面、主机面、租户面等层面,保障数据中心安全;
二、服务器硬件安全:从固件安全审计和渗透测试、硬件/固件安全设计、固件刷新保护、服务器组件优化裁剪等方面,构建可信硬件体系;
三、云默认安全框架:从底座安全加固、底座安全能力、反入侵等方面保障云平台默认安全,从安全设计、多租户隔离、身份认证、访问控制、应用安全、安全配置、审计、数据安全等方面保障云产品默认安全;
四、责任共担模型:多方联动,各司其职,互相配合,构建高安全等级系统,从而形成安全共同体,协力抵抗高威胁等级对抗。
五、数字安全免疫力及价值模型:从边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理7个维度进行综合思考,形成体系化的能力模型,为企业未来的数智化创新发展保驾护航。
董志强提到,腾讯安全一直以来积极参与网络安全标准的制定,将腾讯安全的经验、方法分享给行业。自2016年开始,腾讯云积极参与国家在云计算安全方面的标准建设,包括不限于关键信息基础设施安全、大数据业务风控国标研究、云计算服务安全等国家标准及研究课题,其中重点参与的GB/T 31167-2023于不久前的5月23日正式发布。
针对云计算平台的安全特点和安全风险,董志强建议在国家标准层面制定云服务安全相关标准,从架构层面保障云平台安全。在管理层面,推进责任共担模型等标准;在技术层面,推进云原生安全、硬件可信安全等标准;在数据层面,推进匿名化等标准。同时,他也呼吁,行业上下游齐心协力,基于共建的标准,更好地为产业数字化发展保驾护航。
活动现场,中央网信办及全国信安标委相关领导视察了腾讯云与四川大学、国家信息技术安全研究中心联合实施的“云计算安全系列标准支撑国家云服务安全评估的应用案例”展览,该案例曾于去年获得网络安全国家标准优秀实践案例一等奖。
“信安标委”成立于2002年4月,是中国信息安全标准化技术领域最高规格、最具权威的官方机构,下设6个工作组和1个特别工作组。自2016年开始,每年举办两次“会议周”活动。“会议周”活动则是其借鉴国际标准化工作模式和经验,对中国网络安全标准化工作组织模式的创新和有益探索,搭建了一个业内极具权威性和影响力的网络安全标准化工作交流、研讨、沟通的平台。
更多【腾讯董志强出席全国信安标委“标准周”:数字化转型需要高安全等级架构】相关视频教程:www.yxfzedu.com