安恒信息刘志乐分享网络安全标准落地实践

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

随着云计算市场的持续高速增长,新的挑战和机遇也不断涌现。9月17日,在2023国家网络安全宣传周的“网络安全标准与实践分论坛”上,安恒信息高级副总裁刘志乐就“云计算服务安全标准落地实践”阐述了自己的观点。

刘志乐强调,在云计算市场竞争升级的背景下,云服务商需要不断提高自身的效率和性能,以满足用户不断增长的需求。同时,云安全治理也需要得到更多的重视,通过持续开展安全运营,保障用户的数据安全和隐私。

云计算安全标准的落地实践是保障云计算安全的重要工作。目前,我国已经相继发布了云计算技术以及云计算安全相关的系列标准。由安恒信息参与起草的《信息安全技术 云计算服务安全能力要求》和《信息安全技术 云计算服务安全指南》也已正式发布。

《信息安全技术 云计算服务安全能力要求》规定了云计算服务应具备的安全能力要求,包括数据安全、系统安全、网络安全等方面。《信息安全技术 云计算服务安全指南》则提供了云计算服务安全管理的基本原则,包括客户数据和业务的安全责任、云计算平台上客户业务系统的运行监管、退出服务的流程等。这两项标准的发布,为云计算服务提供了更为详细的安全指导和要求。

提到云计算服务安全管理基本原则,刘志乐介绍道,“安全管理责任不宜随服务外包而转移,无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上,客户都是安全的最终责任人。客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都宜属客户所有,客户拥有这些资源的全部控制权。”

另外,客户数据和业务的司法管辖权不宜因采用云计算服务而改变。除非我国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织。

同时,承载客户数据和业务的云计算平台宜按照国家或行业管理要求进行管理,为客户提供云计算服务的云服务商宜遵守国家或行业相关安全管理政策及文件。要坚持先评后用原则,客户宜要求云服务商具备保障客户数据和业务系统安全的能力,并通过第三方评估机构的安全评估。客户宜选择通过评估的云服务商,监督其切实履行安全责任,落实安全管理和防护措施。

刘志乐进一步介绍说,在云计算服务生命周期安全管理方面,主要分为规划准备、选择服务商与部署、运行监管和退出服务四个阶段。在规划准备阶段,客户应确定自身上云的数据和业务类型,根据数据和业务的类型确定云计算服务的安全能力要求。在选择云服务商与部署阶段,客户宜根据安全需求、云计算服务的安全能力和安全评估结果选择云服务商。在运行监管阶段,客户宜指导监督云服务商履行合同规定的责任义务。在退出云计算服务时,客户宜要求云服务商履行相关责任和义务,确保退出云计算服务阶段数据和业务安全。

安恒信息在云安全方案架构方面拥有多年的实践经验。例如,某省移动为满足省内政企客户的多样化需求,打造“网+云+DICT”一站式解决方案,其中的网络安全能力主要向政企云客户,实现业务系统的安全加固,助力实现等保合规。通过采用安恒信息的云安全解决方案,打造“全省一盘棋”对外统一的安全服务。安全能力按照“集中+近源”的架构进行部署,有效激活云、IDC、专线全场景客户,以此为抓手拉通各级部门协同作战,有效减低建设成本和运营成本,帮助客户有效提升了对外服务的综合竞争力,以安全增值服务助力业务转型升级。

随着云计算的快速发展和普及,保障云计算的安全性已经成为重要课题。通过制定和实践符合国家或行业管理要求的云计算服务安全标准、采用专业的云安全解决方案,可以有效地提高云计算工作负载的安全性,助力企业和个人更好地享受云计算带来的便利和效益。

随意打赏

提交建议
微信扫一扫,分享给好友吧。