2023 年 5 月 29 日至 6 月 1 日,全国信息安全标准化技术委员会(以下简称“信安标委”)2023 年第一次“规范周”流动在云南昆明举办。此次流动汇集了全国顶级的网络安全规范专家、学者和业界首领,独特探讨网络安全规范畛域的前沿议题和最佳实际,为数字经济提供松软的平安保障。
在“网络安全规范护航数字经济高质量倒退”高峰论坛上,腾讯平安副总裁、云鼎实验室负责人董志强发表《云平台高安全等级架构》主题演讲,与参会者分享腾讯平安在云平台平安畛域的翻新实际和技术成绩,以及在参加规范制订上的实践经验和工作倡议。
董志强认为,数据泄露和供应链等平安威逼带来的平安危险日益突出,成为企业发展数字化经营的掣肘因素。企业的数字化转型须要高安全等级架构为业务保驾护航,尤其是对于要害基础设施而言,其平安稳固运行关系国计民生、公共利益和国家平安,亟需更高等级的平安架构提供撑持。
基于多年云平台平安建设教训,董志强零碎分享了腾讯云平台高安全等级架构的实际,以期为大型企业尤其是“关基”平台提供参考。 董志强在发言中也提出,应以规范制订的模式将云平台架构层面的平安工作推动施行,促成行业共识造成与协同倒退。
腾讯平安副总裁、云鼎实验室负责人董志强
董志强示意,企业平安面临层出不穷的平安新威逼,数字化转型须要高安全等级架构为业务保驾护航,IT 基础设施云原生化引发底层可信需要,产品服务化引发用户可感知的默认平安需要,数据业务智能化引发平安、数据、智能、架构交融实现业务免疫系统的需要。腾讯平安通过如下几个方面,来构建云平台的高等级平安:
一、数据中心平安: 从数据中心面、物理网络面、硬件面、主机面、租户面等层面,保障数据中心平安;
二、服务器硬件安全: 从固件平安审计和浸透测试、硬件 / 固件平安设计、固件刷新爱护、服务器组件优化裁剪等方面,构建可信硬件体系;
三、云默认平安框架: 从底座平安加固、底座平安能力、反入侵等方面保障云平台默认平安,从平安设计、多租户隔离、身份认证、访问控制、利用平安、平安配置、审计、数据安全等方面保障云产品默认平安;
四、责任共担模型: 多方联动,各司其职,互相配合,构建高安全等级零碎,从而造成平安共同体,协力抵制高威逼等级反抗。
五、数字平安免疫力及价值模型: 从边界平安、端点平安、利用开发平安、平安经营与治理、数据安全治理、业务危险治理 7 个维度进行综合思考,造成体系化的能力模型,为企业将来的数智化翻新倒退保驾护航。
董志强提到,腾讯平安始终以来积极参与网络安全规范的制订,将腾讯平安的教训、办法分享给行业。自 2016 年开始,腾讯云积极参与国家在云计算平安方面的规范建设,包含不限于要害信息基础设施平安、大数据业务风控国标钻研、云计算服务平安等国家标准及研究课题,其中重点参加的 GB/T 31167-2023 于不久前的 5 月 23 日正式公布。
针对云计算平台的平安特点和平安危险,董志强倡议在国家标准层面制订云服务平安相干规范,从架构层面保障云平台平安。 在治理层面,推动责任共担模型等规范;在技术层面,推动云原生平安、硬件可信平安等规范;在数据层面,推动匿名化等规范。同时,他也呐喊,行业上下游群策群力,基于共建的规范,更好地为产业数字化倒退保驾护航。
流动现场,地方网信办及全国信安标委相干领导视察了腾讯云与四川大学、国家信息技术平安钻研核心联结施行的“云计算平安系列规范撑持国家云服务平安评估的利用案例”展览,该案例曾于去年取得网络安全国家标准优良实际案例一等奖。
“信安标委”成立于 2002 年 4 月,是中国信息安全标准化技术畛域最高规格、最具权威的官网机构,下设 6 个工作组和 1 个特地工作组。自 2016 年开始,每年举办两次“会议周”流动。“会议周”流动则是其借鉴国内标准化工作模式和教训,对中国网络安全标准化工作组织模式的翻新和无益摸索,搭建了一个业内极具权威性和影响力的网络安全标准化工作交换、研究、沟通的平台。