我国信息通讯研讨院技能与规范研讨所主任工程师高巍解读可信云效
本文摘要:我国信息通讯研讨院技能与规范研讨所主任工程师高巍解读可信云效劳安全认证方案9月1日—2日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上,我国信息通讯研讨院
我国信息通讯研讨院技能与规范研讨所主任工程师高巍解读可信云效劳安全认证方案 9月1日—2日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上,我国信息通讯研讨院技能与规范研讨所主任工程师、数据中心联盟政府收购云效劳工作组组长高巍对可信云效劳安全认证方案进行了解读。

9月1日 2日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,联盟承办的 2016大会 在京隆重召开。在分论坛上,我国信息通讯研讨院技能与规范研讨所主任工程师、数据中心联盟政府收购工作组组长高巍对可信云效劳安全认证方案进行了解读。

我国信息通讯研讨院技能与规范研讨所主任工程师 高巍

以下是演讲全文:

各位领导,各位嘉宾,我们下战书好。

自己其实不算安全的专家,这里边仅是代表我们项目组。可信云其真实数据中心联盟曾经开展的一个十分有影响力的认证的活动,可信云本身也是在不断开展,从2012年的时分以IaaS为主要有云效劳,提供认证。2014年添加了在线测试等等,本年开展了安全的认证,为何要做安全认证这样一个事情,现在在业界有很多关于安全的认证,其实我们可信云的安全认证跟现在业内的现已在进行在开展的这些安全认证,我们认为有一个划分。第一个是从用户的角度出发,不是从运营商的内部管理,从平台的架构,不是做一个白盒的,我们是做一个黑盒认证从用户的角度出发看效劳是否是可以达到安全的要求。第二个是以这种技能危险为分析方针,我们认为认证评测是以管理危险、组织的危险为评价方针,我们是以技能危险为评价方针。什么样的技能危险,我们会详细给我们介绍一下。第三个是选用业界公认的缝隙库,方才颁发了证书,由业内公认的安全专家对我们的认证成果进行评定。同时为了保证这样一个安全认证的完好性,我们也会涵盖对企业的一些管理方面安全方面评价的部分,这一部分我们是选用采信国表里广泛认可的认证的成果,以这种方式来进行,无论是通过了CSA-STAR也好,通过安全审查也好,通过等级保护也好,我们认为管理层面现已达到了要求,技能层面组织专家评测,第三方测验机构对安全进行测试。

这个测试主要三个方面,一方面是从用户的效劳,我们知道现在的效劳现已不只仅是像本来IDC效劳一样,出一个机架,供了电、制了冷就ok了,更多的变成一种信息的根底设施,承当的不再是一个效劳安全的职责。意味着从我这个Portal进入为客户提供效劳的所有的用户。第二是这个体系模板,每一个效劳商会给用户提供很多的,认为例,会提供很多体系模板,这些模板本身是否是存在缝隙,有无守时更新、守时补丁这样的策略。第三个是安全装备,是否是在给用户提供的操作体系间,可以为用户提供一些提示。现在我们所说的三方面的评测的内容,确实是因为时间十分紧,大约半年左右的时间,跟我们联盟的成员单位一块,我们一同评论出方案。这个东西也是在不断迭代过程当中的,也期望将来能有专家不断参加到这个过程当中。

在效劳Portal安全评测大约两个方面,一个是用户拜访环节的安全防护,一个是体系浸透测验。在用户拜访环节的安全危险防护,不逐个解释,一些简略的,比如在暗码重置这个环节里,是否是要允许用户来进行验证码尝试,我们的平台是否是可以防止这样的状况呈现。第二是体系模板缝隙测试,包括我们对操作体系Linux、Windows 缝隙的扫描,包括我们可能在模板里边提供了一些默许的自带效劳的平台,比如Web效劳,我们对它的缝隙进行扫描,是否是有其他的不适当的或者多余的开放的端口,都是在这里要扫描的内容。第三个是平台的云主机安全的装备测试,更多是效劳商应该有义务向用户去提示应该进行什么样的安全的基线装备,比如在身份辨别了会去验证你在体系里边是否是装备用户密码的操控战略,你的密码有用期,你的密码是否是可以提示用户守时更新。这个对用户来说是一个有利的提示,这些都是基于效劳商把用户安全的考虑作为我们为用户效劳的一部分,当然不是强制性的要求,可是效劳商应该有这样的义务向用户提示。

整个认证过程跟可信云类似,首要通过企业,有四家企业现已通过了第一批的试认证,向数据中心联盟提交请求。在请求之中有包括一些根本的产品、根本的效劳,企业的根本状况、根本资料进行审阅,包括你的资质,运转的时间。由联盟来指定第三方组织来进行测试,现在第三方组织包括信通院、赛宝实验室,这都是我们联盟现已认可的第三方的评测组织。由第三方评测组织出具的查验报告结合我们已有的资料,交给专家组评审,在你测试的成果提交资料之中,危险的状况是什么样的,有无严峻的危险,危险的程度是否是可以契合联盟规范的要求,假如ok,发布成果,不行,这个过程当中我们也进行了好多这样的迭代,要进行更改、重审。

整个规范的编制过程当中也确实得到了联盟很多成员单位的支撑,尤其这里边列出来的包括信通院、赛宝、世纪互联、华为、中睿全国、青藤云等,后续也期望有更多的企业、更多的专家参加到我们这个安全评测的规范的编制过程,包括我们企业认证的过程之中来,把我们这个评测可以做得更好,可以跟我们业内其他的包括政府的认证,包括其他职业组织认证,可以结合起来,可以更好的去保证云效劳的安全。

就简略介绍这里。


云资讯 阿里云陈峥:DT年代政务职业阿里云破冰实践 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,阿里云
大数据资讯 芯联达杨宏桥:医疗大数据建设与考虑 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,芯联达
云资讯 中投视讯CTO费有文:移动直播产品开发那点事 9月1日,由工业和信息化部辅导,我国信息通讯研讨院、我国通讯规范化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云核算重点职业应用分论坛上,中投视