作 者:CWW
通信世界网(CWW)4月16日消息 今天,“2009通信网络和信息安全高层论坛”在北京南粤苑宾馆隆重举行。会议由人民邮电出版社主办、信通传媒承办。会议得到了工业和信息化部、中国电信集团、中国移动集团、中国联通集团等相关部门的大力支持。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为工信部网络与安全检测实验室标准部负责人 黄元飞
个人简介
黄元飞,高级工程师,博士,信息产业部网络与信息安全检测实验室标准部负责人,中国通信标准化协会网络与信息安全技术工作委员会安全管理工作组组长,信息产业部绿色上网标准特设项目组组长。参与过多项国家863计划项目和国家科技攻关计划项目,是GB/T18336、YDN138、YDN139、YD/T1621、JR/T0003等多项国家标准和行业标准的主要起草人。主笔撰写过《信息系统安全概论》、《电子商务标准化指南》、《党政机关信息系统安全指南》等多项信息安全专著。近几年在《通信学报》、《电信科学》、《系统工程与电子技术》等核心刊物上发表过多篇学术论文。曾获得多项省部级科技进步二、三等奖。
演讲实录
黄元飞:谢谢信通传媒给我这次跟大家分享一下我的云安全和安全服务的简单粗浅的认识。
因为这个云安全是比较新的,我们的安全标准研究组有一些研究,只是说要是有多深的研究,我们还在进行中。
我主要给大家介绍4个方面,一个是云计算的认识,云安全是什么,还有安全服务,最后是安全服务的资质以及管理的政策。
云计算兴起得比较晚,是07年才出来的新的名词。这事实上有一种说法是基于Web的服务,事实上这是从网络计算演变过来的。
这主要是现在在微机百科里面对于云计算的定义,主要是一种计算类型。我之所以在前面介绍云计算,云安全就是云计算的一种。云计算现在我们国家有人说是商业的模式,现在国际上有一些大企业也开始做这方面的工作。
我们的云安全是云计算在安全领域的具体应用。有一种说法,它事实上是基于互联网的安全服务。在互联网上主要是用于计算机联网来提供安全服务。事实上,前面有专家提到,他们做的有一些现在的安全服务,也可以归到时髦的话来说,也叫做云安全。
云安全的典型模式有几个方面,一个是现在用得最多的是云安全中心,就是现在的杀毒软件在做的。大家知道,现在在我们国家最先推的是几个杀毒软件的厂商,在推云安全这一块的东西。现在的病毒因为超过1千多万,如果靠以前的病毒库来查,光靠特征库是很难解决的问题的。所以,以在互联网上的病毒,现在都互联网化了。我的杀毒软件也只有向互联网化来对应它,才能解决它。所以,这是杀毒软件的一种发展方向。现在云安全算是做反毒的比较先进的理念在做。
还有一种是服务典型的应用,就是云计算的安全图板。这主要是有一些做Web安全防范和垃圾邮件防护,还有一些做网页的国际代码的检测,像现在在考虑有一些运营商也做Web2.0网站的安全防护,我是不是考虑用云安全的方式来做。现在Web的托管,现在在市场预计到2012年,每年的增长要到49%。
SOC大家很清楚了,上午我看到有一个专家专门介绍SOC的。这说大了也是云安全的应用,因为有上千家客户的IDS日至、FW日志、流量日志、应用日志、数据库日志的信息都用SOC来做。为什么要用SOC呢?大家应该比较清楚了。主要是现有的分散的解决方案,比说防火墙的入侵检测等等这些东西不能完全很好地解决问题。每个系统都有自己单独的监管,这样带来了一些管理的负担更大。每天处理的一些事件、告警等等都上千万级的,都是各个运营商的,这一块都要应用SOC的工具来做。
下面这个片子是我们现在在行标里面SOC简单的架构。这个行标我们已经正式颁布了,就是YDT1800,这是总体架构的标准。我们现在事实上想SOC也给各个运营商建正在起草的标准,就是SOC和各个运营商应急中心的接口,互相建立一个库的标准。还有一个我们正在研制的,就是最下面这个部分,各种安全设备和SOC的接口,我们现在也正在起草。
下面给大家介绍一下安全服务。安全服务事实上有几个方面。一个是运营商来说,现在的专业安全厂商是为运营商提供服务的还有一种是运营商给一些集团客户、用户提供安全服务,主要有两个方面。这是国家标准的术语里面安全服务的定义,还有一个是我们行标《信息安全评估资质准则》里面对于安全服务的定义。
安全服务的类型在YD/T1621里面我们定义了安全咨询、安全工程、安全培训、安全运行支持服务这几个方面。还有国家标准的草案,就是《信息系统安全服务资质评估准则》,这个标准在这一块是国家信息安全技术中心,现在很多的安全厂商知道,这对于安全厂商的安全服务资质认证,用的就是这个标准。服务分成了几个方面,一个是安全工程、安全培训、CA运营、其他服务。其中安全工程包括了安全方案设计、安全咨询等等。
安全服务类型是业界大家提的安全服务类型,这个比较多,有各种各样的。包括各个运营商也在对客服做了一些服务。
最后,我觉得最关键的给大家介绍一下我们现在说到运营商为客户的安全增值服务。所谓的增值服务是把增值的电信业务的东西,怎么来提供安全,我来挣钱的一样。
我的现在我们大家来讲,说各运营商,我如果都在讨论做等级划分、等级保护、安全防范等等一系列的工作,但是如果我作为一个运营商,我只做工作不赚钱这不是长久之计。长久之计应该是有一些安全的东西,还有资源、人员、设备,包括有安全服务团队,怎么把这些团队转化成经济收入,要有效益。如果没有效益,这个事情做不长。所以,这就是我们做安全电信增值业务。这一块我们正在考虑和电信运营商开始做了,下一步我们看怎么结合起来做一些标准。
这是在国际上推得比较好的,是英国电信推出的安全增值电信业务,这上一次在我们TC8的会议上,英国电信专门给我们介绍过,他们专门做了对企业的安全服务,还有对于个人的安全服务。现在英国电信转变成一般的运营商以外,他基本上很大一部分收入来自于服务,从服务提供商来做的。
除了英国电信以外,美国、日本和韩国都在做相关的安全增值的业务。国内的运营商也在做,我们典型的就是绿色上网,大家有可能都知道。这几年从06年过后,部里面在推阳光绿色上网的工程,电信、网通都在做绿色上网的业务,包括我们现在也是在做绿色上网的标准,也在做这一块的东西。