作为一项增值电信业务,现在在国内推得相对来说还可以,这已经有一部分的收入。还有一个是各个运营商在做基于IDC的安全服务,包括对于IDC做流量清洗、安全代维和SOC,也做一些安全的监控等等。
我觉得增值电信业务的发展,有可能下一步做SOC,还要做成一个增值电信业务的运行平台,要提供按需个性化的服务。这跟前面的云安全一样,这一块也是跟云安全的思路是一样的,在互联网上我提供一些服务的设备,为大家提供服务。
在安全增值电信业务,我们现在正在讨论说要做相关的标准,这一块也欢迎大家跟我们一起合作,也可以积极来申请,起草相关的标准。现在我们在研究的是增值业务的模型,还有哪些技术,包括了SOC、云计算等相关的技术。
安全服务是我们现在说的对象,就是国家很关心的。第一个是基础信息网和重要的信息系统,包括了政府机关、重点行业,包括了银行、证券、税务、工商、能源、交通等等,包括了现在证监会和我们应急中心合作,要我们对他们进行应急服务,作为一个合作方式,前一段时间刚签订了协议。还有国有的大型企业提供的服务,像石油等等,大家都知道有相关的企业也在提供服务,现在各个运营商也在向这个方面转变。还有我们重要的基础设施的安全服务,包括了我们的通信网、DNS国家也在做,像部里面的安全防护也在讨论做这些东西。还有一个是中小企业,我知道各个运营商,特别是电信的以前提供有线服务的宽带接入的运营商,中小企业有专门的安全服务的业务在推。还有就是个人用户,包括前面提的手机的一个终端的安全,实际也是我们提供增值服务。
现在讲一下安全服务资质国家管理的相关的政策。国家有几个地方来管,一个是国家级有一个信息安全认证中心,这是在质检总局下面的机构。它主要是根据质检局的文提供一个安全人文的服务认证的资质认证,还有围绕应急服务支持方法在开展安全服务应急的认证。我知道我们国内大量的安全服务企业,都符合了这方面的认证资质。另一个方面的安全服务类别的评估准则正在制定,包括了我们风险评估相关的资质标准我们也正在做。
除了国家信息安全中心,还有一个是老的信息安全测评中心。这一块它服务资质的认证,已经从02年开始逐步推动这个工作。它依据的标准是信息系统的安全服务资质评估准则。从那4个方面进行认证,它的级别有1到5级,目前的认证有200多个服务机构。
地方有一些,像在北京有北京市的信息办和北京信息安全测评中心,对于北京的电子政务服务提供安全服务的要求,要通过它的认证。现在它认定的有14家,其中1级的有10家,2级的有4家,在做安全服务。广东由公安厅网监处在做资质的管理工作,把资质由低到高分成了四级,现在认定了156家,一级有3家,二级有29家,三级是98家,四级有59家。
真正管理资质这一块是保障局,但是真正的安全资质的工作意见有一些要求,这就是对于服务机构选择的要求。
这一页主要介绍的是服务机构应该遵循的义务,现在保障局正在讨论我们怎么考虑对于安全服务的机构进行一些管理,怎么来最安全防范,这是大家现在正在做的,推得比较热的,怎么来进行一些管理,好像是有一些初步的想法,具体的工作还没有推动。
这是我们通信行业有一些相关的依据,一个是YD/T1621,这主要是针对安全咨询、安全工程、安全培训、安全运行支持等四大类的服务提供了一些服务资质的要求。我们把安全服务资质由低到高分成了三、二、一。一级是最高的,当时的起草主要是考虑用于各个运营商以选择安全服务资质提供商的时候,作为一个参考性的依据。
还有应急服务资质的评估方法,这是去年刚完成的标准,这主要是业界原信产部互联网应急处理协调办公室,当时向社会推荐的应急服务试点单位,有一些条件,已经推动了好几年,把有一些经验做成了标准,参考YD/T1621。现在国家的信息安全认证中心把它作为信息通信安全服务的资质依据。现在颁布的标准主要是YDN126,这主要是对于资质服务有一些要求。
最后,我给大家介绍我前面说的几个方面的观点的总结。安全服务是比较大的,安全增值业务和云安全是其中的一部分,2009通信网络和信息安全高层论坛是这两块的结合,也是大家讨论得比较热烈的概念。简单给大家分享到这里,谢谢!
