您现在的位置是:首页 > 数字化转型 >

《网络安全法》下的国际合作之路

2017-05-05 10:09:57作者:南京邮电大学信息产业战略发展研究院副院长 刘越来源:

摘要《中华人民共和国网络安全法》出台,标志着我国网络安全将有法可依,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重。...

  1. 前言

  当今时代,网络已经深刻地融入了经济、社会、生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全日益成为既关系国家安全和发展、也关乎广大人民群众切身利益的重大战略选项。《中华人民共和国网络安全法》(下称《网络安全法》)就在这样的时代背景下应运而生,它标志着我国网络安全将有法可依,信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重。《网络安全法》的出台,不仅有利于网络安全产业的快速拓展延伸,更将有效改善我国的网络安全环境,为“互联网+”的发展清除障碍。

  习近平总书记在2015年第二届乌镇互联网大会上发表演讲时指出:互联网让我们这个地球变成了一个地球村,让人类社会前所未有的如此亲密地进行交流。习总书记在2016年4月19日进一步讲到:网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛的技术创新领域,是全球技术创新的竞争高地。

  在这个时代下,我们有了新的目标与新的态度。2014年,习近平总书记提出了建设网络强国的战略目标,实现这个目标的一个最重要的支柱就是国际合作。2015年9月习近平总书记访美,中美在西雅图这座IT名城制定了三个国家层面的合作,这是中美在网络技术方面合作的一个拐点。习总书记那时就说:中美应该成为合作社。今年4月初,习总书再次访美,此时我们讨论国际合作与当下国际形势特别契合。

  当今世界有两个显著的特征,新兴市场的崛起和新技术的革命。本质上说明,这是一个需要重新制定规则的时代。我国正处于经济结构调整和转型的关键时期,机遇和挑战相伴而生,新一代信息技术的创新与应用将发挥关键性作用。微软与世纪互联蓝云事业部、紫光互联的合作即在这一背景下诞生。本文旨在就微软与世纪互联和紫光互联的合作云平台,架构,技术,项目特征,结合《网络安全法》的相关规定和要求,对此次合作的合法行,合规性 做出评述和建议。

  2. 微软和世纪互联蓝云与紫光互联的中国云实践

  微软公司作为国际上一流的高技术公司在全球信息基础的创新发展方面具有比较丰富的经验,在促进中美交流合作中也发挥了重要作用。从1995年正式落户中国以来,随着在华业务拓展,也推动了中国信息技术产业的发展。微软云计算在操作系统及软件平台上具有无可动摇的传统优势,能满足用户多样化需求,提供较全面的云计算解决方案,能同时提供涵盖公有云、私有云,以及能在二者之间无缝连接的混合云服务。微软上一任CEO鲍尔默曾公开宣布微软将“尽在云中” (All in Cloud),微软现任CEO萨提亚 ∙ 纳德拉在就任时再次提出“移动为先,云为先(Mobile First, Cloud First) ”。可见微软对云服务的重视程度。微软特别重视国际市场的发展,与中国的国际合作也走在了前头。

  2013年6月,微软公司通过与世纪互联蓝云合作,成为首家入华的国际公有云服务商,为企业提供完备公有云Microsoft Azure云平台、Office 365云服务以及整体云解决方案。在过去的三年多来,由世纪互联运营的微软智能云Azure已经将云计算业务规模扩展了数倍。微软在与世纪互联蓝云的合作中,向世纪互联授权技术,由其在中国运营Azure及Office 365,为国内用户提供包括计算、存储、数据库、整合及网络化服务在内的公有云服务。Azure和全球微软公有云一样,承诺严格遵守微软云服务的四项基本原则:安全(保证数据的机密性、完整性和可用性,采用业界第一流的技术、开发流程和运营构建起强大的安全壁垒)、隐私与管控(没有人能未经批准使用客户数据)、合规(确保客户数据的存储和管理符合适用法律、法规和标准、完备的合规认证)、透明(客户对自己的数据是如何处理的了如指掌)。

  微软产品部门在人力、物力和财力等方面投入了巨大支持,提供大量培训,并且帮助世纪互联在数据中心搭建、产品运营方面进行了大量的技术转移和指导。为了满足微软对于Azure和Office 365保持与全球一致的运维标准,世纪互联专门组建了一支由400多名专业人员组成的专职运营团队。经过微软的全面培训和严格认证,由世纪互联运营的Microsoft Azure首批通过工信部“可信云”服务认证。

  在新的形势下,2015年9月习近平总书记访美,在西雅图制定了紫光集团、世纪互联与微软的三方战略合作,为政府及国企提供符合国家信息安全标准的混合云解决方案。2016年6月,紫光互联科技有限公司由紫光股份与世纪互联共同出资组建完成,在厦门正式落户。紫光互联依托微软所提供的Azure公有云、微软混合云和Office 365等相关云服务技术,量身定制中国版混合云产品,旨在为国内政府及国有企业等客户提供有中国特色的中立、安全、自主可控、合规,且具有世界领先技术水平的混合云解决方案及相关的专属云服务。这一合作开启了微软云在中国技术和商务合作的新篇章。

  3. 网络安全法的述评

  《网络安全法》是国家安全法律制度体系中的又一部重要法律,是网络安全领域的基本大法,与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶,对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》明确了网络安全的内涵和工作体制,反映了中央对国家网络安全工作的总体布局,标志着网络强国制度保障建设迈出了坚实的一步。《网络安全法》包括了网络空间主权,关键信息基础设施保护,网络运营者、网络产品和服务提供者义务等内容,各条款覆盖全面,规定明晰我认为值得重点关注的有以下几点:

  a) 安全等级保护进入2.0时代。

  安全等级保护2.0是对原有等级保护制度的调整和完善,主要有以下几点改进:一是网络安全法进一步明确了等级保护制度的法律地位,信息安全产品等级保护制度变成了网络安全等级保护制度,等级保护制度的地位也从规范层面上升到法律层面;二是定级的对象发生了变换,原来只是保护信息系统和系统中的数据,随着大数据、云计算、智能设备的发展,也将这些新的智能设备、新的服务和应用、以及一些企业所有的系统和数据资源纳入了等级保护制度的对象范围;三是对等级保护的工作和内涵进行了明确和规范,除了最初的五个步骤,也加入了一些新的要求,比如安全监测、等级测评、应急演练、数据保护、渗透测试、风险评估等,把跟网络安全息息相关的重要工作提升到等级保护制度的政策层面;四是标准支撑、产品支撑、技术支撑,将等级保护制度进一步完善,标准支撑解决了等级保护制度如何落实的主要问题,产品支撑解决了等级保护制度实际操作方面的问题,技术支撑主要来源于企业,使等级保护制度能够达到更好的效果;五是明确《网络安全法》规定,保护关键信息基础设施,是在落实等级保护制度的基础上,划分表保重点保护等级,等级保护制度中的三四级内容成为重中之重。等级保护制度的内核是“划分等级、重点保护”,随着不断发展,它的应用场景在变化、外延在不断的改进和完善,更加强调整体、动态的安全。

  微软云在中国的落地是与世纪互联、紫光互联、中国电信等中国本土企业深度合作的产物,微软智能云Azure和Office 365都通过了等级保护3级的测评,同时为了配合云等级保护2.0时代的来临,微软云主动开展自测。对客户的数据,微软云采取了双因素认证,除了需要刷卡、密码,也需要对于客户的生物特征进行验证,比如通过掌纹等方式进行身份验证,并且数据中心的所有角落都有探头和视频记录。存储在云平台上的数据也进行了加密和密钥管理,在过程中使用到了密码箱Key Vault Services等服务。

  微软智能云Azure 为客户提供了数据安全保护机制 – 默认启用,可供客户选择,主要有6个方面:数据分隔(通过逻辑隔离机制分隔不同客户的客户数据);传输中数据的保护(默认使用符合业界标准的协议加密组件内外传入和传出的数据,以及内部环境中传输的数据);数据冗余(客户可通过多种选项对数据进行复制,包括副本的数量以及复制数据中心的位置);存储后数据的保护(客户可以为虚拟机和存储实施设置一系列加密选项);加密(存储后或传输中数据的加密可由客户自行部署,以确保满足客户最佳实践的要求,借此保障数据的机密性和完整性);数据销毁(当客户删除数据或停止使用 微软Azure 服务时,世纪互联会按照标准流程确保上一位客户的数据无法再被访问)。这套安全保护机制符合等级保护2.0时代的要求,因为数据资源也是等级保护的一个重要对象,需要通过高级别的等级保护测评。
(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们