鏈接雲端 可信而安2023 SecGo雲和軟件安全大會在京召開

2023年8月25日,由中國信息通信研究院(以下簡稱“中國信通院”)和中國通信標準化協會聯合主辦的“2023 SecGo雲和軟件安全大會”在北京成功召開。大會以“鏈接雲端 可信而安”爲主題,旨在推動雲和軟件安全產業發展、新技術應用和生態建設。大會公佈了2023年度可信安全最新評估結果,簽署了人保財險&中國信通院雲大所合作協議,啓動和發佈了多本雲和軟件安全領域研究報告。

中國通信標準化協會副理事長兼秘書長代曉慧致辭

代曉慧表示,中國通信標準化協會在雲和軟件安全標準化工作方面取得了以下進展:一是標準化工作持續健全完善;二是覆蓋範圍有序拓寬;三是國際影響力逐步提升。

爲進一步推動我國雲和軟件安全產業發展與實踐落地,代曉慧對產業的未來發展提出三點建議:一是貫徹國家重點政策,推進政策的落地實施,完善配套標準制定,積極促進雲和軟件安全產業上下游生態建設。二是加快完善雲和軟件安全標準體系,積極引導雲和軟件安全產業健康發展。三是促進供需側有效對接,發揮推進委員會的平臺作用,聯合產業鏈上下游,加速雲和軟件安全技術的推廣和應用。

中國信通院雲大所所長何寶宏致辭

何寶宏表示,當前我國雲和軟件安全產業發展正邁入高質量發展軌道:一是政策環境持續優化;二是創新技術應用不斷涌現;三是產業融合進一步深化。

中國信通院作爲推動行業發展的重要橋樑和紐帶,近年來在雲和軟件安全領域持續開展工作,建立了較爲完善的“可信安全研究體系”,主要包括以下幾個方面:一是積極開展雲和軟件安全領域標準與評估體系建設工作。二是持續發佈雲和軟件安全產業洞察與研究成果。三是搭建雲和軟件安全生態與交流平臺。

爲深入落實“十四五”規劃要求,積極營造安全可信網絡生態環境,中國信通院面向雲安全、軟件供應鏈安全、零信任等領域開展可信安全系列評估,大會公佈了最新的可信安全評估結果。

2023年度可信安全評估結果發佈

人保財險&中國信通院雲大所簽署合作協議

雲保險等科技保險作爲信息技術安全服務的創新模式之一,爲雲計算等新技術的可保風險提供保障,已經越來越得到國家、行業、企業等重視。在會上,中國信通院雲大所與中國人民財產保險股份有限公司共同簽署了戰略合作協議。雙方在前期良好的合作基礎上,將進一步在雲保險等信息科技類保險方面開展深入合作交流,共同推動保險與新技術的加速融合。

三本雲安全領域白皮書啓動編寫

隨着企業上雲用雲進程的不斷推進,雲計算產業發展面臨新的安全態勢與挑戰。爲推動行業整體雲安全能力水平提升,中國信通院雲大所將聯合國內雲計算代表企業共同編寫多本雲安全領域研究報告。一是與華爲雲計算技術有限公司共同啓動編寫《雲安全責任共擔白皮書2023》,以分享雲安全責任共擔領域的新態勢、新理念、新實踐,強化上雲企業與雲服務商安全協作。二是與阿里雲計算有限公司共同啓動編寫《雲上安全治理指南》,剖析適應行業用戶深度用雲新安全需求的安全建設路徑,以指導行業用戶安全的上雲、用雲。三是與華爲雲計算技術有限公司共同啓動編寫《雲遠程連接安全實踐指南》,創新建立安全遠程連線模型,以應對雲遠程連接中數據安全、行爲不透明等風險。

《銀行業業務安全體系建設白皮書》正式發佈

金融科技的迅猛發展爲銀行業帶來了巨大發展潛力的同時,大量業務風險也隨之凸顯。在此背景下,中國民生銀行股份有限公司和中國信通院雲大所共同編寫的《銀行業業務安全體系建設白皮書》在會上正式發佈,爲銀行業深入瞭解當前的業務安全挑戰和趨勢提供有力參考。

中國信通院雲大所副所長慄蔚分享《軟件物料清單(SBOM)發展現狀與洞察研究》

慄蔚表示,近年來軟件供應鏈安全事件頻發,軟件物料清單(SBOM)作爲提升軟件供應鏈透明度,降低軟件供應鏈安全風險的有效手段受到業界關注。

軟件物料清單指軟件成分列表,識別並列出了軟件組件信息以及它們之間的供應鏈關係。中國信通院圍繞軟件物料清單開展相關研究工作,已圍繞核心數據要素,建立了軟件物料清單標準體系。經調研發現,目前我國企業軟件物料清單建設工作仍處初期階段,大規模落地較難實現,主要存在數據格式不統一、缺乏配套平臺工具、企業需求未確立、數據零散難收集等痛點問題。針對我國企業軟件物料清單建設現狀,中國信通院調研多種數據格式,完善軟件物料清單標準,明確核心數據字段要求,助力企業軟件物料清單相關建設工作的落地。

兩本應用安全領域白皮書發佈

新技術的蓬勃發展驅動業務創新變革,應用安全風險加劇。爲推動行業整體應用安全能力水平提升,中國信通院雲大所聯合國內應用安全代表企業共同編寫多本應用安全領域研究報告。一是與深圳永安在線科技有限公司共同撰寫併發布《API安全發展白皮書(2023)》,旨在通過分析新型API攻擊趨勢及其爆發式增長催生的新型安全挑戰,幫助從業者更好的瞭解API安全攻防現狀。二是與瑞數信息技術有限公司共同撰寫併發布《雲上WAAP發展洞察報告(2023)》,旨在通過分析WAAP解決方案的優勢及核心能力要求,幫助安全從業者更好的瞭解WAAP全貌。

中國信通院雲大所開源和軟件安全部主任郭雪發佈並解讀《零信任發展研究報告》

郭雪表示,如今企業IT防護機制從以網絡邊界爲核心向以身份爲核心的零信任轉變,零信任產業已形成蓬勃發展的良好態勢。此次中國信通院雲大所發佈的《零信任發展研究報告》對過去兩年多零信任產業的新發展、新變化進行了調研和洞察:一是信任保障資源可信訪問,應用價值日益凸顯;二是零信任能力生態逐漸成熟;三是用戶對零信任建設尚存顧慮,同時肯定零信任核心價值。

此外,郭雪對零信任產業發展提出了五點建議:一是提升技術壁壘避免同質化競爭;二是強化安全產業供應鏈間合作;三是運用零信任成熟度評價模型爲用戶實施零信任提供細化幫助;四是多行業範例涌現,深化行業應用。

中國信通院雲大所開源和軟件安全部副主任孔鬆分享《可信雲安全標準體系解讀》

孔鬆表示,爲推動雲安全產業發展,中國信通院圍繞雲資產安全、雲安全工具、安全服務、雲安全責任共擔等領域建立了可信雲安全標準體系,以促進雲安全供應側技術能力的高質量交付。未來,聚焦雲用戶深度用雲中的新安全挑戰,將進一步推動雲安全質效進階標準的制定,助力雲用戶釐清雲安全建設技術路徑,建立評價模型科學量化雲安全實際成效,實現安全能力的持續優化。

產業各方嘉賓發表精彩演講

大會還邀請了產業各方嘉賓發表精彩演講。中國民生銀行股份有限公司信息科技部安全規劃中心副處長(主持工作)李吉慧帶來了“銀行業業務安全體系研究與實踐”主題演講;華爲雲計算技術有限公司華爲雲安全治理總監鄒豐帶來了“重新定義數字化時代的雲安全治理”的主題演講;天翼雲科技有限公司雲網安全事業部產品中心總監宋志明分享了“天翼雲一體化雲原生安全防護體系的建設思考”。

本屆“2023 SecGo雲和軟件安全大會”除主論壇之外,還設有軟件供應鏈安全、雲安全、零信任發展、應用安全、科技保險五大分論壇。後續,中國信通院將緊跟雲和軟件安全的產業發展趨勢與行業痛點,推動新技術落地與應用,搭建各方溝通交流橋樑,積極推動雲和軟件安全產業發展。