正在阅读:中国信息安全测评中心主任助理李斌演讲中国信息安全测评中心主任助理李斌演讲

2011-11-01 11:04 出处:PConline原创 作者:佚名 责任编辑:xujian1

  被访问人:中国信息安全测评中心主任助理李斌

   记者:李主任,我们今天也听到很多关于数据分析方面的讲解,发现这两年大家对在贝和数据中心的认识度比较高。所以我想问问今天咱们有关于评测或者审核以及标准方面的东西,您从现在咱们国家整体看,出台这些标准对整个产业来说有什么作用?因为一旦它发展到一定规模的时候,特别是企业自己也在建,第三方也在建的时候,互相之间要整体协调的话,特别是上个月提到选址这些问题的时候,咱们在做评测或者标准方面的东西,作用在哪?

  李斌:非常大的一个问题,也是非常好的一个问题,作为现在我们国家在用户接受外包的在贝是有一个过程的,最开始的时候很多用户偏向于自建,自建有自建的好处,反正自己的东西,觉得心里看到了踏实,但是它的问题和不足的地方也很多,一个是建一个在贝中心相当于代价是很高的,这方面一个是本身要建在贝中心所花的资金的人力甚至包括运营的成本。第二是从国家的角度来说,我们也撑不起这么多自建中心的代价,举一个例子,拿耗电来说,用电方面,美国能源局有一个数据,他们2006年统计的数据中心和在贝中心所用的电量占全国电量的1.5%,超过了家庭用电,而且它的增长速度还非常快,当时在07年预计的时候大概在五年后的11年底可能会翻一番,但实际上用的耗电量比他们预计的增长还要快,因为在贝在各行业各用户的信息化的需求越来越大。今年7月份英国有一家公司专门搞了在贝数据统计,调查以后得出这样一个结论,全球的数据中心和在贝中心现在目前的预估的耗电量达到3.1GW,这里面就相当于数据中心增长速度方面,中国在全世界增长速度是最快的,第二是巴西,也是新兴国家,这里面我们的耗电就成为了问题,这只是一个问题,还没说其他的代价。我们国家今年又出现了电荒,在可以预见的短时期内,电力包括水资源的消耗都是偏谨慎用常态,几年之内不可能完全解决的问题,所以光从能源节约和环境保护、占地借用方面,能够适度地共享,不能说全部地共享,也要看情况,适度地共建共享的模式也是我们提倡的一种模式,因为毕竟有限资源也要尽量节约。

  从这个角度来看,目前对用户来说,如果他想委托专业的在贝公司提供服务的话,他需要有信心,也就是说这个企业提供的服务到底是不是能满足他的要求,好还是不好,他提供的服务是不是规范的,作为用户应该有一个第三方的测评结果或者评估结果,这是从用户角度。从国家角度来说,在贝这种事情关系到我们现在最后一道防线,它的所有的数据包括用户的业务敏感数据和业务的关键数据都存在在贝中心和数据中心里面,特别是一些重要的数据,在贝质量怎么样,服务怎么样关系到我们大量的数据最后的安全程度怎么样,作为国家来说也应该有一个方法、标准和客观的评估结果,这是国家角度需要有专门的机构做这个事情。从厂家而言,他做得好不好,特别是在同业这一块做的是属于什么水平,也需要有一个标准,按照一种方法评估一个结果,好做比较,同时在评估过程当中找出他的不足,来改进他的质量或者说服务,这也是它所关心的事情。所以从这三方面来讲也是比较客观的标准,操作性比较强的方法,还有一个专门的机构,大家都觉得中间没有什么利益,在一个客观公正的机构做这个事情,这也是我们服务资质评估产生的原因。

  测评中心是专门从事生产权测评领域的,包括我们的新兴的产品测评,包括这种信息系统的评估,包括服务厂商的服务能力的评价,就像我们的服务资质,包括人员的认证这几项主要任务,主要是围绕测评方向做的。关于服务资质,我们从02年开始做,到现在已经是第十年了,这方面我们主要还是聚焦于新产品的服务,目前已经评估了全国大概300家新兴从事服务的企业,在贝是我们专门的一个领域,叫做新兴企业在贝服务。

  记者:我看到您刚才提到的资质这几年也在不断发展,前几年比如说达到一个标准发了几家,今年达到另外一个标准又发了几家。这个资质是不是也在不断地发展之中?

  李斌:对。

  记者:跟企业自身做到什么程度有关系的吗?

  李斌:对,我们拿在贝举例子,它服务是分能力等级的,我们一个是根据我们国家整体状况,现在我们不同的阶段,随着企业能力的提升,随着它服务的范围的扩展,随着它更多用户更长时间的质量和结果,出来以后我们还是定了相应的级别。原来我们只是做一级在贝的,一级在贝只为用户提供必要的在贝服务,今年我们提出了二级,它跟一级有什么区别呢?一个是从能力方面,包括它的规模、技术实力、管理的规范性;还有它为用户提供战略服务的水平;还有最后一点是它的队伍的专业能力的五个角度来评估的。今年我们刚刚评估了三家企业,二级的,这是目前我们国家最高级别的,第一家是万国数据,他们是第一家通过我们通信测评的,第二家是中兴数据,第三个是中国电信,目前通过二级的只有这三家。

  记者:未来可能还会有三级、四级?

  李斌:对。

  记者:那个现在还没有确定吗?

  李斌:几级是定好了,但是在贝是一个新兴的行业,在贝的服务本身在我们国内也没有多少年,所以每次要再往上评的话,要经过时间的考验,要有规模,还要有足够的服务案例,我们来评估它的服务结果,所以目前来说最高级是二级,但是最终我们按照能力承受度来说最高是五级。

  记者:将来的评价标准也可能会进一步完善是吗?

  李斌:对,这一方面是根据技术方面,一方面是根据我们在贝服务的内容,在贝原来网上数据,做到现在涉及到业务的连续性,这个要求比以前增加了,所以要根据业务的发展来完善我们的评估方法。一是不能拔苗助长。第二要及时根据企业的能力和发展及时地评级,所以为什么原来只有一级,因为四五年以前这些在贝都是处在用户正在对服务的需求刚刚兴起,然后我们在贝企业可以提供服务,这时候是一级,但是经过这几年,其中能力比较强、各方面比较突出的企业已经具备了二级,我们开始颁布了二级。

  记者:目前的资质认证有国外的企业吗?

  李斌:有申请的,但是目前从我们国情出发,更多还是做国内的,在其他服务资质里边有外国企业,比如说工程的,在做集成服务的有,例如IBM还有一些其他的企业。

  记者:在贝方面国内企业基本上是占用得比较高?

  李斌:在贝一个是从我们国内的用户来说,有些数据比较复杂的话,可能更倾向于选择国内的企业,这是从用户的角度来说,从我们角度来说,能力或者建在贝中心,目前国内企业做了的话,下的决心大,国外企业把它当做一个市场,但是不一定花很大力气把在贝中心以及技术全部放到国内,这一皮来说并不多,在贝基本上是国外的。其他服务有国外的。但是我们国内外的企业从能力评价的方法和水平上讲是一视同仁的。

  记者:好像用户对资质方面的了解,今天还有人问对业务连续性不太明白。

  李斌:业务连续性属于从业务的角度来看在贝的作用,也就是说它考虑的是任何一个安全事件对它的业务的影响,比如说有一个停电事件,如果时间长的话,很可能自己业务停顿,但是也可能是一个误操作,会造成某一台机器受影响,但是对整个关键业务影响不大。所以从不同的安全事件对于整个业务的大小要BIA,(英)这种业务能力,它就根据对业务影响最关键,成果最严重的事件采取不同的措施来保证发生这些事件的话也不至于把业务全国停用下来。比如说数据丢失的话,很可能是灾难性监管,肆意在贝保存数据,很可能是我业务及时,停顿了,但是我不至于完全地恢复,我们的下一步,我发生事件的话,我不但数据不丢失,我的业务也不丢失,这就涉及到应用系统就比我们保存数据高了一级,我们的业务连续性从规划到实施到演练到最后测试,它也是一系列的。

  记者:今天还有一个话题是关于新兴国家标准的,刚才我也才知道标准是一个推荐性的标准,并不是强制性的,标准和资质之间的互相标准,资质是必需的,你必须有资质才能实施,但是标准呢?

  李斌:我先解释一下标准,一个是强制性标准,我们一般说GB,国标的意思,后面就是标准号;一个是推荐标准,GB-T,不是说这个标准就没有什么影响力,而是说它比强制性标准对企业的约束更多是靠最后事实的实际上去遵循,而不是事先就遵循,强制性标准在新安全的领域很少,目前来说比较典型的,一个是等级保护的标准,等级保护一系列里面只有一个标准是强制的,后续的标准也是推荐的;还有一个是我们原来的WAPI,就相当于无线接入的一个加密和安全认证方面,接入安全的标准。从国家标准工作角度来看,要慎用这种强制性标准,因为它的强制性约束比较大,标准的更新时间一般来说是有三到五年甚至更长,但是具体的一个技术发展更快。所以如果是标准本身的强制性或者把一些经常发展比较迅速的技术的话,过早地把它固化下来也不一定是个好事情。所以这个标准的制定时机是比较重要的,同时标准不断更新。同意我们推荐性标准并不意味着这个标准不重要,比如说我们国家现在一系列的应急响应、安全事件的分级分类、风险评估还有密码的一些标准基本上都是推荐性标准,它占绝大多数,大概是百分之八九十;最后还有一个标准叫指导性标准,叫GB-C,那是指导性的,比如说关于什么什么的指南,这个标准一样能起到标准的规范性作用,但是它是一种指导性、建议性的标准。

  记者:帮你怎么达标的?

  李斌:对。

  记者:当年整保的时候强制性各部委费了多大劲,其实那几年为了达标也是好长时间做那件事。

  李斌:不,标准和政策还不完全一样,刚才是政策方面推动比较大的,但是做法是参照标准的。赞成刚才也说了达到标准花了很大劲,那个跟标准是强制的还是推荐的没关系,不是说推荐的我们就可以轻松一点,因为是国家要求必需的。

  记者:限期整改的?

  李斌:对。

  记者:接下来在贝方面有没有咱们细分的标准在您的规范里面?

  李斌:在贝我们国家出了一个标准。

  另一发言人:920988,安全新兴系统恢复规范,这个当时我们还有测评中心一起去编制的国家标准。

  李斌:这个是还有一些跟在贝相关的标准,但是它的名字并不一定直接起名叫标准,比如说《信息安全事件分级分类的指南》这种标准,它实际上是适合我们在贝的,同时又适合应急响应的,因为你发生什么事件,我怎么去应急,在贝怎么准备,这些都是相关的。以后像在贝一方面是标准本身不断地去更新,因为我可能说是标准的推荐,在IT领域本身就发展很快,所以到一定时间就会继续更新。第二像有一些新技术也应用到在贝里,比如说最近的云计算。

  记者:回头发邮件。

  李斌:我给大家写一个邮件地址吧。

  记者:其实云计算肯定会影响到安全评测标准吧?

  李斌:对。

  记者:但是正在探讨,所以可能要再过一些年。

  李斌:云计算的标准是这样的,我们说的标准一个是直接把这个技术或者说它的框架以及涉及到哪些过程本身的相关标准,第二是云计算里面也用到了一些其他的标准,比如说SAAS,软件集、服务之类的,还有比如说云安全,也涉及到一些密码标准,密码标准已经有了,它只是继续用,标准是一个相互的,可能云计算和云计算安全有一个标准,但是标准肯定会用到其他标准,不可能把所有其他安全技术都纳入,不然有测标的一大漏洞。

  记者:这个在规划中了吗?

  李斌:最权威的解答不在我这里,在安标委,我们信息安全标准化委员会那里。

  (结束)

 
不好意思 你在电脑上干了什么我们都知道! 国外随时掐断咱的网络?危言耸听还是确有其事 清水、旧电厂做幕布 炫目影像让人叹为观止 高端彩色再升级 柯尼卡美能达C759如此了得 智能微投“懒人”模式上线 AI语音助力体验升级

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
IT热词

服务器论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品