保密大会观点 郑建华院士：云安全风险管控要从顶层设计入手

10月31到11月2日，为期3天的2018年保密技术交流大会在青岛国际博览中心举行。在360企业安全集团主办的网络安全和保密论坛上，中国科学院院士郑建华围绕“携手创新点•共筑网络安全保密新体系”主题发表了精彩的演讲。他指出，随着云计算、大数据等技术的应用，我国的信息化水平、国家建设和管理能力都得以提升，在新技术赋能的同时，还应当从顶层设计入手同步开展云安全风险管控。

图：中国科学院院士郑建华

当前，我国信息化和网络化进程稳步向前发展，人们的办公环境也因此变得更加智能和便利。也正因此，传统的保密技术和理念已不再适用于现阶段的网络环境，保密工作难度也不断加大。正如郑建华院士所言，这类以窃密为目标的行为，数据交换量很小，同正常办公行为一致，这无疑也给保密工作增加了挑战。

此外，郑建华还就云安全领域的风险管控工作发表了自己的看法。他表示，作为一个新的信息技术，云安全具有两面性。一方面来说，云计算的资源集中组织与服务提供模式对云安全具有独特优势，不仅更易于实施先进复杂的统一安全防护，还能使安全管理工作变得更加便利。另一方面，云计算本身的特性以及部署模型和服务模型的多样性，导致云计算面临比传统网络安全更加复杂的安全风险。

针对此，美国联邦政府在2011年2月制定了“云优先”战略，在云技术发展早期，通过政策推动机构广泛采用基于云的解决方案。在2018年9月，联邦政府为跟上美国当前的创新步伐，又发布了“云智能”战略，推动各机构采用简化转换和具有现代功能的云解决方案，美国云计算发展进入到一个新阶段。此外，美国联邦政府还十分重视顶层设计，并设置专门机构进行云计算的统一管理。

通过对美国云安全风险管控措施和理念的分析，郑建华提出四点建议：首先，要加强云安全的风险管控标准化和规范化建设，从顶层设计入手，将安全风险管控与新技术应用同步开展；其次，要加强云安全风险管控的集中管理和专业化分工，相关部门各司其职，有计划推进风险管控工作；再者，还要高度重视安全风险的评测工作，发现未知风险就要靠日常的风险评估工作来解决；最后，要加强自动化管理机制的研发和应用。

网络安全与保密论坛由中国保密协会指导、360企业安全集团主办，将网络安全新技术、新方法与保密工作紧密结合在一起，旨在通过政、产、学、研之间的交流碰撞，引发新思考，。与此同时，360企业安全集团也希望通过该论坛的举办，能够有效推动企业和企业、企业和政府机构、企业和高校之间进行保密技术交流合作，从而促进我国保密科技研发和产业发展和体水平的提高。