2023SecGo云和软件安全大会在京召开

 

  日前,由中国信息通信研究院和中国通信标准化协会联合主办的“2023 SecGo云和软件安全大会”在北京成功召开。大会以“链接云端 可信而安”为主题,旨在推动云和软件安全产业发展、新技术应用和生态建设。大会公布了2023年度可信安全最新评估结果,签署了人保财险&中国信通院云大所合作协议,启动和发布了多本云和软件安全领域研究报告。

  代晓慧表示,中国通信标准化协会深入贯彻习重要指示和党中央、国务院部署,在云和软件安全标准化工作方面取得了以下进展:一是标准化工作持续健全完善;二是覆盖范围有序拓宽;三是国际影响力逐步提升。

  为进一步推动我国云和软件安全产业发展与实践落地,代晓慧对产业的未来发展提出三点建议:一是贯彻国家重点政策,推进政策的落地实施,完善配套标准制定,积极促进云和软件安全产业上下游生态建设。二是加快完善云和软件安全标准体系,积极引导云和软件安全产业健康发展。三是促进供需侧有效对接,发挥推进委员会的平台作用,联合产业链上下游,加速云和软件安全技术的推广和应用。

  何宝宏表示,当前我国云和软件安全产业发展正迈入高质量发展轨道:一是政策环境持续优化;二是创新技术应用不断涌现;三是产业融合进一步深化。

  中国信通院作为推动行业发展的重要桥梁和纽带,近年来在云和软件安全领域持续开展工作,建立了较为完善的“可信安全研究体系”,主要包括以下几个方面:一是积极开展云和软件安全领域标准与评估体系建设工作。二是持续发布云和软件安全产业洞察与研究成果。三是搭建云和软件安全生态与交流平台。

  为深入落实“十四五”规划要求,积极营造安全可信网络生态环境,中国信通院面向云安全、软件供应链安全、零信任等领域开展可信安全系列评估,大会公布了最新的可信安全评估结果。

  云保险等科技保险作为信息技术安全服务的创新模式之一,为云计算等新技术的可保风险提供保障,已经越来越得到国家、行业、企业等重视。在会上,中国信通院云大所与中国人民财产保险股份有限公司共同签署了战略合作协议。双方在前期良好的合作基础上,将进一步在云保险等信息科技类保险方面开展深入合作交流,共同推动保险与新技术的加速融合。

  随着企业上云用云进程的不断推进,云计算产业发展面临新的安全态势与挑战。为推动行业整体云安全能力水平提升,中国信通院云大所将联合国内云计算代表企业共同编写多本云安全领域研究报告。一是与华为云计算技术有限公司共同启动编写《云安全责任共担白皮书2023》,以分享云安全责任共担领域的新态势、新理念、新实践,强化上云企业与云服务商安全协作。二是与阿里云计算有限公司共同启动编写《云上安全治理指南》,剖析适应行业用户深度用云新安全需求的安全建设路径,以指导行业用户安全的上云、用云。三是与华为云计算技术有限公司共同启动编写《云远程连接安全实践指南》,创新建立安全远程连线模型,以应对云远程连接中数据安全、行为不透明等风险。

  金融科技的迅猛发展为银行业带来了巨大发展潜力的同时,大量业务风险也随之凸显。在此背景下,中国民生银行股份有限公司和中国信通院云大所共同编写的《银行业业务安全体系建设白皮书》在会上正式发布,为银行业深入了解当前的业务安全挑战和趋势提供有力参考。

  栗蔚表示,近年来软件供应链安全事件频发,软件物料清单(SBOM)作为提升软件供应链透明度,降低软件供应链安全风险的有效手段受到业界关注。

  软件物料清单指软件成分列表,识别并列出了软件组件信息以及它们之间的供应链关系。中国信通院围绕软件物料清单开展相关研究工作,已围绕核心数据要素,建立了软件物料清单标准体系。经调研发现,目前我国企业软件物料清单建设工作仍处初期阶段,大规模落地较难实现,主要存在数据格式不统一、缺乏配套平台工具、企业需求未确立、数据零散难收集等痛点问题。针对我国企业软件物料清单建设现状,中国信通院调研多种数据格式,完善软件物料清单标准,明确核心数据字段要求,助力企业软件物料清单相关建设工作的落地。

  新技术的蓬勃发展驱动业务创新变革,应用安全风险加剧。为推动行业整体应用安全能力水平提升,中国信通院云大所联合国内应用安全代表企业共同编写多本应用安全领域研究报告。一是与深圳永安在线科技有限公司共同撰写并发布《API安全发展白皮书(2023)》,旨在通过分析新型API攻击趋势及其爆发式增长催生的新型安全挑战,帮助从业者更好的了解API安全攻防现状。二是与瑞数信息技术有限公司共同撰写并发布《云上WAAP发展洞察报告(2023)》,旨在通过分析WAAP解决方案的优势及核心能力要求,帮助安全从业者更好的了解WAAP全貌。

  郭雪表示,如今企业IT防护机制从以网络边界为核心向以身份为核心的零信任转变,零信任产业已形成蓬勃发展的良好态势。此次中国信通院云大所发布的《零信任发展研究报告》对过去两年多零信任产业的新发展、新变化进行了调研和洞察:一是信任保障资源可信访问,应用价值日益凸显;二是零信任能力生态逐渐成熟;三是用户对零信任建设尚存顾虑,同时肯定零信任核心价值。

  此外,郭雪对零信任产业发展提出了五点建议:一是提升技术壁垒避免同质化竞争;二是强化安全产业供应链间合作;三是运用零信任成熟度评价模型为用户实施零信任提供细化帮助;四是多行业范例涌现,深化行业应用。

  孔松表示,为推动云安全产业发展,中国信通院围绕云资产安全、云安全工具、安全服务、云安全责任共担等领域建立了可信云安全标准体系,以促进云安全供应侧技术能力的高质量交付。未来,聚焦云用户深度用云中的新安全挑战,将进一步推动云安全质效进阶标准的制定,助力云用户厘清云安全建设技术路径,建立评价模型科学量化云安全实际成效,实现安全能力的持续优化。

  大会还邀请了产业各方嘉宾发表精彩演讲。中国民生银行股份有限公司信息科技部安全规划中心副处长(主持工作)李吉慧带来了“银行业业务安全体系研究与实践”主题演讲;华为云计算技术有限公司华为云安全治理总监邹丰带来了“重新定义数字化时代的云安全治理”的主题演讲;天翼云科技有限公司云网安全事业部产品中心总监宋志明分享了“天翼云一体化云原生安全防护体系的建设思考”。

  本届“2023 SecGo云和软件安全大会”除主论坛之外,还设有软件供应链安全、云安全、零信任发展、应用安全、科技保险五大分论坛。后续,中国信通院将紧跟云和软件安全的产业发展趋势与行业痛点,推动新技术落地与应用,搭建各方沟通交流桥梁,积极推动云和软件安全产业发展。

搜索