国家情報セキュリティ標準化技術委員会(以下「西南標準化委員会」)は2023年5月29日から6月1日まで、雲南省昆明で2023年最初の「標準週間」を開催する。このイベントには、国内のトップのサイバーセキュリティ標準専門家、学者、業界リーダーが集まり、デジタル経済に強固なセキュリティを保証するためのサイバーセキュリティ標準の分野における最先端の問題とベストプラクティスについて議論しました。
「デジタルエコノミーの高品質な発展を支えるネットワークセキュリティ標準」サミットフォーラムで、テンセントセキュリティの副社長でありユンディングラボの責任者であるDong Zhiqiang氏が「クラウドプラットフォームの高セキュリティレベルのアーキテクチャ」に関する基調講演を行い、次のように述べた。参加者とともに、クラウドプラットフォームにおけるテンセントのセキュリティセキュリティ分野における革新的な実践と技術的成果、および標準策定への参加における実践的な経験と業務上の提案を紹介します。
董志強氏は、データ漏洩やサプライチェーンなどのセキュリティ脅威がもたらすセキュリティリスクがますます顕著になり、企業がデジタルオペレーションを遂行する際の制約要因となっていると考えている。企業のデジタル変革には、ビジネス、特に国家経済、国民生活、公共の利益、国家安全保障に関わる安全で安定した運用に関わる重要インフラを保護するための高レベルのセキュリティ アーキテクチャが必要です。サポートを提供するにはセキュリティ アーキテクチャが緊急に必要です。
Dong Zhiqiang 氏は、クラウド プラットフォームのセキュリティ構築における長年の経験に基づいて、大企業、特に「Guanji」プラットフォームに参考を提供することを目的として、Tencent Cloud Platform の高レベルのセキュリティ アーキテクチャの実践を体系的に共有しました。董志強氏は講演の中で、業界の合意形成と協調開発を促進するために、クラウドプラットフォームアーキテクチャレベルでのセキュリティ作業を標準策定の形で推進すべきだとも提案した。
董志強氏は、「エンタープライズセキュリティは、際限なく新たなセキュリティ脅威に直面している。デジタルトランスフォーメーションには、ビジネスを保護するための高レベルのセキュリティアーキテクチャが必要である。クラウドネイティブのITインフラストラクチャは、根底にある信頼できる要件を引き起こす。ユーザーが認識できる製品サービス指向のデフォルトのセキュリティ要件。インテリジェンス」と述べた。ビジネス免疫システムを実現するために、セキュリティ、データ、インテリジェンス、アーキテクチャを統合する必要性が生じます。Tencent Security は、次の側面を通じてクラウド プラットフォームの高レベルのセキュリティを構築します。
1. データセンターのセキュリティ:データセンター、物理ネットワーク、ハードウェア、ホスト、テナントの側面からデータセンターのセキュリティを確保します。
2. サーバー ハードウェア セキュリティ:ファームウェア セキュリティ監査と侵入テスト、ハードウェア/ファームウェア セキュリティ設計、ファームウェア更新保護、サーバー コンポーネントの最適化と調整などの側面から信頼できるハードウェア システムを構築します。
3. クラウドデフォルトセキュリティフレームワーク:セキュリティ設計、マルチテナント分離、アイデンティティ認証、アクセス制御、アプリケーションから、基本セキュリティ強化、基本セキュリティ機能、侵入防止などの側面からクラウドプラットフォームのデフォルトセキュリティを保証します。クラウド製品のデフォルトのセキュリティを確保するためのセキュリティ、セキュリティ構成、監査、データ セキュリティ、その他の側面。
4. 責任共有モデル:多者間の連携は、それぞれの責務を遂行し、相互に協力して高レベルのセキュリティシステムを構築し、それによってセキュリティコミュニティを形成し、高脅威レベルの対立に対抗するために協力します。
5. デジタルセキュリティイミュニティと価値モデル:国境セキュリティ、エンドポイントセキュリティ、アプリケーション開発セキュリティ、セキュリティ運用とガバナンス、データセキュリティガバナンス、ビジネスリスクガバナンスの7つの側面から包括的に検討し、将来の社会に役立つ体系的な能力モデルを形成します。企業はデジタルインテリジェンスのイノベーションの発展をエスコートします。
Dong Zhiqiang 氏は、Tencent Security がネットワーク セキュリティ標準の策定に積極的に参加し、Tencent Security の経験と手法を業界と共有していると述べました。2016 年以来、Tencent Cloud はクラウド コンピューティング セキュリティの国家標準の構築に積極的に参加してきました。これには、主要な情報インフラストラクチャのセキュリティ、ビッグデータ ビジネス リスク管理に関する国家標準の研究、クラウド コンピューティング サービスなどの国家標準と研究テーマが含まれますが、これらに限定されません。 GB/T 31167-2023 は、少し前の 5 月 23 日に正式にリリースされました。
クラウド コンピューティング プラットフォームのセキュリティ特性とセキュリティ リスクを考慮して、Dong Zhiqiang 氏は、クラウド サービスのセキュリティに関連する標準を国家標準レベルで策定し、クラウド プラットフォームのセキュリティをアーキテクチャ レベルで確保する必要があると提案しました。管理レベルでは責任共有モデルなどの標準を推進し、技術レベルではクラウドネイティブ セキュリティやハードウェアの信頼できるセキュリティなどの標準を推進し、データ レベルでは匿名化などの標準を推進します。同時に同氏は、業界の上流と下流が協力して、共同建設の基準に基づいて業界のデジタル開発をより適切にエスコートするよう呼び掛けた。
イベント会場では、中央サイバースペース問題委員会と国家安全保障標準化委員会の関係指導者が、テンセントクラウド、四川大学、国家情報局が共同で実施した展示会「国家クラウドサービスセキュリティ評価を支援するクラウドコンピューティングセキュリティシリーズ標準の適用事例」を視察した。技術セキュリティ研究センター、この事例は昨年の国家ネットワークセキュリティ国家標準優良実践事例の最優秀賞を受賞しました。
「証明書セキュリティ標準化委員会」は2002年4月に設立され、中国の情報セキュリティ標準化技術分野における最高水準かつ最も権威のある公的機関であり、6つのワーキンググループと1つの特別ワーキンググループから構成されています。2016年から年2回「カンファレンスウィーク」活動を開催しています。「会議週間」活動は、国際標準化作業モデルと経験を活用して、中国のネットワーク セキュリティ標準化作業の組織モデルを革新的かつ有益に探求することを指し、非常に権威と影響力のあるネットワーク セキュリティ標準化作業の交換、議論、コミュニケーションプラットフォーム。