2018年3月21-22日，由中國信息通信研究院主辦、中國通信標(biāo)準(zhǔn)化協(xié)會支持的"OSCAR云計算開源產(chǎn)業(yè)大會"在北京國家會議中心圓滿落幕。

在21日召開的"開源和私有云安全論壇"上，工信部網(wǎng)絡(luò)安全管理局付景廣、四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院陳興蜀、信通院云安全主管封莎、浩天安理律師事務(wù)所王新銳、華為安全首席架構(gòu)師甘永存、OpenSSL代碼貢獻(xiàn)榜華人第一楊洋、360云安全事業(yè)部產(chǎn)品總監(jiān)王亮等多位領(lǐng)導(dǎo)及業(yè)內(nèi)專家出席了本次大會，發(fā)表了精彩演講。

工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長付景廣為OSCAR開源和私有云安全論壇致辭，他表示，在云計算發(fā)展的同時，必須高度重視安全問題。就"如何認(rèn)識和保障云計算安全"，付處長提出了幾點意見和建議：一是堅持問題導(dǎo)向，認(rèn)清云服務(wù)面臨的主要安全風(fēng)險； 二是要深入貫徹落實《網(wǎng)絡(luò)安全法》，切實落實云服務(wù)企業(yè)的安全主體責(zé)任；三是要加強(qiáng)技術(shù)和管理創(chuàng)新，不斷提升云服務(wù)安全可控水平。

四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院常務(wù)副院長、教授陳興蜀就《云技術(shù)安全能力及運行監(jiān)管》進(jìn)行了精彩的分享，分別從基于可信計算的虛擬機(jī)全生命周期安全、云計算服務(wù)安全能力評估方法和工具以及云服務(wù)運行監(jiān)管三個方面展開介紹?；诳尚庞嬎愕奶摂M機(jī)全生命周期安全分兩個方面，首先是針對可信虛擬機(jī)生命周期的保護(hù)，圍繞虛擬機(jī)的創(chuàng)建、啟動、運行、關(guān)閉、銷毀、遷移的全生命周期建立安全機(jī)制，從而保障各個階段都處于可信的狀態(tài)，以及在云計算平臺上如何實現(xiàn)對虛擬機(jī)的全程狀態(tài)監(jiān)控。

中國信息通信研究院高級工程師、云安全主管封莎分別從私有云安全調(diào)研結(jié)果、云服務(wù)用戶數(shù)據(jù)保護(hù)能力評估背景以及《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評估方法 第2部分：私有云》解讀三個方面展開介紹。中國的私有云市場現(xiàn)在處于一個增幅平穩(wěn)的狀態(tài)，私有云安全受到了廣泛關(guān)注，并且數(shù)據(jù)安全問題已經(jīng)成為私有云安全能力建設(shè)的一個焦點。在這樣的背景下，中國信息通信研究院啟動了云服務(wù)用戶數(shù)據(jù)保護(hù)能力評估系列的工作。其中，《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評估方法 第2部分：私有云》從用戶角度出發(fā)，涉及到15大類36項數(shù)據(jù)安全保護(hù)能力的一系列指標(biāo)，全面的覆蓋私有云數(shù)據(jù)安全的事前防范、事中保護(hù)和事后追溯三個階段。

北京浩天安理律師事務(wù)所管理合伙人王新銳從云服務(wù)中的數(shù)據(jù)安全風(fēng)險、網(wǎng)絡(luò)安全法對云服務(wù)提供商的合規(guī)要求以及端和云的數(shù)據(jù)合規(guī)分析三個方面來解讀。其中，云服務(wù)中的數(shù)據(jù)安全存在六個方面的風(fēng)險，分別是數(shù)據(jù)控制者對于個人數(shù)據(jù)缺乏有效的控制、數(shù)據(jù)處理缺乏透明度、數(shù)據(jù)的泄露和濫用、不同主體間的責(zé)任承擔(dān)問題、數(shù)據(jù)刪除不徹底以及數(shù)據(jù)跨境傳輸問題。對于網(wǎng)絡(luò)安全法對云服務(wù)提供商的合規(guī)要求：一是網(wǎng)絡(luò)安全等級保護(hù)制度和網(wǎng)絡(luò)運營者的安全保護(hù)義務(wù)，二是網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意，三是關(guān)鍵信息基礎(chǔ)設(shè)施涉及的個人信息和重要數(shù)據(jù)本地存儲原則和跨境傳輸?shù)陌踩u估要求，四是個人信息保護(hù)。

華為安全首席架構(gòu)師甘永存就《讓安全貼近負(fù)載》發(fā)表演講，他表示傳統(tǒng)的負(fù)載都是比較穩(wěn)定、靜態(tài)的，通常不會變。但是在云上，這個負(fù)載會變化非?？?，而且是彈性的，傳統(tǒng)的安全架構(gòu)可能跟不上這種負(fù)載的變化，而通過將安全貼近負(fù)載，可以適應(yīng)基礎(chǔ)設(shè)施云化，同時滿足用戶基于應(yīng)用視角的安全策略管理、業(yè)務(wù)的擴(kuò)縮容和安全策略全生命周期管理，并提供更精細(xì)化的隔離。

OpenSSL代碼貢獻(xiàn)榜華人第一、白山云楊洋分享了在2014年4月OpenSSL心臟滴血漏洞出現(xiàn)后四年內(nèi)OpenSSL發(fā)展的歷史，包括CII （Core Infrastructure Initiative）的創(chuàng)立、OpenSSL 各版本的發(fā)布及主要功能特性的介紹、OpenSSL開發(fā)流程和社區(qū)建設(shè)、開源許可證更換以及OpenSSL Book介紹等。他表示，互聯(lián)網(wǎng)的基礎(chǔ)都是基于開源軟件前提下得以研發(fā)和運行的，但是由于企業(yè)和用戶對于開源軟件安全的關(guān)注度不夠，導(dǎo)致開源軟件存在一些漏洞和安全問題。