腾讯董志强出席全国信安标委“标准周”：数字化转型需要高安全等级架构

2023 年 5 月 29 日至 6 月 1 日，全国信息安全标准化技术委员会（以下简称“信安标委”）2023 年第一次“标准周”活动在云南昆明举行。此次活动聚集了全国顶级的网络安全标准专家、学者和业界领袖，共同探讨网络安全标准领域的前沿议题和最佳实践，为数字经济提供坚实的安全保障。

在“网络安全标准护航数字经济高质量发展”高峰论坛上，腾讯安全副总裁、云鼎实验室负责人董志强发表《云平台高安全等级架构》主题演讲，与参会者分享腾讯安全在云平台安全领域的创新实践和技术成果，以及在参与标准制定上的实践经验和工作建议。

董志强认为，数据泄露和供应链等安全威胁带来的安全风险日益突出，成为企业开展数字化经营的掣肘因素。企业的数字化转型需要高安全等级架构为业务保驾护航，尤其是对于关键基础设施而言，其安全稳定运行关系国计民生、公共利益和国家安全，亟需更高等级的安全架构提供支撑。

基于多年云平台安全建设经验，董志强系统分享了腾讯云平台高安全等级架构的实践，以期为大型企业尤其是“关基”平台提供参考。董志强在发言中也提出，应以标准制定的形式将云平台架构层面的安全工作推进实施，促进行业共识形成与协同发展。

腾讯安全副总裁、云鼎实验室负责人董志强

董志强表示，企业安全面临层出不穷的安全新威胁，数字化转型需要高安全等级架构为业务保驾护航，IT 基础设施云原生化引发底层可信需求，产品服务化引发用户可感知的默认安全需求，数据业务智能化引发安全、数据、智能、架构融合实现业务免疫系统的需求。腾讯安全通过如下几个方面，来构建云平台的高等级安全：

一、数据中心安全：从数据中心面、物理网络面、硬件面、主机面、租户面等层面，保障数据中心安全；

二、服务器硬件安全：从固件安全审计和渗透测试、硬件/固件安全设计、固件刷新保护、服务器组件优化裁剪等方面，构建可信硬件体系；

三、云默认安全框架：从底座安全加固、底座安全能力、反入侵等方面保障云平台默认安全，从安全设计、多租户隔离、身份认证、访问控制、应用安全、安全配置、审计、数据安全等方面保障云产品默认安全；

四、责任共担模型：多方联动，各司其职，互相配合，构建高安全等级系统，从而形成安全共同体，协力抵抗高威胁等级对抗。

五、数字安全免疫力及价值模型：从边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理 7 个维度进行综合思考，形成体系化的能力模型，为企业未来的数智化创新发展保驾护航。

董志强提到，腾讯安全一直以来积极参与网络安全标准的制定，将腾讯安全的经验、方法分享给行业。自 2016 年开始，腾讯云积极参与国家在云计算安全方面的标准建设，包括不限于关键信息基础设施安全、大数据业务风控国标研究、云计算服务安全等国家标准及研究课题，其中重点参与的 GB/T 31167-2023 于不久前的 5 月 23 日正式发布。

针对云计算平台的安全特点和安全风险，董志强建议在国家标准层面制定云服务安全相关标准，从架构层面保障云平台安全。在管理层面，推进责任共担模型等标准；在技术层面，推进云原生安全、硬件可信安全等标准；在数据层面，推进匿名化等标准。同时，他也呼吁，行业上下游齐心协力，基于共建的标准，更好地为产业数字化发展保驾护航。

活动现场，中央网信办及全国信安标委相关领导视察了腾讯云与四川大学、国家信息技术安全研究中心联合实施的“云计算安全系列标准支撑国家云服务安全评估的应用案例”展览，该案例曾于去年获得网络安全国家标准优秀实践案例一等奖。

“信安标委”成立于 2002 年 4 月，是中国信息安全标准化技术领域最高规格、最具权威的官方机构，下设 6 个工作组和 1 个特别工作组。自 2016 年开始，每年举办两次“会议周”活动。“会议周”活动则是其借鉴国际标准化工作模式和经验，对中国网络安全标准化工作组织模式的创新和有益探索，搭建了一个业内极具权威性和影响力的网络安全标准化工作交流、研讨、沟通的平台。