邢黎闻
当今世界,是互联网的时代,是信息化的社会。党的十八大以来,习近平总书记在国内外多个重要场合对网络安全和信息化作了全面、深刻、系统的论述,“网络空间是亿万民众共同的精神家园”,“没有网络安全就没有国家安全”。习近平总书记站在实现“两个一百年”的历史高度,明确提出了创新发展的网络强国战略,深刻地阐述了正确处理安全和发展的辩证关系。
为了深入贯彻学习习近平总书记关于网络安全系列重要讲话精神,积极响应中央网信办、工业和信息化部、公安部等六部门联合发布的《关于印刷国家网络安全宣传周活动方案的通知》的要求,9月24日,由杭州市政府、中国信息化推进联盟、浙江经济理事会主办,杭州市拱墅区政府、中国信息化推进联盟协同创新专委会、浙江乾冠信息安全研究院承办的2016第二届中国网络安全协同创新高峰论坛·杭州峰会在美丽的西子湖畔召开。
峰会上,来自中央网信办、公安部、中科院及国家有关部门的领导、专家就如何学习贯彻习近平总书记关于网络安全和信息化的系列讲话精神、网络安全面临的严峻复杂形势、网络安全管理的方针政策、网络安全体系建设的策略建议和实践案例等进行了研讨交流。
本刊摘取部分专家精彩观点,以飨读者。
建设整体信息安全保密体系
杨国勋认为,当前的信息安全问题不容小觑,特别是政府及金融、能源等关键信息基础设施的安全保障问题。应该强化关键信息基础设施安全,进而大力推动重要领域整体信息安保体系建设。
但是,信息安全既没有绝对的安全,也没有永久的安全,因此,整体信息的安全防护也不可能一劳永逸,彻底管住。所以,在实际操作中,我们应该是在有效安全的前提下,以发展促安全。
那么,如何做到有效防护?第一,要明确消除可预见的整体安防的薄弱点和空白点。要按照对双方的重要性及损害的严重程度分类评估,来判定做还是不做。如果是有可预见的薄弱点,就不能做。第二,要创新安防的思路、方法、路线图。现实中,我们经常会遇到“又要马儿跑、又要马儿不吃草”的问题,信息安全也是这样的问题,又要安全,又要扩大应用。在这种情况下,我们需要创新,需要从另外的角度来分析和思考。比如风险管理,不仅要分析对自己的重要性,也要分析对敌方的重要性;出了事情,要分析对自己的影响,也要分析对敌方的影响;比如法制管理,用法制的威慑力,使他不敢造次,不敢随便地对你进行攻击。第三,要有科学、合理、可持续的实施方案。
互联网+下的工业安全技术
在演讲中,何积丰提及了工业控制系统的三个安全目标:一是通信可控,要能直观观察、监控、管理通信数据,仅能保证专有协议的数据传输,禁止其他通信;二是区域隔离,要能防止局部控制网络问题扩散导致全局瘫痪,要在关键数据通道上部署网络隔离;三是报警追踪,要能及时发现网络安全问题,确定故障点,记录报警事件,为故障分析提供依据。
对于工业控制系统的安全防御策略,何积丰提出了五道防线,分别是:第三方商用防火墙,联合安全网关,工业PC安全防护,现场设备控制防护,安全可靠的现场设备。可以采取的具体措施也有五条:去中心化、智能下移、异构冗余,分布协同、蜜罐技术。
何积丰认为,未来几年,工业控制系统安全发展趋势将朝着以下几方面发展:一是随着硬件元器件的可靠性越来越高及冗余技术的使用,安全问题的矛盾主要集中于软件,软件安全性面临严峻形势;二是工控信息安全标准需求强烈,标准制定工作亟需全面推进;三是随着自动化系统IT化,传统边界防护难以满足工业控制环境;四是行业内尚未形成气候,需要整合自动化与信息安全公司优势,带动产业全面发展;五是工控安全防护技术迅速发展并在局部开始试点,距离大规模部署和应用有一定差距。
深化国家网络安全等级保护制度,全力保卫关键信息基础设施安全
陈广勇除汇报了公安部在网络安全方面的一些工作情况和应对措施之外,还给重要行业部门开展网络安全工作和信息安全企业提出了一些建议。
他建议,重要行业部门开展网络安全工作要统筹规划行业安全工作,以网络安全等级保护工作为抓手,以信息通报为平台,以全面加强安全管理和技术防范为重点,以提高网络安全保障能力为目标,全力构建本行业网络安全综合防御体系。
针对信息安全企业,他建议,第一是要紧密围绕国家网络安全重大举措来开展经营活动,包括及时跟踪了解国家法律、政策、标准和重大举措;有针对性地制定具有行业特点的产品研发战略、技术创新,着重解决云、大、物、移以及工业控制系统的安全风险,制定相应的整体解决方案;第二是要积极参与和跟进信息安全标准的规范研究工作;第三是要全力支撑国家网络安全重点工作,做好技术储备和技术创新,信息安全企业要积极参与网络安全信息通报预警、智慧城市的网络安全管理、新技术、新应用推广等国家有较大投入的方面;第四是要加强规划、科学布局,企业要做好长远的战略规划,努力成为既能提供整体的网络安全解决方案,也能提供高质量的咨询服务能力的综合服务提供商。
拟态防御,协同众测促进网络安全创新
演讲中,葛培勤指出了当今网络安全的五个特点:一是网络安全是整体的不是割裂的,二是网络安全是动态的不是静态的,三是网络安全是开放的而不是封闭的,四是网络安全是相对的而不是绝对的,五是网络安全是共同的而不是孤立的。他进而指出:网络防护需要靠大家共同协防,网络检测需要靠大家一起发现问题,网络管理需要大家齐抓共管,网络应急需要靠大家一起处置/恢复,网络演练需要靠大家共同参与,网络安全需要靠广大人民。
他讲到,近年来,针对传统13类产品以外的信息安全产品层出不穷,如APT网络监控类、工控安全类、生物识别类、认证类、安全芯片类、大数据分析类、物联网安全等等,而创新产品测评与统一认证,将加快这些创新产品进入实际应用。国家信息技术安全研究中心与中国信息安全中心协商一致,最近将与多家测评机构进一步沟通协商,一是在测评规范上采取一定的措施,如鼓励采用未发布国标开展试点示范,采用参考行标扩大使用范围,采用多家众测形成测试用例,同时借鉴国外相关技术标准等方法,加快形成创新产品的基本测评用例和增强测试用例,采取结果导向、问题导向、目标导向理念,开展基于漏洞分析挖掘的产品测评,并对相对成熟的创新类产品、专家评审和审批后发放统一的认证证书。众测活动需要严格的管理措施来保证测评中的“7性”,组织方必须周密组织,公开公平公正地开展工作,保证测评的严肃性、严谨性。
跨维—深度聚焦网安生态
徐平说,在整个网络信息化发展过程中,乾冠信息安全研究院主要解决网络安全中第一公里和最后一公里的问题,其中的第一公里小到一个单位,大到国家互联网的出入口。乾冠信息安全研究院致力于通过时空跨维和深度聚焦,来形成一个比较完整的针对安全威胁的体系化的解决方案。
如何发现并分析处理数据安全,需要业界厂家形成合力,利用大数据驱动构建一个安全管理的平台。这也是研究院积极参与构建中国网络安全协同创新共同体、网络安全态势感知生态矩阵的初衷,即借助平台化的方式,用平台+服务、平台+产品、平台+合作伙伴等模式,来为用户提供整体的服务。平台矩阵将从三个层面提供防御保护:远程防御、云防御和安全设备。
他坦言,对安全威胁的一些未来的预测,是乾冠信息安全研究院下一步要重点突破的方向。
安全理念更新引领网络安全创新
演讲伊始,邵国安就指出:现在很多层面对于网络安全的本质和核心的理解是比较模糊的。理念决定行动,但是若理念都错了,谈何正确的行动?
他讲道,网络安全要从以下五个方面来加以考虑:一是网络边界的安全,二是网络防护,三是终端安全,四是应用安全,五是数据安全,每个层面都有不同的安全要求,是一个扇型的安全保障体系。
交通运输网络安全风险与策略
李璐瑶认为,不管是从事信息化还是从事信息安全的,都必须先了解它的业态,才能来进行风险权重的评价。交通行业,很好地体现了大数据的强大特征:广泛性、海量性、有价性。也正因此,交通领域成为了可能遭到重点攻击的目标,一定要采取有效措施,加强安全防护。
此外,她也认为就各级政府而言,要集中对政府网站、政务邮箱、重要业务、公务终端、互联网出口这五类系统进行安全防护。
提升风险自主发现处置能力的探索实践
袁慧萍以警醒开场:安全无处不在,安全圈一旦出事,就是大事。她坦诚了自己工作中的难题:单一的、传统的安全防护体系,基本上处于失效或者半失效的状态,跟随产业技术而“垒砌”起来的“烟囱”之间无法联动;防不胜防的漏洞和隐患,以及各种变种让安全人员应接不暇;自动化的手段、策略化的管理还欠缺一步。
她感慨,作为安全处长,需要练就一身本领,除了会防病毒、打补丁、处理问题外,还得会写规划、订制度。