2018年7月21日,主题为“新环境、新机遇、新挑战”的中国关键信息基础设施安全高峰论坛在内蒙古乌兰察布市举办。
本次会议由国家信息,、内蒙古大数据发展管理局、中国网络安全审查技术与认证,、国家信息技术安全研究,指导,乌兰察布市人民政府主办,由乌兰察布市大数据发展局、北京国信天辰信息安全科技有限公司、中国关键信息基础设施技术创新联盟(筹)承办,乌兰察布市华创信息产业投资发展有限责任公司协办,会议得到了《信息安全研究》杂志、中国关键信息基础设施人才智库的大力支持。
中国科学院郑建华院士,国家信息,李新友,工程师,中国网络安全审查技术与认证,魏昊主任,国家信息技术安全研究,俞克群主任,乌兰察布市委常委、副市长张爱冬等领导出席论坛并发表演讲。会议由中国计算机学会计算机安全专委会严明主任主持,来自国家网络安全相关主管机构、关键信息基础设施,行业、网络安全知名企业、媒体、乌兰察布市各相关单位代表等300余人参加了论坛。
国家信息,李新友,工程师为论坛致辞。他表示,乌兰察布市政府主办本次论坛,聚焦讨论电子政务系统的网络安全保障工作非常的及时必要。关键信息基础设施是我国重要的战略资源,“在网络安全等级保护制度的基础上实行关键信息基础设施的,保护”首先要立法追究胆敢攻击关键信息基础设施的人或组织的刑事责任;其次要在国家层面收集威胁情报,打造一体化的风险识别、监测预警和应急响应机制,实现资源共享、安全威胁情报共享,实现快速威胁响应和联动防御;再次要进行专业防护,以抵御,、有组织的网络攻击能力作为标尺。
国家信息,李新友,工程师致辞
中国网络安全审查技术与认证,魏昊主任在致辞中表示,关键信息基础设施保护要坚持预防为主的战略思想,形成全国一体化,一盘棋的工作格局;要落实运营单位的主体责任;监管部门的监督、检查,企业、运营者内部评估,第三方评估、检测认证相结合的机制是保证安全管理和技术防护措施落实到位的重要保障,也是落实主体责任和监管责任的重要抓手。目前,网络安全审查认证制度框架已基本建立。随着各项工作的推进,审查和认证正在逐步融合,既有共性又各有侧重,既各司其职又互相配合,在国家网络安全保障体系中正在发挥愈来愈大的作用。
中国网络安全审查技术与认证,魏昊主任致辞
国家信息技术安全研究,俞克群主任在致辞中从具体问题出发,通过北欧近几年网络演习,分享了对关键信息基础设施保护的一些看法。他指出,网络安全演习具有提高全民和相关职能部门的意识、实现评估“软机制”和检验“硬实力”的作用。俞克群分析了当前关键信息基础设施面临的主要网络威胁,指出了当前关键信息基础设施保护的,和防护力量的构成;总结了当前关键信息基础设施演习的组织模式。
国家信息技术安全研究,俞克群主任致辞
乌兰察布市委常委、副市长张爱冬代表市委市政府对高峰论坛的举办表示祝贺,对来宾表示诚挚的欢迎。张爱冬表示,国际国内互联网龙头企业入驻乌兰察布,促进了“南贵北乌”的大数据发展格局的形成。当前,大数据与网络安全得到高度关注,数据安全是网络安全的基础。未来乌兰察布在深入推动大数据发展战略时,也将做好大数据和网络安全的协同发展,并将特别关注公共服务和重要行业领域等关键信息基础设施的安全防护。希望参会单位和专家利用本次高峰论坛的机会,充分交流经验、携手协同发展,为乌兰察布的大数据安全工作献计献策、贡献力量。
乌兰察布市委常委、副市长张爱冬致辞
会上,此次高峰论坛组委会发布了“2018关键信息基础设施安全优秀产品、解决方案评选”活动。在与会嘉宾的见证下,《信息安全研究》杂志田霞副主编代表组委会宣布“2018关键信息基础设施安全优秀产品、解决方案评选”活动正式启动。她表示评选活动将以行业需求为牵引,以自主创新为准绳,依托《信息安全研究》杂志和中国关键信息基础设施技术创新联盟的专家资源和产业资源,广泛征集,力争评选出真正具备创新性、实用性和可控性的产品和解决方案,为行业用户提供决策参考,支撑网络安全产品和服务企业开拓市场。后续的活动方案将在《信息安全研究》杂志和中国关键信息基础设施技术创新联盟公众号以及合作媒体上对外发布。
高峰论坛从“产学研用测管”等多个方面安排了15个主题演讲和一场高端访谈。
中国科学院郑建华院士做了题为《关键信息基础设施安全的几个问题》的主题报告,郑院士从信息安全的要求和目标入手,深入浅出地分析了我国信息安全在国家层面和公众层面面临的两类威胁。郑院士提出,当前我国信息安全领域存在七个短板:一是缺乏顶层设计和长期战略;二是核心技术受制于人;三是网络空间美对我具有非对称优势,单向透明;四是网络安全优秀人才严重失衡;五是数据主权顶层设计不足;六是政府、行业、企业的网络安全防护能力不强;七是网络空间博弈的制胜理念不清晰。针对上述短板,郑院士提出七点建议:一是树立安全和发展并重的理念,当前要把安全放在更加优先的地位;二是对内实施自主可控、安全可信战略,鼓励、支持原创型、技术型、产品型的发展模式,对外支持和扶持国际型和产品型企业的发展;三是实施非对称制衡战略;四是建立网络空间国家安全战略实验室,迈开面向全球的步子,打造核心技术、人才、机制的高地;五是制定实用、管用的战略、政策,建立国家统一的大数据,;六是建设“国家网络空间战略预警与积极防御工程”,建立“国家网络边防”系统;七是树立能力制胜的理念,努力、积极打造持续的网络能力。
中国网络安全审查技术与认证,体系与服务认证部张剑主任做了题为《数据安全认证-构筑数字世界的信任桥梁》的报告。张剑主任提出,网络安全审查、认证和审计在关键信息基础设施保护中分别在事前、事中、事后等不同阶段,发挥着不同的作用并互为补充,具有十分重要的意义。他结合目前开展的工作介绍了我国网络安全审查和认证机制一体化设计的基本思路,以及现阶段开展网络安全审查和网络安全认证工作的基本情况,并以关键信息基础设施数据安全管理为例,分析讲解了审查认证的具体实施过程。
内蒙古自治区大数据发展管理局全鑫组长做了《开创内蒙古大数据新局面》的报告。他表示,2016年10月,国家正式将内蒙古列为国家大数据基础设施统筹发展类综合试验区,乌兰察布正式步入了大数据统筹发展的新阶段。目前,自治区数据,服务器装机能力已经突破了100万台,大数据发展在起步阶段就实现了跟实体经济协同发展。同时,内蒙古自治区出台了若干政策,成立了大数据咨询委员会、专项基金等,发展目标是力争到2020年全区服务器装机能力超过300万台,面向全国、国家部委和行业企业提供应用承载、数据存储、容灾备份等服务,为建设数字强国、智慧社会提供重要基础设施保障。
国家信息,办公室吕欣副主任做了题为《关键基础设施安全保障评价体系》的报告。吕欣从网络安全攻击和防御两个层面分析了关键信息基础设施安全面临的严峻挑战,并由此提出建设关键信息基础设施安全评价体系。该体系给出了关键基础设施安全保障评价体系框架、保障测量方法与指标体系,可以实现对关键信息基础设施的安全保障情况的综合评价。该项目研究提出的指标体系和模型在相关领域已经进行了多年的应用实践,并在全国信息安全标准化技术委员会立项,目前已经形成了国家标准报批稿。
北京卫达信息技术有限公司张长河总裁结合《孙子兵法》和人工智能,介绍了世界首创的下一代主动动态防御技术——智能动态防御。张长河表示,该技术是一种颠覆传统网络安全观念的全新技术理念,改变了传统网络防御思路,对网络空间中的防护实体注入“动态”基因,有效实现了网络安全中的主动防御,从根本上改变了攻防对抗“矛尖盾薄”的不对称局面。卫达公司基于智能动态防御技术开发了一系列网络安全产品,在电力、金融、通信、交通等重要行业得到了广泛应用,能够为打造,网络防御能力提供技术支撑。
公安部第三研究所网络安全法律研究,主任黄道丽在题为《新态势下关键信息基础设施立法保护》的演讲中,讨论了国际关键信息基础设施保护,立法动态研判、我国关键信息基础设施保护立法框架和我国关键信息基础设施保护实施路线等三个问题。黄道丽表示,世界各国均在加紧关键信息基础设施的立法活动,2018年以来各国关键信息基础设施立法成效显著。我国《网络安全法》对关键信息基础设施保护做出了明确规定,立法目的是监测、防御、处置境内外网络安全威胁,保护关键信息基础设施免遭侵入、干扰和破坏,惩治网络违法犯罪活动,维护网络空间安全和秩序。
阿里云计算有限公司行业安全总经理张谦做了题为《云安全助力关键信息基础设施保障》的演讲。他系统的介绍了阿里企业云安全架构的“平台-用户”双层安全保障模式,涵盖业务、运营、数据、网络、应用、主机、账号、云产品、虚拟化、硬件、物理安全等11个维度共45个模块。企业可以在此基础上搭建更简单、更智能的安全架构,确保生产效率,创造更多的价值。
公安部信息安全等级保护评估,张宇翔常务副主任做了题为《深化网络安全等级保护制度,落实关键信息基础设施安全》的演讲。网络安全等级保护制度是指,根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。张宇翔介绍了等级保护制度的法律政策发展沿革,基于网络安全形势的变化,分析了新时期国家等级保护制度的特点。他表示,网络安全等级保护已经进入2.0时代,需要构建相应的法律政策体系、标准体系、技术支撑体系、人才队伍体系、教育训练体系和保障体系。谈到关键信息基础设施保护与网络安全等级保护的关系,张宇翔表示,关键信息基础设施的安全保护等级不低于等级保护第三级。
乌兰察布市大数据发展局吕佐鹏副局长做了题为《乌兰察布市大数据发展的现状与未来展望》的演讲。吕佐鹏介绍了近年来乌兰察布市依托区位、资源、政策等方面的独特优势,将大数据及相关产业作为战略性产业加以培育和引进,深入贯彻落实大数据发展战略,在数据,建设、大数据服务外包、创业创新等方面取得的成效,以及近一段时间打造内蒙古大数据综合试验区的核心区、,大数据产业示范基地、,大数据灾备基地、,双创示范基地、国家重要的服务外包基地的有关情况。
北京时代新威信息技术有限公司杨玉忠副总经理报告的题目是《利用信息系统审计建立关键信息基础设施保护第三道防线》。他分析了当前关键信息基础设施保护工作面临的挑战,提出建立关键信息基础设施保护监督机制:网络安全风险治理应建立三道防线。第一道防线应明确目标和任务,设计、选择和执行信息系统控制措施;第二道防线应建立风险管理框架和风险评价准则,执行风险管理;第三道 防线应建立审计机制,监督信息系统控制措施的设计、执行,以及风险管理的有效性。,,杨玉忠介绍了时代新威的信息系统审计解决方案。
上海爱数信息技术股份有限公司官文军副总裁演讲的题目是《关键基础设施数据灾备体系实践》。官文军表示,数据灾备建设的目标是保障关键基础设施能够持续地为业务提供服务,一旦业务数据发生错误或丢失时可快速准确恢复数据。基于上述思想,他提出了灾备体系的顶层设计架构、灾备,的建设模式、灾备资源池和灾备网络的设计方案。
中基石油通信有限公司张,,工程师演讲的题目是《央企数据泄露防护整体解决方案研究与应用》。在演讲中,张,提出数据作为企业的核心资产,能否得到有效保护直接决定了企业的生存状态。他通过全球数据泄露案例分析了数据安全的形势和风险,认为数据泄漏的影响是持续的,它让企业变得脆弱。张,分析了央企在数据泄露方面普遍存在的管理和技术缺陷,提出了解决央企数据泄露问题的基本思路。
北京海泰方圆科技股份有限公司汪丽副总裁发表了题为《安全浏览器助力关键信息基础设施保护》的演讲。汪丽通过介绍浏览器的发展历程,分析了浏览器行业的现状和安全问题。她表示,浏览器作为桌面或手机等终端系统的网络入口基础软件,是建立在操作系统之上的最重要和最基本的功能性软件,是国家信息化体系不可或缺的软件环节。国产浏览器应该支撑国产密码算法,支持国家网络信任体系、满足国家密码相关标准规范、支撑关键信息基础设施保护的安全机制。
山石网科通信技术有限公司副总裁兼,技术专家杨庆华做了题为《关键信息基础设施威胁溯源》的演讲。杨庆华反思了系统安全建设存在的误区,指出为了业务系统的连续运行、服务质量和数据安全,应当提高系统的安全防护能力、监控能力和应急响应能力。基于,安全保障的能力建设曲线模型,杨庆华分析了监测能力强度要求的差异化现状,提出构建以业务保障为核心的信息安全态势系统,并给出了部署场景实例。
贵阳大数据产业安全顾问陆宝华以《保护大数据的安全》为题,分享了从事数据安全保护工作的经验。他提出保护大数据和大数据安全两个基本概念,认为网络安全并不等同于数据安全。陆宝华着重分析了分布式计算给大数据和数据安全带来的新风险,包括大数据平台安全问题、数据真实性问题等,并基于数据生命周期的安全分析报告提出了大数据防火墙和相关部署方案。
会议的,是高端访谈环节,五位来自不同领域的专家针对大数据给关键信息基础设施保护带来的机遇和挑战这一议题展开了精彩的讨论。访谈由安天研究院陈晓桦院长主持,国家信息,刘蓓处长、国家能源局信息,陈雪鸿副处长、中国人民银行金融信息,信息安全部袁慧萍主任、中基石油通信有限公司张,,工程师分别从各自行业领域的安全防护需求出发,畅谈了大数据环境下开展关键信息基础设施保护的新思路、新做法。各位专家从实际工作出发,结合行业特点对乌兰察布发展大数据和大数据安全产业、开展关键信息基础设施保护工作提出了建设性的意见。