论文部分内容阅读
8月11日,“2011中国信息安全大会暨第九届中国CSO俱乐部年会”在京召开,会议得到了工业和信息化部信息安全协调司、公安部网监局的大力支持。工业和信息化部信息安全协调司副司长欧阳武、中国计算机世界传媒集团董事葛程远出席并致辞,公安部网络安全保卫局处长郭启全、上海信息安全基础设施研究中心副主任顾青,以及来自电子政务、商务、电力、医疗、能源等行业的代表出席了会议。
十二五规划下的安全探讨
本次大会以“构筑十二五规划下中国信息安全体系”为主题,对当前国内外安全威胁、中国电子政务遇到的安全与挑战、等级保护落实中的关键问题,以及各行业在“十二五”期间如何规划以应对信息安全的挑战等议题进行了热烈讨论。
中国计算机世界传媒集团董事葛程远表示,在信息安全威胁日益严峻的今天,“十二五”规划以2011年作为开局之年,在规划纲要中首次将“加强网络与信息安全保障”作为重要的一个章节突出,显示出“十二五”期间国家对信息安全的高度重视。“十二五”规划纲要中明确指出:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。
众所周知,现阶段的信息安全形势发生了不少变化,新时代的信息安全堡垒正在逐步建立。工业和信息化部信息安全协调司副司长欧阳武表示,“随着信息化水平不断提高,网络空间与物理空间相互交织、相互渗透、相互影响,网络已经成为人类活动的重要领域。”
比如,前不久,美国政府就发布了一系列政策性文件:4月15日发布网络空间可信身份战略;5月16日发布网络空间国际战略;6月8日发布网络空间安全创新和互联网经济;7月15日发布网络空间行动战略。这些都凸现了美国政府对陆海空天之外的网络空间的高度重视。
中国政府对信息安全工作也十分重视,其中工业和信息化部的一项非常重要的职责就是协调和维护国家信息安全。为了切实履行好这一职责,工业和信息化部专门设立了信息安全协调司,以指导、监督政府部门和重点行业的重要信息系统基础信息网络安全保障工作,承担信息安全应急协调,协调处理重大事件。而“十二五”规划也为加强网络与信息安全保障指出了明确方向。不过,国家信息化专家咨询委员会委员宁家骏认为,目前对国家信息安全发展战略的研究不够。
“顶层设计的缺失导致中央和地方信息安全保障难以形成统一体系,影响了信息安全保障工作的可持续发展;中央和地方分级建设模式在一定程度上制约了统一体系和统一标准的形成;另外,在技术上存在先天不足、自主创新可控能力不足,也带来新的问题。”他说。
国内外安全形势严峻
会上,宁家骏给与会者展示了这样一组数据:2011年6月互联网网络安全主要数据显示,我国境内感染网络病毒的终端达到815万个,境内篡改网站数量达3164个,其中篡改政府网站数量333个,国家信息安全漏洞共享平台收集整理漏洞447个,其中257个是高危漏洞,可以实施远程攻击的则有406个。公安部针对网络黑客攻击破坏活动专项行动打击,破获案件169起。同时,网络失窃现象严重,政府网站也时常发生被植入木马病毒的情况。另外,由于基础网络存在一定的相互依赖性,网络安全威胁还可能导致灾难性的骨牌效应,安全对信息化进程的稳定性存在必然的扰动性。
事实上,近两年国际国内由黑客主导的安全事件的影响力以及破坏力一直在不断上升,黑客行为已经脱离了“自由、共享”的初衷,正处于逐步失控的状态,由此诞生的黑客产业链更是让信息安全面临着更大的挑战。
中国绿色兵团发起人之一、CHOWNGROUP倡导者李麒是一位长期和黑客以及黑客地下产业链打交道的黑客专家。在他看来,黑客的行为已经不局限于利用木马程序盗取QQ账号、网络游戏账号、银行账号等个人信息为己牟利,一些黑客的行为已经开始对国际大事产生影响,“前不久我们发现越南的黑客将某个政府网站首页进行了篡改,替换上他们的黑客页面,用以表现他们在南海问题上的一些政治意图。”
目前网络战已经升级成国与国之间的拉锯战,各国都创建了属于自己的精锐“网络部队”。去年5月,美军网络司令部启动应对网络攻击计划,建立陆海空全面网络战防御体系,其目的就是打信息战,并形成完备的信息战体系。
防范Web威胁是大势所趋
目前,黑客攻击正在从传统的网络层转化为应用层,同时越来越多的黑客开始盗取企业保密信息用于牟利。
“黑客可以盗取企业的机密信息、图纸、财务报表以及核心数据等,将这些卖给企业的竞争对手,这其中也包括一些跨国公司的核心数据。”李麒说。
达到这些目的的方式主要是网页被篡改、挂马、仿冒三种手法,我国电子政务网站也深受其害。
“去年我们协助国家相关部门对全国31个省市区的7383个政府对外服务的网站进行大检查,发现这些网站的安全情况不容乐观。所查的网站一般都存在问题,其中最为突出的就是网页被篡改,这种情况占到整个安全事件数量的62.7%,位居第一。”李麒表示,“造成这种问题的原因主要是网站的程序设计时没有全面考虑安全因素,比如安全代码优化、安全代码编辑等关注不够。”
李麒认为,造成信息安全形势严峻的一个重要原因是用户将安全防护重点设置在网络层,而忽略应用层,黑客针对Web应用层进行攻击往往让人防不胜防。“与传统网络安全不同,Web安全威胁变化非常快,做好控制并不容易,尤其是维护、开发、上线等过程。针对这样的情况,用户不仅要建立整个安全防护体系,同时还针对目前信息安全态势做好监测,对整个安全指标进行量化。另外,要将安全做到平台化、周期性、常态化、制度化,做好预警。最后,要实现安全的易用性,并充分了解当前信息系统的安全状态,出了问题要有相应的机制和应急响应。”
建立安全保障长效机制
为了应对日益严峻的安全形势,2008年4月国家出台了关于加强政府信息系统保密的通知,要求各地区、部门每半年要进行一个政府信息系统安全检查。2009年3月又印发政府信息系统安全检查办法,明确了工作原则以及安全检查的工作要求等,督促各地区和部门加强政府信息系统的安全防护。
会上,欧阳武还提出应大力推广电子签名。“网络的匿名性、行为主体不确定性是互联网最大的安全隐患。通过电子签名技术可确认行为人和确保网络行为的不可抵赖。一旦有了可靠的电子签名,我们物理世界里面维护安全的最重要的两个基石——法律和道德在网络空间里面也有了应用的基础。”
据了解,信息安全协调司成立三年以来把落实电子签名法作为一项重要工作来抓。目前,工信部许可可信数字证书的社会保有量已经接近两千万,一个可信身份认证服务系统体系正在形成。
此外,让计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制也是我国信息安全建设的重点。公安部十一局郭启全处长表示,目前国家信息安全面临的新形势要求我们要重视国家关键信息基础设施保护,近几年公安部、工信部、国家广电局、密码局做了大量工作把国家关键基础设施梳理出来,保护重点进一步明确。但是,如何全面和整体解决各行业在信息化建设中的安全问题,仍是国内外信息安全界一直关注的问题。
各行业构建
信息安全堡垒
电子商务、电力、医疗、能源等行业也都在信息安全领域进行新的尝试。上海信息安全基础设施研究中心副主任顾青表示,“十二五”规划中明确指出要积极发展电子商务,完善面向中小企业的电子商务服务,推动面向全社会的信用服务和网上支付物流配送支撑体系建设。
根据中国电子商务研究中心的统计,截止到今年6月份,电子商务交易市场达2.9万亿元人民币的交易额,B2B达2.6万亿元,但在电子商务的发展中,网络经营主体的身份确认机制尚未成型,网络市场经营行为需要进一步规范,网络市场成型体系有待健全,政府职能部门服务监管有待于改进,网络消费者维权行为有待于保障和解决等问题一直困扰着电子商务市场。同时,电子商务对数字证书认证有非常迫切的需求。因此,市场需要政府职能部门提供电子商务公信服务,创新监管方式方法,维护电子商务市场秩序,促进第三方认证服务机构提供电子商务公正服务,培育战略性新兴产业,构建完整的电子商务信任服务体系。
电监会信息安全处处长温红子作为电力行业的代表,对于工控系统基础性地位级面临的安全威胁深有感触:“和IT系统一样,工控系统也面临黑客攻击、恶意代码、外力破坏、自然灾害等安全威胁。同样,工控系统一旦发生安全事件,损害程度将非常严重。比如,因病毒入侵伊朗布什尔核电站的西门子工控系统,致使数台离心机数据错误,使伊朗能力倒退两年。这件事值得我们警惕。”
温红子指出,工业控制系统的安全防护工作任重而道远,在一些影响国计民生的大行业中应该引起足够的重视,并亟需建立起可控的安全防护措施。
记者观察
从来没有真正的安全,安全是各方博弈的结果。自IT技术诞生以来,针对信息安全的讨论和争斗就不绝于耳。
由《计算机世界》主办的“中国信息安全大会暨中国CSO俱乐部年会”已经迎来了第九个年头,主持人的机敏、专家的博学、演讲者的幽默,以及参会者的认真,让每一届大会都会碰撞出火花,这让原来严肃的话题产生出不一样的感觉。
本届信息安全大会以“十二五规划下的信息安全”为主题,来自政府、协会以及各行业企业代表各抒己见,围绕大会主题介绍了各自下一阶段的安全规划。安全厂商针对目前的安全技术热点以及用户新应用需求,提出了有针对性的安全解决方案,并希望借此帮助企业在“十二五规划”指导下构筑更为安全的企业防护体系,参会者亦对此表示出浓厚的兴趣。
计算机世界传媒集团董事 葛程远
工业和信息化部信息安全协调司副司长 欧阳武
公安部网络安全保卫局处长 郭启全
上海信息安全基础设施研究中心副主任 顾青
国家信息化专家咨询委员会委员 宁家骏
中国绿色兵团发起人之一、CHOWN GROUP倡导者 李麒
电监会信息安全处
处长 温红子
十二五规划下的安全探讨
本次大会以“构筑十二五规划下中国信息安全体系”为主题,对当前国内外安全威胁、中国电子政务遇到的安全与挑战、等级保护落实中的关键问题,以及各行业在“十二五”期间如何规划以应对信息安全的挑战等议题进行了热烈讨论。
中国计算机世界传媒集团董事葛程远表示,在信息安全威胁日益严峻的今天,“十二五”规划以2011年作为开局之年,在规划纲要中首次将“加强网络与信息安全保障”作为重要的一个章节突出,显示出“十二五”期间国家对信息安全的高度重视。“十二五”规划纲要中明确指出:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。
众所周知,现阶段的信息安全形势发生了不少变化,新时代的信息安全堡垒正在逐步建立。工业和信息化部信息安全协调司副司长欧阳武表示,“随着信息化水平不断提高,网络空间与物理空间相互交织、相互渗透、相互影响,网络已经成为人类活动的重要领域。”
比如,前不久,美国政府就发布了一系列政策性文件:4月15日发布网络空间可信身份战略;5月16日发布网络空间国际战略;6月8日发布网络空间安全创新和互联网经济;7月15日发布网络空间行动战略。这些都凸现了美国政府对陆海空天之外的网络空间的高度重视。
中国政府对信息安全工作也十分重视,其中工业和信息化部的一项非常重要的职责就是协调和维护国家信息安全。为了切实履行好这一职责,工业和信息化部专门设立了信息安全协调司,以指导、监督政府部门和重点行业的重要信息系统基础信息网络安全保障工作,承担信息安全应急协调,协调处理重大事件。而“十二五”规划也为加强网络与信息安全保障指出了明确方向。不过,国家信息化专家咨询委员会委员宁家骏认为,目前对国家信息安全发展战略的研究不够。
“顶层设计的缺失导致中央和地方信息安全保障难以形成统一体系,影响了信息安全保障工作的可持续发展;中央和地方分级建设模式在一定程度上制约了统一体系和统一标准的形成;另外,在技术上存在先天不足、自主创新可控能力不足,也带来新的问题。”他说。
国内外安全形势严峻
会上,宁家骏给与会者展示了这样一组数据:2011年6月互联网网络安全主要数据显示,我国境内感染网络病毒的终端达到815万个,境内篡改网站数量达3164个,其中篡改政府网站数量333个,国家信息安全漏洞共享平台收集整理漏洞447个,其中257个是高危漏洞,可以实施远程攻击的则有406个。公安部针对网络黑客攻击破坏活动专项行动打击,破获案件169起。同时,网络失窃现象严重,政府网站也时常发生被植入木马病毒的情况。另外,由于基础网络存在一定的相互依赖性,网络安全威胁还可能导致灾难性的骨牌效应,安全对信息化进程的稳定性存在必然的扰动性。
事实上,近两年国际国内由黑客主导的安全事件的影响力以及破坏力一直在不断上升,黑客行为已经脱离了“自由、共享”的初衷,正处于逐步失控的状态,由此诞生的黑客产业链更是让信息安全面临着更大的挑战。
中国绿色兵团发起人之一、CHOWNGROUP倡导者李麒是一位长期和黑客以及黑客地下产业链打交道的黑客专家。在他看来,黑客的行为已经不局限于利用木马程序盗取QQ账号、网络游戏账号、银行账号等个人信息为己牟利,一些黑客的行为已经开始对国际大事产生影响,“前不久我们发现越南的黑客将某个政府网站首页进行了篡改,替换上他们的黑客页面,用以表现他们在南海问题上的一些政治意图。”
目前网络战已经升级成国与国之间的拉锯战,各国都创建了属于自己的精锐“网络部队”。去年5月,美军网络司令部启动应对网络攻击计划,建立陆海空全面网络战防御体系,其目的就是打信息战,并形成完备的信息战体系。
防范Web威胁是大势所趋
目前,黑客攻击正在从传统的网络层转化为应用层,同时越来越多的黑客开始盗取企业保密信息用于牟利。
“黑客可以盗取企业的机密信息、图纸、财务报表以及核心数据等,将这些卖给企业的竞争对手,这其中也包括一些跨国公司的核心数据。”李麒说。
达到这些目的的方式主要是网页被篡改、挂马、仿冒三种手法,我国电子政务网站也深受其害。
“去年我们协助国家相关部门对全国31个省市区的7383个政府对外服务的网站进行大检查,发现这些网站的安全情况不容乐观。所查的网站一般都存在问题,其中最为突出的就是网页被篡改,这种情况占到整个安全事件数量的62.7%,位居第一。”李麒表示,“造成这种问题的原因主要是网站的程序设计时没有全面考虑安全因素,比如安全代码优化、安全代码编辑等关注不够。”
李麒认为,造成信息安全形势严峻的一个重要原因是用户将安全防护重点设置在网络层,而忽略应用层,黑客针对Web应用层进行攻击往往让人防不胜防。“与传统网络安全不同,Web安全威胁变化非常快,做好控制并不容易,尤其是维护、开发、上线等过程。针对这样的情况,用户不仅要建立整个安全防护体系,同时还针对目前信息安全态势做好监测,对整个安全指标进行量化。另外,要将安全做到平台化、周期性、常态化、制度化,做好预警。最后,要实现安全的易用性,并充分了解当前信息系统的安全状态,出了问题要有相应的机制和应急响应。”
建立安全保障长效机制
为了应对日益严峻的安全形势,2008年4月国家出台了关于加强政府信息系统保密的通知,要求各地区、部门每半年要进行一个政府信息系统安全检查。2009年3月又印发政府信息系统安全检查办法,明确了工作原则以及安全检查的工作要求等,督促各地区和部门加强政府信息系统的安全防护。
会上,欧阳武还提出应大力推广电子签名。“网络的匿名性、行为主体不确定性是互联网最大的安全隐患。通过电子签名技术可确认行为人和确保网络行为的不可抵赖。一旦有了可靠的电子签名,我们物理世界里面维护安全的最重要的两个基石——法律和道德在网络空间里面也有了应用的基础。”
据了解,信息安全协调司成立三年以来把落实电子签名法作为一项重要工作来抓。目前,工信部许可可信数字证书的社会保有量已经接近两千万,一个可信身份认证服务系统体系正在形成。
此外,让计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制也是我国信息安全建设的重点。公安部十一局郭启全处长表示,目前国家信息安全面临的新形势要求我们要重视国家关键信息基础设施保护,近几年公安部、工信部、国家广电局、密码局做了大量工作把国家关键基础设施梳理出来,保护重点进一步明确。但是,如何全面和整体解决各行业在信息化建设中的安全问题,仍是国内外信息安全界一直关注的问题。
各行业构建
信息安全堡垒
电子商务、电力、医疗、能源等行业也都在信息安全领域进行新的尝试。上海信息安全基础设施研究中心副主任顾青表示,“十二五”规划中明确指出要积极发展电子商务,完善面向中小企业的电子商务服务,推动面向全社会的信用服务和网上支付物流配送支撑体系建设。
根据中国电子商务研究中心的统计,截止到今年6月份,电子商务交易市场达2.9万亿元人民币的交易额,B2B达2.6万亿元,但在电子商务的发展中,网络经营主体的身份确认机制尚未成型,网络市场经营行为需要进一步规范,网络市场成型体系有待健全,政府职能部门服务监管有待于改进,网络消费者维权行为有待于保障和解决等问题一直困扰着电子商务市场。同时,电子商务对数字证书认证有非常迫切的需求。因此,市场需要政府职能部门提供电子商务公信服务,创新监管方式方法,维护电子商务市场秩序,促进第三方认证服务机构提供电子商务公正服务,培育战略性新兴产业,构建完整的电子商务信任服务体系。
电监会信息安全处处长温红子作为电力行业的代表,对于工控系统基础性地位级面临的安全威胁深有感触:“和IT系统一样,工控系统也面临黑客攻击、恶意代码、外力破坏、自然灾害等安全威胁。同样,工控系统一旦发生安全事件,损害程度将非常严重。比如,因病毒入侵伊朗布什尔核电站的西门子工控系统,致使数台离心机数据错误,使伊朗能力倒退两年。这件事值得我们警惕。”
温红子指出,工业控制系统的安全防护工作任重而道远,在一些影响国计民生的大行业中应该引起足够的重视,并亟需建立起可控的安全防护措施。
记者观察
从来没有真正的安全,安全是各方博弈的结果。自IT技术诞生以来,针对信息安全的讨论和争斗就不绝于耳。
由《计算机世界》主办的“中国信息安全大会暨中国CSO俱乐部年会”已经迎来了第九个年头,主持人的机敏、专家的博学、演讲者的幽默,以及参会者的认真,让每一届大会都会碰撞出火花,这让原来严肃的话题产生出不一样的感觉。
本届信息安全大会以“十二五规划下的信息安全”为主题,来自政府、协会以及各行业企业代表各抒己见,围绕大会主题介绍了各自下一阶段的安全规划。安全厂商针对目前的安全技术热点以及用户新应用需求,提出了有针对性的安全解决方案,并希望借此帮助企业在“十二五规划”指导下构筑更为安全的企业防护体系,参会者亦对此表示出浓厚的兴趣。
计算机世界传媒集团董事 葛程远
工业和信息化部信息安全协调司副司长 欧阳武
公安部网络安全保卫局处长 郭启全
上海信息安全基础设施研究中心副主任 顾青
国家信息化专家咨询委员会委员 宁家骏
中国绿色兵团发起人之一、CHOWN GROUP倡导者 李麒
电监会信息安全处
处长 温红子