近日,作为第九届互联网安全大会(ISC 2021)九大峰会之一的国家关键信息基础设施安全防护研讨峰会在北京国家会议中心成功召开。本次会议由CCF计算机安全专业委员会主办、360集团承办,会议邀请了院士、专家、学者、企业代表,共同交流探讨,带来国家关键信息基础设施安全防护的前沿观点。
(国家关键信息基础设施安全防护研讨峰会会议现场)
需积极构建关键信息基础设施安全保障体系
在网络安全方面,去年起公安部积极推进等保2.0的实施,并下发了《关于贯彻网络安全等级保护制度和关键信息基础设施安全保护条例的指导意见》,将关键信息基础设施的保护工作推向了实施阶段。
(公安部一所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明)
公安部一所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明担任本次峰会的主持人,他在开场时提到,数字技术与网络技术的深入融合,以大数据、人工智能、物联网等新一代信息技术产业化应用为标志的数字经济,迫切需要一套完整的数字化基础设施作为支撑。随着新型基础设施建设和应用开展,相关业务的安全风险,应用场景安全风险和关键技术安全风险也在一起浮出水面,因此,期望本次会议业界同仁共同讨论关键信息基础设施的安全防护问题,同时为业界搭建一个学习与交流的桥梁。
(中国计算机学会计算机安全专业委员会主任、公安部第一研究所副所长于锐)
中国计算机学会计算机安全专业委员会主任、公安部第一研究所副所长于锐在致辞时表示,关键信息基础设施是国家安全建设和发展的基石,也可能是遭受重点攻击的目标,是网络安全防护的重中之重。他提出了对于行业发展的几点认识:一是要树立正确的网络安全观;二是要加快构建关键信息基础设施安全的保障能力和保障体系;三是要提升全天候全方位网络安全态势感知能力;四是完善关键信息基础设施安全防护的应急机制;五是增强网络安全防御和威慑能力;六是要加强网络安全人才队伍的培养。
(中国工程院院士沈昌祥)
“筑牢关键信息基础设施安全防线,核心是安全、可信。网络安全等级保护制度2.0标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。”中国工程院院士沈昌祥在作题为《用主动免疫可信计算筑牢关键信息基础设施安全防线》的精彩分享中表示。对于如何进行关键信息基础设施网络防护,他指出,要用安全可信构筑网络主动免疫保障体系,打造主动免疫可信计算3.0新型产业空间,筑牢关键信息基础设施3.0。
(公安部历年演习裁判李海威博士)
随后,公安部历年演习裁判李海威博士进行了题为《实战攻防下的网络安全问题与对策》的演讲,他指出网络攻击总体特点包括精准踩点、高效突破、高超社工、潜伏漫游、精准打击等,面对这些特点,关键信息基础防护应当采取硬措施:一是收缩互联网出入口;二是主机防护全覆盖;三是内外情报共享;四是数据安全隔离交换;五是网络异常外联预警;六是网络安全以打开路;七是开展专业培训。
(公安部信息安全等级保护中心专家委员会委员任卫红)
公安部信息安全等级保护中心专家委员会委员任卫红发表了《关键信息基础设施保护政策和标准》的演讲,对关键信息基础设施保护政策和标准进行了解读。她介绍了目前关键信息基础设施保护的工作职能分工,关键信息基础设施保护条例(草案)制定认定过程中要考虑到网络设施、信息系统等对本行业、本领域关键核心业务的重要程度,网络设施、信息系统等一旦遭到破坏后可能带来的危害程度,对其他行业和领域的关联性影响等因素。
(中国人民银行金融信息中心信息安全部主任袁慧萍)
中国人民银行金融信息中心信息安全部主任袁慧萍作了《网络安全体系相关实践》主旨演讲。她从当前网络安全形势、网络安全体系规划、网络安全改进实践三方面进行了介绍。她认为网络空间面临的安全问题与过去不同,具有对手更具组织化,环境“云”化,目标数据化,战法实战化的特点。通过调研分析,发现行业存在威胁发现不及时、数据泄露风险大、认证与授权技术滞后、应用系统防护不足、安全运营支撑较弱、边界安全防御不足、安全保障体系不完善等问题。
分享最佳实践和解决方案
除了院士、学者带来对关键信息基础设施保护的真知灼见以及趋势预测,当天的会议还邀请了行业专家、企业代表积极分享新技术新应用、安全风险和管控、网络安全产品等热点领域,交流最新研究成果、技术路线、解决方案和最佳实践。
(中国科学院信息工程研究所副主任陈恺)
中国科学院信息工程研究所副主任陈恺带来了《智能方法与软件安全》的主题演讲。在演讲开始部分,他提出了AI应用是否真的安全,AI是否能辅助传统攻防手段的问题,并给出了他的观点,他认为,目前智能技术越来越多地用在了软件安全、漏洞发现、漏洞验证等领域,但是智能技术暂时还存在一定的脆弱性,表现在机器审核、智能算法还有目标识别、语音控制等方面的脆弱性。
(国家计算机网络与信息安全管理中心高级工程师、博士韩志辉)
国家计算机网络与信息安全管理中心高级工程师、博士韩志辉进行了《勒索软件威胁下的关键信息基础设施安全防护》的主题演讲。他介绍了勒索软件的演进史与态势,将勒索类软件分为系统锁定类、文件加密类、数据破坏类以及数据窃取类。目前,勒索类软件攻击对关键信息基础设施具有强针对性。他认为要完善关键信息基础设施安全保护法律法规和政策标准体系,完善和明确关键信息基础设施重点保护措施和要求,显著提升关键信息基础设施网络安全防护能力。
(360集团战略创新研究院副院长吴露渟)
360集团战略创新研究院副院长吴露渟带来了题为《关键信息基础设施安全能力体系建设》的演讲,她指出,关键信息基础设施的安全应建立网络安全综合防御体系。360公司构建了一套安全能力的成熟度的框架。这套系统具有很多特点:第一是模型特点,安全状态可量化,引入百分制的机制,通过机制对政企现有的安全状态进行评价;第二是能力成熟度建设,这个是360安全能力公式落地的基础工程;第三是持续校验;第四是特色网络安全能力度量标准。
无疑,关键信息基础设施安全防护已经成为业内共识,本次ISC 2021国家关键信息基础设施安全防护研讨峰会的成功举办,将为行业发展贡献新思路和新实践。