新闻动态

News Information
首页 > 老的内容

老的内容

网络安全就是国家安全 ——首都网络安全论坛侧记之二

  各行业亟待信息安全标准建立

电力交通行业代表张洵
 
    我们首先对交通行业,国家电力行业目前的安全形势进行了分析,最后大家一致达成了共识。
    众所周知,无论是电力行业还是交通行业,都是涉及到国家命脉和国家安全稳定的重要行业和领域。作为这么重要的行业,这几年在电力行业和交通行业的相关技术手段和技术保障等方面的投入在持续不断加大,重视程度也不断加深。
  在这种重视的前提下,我们认识到,作为国家的两个重要行业,每年承受信息安全的压力和力度也是在逐年增加的。据近两年分析表明,作为社会能源基础产业,电力企业的应用系统,以及轨道交通和调度系统和专业系统(包括对外网站),都已经成为境内外各类黑客攻击的对象。当然这种攻击有可能来自于外部,也有可能来自于内部。
  基于这种共识,小组成员对我们目前这两个行业所面临的一些普遍性和典型性的问题,进行了一些交流。在这里我进行了一下汇总,主要是体现在以下几个方面。
  第一,对于网络信息安全的认识和重视程度不够。尽管从07年开始,对信息安全等级保护已经开始部署落实,较以前而言,人们对信息安全已经比较深入的认识,大家都认识到信息安全的重要性。但是这种重要性目前仅仅局限在相应的主管部门及相关主管领导这个层面下,而大多数员工甚至更高层的领导,对信息安全的管理认识和重视程度,相对于信息系统的建设来讲还是有一定距离的。
  信息系统在运营使用过程中往往会出现各种信息安全的问题,为了处理这些问题,弥补安全隐患,其成本往往居高不下。其实有些信息安全的弥补和预防,可以在信息系统的设计和建设中通过较小的代价实现。
  第二,在电力行业和交通行业,信息安全往往是处于道高一尺魔高一丈的状态而这种比较被动的防护状态,主要还是由于信息安全主动发现问题的能力不足,以及对信息安全主动防护手段不足导致的。归结于最根本的原因,还是我们在信息安全方面的专业技术人员相对不足甚至缺失导致。同时也是由于一些制度性的问题,对于应急响应制度还不够健全,导致了目前这种缺乏信息安全关联和汇总分析的现状。往往在出现安全事件的时候,仅仅只是把目前出现的事情解决掉,而缺少信息安全风险的预警和后续总结。
  第三,在制度上,电力行业和交通行业目前是多模进行管理的,这点交通行业问题比较凸显。今天下午交通行业相关代表也提出了这些方面的问题,如由于北京市轨道交通行业的建设、投资、运营是由不同的单位负责的,导致安全责任的划分不明确,流程比较复杂。再如投资方在投资的时候,没有涉及到信息安全方面的投资和准备,导致在信息系统的设计和建设过程中,缺少信息安全方面的保障体系。在信息系统建设完成后,把有问题的系统交给运营单位,他们很难做到系统安全的保障。所以相对来讲出现了一些问题。
  第四,信息安全保障和信息安全的预算存在问题。07年以前,信息安全不是很重视,从07年以后,各个行业虽然得到了一些加强,但是在经费和预算的准备工作方面,往往还是出现了比较大的困难。在今天下午的闭门会上,电力行业就表示了在信息安全的安全测评经费上比较紧张。
  第五,信息安全的标准方面,缺少行业的标准。国家目前推行的信息安全保护标准是国家层面的标准,这个标准在某些特定的行业是不适用的。如专业性较强的电力、交通行业,它们的系统多采用工业控制装置,系统的建设运行,与通用的系统有一些差别,导致国家相关信息安全标准在这两个行业中存在不适用的情况出现。
  针对电力行业和交通行业的问题,小组成员对会后工作的开展,也积极的进行了讨论,总结了以下几个方面的建议,供我们相关的主管部门参考。
  第一,希望相关的政府管理部门加强网络安全和信息方面的共享,及时发送相关信息的通报,各行业及网络安全监测部门要加强协作和沟通,做到资源的共享。
  二,多参加网络安全的培训,介绍先进的安全经验、技术、管理理念,提高安全保障的能力和意识。
  第三,希望我们在经费方面得到政府相关部门的大力支持,尤其在各个行业的主管部门。
第四,我们希望加强信息系统运行单位,和信息安全服务单位。信息安全服务机构可能对相关的政策,以及相关信息安全技术的积累有一定的优势。如果两者能够相互整合,各自发挥自身优势,将会对整个行业信息安全保障起到非常好的促进作用。


通讯、移动行业代表严明
 
    发言的同志都介绍了本单位的信息安全的工作情况,好像基本上重点围绕着等保的建设、落实、检查,介绍了自己的工作经验和体会,表示今后要把等保工作继续抓起来。

  对于要求和建议,希望在更多的方面给予推动和帮助。主要涉及到这几个方面,

  第一,在标准上更完善一些,标准覆盖的面更宽一点。还有就是对开展工作最好多给一些指导,这和标准是相辅相成的。比如说第三方测评机构哪些比较权威,比较好,哪些有资质;还有厂商的指导,哪些工作有什么特点,比较适合于哪些行业。有人提到,包括在安全服务商的收费标准,软件产品一年的费用大致是多少,安全服务商的标准和服务,是不是也应该有相应的标准和指导。另外,如果有更好的工具,也许会使工作更好的开展。

  第二,在安全的完善当中,特别是在等保的建设和管理当中,给予更多的示范性指导。像卫生系统,医院里也有很多信息系统的应用,他们希望知道什么样是符合要求的,有没有这样的示范样本,或者是案例。

  第三,安全需要产业的支持,特别是需要高水平的服务商的支持。如果在这方面也能有像我们硬件厂商华为、中兴和其他这样的厂商更好。

  最后,能不能将测评和验收结合起来,现在好像搞不太清楚,不经过等保的测评,是不是可以申报验收,可以通过验收,查了文件,没查到依据。我提了个建议,能不能强化一下,安全是同时设计,同时施工,同时验收,如果安全没能验收,或者验收不合格,测评不合格,通不过,难道工程可以验收吗?这也是一个比较好的意见和建议。


银行教育行业的代表刘法旺
 
     银行行业在信息化发展水平比较高,也采用先进的技术。教育行业也做了自己很多的尝试和改进,比如说统一的监测系统,包括我们京也是采用各种各样的方式。

  通过大家的交流我们形成以下几个方面的共识:

  第一,当前行业面临着比较严酷的挑战。比如银行,选用国内的设备,意味着要承受相当的安全隐患。

  第二,加强网络安全建设离不开持续的改进。这些企业采用国产化的舆论环境,如果有一点失误,你业平台都会受到很大的创伤。

  第三,教育行业在信息化建设,在人员和经费上面临比较大的挑战。

  网络安全的问题需要加强协作和强化研究。每个安全公司,每个服务机构都会讲这个理论,但是到底怎么解决?我们会不会在研究过程当中,成了我们原本的承担。比如银行系统审计采用这家设备,防火墙采用那家设备,通过采用这些硬件,我们需要采用高级的设备,这本身就是一个悖论。

  银行移动化,移动互联网领域的安全问题就会引入到我们行业里来,这些问题怎么解决?应该有相应的防范手段和防范设施。


测评机构和安全厂商的代表杨卫军
 
     第四组的主要成员来源于主管部门行业的代表,还有测评机构和安全厂商的代表。总结从几个方面来讲,

  北京市各主管部门都把信息安全工作放在信息化工作的首要位置,在做好本单位保障的同时,促进本行业的提升,指导本行业开展工作,联合监管部门对本行业各个行业开展联合检查,促进了整个行业的发展。北京银监会在宣贯、行业监督检查,将信息科技风险纳入到整体考评当中,提高了企业对于信息安全工作的重视程度。

  北京市卫计委、基金会监管单位非常支持,20家基金单位已经有19家完成,或者正在开展安全整改的工作,确实减少了北京市卫生行业安全事件的发生。

  在证券行业当中,在北京证监局的积极推动下,整个行业非常重视网络安全的工作。因为它关系到我们投资者的权益问题,在新形势的国际背景下,证券行业也面临着安全风险,安全形势更加严峻。面临的问题和典型问题,一是对于网络信息安全的重视意识要加强,避免重建设轻安全的现象。第二,加强信息安全立法,通过相关的法律法规和标准,将信息安全工作踏入法制化、制度化、体制华管理。第三,在重要行业信息安全工作中,加强信息化建设,本身信息化平台可以加强行业当中主管部门和监管部门的通报,提升事件的处置效率和速度,避免类似事故在其他单位发生,做到信息共享的作用。另外要将网络安全工作作为长期的工作来抓。

  对今后网络安全工作计划方面,政府和行业主观部门仍然需要加大对网络安全工作的政策支持,政策考核方式方面,加强对下属行业的监督和促进。把思想统一到部署上来。加强网络强国意识,加强网络安全监督,提高网络安全服务能力。希望各个行业主管部门加快本也信息安全标准的制定和推动,共同努力。

  对网络安全未来发展的政策和措施的建议。希望监管部门和行业主管部门,能够发挥手中的资源优势,通过对网络安全形式的掌握和进一步研判,加强预报工作。加强网络安全的培训工作,介绍先进的信息安全技术。提高整体网络安全的保障能力,保障网络安全。

  希望公安机关加强网络安全监管,发挥公安机关在保障国家信息安全工作当中的职能作用,深入推动工作的贯彻,严厉打击网络违法犯罪活动,切实保障国家关键信息的安全。首都网络安全日的设立,将信息安全工作从领导层、执行层延伸到参与层,提高大家对信息安全的重视,必将全面提升北京市网络安全的整体水平,进而提高我国信息网络安全的水平。

 

大会总结性演讲 
 
李宗洋:安全意识是根本
 
        只要数据有价值,一定会有人盯住你,你没有遭到攻击,那说明你的数据价值不大。对于长期的攻击,我们要做好防范和监控的心理准备。

  最近大家都在说,2014年是真正的信息安全元年。无论从国家的顶层设计也好,宏观指导也好,还是人们安全意识提升也好,都是非常明显的标志。

  棱镜门事件之后,我思考了很多。我认为知道攻击不是最重要的,重要的是要知道被谁攻击,为什么而攻击。这也是我们处理安全事件和前几年比较大的区别,以前我知道怎么攻进来,把路堵上就能交差了。现在在网络战的形势下,攻击的动机变得十分重要,这能保证我们更好的追踪攻击者。

  有些动机是企业之间的竞争、组织之间的对抗、当然也有私人之间的矛盾。有一些人对这个企业某个员工有意见,可能会对这个企业发动长期的攻击,目的就是为了引起企业高层的重视,来达到其他目的。这些攻击的动机有各种各样的动机,也是我们在最新的应急响应或安全事件处理的时候,需要关注的一个点,动机到底是什么。

  第二点是要隐而不发。去年的5月30号,某大学网站被人黑了,我们安排了人在现场做应急处置。当时我们就发现这个网站的后门在一年以前就盯上了。一年时间里,攻击者一直在等待敏感时期去篡改页面。

  我听到有这么一个说法,好多人进了你的系统,还会帮你把路修复,保证别人进不来,设置有一个通道他自己专享。

  所以,你的系统没有被破坏,不代表没有被控制。你的系统没有漏洞,不代表没有被控制,这个我们都是有一些切身的体会。

  前段时间我看到过一个统计数据,说66%的数据泄密事件,都是在半个月以后才被发现。这可以扩大到很多的安全事件,能够在第一时间发现安全事件,已经非常难能可贵了。如果没有第一时间发现,处置就不可能了。这也是现在一个明显的特点——隐而不发,

  第三个特点。安全是对抗,预警和响应的时间是非常重要的。第一时间发现问题,能够快速响应,我们觉得在目前是信息安全防范的一个关键点。

  第四是要打一个问号。信息安全的效果究竟谁来评价,是对手来评价我们,还是我们自己来评价?这是打一个问号。从我个人角度,我们做的安全时间越长,发现的问题就越多。我自己也在思考,安全行业也在进步,但是安全行业的进步比我们业务发展变化有一定差距,被拉得越来越开。

  第五点是安全的思维。以前是黑名单的思维,比如基于特征的防病毒等等,现在我们可能需要换一种思路,白名单的思路,我默认认为你是有问题的,经过我确认以后才可以放行

  这是关于棱镜门我的几点认识和思考。

  除此之外,如今信息安全的业务发展上也有很多变化。我们要以云计算,大数据和移动为驱动的新技术转型带领企业向智慧企业转型。通过大数据和分析建立核心竞争优势,通过云计算重新塑造企业业务模式。

  在我看来,信息安全有四大趋势。

  第一点是业务集中、数据集中。我们在集中化集约化的思想下风险也越来越集中。风险如何控制,是我们行业用户还有安全产业方面需要思考的一个问题。这是第一个,集中化。

  第二个就是云化和互联网化,我们也在思考如何更好的提供服务。云化,互联网化是非常庞大的,它对我们的交付形态有质的变化。

  第三就是行业化,每个行业都有特殊的需求,我们只有深入了解行业的业务,提供行业化的服务,才能给行业用户带来价值。

  第四就是国际化,因为互联网是国际的,安全同样也是国际化的。我看过一组数据,中国的GDP是美国的一半左右,中国IT的市场规模是美国的四分之一,我们中国的安全市场是美国的20分之一,在投入上我们跟国际上是有很大差距的。但作为一个产业,如果不是良性的循环是非常可怕的。作为安全厂商,我们应该在按照研究方面也要进一步加强,形成一个良性的循环,这个可能对整个产业是至关重要的。

  安全产业形势的变化,第一是威胁的变化,从早期的技术炫耀,到趋利攻击到网络战。大到国家、到行业、到央企,网络战比我们了解的要严峻得多。美国的服务器的数量是最大的,德国是第二,韩国第三,中国第四,俄罗斯第五。

  只要你的数据有价值,一定会有人盯住你,你没有遭到攻击,那说明你的数据价值不大。对于长期的攻击,我们要做好防范和监控的心理准备。

  数据确实是非常重要的,仅仅加密是不够的,你的数据加密,这个人拿到解密后的数据分发怎么办?因为有加密就有解密。如果管理员泄露你的信息怎么办?有些用户信息我们一定要提供出去,一定要有人看到。

  供应链的安全管理也是非常重要的。我们要构建一个安全的生态链,作为用户,我自己的安全做得很好,但是我的上下游都可能会出问题,这些都会给我们带来一个非常重要的影响。

  这是我们的安全解决方案,它的基本思路还是安全能力的传递,不管你做产品,做服务,搭平台,还是能力的一个传递,我们通过这些手段帮助用户建立安全能力的平台,提供安全服务。

  安全管理重要还是安全技术重要?我觉得还是安全意识最重要。我们的思维、认知,这是最根本的。如果意识不到安全的风险,才是最大的安全风险。

马兆丰:数据安全才能网络安全
 
        主动防护型的数据安全,要能够实现可定制的灵活部署,能够支持在线的文件状态。对于使用者来说,在安全域里面实现安全策略,能够建立有效的策略,对于审计来说能够做到,对于所有文件的外除、存储、加密等实现有效的管理。

  过去,我们所强调的安全是国家的安全,始终将国家安全放在首位。而在我看来,保守秘密应该是保证个人的前途命运,是保障家庭幸福,接下来才是国家的安全。我们应该把个人所从事的工作和国家的命运紧密的联系在一起。

  主动防护型数据安全管理与防泄密技术解决方案与每个人、或者我们所从事的工作都是密切相关的,就如银河证券的总裁讲到,数据是财富,时间就是金钱。

  网络信息安全的核心是数据安全防护体系,网络的服务化要求系统化安全提供保证,因为一旦系统性问题被突破了,其中的数据资产和安全将会受到威胁,而这才是真正的威胁。

  北京邮电大学信息安全中心从84年到现在一直从事网络信息安全的研究。在数据安全方面,我们始终相信,应该坚持系统和数据并举。同时,网络与交换技术也是很重要的。

  在这样的理念下,要做好网络信息和数据安全的时候,我们应该先了解网络环境下的安全风险分析。如果你的手机和电脑丢失了,你会担心什么?这是一个与个人、企业、单位都相关的问题。因为设备和数据的丢失,涉及的不仅仅是自己,更有可能对你职位的稳定性产生动摇。

  从风险角度讲,如今的开放和不对称性是否会出现不安全隐患?

  如今的网络空间安全有三大核心目的与使命:第一就是情报对抗。窃密与反窃密,谍件等;第二个是系统对抗;第三是心理及舆论对抗。

  如果说把整个网络层次划分细一些的话,信息安全产业在很大程度上解决了外层网络服务的问题,包括认证、准入、安全保障等,然而核心依旧是数据。

  如何加强数据安全,已经成为当前我们认为在网络空间当中是最重要的,最核心的。

  如今的数据安全风险,往往是从内部攻破的,特别对于一些制造领域来说,内部的安全问题都是非常致命的。

  核心代码是一个企业的核心命脉,当员工离职,这些相关的资产是不是有必要进行保护?当一张图纸、一个手机效果图的流失,很多时候是从内部出去的。

  有公司的信息部曾经告诉我,“我们的员工很努力,上班的时候都在画图,下班的时候就用我们公司的电脑用画的图做买卖交易。如何有效的防止内部人员的窃密行为,是当前我们认为最为核心的因素之一。”

  对于数据对象,敏感的办公文件等,泄密的途径主要两个,一个在线、一个离线。如今的内部软件里使用安全解决方案,然而虽然拥有多样化的安全产品,内部信息保护存在死角地带。那么如何有效的防范?事后审计、亡羊补牢已经晚了。如何用有效的前置化方式主动保护数据、做到在技术层面的防范才是关键。

  对于主动防护型的数据保护和防泄露的方案,应该做到五点。

  第一就是数据透明加解密。这是系统的工作层面,用户是无法也不能干预的。第二点密钥管理。第三,安全认证。第四,安全管理。第五,安全审计。

  而对于中间文件的保护涉及到四个层面,以透明加密的方式对文件实施强制加密;在网关层面对内容进行过滤,识别敏感词汇;全盘加密;以及灾备,通过本地备份或者异地备份

  这其中最彻底的就是加密,但加密带来的安全风险比较大,这就对安全技术的成熟度和稳定性提出了很高的要求。

  内容过滤、审计可能起到一定的防范,但是识别是很有限的。我个人认为,内容过滤是隔靴搔痒,也是一种事后的方式。

  而全盘加密技术,在一定程度上能起到一定的作用,这些技术都依赖于每个人个性化手动的加密。从数据安全核心的本质来讲,我本人主张的方式就是自动化的方式。

  在设计相关安全技术的时候要考虑到主机、网络和终端多角度。现在我们更多是在网段,这会引发很多人的因素,但每个人的桌面安全问题是最大的,差异化和不确定性因素太多。 因此,即使我们把网关层面的安全加强了,但是终端做不好,泄密还是会发生。

  因此,网络安全的核心是数据的安全加密或存储。

  对于数据安全来说,我们能够在各个部门、机构之间创建安全的密钥,对内部进行有效的加密、解密,以及存储、共享、分发,这是当前数据安全与防护泄露的重要工作。

  我们要解决主动防护型的数据安全,核心是自动的强制化的加密,使得整个系统安全。

  主动防护型的数据安全,要能够实现可定制的灵活部署,能够支持在线的文件状态。对于使用者来说,在安全域里面实现安全策略,能够建立有效的策略,对于审计来说能够做到,对于所有文件的外除、存储、加密等实现有效的管理。

  这不是由用户支配系统,而是由系统有效的按照策略决定数据安全的机制,从而能够实现系统自动强制化主动防御,使得我们的数据资产能够得到有效的加强,从而防止企业竞争力的下降、减少损失。