
对于要求和建议,希望在更多的方面给予推动和帮助。主要涉及到这几个方面,
第一,在标准上更完善一些,标准覆盖的面更宽一点。还有就是对开展工作最好多给一些指导,这和标准是相辅相成的。比如说第三方测评机构哪些比较权威,比较好,哪些有资质;还有厂商的指导,哪些工作有什么特点,比较适合于哪些行业。有人提到,包括在安全服务商的收费标准,软件产品一年的费用大致是多少,安全服务商的标准和服务,是不是也应该有相应的标准和指导。另外,如果有更好的工具,也许会使工作更好的开展。
第二,在安全的完善当中,特别是在等保的建设和管理当中,给予更多的示范性指导。像卫生系统,医院里也有很多信息系统的应用,他们希望知道什么样是符合要求的,有没有这样的示范样本,或者是案例。
第三,安全需要产业的支持,特别是需要高水平的服务商的支持。如果在这方面也能有像我们硬件厂商华为、中兴和其他这样的厂商更好。
最后,能不能将测评和验收结合起来,现在好像搞不太清楚,不经过等保的测评,是不是可以申报验收,可以通过验收,查了文件,没查到依据。我提了个建议,能不能强化一下,安全是同时设计,同时施工,同时验收,如果安全没能验收,或者验收不合格,测评不合格,通不过,难道工程可以验收吗?这也是一个比较好的意见和建议。
通过大家的交流我们形成以下几个方面的共识:
第一,当前行业面临着比较严酷的挑战。比如银行,选用国内的设备,意味着要承受相当的安全隐患。
第二,加强网络安全建设离不开持续的改进。这些企业采用国产化的舆论环境,如果有一点失误,你业平台都会受到很大的创伤。
第三,教育行业在信息化建设,在人员和经费上面临比较大的挑战。
网络安全的问题需要加强协作和强化研究。每个安全公司,每个服务机构都会讲这个理论,但是到底怎么解决?我们会不会在研究过程当中,成了我们原本的承担。比如银行系统审计采用这家设备,防火墙采用那家设备,通过采用这些硬件,我们需要采用高级的设备,这本身就是一个悖论。
银行移动化,移动互联网领域的安全问题就会引入到我们行业里来,这些问题怎么解决?应该有相应的防范手段和防范设施。

北京市各主管部门都把信息安全工作放在信息化工作的首要位置,在做好本单位保障的同时,促进本行业的提升,指导本行业开展工作,联合监管部门对本行业各个行业开展联合检查,促进了整个行业的发展。北京银监会在宣贯、行业监督检查,将信息科技风险纳入到整体考评当中,提高了企业对于信息安全工作的重视程度。
北京市卫计委、基金会监管单位非常支持,20家基金单位已经有19家完成,或者正在开展安全整改的工作,确实减少了北京市卫生行业安全事件的发生。
在证券行业当中,在北京证监局的积极推动下,整个行业非常重视网络安全的工作。因为它关系到我们投资者的权益问题,在新形势的国际背景下,证券行业也面临着安全风险,安全形势更加严峻。面临的问题和典型问题,一是对于网络信息安全的重视意识要加强,避免重建设轻安全的现象。第二,加强信息安全立法,通过相关的法律法规和标准,将信息安全工作踏入法制化、制度化、体制华管理。第三,在重要行业信息安全工作中,加强信息化建设,本身信息化平台可以加强行业当中主管部门和监管部门的通报,提升事件的处置效率和速度,避免类似事故在其他单位发生,做到信息共享的作用。另外要将网络安全工作作为长期的工作来抓。
对今后网络安全工作计划方面,政府和行业主观部门仍然需要加大对网络安全工作的政策支持,政策考核方式方面,加强对下属行业的监督和促进。把思想统一到部署上来。加强网络强国意识,加强网络安全监督,提高网络安全服务能力。希望各个行业主管部门加快本也信息安全标准的制定和推动,共同努力。
对网络安全未来发展的政策和措施的建议。希望监管部门和行业主管部门,能够发挥手中的资源优势,通过对网络安全形式的掌握和进一步研判,加强预报工作。加强网络安全的培训工作,介绍先进的信息安全技术。提高整体网络安全的保障能力,保障网络安全。
希望公安机关加强网络安全监管,发挥公安机关在保障国家信息安全工作当中的职能作用,深入推动工作的贯彻,严厉打击网络违法犯罪活动,切实保障国家关键信息的安全。首都网络安全日的设立,将信息安全工作从领导层、执行层延伸到参与层,提高大家对信息安全的重视,必将全面提升北京市网络安全的整体水平,进而提高我国信息网络安全的水平。

最近大家都在说,2014年是真正的信息安全元年。无论从国家的顶层设计也好,宏观指导也好,还是人们安全意识提升也好,都是非常明显的标志。
棱镜门事件之后,我思考了很多。我认为知道攻击不是最重要的,重要的是要知道被谁攻击,为什么而攻击。这也是我们处理安全事件和前几年比较大的区别,以前我知道怎么攻进来,把路堵上就能交差了。现在在网络战的形势下,攻击的动机变得十分重要,这能保证我们更好的追踪攻击者。
有些动机是企业之间的竞争、组织之间的对抗、当然也有私人之间的矛盾。有一些人对这个企业某个员工有意见,可能会对这个企业发动长期的攻击,目的就是为了引起企业高层的重视,来达到其他目的。这些攻击的动机有各种各样的动机,也是我们在最新的应急响应或安全事件处理的时候,需要关注的一个点,动机到底是什么。
第二点是要隐而不发。去年的5月30号,某大学网站被人黑了,我们安排了人在现场做应急处置。当时我们就发现这个网站的后门在一年以前就盯上了。一年时间里,攻击者一直在等待敏感时期去篡改页面。
我听到有这么一个说法,好多人进了你的系统,还会帮你把路修复,保证别人进不来,设置有一个通道他自己专享。
所以,你的系统没有被破坏,不代表没有被控制。你的系统没有漏洞,不代表没有被控制,这个我们都是有一些切身的体会。
前段时间我看到过一个统计数据,说66%的数据泄密事件,都是在半个月以后才被发现。这可以扩大到很多的安全事件,能够在第一时间发现安全事件,已经非常难能可贵了。如果没有第一时间发现,处置就不可能了。这也是现在一个明显的特点——隐而不发,
第三个特点。安全是对抗,预警和响应的时间是非常重要的。第一时间发现问题,能够快速响应,我们觉得在目前是信息安全防范的一个关键点。
第四是要打一个问号。信息安全的效果究竟谁来评价,是对手来评价我们,还是我们自己来评价?这是打一个问号。从我个人角度,我们做的安全时间越长,发现的问题就越多。我自己也在思考,安全行业也在进步,但是安全行业的进步比我们业务发展变化有一定差距,被拉得越来越开。
第五点是安全的思维。以前是黑名单的思维,比如基于特征的防病毒等等,现在我们可能需要换一种思路,白名单的思路,我默认认为你是有问题的,经过我确认以后才可以放行
这是关于棱镜门我的几点认识和思考。
除此之外,如今信息安全的业务发展上也有很多变化。我们要以云计算,大数据和移动为驱动的新技术转型带领企业向智慧企业转型。通过大数据和分析建立核心竞争优势,通过云计算重新塑造企业业务模式。
在我看来,信息安全有四大趋势。
第一点是业务集中、数据集中。我们在集中化集约化的思想下风险也越来越集中。风险如何控制,是我们行业用户还有安全产业方面需要思考的一个问题。这是第一个,集中化。
第二个就是云化和互联网化,我们也在思考如何更好的提供服务。云化,互联网化是非常庞大的,它对我们的交付形态有质的变化。
第三就是行业化,每个行业都有特殊的需求,我们只有深入了解行业的业务,提供行业化的服务,才能给行业用户带来价值。
第四就是国际化,因为互联网是国际的,安全同样也是国际化的。我看过一组数据,中国的GDP是美国的一半左右,中国IT的市场规模是美国的四分之一,我们中国的安全市场是美国的20分之一,在投入上我们跟国际上是有很大差距的。但作为一个产业,如果不是良性的循环是非常可怕的。作为安全厂商,我们应该在按照研究方面也要进一步加强,形成一个良性的循环,这个可能对整个产业是至关重要的。
安全产业形势的变化,第一是威胁的变化,从早期的技术炫耀,到趋利攻击到网络战。大到国家、到行业、到央企,网络战比我们了解的要严峻得多。美国的服务器的数量是最大的,德国是第二,韩国第三,中国第四,俄罗斯第五。
只要你的数据有价值,一定会有人盯住你,你没有遭到攻击,那说明你的数据价值不大。对于长期的攻击,我们要做好防范和监控的心理准备。
数据确实是非常重要的,仅仅加密是不够的,你的数据加密,这个人拿到解密后的数据分发怎么办?因为有加密就有解密。如果管理员泄露你的信息怎么办?有些用户信息我们一定要提供出去,一定要有人看到。
供应链的安全管理也是非常重要的。我们要构建一个安全的生态链,作为用户,我自己的安全做得很好,但是我的上下游都可能会出问题,这些都会给我们带来一个非常重要的影响。
这是我们的安全解决方案,它的基本思路还是安全能力的传递,不管你做产品,做服务,搭平台,还是能力的一个传递,我们通过这些手段帮助用户建立安全能力的平台,提供安全服务。

过去,我们所强调的安全是国家的安全,始终将国家安全放在首位。而在我看来,保守秘密应该是保证个人的前途命运,是保障家庭幸福,接下来才是国家的安全。我们应该把个人所从事的工作和国家的命运紧密的联系在一起。
主动防护型数据安全管理与防泄密技术解决方案与每个人、或者我们所从事的工作都是密切相关的,就如银河证券的总裁讲到,数据是财富,时间就是金钱。
网络信息安全的核心是数据安全防护体系,网络的服务化要求系统化安全提供保证,因为一旦系统性问题被突破了,其中的数据资产和安全将会受到威胁,而这才是真正的威胁。
北京邮电大学信息安全中心从84年到现在一直从事网络信息安全的研究。在数据安全方面,我们始终相信,应该坚持系统和数据并举。同时,网络与交换技术也是很重要的。
在这样的理念下,要做好网络信息和数据安全的时候,我们应该先了解网络环境下的安全风险分析。如果你的手机和电脑丢失了,你会担心什么?这是一个与个人、企业、单位都相关的问题。因为设备和数据的丢失,涉及的不仅仅是自己,更有可能对你职位的稳定性产生动摇。
从风险角度讲,如今的开放和不对称性是否会出现不安全隐患?
如今的网络空间安全有三大核心目的与使命:第一就是情报对抗。窃密与反窃密,谍件等;第二个是系统对抗;第三是心理及舆论对抗。
如果说把整个网络层次划分细一些的话,信息安全产业在很大程度上解决了外层网络服务的问题,包括认证、准入、安全保障等,然而核心依旧是数据。
如何加强数据安全,已经成为当前我们认为在网络空间当中是最重要的,最核心的。
如今的数据安全风险,往往是从内部攻破的,特别对于一些制造领域来说,内部的安全问题都是非常致命的。
核心代码是一个企业的核心命脉,当员工离职,这些相关的资产是不是有必要进行保护?当一张图纸、一个手机效果图的流失,很多时候是从内部出去的。
有公司的信息部曾经告诉我,“我们的员工很努力,上班的时候都在画图,下班的时候就用我们公司的电脑用画的图做买卖交易。如何有效的防止内部人员的窃密行为,是当前我们认为最为核心的因素之一。”
对于数据对象,敏感的办公文件等,泄密的途径主要两个,一个在线、一个离线。如今的内部软件里使用安全解决方案,然而虽然拥有多样化的安全产品,内部信息保护存在死角地带。那么如何有效的防范?事后审计、亡羊补牢已经晚了。如何用有效的前置化方式主动保护数据、做到在技术层面的防范才是关键。
对于主动防护型的数据保护和防泄露的方案,应该做到五点。
第一就是数据透明加解密。这是系统的工作层面,用户是无法也不能干预的。第二点密钥管理。第三,安全认证。第四,安全管理。第五,安全审计。
而对于中间文件的保护涉及到四个层面,以透明加密的方式对文件实施强制加密;在网关层面对内容进行过滤,识别敏感词汇;全盘加密;以及灾备,通过本地备份或者异地备份
这其中最彻底的就是加密,但加密带来的安全风险比较大,这就对安全技术的成熟度和稳定性提出了很高的要求。
内容过滤、审计可能起到一定的防范,但是识别是很有限的。我个人认为,内容过滤是隔靴搔痒,也是一种事后的方式。
而全盘加密技术,在一定程度上能起到一定的作用,这些技术都依赖于每个人个性化手动的加密。从数据安全核心的本质来讲,我本人主张的方式就是自动化的方式。
在设计相关安全技术的时候要考虑到主机、网络和终端多角度。现在我们更多是在网段,这会引发很多人的因素,但每个人的桌面安全问题是最大的,差异化和不确定性因素太多。 因此,即使我们把网关层面的安全加强了,但是终端做不好,泄密还是会发生。
因此,网络安全的核心是数据的安全加密或存储。
对于数据安全来说,我们能够在各个部门、机构之间创建安全的密钥,对内部进行有效的加密、解密,以及存储、共享、分发,这是当前数据安全与防护泄露的重要工作。
我们要解决主动防护型的数据安全,核心是自动的强制化的加密,使得整个系统安全。
主动防护型的数据安全,要能够实现可定制的灵活部署,能够支持在线的文件状态。对于使用者来说,在安全域里面实现安全策略,能够建立有效的策略,对于审计来说能够做到,对于所有文件的外除、存储、加密等实现有效的管理。
这不是由用户支配系统,而是由系统有效的按照策略决定数据安全的机制,从而能够实现系统自动强制化主动防御,使得我们的数据资产能够得到有效的加强,从而防止企业竞争力的下降、减少损失。