党的“十八大”以来,党中央高度重视网络安全工作,习近平总书记做出了“没有网络安全就没有国家安全”的重要指示,提出了“建设网络强国”的战略目标,并且在今年的网络安全和信息化工作座谈会上提出“要尽快在核心技术上取得突破”的要求,这就更加明确指明了发展可信计算技术与实施网络安全等级保护制度的重要性。发展可信计算技术与实施网络安全等级保护制度是构建国家关键信息基础设施、确保整个网络安全的基本保障。
2017年1月6-7日,中国可信计算与网络安全等级保护高峰论坛(2017)在京召开。本次论坛由公安部第三研究所、中国计算机学会计算机安全专委会和中关村可信计算产业联盟联合主办,公安部信息安全等级保护评估中心和公安部第三研究所《信息网络安全》杂志共同承办。论坛的主题是“大力发展可信技术,深入落实国家网络安全等级保护制度”。中国工程院沈昌祥院士、倪光南院士在论坛上发表主旨演讲。公安部网络安全保卫局总工程师郭启全、国家商用密码管理办公室副主任安晓龙、国家保密局科技司副巡视员陈聪颖、公安部第三研究所副所长刘晓京等有关部门领导出席会议并致辞。
中国工程院沈昌祥院士在题为“中国可信计算与等级保护创新发展”的主题报告中指出,可信计算是等级保护的关键支撑技术,当前可信计算3.0时代已然到来,要构筑主动防御、安全可信的保障体系。“信息安全等级保护是国家制度性工作,它是我国信息安全保障的基本制度、是网络空间安全保障体系的重要支撑、是应对强敌高级持续性威胁(APT)的有效措施。”沈院士说,工业控制、物联网、云计算、大数据等,都是通过网络以服务的方式给用户提供的计算模式,组成了新的计算环境和信息系统。这些新应用系统涉及到社会每个角落、样式庞杂、数据海量,面临着新的安全问题与挑战,必须用等级保护制度进行安全防护体系建设,以改革创新精神来开创等级保护新时代。
公安部网络安全保卫局总工程师郭启全,在其题为“国家网络安全等级保护制度与关键信息基础设施保护”的主题演讲中称,《网络安全法》对网络安全保护制度和关键信息基础设施安全保护提出了明确要求。“我们要构建国家防御与自主保护、分工负责与协同联动相结合的关键信息技术基础设施安全保障体系;要建立网络安全等级保护技术支撑体系,开展可信计算技术、强制访问控制技术、大数据分析技术等重点安全技术的研发。”郭启全如此表示。
中国工程院院士倪光南做了题为“发展自主可控的移动安全操作系统”的报告。倪院士在报告中指出,网信领域的新技术层出不穷,我们在关键核心技术和设备上受制于人的问题必须及早解决。CPU和操作系统是基础性的核心技术,如没有自主的CPU和操作系统,就不可能维护国家网络空间主权。谈到智能终端操作系统和网络安全问题,倪院士认为没有自主可控的智能终端操作系统就不能保障网络安全,他分析了中国没有自主智能终端操作系统的原因,并给出了建议。
公安部信息安全等级保护评估中心主任助理李明认为,在网络安全等级保护工作中,存在着变化与不变。“不变的是内涵:等级划分、重点保护。变化的是外延:保护对象、安全措施。”其中,等级保护对象主要包括:基础信息网络、信息系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统)和大数据等。安全措施则包括:可信计算(强制访问控制、可信路径)和整体、动态安全(风险评估、安全监测、通报预警、事件调查、应急演练、自主可控、供应链安全效果评价)。
全球能源互联网研究院计算及应用研究所所长高昆仑做了题为“可信计算3.0支撑电网控制系统等级保护”的演讲。高所长介绍了可信计算技术在我国智能电网控制系统中发挥的重要作用,以及对落实等级保护制度发挥的积极作用。
北京工业大学赵勇博士从核心思想、防护框架、设计流程等方面对“信息安全等级保护安全设计技术要求”进行了详细解读:设计技术要求基于可信计算、访问控制、多级互联、集中管理等技术,为定级系统构建起了“一个中心、三重防护”的纵深防御架构,不仅适用于传统的信息系统,而且在云计算、物联网、工业控制等新型应用环境下依然适用。在等级保护方案设计过程中,应基于定级系统业务流程,量身定制设计安全策略和主动防御机制,从而确保系统“可信、可控、可管”。
阿里云计算首席安全研究员吴翰清以“云计算铸建网络安全态势感知”为题,介绍了阿里云计算以态势感知为核心,构建阿里云安全体系取得的成果,他指出态势感知要承载大数据在网络安全领域落地的使命。该公司高级合规专家陈雪秀在演讲中介绍了阿里云基于等级保护构建的责任共担模型。
兰云科技联合创始人兼高级副总裁周宏斌做了“可信行为助力等级保护建设”的主题演讲,他介绍了兰云安全态势感知解决方案行为以及相关技术。兰云科技开创性的提出了利用沙箱和机器学习技术,针对业务系统和人员访问习惯建立正常访问的模型,据此发现可疑和异常访问行为,从而识别高级威胁,快速响应,确保业务系统安全。
新华三首席安全架构师孙松儿在题为“构建安全可信的云安全架构”的演讲中介绍了新华三在可信计算方面的战略布局。孙松儿表示,新华三对可信计算领域持续跟踪研究,并开展大量实践,在可信计算以及云安全可信架构的探索道路上走在了行业前列。未来,新华三将以可信计算3.0作为公司战略加以推进,构筑安全自主可控的新IT基础设施,并在业内开展广泛合作。
成都科来软件有限公司技术总监齐继东分享了“网络回溯取证与大数据安全分析”,借助全流量安全分析,对攻击行为进行多角度、全方位、可反复回溯的深度检测,更容易检测出潜在的入侵行为,发现被其他工具漏掉的攻击;通过安全事件回溯、取证提供完整的原始数据依据;通过事件关联分析对安全事件影响进行有效评估,帮助用户及时阻断事态继续恶化。
北京可信华泰信息技术有限公司副总经理孙瑜分享了“可信计算3.0技术与产业化”。孙瑜表示,自主可信3.0以中国电子的自主创新产品——“白细胞”操作系统免疫平台的发布为标志,推动了主动免疫技术的产品化、市场化,宣布了主动免疫时代的到来。可信华泰紧跟自主可信3.0战略脚步,打造主动免疫防御产业链,先后推出了“白细胞”3.0免疫软件和“白细胞”免疫操作系统。随后即将发布“白细胞”TPCM和“白细胞”免疫BIOS,从而逐步完善免疫系统。
得安信息技术有限公司研发总监周小刚的演讲题目是“可信密码技术在等级保护中的应用”。周小刚介绍了等级保护对可信密码的需求,同时介绍了得安公司对可信密码的应用,利用可信密码技术成功研发了服务器密码机、签名验证服务器、可信签名验证服务器、VPN网关系统等产品,并以该产品作为基础硬件设施,针对多个行业的等级保护需求形成了全方位、多样化的可信管理平台解决方案。
网康科技高级产品经理熊瑛分享了“威胁感知与失陷主机检测方案”。他认为基于传统PPDR原理的防护已无法跟上时代的潮流,应对未知威胁成为网络安全防护的必经之路。网康科技提出的基于PDFP原理的主动式防御,以预测为核心,通过数据分析建模、威胁行为特征和威胁情报检测等技术进行失陷主机的分析、发现和溯源,找到安全薄弱点,提升主动安全防御能力。
中新网安产品经理贾大伟在题为“私有云安全边界防护系统”的报告中,分析了当下信息安全形势,并介绍了该公司在大流量环境下广度和深度攻击的分析能力。在广度方面,中新网安深入发展以抗D云+端为核心的业务方向,保障私有云业务正常交付、安全交付。在深度方面深入研究以高级持续威胁(APT)防御为核心的业务方向,保障私有云作为资源的集中化落脚点,深度防御核心资产不受侵犯,为最终用户逐步建立开放体系下安全可视化、可管控的能力。
来自国家发展改革委、教育部、科技部、财政部、海关总署、中国证监会、国家信息中心、中国银行、中国农业银行、航天科技集团等80余家部委、行业、科研院所的代表,中关村可信计算产业联盟100余家会员单位以及网络安全厂商代表约300人出席了论坛。