- PDF 免费下载

Size: px

Start display at page:

Download ""

偃甘
5 years ago
Views:

1 P3

3 Internet Security Insight 目录 CONTENTS ISC 中国行把脉十省市网络安全专栏 Column 网络安全面临四大痛点携手行业安全专家打造世界级的安全对话平台正确安全观是网络安全法落实到位的关键一文读懂数据驱动安全 2.0 的精髓上海安全大咖聚焦新形势下的技术和体系创新新形势下的川蜀安全挑战与创新千人专家首聚羊城直面安全挑战与协同创新广西安全专家纵论安全赋能与体系创新重庆 : 安全专家探讨破解难题协同创新之路新常态下新作为 : 中部崛起新高地的安全建设安全新形势新下的江苏应对之道 30 位深圳网安大咖的网络智慧洞见长春 : 50 位专家共商新时代的网络安全新方略战略决定成败, 细节成就完美 : 浙江的新时代安全之道网络安全法开启法治和网络三个新时代深圳燃气的工控安全建设实践之路政务云安全建设要把好三关如何破解数据上云的三重阻碍后永恒之蓝时代的终端安全防护思考教育行业网络安全治理的困惑与思考落实政务数据安全需提前规划布局网络安全人才的培养与创新机制互联网安全主办 360 互联网安全中心 360 Internet Security Center 杂志顾问齐向东主编谭晓生执行主编韩笑李建平编辑董建伟王彪杂志投稿电话传真邮件杂志赠阅电话传真邮件 Advisor Qi Xiangdong Editor-in-Chief Tan Xiaosheng Managing Editor Han Xiao Li Jianping Editors Dong Jianwei Wangbiao Content Contact magazine@360.cn Magzine Circulation magazine@360.cn 本刊文章观点只代表作者个人意见, 不代表互联网安全杂志及 360 公司立场部分文章来自互联网, 作者无法联系, 请阅后及时联系沟通稿费事宜本刊为非卖品 The Magazine is Not for Sale 互联网安全 01

卷首语 FROM THE EDITOR 行业千人计划与安全顶层设计 2017 年发生了很多影响深远的安全事件对于过去一年的网络安全特点, 我们总结了六个关键词 : 一是安全法制化, 二是犯罪集团化, 三是网络攻击国家化, 四是网络军火民用化, 五是重保常态化, 六是应急小时化这六个关键词中, 包含安全的法制环境与技术变化, 同时包含攻击对手的变化对于新的网络安全形势, 我们该如何进行防护呢?

4 卷首语 FROM THE EDITOR 行业千人计划与安全顶层设计 2017 年发生了很多影响深远的安全事件对于过去一年的网络安全特点, 我们总结了六个关键词 : 一是安全法制化, 二是犯罪集团化, 三是网络攻击国家化, 四是网络军火民用化, 五是重保常态化, 六是应急小时化这六个关键词中, 包含安全的法制环境与技术变化, 同时包含攻击对手的变化对于新的网络安全形势, 我们该如何进行防护呢? 政企机构已购买了大量安全产品和服务, 这些产品和服务是否还能发挥作用? 过去曾有一种思维现有安全产品服务已经失效三年前, 我们用大数据来推动安全行业发展时, 也曾经抱有同样的思维经过三年实践, 我们发现现在的安全产品依然有效它们增加了攻击成本更重要的是, 利用大数据技术, 这些安全产品的数据可以发挥重要作用我们在三年前提出的数据驱动安全理念, 现已成为行业的风向标 2017 中国互联网安全大会的主题是人是安全的尺度, 其背后是数据驱动安全 2.0 理念利用云和大数据, 我们让安全设备变得更聪明大数据同样可以让安全人员变得更聪明我们希望利用云跟大数据来武装安全人员, 这是数据驱动安全 2.0 理念的核心, 也是 2017 中国互联网安全大会的主题人是安全尺度的核心含义安全工作人员一旦进入 OT 物联网车联网新时代, 会发现缺失了重要的行业知识安全人员一旦离开行业, 缺失会非常多, 我们提出行业网络安全千人计划, 就是要解决顶层设计的问题安全行业需要行业专家指导安全人员做安全工作我们的行业千人计划将覆盖整个政企行业, 尤其是国家部委央企和区域特色企业千人计划是互联网安全大会架构下的重要内容我们的互联网安全大会有顾问委员会咨询委员会专家委员会媒体委员会等, 现在需要行业专家对新安全进行规划和指导, 对先进技术进行应用安全是人与人的对抗只有与行业专家结合, 才能更有效地对抗黑客攻击人是安全尺度中最核心的部分, 我们希望聚集各行业有能力有担当的行业翘楚, 来引领行业规划和体制创新, 全面提高国家网络完全水平安 02 互联网安全

5 Internet Security Insight 互联网安全 03

ISC 中国行显示 : 网络安全面临四大痛点从 2017 年 6 月开始, 中国互联网安全大会中国行, 在全国各地举办了超过 10 场安全论坛, 邀请当地的网络安全主管部门政企安全负责人, 以及教育专家, 对于各地网络安全工作中的实际难题与痛点, 进行了深入的交流和探讨正如 360 企业安全总裁吴云坤所说, 过去一年的网络安全工作呈现六大关键词 : 一是安全法制化, 二是犯罪集团化,

很多主管则感受到更多的责任深圳市电子政务资源中心主任武刚表示, 网络安全法的出台对各个单位信息化部门都产生了一种高压态势, 压力非常大台州市大数据管理中心主任陈友增同样感觉安全责任压力山大, 他用战战兢兢, 如履薄冰来形容自己的工作一旦网络攻击造成系统的停顿, 就会造成严重的影响, 保障政务大数据安全成为首要任务广东工业大学网络中心徐小明则用危险职务来形容网络中心主任的工作 :

6 ISC 中国行显示 : 网络安全面临四大痛点从 2017 年 6 月开始, 中国互联网安全大会中国行, 在全国各地举办了超过 10 场安全论坛, 邀请当地的网络安全主管部门政企安全负责人, 以及教育专家, 对于各地网络安全工作中的实际难题与痛点, 进行了深入的交流和探讨正如 360 企业安全总裁吴云坤所说, 过去一年的网络安全工作呈现六大关键词 : 一是安全法制化, 二是犯罪集团化, 三是网络攻击国家化, 四是网络军火民用化, 五是重保常态化, 六是应急小时化这给各地的网络安全主管与政企安全负责人带来巨大的挑战, 我们基于各地研讨的专家观点, 总结出影响地方网络安全的四大吴云坤痛点 360 企业安全总裁网络安全法带来空前压力网络安全法的颁布和实施, 给各个机构带来空前的压力, 很多与会主管都表示, 所在单位领导都更高的重视网络安全作为网络安全的负责人, 很多主管则感受到更多的责任深圳市电子政务资源中心主任武刚表示, 网络安全法的出台对各个单位信息化部门都产生了一种高压态势, 压力非常大台州市大数据管理中心主任陈友增同样感觉安全责任压力山大, 他用战战兢兢, 如履薄冰来形容自己的工作一旦网络攻击造成系统的停顿, 就会造成严重的影响, 保障政务大数据安全成为首要任务广东工业大学网络中心徐小明则用危险职务来形容网络中心主任的工作 : 刑法修正案九规定我们这个岗位如果出现某些问题, 依法处以三年以下有期徒刑从实际来看, 目前在网络安全要求增加之后, 各个机构信息化与安全负责人的确面临前所未有的挑战 : 信息化的工作压力本来已经非常繁重在人手不足的情况下, 现在网络陈友增台州市大数据管理中心主任安全的压力又压了过来, 面临两座大山的压力不过, 网络安全法在带来巨大压力同时, 也带来一些好的副产品网络安全经费好批了此外, 由于网络安全法把安全的责任理的非常清楚, 业务部门的软件开发被纳入网络安全管理中现在安全部门跟业务部门在网络安全的协作上容易了很多网络安全法同样给地方网信和经信部门带来如何落地的挑战成都市网信办副主任赵谦认为, 首先, 对地方网信部门来说, 最重要的挑战是如何尽快落实管理体制机制, 这是地方网信部门最需解决的问题其次是如何将法律落地深圳市经信委信息安全处黄爱萍也谈到网络安全法落实时出现一些问题 : 比如深圳出现了一些网络安全法规定的事情没有做, 相关部门要进行处罚, 但相关部门是谁并不清楚, 谁来执行也不清楚谁执法谁执行执行程序怎么规范等都需逐步细化明确 04 互联网安全

7 Internet Security Insight 理念面临挑战亟待做出四大转变面对网络攻击日趋复杂和高级, 乃至军用武器平民化和国家支持的趋势, 各地出席千人计划安全论坛的安全主管普遍认为, 传统的安全理念与防御思路已经面临挑战, 亟待更新总结来看, 安全理念和防御思路需做出四大改变从静态底线的合规式安全理念向动态安全理念转变 ; 从被动防御向主动防御转变 ; 从亡羊补牢式的补救式安全向安全前置内生安全转变 ; 从单点或单体的安全防御向联合防御转变 (1) 从静态合规安全向动态安全转变很久以来, 我们网络安全主要是通过等保检查, 拿到许可就万事大吉, 合规是安全的主要动力在日趋复杂和高级攻击面前, 这种等保合规式的安全遭受严重考验很多机构虽然按照要求部署了防火墙杀毒软件和 IPS 等安全设备, 依然无法免受攻击, 频频出现被黑客入侵事件要实现很好的安全防护, 仅仅是满足作为保底要求的等保是不够的国家创新与发展战略研究会副会长中国国际战略学会高级顾问观潮网络空间论坛主席郝叶力在千人计划安全论坛的主题演讲中表示, 超越静态的底线式安全合规理念, 达到动态优化式的安全效果, 这是贯彻习主席新安全观的核心要素肆虐全球的勒索病毒的出现说明, 安全风险绝对不是通过等保就能免除的, 这需要动态风险防范治理思维, 随时随地洞察威胁, 洞察各种各样安全的挑战深圳市经济贸易和信息化委员会安全处黄爱萍处长也认为, 新的时代对网络安全的重视程度应该比以前认识要更高一些, 相应的技术手段措施要比以前更高一些, 仅仅合规是不够的 360 企业安全集团副总裁张聪表示, 在实践中, 我们发现严防死守安全思维模式在新安全时代已经不合时宜企业面对的有可能是有国家背景的正规军, 面对的是一群高智商的攻击者, 他们会想尽办法绕过或者突破固定化的防线, 所以说静态防御不能解决所有的问题, 需要在防御基础上建立一套全新的检测响应预测的闭环, 在这个闭环中, 检测和相应能力的高低变得至关重要 (2) 从单点或单体的安全防御向联合防御转变在千人计划各地的安全论坛中, 协同或联合防御也是频频被提及的方向这一方面是指机构内部实现不同安全设备的协同联动 ; 还有很多安全主管希望推进行业共享 : 这家单位被攻击了, 很多经验可以共享给其他行业企业广州市公安局网警总队总工程师伭剑辉也认为, 从单个机构安全建设上看, 也应重新审视我们的安全架构, 光靠孤立的老三样安全基础设, 显然无法应对当前安全挑战 360 企业安全总裁吴云坤指出, 政企安全防护应该回归本源, 重新审视安全防护体系, 基于叠加演进的思路开展安全规划, 建立基于数据和情报的协同联动的防御体系浙江省烟草专卖局 ( 公司 ) 信息中心周博主任也认为应该考虑整个信息安全的系统性整体性和协调性他强调信息安全要求是整体性防护, 而不是局部广东省公安厅网警总队副支队长金楠则谈及网络建设的孤立和封闭问题各个单位搞各个单位的, 相互孤立封闭如果一家单位被攻击了, 很多经验可以共享给其他行业企业但目前基本上都是封闭的状态南方医科大学网络中心郭文明也认为, 要解决安全问题主要解决信任与创新问题政府企业和用户建立相互信任的关系, 才能应对安全问题广州市公安局网警总队总工程师伭剑辉表示, 以医疗机构为例, 很多医院, 安全防范措施都是自己做的, 如果我们整合起来, 做统一的架构设计, 从防范效果来说会好很多为了实现协同带来的效果, 广东省公安厅 2017 年实施网络安全罩计划, 省厅牵头做, 想把重点行业单位连成一张动态共享主动防御的安全网 (3) 从被动防御向主动防御转变 ; 传统的被动防护模式无法应对复杂多变的攻击, 就如同世界军事史上著名的马奇诺防线无法阻挡德军进攻一样, 从被动防御转向主动防御成为很多机构安全建设的方向 360 企业安全集团产品副总裁左英男表示, 积极防御能力则是绝大多数政企机构缺失的安全能力建设, 其核心是动态的持续检测和处置的过程基于这样的理解和认识, 我们做好被动防御相关能力建设基础上, 要积极建设积极防御能力, 通互联网安全 05

过积极防御手段把传统安全产品能力有所提升, 共同抵御不得不面对的灰犀牛危机但他也指出, 从永恒之蓝事件看到, 很多政企机构, 即使在基础防御和被动安全也有做得不好的地方重庆市教育考试院信息处副处长李健波比较关心大数据的安全, 特别是云计算环境下的安全怎么做, 因此认为感知威胁主动防御, 是安全建设的当务之急四川大学网络空间安全研究院院长助理曾雪梅介绍,

8 过积极防御手段把传统安全产品能力有所提升, 共同抵御不得不面对的灰犀牛危机但他也指出, 从永恒之蓝事件看到, 很多政企机构, 即使在基础防御和被动安全也有做得不好的地方重庆市教育考试院信息处副处长李健波比较关心大数据的安全, 特别是云计算环境下的安全怎么做, 因此认为感知威胁主动防御, 是安全建设的当务之急四川大学网络空间安全研究院院长助理曾雪梅介绍, 其所在机构一直从事网络分析研究, 面对大量未知的攻击和病毒, 通过大数据分析方式构建网络行为分析模型, 某种程度上可以抵御一些未知的攻击, 相当于用从主动方式进行防御她还用所在机构的经历, 证实了主动防御的优势和价值 : 我们目前已经成功构建了大数据平台永恒之蓝爆发后, 我们第一时间进行响应, 通过历史数据的分析, 确认四川大学没有受到这次攻击的影响在此基础上, 我们对勒索病毒原理进行分析并形成安全报告, 为国家相关部门发挥了支撑作用上海交通大学网络空间安全学院院长李建华也指出 : 我们的政企用户缺少针对永恒之蓝网络安全事件的追踪溯源分析研判的能力, 同时缺乏事前的威胁检测与预警, 这是应对重大安全事件所欠缺的短板因此, 基于大数据的态势感知成为当前安全建设的一大热点深圳市政务资源中心武刚认为, 态势感知能够把我们的李建华被动防御变成主动防御, 希望上海交通大学网络空间安全学院院长未来能够把事前主动发现和预防做得更好 (4) 从亡羊补牢式的补救式安全向安全前置内生安全转变 ; 很多的与会主管感到, 当前的安全防护更多属于亡羊补牢式的防护 : 由于软件开发人员的安全知识几乎是一张白纸, 因此很多系统的安全问题在开发阶段就已经埋藏因此, 在安全论坛上, 安全前置内生安全和全生命周期安全成为很多与会安全主管经常提及和关注的方向对于有着上千软件开发队伍的长虹来说, 过去的软件研发人员安全意识很不强, 弱口令打补丁或应业务要求上线等方面, 软件研发人员根本不会考虑安全问题长虹集团软服中心部长常清雪表示, 这样很容易发生安全事件, 造成事后被动以及成本浪费针对软件开发中出现的安全问题, 华东理工大学教授林家骏则认为, 信息技术发展太快, 发展的不严谨, 造成了很多的漏洞, 希望能有一种前装的内生的标准安全系统出现, 由这些系统组成的系统具有安全性据长虹集团软服中心部长常清雪介绍, 通过与 360 合作, 通过对队伍安全意识培养, 贯彻全生命周期安全体系的建设, 从软件需求设计上线, 到最后的运营, 全阶段进行安全防护, 包括渗透测试等管理规范制度上线监测等手段, 已经基本上能解决了这些问题对于信息安全高度重视的金融企业实行一票否决制, 相关的信息安全工作还是比较扎实成都农商银行信息安全部钱建诚介绍, 在信息系统开发方面, 该银行有全生命周期的安全控制, 从需求阶段的开发安全控制点, 开发阶段的安全控制, 以及测试阶段的源代码审计漏洞扫描和渗透测试, 到运维阶段的 7 24 小时应用级的信息系统监控浙江省烟草专卖局 ( 公司 ) 信息中心周博主任也强调要加强过程管理通过过程的控制达到预防为主的目的, 主要包括软件开发的过程管理等中国科学院成都计算所研究员张炳泉认为, 在网络规范或等保设计中, 应把协助建设方制订完善的安全防范管理规范的职责作为硬性规定, 把它贯彻进去从设计到工程评审, 一直到最终项目验收, 让安全的主题成为不断的链条, 自始至终贯彻下去浙江大学工业自动化国家工程研究中心阮伟教授则认为, 应该从从外置安全转向内生安全 : 包括内生安全的芯片内生安全的操作系统内生安全的云服务, 要把现在叠加式的纵深防御式的系统串联变成内生安全式的 06 互联网安全

9 Internet Security Insight 人才与能力不足, 运维与服务外包成共识对于各地的网络安全主管来说, 除了面临的巨大合规压力, 更棘手的挑战在于人手的不足广东省工商行政管理局信息中心潘宇明认为, 归结起来, 最大的问题就是人的问题 : 人手不足, 更不要说人才, 这导致安全日志没人看没人分析潘宇明将自己所处的状况形象地描述为 : 人少事多钱多责任大事情干不完, 钱很多花不完广州信息安全测评中心郑宁也表达了同样的观点, 他表示, 广州信息安全测评中心算比较专业的单位, 但是人才方面非常匮乏对于很多政府机构事业单位和国企来说, 相对社会上薪酬可观的职位, 没有办法吸引或者留住安全人才, 毕竟是安全人才是信息化人才的塔尖南宁市网信办副主任彭锦民也认为, 政府与事业机构普遍面临人手缺技术缺的问题由于编制不够, 加上技术更新很快, 公务员单位又不能增编, 造成人手不够的问题但即便是薪资好一些的企业, 人才不足的问题依然严重国海证券公司林华表示, 其所在公司专门从事信息安全的人也不多, 加上他本人也就两个半与需要维护的数千台设备相比, 显然存在较大压力更重要的是, 面对海量黑客, 甚至国家级攻击类型, 企业安全人员的单打独斗显得薄弱广西海事局信息中心王翔也认为, 对于很多安全主管来说, 主要是缺少专业的队伍, 例如在攻防能力上, 没有实践的演练, 能力和水平都缺乏 ; 而且, 很多公职人员不能像企业里面的专业技术人员, 逐步提升技术上的层次如何化解人才能力不足安全人手不足的难题呢? 很多安全主管都给出了安全服务外包的思路专业的事让专业的人去做上海工商局信息中心主任朱建平认为, 在网络安全法下, 政府行业主管部门的信息化建设者有三个方面的工作要做 : 要有底线思维, 网络安全法对于坚守底线是个有利的武器; 把安全事务适当外包出去, 专业的事情让专业的人去做 ; 安全的外包, 对信息化外包服务商有安全要求和安全管理浙江省社保厅信息中心杨国蓉副主任也赞同这种专业的事让专业的人来做, 他认为, 在云计算和大数据时代, 安全人才稀缺, 需要通过服务外包的方式, 来提升安全防护能力南宁市网信办副主任彭锦民也认为, 人手不足的问题, 不得不思考如何将专业的工作交由第三方来做政府采购安全服务将是未来的趋势原电子科技大学软件学院院长秦志光则表达了安全服务化的观点, 他认为安全服务的及时性有效性和技术性往往迫在眉睫, 很多部门都缺乏安全专业人才如果有 360 这种专业安全公司能提供及时优质的服务, 防范就会非常有效和到位在产业角度, 我们把安全产品转换成安全服务, 可能对双方都很有利知名研究机构 Gartner 认为, 安全服务特别是 IT 外包咨询与实施部署服务将成为增长速度最快的细分领域在 2018 安全趋势预测中,360 企业安全研究院也认为, 未来安全实施演变成安全能力交付, 政企机构从购买产品到购买服务, 安全服务化将快速成长绍兴市人民政府电子政务办公室包自毅主任同样认为, 网络安全或电子政务网络安全出现从购买设备建系统到购买服务的趋势, 将来最终以购买服务为主体从 2017 年已经出现的几起政企服务案例来看, 已经有政企客户在网络安全采购中从购买产品转到了购买服务, 在与安全厂商签定的网络安全合同中安全服务成为了最主要内容, 而安全的软硬件产品则成为了配合选项人才匮乏培养模式亟待创新网络安全人才需求飙升 232%, 缺口 70 万! 这是智联招聘与 360 互联网安全中心联合发布的一份互联网安全人才报告的数字在网络安全形势日益严峻, 网络安全建设逐步加强的情况下, 社会对网络安全人才有了更多需求与巨大的缺口形成鲜明对比的是, 高校的现有培养模式体制不能很好适应现在网络安全的形势, 与会安全主管与安全教育专家均忽悠对我国高校的安全教育体制和模式进行变革, 以适应当前对安全互联网安全 07

10 网络安全人才市场需求同比增长情况分析 (2017 年 1-7 月 ) 350% 327% 301% 300% 300% 245% 236% 250% 200% 155% 150% 129% 100% 50% 0% 人才迫切需求浙江工业大学信息中心方赵林主任透露, 对于他们这种高校的信息办和网络中心, 同样也没有足够的安全人才与 70 万的人才缺口相比, 安全人才培养有些杯水车薪, 以重庆大学计算机学院为例, 该学院现也设有信息安全专业, 但每年的招生只有 60 人安全人才的匮乏程度由此可见一斑深圳市电子政务资源中心武刚主任呼吁, 国家应该从国家层面大力推动安全人员的本科学历或者专科学历的教育, 使市场供求关系能扭转广东工业大学计算机学院凌捷表示, 人才培养需要有一个培养的体系, 但是信息安全或者说网络空间安全是没有的, 现在各方面正在构建从国家层面, 教育部的网络安全学科从上面往下建学校层面, 包括信息安全专业, 以及网络空间安全专业, 和数学专业计算机的各个学科都有交叉, 也都没有形成统一的培养方案重庆大学计算机学院党委书记熊忠阳认为, 目前在专业课程的设置上, 高校也有很多不适, 任何变化都很难能得到主管机构的允许此外, 要设置新的学科新的专业, 甚至要扩大招生人数, 会受制于各教育主管部门的审批广东外语外贸大学谢建国教授也认为, 安全人才, 人才属于顶层资源, 非常关键在培养学生方面, 很多人才教学体系教学建设, 都是不对路的, 例如一些攻防类的教材可能属于禁书, 因为顶尖攻防技术其实是双刃剑可见, 在网络技术迅速发展的今天, 现有的高校安全人才教育体制显然已经很难适应需求此外, 熊忠阳认为目前高校的教学方法上重理论教学, 缺实践教学 ; 在师资队伍建设方面, 高校师资队伍也非常欠缺作为用人单位, 深圳信息安全测评中心余晓斌也透出了当前安全人才培养的问题 : 从招聘看, 现在一些毕业生基础能力还算比较强, 但知识体系非常陈旧, 现在信息安全技术发展太快, 他们没有及时了解最前沿的技术方法和工具针对安全人才严重匮乏与培养不足的矛盾, 浙江省网信办网络安全处宋皆荣处长认为, 政府只有通过与机构企业高校合作, 才能加快网络安全人才培养, 推进网络安全生态链建设万科集团变革管理与流程信息中心副总经理何建春分享了在人才培养上坚持两条腿走路的经验 : 一条人才途径叫新动力, 对学计算机的毕业生, 慢慢培养另一条路就是社会化人才给予较好的发展空间杭州师范大学钱江校区特聘教授陈克非认为, 要解决安全人才实用性的问题, 安全人才的培养应该跟企业跟实用密切结合, 可以借鉴软件学院的做法 : 学校学理论基础的内容, 实战的那些技能更多通过实践, 尤其跟专业的企业培训结合起来皖江职业教育中心学校赵祖林校长希望通过校企合作, 在师资课程计划一线岗位实习等方向联合协作, 共同培养更多实用型安全人才, 让网络安全成为职业教育的一个技能培养方向 360 企业安全集团副总裁何新飞在参加研讨时表示, 网络安全人才, 这不是靠打嘴炮打出来的, 要有实战锻炼希望高校可以把有兴趣的学生或者有技术专长的学生引导到补天平台, 即引导学生正确进行安全研究, 同时还可以获得相应的经济报酬, 以及和行业内技术人员多多交流据悉,360 和国家测评中心专门合作成立了 CISP 培训课程, 并推出 PTE 考试项目, 通过这个考试说明水平很高, 也就成为各个用人单位专业安全厂商都争抢的人才安 08 互联网安全

Internet Security Insight 2018.03 www.360.

11 Internet Security Insight 携手行业安全专家打造世界级的安全对话平台韩笑 360 企业安全集团副总裁中国互联网安全大会秘书长 2013 年首次举办的中国互联网安全大会, 现在已成功举办五界, 成为已成为国际性的安全对话平台, 是亚太区规格最高影响力最大规模最大的安全盛会 2017 年中国互联网安全大会的主题是万物皆变 - 人是安全的尺度这个大会主题很贴切地反映出当前的网络安全形势安全的本质是人与人之间的对抗, 人是安全中最脆弱最关键的因素 2017 年中国互联网安全大会的主题回归到人, 是因为网络空间的安全问题, 最终是人造成的我们通过数据驱动和安全协同, 最终的保护落在人与数据上根据一年来的探索和实践, 我们在大会上提出了产业发展新的思路和体系数据驱动安全 2.0 实际上, 中国互联网安全大会每年的主题已经成为行业风向标, 尤其是 2015 年提出的数据驱动安全的理念, 现在已成为业内共识, 成为行业公认的应对安全挑战的解决办法 2016 年大会提出的协同联动, 共建安全命运共同体主题, 在会后被广泛引用, 显示出广泛的业界共识在过去五年中, 无论全球安全形势, 还是中国安全形势发生重大变化, 从病毒木马到现在勒索成为常态, 我们面临的安全挑战更加严峻和棘手安全的重点也从预防转向检测与响应, 从建设转向运营, 这需要安全人员要更加贴近和了解行业与业务特点, 以便提升安全运营水平和安全响应能力 2017 年, 中国互联网安全大会专家委员会在原有顾问委员会咨询委员会, 专业委员会和媒体专委会的基础上, 特别设立了行业安全专家委员会, 并在大会上正式启动千人计划其目的是为了解决顶层设计的问题, 吸引行业网络安全专家参与中国互联网安全大会的交流, 以便为我国的政企网络安全创新, 提供专家意见和行业指导能成为千人计划专家的一个基本条件, 第一要在关键基础设施行业, 起领军性的作用第二要有前瞻思维的, 第三是由顾问委员会咨询委员会和专家委员会中 2 人以上进行推荐 ISC 中国行从 7 月份启动之后, 已经先后走过了上海成都重庆南宁南京深圳长春和杭州等地通过中国行系列活动不仅将中国互联网安全大会的智慧和成果与各地网络安全行业分享, 还吸收了来自各地网络安全行业专家产业翘楚的智慧, 进一步提升中国互联网安全大会产业风向标的价值在此基础上启动的网络安全行业专家千人计划将是一个常态机制, 聚拢各行业网络安全专家, 成为网络安全产业发展和行业应用的智库, 推动我们国家各行业和政企机构的安全体系创新, 网络安全整体能力和水平的提升千人计划的目标是第一要有支撑法律法规落地, 第二参与业内最佳实践分享研讨, 第三致力于创新技术, 完善机制, 让更多的人加入进来整个计划还有一个国家级的实验室进行支撑大数据协同安全技术国家工程实验室, 目前交通运输行业已经有行业大数据安全实验室落地中国互联网安全大会诚挚邀请国内各个行业网络安全专家, 加入到千人计划中, 成为行业安全专家委员会专家, 共同携手推动各个行业的网络安全建设中国互联网安全大会将继续秉承公开公证原则, 把大会打造成世界级的安全对话平台, 推动中国网络安全建设与发展安互联网安全 09

正确安全观是网络安全法落实到位的关键郝叶力国家创新与发展战略研究会副会长中国国际战略学会高级顾问 6 月 1 日网络安全法正式实施, 这是我国网络安全领域第一部基础性法律, 相关配套性法律文件也在陆续出台天下之事不难于立法, 但是难于法之必行我们能不能把网络安全法落实到位, 关键在于能不能树立正确安全观的问题没有正确的安全观, 网络安全法要么形同虚设,

12 正确安全观是网络安全法落实到位的关键郝叶力国家创新与发展战略研究会副会长中国国际战略学会高级顾问 6 月 1 日网络安全法正式实施, 这是我国网络安全领域第一部基础性法律, 相关配套性法律文件也在陆续出台天下之事不难于立法, 但是难于法之必行我们能不能把网络安全法落实到位, 关键在于能不能树立正确安全观的问题没有正确的安全观, 网络安全法要么形同虚设, 要么执行过程中会偏离它真正的方向和初衷习近平总书记 4.19 讲话中, 最重要的是把安全观做了五要素诠释 : 安全是共同的整体的系统的动态的相对的这实际上是网络安全法制定和实施总的指导方针首先, 我们要超越静态底线式的安全合规理念, 达到动态优化式的安全效果, 这是贯彻习主席的五个新安全观的核心要素第二个超越是超越以往合规打勾式的安全抽查检测, 由网信主管部门和相关行业监管部门共同来组织, 通过定期预警监测应急处置应急演练和检验评估等一系列抽查检测的方式, 对风险进行实时感知, 并对安全策略随时进行调整, 能真正实时保证我们的安全最核心的东西是要有风险治理的思路, 而不是像过去那样的搞安全就是过等保检查, 盖章拿到许可证就万事大吉了肆虐全球的勒索病毒的出现, 绝对不是拿到安全的准生证或者拿到等保就能免除, 这需要我们有动态风险防范治理思维, 随时随地洞察威胁, 洞察各种各样安全的挑战 2017 年互联网安全大会的主题, 叫万物皆变, 人是安全的尺度, 这个主题抓住了网络安全法核心要义中最精髓的东西网络风险是千变万化的, 绝对不是一成不变的, 我们的应对策略也必须是随机应变与时俱进的我想用亲身经历过的案例来说明, 树立新安全观的必要性这个案例就是贵阳实网大数据演练这个案例直接针对的是网络安全观上的各种主客观的误区, 希望这个案例可以提供一些启发 2016 年 12 月份, 贵阳市组织一个为期六天的大数据网络安全攻防演练我作为演练总评组组长, 见证了活动的全过程这次演练确实取得了空前的成功, 所有现场的目击者和专家众口一词, 发自内心为贵州大数据攻防演练点赞过去我看到并亲自组织过无数次攻防演习, 但所有演习一般是在封闭模拟环境中展开的, 但这一次贵阳市政府能敢于拿自己省会城市的真网 100 个多个真实运行的政府网站, 作为靶子进行真刀真枪的实测, 这种做法在国内是前所未有的通过这样的演习, 我们可以看出, 能不能成功取决于三点 : 第一, 政府敢不敢担当挂牌开办医院第二, 患者能不能敞开胸怀做体验第三, 医生有没有医德医术, 履行尽责信守承诺这种实网演练在我国是个首创, 但这样的事情在美国这种网络强国里并不罕见在 2015 年中美二轨对话期间, 我曾问前美国国防部副部长高级网军顾问戴维斯将军, 美国现在有世界上压倒性的网络技术优势, 为什么还要成立 133 支网络战部队? 他表示, 实际上这 133 支部队, 有 70%-80% 都是用于我们自身的安全防护因为五角大楼是全世界最大的军事网站, 承载着 2.5 万人的大网, 受到各种各样的攻击, 所以美国网络部队很多精力放在自身国防部的安全防护上不仅如此, 根据戴维斯的介绍, 美国还借助全球网络黑客力量帮助查漏洞, 帮助发现系统的脆弱性因此, 美国国防部还制定了漏洞的奖励计划, 吸引全球黑客来攻击对于这种说法, 我当时还有点置疑, 毕竟让全球黑客来攻击美国的军事网站, 这种开放举措在国内是不可思议的贵阳市和美国五角大楼的实网演练验证了安全观创新的必要性安 10 互联网安全

Internet Security Insight 2018.03 www.360.net 一文读懂数据驱动安全 2.0 的精髓左英男 360 企业安全集团副总裁在中国互联网安全大会 (ISC2017) 期间,360 发布了数据驱动安全 2.

政企业机构面临的网络安攻击组织化漏洞产业化军火民用化外部攻击国家监管重宝常态化应急小时化安全法制化网络安全新常态的六化全威胁形势是攻击的组织化漏洞产业化军火民用化 ; 而从内部来看, 每次大型活动国家强调网络安全, 重保常态化安全法制化应急小时化, 类似永恒之蓝等大型安全事件一旦发生, 要求政企机构迅速作出响应和应急, 国家监管力度越来越强内外两个层面,

13 Internet Security Insight 一文读懂数据驱动安全 2.0 的精髓左英男 360 企业安全集团副总裁在中国互联网安全大会 (ISC2017) 期间,360 发布了数据驱动安全 2.0 理念, 这套理念呼应了本次大会的主题人是安全的尺度, 突出人在安全体系中的价值, 提出了以人为核心的新一代安全体系的概念构建新安全体系的四个假设 2017 年 5 月的永恒之蓝事件和网络安全法 6 月正式实施对于网络安全行业是一个分水岭, 广大的政企机构的攻防态势和网络安全监管形势发生了根本变化, 我们称之为网络安全的新常态新常态下, 政企业机构面临的网络安攻击组织化漏洞产业化军火民用化外部攻击国家监管重宝常态化应急小时化安全法制化网络安全新常态的六化全威胁形势是攻击的组织化漏洞产业化军火民用化 ; 而从内部来看, 每次大型活动国家强调网络安全, 重保常态化安全法制化应急小时化, 类似永恒之蓝等大型安全事件一旦发生, 要求政企机构迅速作出响应和应急, 国家监管力度越来越强内外两个层面, 政企机构的网络安全都面临着新要求新挑战和新压力构建新安全体系的四个假设面对这样的新常态, 我们必须思考, 过去二三十年建立的网络安全体系能不能适应网络新常态, 是否能应对攻防形式的变化我们需要用四个假设来看待网络安全体系 :1) 任何系统一定有未被发现的漏洞有统计显示, 一个程序员写 1500 行代码就有可能出现一个缺陷, 这个缺陷一旦被人发现就会被人利用 ;2) 一定有已发现但未修补的漏洞永恒之蓝勒索蠕虫攻击中, 微软提前 59 天就发布了补丁, 还是有很多系统没有打补丁, 所以 5 月份有很多系统受到影响 ;3) 假设系统已经被渗透海莲花等多个 APT 事件中, 很多系统都被渗透并控制了很多年 ;4) 内部人员不可靠很多安全事件很多由内部人有意或无意引发的, 机构内部人员如果不可靠, 把病毒带进去了, 很难防御在这四个假设的前提下重新审视安全体系, 通过有效手段来弥补传统体系的不足传统围墙式防护思路无法应对国家背景的高级威胁, 所以防护的思维要变, 防护重点需要过渡到加强检测和响应, 核心技术从依赖签名发现单一攻击, 演进到用大数据技术和威胁情报对攻击组织进行溯源和研判互联网安全 11

赖积极防御能力普遍缺失, 被动防御产品各自为战晚有一天被突破进来的现实, 对手突破进来并不怕, 他们需产品各自为战 360 在 2015 年提出了数据驱动安全被动防御积极防御威胁情报进攻反制强身健体纵深防御检测响应掌握敌情先发制人 ARCHITECTURE PASSIVE DEFENSE ACTIVE DEFENSE INTELLIGENCE OFFENSE 安全体系

14 赖积极防御能力普遍缺失, 被动防御产品各自为战晚有一天被突破进来的现实, 对手突破进来并不怕, 他们需产品各自为战 360 在 2015 年提出了数据驱动安全被动防御积极防御威胁情报进攻反制强身健体纵深防御检测响应掌握敌情先发制人 ARCHITECTURE PASSIVE DEFENSE ACTIVE DEFENSE INTELLIGENCE OFFENSE 安全体系传统安全安全分析信息收集法律手段安全域收缩攻击面追踪溯源情报产生反制措施安全加固消耗攻击资源响应处置分析验证自我防卫补丁管理迟滞攻击人的参与情报猎捕应用内建政企机构网络安全能力的叠加演进安全能力建设的五个阶段机构的安全体系, 是指一个组织一个机构的网络安全能力建设到一个什么样的程度和水平网络安全能力建设分为 5 个阶段, 第一个阶段是架构安全, 比如系统应该打补丁, 这是一些在系统建设时应该考虑的安全措施, 非常基础而且投入不大, 但是有很好的安全成效 ; 第二个阶段是被动防御, 是指传统的杀毒防火墙入侵检测等老三样, 被动防御还是一个防的战略思维, 给它配制好规则它就开始自动进行安全防护工作动作我们面临的现状是安全能力建设干了二三十年, 投入这么多但还有很多安全事件爆发, 需要第三个阶段的积极防御, 的依数据驱动安全的两年实践搜索攻击链, 让攻击者很难进来当面对有国家背景的攻击组织, 他们的意志很坚定, 资源很丰富, 我们不得不接受早要时间来寻找有价值的数据和资源, 这就需要快速检测和响应, 在对手实施偷窃或者破坏前发现并干掉, 就还是安全的积极防御能力非常强调人的参与, 不仅仅是靠系统和设备, 所以政企业机构的安全体系基本都是这三个阶段的能力建设我们面临的问题是, 积极防御能力普遍缺失, 包括技术手段和技术产品都是缺失的同时这几个阶段的能力不是割裂的, 也不是迭代的过程, 而是叠加演进的过程积极防御能力的检测和响应, 需要机构安全和被动防御提供数据, 作为检测分析的基础, 而积极防御发现的问题需要做一些策略的处置和动作, 需要架构安全和被动防御的设备来进行关联政企机构面临的现状是很多机构有很多安全产品, 但是进化架构安全 12 互联网安全

态势感知系统数据情报边界安全内容安全工控安全 Internet Security Insight 2018.03 www.360.

15 态势感知系统数据情报边界安全内容安全工控安全 Internet Security Insight 理念, 核心是利用大数据提升检测能力和水平, 以态势感知系统和威胁情报中心为平台, 通过安全运营和应急响应服务, 通过大脑指挥产品, 构建协同联动的防御体系经过两年的实践, 我们发现数据驱动安全非常有效地提升了政企机构的积极防御能力 360 在两年多时间里, 帮助很多的公安网信运营商银行等机构建立了安全运营平台和态势感知平台, 有这样大脑作基础, 通过外部数据采集, 实现既知己又知彼, 提升了检测能力, 很好地应对外部的安全威胁, 特别是一些高级的威胁, 也能够检测到因为内部人员不可靠产生的威胁在两年实践过程中, 我们发现这样一个平台如果没有一个水平很好的团队去运营很难做到能力落地, 如果安全人员能力水平不够, 不能从数据终发现攻击的要素, 就没办法完成响应 2017 年 5 月的永恒之蓝事件,360 派出了 1500 人帮助近 2000 家政企机构现场完成了整个事件的处置在实践过程中安全运营团队可以划分为三类岗位 : 一是值班岗, 主要是安全运维工程师, 负责系统运维和响应处置 ; 二是分析岗, 也叫研判岗, 是水平比较高的安全分析师, 可以利用平台和系统, 结合专家知识和经验及时作分析, 追踪溯源 ; 三是决策岗, 即 CSO 或 CISO 等安全管理人员, 要进行决策平台再加上这样一个安全运营的团队, 才能真正实现检测和响应, 最终提升防御能力, 降低响应时间, 才能真正解决问题所以安全体系离不开人的建设基于 360 和很多政企用户两年多的实践, 提出了数据驱动安全 2.0 升级版 360 最强的优势是在云端的大数据, 这个数据协同了很多数据, 在威胁情报能力和数据能力驱动下, 提升了产品的安全能力, 实现了产品间的协同联动人是安全问题的根源, 也是安全运营的核心, 安全体系安全运营平台大数据安全分析威胁情报中心应急响应中心创新的安全服务终端安全移动安全云安全网站安全无线安全数据驱动的协同联动防御体系互联网安全 13

检测分析手段的缺乏响应处置的高效闭环没有技术手段保障的运营机制一定会失效大协同核心问题数据驱动安全 2.

16 要发挥作用, 必须要建立以人为核心的运营机制, 数据驱动安全 2.0 就是建立以人为核心的安全体系, 通过云端大数据平台赋能产品, 让产品更加聪明 ; 赋能人, 让水平普通的安全人员完成复杂的, 特别是面对高级威胁的能力, 利用云端能力去解决, 这是数据驱动安全的核心理念新体系解决安全两大数据驱动的产品协同检测分析手段的缺乏响应处置的高效闭环没有技术手段保障的运营机制一定会失效大协同核心问题数据驱动安全 2.0 以人为核心的安全体系, 面对两大失效问题挑战 : 没有技术手段保障的运营机制一定会失效 ; 没有人员参与运营的技术机制一定会失效第一个解决的是安全能力不足的问题 ; 第二个解决的是安全人力不足的问题如何解决安全能力不足的问题? 数据驱动安全 2.0 特别强调要依靠云端大数据, 构建云端的安全能力平台包括威胁情报中心应急响应中心网上云检测, 这些能力需要数据驱动安全 2.0 推进整合成一个平台, 整合成便于安全人员使用的工具资源和能力有了这样一个平台, 安全运营人人为核心的安全运营技术机制运营机制没有人员参与运营的技术机制一定会失效安全能力的不足安全人才的缺乏 14 互联网安全

17 Internet Security Insight 校企合作网络空间安全学院丰富的专业教材先进的安全技术完整的只是架构准确的职业解析专业与实验室建设安全师资培训多维的教学内容多维的育人体系多维的合作方式前沿的安全技术开放的综合实训实用的技能训练优质的就业推荐合作科研团队技能认证与竞赛 360 安全创新中心大数据协同安全国家工程实验室强大的品牌影响领先的安全能力成熟的安全产品完善的认证体系校企协同, 打通网络安全人才培养最后一公里员和分析工程师, 即使在客户现场, 也能够方便地使用云端能力, 变得更聪明, 完成因经验知识不足无法完成的复杂响应和处置工作, 比如说一些安全事件的应急响应解决安全人力短缺的两大方式从政企机构安全能力建设体系来看安全人才的缺乏, 架构安全被动防御积极防御威胁情报和进攻反制, 不同的阶段的人才需求是不一样的第一类是进攻反制和威胁情报人才, 攻击渗透和安全分析人才的培养成本非常高, 不是看几本书上几堂课就能培养出来, 需要大量的实战第二类是做基础的安全运营工作的人其实永恒之蓝事件中很多中招的机构就是没有人去做最简单的打补丁的事情, 只要做得及时就没有问题, 这类安全人才是非常缺乏的, 但人才培养的成本代价也相对低一些解决第一类攻防渗透人才问题, 360 旗下有一个补天漏洞平台, 这是一个基于互联网的开放平台, 用众包的方式把互联网散落在各个公司甚至学校的, 一些具有攻防天赋的人才吸引进来这个平台聚集了多白帽子, 将散落社会上的安全力量政企机构和安全企业联合起来, 这是一个很重要的安全人才队伍对于 70 万网络安全人才缺口, 我们提出了一个 360 网络空间安全学院校企合作计划, 帮助院校做一些课程的开发, 360 有很强的团队技术积累, 也有实战环境, 在实验室建设方面有很强的实力按照教职委要求和一些学校合作开发了 22 门基础课程, 还有实验室建设方案, 帮助院校或者相关系设计好实验室环境和实验课程, 配合高校做出适合行业和地区的方案安互联网安全 15

< 上海站 > 上海安全大咖聚焦新形势下的技术和体系创新 6 月 27 日, 中国互联网安全大会 (ISC2017) 中国行之政企安全体系创新专家研讨会在上海举行, 来自上海地区网络安全相关政府主管部门领导智库行业和技术专家网络安全企业代表就新形势下, 政企网络安全体系创新进行了研讨中国互联网安全大会专家委员会主任 360 企业安全总裁吴云坤做了题为

政企安全防护应该回归本源, 重新审视安全防护体系, 基于叠加演进的思路开展安全规划, 建立基于数据和情报的协同联动的防御体系网络安全法下政企机构的机遇与挑战上海交通大学网络空间安全学院院长中国网络空间安全协会副理事长上海市信息网络安全管理协会会长李建华主持了网络安全法下政企机构的机遇与挑战的议题讨论李建华上海交通大学网络空间安全学院院长中国网络空间安全协会副理事长国家以

18 < 上海站 > 上海安全大咖聚焦新形势下的技术和体系创新 6 月 27 日, 中国互联网安全大会 (ISC2017) 中国行之政企安全体系创新专家研讨会在上海举行, 来自上海地区网络安全相关政府主管部门领导智库行业和技术专家网络安全企业代表就新形势下, 政企网络安全体系创新进行了研讨中国互联网安全大会专家委员会主任 360 企业安全总裁吴云坤做了题为从重大安全事件保障与应急看网络安全体系建设的开题发言吴云坤 360 企业安全总裁从多个重保事件和永恒之蓝勒索蠕虫事件可以看出, 今天的网络安全威胁态势及安全防护呈现出了军火民用化, 重保常态化, 应急小时化这三大趋势在重保事件中, 态势感知系统确实发挥了重大作用, 业务价值通过重保得到了体现应急处置不单单是高大上的研判分析, 常常是基础架构和被动防御的脏活累活政企安全防护应该回归本源, 重新审视安全防护体系, 基于叠加演进的思路开展安全规划, 建立基于数据和情报的协同联动的防御体系网络安全法下政企机构的机遇与挑战上海交通大学网络空间安全学院院长中国网络空间安全协会副理事长上海市信息网络安全管理协会会长李建华主持了网络安全法下政企机构的机遇与挑战的议题讨论李建华上海交通大学网络空间安全学院院长中国网络空间安全协会副理事长国家以网络安全法为基础做网络安全的顶层设计和规划, 在网络安全法框架下, 围绕关键信息基础设施国家在制定和推进各种规范标准和制度网络安全法对网络的运营关键信息基础设施的运营跨境数据和个人信息保护都提出了要求对安全企业的产品服务和人员也提出了要求, 网络安全法的实施对网络安全企业是福音, 从安全保护到安全运维, 包括新技术的应用都产生了积极的影响上海网信办总工技术处杨海军处长 : 在网络安全法中, 关键信息基础设施的保护由行业主管部门和关键信息基 16 互联网安全

网络安全法出台将一些重大问题通过法的体系来进行有机整合网络安全法赋予企业的责任 : 对用户数据进行保护, 对网络安全和业务连续性进行保护中国电子学会信息安全专家委副主任委员, 上海大学教授王潮 : 网络安全法下, 网络安全信息通报不是简单的上报, 要分析, 把其他学科的概念引进来网络安全的应急响应要与周边联动, 网络安全进入全球治理时代,

浦东新区信息协会会长乐嘉锦 : 网络安全法对于政企机构挑战是严峻的, 机遇是存在的, 困难也是很大的, 开放共享对安全是最难的网络安全法对于政企机构的网络安全整体工作是促进作用, 我们按照网络安全法要求定位了三个关键信息系统 : 核心征管增值税发票互联网应用, 对安全的压力非常大, 目前网络空间环境恶劣, 防护按照最恶劣的环境做

19 Internet Security Insight 础设施运营者共同负责, 行业主管部门做规划做计划做安排, 这将带动网络安全整体的投入网络安全法的实施对于我们国家的网络安全建设对于网络安全企业的发展对于网络安全体系的演进是一个长期的推进过程上海社科院互联网研究中心常务副主任惠志斌 : 网络安全法把网络安全和国家安全人民的安全进行了一个有机的联系, 形成了一个纽带, 一个共同的生态网络安全法出台将一些重大问题通过法的体系来进行有机整合网络安全法赋予企业的责任 : 对用户数据进行保护, 对网络安全和业务连续性进行保护中国电子学会信息安全专家委副主任委员, 上海大学教授王潮 : 网络安全法下, 网络安全信息通报不是简单的上报, 要分析, 把其他学科的概念引进来网络安全的应急响应要与周边联动, 网络安全进入全球治理时代, 全球数据进行分析和快速响应华东师范大学教授顾君忠 : 有决策权的人安全意识淡漠, 教育是关键 ; 法律教育是网络安全法实施关键的一块华东理工大学教授林家骏 : 信息技术发展太快, 发展的不严谨, 造成了很多的漏洞, 希望能有一种前装的内生的标准安全系统出现, 由这些系统组成的系统具有安全性东华大学计算机学院教授委员会主任浦东新区信息协会会长乐嘉锦 : 网络安全法对于政企机构挑战是严峻的, 机遇是存在的, 困难也是很大的, 开放共享对安全是最难的网络安全法对于政企机构的网络安全整体工作是促进作用, 我们按照网络安全法要求定位了三个关键信息系统 : 核心征管增值税发票互联网应用, 对安全的压力非常大, 目前网络空间环境恶劣, 防护按照最恶劣的环境做应伟上海税务局信息中心主任准备, 所有的防范都要做, 但是资金和预算紧张威胁永远是进行时, 防御永远进行时朱建平上海工商局信息中心主任在网络安全法下, 政府行业主管部门的信息化建设者有三个方面的工作要做 :1) 要有底线思维, 网络安全法对于坚守底线是个有利的武器 ;2) 把安全事务适当外包出去, 专业的事情让专业的人去做 ;3) 安全的外包, 对信息化外包服务商有安全要求和安全管理从勒索蠕虫攻击事件看网络安全挑战中国传媒大学副教授观潮网络空间论坛专委会主任徐培喜主持了从永恒之蓝勒索蠕虫攻击事件看网络安全新挑战议题的讨论徐培喜中国传媒大学副教授观潮网络空间论坛专委会主任前不久在西雅图举行的观潮网络空间论坛上, 一些美国互联网安全 17

上海站军届的网络强硬派认为网络空间就是达尔文主义, 适者生存美国人推动网络空间军事化节奏加快了, 造成了类似永恒之蓝这样的网络武器库的民用化上海网信办协调处处长王静 : 上海对于永恒之蓝勒索病毒的处置和反应很快, 发布预警和处置方案也很及时, 顶层设计也很到位, 所以上海委办局没有发生感染问题, 也没造成很大的损失, 处置流程起到作用上海会将态势感知系统与事件处置

20 上海站军届的网络强硬派认为网络空间就是达尔文主义, 适者生存美国人推动网络空间军事化节奏加快了, 造成了类似永恒之蓝这样的网络武器库的民用化上海网信办协调处处长王静 : 上海对于永恒之蓝勒索病毒的处置和反应很快, 发布预警和处置方案也很及时, 顶层设计也很到位, 所以上海委办局没有发生感染问题, 也没造成很大的损失, 处置流程起到作用上海会将态势感知系统与事件处置事件通报和应对方案整合在一起, 从机制和体制上做好应对准备上海市信息安全协会秘书长王强 : 网络安全法出台后, 很多企业感觉到压力山大, 但同时也让企业对于网络安全重视了, 可以把网络安全工作做好上海市计算机病毒及应急响应中心副主任吴恩平 : 我们的政企用户 IT 建设 IT 运维的规范化太随意了, 把中间一些非常重要环节都给省略了, 导致现在遇到一些事情就出现问题对于政企用户来说要对什么是应急什么是日常运维要区分清楚吴云坤 : 之前每个人都认为是网络安全的旁观者, 这次所有人都是受到影响的永恒之蓝对关键基础设施的影响是实实在在的政企机构应该从自身思考, 要做好基础问题, 既要做高大上的对抗, 也做网络安全的基础的工作上海网信办总工技术处处长杨海军 : 永恒之蓝勒索蠕虫攻击是一个很烂的厨子拿着一道很好的原材料做了一盘很烂的菜, 它把勒索永恒之蓝工具和蠕虫很好地结合在一起, 但是对加密之类的做得不好, 但永恒之蓝是战略级的新形势下的技术和体系创新复旦大学网络空间安全战略与技术研究工作室主任 973 首席科学家复旦大学软件学院教授杨珉主持了新形势下网络安全技术和体系创新话题的讨论杨珉复旦大学软件学院教授从 2013 年斯诺登事件揭开魔盒开始, 给网络安全监管部门学术界产业和行业带来了更多的机遇, 也是前所未有的好时机, 这是一个新的产业和新的时代的开始, 对于我们的技术创新和安全体系的创新提出了很多要求自打有产学研联动的提法以来, 工业界一直在抱怨两个问题 :1) 从学界拿到的能用的东西太少了 ;2) 从学界拿到的人才不够, 出来的人不能用华东理工大学教授林家骏 : 网络安全已经成为一级学科, 我觉得这是国家层面是下决心把网络安全, 从普通的一种工程界直观性应用或者直观性技术上升到科学, 有些程度上信息安全是一种艺术, 也是一种科学我们不光关心它的应用能力和效果, 还要解决应用本身和应用问题背后的科学问题东华大学计算机学院教授委员会主任乐嘉锦 : 网络安全领域从理论上要提高一步, 我们现在是应用做了很多, 应用还是需要理论来指导就比较扎实了, 需要考虑怎样从工程中提炼出我们的理论基础 18 互联网安全

21 Internet Security Insight 华东师范大学教授顾君忠 : 网络安全体系以后整个思路会有很大的变化, 最典型的是现在我们一直强调隔离, 隔离是不是真的能够隔离, 现在看遇到了挑战我在研究安全本体, 从安全本体的角度来看, 我们应该看得更高一点, 看得更宏观, 看得更仔细一点总结研讨会的最后, 上海网信办总工技术处处长杨海军做了总结发言, 分析了网络安全法实施的意义和对网络安全工作的心得上海市信息网络安全管理协会秘书长刘春梅 : 网络安全法出台后, 到底该怎么做, 企业还有很茫然的地方比如管理制度到底怎么建设才算达标, 技术层面到底怎么做才能满足要求, 需要相关机构可以通过法律解读技术分享技术研讨等工作来帮助企业解决上海市信息安全协会副秘书长张凯 : 目前安全产业在人才培养上是有所欠缺的, 政企用户需要的是保安, 但安全厂商为大家提供的却是特种兵, 从需求上就不对口南京赛宁信息技术有限公司创始人谢峥 : 美国吸引了全世界, 不管是俄罗斯中国都有很多专家在美国工作, 中国也需要考虑怎么能够吸引国外的专家和顶尖的人才上海经信委信息安全处处长刘山泉 : 落实网络安全法, 网络安全产业创新的投入肯定要增加, 需要大量人才和创新型的企业去承接这些投入, 创新要与需求对接, 需求要跟随关键信息基础设施安全保障体系这个大旗, 能够把最关键的行业需求激发出来, 然后产业能够把增量的产业资源投下去杨海军上海网信办总工技术处处长 2017 年是整个网络安全领域具有里程碑意义的一年, 最重要的事件就是网络安全法出台, 这意味着现在很多工作有了基本的指引, 这部法律最重要的意义在于三点 : 一它是指引性的, 告诉大家怎么往下走, 方向是什么二它给出了一个方向, 建立了一个框架随着补充的细则文件出台, 整个网络安全法会不断的丰满起来三网络安全法又是一个威慑明确了各方的法律责任和法律义务网络安全工作要从两头做, 第一件事是扎扎实实从基础做起 ; 第二件事是有大事件赶紧灭火, 两者不可或缺安李建华 : 我们的政企用户缺少针对永恒之蓝这样的网络安全事件的追踪溯源分析研判的能力, 同时缺乏事前的威胁检测与预警, 这是应对重大安全事件所欠缺的短板互联网安全 19

< 成都站 > 新形势下的川蜀安全挑战与创新 7 月 21 日, 中国互联网安全大会 (ISC) 千人计划中国行之政企安全体系创新专家研讨会在成都举行, 来自成都地区的网络安全相关政府主管部门领导以及政府金融交通等行业的安全专家网络安全企业代表就新形势下, 政企网络安全体系创新进行了研讨中国互联网安全大会秘书长 360 企业安全集团副总裁韩笑主持了此次研讨会

要么执行过程中会偏离真正的方向和初衷网络安全法的执行需要在网络安全观上确立什么?

22 < 成都站 > 新形势下的川蜀安全挑战与创新 7 月 21 日, 中国互联网安全大会 (ISC) 千人计划中国行之政企安全体系创新专家研讨会在成都举行, 来自成都地区的网络安全相关政府主管部门领导以及政府金融交通等行业的安全专家网络安全企业代表就新形势下, 政企网络安全体系创新进行了研讨中国互联网安全大会秘书长 360 企业安全集团副总裁韩笑主持了此次研讨会国家创新与发展战略研究会副会长中国国际战略学会高级顾问观潮网络空间论坛主席郝叶力做了题为落实网络安全法, 树立正确安全观的开题演讲郝叶力国家创新与发展战略研究会副会长中国国际战略学会高级顾问观潮网络空间论坛主席郝叶力认为, 落实网络安全法, 观的问题特别重要天下之事不难于立法, 但难于法之必行没有正确的安全观, 网络安全法要么形同虚设, 要么执行过程中会偏离真正的方向和初衷网络安全法的执行需要在网络安全观上确立什么? 习主席在 4 19 的讲话, 最重要的是把安全观做了五要素诠释安全是共同的整体的系统的动态的相对的, 这实际上是网络安全法制定和实施总的指导方针超越静态的底线式的安全合规理念, 达到动态优化式的安全效果, 这是贯彻习主席五个新安全观的核心要素此外还要超越以往合规打勾式的安全抽查检测最核心的东西是要有风险治理的思路, 而不是像过去那样搞安全就是通过等保检查, 拿了许可证就万事大吉肆虐全球的勒索病毒的出现说明, 安全风险绝对不是通过等保就能免除的, 这需要动态风险防范治理思维, 随时随地洞察威胁, 洞察各种各样安全的挑战政企安全机遇与挑战大数据协同安全技术国家工程实验室高级研究员胡怀亮主持了网络安全法下政企机构的机遇与挑战的议题讨论专家认为, 我们需要重新规划网络安全架构, 告别过去合规式的安全管理, 强化开发人员的安全意识, 贯彻全生命周期安全管理体系建设胡怀亮大数据协同安全技术国家工程实验室高级研究员网络安全法是网络安全领域基本大法它是我国网络安全法制进程的重要里程碑需要政企机构监管部门安全企业协同努力推进网络安全法的落实和实施 20 互联网安全

二是明确了工作重点 ; 三是提出机制保障从地方网信部门的现状来讲, 可能面临的更多是挑战与困难首先, 对地方网信部门来说, 最重要的挑战是如何尽快落实管理体制机制, 这是地方网信部门最需解决的问题其次是如何将法律落地

网络安全法规定了网络安全的职责和相应法律底线中间有个重要环节 : 设计信息系统或网络系统时, 起重要把关作用的是设计院和相关咨询机构在公众网络项目评审中, 发现一个共同的问题 : 除技术架构等技术路线认知不同外,

从设计到工程评审, 一直到最终项目验收, 让安全的主题成为不断的链条, 自始至终贯彻下去李杰四川省地税信息中心副处长税务局的网络安全, 过去主要是在总局行业部门的安全指导下开展工作很长一段时间里,

按照要求做网络安全开发工作, 包括前期代码测评以及系统上线的评估网络安全法中, 合规性最核心的一点是等级保护但等级保护很难在现有系统落地此外, 涉及到应用安全方面, 应用本身安全依靠应用开发商自己完成,

23 Internet Security Insight 赵谦成都市网信办副主任网络安全法的出台具有非常积极的战略意义对地方主管部门来讲, 在网络安全监管上迈出了坚实的一步网络安全法以及相关条例陆续出台, 这些顶层设计对地方网信部门具有指导意义 : 一是明确了范畴 ; 二是明确了工作重点 ; 三是提出机制保障从地方网信部门的现状来讲, 可能面临的更多是挑战与困难首先, 对地方网信部门来说, 最重要的挑战是如何尽快落实管理体制机制, 这是地方网信部门最需解决的问题其次是如何将法律落地这需要网络安全管理者运营者直接用户三个主要角色, 结合自身实际网络安全事件生产生活日常事件, 来明确什么是网络安全, 怎样提高网络安全保障水平, 以及怎样持续强化网络安全保障风险意识张炳泉中国科学院成都计算所研究员网络安全法规定了网络安全的职责和相应法律底线中间有个重要环节 : 设计信息系统或网络系统时, 起重要把关作用的是设计院和相关咨询机构在公众网络项目评审中, 发现一个共同的问题 : 除技术架构等技术路线认知不同外, 最缺失或者说最弱的是网络安全防护的问题 : 一是等保标准就低不就高二是项目设计没有从真正意义上重视安全体系架构的构建在网络规范或等保设计中, 应把协助建设方制订完善的安全防范管理规范的职责作为硬性规定, 把它贯彻进去从设计到工程评审, 一直到最终项目验收, 让安全的主题成为不断的链条, 自始至终贯彻下去李杰四川省地税信息中心副处长税务局的网络安全, 过去主要是在总局行业部门的安全指导下开展工作很长一段时间里, 我们这种部门运营者会面临业务部门和网络安全脱节的问题网络安全法把安全的责任理的非常清楚业务部门的软件开发也被纳入网络安全管理中现在安全部门跟业务部门在网络安全的协作上好了很多 : 软件开发过程中会讯问意见, 按照要求做网络安全开发工作, 包括前期代码测评以及系统上线的评估网络安全法中, 合规性最核心的一点是等级保护但等级保护很难在现有系统落地此外, 涉及到应用安全方面, 应用本身安全依靠应用开发商自己完成, 需要有更好更合理的解决办法来保障现有应用的安全刘宏四川省工商局信息中心副主任网络安全法实施以来, 无论是对我们单位, 还是我们部门, 都遇到很多挑战在落地方面应该做? 一是需要对网络安全进行重新思考, 重新规划安全体系架构二是需要建设配套的管理制度 ; 三是协同, 包括部门间的协同政企间的协同安全设备厂商间的协同监管部门多头监管, 职能划分方面也需要协同杜勇四川省经济信息中心副总工从实际运维的角度看, 部门之间的协同的确存在问题互联网安全 21

成都站我们部门主要负责平台运维, 经常跟安全公司测试公司打交道, 相互之间很容易理解和沟通但遇到的最大问题是软件开发人员软件开发人员在安全知识上几乎是一张白纸我们遭受到的几次攻击都是因为软件开发问题导致的开发人员没有安全方面的知识, 最主要的是系统部署时没有进行沟通我们工作中遇到最大的问题是软件公司的开发人员导致的四川省税信息中心副处长李杰 :

我们长期在人民银行以及银监会监管指导下, 信息安全方面工作要求做得非常扎实, 因为每年要对我们进行若干次的非现场检查和现场检查, 以及一些定期数据提取和报送在信息系统开发方面, 我们有全生命周期的安全控制, 从需求阶段的开发安全控制点, 开发阶段的安全控制, 以及测试阶段的源代码审计漏洞扫描和渗透测试, 到运维阶段的 7 24 小时应用级的信息系统监控此外, 银行在网络安全法

软件研发人员安全意识很不强, 弱口令打补丁或应业务要求上线等方面, 软件研发人员根本不会考虑安全问题, 很容易发生安全事件, 造成事后被动以及成本浪费我们与 360 合作, 通过对队伍安全意识培养, 贯彻全生命周期安全体系的建设, 从软件需求设计上线, 到最后的运营, 全阶段进行安全防护, 包括渗透测试等管理规范制度上线监测等手段, 已基本上能解决了这些问题

24 成都站我们部门主要负责平台运维, 经常跟安全公司测试公司打交道, 相互之间很容易理解和沟通但遇到的最大问题是软件开发人员软件开发人员在安全知识上几乎是一张白纸我们遭受到的几次攻击都是因为软件开发问题导致的开发人员没有安全方面的知识, 最主要的是系统部署时没有进行沟通我们工作中遇到最大的问题是软件公司的开发人员导致的四川省税信息中心副处长李杰 : 现在很难用合规方式来管理应用系统开发者, 只能用管理制度来管理但管理制度不是合规性的, 要求所有补丁都要打, 但应用系统不能打补丁, 一打补丁就会垮掉我们通常是通过检查和渗透性测试, 一旦发现问题就进行修补不满足合规性要求可定责任, 但满足了合规性要求也可能存在风险, 这是管理上的难点常清雪长虹集团软服中心部长银行对信息安全采用的是一票否决的机制我们长期在人民银行以及银监会监管指导下, 信息安全方面工作要求做得非常扎实, 因为每年要对我们进行若干次的非现场检查和现场检查, 以及一些定期数据提取和报送在信息系统开发方面, 我们有全生命周期的安全控制, 从需求阶段的开发安全控制点, 开发阶段的安全控制, 以及测试阶段的源代码审计漏洞扫描和渗透测试, 到运维阶段的 7 24 小时应用级的信息系统监控此外, 银行在网络安全法强制执行之前, 就已经通过了等级保护三级 2017 年根据网络安全法的要求, 把三级等保系统扩大到了九个要让信息工作人员无时无刻要意识到安全问题, 只有这样才能绷紧安全的这根弦新常态下关键信息基础设施保护的挑战中国网络空间安全协会竞评演练工作委员会秘书长田志宏主持了新常态下关键信息基础设施保护的挑战的议题讨论长虹拥有大概 1000 人的软件开发队伍过去对安全问题不是太重视, 软件研发人员安全意识很不强, 弱口令打补丁或应业务要求上线等方面, 软件研发人员根本不会考虑安全问题, 很容易发生安全事件, 造成事后被动以及成本浪费我们与 360 合作, 通过对队伍安全意识培养, 贯彻全生命周期安全体系的建设, 从软件需求设计上线, 到最后的运营, 全阶段进行安全防护, 包括渗透测试等管理规范制度上线监测等手段, 已基本上能解决了这些问题钱建诚成都农商银行信息安全部田志宏中国网络空间安全协会竞评演练工作委员会秘书长现在全世界网络安全形势是从小概率不可预测的黑天鹅事件, 转变为大概率的灰犀牛事件, 网络安全形势进入新常态 : 安全法制化军火民用化以及重保常态化, 以及应急小时化成都市网信办副主任赵谦 : 按照省网信办的要求, 我们对成都地区的关键信息基础设施进行了梳理, 目前已经填报了 900 多家关键信息基础设施其中, 一些系统是我们常年关注和监测的系统在监测过程中面临很多的挑战, 包括能力不足边界不清晰等作为地方管理部门, 还是希望可以摸清家底划清边界, 否则只能发挥主观能动性了 22 互联网安全

一是需要大量的网络安全基础知识打基础 ; 二是需要给安全人员真正实践实战型的平台, 真正解决实际问题三是尽早通过各种实训实习, 吸引和选拔出有潜力的人才张小松电子科技大学网络空间安全研究中心主任长江学者

我们缺少法律和相关手段来保障数据权属三是数据在使用和挖掘时的隐私泄露问题, 需要解决数据脱敏和数据挖掘效益的矛盾问题网络安全法出台后, 大数据安全具体保护条例仍然缺失, 需要通过条例保证大数据保护和网络安全法

对于永恒之蓝勒索病毒的严峻挑战, 我们大概有三方面的思考 : 一是网络安全形势会愈加严峻, 将诞生出更多更新的攻击模式包括向移动终端物联网和工业企业蔓延, 并催生出新的商业模式二是没有绝对的安全 Windows

人是最大的安全漏洞, 即便部署了最好的安全防护设备, 如不遵守相应的安全规则, 也会导致防御体系的崩溃需要加强执行网络安全制度, 完善应急制度, 并加强与安全厂商的合作, 积极应对未知安全及威胁

25 Internet Security Insight 李舟军北京邮电大学教授面对现在严峻的网络安全形式, 我们的网络安全人才缺口很大, 顶级顶尖人才奇缺, 但批量地培养高素质能解决实际问题的创新型实战型的安全人才, 并不是很不容易 : 一是需要大量的网络安全基础知识打基础 ; 二是需要给安全人员真正实践实战型的平台, 真正解决实际问题三是尽早通过各种实训实习, 吸引和选拔出有潜力的人才张小松电子科技大学网络空间安全研究中心主任长江学者我们保护网络信息安全的目的是为了保护数据数据安全问题不是要解决存储和传输问题, 应该解决的是数据使用的安全问题 : 一是数据采集生产过程中, 如何保障数据的真实性 ; 二是数据产权和使用往往分离, 我们缺少法律和相关手段来保障数据权属三是数据在使用和挖掘时的隐私泄露问题, 需要解决数据脱敏和数据挖掘效益的矛盾问题网络安全法出台后, 大数据安全具体保护条例仍然缺失, 需要通过条例保证大数据保护和网络安全法接轨及很多家企业集中了这么多部门和应用后, 安全挑战成为很具体的问题, 包括建设实施中的安全防护问题, 共建共享信息平台的安全体系建设问题安全责任与管理边界问题安全管理中的安全态势问题刘伟四川省办公厅对于永恒之蓝勒索病毒的严峻挑战, 我们大概有三方面的思考 : 一是网络安全形势会愈加严峻, 将诞生出更多更新的攻击模式包括向移动终端物联网和工业企业蔓延, 并催生出新的商业模式二是没有绝对的安全 Windows 系统 Linux 和 Unix 系统都存在大量漏洞, 即使不连接互联网也无法杜绝被感染, 需要我们持续防护第三, 人是网络安全的关键安全是人和人的较量, 攻击者越来越专业, 需要专业团队提供专业服务此外, 人是最大的安全漏洞, 即便部署了最好的安全防护设备, 如不遵守相应的安全规则, 也会导致防御体系的崩溃需要加强执行网络安全制度, 完善应急制度, 并加强与安全厂商的合作, 积极应对未知安全及威胁王丹琛四川省安全测评中心主任王建波成都云计算中心总经理我们现在建了公共信息基础设施, 里面有 83 家委办局以作为测评方, 我们进行安全检查时, 会遇到各种各样的问题, 但我们更多是做普查式的检查 : 对整个系统从头到尾, 按照合规要求进行风险评估和安全保障检查在关键基础设施保护方面, 我们作为检测机构, 更多是基于信息运营者和建设者对自身系统风险的认知, 通过管控手段来评估安全措互联网安全 23

成都站施的能效性从供应链的角度讲, 有供应方和需求方, 现在整体系统的表现和成因分析, 都是基于系统本身在系统级层面整体发现的问题我们每次追踪溯源时很难发现, 这导致拖延或应急失效应急失败用系统的影响现在的做法是积累一段时间, 等系统进行大的升级时, 把截止到当前的所有漏洞补丁全部打上期间要经过大量测试, 才能上线, 我们的时间和资源消耗都很大

面对网络极端恐怖主义造成的威胁, 我们应该把焦点放在规则制定上左英男 360 企业安全集团产品副总裁不敢随意打, 使系统安全处于不安全状态补丁管理问题确实很难解决, 这不是仅靠技术能解决的问题服务器补丁问题, 永远存在安全和业务的平衡问题, 这也是安全行业永恒的主题但实践中确有一些办法, 可在一定程度上解决这个问题 360 对补丁有两个办法,

这反应出我们在基础工作方面做得相对好一点这次事件让我再次想起一直纠缠了 2 3 年的问题 : 对银行来说, 单台办公电脑的补丁很好处理, 但对服务器的安全漏洞补丁却不是那么轻松最大的挑战是无法评估补丁对应长虹集团软服中心部长常清雪 : 长虹这两年一直致力于物联网和智能终端业务的发展物联网兴起, 业内百花齐放,

26 成都站施的能效性从供应链的角度讲, 有供应方和需求方, 现在整体系统的表现和成因分析, 都是基于系统本身在系统级层面整体发现的问题我们每次追踪溯源时很难发现, 这导致拖延或应急失效应急失败用系统的影响现在的做法是积累一段时间, 等系统进行大的升级时, 把截止到当前的所有漏洞补丁全部打上期间要经过大量测试, 才能上线, 我们的时间和资源消耗都很大每次打补丁, 我们都相当谨慎, 这导致我们即使知道漏洞也勒索病毒常态化带来的安全挑战吴志勇北京邮电大学副教授永恒之蓝勒索蠕虫事件出现, 危害到全球上百个国家, 可以说现在网络安全威胁已成为世界公害, 成为最大的威胁和挑战, 已经高于国家间的对抗面对超级黑客, 这一人类社会共同面对的全球性挑战和威胁, 各个国家政府应该联起手来对付他面对网络极端恐怖主义造成的威胁, 我们应该把焦点放在规则制定上左英男 360 企业安全集团产品副总裁不敢随意打, 使系统安全处于不安全状态补丁管理问题确实很难解决, 这不是仅靠技术能解决的问题服务器补丁问题, 永远存在安全和业务的平衡问题, 这也是安全行业永恒的主题但实践中确有一些办法, 可在一定程度上解决这个问题 360 对补丁有两个办法, 一是依靠人民战争力量验证补丁, 尽可能把兼容做到最好二是打补丁的回退机制, 能最大限度减少对业务的影响三是打虚拟补丁热补丁漏洞补丁的问题没办法彻底解决, 这是个动态变化的过程, 我们也在不断积累和研究何国建成都银行信息安全部经理永恒之蓝勒索蠕虫事件是对安全基础的考验, 也是对应急组织能力的考验我们银行这次没有受到任何影响, 这反应出我们在基础工作方面做得相对好一点这次事件让我再次想起一直纠缠了 2 3 年的问题 : 对银行来说, 单台办公电脑的补丁很好处理, 但对服务器的安全漏洞补丁却不是那么轻松最大的挑战是无法评估补丁对应长虹集团软服中心部长常清雪 : 长虹这两年一直致力于物联网和智能终端业务的发展物联网兴起, 业内百花齐放, 但物联网研发与开发人员的安全技术和意识不高, 很多公司都有自己的互联互通协议标准, 这给安全建设和规范化带来一定难度物联网还涉及到云端终端, 以及手机 APP 系统安全设计的难度和复杂度也大大提升 360 企业安全集团产品副总裁左英男 : 近年来物联网安全是非常火的话题,360 也有一些研究目前 360 的研究力量集中在工业控制以及车联网领域安全本身跟业务紧密相关, 要结合具体应用场景具体问题, 来看怎么解决目 24 互联网安全

但泛滥是伴随比特币的应用才出现的对传统勒索病毒, 我们预防是堵两头 : 一头堵入侵防木马另一头是堵收钱, 让勒索者收不到金钱比特币诞生后, 两头很难都堵上何建军四川省人社厅信息处网络安全部

国家大的原则是人才共用过程共管责任共担利益共享我们在实施的过程中, 也是按照国家的原则在做秦志光原电子科技大学软件学院院长对于勒索病毒的防护, 我们在实践过程中感觉还缺一环 360

我们把安全产品转换成安全服务, 可能对双方都很有利现在信息安全的意识, 无论是个人还是企事业单位, 都比过去有了很大提高但为什么这次勒索病毒影响这么广?

很多业务系统是不允许停顿的, 这是值得思考的问题敬代和四川信息职业技术学院院长网络安全法的实施, 对我们学院来说更多是机会曾雪梅四川大学网络空间安全研究院院长助理我们目前在做大数据安全分析,

27 Internet Security Insight 前来看, 智能终端还没有重大安全事件发生, 但这个问题已经得到高度关注, 而且勒索病毒很可能往那个方面蔓延郭伟西南交通大学计算机学院副教授勒索病毒并不是很新东西, 应该说勒索病毒诞生很早, 但泛滥是伴随比特币的应用才出现的对传统勒索病毒, 我们预防是堵两头 : 一头堵入侵防木马另一头是堵收钱, 让勒索者收不到金钱比特币诞生后, 两头很难都堵上何建军四川省人社厅信息处网络安全部我们为国家为社会培养安全人才, 算是提供安全服务的现在国家提倡校企合作, 要求工学结合产教融合合作办学合作育人合作就业合作发展怎么合作呢? 国家大的原则是人才共用过程共管责任共担利益共享我们在实施的过程中, 也是按照国家的原则在做秦志光原电子科技大学软件学院院长对于勒索病毒的防护, 我们在实践过程中感觉还缺一环 360 这样的专业安全公司, 来给政企机构提供优质安全服务服务的及时性有效性和技术性往往迫在眉睫, 很多部门都缺乏安全专业人才如果有专业安全公司能提供及时优质的服务, 防范就会非常有效和到位在产业角度, 我们把安全产品转换成安全服务, 可能对双方都很有利现在信息安全的意识, 无论是个人还是企事业单位, 都比过去有了很大提高但为什么这次勒索病毒影响这么广? 这当然是互联网上的网络协议或操作系统漏洞造成了自主广泛传播在实际工作中, 我们经常会遇到一些利用漏洞传播的病毒, 其中很多漏洞补丁是无法完全规避的结合到实际工作中的业务, 很多业务系统是不允许停顿的, 这是值得思考的问题敬代和四川信息职业技术学院院长网络安全法的实施, 对我们学院来说更多是机会曾雪梅四川大学网络空间安全研究院院长助理我们目前在做大数据安全分析, 已经成功构建了大数据平台永恒之蓝爆发后, 我们第一时间进行响应, 通过历史数据的分析, 确认四川大学没有受到这次攻击的影响在此基础上, 我们对勒索病毒原理进行分析并形成安全报告, 为国家相关部门发挥了支撑作用从大数据分析的角度看, 面对勒索病毒常态化, 重要的是我们应该如何来做? 我们一直从事网络分析研究, 面对大量未知的攻击和病毒, 通过大数据分析方式构建网络行为分析模型, 某种程度上可以抵御一些未知的攻击, 相当于用从互联网安全 25

成都站主动方式进行防御现在大家都在谈安全态势系统, 但安全态势系统在网络建设规划中, 往往会因为预算的问题被直接给砍掉此外, 我们还遇到重产品轻服务的问题安全产品采购往往是一次性购买, 后面的服务可要可不要有时安全问题太多, 多到近乎麻木的状态监测发现问题后, 实际响应却存在问题王伟四川省网信办网协处处长应对勒索蠕虫, 我认为重要的是预防, 三分技术七分管理,

省委网信办作为统筹协调网络安全工作和相关监督管理部门, 在今后网络安全工作中, 会重点抓好以下三方面工作 : 一是依法管网, 让网络空间真正晴朗一方面通过各种宣传教育工作提升公众对安全威胁的认知, 提高公众网络安全意识和自我防范技能另一方面加强互联网站安全的管理, 督促互联网服务提供商公共服务平台网络运营者做好网络安全防护二是保障安全, 为四川经济发展护航

28 成都站主动方式进行防御现在大家都在谈安全态势系统, 但安全态势系统在网络建设规划中, 往往会因为预算的问题被直接给砍掉此外, 我们还遇到重产品轻服务的问题安全产品采购往往是一次性购买, 后面的服务可要可不要有时安全问题太多, 多到近乎麻木的状态监测发现问题后, 实际响应却存在问题王伟四川省网信办网协处处长应对勒索蠕虫, 我认为重要的是预防, 三分技术七分管理, 最重要的是网络安全方面的管理和意识在参加中央网信举办的培训时, 国内某知名互联网电商公司提出安全方针九个字 : 轻管控重检测快响应网络安全法已颁布实施, 更细的条例也会进一步规范, 但知名互联网公司却轻视管控, 这是值得大家思考的问题总结发言张仕斌成都信息工程大学网络空间安全学院副院长四川省网信办网协处处长王伟代表四川省网信办副主任陶俊培做了论坛总结发言省委网信办作为统筹协调网络安全工作和相关监督管理部门, 在今后网络安全工作中, 会重点抓好以下三方面工作 : 一是依法管网, 让网络空间真正晴朗一方面通过各种宣传教育工作提升公众对安全威胁的认知, 提高公众网络安全意识和自我防范技能另一方面加强互联网站安全的管理, 督促互联网服务提供商公共服务平台网络运营者做好网络安全防护二是保障安全, 为四川经济发展护航网络安全已成为经济社会的发展基础和保障, 关键信息基础设施保护和保障需要各方面重视, 也需调集各种力量, 需要安全体系和架构创新, 也需要新技术新方法, 这是我们大家共同面对的问题三是推动助力促四川信息安全产业发展四川将信息安全产业作为发展的重点, 五大高端成长型产业之一, 十三五规划将围绕信息安全系统产品与应用四个产业方向重点发展, 力争在 2017 年实现全省信息安全产业有新的突破安 26 互联网安全

政企网络安全体系创新进行了研讨本次研讨会由中国互联网安全大会专委会常务副主任何新飞主持何新飞 360 企业安全集团副总裁 ISC 专委会常务副主任何新飞 360 企业安全集团副总裁 ISC 专委会常务副主任表示, 现在网络安全态势, 已呈现军用武器平民化服务小时化

观潮网络空间论坛专委会主任 ISC 观潮论坛第一场关于永恒之蓝的讨论是在西雅图举行, 主要两个观点, 一个是美国政府开发利用储存微软产业界漏洞, 他们认为这是合情合理的不存在任何道义上的问题, 甚至很想把它国际化, 建立国际规则, 把它合法化同时, 他们也表达了对扩散的担忧第二个观点,

29 Internet Security Insight < 广州站 > ISC 专家首聚羊城直面安全挑战与协同创新 8 月 4 日, 中国互联网安全大会 (ISC) 千人计划中国行之政企安全体系创新专家研讨会在广州举行, 来自广东省地区的网络安全相关政府主管部门领导以及政府机关教育交通医疗等行业的安全专家学者企业代表就新形势下, 政企网络安全体系创新进行了研讨本次研讨会由中国互联网安全大会专委会常务副主任何新飞主持何新飞 360 企业安全集团副总裁 ISC 专委会常务副主任何新飞 360 企业安全集团副总裁 ISC 专委会常务副主任表示, 现在网络安全态势, 已呈现军用武器平民化服务小时化重保常态化和决策数据化的特点从宏观层面来说, 从监管单位来说, 如果不能有效把握当时的网络安全态势和下一步发展趋势, 很难做出有效的应对从勒索蠕虫事件看网络安全新挑战中国传媒大学副教授观潮网络空间论坛专委会主任徐培喜主持永恒之蓝勒索蠕虫事件看网络安全新挑战的讨论环节徐培喜中国传媒大学副教授观潮网络空间论坛专委会主任 ISC 观潮论坛第一场关于永恒之蓝的讨论是在西雅图举行, 主要两个观点, 一个是美国政府开发利用储存微软产业界漏洞, 他们认为这是合情合理的不存在任何道义上的问题, 甚至很想把它国际化, 建立国际规则, 把它合法化同时, 他们也表达了对扩散的担忧第二个观点, 他们总体上说是网络空间, 认为是弱肉强食, 奉行达尔文主义适者生存, 受害就受害, 被攻击却无法还击也只能忍着梁斌国家计算机网络应急技术处理协调中心广东分中心主任永恒之蓝出来, 广东分中心在第一时间应对, 从通知行业部门, 到企事业单位, 采取措施, 端口上做封堵, 基本上解决大部分问题 ; 同时做了一个应对的指南, 将操作流程具体形象化, 及时在网上发布反思这个事件, 不管使用 IOS 还是移动操作系统 ( 安卓 ) 或者苹果系统, 操作系统都在美国手里, 它是绝对的霸权, 绝对控制权, 掌握无数的核武器, 随时可以发起一个事件互联网安全 27

政企机构除了考虑自己的安全体系建设, 还应考虑整个国家的安全体系, 这方面可以参考美国的爱因斯坦计划爱因斯坦计划不是简单把部委网络连起来, 而且在监测措施基础上, 建立可信的互联网连接, 即把各个部委出口汇集起来, 保证大家在统一的出口统一上网统一监测统一管理以医疗机构为例, 很多医院, 安全防范措施都是自己做的, 如果我们整合起来, 做统一的架构设计, 从防范效果来说会好很多

30 广州站这导致安全事件的常态化成为趋势其次, 永恒之蓝可能是冰山一角很多关键基础设施都是构建在国外的操作系统之上, 安全如何保障? 所以要保证应用层的安全, 中国应该要有国产的核心的操作系统第三, 习总书记 4 19 讲话中提出不能受制于人, 真正涉及国家涉及保密的, 还是要下大力气做自己核心基础的芯片和操作系统伭剑辉广州市公安局网警总队总工程师网络架构对网络安全影响很大勒索蠕虫病毒事件中, 公安网内部受影响不大, 受影响的地市比较少, 跟这么多年在公安网安全防御架构上, 做了很多工作有关政企机构除了考虑自己的安全体系建设, 还应考虑整个国家的安全体系, 这方面可以参考美国的爱因斯坦计划爱因斯坦计划不是简单把部委网络连起来, 而且在监测措施基础上, 建立可信的互联网连接, 即把各个部委出口汇集起来, 保证大家在统一的出口统一上网统一监测统一管理以医疗机构为例, 很多医院, 安全防范措施都是自己做的, 如果我们整合起来, 做统一的架构设计, 从防范效果来说会好很多即使从单个机构安全建设上看, 也应重新审视我们的安全架构, 光靠老三样的安全基础设施依然很普遍我们经常办案现场, 一看虽然装有防火墙, 但是日志没有记, 仅靠防火墙保存的一点点日志, 给犯罪侦查造成很大困难周晓斌广州市工信委网络安全处处长从永恒之蓝勒索蠕虫事件来看, 是网络安全非常好的普及教育的良机, 这次事件在宣传教育的作用远大于传统的安全培训或教育这次永恒之蓝我看到广大民众广泛参与, 尤其从来没有搞过 IT 的人, 也对这次事件印象深刻现在传统安全边界越来越模糊, 有一些网络, 认为只要不联网就可以了, 但这次事件反映物理隔离也可以被渗透进去其次, 勒索病毒直接冲着数据, 表明在云计算和大数据 IT 发展背景下, 数据安全显得更为重要最后, 灾备中心正成为很多单位的强需求, 等于把强化数据核心资产的安全保护做到前面, 因为防是永远防不住的, 灾备是最后一道防线深圳市经信委信息安全处黄爱萍 : 深圳市经信委信息安全处职责分两块一是负责机关内部的安全, 如果发现有部门安全工作做的不到位, 将会采取扣分机制, 并与工资绩效挂钩二是行业监管, 包括制定深圳市网络信息安全应急预案下一步我们将根据网信办工信部制定的网络安全事件应急预案关于工业控制系统网络与信息安全事件应急预案等文件, 制定更加符合深圳政企实际的相应文件尤其在工业领域, 进一步覆盖涉及到的工控系统, 加强应急处置工作网络安全法在落实时出现一些问题, 比如如果我们市里出现了一些网络安全法规定的事情没有做, 相关部门要进行处罚, 但相关部门是谁并不清楚, 谁来执行也不清楚而且省市有些规定也没有做到统一, 谁执法谁执行执行程序怎么规范等都需逐步细化明确深圳市政务资源中心武刚 : 我们中心管着全市的网络和资源, 如果一台台电脑装补丁, 效率会很低, 我们在考虑能不能通过网络封堵, 更高效的解决这个问题但目前这一块的被没被关注, 大家比较重视前端桌面的处理其次应对永恒之蓝勒索蠕虫, 应该重视灾备中心的建设, 我们会要求各单位把重要数据备到灾备来第三, 态势感知能够把我们的被动防御变成主动防御, 希望 360 作为最大的安全公司能够把事前的主动发现与预防也的更好 28 互联网安全

31 Internet Security Insight 关键基础设施防护挑战与安全体系建设创新华南理工大学教授,CERNET 华南网络中心主任陆以勤主持第二个环节的讨论, 讨论主题是新常态下关键基础设施防护挑战与安全体系建设创新陆以勤华南理工大学教授, CERNET 华南网络中心主任 2017 年 7 月份, 国家互联网信息办公室公布了一个关键信息基础设施保护条例 ( 征求意见稿 ) 把教育列进去了, 卫生医疗列进去了, 社保环保国防科工化工药品也列进去了, 还有提供云计算大数据和其他大型公共信息服务的单位包括之前出台的网络安全法, 当前关键信息基础设施保护的新常态归结起来就是安全法治化广东省公安厅网警总队副支队长金楠 : 作为安全执法部门, 对当前的网络安全工作存在几点问题 : 一个是静态, 建立起防护标准或者防护体系, 但很多防护是静态的, 没有动态的过程 ; 二个是孤立, 各个单位搞各个单位的 ; 三是封闭, 这家单位被攻击了, 很多经验可以共享给其他行业企业, 但是目前没有, 基本上都是封闭的状态 ; 四是被动, 受害者作为被攻者, 没有主动还击能力因此, 我们 2017 年实施网络安全罩计划, 省厅牵头做, 想把重点行业单位连成一张动态共享主动防御的安全网广东省国土资源厅网络中心副主任李江 : 政府机关里有很多关键基础设施, 对于我们单位来说, 希望国家或者相关部门早点界定哪些是关键基础设施我们给政府 30 多个部门提供服务, 但是网络安全法出台后至今, 还是没有重新界定, 我们尚不清楚自己是否属于关键信息基础设施下一步我们要建立国土空间基础信息平台, 部里已经发文, 辐射环保住建交通, 农业林业等众多行业希望早一点界定, 我们的安全工作就有依据更好开展, 而且资金投入也有保障广东省交通厅信息中心巫建文 : 我们厅领导对网络安全工作还是非常重视的, 永恒之蓝勒索蠕虫病毒攻击发生之后, 我是从一个全国的交通信息中心主任群中得知, 第一时间就发给相关负责同志, 相关负责同志马上按照指引把几个基层人员召集回来, 断网关端口, 按照相关技术指引进行处理这个事件过了后, 我们认为一定要有日常专门负责威胁信息的专职人员, 或者在某一个特定渠道, 或者很多渠道上都要去看, 建立值班制度, 把发现问题放在值班职责里深圳市交委黄远峰 : 我们委信息安全责任落到我们中心, 我认为面临着四个挑战, 或者四个方面的想法要求第一, 信息安全知己知彼第二, 全景展示, 深圳市交委下面 30 多个分支机构,4 千多个工作人员, 里面信息资产很多, 需要全面理清第三, 研判预警第四, 出现问题后的事件处置深圳市医学信息中心淘保平 : 我们医疗主要分为两个层次, 一个是区域层面的医疗信息建设, 二是各个医院内的信息化建设区域集中式系统层面, 在我们卫计委没有自己独立的机房, 接受深圳市电子政务资源中心以及深圳市操控中心托管但也要做一些安全工作, 包括每周都做漏洞扫描, 每两个月要做一次安全测试在单个机构里的信息化建设层面, 我们卫计委也对下属机构有要求, 包括每个月要有防护监测, 防止医疗方面的信息泄露, 包括妇幼信息泄露, 这也是我们卫生计生行业的难点广东省教育技术中心唐连 : 我们整个教育行业, 要求各单位上报所有网站系统, 并开始做等保生命周期管理, 让各个学互联网安全 29

广州站校单位清理自己所有的网站和平台, 把等保落实情况应急备案评测检查等全部管起来, 对系统人员进行全面管控, 堵住管理和技术上的漏洞我们厅里面全省中小学老师信息系统, 还有考试院几个系统都属于三级等保系统, 已按照教育部要求, 完成了应急备案和评级工作教育部在广东省成立了一个测评部, 设在我们中心我们的工作也得到了省公安厅的大力支持广东省保密局检查中心邹伟平 :

32 广州站校单位清理自己所有的网站和平台, 把等保落实情况应急备案评测检查等全部管起来, 对系统人员进行全面管控, 堵住管理和技术上的漏洞我们厅里面全省中小学老师信息系统, 还有考试院几个系统都属于三级等保系统, 已按照教育部要求, 完成了应急备案和评级工作教育部在广东省成立了一个测评部, 设在我们中心我们的工作也得到了省公安厅的大力支持广东省保密局检查中心邹伟平 : 我们保密部门主要是分保 ( 分级保护 ), 分级保护分为秘密机密绝密三类网络进行分级保护涉及到秘密的东西, 例如一些军工企业, 涉及国家秘密的信息系统要在网络上运作, 必须定为秘密级或者机密及以上级, 进行分级保护涉密网络必须物理隔绝的, 如果做不到物理隔绝, 就不能作为涉密网另外, 很多省直单位不是涉密网, 但也是物理隔离的我们在省直单位检查发现, 很多单位, 包括一些信息中心, 确实存在一隔了之的现象省工商行政管理局信息中心潘宇明 : 省工商局这一块, 历届领导都很重视信息化目前省工商局信息中心, 作为信息技术管理部门, 归结起来, 最大的问题就是人的问题 : 人手不足, 更不要说人才, 这导致安全日志没人看没人分析第二就是经费悖论我们信息中心的状况是人少事多钱多责任大事情干不完, 钱很多花不完作为基层单位, 我们整体忙于具体事务, 所以很多困难长期存在希望专家学者安全厂商能多帮我们呼吁, 上下联动, 解决目前面临的困境学术人才还是工程人才? 中国网信军民融合发展联盟协同创新工作委员会理事北京易华录网络安全与发展研究所所长薛晓东主持了主题为我们最急需的是学术人才还是工程人才的讨论薛晓东介绍, 近几年, 从国家网信办包括教育部门都采取很多措施, 包括设立一级学科专业, 成立专门人才培养基薛晓东中国网信军民融合发展联盟协同创新工作委员会理事北京易华录网络安全与发展研究所所长地等等, 都做了很多工作尤其在产学研结合发展, 包括如何用创新的方式开展人才培训, 网信办等部门都有一些新的说法和鼓励措施广州信息安全测评中心郑宁 : 广州信息安全测评中心算比较专业的单位, 但是人才方面非常匮乏安全人才是我们信息化人才的塔尖, 但目前企业里面给的薪酬比较高, 所以导致体制内的单位留住人才难度很大作为专业机构, 我们一方面肯定要依托社会的力量, 把我们信息安全工作做好, 同时我们自己也要大力培养人才其次, 在使用安全服务外包方面, 完全依托于外包公司并不可取, 一旦出问题打板子的时候安全公司是不承担责任的出了政治影响的时候网信办约谈的时候不会约谈安全公司的深圳信息安全测评中心余晓斌 : 我们工作更多的对象是深圳市党政机关, 面向各个单位信息中心及其安全工作我们每年会对全市 70 多家, 大致对接走一遍我们发现存在一个很明显的问题, 就是同一个公司给不同党政机关做服务, 出来的效果完全不一样, 这就是人员素质的差异, 有可能是内部没有知识共享从招聘看, 现在一些毕业生基础能力还算比较强, 但知识体系非常陈旧, 现在信息安全技术发展太快, 他们没有及时了解最前沿的技术方法和工具我们自己感觉也跟不上, 考核的时候不能做到招来就能用因此, 从这一点看, 我们更需要的是工程人才广东省网络空间安全协会黄丽玲 : 近几年国内做了很多 30 互联网安全

33 Internet Security Insight 攻防比赛, 在人才培养方面, 发挥了很大的作用广东网络空间安全协会通过粤港澳台比赛, 让全球信息安全领域的华人有了一个新的纽带, 把大家联系到一块, 通过技术交流, 还有技能竞赛, 促进了大家互相之间的沟通和认识对于我们协会来说, 以民间的身份联络, 有其自身的优势, 相比政府出面做网络安全也会更加适合华南师范大学计算机学院院长汤庸 : 对于学校来说, 分为学术型人才和专业型人才作为学科来说, 肯定还是强调学术作为应用需求来说, 可能会提到一些新问题, 就需要技术解决, 因此从培养来说, 因人而异在学校里面, 有一些同学比较适合做基础研究, 就在基础方面做得多一点另外一方面就是工程方面多一点, 总体来看, 两类选择的学生在学校大概是一半对一半广东外语外贸大学信息学院院长蒋盛益 : 我们学校的信息安全相关学院实际是两块牌子一套人马, 一个信息技术学院, 一个是网络空间安全学院从人的健康医疗体系来看, 有几个层次 : 一个是治未病 ; 二是生病后, 买药自己处理或找专业医生, 并根据病情, 找不同层次的医生和医院在整个安全体系里, 某种角度可以类比, 首先就是需要提高全民网络安全意识, 其次是采取一些技术的方法而且在信息系统里, 做好安全感知主动防御很重要, 但不可能阻止所有的问题, 出问题是必然的因此应急响应同样非常重要南方医科大学网络中心郭文明 : 安全的问题主要是要解决两个问题, 四个字, 一个是创新, 一个是信任我们现在用传统的体制解决互联网网络创新的事业, 显得跟不上时代关于安全应急工作, 各个部门之间不配合, 或者总是用很传统的方法解决面临的新问题特别是人才培养方面, 同样面临巨大挑战第二就是信任问题, 我们在座的有企业政府网络中心用户, 大家怎么建立相互信任关系, 网络安全是国家战略, 这就要求我们内部之间必须首先建立信任关系广东工业大学计算机学院凌捷 : 人才培养需要有一个培养的体系, 但是信息安全或者说网络空间安全是没有的, 现在各方面正在构建从国家层面, 教育部的网络安全学科从上面往下建学校层面, 包括信息安全专业, 以及网络空间安全专业, 和数学专业计算机的各个学科都有交叉, 也都没有形成统一的培养方案还有人才评价体系, 现在也正在构建这里面涉及到网络信息安全里的偏才, 这些人才不是我们国民教育系列可以培养出来的, 也值得各级学校反思广东外语外贸大学谢建国 : 学校而言, 建设网络安全体系, 首先要构建校园网络安全体系, 从底层开始, 强身健体而目前芯片还有操作系统等基础软件, 都不是我们自主可控的, 存在一些问题第二, 该监控的监控, 该检测的检测, 该部署的安全软件也要部署第三, 建立规范的安全制度, 没有制度, 再多软件也没有用第四, 安全人才, 人才属于顶层资源, 非常关键在培养学生方面, 很多人才教学体系教学建设, 都是不对路的, 例如一些攻防类的教材可能属于禁书, 因为顶尖攻防技术其实是双刃剑广东工业大学网络中心徐小明 : 网络中心主任是一个危险职务, 刑法修正案九规定我们这个岗位如果出现某些问题, 依法处以三年以下有期徒刑如果想做好呢, 我们能做的是通过购买设备和引入专业人才做好安全防护而实际上我们职责在什么地方, 安全做到什么程度叫安全, 都是无法确切说清的网络中心主任还面临另外一个问题招人难, 虽然没足够的人, 但还要把工作做好互联网安全 31

广州站在安全运维上, 我现在都不知道网络中心的数据是不是被别人拿走了希望借助 360 等安全厂商的力量, 帮助我们提升相应的监测和回溯能力成立了 CISP 培训课程, 并推出 PTE 考试项目, 通过这个考试说明水平很高, 也就成为各个用人单位专业安全厂商都争抢的人才深圳大学信息中心主任王又民 : 高校学生首先是网络安全问题的受害者, 很多学校都有网贷被骗涉黄甚至涉恐,

34 广州站在安全运维上, 我现在都不知道网络中心的数据是不是被别人拿走了希望借助 360 等安全厂商的力量, 帮助我们提升相应的监测和回溯能力成立了 CISP 培训课程, 并推出 PTE 考试项目, 通过这个考试说明水平很高, 也就成为各个用人单位专业安全厂商都争抢的人才深圳大学信息中心主任王又民 : 高校学生首先是网络安全问题的受害者, 很多学校都有网贷被骗涉黄甚至涉恐, 甚至每年都有跳楼自杀的被公安部门抓捕的我希望在这个层面的网络安全上, 我们的政府机构甚至我们省教育厅最好能够出台一些相关的指导性意见, 便于学校领导和具体部门操作落实, 保护好学校的师生员工 5 月份省厅发的十三五教育信息化规划里, 提出以生均投入保证一定比例的信息化建设, 各级政府部门也应从这个思路出发, 尤其在政府财政比较好的城市里, 建议按照 GDP 比例保证信息化和网络安全建设, 这样可以指导我们技术实践部门, 用非常长远的眼光看待网络安全问题深圳市经信委副处长邓中 : 永恒之蓝事件说明网络战已经开始了, 天天就在我们身边应对网络安全, 应该有战略有战术有部署战术, 应该有顶层设计, 不能错误理解顶层设计 : 顶层设计应该从上面感知, 从大脑中枢神经感受到并传递给末梢神经, 这样的顶层设计才是打造到位的顶层设计其次要有实施方案有具体部署网络安全法要把它真正贯彻好落实好, 要有实施方案行动计划督查办法, 要有整改落实, 还要有评估反馈研讨会主持人何新飞 : 网络安全人才, 这不是靠打嘴炮打出来的, 要有实战锻炼我们希望几位大学老师把有兴趣的学生或者有技术专长的学生引导到补天平台, 即引导学生正确进行安全研究, 同时还可以获得相应的经济报酬, 以及和行业内技术人员多多交流我们和国家测评中心专门合作总结发言蔡旭广东省公安厅网警总队副总队长关于永恒之蓝美国一小小的武器, 把我们搞成这样子, 说明人家是非常尖端的核心技术尖端技术关系到人才, 有人才了就可以研发这些东西出来, 所以人才需求非常迫切今天召集这么多专家教授过来, 共商这件事情, 我觉得非常有意义关键信息基础设施的保护工作, 我个人认为离开公安没有办法做没有打击的力量, 对攻击者根本没有震慑力没有哪一个国家, 可以离开这一国家暴力武器或者国家机器其次, 永恒之蓝显示了国家与国家之间的博弈这个挑战对我们来说, 非常紧迫另外一个挑战, 就是人手不足在上述形势下, 我们准备在广东做网络安全罩计划, 分为三个层面 : 一个是面向政府党政机关的, 第二个就是面向重点行业的, 比如说教育海关卫生等等一些大的行业三是普通企业做零散的安全罩, 引导他们到电信机房统一托管安 32 互联网安全

进行了研讨研讨会由 360 企业安全集团云桂大区总经理朱强炜主持朱强炜 360 企业安全集团云桂大区总经理法制环境下行业网络安全的挑战及解决之道中国传媒大学副教授观潮网络空间论坛专委会专家徐培喜主持了法制环境下行业网络安全的挑战及解决之道的圆桌讨论他认为, 现在网络安全渗透到生活的每个细节,

来自一些国家的网络攻击无孔不入, 但是很多业务人员埋头干活, 但可能不知不觉就犯错了, 因为不知道国家要求, 法律要求政策要求, 而且不懂怎么操作怎么去使用, 这就靠我们去宣传了, 而且我觉得应该从维护国家安全信息网络的角度去宣传第二管理党政机关有涉密网络也有非涉密的, 这些网络的管理靠什么, 靠管理

35 Internet Security Insight < 南宁站 > 广西安全专家纵论安全赋能与体系创新 9 月 22 日, 中国互联网安全大会 (ISC2017) 中国行之行业网络安全专家研讨会在南宁举行, 来自广西地区的网络安全相关政府主管部门领导, 以及政府机关教育金融等行业的安全专家网络安全学者代表就数据驱动安全赋能助力政企安全创新进行了研讨研讨会由 360 企业安全集团云桂大区总经理朱强炜主持朱强炜 360 企业安全集团云桂大区总经理法制环境下行业网络安全的挑战及解决之道中国传媒大学副教授观潮网络空间论坛专委会专家徐培喜主持了法制环境下行业网络安全的挑战及解决之道的圆桌讨论他认为, 现在网络安全渗透到生活的每个细节, 并且涉及到政治经济军事外交等各个方面徐培喜中国传媒大学副教授观潮网络空间论坛专委会专家李冠健广西区党委保密局网络安全法的出台具有非常积极的战略意义对法律怎么落实, 我结合一线的实践经验, 讲落实的四个环节 : 第一, 做好安全保密的宣传教育我们国家现在的网络安全非常严峻, 来自一些国家的网络攻击无孔不入, 但是很多业务人员埋头干活, 但可能不知不觉就犯错了, 因为不知道国家要求, 法律要求政策要求, 而且不懂怎么操作怎么去使用, 这就靠我们去宣传了, 而且我觉得应该从维护国家安全信息网络的角度去宣传第二管理党政机关有涉密网络也有非涉密的, 这些网络的管理靠什么, 靠管理一个是靠落实制度, 落实法律, 落实标准另一个是落实到具体单位具体操作人员, 让标准变成可操作的制度可操作的程序和规范第三, 强化监督检查, 包括运行监测, 对网络空间安全的态势监测第四, 对危害网络安全的事例案例曝光, 对不作为或者乱作为, 才能起到震慑的作用, 不是说说而已广西工信委信息安全协调处副处长李汉南 : 目前工信部组建工业信息安全发展研究中心, 表明工业安全是目前工信委主抓的事情 2017 年 8 月我们组织了工信系统的安全态势的分析和安全法的学习, 广西也在工业安全这一块做好, 也是工信委未来工作的方向人才培养高校与企业合作, 这互联网安全 33

36 南宁站些建议也都非常好, 符合网络安全法的原则方向广西出入境检验检疫管理局信息中心廖晓雄 : 广西地区两会一节每年我们都参与, 对网络与信息安全一直比较重视网络安全正式实施前, 我们请来了广西安全网的有关专家领导到单位作网络安全培训讲座, 很受欢迎网络安全法 6 月 1 号颁布实施, 我们搞了一个专题, 包括网站和宣传栏目上, 进一步加大对宣传教育在具体操作层面, 根据法律的要求, 广西重新修订网络安全管理办法, 改变了以前多个管理办法交叉严重的局面总体而言, 做好安全状况我觉得有两方面 : 一是培养自己的安全人力, 内部重视网络安全 ; 二是网络安全人员以及技术都缺乏今天参加这个会非常有意义, 一个是结识大家, 另外就是我们这边有什么困难需要专家帮助的时候, 也请大家伸出援手, 因为我们压力也比较大广西海事局信息中心王翔 : 作为监测单位, 我们对当前网络安全的状况和威胁形势很清楚, 我们部里面要求一分钟响应, 比如网络出了问题, 网站内容被篡改, 必须在发现之后立刻下线, 做到时间以分钟计算我们单位已经实行 24 小时值班制度,24 小时保障网络安全我们靠设备不专业的人和运气来躲避攻击者虽然做了预案规划, 但是依然压力很大希望安全厂商可以多提供技术支持与支撑, 主要是缺少专业的队伍, 例如在攻防能力上, 没有实践的演练, 能力和水平都缺乏 ; 而且我们公职人员不像企业里面的专业技术人员, 逐步提升技术上的层次这些短板的解决, 离不开安全公司, 如 360 等企业, 可以提供驻场服务来弥补机关里面人力的不足 360 企业安全集团产品副总裁左英男 : 不仅海事单位, 我们在各地都遇到客户提出这个问题, 所以我们这次为什么讲数据驱动 2.0, 而且把人提到核心地位因为我们看到很多政府单位有驻场服务, 不管是常规的还是突发的, 而且是非常迫切的需求因此我们一方面自己也在着手建立和提供类似的服务, 包括运营应急响应等安全服务, 包括使用工具和手段去简化人员能力和素质的要求 ; 另一方面, 从长远考虑,360 还和一些高校, 尤其是本地一些服务型公司合作, 建立合作机制就目前的人力供给来说, 远远不够满足巨大的行业市场的人力需求, 所以现在我们面临巨大的压力, 无论是人员, 培训还是训练, 加上配套的工具性技术和产品 360 会毫不保留地帮助政企客户加强能力提升队伍, 这方面肯定是毫无保留! 广西信息安全测评中心杨雪君 : 我是从 2005 年开始从事信息安全方面工作这几年安全形势的转变, 从信息安全建设方面看, 党政机构的安全建设水平最好, 其实是国企, 最弱的部门是高校, 工控系统如何落实法律法规, 我谈几点看法第一, 贯彻和落实网络安全法的第一步是宣传教育第二, 检测评估促进制度的落实工信部门 2009 年就开始做重要信息系统的安全检查通过从 2009 年到现在的评估检查, 使整个网络安全工作有很大的提升第三, 等保分保等制度标准成为工作抓手网络安全法要落地必须通过一些抓手现在工信部提出防护指南, 已经发展成为第三防护体系随着形势的发展和需求的与时俱进, 等保分保原有一些技术管理措施显得滞后, 需要补充完善比如要结合网络安全的新技术新发展, 需要在上述制度规章中体现, 不断升级适应新的安全要求和防护要求广西公安厅科信总队黄国强 : 网络系统的安全问题也是越来越突出, 实际上公安部门的相关文件也是一大堆, 关键在于落实安全建设和保障我们目前也非常关注数据的安全, 希望以 360 为代表的安全厂商, 能够有一些针对性的解决方案南宁市网信办副主任彭锦民 : 当前的网络安全法制环境, 实际上指的是网络安全法和相关法律法规的出台, 我们行业网络安全怎么去做之前, 有很多企业学校, 认为我的网 34 互联网安全

37 Internet Security Insight 络受攻击是我自己的事, 跟政府跟社会没关系, 但现在就不一样了根据网络安全法第 21 条, 机关单位必须按照网络等级安全保护去做, 第 34 条则规定关键信息基础设施的运营者有义务做, 而且法律规定必须重点保护不按照法律规定的来做, 肯定是违法 ; 出了事, 还要罚款甚至追究法律责任, 而不仅仅是机构内部的事第二个面临的问题是人手缺技术缺人手不够的问题是由于编制不够, 加上技术更新很快, 公务员单位又不能增编这就促使政府不得不思考, 如何将专业的工作交由第三方来做我觉得政府采购安全服务也将是未来的趋势南宁市公安局网安支队梁欢庆 : 我曾在鉴定所法制大队都干过, 接触过具体案件, 我讲几点看法首先是环境的问题永恒之蓝勒索病毒的爆发集中体现了外部网络安全的形势给我们的感觉是像打了一场世界大战,360 的兄弟们支撑了整个南宁的战役在一带一路的时间节点, 这个大背景下的网络安全工作, 又是一个全国的状况, 政府所有的办公网络又不能用, 有些单位的所有计算机也不能用可想而知, 当时我们的工作的困难很大, 熬了整个通宵, 然后是 360 把准备的杀毒软件送到市政府, 然后给各单位送过去其次, 我们对内外部的网络安全状况的原因进行分析, 可以看出, 内部存在认知不到位的问题, 而外部的诈骗欺诈威胁已经到非常泛滥的地步第三, 意识的问题很关键我们的很多党政机关企事业单位领导对网站系统信息网络的认知不足, 重视不够, 对于网络被攻击没有隐患意识, 对网络攻击带来的影响, 特别是对国家对政府造成的损害他没有意识到 2014 年习总书记提出没有网络安全就没有国家安全, 提到这个高度去认识网络安全, 大家就懂了, 个人意识也上来了南宁市公安局科信处黄锐 : 在推进信息化建设和应用过程中, 大家可能都知道网络安全的重要性, 但是具体落实到工作中, 我们会面临各式各样的现实问题我主要谈一下在城市信息化与网络安全建设方面存在的矛盾比如说 : 我们需要打补丁, 打补丁是最基本的网络服务, 最基础的安全措施, 但是有多少台管理服务器能及时打补丁又比如说每年我们都会开展很多次网络安全检查, 出的安全整改报告, 有多少服务器能按照检查整改报告来打补丁在网络安全与应用出现矛盾的时候, 妥协的一方往往是网络安全, 也就是说网络安全给应用让步, 追根溯源是我们对核心技术的掌控力度不够, 缺少发言权大家都知道国内操作系统和硬件使用国外的芯片为主, 在永恒之蓝爆发时我们是多么无能为力, 永恒之蓝爆发只是冰山一角, 真正的攻击入侵我们怎么去防御? 所以建议安全厂商开发产品的时候, 能基于我们的核心技术开发, 不能光做一些噱头, 而是要扎扎实实对一些安全问题进行研究, 比如网络协议的安全防护, 这应该是我们着重要去做的一件事情网络安全新常态下的人力难题及破解之道补天漏洞响应平台负责人白健主持了网络安全新常态下的人力难题及破解之道的圆桌讨论白健补天漏洞响应平台负责人网络攻防的本质实际上人才的竞争, 我想先问一下几个用人单位, 希望用人单位领导分享一下用人和招人方面的心得我们中心刚刚成立不久, 人手是比较少我的处室只有 1.5 个人, 有半个人做其他事近两年想招募人员进来, 但是由于体制和薪酬人员招不到人才, 或留不住人才关于网络安全人才培养问题, 不仅招人难, 缺人才, 而互联网安全 35

38 南宁站且培养学生的师资力量也很欠缺, 所以说我们人才缺口是全方位的广西总工会信息中心焦源 : 关于人才体系如何建立, 360 已经在探索, 和大专院校一起从学科专业门类入手, 包括师资力量的培养, 逐步找到一条路子最好, 在这里要感谢 360 多年来一直长期的免费的无偿为我们信息化建设进行安全支撑保护, 随叫随到因为我们人手比较少, 技术比较欠缺, 即使这样, 从等级保护, 到安全评估, 应急响应等, 都给了我们很大的协助广西人社厅信息中心利林 : 我们人社厅得益于国家金保工程的支持, 加上信息化工作建设比较早, 我们在安全方面的建设和支持投入力度也很大人社厅信息化公司的人员以信息中心为主, 共有 8 个编制, 还外聘二十多个信息化技术类的技术人员我们属于财政拨款单位, 得到了历任包括现在领导的大力支持, 为我们从财政上尽可能争取到较充足的经费保障, 让我们信息化技术人员队伍得到相对的健全和完善组织上的保障也比较健全根据相关要求, 在厅信息化领导小组的基础上, 专门设置信息化安全工作小组, 也就是说机构方面有专门的机构, 由区领导担任主要领导, 具体职能落在信息中心其实信息化涉及的面很广, 我们自身的技术力量和对信息安全的认知上, 跟各个企业和单位存在的问题是一样的, 也是人才缺, 技术弱特别是网络安全对专业性要求还是很深的, 不是说普通的信息化技术人员就能够作为安全技术人员使用国海证券公司林华 : 我们公司专门从事信息安全的人不多, 总共就两个半而已, 但需要维护的 IT 设备规模有近三千台实际上有一个机制, 来分层负责, 一个人负责的数量是有限的我们在其中起的作用是, 第一尽量把日常的工作分到下一级管理员身上, 为我们做一些基础简单的安全工作, 比如说定期改改密码特殊情况下, 也做一些技术含量高得活儿第二, 建立统一高效的组织架构我们中心把安全组织架构定义好, 同步给各地分支机构, 每个分支机构都有自己的 IT 人员, 充分调动不同分支机构人员的积极性第三, 正在逐步考虑安全外包面对海量黑客, 甚至国家级攻击类型, 我们个人能力显得薄弱, 也在考虑安全服务外包网络信息安全等级保护测评有限公司韦博华 : 我们属于等保服务行业, 对信息安全人才的要求还是比较高, 同样面临人难招的问题等保作为基本国策, 各个单位在加大力度实施等保, 对相应人才的需求在增加现在各个单位业务安全, 专业化要求高, 安全人才专业程度要求也越来越高, 这就造成人才更加稀缺广西地区本身在国内, 存在薪酬待遇不高的问题, 加之企业培养人的成本和周期, 往往培养出来的人才会流出到外省, 希望今后能和学校加强合作, 改善目前的状况桂林电子科技大学计算机与信息安全学院丁勇 : 我们学校原来是信息产业部的院校, 在信息化方面有一些传统和积累关于人才培养, 我认为存在几个问题 : 第一, 人才培养周期比较长, 过程中必须有兴趣驱动第二, 人才培养出来, 是正向的还是反向的, 思想政治方面的引导也是不容忽视的问题第三, 师资缺乏整个行业都说人才缺, 但培养人才的人才更缺在校企合作上, 我们很想加强和企业的培养和合作, 但碰到很多问题 : 一方面桂林没有相关的企业, 哪怕开个分公司都没有另一方面, 我们通过购置实践平台和产品, 但没有和企业真正建立联系, 最后变成一锤子买卖, 企业卖设备给我们, 卖完就和我们脱离关系其实我们希望企业除了卖设备之外还能提供服务给我们, 包括给老师学生培训, 建 36 互联网安全

39 Internet Security Insight 立更紧密的关系广西大学计算机与电子信息学院李道丰 : 在人才培养方面, 我有一些感触 : 第一, 在培养过程中, 高校真正懂得攻防的太少了, 造成现在师资紧缺的局面第二, 教指委制订的课程适合企业实践的课程很少针对这样的情况, 广西大学也采取了一些措施, 加入实践性强的教学内容第三, 来找我们的企业很多, 但很多都是卖完设备就走人了, 丢了一大堆在实验室里面在加强培养方式转变方面, 我觉得可以有三点建议第一, 源头培养 : 从安全专业意识认识基础技能这一块抓起 ; 第二, 过程培养 : 注重的是实战的培养, 包括渗透逆向木马木马分析 ; 第三, 培养检验, 也就是比较注重实践测试, 而不是像外面很多是给一个证书, 盖一个什么部门的证书就完事了南宁职业技术学院信息工程学院易著梁 : 南宁职业技术学院学生有两万三千多人, 老师 99% 都是硕士以上我们信息部学院来说, 学生的质量还是比较好的但也有一些问题 : 第一 : 学生目标不明确第二 : 缺乏爱岗敬业的老师, 主要是专业的踏实的信息安全领域师资队伍缺乏后来, 我们建立了学生工作室, 学生接到企业任务以后, 会把课程置换, 可以安心去企业做事情广西信息安全学会秘书长李木生 : 我们去学校调研过, 感觉学校培养过程中考虑的问题是培养的学生往哪里走, 往哪里培养三年的调研有几点发现 : 一是高校需要企业作方向引导 ; 二是高校需要在技术上获得支持 ; 三是一些高校不允许学生做攻击的情况下, 企业有什么办法帮他们搭建平台, 设备也好, 课程设计也好, 实践设计也好, 我觉得高校需要企业的支持高校和企业的合作空间非常大我们学会能想到的办法就是通过网络安全竞赛, 发现人才和适当引导此外, 很多家长并不理解和支持自己孩子从事信息安全学习或工作的意义和前途, 造成一些很有潜力的孩子出现家人阻止进入信息安全行业的案例信息安全也需营造相应的社会氛围总结广西工信委信息安全协调处副处长李汉南对本次研讨会做了总结发言李汉南广西工信委信息安全协调处副处长网络安全法实施以后, 大家工作方向清晰很多大家面临有很多压力也有很多痛点, 现在网络安全是永恒的话题, 事前事中事后怎么做事前, 我们有很多方案 ; 事中最突出, 刚才有领导说 3 点钟打报告 5 点钟批的, 事中有很多来自一线的危机 ; 事后怎么解决刚才专家提出了很多建设性的方案这次会议特别成功, 希望提出的很多方案, 在广西能够真正落地, 有所成效, 解决各位的问题我觉得有了安全法以后, 人人参与的氛围已经在形成, 刚才有一个专家群主都得有担当, 说明网络安全不仅是国家层面社会层面, 还涉及到个人层面希望通过会议, 探索人才培养有效模式, 满足企业政府对人才的需要 ; 更好的落实网络安全法, 让大家意识到所在岗位的责任和担当, 非常感谢, 我自己今天也学习很多, 再次感谢组委会安互联网安全 37

< 重庆站 > 重庆 : 安全专家探讨破解难题协同创新之路 10 月 13 日, 中国互联网安全大会 (ISC2017) 中国行之行业网络安全专家研讨会在重庆举行, 来自重庆地区的网络安全相关政府主管部门领导, 以及政府机关司法教育金融

观潮网络空间论坛专委会专家徐培喜主持了法制环境下行业网络安全的挑战及解决之道的圆桌讨论徐培喜中国传媒大学副教授观潮网络空间论坛专委会专家吴勇军重庆市网信办副主任重庆市委网信办从 2016 年开始承担网络安全监督管理职能从个人角度, 结合具体工作,

在当下显得非常迫切第三, 网络安全既是管理问题, 也是产业问题网络安全产业是网络安全事业重要保障和物质基础我们鼓励和支持网络安全企业做大做强, 一流的网络安全企业可以支撑中国的网络安全保障走在世界前列如何推进网络安全工作, 我提出几点看法第一, 前提

40 < 重庆站 > 重庆 : 安全专家探讨破解难题协同创新之路 10 月 13 日, 中国互联网安全大会 (ISC2017) 中国行之行业网络安全专家研讨会在重庆举行, 来自重庆地区的网络安全相关政府主管部门领导, 以及政府机关司法教育金融运营商等行业的安全专家网络安全学者代表就数据驱动安全赋能助力政企安全创新进行了研讨研讨会由 360 企业安全集团川渝大区总经理范冬梅主持范冬梅 360 企业安全集团川渝大区总经理法制环境下网络安全的挑战及解决之道中国传媒大学副教授观潮网络空间论坛专委会专家徐培喜主持了法制环境下行业网络安全的挑战及解决之道的圆桌讨论徐培喜中国传媒大学副教授观潮网络空间论坛专委会专家吴勇军重庆市网信办副主任重庆市委网信办从 2016 年开始承担网络安全监督管理职能从个人角度, 结合具体工作, 谈几点对网络安全的认识 : 第一, 网络安全是新问题, 也是老问题解决网络安全问题, 既要用新办法, 也要考虑一些传统办法 ; 既要用创新思路, 也要延续过去优秀传统的思维第二, 网络安全既是技术问题, 也是意识问题不过, 网络安全意识的宣传, 在当下显得非常迫切第三, 网络安全既是管理问题, 也是产业问题网络安全产业是网络安全事业重要保障和物质基础我们鼓励和支持网络安全企业做大做强, 一流的网络安全企业可以支撑中国的网络安全保障走在世界前列如何推进网络安全工作, 我提出几点看法第一, 前提网络安全的前提就是要发现网络安全问题, 以问题为导向是我们推进网络安全最有力的路径第二, 底线要防止因网络安全带来不可控的成本, 带来不可接受的成本, 这是我们的底线第三, 高线高线是要实现自主可控, 但自主可控要有更加科学的判断认识和实现的路径, 需要保证既不会保守封闭, 又不会留下无限安全隐患 38 互联网安全

41 Internet Security Insight 第四, 策略包括谋求杀手锏技术手段的威慑平衡建立共享的技术支撑平台带动产业化发展发动社会全方位的网络安全意识宣传教育着力搞好网络安全的关键一环人才培养与人力保障体系的完善最后, 网络安全是最好的大数据方向网络安全大数据也是非常高质量的大数据, 利用大数据来解决推进安全, 是未来非常值得探讨的方向重庆市机要局处长俞永正 : 网络安全法对重要部门的关键信息网络, 定位为关键信息基础设施我从个人角度来谈对网络安全法的一些理解第一, 网络安全法推出以后, 社会上下都比较认同, 而且反响都非常的热烈积极第二, 信息安全的产业环境越来越好包括专门从事信息安全的企业越来越多, 产业环境能够支撑企业的发展壮大第三, 落实网络安全法, 一方面, 是国家顶层设计从上到下实施的过程 ; 另一方面, 随着信息安全环境产业环境逐步好起来, 企业主体, 个人主体, 以及社会主体都能很好地参与, 发挥作用, 自下而上的拓展落实国家保密局科技测评中心重庆分中心总工邓禄勇 : 保密局遵循的分级保护方法是国家网络安全保护的重要部分, 与等级保护构成有机的整体网络安全法第 77 条也做了明确要求, 在法律的基础上还要遵守保密的相关规定基于议程, 我谈几点认识第一, 关于网络环境很多单位使用隔离网络, 但对安全认识不一物理隔离还包括一系列管理和技术措施, 主要体现在整个过程管理第二, 一些县级机关存在畏难情绪, 后续持续安全运营也跟不上, 缺少相应的机制建设没有严格落实法律和网络安全管理相关责任制, 这将导致管理防范水平下降第三, 建立网络感知系统, 加强对网络管理人员的培训力度, 促进网络管理的升级, 这些需要各部门行业还有高校安全企业, 一同参与努力重庆市教育考试院信息处副处长李健波 : 网络安全建设一般包含技术和管理两个方面作为教育行业, 我们在实际应用当中, 现在强调三分技术七分管理, 而不是三分管理七分技术我们单位的技术人员非常有限, 做网络安全的更有限我们现在做的主要以管理工作为主, 技术工作交给 360 等专业公司在横向上, 和网络安全职能部门进行一些技术交流或信息资源共享其次, 我比较关心大数据的安全, 云计算环境下的安全怎么做, 包括政府的很多服务系统也有大数据的采集集中存储, 因此如何感知威胁主动防御, 成为当务之急重庆市卫计委信息中心张远鹏 : 我在卫计委负责网络安全, 从事网络安全有 9 年时间我谈一下自己的观点第一, 网络安全环境现在网络安全环境只能说叫相对安全中国的操作系统和软件都受制于人, 不能主动进行防御第二, 落实网络安全法卫生部门这边在做行业的通报中心, 是向重庆市公安局申请的重庆市网络与信息安全卫生领域通报中心, 履行卫生行业通报职能下一步还会建立卫生行业网络态势感知平台, 即使发现应用系统里的风险, 这都是响应网络安全法里关于监测预警风险感知的制度要求第三, 行业内网信建设介绍我们卫计委从 2011 年按照国家的部署, 建设了四级三分支网络, 但专网设计之初缺乏顶层安全考量,2017 年初终于制定安全接入规范, 要求各个区县卫计委及其直属医疗机构, 相关的民营医疗机构以及第三方公司, 必须按照设计的网络安全规划进行规范性接入重庆税务系统龙江 : 我以前在区局工作, 没有专门的安全岗位, 负责安全的人实际上就是管计算机网络的人到了市局这边, 以前叫信息管理中心, 现在专门设置了安全科互联网安全 39

42 重庆站第一, 目前网络安全环境在好转我们做安全工作的人, 从 2016 年开始就感觉忙, 非常的忙各级部门各个上级经常会有很多的检查, 大家忙而且压力非常大第二, 根据网络安全法, 国家税务总局提出三同步的要求, 同步规划, 同步建设, 同步使用我们以前的一些信息系统项目根本就没有考虑这个东西, 现在是一个硬性规定 : 只要是 2017 年上的所有的信息系统一律要满足三同步的要求从最先的规划立项, 定级, 然后在开发过程中源代码检查, 漏洞检测, 第三方公司渗透测试, 最后要签订责任书需求单位作为运行管理的单位必须签订责任书, 完成之后, 系统才能够上线运行第三, 业主主体责任让网络安全部门的工作变得好推了领导高度重视网络安全工作, 提出业主主体责任的概念业务主管部门的主体责任以前安全都是由我们技术部门来推, 现在业务主管部门才是真正的主体, 现在考核明确了, 技术手段也上了, 规章制度也有了第四, 关于安全体系升级和适应新监管制度这一块, 我们自己人都在谈, 安全无止境, 我们正在按照总局的五年规划, 制定自己的信息安全工作规划重庆计算机安全协会副秘书长林已杰 : 首先, 现在的网络环境是机遇和挑战并存, 这是一个最好的时代, 也是一个最差的时代其次, 对国家网络安全法, 我觉得关键的制度有两个, 第一是等保制度, 第二是监测预警和通报制度, 这两项制度是承上启下的第三, 我们立法完善制度, 落实规划, 最终是为了提升能力包括行业的能力, 有安全保护的能力, 有运营商的保护能力, 还有产品服务提供商能力的提升, 还包括社会应急响应能力的提升西南证券刘洪 : 在自身安全建设上, 西南证券公司专门成立了相关的部门负责信息安全建设和管理在加强规划基础上, 吸收金融企业的先进运营管理经验, 并保证每年几百万的资金投入从外部看, 网络安全法的颁布, 希望有进一步更细化的管理细则, 并且能再加快一些出台其次, 从监管的角度, 西南证券是国资背景的企业, 我们依然缺乏一个明确的基线安全的标准要求第三, 网络安全是综合治理的事情, 有公共安全的特点, 公共的基础安全服务却没有做到位政府应支撑电信运营商提供相关的安全服务, 为社会一般企业提供第四, 强化全社会网络安全意识一个方面是防范意识, 另一方是, 国内网络犯罪成本, 到目前来说还不够高, 从国家方面来说的话, 建议从惩治角度增加对网络违法犯罪的威慑中国电信重庆分公司张晓锋 : 从企业角度, 我们非常重视安全中国电信集团从 2015 年开始, 我们对网络安全有了非常深刻的认识, 从集团层面成立了网络安全运营中心, 包括省公司层面均成立了这个机构从个人角度, 谈谈三点看法或意见第一, 促进政策法规的完善和细化第二, 实际上是人的问题, 人是最核心的生产力, 尽可能多的培养安全人才第三点就是加强合作, 包括产品合作, 企业合作中国联通重庆分公司周亮 : 信息安全领域可能需要一些主管部门, 比如工信部网信办, 联合运营商来统一做比较大的防御体系其中不可忽视的还包括专业安全公司的专业能力积累与经验运营商在网络安全方面缺少专业公司的氛围, 我们平时就是做一些攻防演练, 但没有面对真正的安全事件运营商里负责安全的相关专业人员, 必须要跟专业安全公司进行深入的合作, 利用他们的经验, 再结合运营商自己的优势, 把安全做上去 40 互联网安全

43 Internet Security Insight 网络安全新常态下的人力难题及破解之道重庆邮电大学网络空间安全实验室主任赵长江主持了网络安全新常态下的人力难题及破解之道的圆桌讨论赵长江重庆邮电大学网络安全实验室主任习近平总书记提到了网络空间的竞争归根到底是人才的竞争, 网络安全法中提出国家要支持企业高等院校职业院校开展网络相关的教育和培训, 很少有一部分法律把法律本身的宣传和教育提到法律里面去网络安全法不仅规定了我们要加强宣传, 同时也规定了国家要支持相关的教育和培训, 我们国家目前网络安全人才在培养方面比较薄弱, 需要一部法律强调这个事情, 并且政府部门来大力的推广重庆市人民检察院检察技术处处长田渝 : 检察系统的网络分两块, 一个是分级保护网络 : 在国家保密局的指导下, 从最高检到地方检察院的网, 严格实施分级保护标准, 并通过保密局现场测评第二个是接入互联网的网络, 主要是搭建互联网网站, 具体联系专业公司负责集中开发维护网络安全法出台之后, 首先, 互联网业务主体责任更加明确, 责任压力更重, 我们有一个说法一级开发四级使用, 更多依赖市里对安全有总体部署与平台, 下级部门就根据市里指导统一去做就行了其次, 希望市里面加强对技术队伍的专业培训很多技术人员进入体制内, 技术交流的活动就少了, 希望这方面能够加强重庆市高级人民法院信息技术管理处副处长张伟 : 重庆高级法院的网络安全建设最近才起步, 还存在很多问题, 例如经费保障, 重庆法院信息化的建设费用没有纳入财政年初的统筹规划, 安全经费方面的保障没有到位在人力方面, 安全技术人员也是比较缺 ; 其次是网络系统, 法院系统只有隔离网, 受到攻击的可能性相对小一点做好网络安全, 首先是安全体系的顶层设计要做好 ; 第二, 用户单位购买产品和服务, 做好常态化的安全运营 ; 第三, 用户单位通过跟专业安全厂商的协同, 提高自身积累沉淀第四, 人员培训方面, 可以借鉴司法考试的模式, 建立网络安全人员的考试机制重庆市公安局李涛 : 网络安全法明确提出有一个非常重要的概念 ; 网络安全是整个空间的安全, 而并不仅仅是传统所说的网络技术与管理的安全整个网络空间划分越来越细, 越来越清晰, 按照现在法律法规的要求, 国家层面必须建立安全的基本制度, 也就是等级保护制度和通报制度行业主管部门要统筹制定行业的要求和标准, 包括真正细化深入有效的开展工作, 但都是在等级保护这一底线要求的基础上做深化强化为什么说是底线呢,2017 年 6 月份我们办的全国第一例违反网络安全法案件, 就是没有落实日志记录和相应的要求这些问题都需要行业部门加以考虑重庆大学计算机学院党委书记熊忠阳 : 人才缺口在 70 万, 这么大缺口怎么办? 人才怎么培养? 首先, 就是加大对专业网络安全公司扶持的力度, 由专业公司提供专业化的服务以重庆大学为例, 几万人的校园只有 2 人负责网络安全, 重庆大学采取一个非常好的办法, 互联网安全 41

44 重庆站用钱买服务, 委托专业公司来对学校的网站网络设备进行全方位的服务其次, 加大现有人才的培训培养的力度像计算机安全协会专业的公司都可以成立专门的培训机构来对现有的人员进行专业的培训关于培养模式的问题这两种模式都有弊端都有利好, 蓝翔技校只能从事简单的工作, 高端的人才培养还需要高校在改革现有培养模式的前提下提高培养质量高校现有培养模式体制不能很好适应现在网络安全的形势, 要设置新的学科新的专业, 甚至要扩大招生人数, 会受制于各教育主管部门的审批重庆大学计算机学院现在也有信息安全专业, 但每年的招生只有 60 人在专业课程的设置上, 高校也有很多不适, 教育部不允许做任何的变革, 在网络技术迅速发展的今天, 很难适应现在的需求现在教学方法上重理论教学, 缺实践教学 ; 在师资队伍建设方面, 高校师资队伍非常欠缺就招生规模的情况, 学校正与产业界寻求合作突破口还有是与企业合作成立大数据安全的研究中心, 不断的提升科研人员的水平重庆邮电大学陈龙 : 我们学校信息安全专业, 目前本科已经是十几年了, 培养十几届学生现在新学院的名字叫网络空间安全与信息法学院首先谈一下教育培养体系我们要重视实践教学, 但技术更新非常快, 实践教学设施更新往往跟不上其次是高校师资的问题一方面需要希望企业或行业中有经验的专家当兼职老师, 另一方面, 也要引进先进的人才第三是培养模式培养模式涉及到高校定位和学生的定位我们和协会共同办的重庆市网络空间竞赛, 对学生实践有相当大的帮助在合作模式上, 我感觉到需要行业企业, 包括高校以及政府部门, 建立多方协同合作的模式来解决人才培养中的问题, 为社会输送更多实用人才以及特殊的顶尖人才等重庆警察学院唐苹 : 我分享下专业建设和工作中的一些思考首先是,70 万人才缺口我们想培养 70 万, 在一些实际案件过程当中, 很多违法犯罪的嫌疑人, 都是搞技术的在人才培养方面, 对人的教育真的是首要的第二, 高校培养模式和蓝翔技校培养模式, 哪个更适合中国网络安全现状? 蓝翔技校培养的专业性人才针对性强, 但后劲不足, 知识结构可能有缺陷高校培养的人知识结构体系比较完整, 但针对性不强我们学校是 14 年才成立信息安全系的, 成立得比较晚, 我们和网安总队进行结合, 我们把学生组成专业班, 送往网安总队的舆情情报分析大数据等岗位锻炼, 发现知识体系欠缺的, 就会在课程当中增设选修课, 有针对性的为网安队伍培养人才, 学习目标很明确这个模式当然有网安总队这边的需求, 也是借鉴了国外的一些成功经验如果企业高校等谋求合作, 就需要企业提早进入, 学校主动的融入, 这是可以尝试的方法, 去缩短人才培养的时间, 不断满足社会需求重庆工业职业技术学院徐益 : 我们在人才培养过程当中几个关键性的, 第一个是师资的问题, 比较缺高水平的教师第二, 学校的机制不健全, 没有为主动学习创造好的条件第三, 从教学内容和学校材料来看, 很多是滞后的教学内容滞后于行业企业的发展, 滞后于网络安全的实际关于教学模式, 像重大重邮适合高端人才的培养我们这类学校, 更希望企业, 尤其是 360 这样的知名企业跟我们合作, 培养出对口又能保证质量的大量的实用性人才 42 互联网安全

45 Internet Security Insight 物联网公司代表伊子龙 : 我们主要是按照上级部门的要求进行安全管理规范的落地和实践, 感觉做的是一些救火的工作理想的状态是, 信息安全工程师应在项目前期及整个项目开发全生命周期里, 参与到架构设计代码安全检查, 从整个项目的网络安全应用安全以及终端安全三方面来整体把握, 把信息安全的工作从被动救火转变成主动作为在人才培养方面, 我有一个不太成熟的想法, 在计算机专业软件工程嵌入开发芯片开发等的课程设置中, 更多融入信息安全方面的课程, 让整个 IT 产品领域, 从事开发的工程师都有一定的安全积累, 这样从事信息安全的工程师, 能对系统安全性有更好的更整体性的把控重庆信息网络安全学会王建 : 目前人才需求上, 我们往往只关注高端人才, 但大量基础应用或是中底层人才被忽略了, 而这是社会对网络安全人力的主要需求其次, 我们国家人事部门对信息安全的从业者资格的认定, 职称评定等方面, 公安工信国安质检总局都在弄, 但没有清晰的体系第三, 我们还要重视安全意识问题, 对安全要有底线的思维和认识信息化程度越高, 依赖程度越强, 对安全的重视程度会越高第四, 人才培养的问题要立足行业用户单位或者专业服务机构的培养学校还是重心在基础理论基础的技术上, 产校的结合, 应用单位和服务机构的结合, 这是一种思路, 可以更多增加应用的比例成分最后, 充分应用社会资源, 包括行业协会, 积极参与标准制定, 规则引导, 调动社会各方面的积极因素来做好这个安全成国家的大事在进行推进现在的网络环境应从上层结构开始趋于正常化, 比前十年的情况要好很多第一关于人才缺口, 所有的企业都讲各类人才都是稀缺的第二技术的自主可控也必须关注技术问题最主要的就是自主可控问题第三补充讲一点, 重庆市做网络公共信息安全非常有特点的例如, 我在跟公安 110 联动的计算机安全服务中心任总经理, 这是重庆市公安局非常好的安全服务模式, 能解决人才缺乏的问题, 因为服务平台聚集了很多安全专家和能干的玩攻防玩渗透很熟练的一帮人最后, 从人才培养培训上, 我建议采取三方联合培训的方式现在安全服务中心跟邮电大学已签了联合培训的计划每年约 15 个学生到安全服务中心来实习, 大概能够留下来 1/3 左右这种培养方式里, 高校可增加有关网络信息安全方面的课程内容, 作为进入专业工作的前期培训, 然后更加专业的工作放到后面的实习中去安巽诺网安测评公司李强娇 : 我们国家已经将网络安全当互联网安全 43

< 合肥站 > 新常态下新作为 : 中部崛起新高地的安全建设 2017 年 11 月 3 日中国互联网安全大会中国行行业专家研讨会在安徽省合肥市举办, 研讨会邀请了安徽地区 30 多位网络安全领域专家学者, 就网络安全法在各行业落地实施网络安全专门人才培养等话题, 展开热烈讨论与分享 2017 年正式实施网络安全法,

政企机构的网络安全与信息化建设的主要对象包括内部办公网络行业内应用系统和对外开放的网站系统或其他可接入访问的信息系统, 当然对于工业生产部门, 还有工业控制网络系统随着这些应用系统的建设全面铺开, 业务量不断增大, 引入的外部接入系统也越来越多, 这就倒逼机构, 尤其是行业主管部门大型企业机构信息化负责部门, 必须对原有的管理思路模式和手段进行升级安徽省委保密局副局长樊黄毛表示,

46 < 合肥站 > 新常态下新作为 : 中部崛起新高地的安全建设 2017 年 11 月 3 日中国互联网安全大会中国行行业专家研讨会在安徽省合肥市举办, 研讨会邀请了安徽地区 30 多位网络安全领域专家学者, 就网络安全法在各行业落地实施网络安全专门人才培养等话题, 展开热烈讨论与分享 2017 年正式实施网络安全法, 随着关键信息基础设施保护条例以及各类网络安全领域法律法规也加快制定出台, 安徽省以及合肥芜湖马鞍山等地信息化建设网络安全保障体系建设的步伐也在加快与会专家普遍认为, 需要完善相关的监管, 借助产业的力量, 加强各方协同, 促进各级政府部门各行业部门切实依照网络安全法, 积极做好网络空间安全建设工作一网络安全与信息化建设倒逼管理升级一般来讲, 政企机构的网络安全与信息化建设的主要对象包括内部办公网络行业内应用系统和对外开放的网站系统或其他可接入访问的信息系统, 当然对于工业生产部门, 还有工业控制网络系统随着这些应用系统的建设全面铺开, 业务量不断增大, 引入的外部接入系统也越来越多, 这就倒逼机构, 尤其是行业主管部门大型企业机构信息化负责部门, 必须对原有的管理思路模式和手段进行升级安徽省委保密局副局长樊黄毛表示, 互联网安全关系到每一个人每一个家庭每一个国家, 也关系到国家的政治安全经济安全文化安全等各方面如何做好数据的安全保障, 作为保密工作的主管部门, 一方面必须高度强调安全保密意识, 严禁在非涉密网络上存储处理和传输涉密信息, 保持涉密网与非涉密网的物理隔离 : 另一方面, 从长远看, 必须通过安全的互联网新技术手段, 解决涉密网络的远程使用问题, 即建立基于互联网的涉密网络, 否则将给涉密人员使用带来诸多不便樊黄毛安徽保密局副局长安徽省网信办李立表示, 云计算和大数据的发展同时, 对很多业务和数据造成很多的潜在网络安全威胁, 也给各行业各部门的安全管理带来新的挑战比如弱密码的破解, 很多单位工作人员可能都在用一些相对简单的口令, 也许以前需要借助大量的计算资源, 但是现在通过云计算的方式, 可能很快就能暴力破解, 这仅仅是安全威胁的一个方面这都需要各行业充分发挥自己的力量, 创新管理手段和方式, 加强协同合作, 共同做好网络安全工作李立安徽省委网信办 44 互联网安全

在如何应对网络安全与信息化建设出现的新问题新风险, 安徽省交通控股集团信息部倪虹部长提出的几点思路引起研讨会现场很多专家的共鸣他说, 第一, 对于安全, 管比建更重要建, 对应着安装配置众多安全设备, 但对安全环境安全策略安全人员的管理决不能掉以轻心如果只是上马设备, 而不是管好人管好设备, 那么建之后, 目的就很难达到交通控股集团 2012 年投入两三百万建设安全管理平台,

倪虹安徽交通控股集团信息部部长使我们的系统访问受限, 但我们在包括 360 公司在内的第三方安全团队帮助下, 响应非常快, 快速恢复系统, 没有遭受到损失, 这充分体现了第三方团队的作用二政务数据打通须夯实自身建设政府公共大数据开放共享是信息社会数字经济发展的一个重要的方面信息孤岛等问题严重影响了社会治理及行政服务的质量和效率目前我国不少地区正在建设政务云, 以期解决政府部门之间

47 Internet Security Insight 安徽省无线电监测委员会副主任钱勤指出, 机关或企事业单位内部网络的安全状况其实也应该得到社会层面的广泛关注, 但是事实上不如公共互联网上的安全事件那么吸引媒体公众的眼球他举例说 2017 年永恒之蓝勒索病毒爆发时, 就有两个省的某政府下属机关内网感染, 虽然当事机关的内外网是隔离的, 但缺乏相关安全风险管理措施和风险控制意识钱勤安徽省经信委省无线电监测站副站长在如何应对网络安全与信息化建设出现的新问题新风险, 安徽省交通控股集团信息部倪虹部长提出的几点思路引起研讨会现场很多专家的共鸣他说, 第一, 对于安全, 管比建更重要建, 对应着安装配置众多安全设备, 但对安全环境安全策略安全人员的管理决不能掉以轻心如果只是上马设备, 而不是管好人管好设备, 那么建之后, 目的就很难达到交通控股集团 2012 年投入两三百万建设安全管理平台, 对原来的安全进行梳理, 从而更好发挥建设的效能的同时, 发挥管理的效能第二, 重视第三方平台, 向第三方购买平台服务 ; 这一点是借鉴政府的做法, 比如各个市政府机关的网络应用系统都逐渐地迁移到公共领域的环境下, 政府向第三方购买服务, 企业的网信建设也可以借鉴第三, 重视使用第三方的安全服务 ; 国庆节期间, 交通控股集团受到大流量的大强度的 DDOS 攻击, 持续了十几个小时, 倪虹安徽交通控股集团信息部部长使我们的系统访问受限, 但我们在包括 360 公司在内的第三方安全团队帮助下, 响应非常快, 快速恢复系统, 没有遭受到损失, 这充分体现了第三方团队的作用二政务数据打通须夯实自身建设政府公共大数据开放共享是信息社会数字经济发展的一个重要的方面信息孤岛等问题严重影响了社会治理及行政服务的质量和效率目前我国不少地区正在建设政务云, 以期解决政府部门之间层级之间存在诸多信息壁垒政务云在 IT 资源整合和系统高效运行数据共享方面发挥了积极的作用, 但也存在云安全管理责任不清, 管理缺乏规范, 以及可控性灵活性不足等方方面面的问题安徽省公安厅网安总队副总队长项庆丰表示, 数据共享, 公共大数据的开放, 这些东西不能停留在讲概念, 而是需要切切实实把规则制定好, 制定好顶层设计, 再一步步推进从长远看, 数据共享是必然的, 但很多数据的私密性要求很高, 必须在一定规则下, 保障数据安全, 实现数据共享项庆丰安徽省公安厅副总队长安徽芜湖市政府信息办总工程师王永璋介绍, 芜湖地区率先在 2015 年就建成并且运行政务云中心, 基本上整合全市除涉密系统以外的 IT 资源, 过程当中安徽省网信办和公安厅也给芜湖市很大的帮助和指导王永璋总工表示, 在实践与摸索的过程中, 政务云的安全建设需要把好三方面的关 : 一是要把安全责任观各地方建了政务云需要进一步细化和明确上云业务部门的责任边界政务云管理部门责任以及政务云运维单位的责任还要政府处理网络责任云平台互联网安全 45

合肥站责任数据平台责任系统责任边界二是要把好安全防护关政务云的安全建设除了必要的软硬件防护措施, 还需要分层加强边界防护三是要把好安全管理关安全管理关要分成三步走, 首先上云前要建立管理标准 ; 其次上云时要建立上云的审查规范 ; 第三上云后还要常态化做好上云后的监测通报以及运行管理工作王永璋芜湖市人民政府信息办总工中国科技大学信息安全测评中心程绍银教授指出,2017

包括各个政务部门有数据的隐私保护, 还有在商业应用过程中需要保护个人隐私, 保护商业秘密等等程绍银中国科技大学副教授事实上,2015 年 8 月国务院印发促进大数据发展行动纲要, 明确提出推动政府数据开放共享 ;2016 年 11 月公布的网络安全法第十八条规定的促进公共数据资源开放 ; 2016 年 12 月国务院通过的十三五国家信息化规划, 提出要打破各种信息壁垒和孤岛,

48 合肥站责任数据平台责任系统责任边界二是要把好安全防护关政务云的安全建设除了必要的软硬件防护措施, 还需要分层加强边界防护三是要把好安全管理关安全管理关要分成三步走, 首先上云前要建立管理标准 ; 其次上云时要建立上云的审查规范 ; 第三上云后还要常态化做好上云后的监测通报以及运行管理工作王永璋芜湖市人民政府信息办总工中国科技大学信息安全测评中心程绍银教授指出,2017 年 7 月份政府网站发展指引要求开放政务数据, 合肥市也成立大数据管理局, 政务大数据的共享这一块应该会慢慢地破冰, 但必然需要一个过程比如说数据怎么脱敏? 包括各个政务部门有数据的隐私保护, 还有在商业应用过程中需要保护个人隐私, 保护商业秘密等等程绍银中国科技大学副教授事实上,2015 年 8 月国务院印发促进大数据发展行动纲要, 明确提出推动政府数据开放共享 ;2016 年 11 月公布的网络安全法第十八条规定的促进公共数据资源开放 ; 2016 年 12 月国务院通过的十三五国家信息化规划, 提出要打破各种信息壁垒和孤岛, 推动信息跨部门跨层级共享共用这些要求的落实都需要各级政府及其下属各行业部门下定决心, 探索一条逐步扩大开放共享的机制流程, 同时夯实自身系统的安全, 保证安全地共享安全地开放, 助力信息社会数字经济持续发展三安全测评成为促进安全建设抓手信息安全风险的测试与评估是安全建设与保障工作的重要一环, 很多安全隐患或问题, 比如内部安全管理规范缺失系统补丁视而不见, 如果有专门的测评机构通过科学专业的测评去发现, 去揭示问题, 可以为主管部门, 行业部门自身提供一定的思路方法, 也为推动机构整体的网络安全建设提供抓手安徽地区具备高校的优势, 地处合肥的中国科技大学专门成立了信息安全测评中心, 主要从事本地的保护测评 ; 本省的安徽农业大学等高校也活跃着众多安全专家, 参与各行业网络安全建设系统风险评估等方面指导工作 ; 而在省经信委下面则成立了安徽省信息安全测评中心省测评测评中心接受公安厅的监督指导, 也承担国家保密测评中心的职能中国科技大学信息安全测评中心程绍银副主任指出, 测评中发现很多问题, 都是因为违反网络安全法或管理没跟上造成的, 比如说永恒之蓝的攻击, 究其原因就是因为大家没有打补丁网络安全法第 25 条明确说了网络运营者要及时处置系统漏洞, 很多企业就没有按照法律执行即使是物理隔离的网络, 也应该按照法律要求, 仍然要打补丁程绍银副主任还指出, 测评的时候也发现机构人员的安全意识存在不足, 亟待提高例如, 以前远程管理用的是非加密的协议, 但是这个已不符合现有法律的要求, 而用一些加密的手段, 需要在电脑上装一些客户端, 有的机构人员觉得不方便, 不愿意配合安装, 这就需要进行安全教育, 摒弃一些老的思维安徽省信息安全测评中心王理冬副主任指出, 没有政策支撑没有技术支撑就没有办法做到落实安全保护制度, 而检查测评, 可以为主管部门提供很好的抓手例如网络安全法中关于网络安全等级保护的第 21 条明确提出, 要求制 46 互联网安全

措施, 最终也要靠网络安全从业人员的理解领会和实施执行从国家层面设置网络空间安全一级学科, 到社会层面的用人缺口, 再到各类高校部门联合各行业的用人部门专业厂商联合培养培训安全专业人才, 都体现了做好网络空间安全建设关键在人的趋势安徽省来自高校测评机构政府机关司法机关职业院校国有企业单位的代表纷纷表示, 网络安全领域缺技术, 更缺人而缺什么样的安全人才,

同时, 他觉得目前不缺乏计算机信息方面的通用人才, 而是更需要专业的人才对于如何破解人才稀缺的问题, 李处长还给出两点建议, 一方面, 立足于积极引进和自我学习自我培养 ; 另一方面, 依托专业的公司, 采取托管的方式, 或者购买安全服务的方式, 两条腿走路推进安全工作安徽公安学院的殷伟院长表示, 前几年, 我就提出未来的网络安全建设应从单纯采购设备向采购第三方专业安全服务转变,

49 Internet Security Insight 定内部的安全制度和操作流程, 确定网络安全负责人确保落实网络安全责任, 这是很多单位网络安全建设的切入点, 也是重点工作王理冬副主任同时提到, 目前整体对网络安全的意识提高了, 机构企业会更加重视常态化的安全测评, 以促进安全建设的深化王理冬安徽省信息安全测评中心副主任四网络安全人才培养输出是关键网络安全风险和问题很多来源于人员的自身缺点和局限, 而解决网络安全的理念方案措施, 最终也要靠网络安全从业人员的理解领会和实施执行从国家层面设置网络空间安全一级学科, 到社会层面的用人缺口, 再到各类高校部门联合各行业的用人部门专业厂商联合培养培训安全专业人才, 都体现了做好网络空间安全建设关键在人的趋势安徽省来自高校测评机构政府机关司法机关职业院校国有企业单位的代表纷纷表示, 网络安全领域缺技术, 更缺人而缺什么样的安全人才, 怎么培养培训出满足需求的人才, 与会专家也给出自己独到的见解和建议安徽省监狱管理局李法启处长认为, 监狱系统正在按照国家网络安全法的规定, 开展网络安全相关的工作, 中科大测评中心和省里的测评中心都参与了前面的项目,360 也提供了技术上的支持, 而整个工程项目达标测评过程中以李法启安徽省监狱管理局处长及系统的安全体系建设运行过程中, 感触最深的就是缺技术和缺人, 归根到底就是缺人同时, 他觉得目前不缺乏计算机信息方面的通用人才, 而是更需要专业的人才对于如何破解人才稀缺的问题, 李处长还给出两点建议, 一方面, 立足于积极引进和自我学习自我培养 ; 另一方面, 依托专业的公司, 采取托管的方式, 或者购买安全服务的方式, 两条腿走路推进安全工作安徽公安学院的殷伟院长表示, 前几年, 我就提出未来的网络安全建设应从单纯采购设备向采购第三方专业安全服务转变, 专业安全服务可以让安全设备更有效发挥作用, 其中最重要的关键点就是专业人才的专业能力体现殷院长还表示, 学生不仅仅需要学网络安全知识, 还要学网络安全相关的法律培养实用高水平的安全人才不是依靠某一个部门来完成, 最终的网络安全需要依靠大策略, 体系化的解决殷伟安徽公安学院院长安徽农业大学的李旸教授即是该研讨环节的主持人, 也参与议题的深入讨论 : 他指出网络的高速发展导致人才匮乏网络行业在推动供给侧改革创新与居民消费升级中扮演的角色越来越重要科学技术的飞速发展, 必将带动互联网行业的向前迈进, 网民用户群体和处理信息量的逐渐庞大, 对网络安全传输的要求更加严格, 对于网络运营管理安全人才的需求也将更加迫切他总结道, 网络安全问题的日益突出, 除了扩充对相关人才的岗位需求和加大引进相关科技人才的力度以外, 还应互联网安全 47

合肥站李旸安徽农业大学教授当加强团队的自我管理能力和责任意识, 提升网络管理的能力, 优化人员结构, 落实到人, 杜绝内部隐患的出现概率同时,

开放多样性的网络安全知识技能的线上线下学习平台, 提供创新的学习途径, 逐渐营造网络知识技能的终身学习氛围和机制, 让更多人参与到网络安全的建设中来性较大,

非常希望行政管理部门, 网信部门网监部门能够给机关单位进行行业指导对各类型学校各层次学校有一个类似框架性的可操作性的指引, 来弥补安全人员的知识缺陷和不足

而其中仅有四分之一的人去考研, 攻读研究生人数一定程度上导致了供应不足关于对人才更为具体要求, 安徽省检察院信息中心吴宏昊表示, 第一, 专业的活儿,

熟悉行业规范指导的专门人才需求吴宏昊安徽省检察院副主任徐峰安徽财贸职业学院副院长皖江职业教育中心学校赵祖林校长认为,

50 合肥站李旸安徽农业大学教授当加强团队的自我管理能力和责任意识, 提升网络管理的能力, 优化人员结构, 落实到人, 杜绝内部隐患的出现概率同时, 加深与有关资深网络安全行业领域企业的交流与合作, 定期开展技术人才以及战略上的研讨与互助的新形式, 相互促进另外, 开放多样性的网络安全知识技能的线上线下学习平台, 提供创新的学习途径, 逐渐营造网络知识技能的终身学习氛围和机制, 让更多人参与到网络安全的建设中来性较大, 这一问题表示担忧, 因此认为下一步更需要团队外包的模式, 在日常检测应急处理安全修复等方面有一家专业的团队进行管理安徽财贸职业学院徐峰坦言, 非常希望行政管理部门, 网信部门网监部门能够给机关单位进行行业指导对各类型学校各层次学校有一个类似框架性的可操作性的指引, 来弥补安全人员的知识缺陷和不足安徽师范大学林晨博士则认为, 安全人才缺乏跟教育的现状有关比如大四学生, 没有学到细化的安全方面的内容, 在读研究生阶段才会学到, 而其中仅有四分之一的人去考研, 攻读研究生人数一定程度上导致了供应不足关于对人才更为具体要求, 安徽省检察院信息中心吴宏昊表示, 第一, 专业的活儿, 交给专业的人干其次, 关于人才需求, 根据行业和业务范围不同, 有专业的技术人才的需求, 还有专业管理人才的需求, 特别是懂得行业安全管理熟悉行业规范指导的专门人才需求吴宏昊安徽省检察院副主任徐峰安徽财贸职业学院副院长皖江职业教育中心学校赵祖林校长认为, 让网络安全成为职业教育的一个技能培养方向, 需要专业化系统化规范化的课程在学校落地生根他希望通过校企合作, 在师资课程计划一线岗位实习等方向联合协作, 共同培养更多实用型安全人才安安徽省合肥公共资源交易中心陈泽峰对外包人员的流动赵祖林皖江职业教育中心学校副校长陈泽峰安徽合肥公共资源交易中心主任 48 互联网安全

央企等行业的安全专家学者企业代表就政企网络安全建设与人才供需等问题进行了热烈研讨 360 企业安全集团江苏区总经理洪道华主持了本次研讨会网络安全已经切实影响到了不仅仅是国家安全经济安全个人安全, 在这种情况下国家出台了网络安全法 2015 年提出要设立网络安全法法,

新形势新要求新应对中国政法大学兼职教授,360 集团法务部总监赵军主持了网络安全的新形势新要求和新应对的主题研讨赵军中国政法大学兼职教授, 360 集团法务部总监王韧江苏省检验检疫局信息处处长江苏省检验检疫局的安全方面分为三块内容 : 第一是技术, 第二是管理, 第三是人员

51 Internet Security Insight < 南京站 > 安全新形势新下的江苏应对之道 2017 年 11 月 17 日, 中国互联网安全大会 (ISC2017) 中国行之政企安全体系创新专家研讨会在南京市举行, 来自江苏的网络安全相关政府主管部门领导以及教育出入境国税地税人社司法卫生金融央企等行业的安全专家学者企业代表就政企网络安全建设与人才供需等问题进行了热烈研讨 360 企业安全集团江苏区总经理洪道华主持了本次研讨会网络安全已经切实影响到了不仅仅是国家安全经济安全个人安全, 在这种情况下国家出台了网络安全法 2015 年提出要设立网络安全法法, 到人大通过只用了一年时间 16 年的 11 月 7 日之后, 仅仅过了半年,2017 年 6 月 1 日这部法律就生效了回顾网络安全法的法律, 国家对这部法律有很高的期望, 而如何落地实施, 这是留给我们产业和政府着力去解决的问题洪道华 360 企业安全集团江苏区总经理网络安全的新形势新要求新应对中国政法大学兼职教授,360 集团法务部总监赵军主持了网络安全的新形势新要求和新应对的主题研讨赵军中国政法大学兼职教授, 360 集团法务部总监王韧江苏省检验检疫局信息处处长江苏省检验检疫局的安全方面分为三块内容 : 第一是技术, 第二是管理, 第三是人员从技术角度讲, 首先是做好等级保护, 做好系统本身的架构, 包括病毒控制数据库审计等其次是做好边界防御第三是利用云端防御, 做到威胁的监测和响应管理方面, 在我们原来有信息化管理制度, 和信息化的作业制度的基础上, 引入 9000 管理体系, 将信息安全的工作成体系化的运行起来, 满足日常运维的要求人员方面, 信息安全形势的严峻性, 对人员的要求越来越高, 我们面临人员严重不足的局面从两方面着手, 一个是对内部的人员进行培训, 参加竞赛, 参与系统内的专业认证 ; 还有一个是引进了现场运维的外包队伍互联网安全 49

南京站谢亚光中国电科第十四所科技部主任金玉江苏省教育厅第一网络安全法里面有一个非常重要的概念没有说清楚, 就是责任边界的问题相比物理世界, 互联网的环境下, 移动的网络中, 责任方面往往不是特别明确第二, 大量企业,

但也要求必须从一些精细的角度切进去, 深入了解企业内部的软肋和痛点大数据的共享做工作从我们教育行业看, 江苏的教育系统资产, 包括网站和 IP 地址都是排在全国第一位因为资产庞大, 可能的攻击面也就比较大一方面领导层面非常重视,

针对高校, 里面专门设定了一个网络安全章节纪波林江苏省地税局网络安全法出来之后, 我们也在学习宣传从人才招聘来看, 基本都是计算机专业的, 从事信息安全的有半个人就不错了这里面存在不愿干这类活的因素, 安全工作太辛苦, 吃力不讨好从外部威胁看,

关于政府大数据的共享, 以省发改委和审计厅牵头成立的审计组正在摸查个省直单位的系统建设的情况, 为下一步刘德辉江苏省网信办漏洞军火化, 军火平民化, 总结起来叫攻击平民化而在大量平民化的攻击中, 鉴别出 APT 有组织的攻击, 需要收集底层的数据,

52 南京站谢亚光中国电科第十四所科技部主任金玉江苏省教育厅第一网络安全法里面有一个非常重要的概念没有说清楚, 就是责任边界的问题相比物理世界, 互联网的环境下, 移动的网络中, 责任方面往往不是特别明确第二, 大量企业, 尤其是中小企业是网络安全的弱势群体他们对网络安全环境的认知几乎是空白, 他们需要互联互通的网络环境来帮助他, 需要外部的专家提供技术支持第三, 信息安全立法也好, 体系架构也好, 很难落地, 因此安全厂商应该有这种使命去帮助他, 但也要求必须从一些精细的角度切进去, 深入了解企业内部的软肋和痛点大数据的共享做工作从我们教育行业看, 江苏的教育系统资产, 包括网站和 IP 地址都是排在全国第一位因为资产庞大, 可能的攻击面也就比较大一方面领导层面非常重视, 教育厅成立了教育的网络安全和信息化小组, 组长就是一把手的厅长, 副组长是分管副厅长, 领导小组办公室设在信息化中心另一方面, 在安全建设层面, 按照三同步要求, 体系化的推进例如智慧校园, 我们马上就要和经信委财政厅联合发布智慧校园的标准, 针对高校, 里面专门设定了一个网络安全章节纪波林江苏省地税局网络安全法出来之后, 我们也在学习宣传从人才招聘来看, 基本都是计算机专业的, 从事信息安全的有半个人就不错了这里面存在不愿干这类活的因素, 安全工作太辛苦, 吃力不讨好从外部威胁看, 很多安全隐患是突发的, 比如永恒之蓝 ; 还有一个特点是分散的, 因为系统越来越庞大, 潜伏的安全隐患可能很多不在现有监控的视野, 比如一些系统漏洞可能就把税务系统的数据发出去了因此需要统一的集中的管理手段, 比如目前和 360 合作的大数据的安全平台关于政府大数据的共享, 以省发改委和审计厅牵头成立的审计组正在摸查个省直单位的系统建设的情况, 为下一步刘德辉江苏省网信办漏洞军火化, 军火平民化, 总结起来叫攻击平民化而在大量平民化的攻击中, 鉴别出 APT 有组织的攻击, 需要收集底层的数据, 去做上层的数据分析, 再结合 360 的威胁情报这对能力和资源比较欠缺的机构部门来说, 怎么能够在尽可能低的复杂度和成本下, 也获取同样的鉴别能力? 360 企业安全集团产品副总裁左英男 : 我们的技术手段在进步, 我们的对手也在进步安全本质上是对抗, 是一种过程, 它是一个持续不断的过程, 能力也是需要一步步培育 50 互联网安全

这类平台还可以吸引学生去注册, 给学生更多锻炼的机会优秀的学生, 还可以由企业资助, 由学校发认证证书周萍江苏省网信办安全协调处处长随着网络强国网络强省的建设, 人才的需求越来越迫切, 这两年国家在这方面越来越重视江苏一直是人才培养的大省, 去年国家批准 29 所网络空间安全一级学科博士授权点建设, 我们有五所大学获批 2017

53 Internet Security Insight 江苏省网信办刘德辉 : 目前发现的问题绝大多数是以漏洞形式存在别小看漏洞的问题, 因为在业务构建的过程中, 网络主机中间件操作系统应用程序等层层叠加, 各个环节都可能出现漏洞一个系统建的比较多的大型单位, 可能涉及成千上万个的供应商, 要跟踪整体的漏洞真的做不到如何加强机构自身网安人才队伍建设? 江苏省网信办安全协调处处长周萍主持了如何加强机构自身网络安全人才队伍建设? 的主题研讨还设置专门课群并且对于奇才怪才, 学生参与的竞赛可以替代学分关于产学合作, 建议老师可以到企业进行短期的培训, 企业的人也可以到学校培训交流关于学校横向的合作, 东南大学和上海交大等联合对一些安全基础薄弱的高校提供学科建设的支持在高校本身的安全建设上, 教育行业也可以通过建立平台, 比如漏洞管理的平台, 提高学校的防御与处置能力此外, 这类平台还可以吸引学生去注册, 给学生更多锻炼的机会优秀的学生, 还可以由企业资助, 由学校发认证证书周萍江苏省网信办安全协调处处长随着网络强国网络强省的建设, 人才的需求越来越迫切, 这两年国家在这方面越来越重视江苏一直是人才培养的大省, 去年国家批准 29 所网络空间安全一级学科博士授权点建设, 我们有五所大学获批 2017 年国家又批准了七所一流网络安全学院建设, 东南大学位列其中杨望东南大学网络空间安全学院院长助理高校自己培养人才有规模的要求, 所以希望能够联合地方院校企业等一同培养我们学院在课程方面, 非常灵活, 设置了编程数学法律, 还有人文工程管理方面的课程针对不同的兴趣方向, 比如网络安全信息安全, 邵通南京理工大学我谈几点看法第一, 责任边界的问题, 安全公司一般来说是没有办法保证做个安全系统不出问题第二, 搞应用的人对打补丁, 不如专业的安全公司用户单位可以与应用软件供应商安全厂商签合同, 要求提供服务, 至少满足监管部门对安全的一些基本要求, 例如公安部门在检查时, 不能扫描出漏洞第三, 对于中小企业, 尤其是智能硬件制造商, 政府应该出台强制的检测标准, 推动企业生产过程中及时弥补安全缺陷第四, 应用系统遭遇平民化的攻击, 背后动机是赚钱, 途径分两类 : 一个是偷取比特币, 另一个是偷算力第五, 关于人才培养, 保障业务系统的人基本还是要以全才的标准去培养, 高层次的人才则应该集中在安全企业同时, 拥有高级人才的安全企业, 也要对国家行业机构的网络安全承担更多责任互联网安全 51

南京站王小鹏江苏邮电规划院所长安全人才领域存在悖论, 很多从事安全的人去做黑产, 因为来钱更容易, 这造成从事网络黑产的人相当多与之对比的是, 机构把更多的投资放在系统建设上, 但对人才的投入不多, 留不住人其实, 既具有理论功底, 又有非常强的实战能力的高水平安全人才确实很少, 安全制度建设人才培养, 如果交给专业的安全服务公司, 安全咨询公司来做可以做的更好

满足国家行业监管部门的考核监管要求, 有效保障机构的业务开展, 最后还要能够跟外面专业的安全队伍充分的交流合作, 达到协同此外, 关于和高校密切配合的话题, 企业可以借助高校的力量进行研发, 去攻关, 把高校最新的研究成果更好的运用到企业实践和行业实践中, 但同时也必须和高校一同打通行业人才需求与学校教育培养的闭环, 让学校出来的人才真正满足企业行业的用人标准中国电子科技集团第 14

54 南京站王小鹏江苏邮电规划院所长安全人才领域存在悖论, 很多从事安全的人去做黑产, 因为来钱更容易, 这造成从事网络黑产的人相当多与之对比的是, 机构把更多的投资放在系统建设上, 但对人才的投入不多, 留不住人其实, 既具有理论功底, 又有非常强的实战能力的高水平安全人才确实很少, 安全制度建设人才培养, 如果交给专业的安全服务公司, 安全咨询公司来做可以做的更好根据我们之前给运营商服务的实践经验, 也适合其他行业第一是做好安全制度建设, 可以帮助机构在结合自己的业务发展基础上, 再完善内部的管理, 更好的平衡安全与发展第二, 上相应的技术手段加以防范重点是防护检测溯源处置第三, 自己也要有人把这些技术手段充分用起来至少要有一些人既懂技术也懂制度, 也懂行业的特征, 能够把方方面面的体系建立起来 ; 能够进行日常的运营监控, 满足国家行业监管部门的考核监管要求, 有效保障机构的业务开展, 最后还要能够跟外面专业的安全队伍充分的交流合作, 达到协同此外, 关于和高校密切配合的话题, 企业可以借助高校的力量进行研发, 去攻关, 把高校最新的研究成果更好的运用到企业实践和行业实践中, 但同时也必须和高校一同打通行业人才需求与学校教育培养的闭环, 让学校出来的人才真正满足企业行业的用人标准中国电子科技集团第 14 研究所智能制造创新中心技术总监谢亚光 : 就现状而言, 安全领域是一个不受待见的岗位很多企业对这个岗位还没有认知要做好安全, 得让从事安全的人有话语权企业信息化逐步接受所谓的 CIO, 但应不应该有一个 CSO, 这个需要各行业在体制上去达到共同基本的认知政府机关国企大型企业会更看重 CSO 等安全岗位的价值, 也会为人员做相应的职业规划不少企业对 IT 技术网络安全所具备的价值支撑能力, 认识还不到位, 对它们的依赖性还非常弱 IT 技术相对好一些, 所以推进安全的认知, 必须要和信息化 IT 技术的导入关联起来新技术的导入是和企业运营绑定的, 这就说明信息安全建设最终是一个生态问题而对于如何留住人才的问题, 最重要的是让他感到存在职业发展的生态, 不然, 根据我们招聘博士生的经验, 给再多钱也不行江苏省网信办安全协调处处长周萍 : 去年我搞过一次校企人才培养的对接会, 十几位企业老总都在强调招不到人, 留不住人, 我说一流的钱留住一流的人才, 你想花三流的钱留住一流的人才是不可能的政府部门留人才也是越来越难, 信息安全压力越来越大网络安全法一出来, 安全责任制的压力就落在身上, 他们更多的希望依赖信息安全企业, 信息安全服务机构做好保障, 并希望从信息安全的主管部门获得帮助吴礼发解放军理工大学第一, 安全人才是分层次的学校的信息安全专业培养的一定是大部分掌握了安全专业所需要的基础知识基础理论, 仅此而已要适应岗位的需求, 就需要毕业以后由企业 52 互联网安全

可以找经过国家认证的专业安全厂商中国的 CNCERT 的支撑单位, 某种程度上也是经过了官方的认可机构或企业可根据自身需要, 请这些专业公司做专业的事江苏省网信办刘德辉 : 解读网络安全法的安全, 主要是指保护关键业务, 关键数据例如对于承载海量数据的系统, 时效性不是最重要, 而主要是防篡改防泄漏而面向公众的系统, 内容安全和运行安全更加重要怎么保障安全?

55 Internet Security Insight 进行入职培训第二, 顶尖的网络安全人才不是学校培养的, 但可以是学校发现的学校对于发现的这些水平高的人才, 给他很好的管理很好的条件, 让他更快的成长最后, 专业安全企业应该发挥专业的优势网络安全法实施以后, 主要是对国有单位和大的国企单位提出了更高的要求不管哪类单位, 不能对网络安全运维的这些人提过高的要求在美国, 对于保护不了自己的企业, 可以找经过国家认证的专业安全厂商中国的 CNCERT 的支撑单位, 某种程度上也是经过了官方的认可机构或企业可根据自身需要, 请这些专业公司做专业的事江苏省网信办刘德辉 : 解读网络安全法的安全, 主要是指保护关键业务, 关键数据例如对于承载海量数据的系统, 时效性不是最重要, 而主要是防篡改防泄漏而面向公众的系统, 内容安全和运行安全更加重要怎么保障安全? 可以借鉴全生命周期的管理办法第一是规划顶层设计, 包括需求分析, 二是日常的管理, 三是定期的检测和测评顶层设计和检测测评需要专才大才, 也需要借助外力而随着管理手段的平台化, 管理内容的标准化, 日常的管理则更多需要普才为什么安全需求分析方面, 也需要高水平的人来做? 因为现在业务云化是个趋势信息化建设走向集中化集约化的方式, 服务器也走向虚拟化, 这种信息化建设模式的变化, 再结合本身的业务建设模式管理模式和使用模式, 将导致安全规划非常难做, 普通水平的人才肯定不够李千目南京理工大学第一, 江苏正在搞的制造业转型, 任务很重还有人才培养的特征特点, 怎么做到弯道超车如果有 360 这样的企业在江苏设立分公司, 对江苏的人才培养会有比较大的促进作用第二, 江苏经信委将做一次全省的安全大调研大诊断, 摸清省内企业特别是核心企业, 在安全方面基础性共性的问题, 并将发布关键基础项目的指南以省内知名的红豆集团为例, 他们建立了数据双活备份系统, 但内部的主管人员却不清楚安全防护架构的作用和目的对于可能出现的常见问题, 也没有制定相应的安全预备案应急响应预备案第三, 企业政府高校安全厂商等各方之间的合作可以再深入不仅在调研层面还可进行深入一步的科研开发, 技术研究, 人员培养等方面的合作张正金陵科技学院希望培养出来的学生能够做实际的攻防, 而且也能做具体的运维安全管理对于学校来说, 怎么编写好的教材, 怎么利用网络安全竞赛平台, 促进学员在实际运行环境中的能力增长, 这些都是我们想联合比如 360 等企业一块去解决的, 当前的难题关于数据共享, 政府机关的数据共享开放出来, 带来两个问题一是利益, 因为数据产生的价值经济效益社会效益, 提供方和使用方之间会涉及利益平衡的问题二是责任, 最困难的不是上安全措施, 而是明确界定使用方提供方对数据安全所承担的责任互联网安全 53

南京站丛闻天南京市公安局网安支队关于数据共享, 从南京公安局的角度, 查询比共享的意义更大数据过多, 任何一个部门都无法承载 ; 对接入的数据的保护, 也有很多问题以共享单车为例, 除了两家企业其他都倒闭了, 如果把这些厂商的数据接进来, 之后如何保护?

很大的原因是单位虽然买了安全设备, 但是安全人员没有设置安全策略这就要求对安全人员, 除了培训技术, 还要把意识法律责任心等方面都培训落实到位还有一个技术国产化的替代工作也在推进, 我们要求所有的安全设备必须国产化 ; 采购网络设备也多采购华为中兴华三的设备, 保证后期所有的数据在国内并为我所掌控何淼南京信息职业技术学院网络安全法的落地还最后靠的还是对人的教育对

今天看了智联招聘和 360 互联网安全中心共同发布的人才需求报告, 大专生的需求占了 40%, 每年投的简历占的比例只有 27%, 让我们更有信心第三, 我们现在也在和 360 绿盟天融信深信服等企业合作, 探索高职的信息安全人才培养方案不能停留在原有的全而大的或者重基础知识的培养模式, 比如更注重讲一些信息安全技能的课程后面可能把一些课程变成专用的工具, 专用的技能, 学生出来后,

56 南京站丛闻天南京市公安局网安支队关于数据共享, 从南京公安局的角度, 查询比共享的意义更大数据过多, 任何一个部门都无法承载 ; 对接入的数据的保护, 也有很多问题以共享单车为例, 除了两家企业其他都倒闭了, 如果把这些厂商的数据接进来, 之后如何保护? 关于内部安全建设, 需兼顾外部和内部的平衡找专业的公司做等级保护测评做安全系统查缺补漏, 可能比在内部建设一支队伍效果更好我们也请 360 给我们作安全的平台, 但各个单位的信息安全保护, 光靠外部的公司还不够人的管理非常重要人控制好了, 所有的问题就都可控现在黑客对政府单位的攻击, 一种是为了炫耀, 一种是盗取数据进行倒卖而之所以屡屡被黑客得手, 很大的原因是单位虽然买了安全设备, 但是安全人员没有设置安全策略这就要求对安全人员, 除了培训技术, 还要把意识法律责任心等方面都培训落实到位还有一个技术国产化的替代工作也在推进, 我们要求所有的安全设备必须国产化 ; 采购网络设备也多采购华为中兴华三的设备, 保证后期所有的数据在国内并为我所掌控何淼南京信息职业技术学院网络安全法的落地还最后靠的还是对人的教育对人的教育分两个方面, 一个是信息安全的专业教育, 另一个是, 必须加入职业道德教育, 包括法律方面的教育这两方面落地, 离不开师资的培养相关的教材和资料的建设老师也要懂技术懂法律懂网络安全法第二, 江苏全省大约有百万的职业教育学生, 这是个很大的群体我们学校信息安全专业在 2015 才设置我们的老师对高职层面网络信息安全的学生定位非常迷惑, 不知道学生将来就业方向是哪些今天看了智联招聘和 360 互联网安全中心共同发布的人才需求报告, 大专生的需求占了 40%, 每年投的简历占的比例只有 27%, 让我们更有信心第三, 我们现在也在和 360 绿盟天融信深信服等企业合作, 探索高职的信息安全人才培养方案不能停留在原有的全而大的或者重基础知识的培养模式, 比如更注重讲一些信息安全技能的课程后面可能把一些课程变成专用的工具, 专用的技能, 学生出来后, 上手就能做裴智勇 360 企业安全研究院关于安全企业的责任问题, 在个人领域, 我们推出了三赔服务 : 网购先赔手机先赔搜索全赔服务, 如果使用我们的产品开通了这个服务再被网络诈骗的, 我们将先行赔付最高每笔 3000 元, 年度最高的额度在企业领域, 推出了反勒索服务, 客户安装我们的软件中了勒索软件, 我们每个终端替客户支付不超过三个比特币, 年度不超过 100 万对应的币数个人领域, 我们每年赔出去大约 100 万 ; 企业安全方面目前为 0, 因为按照要求打补丁一般不会中勒索软件今后希望大家共同探讨如何更好的给企业提供担保, 或更高水平的保障安 54 互联网安全

以下是相关内容的摘录 : 网络安全法实施带来的挑战第一部分是有关网络安全法的讨论,7 位专家和领导阐述了各自对网络安全法的实施对网络安全行业和网络安全工作的挑战和推动高大伟深圳市互联网信息办公室处长网络安全法的出台, 是我们国家在网络治理和网络安全方面一个具有划时代意义的事件, 对未来我们国家的网络安全, 也将会产生深刻的影响和积极的调整网络安全法出台以后,

57 Internet Security Insight < 深圳站 > 30 位深圳网安大咖的网络智慧洞见 12 月 7 日,ISC 中国行第九站暨千人计划专家研讨会在深圳举行, 近 30 位来自深圳地区的网络安全主管部门政府机构院校大型企业和来自 ISC 组委会 360 企业安全集团的相关领导技术专家 CIO 和 CSO, 分别就网络安全新时代的挑战和体系建设创新网络安全人才需求及培养等话题阐述了自己的洞察, 并进行了深入讨论以下是相关内容的摘录 : 网络安全法实施带来的挑战第一部分是有关网络安全法的讨论,7 位专家和领导阐述了各自对网络安全法的实施对网络安全行业和网络安全工作的挑战和推动高大伟深圳市互联网信息办公室处长网络安全法的出台, 是我们国家在网络治理和网络安全方面一个具有划时代意义的事件, 对未来我们国家的网络安全, 也将会产生深刻的影响和积极的调整网络安全法出台以后, 为网络的治理提供了一个标准一个体系, 逐步的纳入到一个规范化一个法治化一个有标准的新时代, 也为各地治理互联网提出了一些新的思路 ; 网信工作也会因应网络安全法的需要, 在制度建设和顶层设计上面, 有一些新的措施我们的法制即将迎来因网络而出现全面变革的时刻, 很多法律的理念可能要重新审视注重保护个人的信息和隐私, 就要法律制度层面, 给技术也要划一个框, 把技术也要关进笼子 ; 法制肩负着更重要的保护人的信息安全隐私等方面的作用, 一个立法技术和技术发展博弈的一个新形势的到来网络安全法的出台对各个单位信息化部门都产生了一种高压态势, 压力非常大武刚深圳市电子政务资源中心主任网络安全法出台之前, 信息中心主要就是建系统, 大量的压力在把系统建好使功能更完善, 不要断网, 不要死机, 这方面的工作压力已经很大了 ; 网络安全的压力又压过来了, 现在是两座大山这种压力要转换为一种工作上的动力, 要从两个方面入手 : 一个是技术方案的解决, 好的安全方案对我们落地网络安全法和保护制度非常重要 ; 第二个是网络安全人才的问题, 招不到合适的安全人员, 很多事情很难做好, 安全人员值钱招不到, 人才矛盾就出来了国家应该从国家层面大互联网安全 55

深圳站力推动安全人员的本科学历或者专科学历的教育, 使市场供求关系能扭转深圳海关技术处张树贵副处长 : 网络安全法以后, 一把手感受到了责任 ; 张树贵深圳海关技术处副处长对网络安全法有两点感受 : 第一是责任,

作为政府部门的网络安全工作者, 我个人觉得合规还是最重要的, 按照国家的要求来做合规性的保护, 也就是我们分等级的保护, 这是很正常的一种现象王又民深圳大学信息中心主任的人员缺乏, 人数职数职称等方面都难以适应落实网安法的新要求

等著名企业探索做一些网络安全人才培训共建实验室和宣传普及方面的工作陈舒舒深圳市司法局科长深圳市司法局陈舒舒科长 : 司法局是很重视信息安全, 组织人员参加 CISP 考试, 邀请安全公司进行培训司法局是很重视信息安全,2017

深圳大学信息中心主任王又民 : 地方政府和上级主管部门, 应该结合网络安全法, 在大框架下出台一些配套的可操作的政策和指引细则比如经费力度和人员岗位的设置要求, 让各单位给出有一个实施网安法的操作依据以前只要网络畅通就好,

58 深圳站力推动安全人员的本科学历或者专科学历的教育, 使市场供求关系能扭转深圳海关技术处张树贵副处长 : 网络安全法以后, 一把手感受到了责任 ; 张树贵深圳海关技术处副处长对网络安全法有两点感受 : 第一是责任, 我们做安全运行的没有网络安全法之前也有这个责任, 也很认真把网络安全做好, 但是网络安全法以后, 一把手也感受到了责任, 能够听取安全运行的技术人员的建议, 所以网络安全法的实施对于我们安全工作有帮助第二是压力, 作为政府部门的网络安全工作者, 我个人觉得合规还是最重要的, 按照国家的要求来做合规性的保护, 也就是我们分等级的保护, 这是很正常的一种现象王又民深圳大学信息中心主任的人员缺乏, 人数职数职称等方面都难以适应落实网安法的新要求地方政府和上级主管部门, 应该结合网络安全法, 在大框架下出台一些配套的可操作的政策和指引细则比如经费力度和人员岗位的设置要求, 让各单位给出有一个实施网安法的操作依据高校本身是人才培养基地, 我们也在跟 360 等著名企业探索做一些网络安全人才培训共建实验室和宣传普及方面的工作陈舒舒深圳市司法局科长深圳市司法局陈舒舒科长 : 司法局是很重视信息安全, 组织人员参加 CISP 考试, 邀请安全公司进行培训司法局是很重视信息安全,2017 年还组织了国家注册信息安全全员考试 CISP, 已经有 3 位同事获得了 CISP 的认证, 我们邀请专业安全公司对全系统工作人员开展信息安全培训, 2017 年 12 月也对全系统负责信息安全和信息化的人员进行专业培训深圳大学信息中心主任王又民 : 地方政府和上级主管部门, 应该结合网络安全法, 在大框架下出台一些配套的可操作的政策和指引细则比如经费力度和人员岗位的设置要求, 让各单位给出有一个实施网安法的操作依据以前只要网络畅通就好, 网络安全法实施后, 信息中心主任作为技术部门的非行政主管就面临非常大的压力现在每个单位特别在高校层面, 信息中心都面临结构性惠州医疗协会莫谋森会长 : 医疗体系面临新安全形势人才短缺是大问题莫谋森惠州医疗协会会长整个医疗体系以前都是内网, 内网与外网绝对分开, 但 56 互联网安全

希望网络安全企业有适当的东西为我们培养安全人才, 帮助我们单位人员的能力提升黄爱萍深圳市经济贸易和信息化委员会安全处黄爱萍处长深圳市经济贸易和信息化委员会安全处黄爱萍处长 : 新的时代对网络安全的重视程度应该比以前认识要更高一些, 相应的技术手段措施要比以前更高一些, 仅仅合规是不够的为更好的建立全市的信息安全网络体系,

新的时代对网络安全的重视程度应该比以前认识要更高一些, 相应的技术手段措施要比以前更高一些, 仅仅合规是不够的工控和工业互联网安全的实践 2 位 CSO 和 CIO, 以及 3 位专家分别从大型企业实践关键基础设施保护实践和政府管理协同防护方面, 对工业互联网安全进行了经验分享和分析罗小平比亚迪股份有限公司安全总监我们现在正在实施工控安全防护,

59 Internet Security Insight 是随着社保政策出台, 社保必须跟医院业务系统对接 ( 社保是一个专线还好 ) 后来出台了微信支付支付宝支付, 必须要实现联网, 这时候牵扯到大量安全相关的东西, 只能大量的堆防火墙 IPS 等保对医院安全有提升, 网络安全法出来之后有个好处就是, 跟领导申请经费容易了很多, 可以对安全有更多的投入安全人才短缺是医疗行业面临的大问题, 希望网络安全企业有适当的东西为我们培养安全人才, 帮助我们单位人员的能力提升黄爱萍深圳市经济贸易和信息化委员会安全处黄爱萍处长深圳市经济贸易和信息化委员会安全处黄爱萍处长 : 新的时代对网络安全的重视程度应该比以前认识要更高一些, 相应的技术手段措施要比以前更高一些, 仅仅合规是不够的为更好的建立全市的信息安全网络体系, 目前我们在测评中心做一个信息安全的监测预警应急处置平台, 首先要清楚我们自己存在什么样的问题, 外来的威胁是什么, 通过监测之后给相关部门做预警, 我们这个平台会覆盖到全市党政机关, 也会覆盖到主要的工业控制系统和主要的大型企业同时, 我们还会做相关处置工作出现问题之后会制定一系列的措施和办法, 提供一些我们能力范围之内的服务工作新的时代对网络安全的重视程度应该比以前认识要更高一些, 相应的技术手段措施要比以前更高一些, 仅仅合规是不够的工控和工业互联网安全的实践 2 位 CSO 和 CIO, 以及 3 位专家分别从大型企业实践关键基础设施保护实践和政府管理协同防护方面, 对工业互联网安全进行了经验分享和分析罗小平比亚迪股份有限公司安全总监我们现在正在实施工控安全防护, 这个防护我们也在整个生产网系统里面做了测试和验证, 包含各种类型的终端, 基本上现在是可以安心的把项目做起来了, 如果发生大面积的病毒事件, 我们要去找各种工具想各种办法, 最关键还要有 360 这样一个有能力的厂商来替我们一起解决通过两三个月这样的测试验证, 最后事实证明工控安全防护还是可行的我们的目标就是 2018 年 3 月份把整个生产网的工控设备或者叫生产设备整体防护全部实施完在整个实施过程中也是有很多辛酸的, 会遇到各种的终端要去打通, 生产网里面终端几乎含盖了现在在制造业里面所有的终端系统, 包括了 WinCE 的终端, 还有 WIN XP 的, 最老的终端差不多有 10 年了, 都想接入进来, 最后整个工控安全的兼容性都一一的被拿下了我们在工控安全的防护方面 2018 年应该能看到一些成果张静深圳燃气集团 CIO 希望政府行业能有一些协同, 能共同来应对网络威胁, 互联网安全 57

深圳站以及在一旦出现网络攻击的时有可以用的资源我的话题主要是工控安全, 从三个方面谈一下首先第一个方面, 因为现在越来越多的案例, 包括乌克兰电网实际上已经成了黑客的练兵场, 给了我们非常深刻的认识信息安全会影响到生产安全, 甚至影响到城市安全, 我们这个行业, 地下都是各种智能的阀门设备, 一旦被控制很可能发生大的事故另外网络安全法以及政府部门各方面对合规

60 深圳站以及在一旦出现网络攻击的时有可以用的资源我的话题主要是工控安全, 从三个方面谈一下首先第一个方面, 因为现在越来越多的案例, 包括乌克兰电网实际上已经成了黑客的练兵场, 给了我们非常深刻的认识信息安全会影响到生产安全, 甚至影响到城市安全, 我们这个行业, 地下都是各种智能的阀门设备, 一旦被控制很可能发生大的事故另外网络安全法以及政府部门各方面对合规法规的要求越来越严格, 是我们做好信息安全工作驱动的因素第二个是难点和困难, 传统的信息安全实际上更关注于传统的 IT, 对于工控领域, 这一部分知识未必完全适用现有网络安全工程师的知识领域也仅限于网络和应用系统安全, 对工控安全确实需要去补课第三是我们的思路和想法, 我们 2017 年开展了信息安全风险评估有了安全评估的结果, 我们会进行相应的安全规划我们首先还是会做好政府的规定工作, 主要是等级保护, 按照网络安全法的要求以及相关政策的要求把它做好其次, 我们会加强信息安全工程师的培训, 在专业领域朝工控安全领域方面扩展, 应急未来可能突发的状况我们希望政府行业能有一些协同, 能让大家共同来应对这种网络威胁, 以及在一旦出现网络攻击事件的时, 我们有可用资源希望结合内部和外部力量共同把关键基础设施行业的安全水平给做好黄立深圳市信息安全测评中心副主任深圳市信息安全测评中心黄立副主任 : 深圳正在对工业互联网领域内的安全防护做一些研究工作, 希望把这套工业领域扩展到整个深圳市, 为先进制造业和重点行业做一些安全防护深圳目前处在被动防御向主动对抗响应迈进的阶段, 我们做了非常多的工作, 至于更高的威胁情报等还要依托更多的企业提供支持测评中心以前主要做政务领域内的系统检测安全性功能性的检测工作, 还有党政机关政务领域信息安全的应急处置的工作早在 2009 年我们就有一套监控的平台, 曾经为深圳市网络政务领域信息安全做了一些非常重要的保护工作, 但是随着时间的推进我们越来越感觉到这个平台跟不上形势的需要, 已经满足不了我们党政机关对于政务领域信息安全的需求, 正在筹备做第二期网络监控预警平台的建设工作, 预计 2018 年年底之前可以看到这个平台的建设完成刚刚我们测评中心加挂了一个牌子叫网络信息安全的协调中心, 这是编办最新赋予我们的职责, 对我们应急安全协调工作提了新的要求, 我们在这个期间做了非常大量的工作, 包括预案, 对市信息安全工作做一些检查等等, 做了一些非常多的主动性的工作工业互联网领域内的安全防护, 我们目前正在跟 360 在做一些研究工作, 目前我们也是希望把这套工业领域扩展到整个深圳市的先进制造业包括重点行业, 能够在这些领域内做一些安全的防护深圳市经济贸易和信息化委员会安全处处长黄爱萍 : 深圳市经济贸易和信息化委员会安全处黄爱萍处长 : 深圳市会建立一套工业控制系统应急响应的体系, 建立一套行之有效的运作模式机制深圳市会按照工信部和广东省相关要求, 建立一套工业控制系统应急响应的体系, 将来还会进行相应的培训, 提供更好的服务能切实建立一套行之有效的运作模式机制, 确保企业的工控安全工业控制系统安全国家联合工程实验室陶耀东主任 : 工业互联网防护一定要尽量的自动化, 这样能减少人的参与的投入 58 互联网安全

真的攻击到你的时候只要你有相应的预案可以响应得了的, 系统资源有限的情况下我们有一些可量身订作的可弹性的防护这个手段一定要自动化, 尽量的自动化, 这样能减少人的参与的投入, 但是在尽量自动化的同时一定最后做决定的, 不管人工智能 AI 等等进来, 它还是没有办法解决误报漏报这个问题, 在工业现场一定是人在做这件事情安全人才需求的层次化和培养社会化第三部分讨论的内容是网络安全人才问题,

王培网络安全产业研究联盟高级分析师国外大多数的企业或者组织都会设立 CSO 首席安全官的角色, 并已经进入董事会, 参与公司业务的决策 CSO 的责任和职责不仅仅通过技术手段管理手段保障企业安全, 降低安全的风险, 还要通过安全的一些管理去把安全和业务深度的结合, 然后去为管理层做决策何建春万科集团变革管理与流程信息中心副总经理信息安全一定要高层领导重视, 能够提供有竞争力的薪

61 Internet Security Insight 工业互联网是互联网向实体经济覆盖延伸的过程, 是国家供给侧改革的一个驱动力陶耀东工业控制系统安全国家联合工程实验室主任国家在工业互联网的架构里是三大平台, 三大平台其中第一个是网络式基础, 第二个是平台要建国家级的工业互联网平台, 第三个就是要建国家级的工业互联网安全保障体系, 工业互联网的安全已经上升到很高的层次我们说工业网络很复杂, 出了问题很危险, 但是它的对象太多了, 真的攻击到你的时候只要你有相应的预案可以响应得了的, 系统资源有限的情况下我们有一些可量身订作的可弹性的防护这个手段一定要自动化, 尽量的自动化, 这样能减少人的参与的投入, 但是在尽量自动化的同时一定最后做决定的, 不管人工智能 AI 等等进来, 它还是没有办法解决误报漏报这个问题, 在工业现场一定是人在做这件事情安全人才需求的层次化和培养社会化第三部分讨论的内容是网络安全人才问题, 专家们就安全人员层次化需求, 社会化人才培养进行了分享和讨论, 其中还涉及到了机构和企业中 CSO 职位设置的必要性网络安全产业研究联盟高级分析师王培 : 国外大多数的企业或者组织都会设立 CSO 首席安全官, 进入董事会参与公司业务上的决策现在全世界都在讲数字化转型, 无论是政府还是企业, 都在往这个方向迈进, 网络安全是数字化转型能否成功的一个非常重要的因素王培网络安全产业研究联盟高级分析师国外大多数的企业或者组织都会设立 CSO 首席安全官的角色, 并已经进入董事会, 参与公司业务的决策 CSO 的责任和职责不仅仅通过技术手段管理手段保障企业安全, 降低安全的风险, 还要通过安全的一些管理去把安全和业务深度的结合, 然后去为管理层做决策何建春万科集团变革管理与流程信息中心副总经理信息安全一定要高层领导重视, 能够提供有竞争力的薪酬和成长空间 ; 人才培养要坚持学科教育和社会化两条腿走路万科从去年年初逐步加大了对信息安全的重要性认识和投入, 按照防泄密防攻击防特权的安全框架开展工作, 且花了很大的精力和投入来做万科没有设立首席信息安全官, 因为我们觉得每个人都有安全的责任一直按照管理加技术两条线在推动各项工作, 也成立了从总部到一线业务单元的信息安全责任组织谈到人的问题, 我有几点建议 : 一是信息安全一定要高层领导重视, 能够提供有竞争力的薪酬 ; 二是信息安全的人在企业里要有成长空间 ; 三是信息安全工作的价值要获得企业和业务的认可对于人才一是要从源头培养我们现在是两条腿走路, 一条人才途径我们叫新动力, 就是刚毕业的大学生持续培养, 只要学计算机的我们可以慢慢培养你另一条路就是社会化人才给予较好的发展空间因为有了人才能把各项工作做好当然信息安全工作遵循木桶理论因此要补短板并且要持续投入才能见效果互联网安全 59

深圳站张惠敏深圳市教育信息技术中心副主任的首先信息中心主任是学校的中层, 在学校不管教育教学推广, 还是资金安排政策力度方面, 比网络管理员力度要大很多, 有话语权另外一个可以保证我们信息化建设的投入有一个很好的应用效果深圳市教育信息技术中心张惠敏副主任 :

单独的安全是不存在的, 安全一定跟业务相伴相随, 不存在纯粹安全人员安全人才培养我认为首先底层要厚, 重要的是素养, 要加大通习课程和方法论的培养素养方法论的培养要成为人才培养生态里的一种共识, 才能够把这个事情引向好的方向其次是我们在整个培养的时候, 包括企业

需要领导相当重视, 经信委的副主任过去当我们的校长, 对安全这块提的要求非常高我们成立了网络安全小组, 各部门一把手要作为委员, 我担任下设办公室主任, 校长和亲自来管, 所有的信息系统都要经过安全测评才能上线经费投入十分充分, 要钱都会投入我们有专门的两个人员做保障,

应用的推广到了学校后就可以落地网络管理员应用型管理员有一些是学科老师兼任的, 有一些是通过购买服务的方式这种管理模式我们已经有三年多的实践, 效果还是不错张泽功深圳市经济贸易和信息化委员会安全处副处长网络安全的威胁来自于哪里?

62 深圳站张惠敏深圳市教育信息技术中心副主任的首先信息中心主任是学校的中层, 在学校不管教育教学推广, 还是资金安排政策力度方面, 比网络管理员力度要大很多, 有话语权另外一个可以保证我们信息化建设的投入有一个很好的应用效果深圳市教育信息技术中心张惠敏副主任 : 安全人才存在能力要求高跨界性强的特点, 在人才培养上首先要重视素养, 加强整体性认识大家都说安全人才非常缺乏, 安全人才跟别的人才有什么不同的特点, 我想有两个比较突出的特点, 一是安全的人才对快速的应对变化趋势的能力要求更高 ; 二是安全人才是综合人才, 是跨界人才, 单独的安全是不存在的, 安全一定跟业务相伴相随, 不存在纯粹安全人员安全人才培养我认为首先底层要厚, 重要的是素养, 要加大通习课程和方法论的培养素养方法论的培养要成为人才培养生态里的一种共识, 才能够把这个事情引向好的方向其次是我们在整个培养的时候, 包括企业高校的解决思路在整体性方面要加强让更多人看到整体, 从整体里面感悟到整个解决问题的方式方法, 再在具体的东西钻研下去仵博深圳职业技术学院信息中心主任我们作为职业院校主要是培养学生的动手能力, 网络安全是其中的一个方向对于网络安全的理解, 从我们的角度来讲, 需要领导相当重视, 经信委的副主任过去当我们的校长, 对安全这块提的要求非常高我们成立了网络安全小组, 各部门一把手要作为委员, 我担任下设办公室主任, 校长和亲自来管, 所有的信息系统都要经过安全测评才能上线经费投入十分充分, 要钱都会投入我们有专门的两个人员做保障, 两个都是博士学位邓勇深圳市南山区教育科学研究中心 2012 年开始, 我们探索每个学校有一个 CIO, 每个学校要配备信息中心主任职位, 他承担学校里信息化建设的规划应用以及培训管理, 学校中层的角色, 我们教育局信息中心有关信息化的建设管理培训应用的推广到了学校后就可以落地网络管理员应用型管理员有一些是学科老师兼任的, 有一些是通过购买服务的方式这种管理模式我们已经有三年多的实践, 效果还是不错张泽功深圳市经济贸易和信息化委员会安全处副处长网络安全的威胁来自于哪里? 犯罪转型升级很快, 传统的小偷小摸变少了, 因为大家财产放在银行卡里了, 偷不到东西了, 犯罪也往互联网上转移, 这个转移是高智商的转移, 高智商的犯罪网络犯罪又是高纵深的, 从跨地域的, 各个地方的, 甚至来自于国外, 速度很快传播很广我们面临的威胁是高智商的, 只有加强防守一个是提高个人和企业的安全意识 ; 第二个是大力培养安全人才, 应对高智商的犯罪我们一定要高智商高投入安 60 互联网安全

威慑与遏制是冷战时期大国竞争的主要策略, 但是合作将占据主流, 大多数冲突会在升级之前被合作化解, 最佳的选择就是合作有了升维思考以后, 还要降维打击, 在合作的大框架下, 我们未来应该构建什么样的机制, 来构建网络空间的命运共同体, 让我们的网络空间和平安全稳定繁荣郝叶力国家创新与发展战略研究会副会长, 中国国际战略学会高级顾问,ISC 观潮网络空间论坛主席网络空间威胁比比皆是,

63 Internet Security Insight < 长春站 > 长春 : 50 位专家共商新时代的网络安全新方略 12 月 14 日,ISC 中国行第十站暨千人计划专家研讨会在吉林省长春市举行, 来自吉林省和长春市的网络安全相关机构政企机构和高校等 50 多位专家, 共同就网络安全新时代新要求和新方法以及网络安全人才培养等话题进行了深入交流和探讨, 以下是相关内容的摘录 : 下, 来思考问题美国的学者讲过, 威慑与遏制是冷战时期大国竞争的主要策略, 但是合作将占据主流, 大多数冲突会在升级之前被合作化解, 最佳的选择就是合作有了升维思考以后, 还要降维打击, 在合作的大框架下, 我们未来应该构建什么样的机制, 来构建网络空间的命运共同体, 让我们的网络空间和平安全稳定繁荣郝叶力国家创新与发展战略研究会副会长, 中国国际战略学会高级顾问,ISC 观潮网络空间论坛主席网络空间威胁比比皆是, 多种多样, 我们把威胁大致分成四大威胁 : 网络恐怖袭击网络经济犯罪网络舆论乱局和网络军备竞赛网络恐怖袭击网络经济犯罪网络舆论乱局是人类的公害, 网络军备竞赛也是一大威胁, 但是这个安全威胁更多是在国家之间产生的, 我认为它不应该成为常态, 也不宜升温, 应该从政府国家层面有效的限制和抑制各国构建网络安全已经无可厚非, 但是只追求本国利益优先, 各国自扫门前雪, 如果过度的军备竞赛, 第一会造成国家之间的对抗加剧, 第二个加剧网络攻击更加武器化和泛滥化近年来互联网圈都在讲一个攻略升维思考, 降维打击一件事情无解的情况下, 我们应该再往高走两步, 就能看到问题的全貌, 就能看到自己原来的局限和边界我们应该在这样的人类命运共同体的高纬度的思索框架左英男 360 企业安全集团副总裁未来三年里, 全球有 80% 的机构以采购安全服务的形式来帮助自己提升安全能力建设为解决网络安全人才短缺难题, 我们日前正式成立了 360 网络安全大学, 面向三类人群 : 社会公众的安全意识和技能培养网络安全从业这的能力提升高校网络安全专业建设和人才培养面向公众的安全意识和技能培养, 我们将与各地合作建设网络安全教育基地, 通过各种实景体验和互动展示让公众提升安全意识 ; 面向网络安全从业人员有一系列的培训训练班安全训练营还有认证考试 ; 我们和院校进行合作, 帮助院校能够快速的把网络空间安全学院建设起来, 提供课程和对应的实验体系, 包括实验场景相应的设备和布局等方案, 学生从招生到最后的就业, 都会设计一些合作的模式, 帮助院校快速的培养安全人才互联网安全 61

长春站赵长江重庆邮电大学网络空间安全实验室主任网络安全处于新的时代, 主要体现在党的十九大报告中提出了总体安全观, 网络安全是其中重要组成部分, 这是一个牵一发而动全身的关键领域网络安全法

年开始我们按照要求做了政务网, 搭建云平台, 承担了云平台的建设和安全管理, 运行两年来, 暴露了一些安全问题, 感觉压力很大, 我们只有三个人, 对安全无论从认识程度, 还是实践经验能力都不足, 我们选择和

比如个人信息泄露大家没有重视, 马路上发传单要你的电话号码 QQ 号, 很多人给一个小礼品, 信息就被拿去了, 之后就有很多诈骗, 个人信息被泄露了, 是一种过度的信息采集造成的 2017 年 5

唐喜庆中国信息安全测评中心吉林分中心主任我从 2003 年到信息安全检测中心, 这十几年间, 目睹了我们省信息安全防护从无到有从有到现在的过程, 从实际检查和防范的角度, 我们所到之处没有安全漏洞管理上的缺陷

多数单位能够及时解决, 所以损失还是可以接受的从管理理念和技术进步看, 我们的防护还在上升, 安全意识还在提高阶段一些重大事项比如人员信息基础设施的信息泄露, 往往都是属于人的因素

64 长春站赵长江重庆邮电大学网络空间安全实验室主任网络安全处于新的时代, 主要体现在党的十九大报告中提出了总体安全观, 网络安全是其中重要组成部分, 这是一个牵一发而动全身的关键领域网络安全法已经正式实施了, 网络安全法框架下的各种规范和条例也在加快出台, 网络安全监管也会要求越来越高, 主管部门会有严格的检查和执法, 我们政企机构也会面临合规的问题刘邦海吉林省政府电子政务处副处长 2016 年开始我们按照要求做了政务网, 搭建云平台, 承担了云平台的建设和安全管理, 运行两年来, 暴露了一些安全问题, 感觉压力很大, 我们只有三个人, 对安全无论从认识程度, 还是实践经验能力都不足, 我们选择和 360 合作, 我感觉得像小孩看病一样, 自己不一定能治好病, 但首先要知道大致是什么病, 得有一个初步的判断, 要把问题抑制住就更好一些, 这就需要到大医院, 找有能力的医生识不是很强, 比如个人信息泄露大家没有重视, 马路上发传单要你的电话号码 QQ 号, 很多人给一个小礼品, 信息就被拿去了, 之后就有很多诈骗, 个人信息被泄露了, 是一种过度的信息采集造成的 2017 年 5 月份的爆发永恒之蓝勒索蠕虫, 很多单位被感染也是由于安全意识不强, 微软发布补丁已经一两个月了, 这么长的时间, 内网的机器没有重视也没有及时打补丁, 这是一个安全的意识问题唐喜庆中国信息安全测评中心吉林分中心主任我从 2003 年到信息安全检测中心, 这十几年间, 目睹了我们省信息安全防护从无到有从有到现在的过程, 从实际检查和防范的角度, 我们所到之处没有安全漏洞管理上的缺陷从发展趋势看, 各个单位对信息安全的防护从基础设施到领导重视程度, 都在逐步提高比如 2017 年爆发的永恒之蓝, 如果发生在几年前, 我们的损失就不可想象永恒之蓝发生后, 由于对信息安全的重视, 多数单位能够及时解决, 所以损失还是可以接受的从管理理念和技术进步看, 我们的防护还在上升, 安全意识还在提高阶段一些重大事项比如人员信息基础设施的信息泄露, 往往都是属于人的因素我们曾经发现一个单位配备了安全防护的设施, 但是因为人的因素, 有的设备闲置, 没有上线运行, 发生了安全事件李国良吉林省公安厅科通处副处长现在网络安全已经上升到国家战略层面, 国家非常重视, 但在实际操作中, 我感觉用户层面重视程度不够, 安全的意车翔玖吉林大学网络中心主任现在高校基本面临一个问题, 如何能够给师生提供高 62 互联网安全

如何破解信息化水平提升和建立网络安全体系的矛盾是第一个问题安全体系当中, 主要就是要解决不同企业面临不同的信息安全的威胁等级和威胁重点, 要构建适合自己企业的安全体系, 安全体系的发展路径, 我也希望看到国内的一些信息安全软件企业, 能够有这样的产品以及方案应用到我们的信息安全当中胡明长春工程学院院长褚剑锋吉林大学计算机学院副教授互联互通要求政务公开, 把政府

从阵地防御做起, 将来可能会更加深入到主动防御, 检测和响应, 实施信息安全想建立一个完整的信息安全体系不容易, 从哪开始重点领域从哪突破, 是每个企业要面临的头等问题网络空间安全涉及的面特别广, 因素特别多, 网络空间安全作为一个学科, 需求是多样化的, 也是动态化的, 因此需要人的培养也是多样化的, 层次化的, 也需要各个层面来做吉林省卫计委统计信息中心处长张启军

65 Internet Security Insight 效便捷全面的信息化服务比如有线和无线网络的认证, 一次认证以后就不用再认证, 这肯定是最简单的, 那安全方面就不一定保证, 所以这是一个矛盾现在如何解决在保证安全的前提下为师生提供便捷全面的信息化服务, 每个高校都很重视, 但是落实到实际行动时很难大多数学校信息化的建设还是分部门建设的, 各个业务系统都是各个部门自己建, 就涉及到最后信息整合的问题如何破解信息化水平提升和建立网络安全体系的矛盾是第一个问题安全体系当中, 主要就是要解决不同企业面临不同的信息安全的威胁等级和威胁重点, 要构建适合自己企业的安全体系, 安全体系的发展路径, 我也希望看到国内的一些信息安全软件企业, 能够有这样的产品以及方案应用到我们的信息安全当中胡明长春工程学院院长褚剑锋吉林大学计算机学院副教授互联互通要求政务公开, 把政府行政机关的网络都打开, 有很多新的应用, 比如很多网站和 APP, 改变了目前现有的网络安全的现状, 同时安全漏洞每天都在曝, 我们做安全防护的策略和想法就要把思路打开, 现在强调了人是最主要的就是说, 仅靠防火墙之类的设备不能搞定所有的安全问题, 买了几百万的安全产品也不意味着你的系统安全, 应该把思路开阔起来冯伟忠吉林银行科技部处长安全防护从安全合规做起, 从阵地防御做起, 将来可能会更加深入到主动防御, 检测和响应, 实施信息安全想建立一个完整的信息安全体系不容易, 从哪开始重点领域从哪突破, 是每个企业要面临的头等问题网络空间安全涉及的面特别广, 因素特别多, 网络空间安全作为一个学科, 需求是多样化的, 也是动态化的, 因此需要人的培养也是多样化的, 层次化的, 也需要各个层面来做吉林省卫计委统计信息中心处长张启军 : 我们中心一共才 3 个人, 指导全省 2 万多医疗单位的信息安全, 这个难度也非常大, 所以这些年我们一直依靠社会各界力量我们这种自己人才力量很薄弱的信息系统, 希望能借助像 360 这种非常专业的, 有责任心的企业帮助我们做好工作, 因为网络无所不在, 安全如影随形作为信息安全工作者有多种压力, 首先是迅猛发展的技术带来的无力感, 现在国家推动建成医院大数据, 这些新技术新手段带来的威胁对我们来说, 感到网络安全压力非常大, 作为信息中心, 这种无力感非常强烈 ; 其次是安全事件频发带来的危机感, 天天狼来了, 左邻右舍经常被攻击, 作为信息中心主任, 手机不敢关, 这方面的危机都非常强烈, 安全是暂时的, 危机是时时刻刻悬在自己头上 ; 最后是重任在肩的责任感互联网安全 63

长春站杨永健吉林大学计算机学院副院长网络安全人才培养对于学校责无旁贷, 应该把他们培养好, 是不是能够符合业界的需求, 这个还需要行业的检验现在学校设定网络安全专业的时候, 很多设置是偏基础, 偏理论性的东西, 网络安全涉及很多方面, 更多应该是落地, 这个是高校面临的问题周显国吉林省人民医院远程会诊中心主任

对医院的安全人员进行轮训, 对我们医院的安全环境进行顶层设计, 让我们少走弯路医院属于社会化服务机构, 需要专业的公司保驾护航韩立权长春工业大学计算机学院网络工程系主任网络安全在我们学校是属于计算机科学与技术的二级学科, 我们现在培养人才时按照本科和硕士两个方面, 都有网络安全的培养方案本科我们主要是网络工程的专业方向,

中国信息安全测评中心吉林分中心主任唐喜庆 : 目前从信息安全人才培养看, 教育和用户需求这两个层面似乎有一点脱节从教育层面, 包括一些知名大学, 一般都是 211, 985, 纷纷成立了信息安全专业, 多数是从理论上培养, 尤其是硕士生的培养, 理论上讲得很多, 但是实际的操作能力很差 ; 用户层面, 像机关和一些政府部门用人,

66 长春站杨永健吉林大学计算机学院副院长网络安全人才培养对于学校责无旁贷, 应该把他们培养好, 是不是能够符合业界的需求, 这个还需要行业的检验现在学校设定网络安全专业的时候, 很多设置是偏基础, 偏理论性的东西, 网络安全涉及很多方面, 更多应该是落地, 这个是高校面临的问题周显国吉林省人民医院远程会诊中心主任随着信息化的快速发展, 作为医疗行业, 对网络安全的要求也是越来越高, 但是一个三甲医院的信息化的人员也就 20~30 人, 真正拿一两个人搞网络安全也不现实医院这个网络环境, 要保证这个系统绝对的稳定运行, 不允许做任何测试的, 现在医院的环境培养安全人员不现实, 我们希望 360 这样有实力的公司, 对医院的安全人员进行轮训, 对我们医院的安全环境进行顶层设计, 让我们少走弯路医院属于社会化服务机构, 需要专业的公司保驾护航韩立权长春工业大学计算机学院网络工程系主任网络安全在我们学校是属于计算机科学与技术的二级学科, 我们现在培养人才时按照本科和硕士两个方面, 都有网络安全的培养方案本科我们主要是网络工程的专业方向, 主要培养系统化的集成人才, 在培养的过程中, 整个方案也在慢慢的调整, 来适应我们现在的人才的需求, 我们提出了一个大集成的概念, 软件集成硬件集成和系统集成都是集成的方向, 我们在本科教育的时候进行了多元化的探索在研究生的培养时, 我们有一个网络与信息安全的硕士的专业方向, 这个方向主要就是在网安进行深入的研究和探讨中国信息安全测评中心吉林分中心主任唐喜庆 : 目前从信息安全人才培养看, 教育和用户需求这两个层面似乎有一点脱节从教育层面, 包括一些知名大学, 一般都是 211, 985, 纷纷成立了信息安全专业, 多数是从理论上培养, 尤其是硕士生的培养, 理论上讲得很多, 但是实际的操作能力很差 ; 用户层面, 像机关和一些政府部门用人, 还偏偏有一个标准, 一般都是本科以上, 或者锁定名牌大学, 这些大学水平确实高, 理论水平和科研都做的很好, 但实操能力不行, 教育培养和需求有距离所以我建议, 把具有比较充分理论基础的学生, 在临毕业前半年, 送到像 360 这些做安全服务的企业里去去锻炼一下, 这样他在四年掌握了理论基础的前提下, 有过一段动手的实际操作的经历, 实用性会大大提高安 64 互联网安全

研究战法 ;2 威胁情报, 掌握敌情 ;3 态势感知, 掌握我情 ;4 协同防御, 作战方案 ;5 人员训战, 提升战力陈克非杭州师范大学钱江校区特聘教授张聪 360 企业安全集团副总裁在实践中, 我们发现严防死守安全思维模式在今天的新安全时代已经不合时宜企业采用了很多安全防护手段, 部署了防火墙等安全设备防病毒等很多的安全软件, 但安全事件还在发生,

67 Internet Security Insight < 杭州站 > 战略决定成败, 细节成就完美 : 浙江的新时代安全之道 12 月 22 日, ISC 中国行第十一站暨千人计划专家研讨会在杭州, 来自浙江的网络安全行业相关专家探讨了电子政务云政务数据集中背景下所面临的网络安全挑战, 同时分享了各种在信息化建设网络安全建设网络安全管理和网络安全人才培养方面的实践经验和各自的思考以下节选了部分与会专家的精彩发言攻防技术, 研究战法 ;2 威胁情报, 掌握敌情 ;3 态势感知, 掌握我情 ;4 协同防御, 作战方案 ;5 人员训战, 提升战力陈克非杭州师范大学钱江校区特聘教授张聪 360 企业安全集团副总裁在实践中, 我们发现严防死守安全思维模式在今天的新安全时代已经不合时宜企业采用了很多安全防护手段, 部署了防火墙等安全设备防病毒等很多的安全软件, 但安全事件还在发生, 因为安全威胁面对的有可能是有国家背景的正规军, 面对的是一群高智商的攻击者, 他们已经会想尽办法绕过或者突破固定化的防线, 所以说防御已经不能解决所有的问题, 需要在防御基础上建立一套全新的检测响应预测的闭环, 在这个闭环中, 检测和相应能力的高低变得至关重要, 360 新安全思想的一个核心点就是看重安全的检测和响应, 以及闭环后对防御的反哺这就是数据驱动安全技术理念的核心, 用数据驱动的方式去做安全的建设, 安全的被动防御, 安全的分析和相应威胁情报等等, 数据驱动安全落地需要五个主要层面 :1 我感觉本科阶段培养的专业人才很难做到真正对社会那么实用那么专业, 不可能对安全领域专业的东西研究那么深研究美国计算机 ACM 有关计算机科学课程设置可以看到, 安全不是完全独立的东西, 它一定是渗透在不同的系统当中, 真正在社会上充分发挥作用的专业人才一定对计算机对工具对系统有很深的了解, 在本科阶段很难面面俱到, 既熟悉计算机, 又精通安全安全人才的培养应该跟企业跟实用密切结合, 可以借鉴软件学院的做法 : 学校学的多半是理论的, 基础的东西, 而实战的那些技能更多通过实践, 尤其跟专业的企业培训结合起来, 这样的人将来在社会上更能发挥作用安全人才需求量很大, 但其实有不同的类型 : 比如说管理人才应用人才安全技术研发人才安全架构黑客包括分析人才, 这些都不是学校能够培养出来的 360 有资源, 又有环境, 希望 360 在人才培养方面跟高校更多合作, 真正为国家培养这样的人才互联网安全 65

杭州站方向忠浙江省公安厅信息技术处处长公安系统有个普遍的共识, 就是搞信息化必须有安全保障没有安全就没有信息化, 安全事关信息化全局, 居基础性保障性地位在公安信息化过程中, 对于安全的相应投入非常大, 这是由现阶段公安工作的特点和信息化规律决定的譬如, 政府投资建设了大量视频监控, 现在主要由公安管理, 如何保障视频网络安全是非常现实的问题浙江公安正在实施云上公安智能防控

出出点子, 譬如搞一些必要的攻防演练, 提升整体防御能力, 防患于未然确保总体安全对我们来说太重要了杨国蓉浙江省社保厅信息中心副主任 2017 年, 按照省政府的要求, 包括国家层面推进国家大数据战略, 加快数字中国建设的要求, 浙江先行一步现在从省政府层面, 把打破信息孤岛, 实现数据共享作为一个责任和义务, 要求各个政府部门进行数据的开放, 部门与部门之间, 业务与业务之间,

现在面临的云计算大数据包括移动应用的安全, 技术力量人才是非常的稀缺, 现在通过把专业的事让专业的人来做这一块工作, 通过服务外包的方式, 让第三方的安全厂商服务厂商来做金剑浙江省政协办公厅信息中心副主任省政府信息化管理部门近年来出了一系列规定, 要求政务信息系统包括网站全部迁到政务云上, 在云环境下的安全问题是比较关心的问题在云环境下, 安全责任范围怎么划分,

68 杭州站方向忠浙江省公安厅信息技术处处长公安系统有个普遍的共识, 就是搞信息化必须有安全保障没有安全就没有信息化, 安全事关信息化全局, 居基础性保障性地位在公安信息化过程中, 对于安全的相应投入非常大, 这是由现阶段公安工作的特点和信息化规律决定的譬如, 政府投资建设了大量视频监控, 现在主要由公安管理, 如何保障视频网络安全是非常现实的问题浙江公安正在实施云上公安智能防控战略, 这一战略的核心就是充分运用大数据云计算移动互联物联网和人工智能技术, 构建天网天算天智, 提升核心战斗力, 是一个庞大工程可以预见, 随着这一战略的推进, 民警的勤务模式业务流程都会发生重大变化可以说, 新时代已来作为搞信息技术的职能部门, 如何为新的技术框架体系提供安全保障, 责任重大任务艰巨希望得到国内一流网络安全专业公司和专家团队的指导, 帮助把把脉找找短板出出点子, 譬如搞一些必要的攻防演练, 提升整体防御能力, 防患于未然确保总体安全对我们来说太重要了杨国蓉浙江省社保厅信息中心副主任 2017 年, 按照省政府的要求, 包括国家层面推进国家大数据战略, 加快数字中国建设的要求, 浙江先行一步现在从省政府层面, 把打破信息孤岛, 实现数据共享作为一个责任和义务, 要求各个政府部门进行数据的开放, 部门与部门之间, 业务与业务之间, 数据的安全性边界安全性怎么来考虑, 如何来保障个人信息安全是我们下一步面临很大的问题现在提数据安全跟责任, 包括后面的利用网络怎么应用扩展, 包括移动网大数据云平台, 任何节点网络的安全, 有可能影响全局很多时候网络安全从终端安全上去突破, 现在政府层面开展对终端的安全进行安全防御措施, 政务外网要求全面使用终端安全软件, 人社部要求所有的内网设备通过安全软件来达到安全管理现在面临的云计算大数据包括移动应用的安全, 技术力量人才是非常的稀缺, 现在通过把专业的事让专业的人来做这一块工作, 通过服务外包的方式, 让第三方的安全厂商服务厂商来做金剑浙江省政协办公厅信息中心副主任省政府信息化管理部门近年来出了一系列规定, 要求政务信息系统包括网站全部迁到政务云上, 在云环境下的安全问题是比较关心的问题在云环境下, 安全责任范围怎么划分, 责任主体怎么认定, 是个问题目前业务系统已经上云, 出了问题以后责任怎么划分, 到目前为止还没有明确, 比较模糊比如网络病毒感染, 安全责任算云服务的提供商还是算业务主管部门我认为, 一些外在的攻击下发生的网络安全问题, 比如因操作系统漏洞而被网络攻击或者感染病毒等, 应该是云服务的提供商的责任更大一点 ; 如果内部的管理问题, 例如内部人员的监守自盗误操作等, 属于业务主管部门的责任上云是为了节省信息化的投资, 统一管理, 但管理不好很可能会引发灾难性的云安全性问题, 需要加强梳理云基础设施内部的管控机制 66 互联网安全

三是恶意程序的泛滥 2017 年, 网络安全工作任务重压力大, 特别是十九大期间的网络安全保障, 教育部很重视, 在全国教育行业开展了网络安全综合治理行动我们按照教育部要求在全省开展了此项行动, 并确立了治乱堵漏补短规范四个目标, 取得了不错的成效现在网络安全不在简简单单是设备的堆砌, 更重要最终落实到需要人去解决高素质的人, 是我们保障网络安全最重要因素烟草信息安全体系

三是考虑整个信息安全的系统性整体性和协调性信息安全要求是整体性防护, 而不是局部要求先有大的粗的框架, 根据时代的发展和信息安全发展方向, 不断织密它, 最终形成坚固的安全网四是信息安全要始终追随和跟上信息技术发展的脚步我们所提的不是与时俱进, 是与时偕行, 信息安全要与系统的建设相匹配不可能花非常大的代价超出我们能力范围的代价去做信息安全, 我们要做到适用

69 Internet Security Insight 於晓东浙江省教育厅教育技术中心网络技术部主任浙江教育行业面临严重安全威胁教育行业量大面广, 全省教育学校有 6 千多所, 随着这教育信息化的推进, 教育技术信息技术和教育教学融合也是越来越深入, 应用也越来越广泛, 网络安全的问题也越来越凸现, 面临众多的网络安全的威胁一是境外反黑客教育行业攻击越来越多, 越来越频繁 ; 二是威胁针对学生教师信息窃取的行为也是越来越多 ; 三是恶意程序的泛滥 2017 年, 网络安全工作任务重压力大, 特别是十九大期间的网络安全保障, 教育部很重视, 在全国教育行业开展了网络安全综合治理行动我们按照教育部要求在全省开展了此项行动, 并确立了治乱堵漏补短规范四个目标, 取得了不错的成效现在网络安全不在简简单单是设备的堆砌, 更重要最终落实到需要人去解决高素质的人, 是我们保障网络安全最重要因素烟草信息安全体系一是脚踏实地解决信息安全普遍性常识性的问题通过普遍性常识性问题的解决来保证日常的业务管理工作, 夯实信息安全的工作基础通过三年的努力重点解决了三个方面的问题 : 包括 1 终端入网弱密码的问题 2 机房里的入网弱密码问题 3 超级账号问题测试账号问题二是加强过程管理通过过程的控制达到预防为主的目的过程管理主要加强三个方面 : 包括软件开发的过程管理硬件管理, 以及等级保护问题三是考虑整个信息安全的系统性整体性和协调性信息安全要求是整体性防护, 而不是局部要求先有大的粗的框架, 根据时代的发展和信息安全发展方向, 不断织密它, 最终形成坚固的安全网四是信息安全要始终追随和跟上信息技术发展的脚步我们所提的不是与时俱进, 是与时偕行, 信息安全要与系统的建设相匹配不可能花非常大的代价超出我们能力范围的代价去做信息安全, 我们要做到适用目前我们刚建成了云安全架构和传统架构结合的防护体系, 效果还有待检验, 离我们所要建的城防图还有一定的差距周博浙江省烟草专卖局 ( 公司 ) 信息中心主任结合浙江烟草实际从四个方面谈一下对信息安全的理解和做法 : 信息安全信息化建设要有原则要有符合实际的指导思想我们认为信息化建设和信息安全建设的原则是一致的我们提出信息化的建设信息安全的建设要从价值方面考虑从管理方面入手, 要用科学的管理和先进的技术来构建浙江蔡林浙江省公安厅网安总队总工网络安全要跟顶层设计密切相关, 无论是新时代新要求新应对, 都要跟总书记提出的网络安全的七个方面要一致等级保护部门需要做两个手册 : 第一是系统的重要性, 对这个企业甚至对国家影响到底有多大 ; 第二是在评测过程当中, 发现什么样的问题, 下一步该怎么样来整改, 特别是将来在云计算物联网等新技术应用的安全体系该怎么做网络安全没有绝对的安全, 只能通过安全体系的调整和建设, 把安全风险降低到最低互联网安全 67

杭州站新时代新要求新应对这里面都有一个新, 从新的方面来谈几点现在针对关键基础设施攻击越来越复杂, 建议以后从几个层面考虑 : 阮伟浙江大学工业自动化国家工程研究中心教授 1 对抗阵地的前移从单纯的态势感知, 变为自主演进式全球态势感知, 态势感知从目前的境内转移到境外, 从局部转移到全球, 要御敌于国门之外 2

李建强嘉兴市人民政府电子政务办公室主任驱动 5 重点突破安全概念很大, 我们当时提出来两个重点 : 一个防范, 第二个协同这两个重点抓牢, 处理好局部域与全局的关系在实际应对上, 分为三个层面 : 1 抓重点一个是应用安全; 二是数据安全 ; 第三是技术 2 抓策略策略比设备本身更重要因为设备本身就是话语权的问题 3

: 1 从单纯的购买网络设备和构建网络安全体系的趋势 2 从购买设备建系统到购买服务的趋势, 将来最终以购买服务为主体新时代网络安全新要求归纳为共五个方面 : 1 把握定位处理好保底和目标的关系等保测评当初定位非常明确, 是概念, 是保底 2 重运营购买安全服务, 从物防向人防转变 3 全程防护事前事中事后,

70 杭州站新时代新要求新应对这里面都有一个新, 从新的方面来谈几点现在针对关键基础设施攻击越来越复杂, 建议以后从几个层面考虑 : 阮伟浙江大学工业自动化国家工程研究中心教授 1 对抗阵地的前移从单纯的态势感知, 变为自主演进式全球态势感知, 态势感知从目前的境内转移到境外, 从局部转移到全球, 要御敌于国门之外 2 从单点防御到自主演进式的协同联动国家现在提出自适应演进式协同联动, 敌不变我不变, 敌变我变, 敌进我控, 敌攻我扛这种趋势 3 从外置安全到内生安全从现在到 2030 年, 工业设备关键信息系统要达到一种内生安全, 包括内生安全的芯片内生安全的操作系统内生安全的云服务, 要把现在叠加式的纵深防御式的系统串联变成内生安全式的李建强嘉兴市人民政府电子政务办公室主任驱动 5 重点突破安全概念很大, 我们当时提出来两个重点 : 一个防范, 第二个协同这两个重点抓牢, 处理好局部域与全局的关系在实际应对上, 分为三个层面 : 1 抓重点一个是应用安全; 二是数据安全 ; 第三是技术 2 抓策略策略比设备本身更重要因为设备本身就是话语权的问题 3 抓人才这是新兴行业发展共识, 一类安全人才, 另一类数据人才包自毅绍兴市人民政府电子政务办公室主任我是绍兴等保专家组组长, 审了太多莫名其妙的系统, 一个市级部门就有 53 个系统, 实际上它经常使用只不过四五个系统, 有的系统可以整合成两三个, 其实主要的问题还是把整合信息系统的工作做到位网络安全或电子政务网络安全有两个趋势 : 1 从单纯的购买网络设备和构建网络安全体系的趋势 2 从购买设备建系统到购买服务的趋势, 将来最终以购买服务为主体新时代网络安全新要求归纳为共五个方面 : 1 把握定位处理好保底和目标的关系等保测评当初定位非常明确, 是概念, 是保底 2 重运营购买安全服务, 从物防向人防转变 3 全程防护事前事中事后, 现在出的问题大部分是在事后肯定来不及, 所以要全程防护, 处理好物防和人防的关系 4 一网监管解决好老办法和新手段的问题, 就是数据胡建忠温州市公安局网安支队副支队长区块链技术是信息互联网转入价值互联网过程中的重要技术, 三年到五年之后信息互联网会转入价值互联网, 这是一个趋势现在区块链资产的安全问题已突现, 希望今后国 68 互联网安全

从网络角度安全来讲, 首先第一点依法管网技术制网中央网信办成立网络安全法出台, 是为了改变和解决整个互联网管理九龙治水多头管理, 以及重复建设的问题中央网信办对网信系统提出要做三个家 : 政治家技术家, 还有实干家技术对网络安全是非常重要的支撑,

杭州保密协会秘书长网络安全对保密安全来说是非常重要的一环, 网络安全对我们来说非常矛盾, 网络对于我们保密来说是重灾区, 应该有 80% 的泄密事件通过网络出去, 网络安全方面在检查过程当中也发现有很多的设备, 有很多的制度有很多的机房有问题

又是动态的, 还有各行业自身的特殊需求, 有个性化的需求二基于网络安全这么多情况, 网络安全绝对不止是靠买网络系统或者买网络服务来做好的, 更重要的是靠每个部门每个行业的信息安全人员实实在在做出来的三迫切需要在网络安全建设机制上有突破,

71 Internet Security Insight 家抓紧制定一些技术参数与规定, 能够把基于区块链技术的虚拟货币平台与相关硬件规范起来 2 从退伍军人里面, 原来部队里面管信息化的招募一批 3 也在考虑从职业学校里面招, 因为有一些技术人员不要求学历高, 只要求能够把技术活干好就好刘斯靓宁波市委网信办网管中心副主任从网络角度安全来讲, 首先第一点依法管网技术制网中央网信办成立网络安全法出台, 是为了改变和解决整个互联网管理九龙治水多头管理, 以及重复建设的问题中央网信办对网信系统提出要做三个家 : 政治家技术家, 还有实干家技术对网络安全是非常重要的支撑, 对网信系统来讲欠缺比较大, 尤其是地方网信办第二做好网络安全工作对网信办来是责无旁贷, 因为网络安全法给网信办赋予网络安全统筹协调的功能第三网络安全是非常动态的范畴, 还是需要党委政府设施主体, 网络安全运营服务商三方共同发力, 同向同行章建栋杭州市保密局杭州保密协会秘书长网络安全对保密安全来说是非常重要的一环, 网络安全对我们来说非常矛盾, 网络对于我们保密来说是重灾区, 应该有 80% 的泄密事件通过网络出去, 网络安全方面在检查过程当中也发现有很多的设备, 有很多的制度有很多的机房有问题对于网络安全人才培养有几点建议 : 1 跟高校合作, 定向培养一批保密战线跟网络安全相关的管理人才, 还有基础类的人才也在考虑方赵林浙江工业大学信息中心主任对于信息安全方面的工作有四点建议 : 一由于网络安全自身特点, 具有多维性, 又有整体性, 又是开放的, 又是动态的, 还有各行业自身的特殊需求, 有个性化的需求二基于网络安全这么多情况, 网络安全绝对不止是靠买网络系统或者买网络服务来做好的, 更重要的是靠每个部门每个行业的信息安全人员实实在在做出来的三迫切需要在网络安全建设机制上有突破, 这一点是要做好这个工作是必须的四当前人才非常缺乏, 虽然我们是高校信息办和网络中心, 一样也没有人才, 信息办计算机学院和团委联合在筹建网络安全响应中心, 要求学生来参与组建这个团队, 一方面有理论研究, 也有实际的平台, 也有做一些相应的服务工作, 希望适当满足自身需求的同时, 也可以来人才培养这方面吴铤杭州电子科技大学网络空间安全与保密学院院长杭电 2003 年开始就有信息安全专业, 现在网络空间安全的所有专业我们都有, 包括网络工程信息对抗保密案例但人才为什么这么难弄, 有几个原因 : 首先企业和社会对于互联网安全 69

杭州站学校人才培养的诉求不一样, 企业关注是应用, 学校考虑学科的完备性此外, 信息安全专业要学的东西除计算机以外, 要有应用安全系统安全网络安全, 这四块在 160 个学科里就导致已经实战性的学生也没有时间, 现有体制很难突破另外在评价体系上面, 现在大家对高校诟病比较多, 高校以发论文为主, 企业和社会的应用导向, 这跟高校现有的考评系统比较冲突的从学生的角度来说,

学校有大量的附属医院, 需要跟学校进行联通, 包括学校科研的资源, 医院临床和教学数据资源跟学校对接, 对接过程中一般会采用 VPN 的技术, 一般采用老师的 SSL VPN 技术, 现在新提出来虚拟管域网的技术, 稍微会安全一些, 在这种应用场景下, 就会有信息安全的问题刚才提到数据分析平台实际上是自主研发的, 所以会采用区块链技术来对整个从业务系统当中, 采集数据当中的安全问题

72 杭州站学校人才培养的诉求不一样, 企业关注是应用, 学校考虑学科的完备性此外, 信息安全专业要学的东西除计算机以外, 要有应用安全系统安全网络安全, 这四块在 160 个学科里就导致已经实战性的学生也没有时间, 现有体制很难突破另外在评价体系上面, 现在大家对高校诟病比较多, 高校以发论文为主, 企业和社会的应用导向, 这跟高校现有的考评系统比较冲突的从学生的角度来说, 学生在现有的体制下, 人生规划比较盲目, 可能安全热就安全, 云热就云另外和企业合作当中, 企业功利主义倾向比较明显, 企业存在摘果子的现象, 不愿意用钱投入, 这个时候企业对于高校没有把控能力潘志方温州医科大学现代教育技术中心主任温州医科大学是拥有 5 所附属医院,19 所非直管医院的航空母舰, 我负责整个医科大学的信息化建设, 最近以信息技术中心为主导, 自主研发教育的大数据平台学校有大量的附属医院, 需要跟学校进行联通, 包括学校科研的资源, 医院临床和教学数据资源跟学校对接, 对接过程中一般会采用 VPN 的技术, 一般采用老师的 SSL VPN 技术, 现在新提出来虚拟管域网的技术, 稍微会安全一些, 在这种应用场景下, 就会有信息安全的问题刚才提到数据分析平台实际上是自主研发的, 所以会采用区块链技术来对整个从业务系统当中, 采集数据当中的安全问题我采用一种方式, 信息技术中心还有学校的信息工程学院外包公司三方合作信息技术中心更多采用顶层设计和项目管理, 信息工程学院的老师更多使用软件的监管监理以及模型的设计, 这里学院会采用老师学生来共同参与的方式, 更多把一些苦活累活交给外包公司来做从信息技术中心顶层设计开始调用整个学校信息化的人才以及外包公司的这些人才, 这对信息技术中心和信息技术中心主任要求会比较高宋皆荣浙江省网信办网络安全处处长建立网络空间的责任共同体, 对维护网络安全工作十分重要, 需要政府涉网部门机构企业高校共同来建立一个政府产学研政结合的网络安全责任共同体, 发挥各自在维护网络安全中的应有作用这里面政府首先要进一步完善网络安全的政策措施, 履行网络安全监管责任, 落实网络安全责任制, 压实主体责任监管责任属地责任, 坚持网络安全谁建设谁负责, 谁运营谁负责, 谁使用谁负责的原则, 切实把网络安全责任落下去维护网络安全要推动网络安全产业发展, 突破关键核心技术, 力争自主可控, 打造网络安全产业生态圈政府相关部门, 如网信发改科技经信等部门要形成合力, 共同推动网络安全新技术新业态新应用发展, 支持重大应用项目建设政府只有通过与机构企业高校合作, 才能加快网络安全人才培养, 推进网络安全生态链建设 2018 年我国人工智能大数据工业互联网将加快发展, 网络安全面临更加严峻形势, 呼吁政产学研要发挥各自优势, 加强协调沟通, 共同来应对新时代网络安全面临的新挑战安 70 互联网安全

73 Internet Security Insight 网络安全法开启法治和网络三个新时代高大伟深圳市委网信办网管处处长网络安全在今天具有着深刻的含义, 第一层是技术层面, 这是科技的进步和变革 ; 第二层是经济层面, 这是一个庞大的产业 ; 第三层是社会层面, 这是社会治理的重要手段, 也是要面临的严峻问题 ; 第四个层面, 也是最重要的层面, 是国家安全的问题网络安全既是生产力问题, 也是生产关系的问题, 既是国家的政治经济社会问题, 也是公民个人的权利和义务问题 ; 既是国内问题, 也是国际问题 2014 习近平总书记在国家安全委员会第一次会议上首次提出了总体国家安全观, 提出了十一种国家安全, 现在看来网络安全正在逐步的上升为首要的和基本的国家安全问题 2017 年 6 月 1 日实施的网络安全法是网络发展中的一件大事, 其对网络发展的深远影响和重要意义我概括为三句话, 标志着三个新时代一进入了全面依法治网的新时代网络安全法出台以前, 有一段时间网络上的言论失之于宽, 管理尺度过于宽松, 标题党谣言党色情信息政治谣言此起彼伏, 想说什么就说什么, 一时间让人不知所措中央网信办成立以后, 个别地方在执行政策的过程中又失之于严, 在净化网络环境的过程中过于主观过于偏激, 网民开玩笑说说什么都会被和谐掉, 一时间也让人不知所措近年来, 中央网信办先后出台了一系列的部门规章, 加之网络安全法的实施, 互联网法治的四梁八柱正在日臻完善, 为网络治理提出了法制和制度性的框架, 之后先后出台了网络安全审查的法律法规数据管理的法律法规网络安全应急预案等, 陆陆续续还会出台一系列配套法律法规所以我说, 网络安全法的出台标志着我们管网治网进入依法依规的新时代, 网信工作在顶层设计方面会有一些新的措施二进入了法治的网络颠覆时代网络颠覆了我们的生活, 衣食住行消费金融学习工作无不被网络创造出了很多新模式很多的职业和行业随着网络发展逐渐式微, 甚至行将消失霍金更是大胆的预言, 人类在不久的将来会被毁灭霍金的语言或许过于悲观, 但不可否认, 网络对我们的影响正在日益深刻从法律角度看, 网络正在颠覆很多法治概念法互联网安全 71

74 专栏 COLUMN 治规范甚至是法律模式比如说人的概念 : 随着人工智能的出现, 一些国家的法律已经赋予机器人以人的资格比如说物的概念, 虚拟财产的范围和外延不断扩大, 我们在互联网上留下的个人信息和信息痕迹属不属于物, 属不属于个人的财产比如货币的概念, 比特币的去中心化甚至危及到了很多国家的货币发行系统和央行的权威, 使得很多金融行为躲避了法律监管法律关系中最基本的一对关系, 法律主体和客体, 也发生了很大的变化, 人工智能到底是法律主体还是法律客体比如侵权行为, 人工智能造成的侵权责任如何承担等现在传统的犯罪在逐年下降, 有人开玩笑说, 警察和法律没有消灭小偷, 反而是腾讯消灭了小偷这个职业现在的很多犯罪都转移到了互联网, 特别是互联网金融诈骗都在逐年上升网络的这些发展对未来的法治建设甚至法理学的发展都提出了一系列深刻的挑战, 所以说我们的法治也即将迎来一个网络全面的变革时刻, 很多法律的理念可能要用互联网的观念重新审视三进入了法治和技术博弈的时代网络安全法出台以后我们国家急需出台关于个人信息保护的法律, 现在个人信息的滥用已经到了非常泛滥的程度, 任由这种形势发展, 每个人都生活在没有安全可言的时代, 现在我们就是透明人, 我们的信息天天被贩卖, 天天被利用有些技术的发展, 比如杀人机器人, 已经严重侵害了公民的人身权, 尤其是生命健康权技术发展是一把双刃剑, 即可以造福人类, 也可以毁灭人类, 不是所有的技术都应当支持, 都应当授予专利, 法律就应当框定一个笼子, 不仅仅要把权力关进笼子, 还要把技术关进笼子比如基因技术方面, 克隆人就应当被立法禁止, 因为它会带来伦理问题 ; 比如杀人机器人, 不仅不能授予专利, 还应当立法禁止其生产和销售 ; 比如大数据利用, 必须限制严格的使用条件, 否则我们每一个人都是受害者所以法治肩负着更重要的保护人的信息安全和隐私等方面的作用, 一个立法和技术博弈的新时代已经到来希望 360 在网络安全方面坚持两手抓, 一手抓网络安全技术, 另一手增强个人信息保护意识, 重视个人隐私的保护安 72 互联网安全

75 Internet Security Insight 深圳燃气的工控安全建设实践之路张静深圳燃气集团 CIO 12 月 7 日,ISC 中国行第九站暨千人计划专家研讨会在深圳举行, 深圳燃气集团 CIO 张静就新时代下工控安全建设话题进行分享, 他从三方面展开讲述, 包括对工控安全的认识目前工控安全存在的一些难点, 以及深圳燃气的思路和做法重新认识工控安全现在出现越来越多攻击工控设施的案例, 包括乌克兰整个电网实际上已经成了黑客的练兵场, 动不动有黑客在那里试验技术, 造成大规模断电, 让我们对工控安全的风险有了非常深刻的认识我们对网络安全的认知需要改变以前以为网络安全顶多是影响互联网的安全, 但实际上网络安全会影响到我们的生产安全, 甚至影响到城市安全, 像我们燃气行业都是各种智能的阀门设备, 一旦被控制了很有可能发生非常大的事故此外, 我们也面临越来越大的合规压力包括网络安全法以及政府部门各方面文件, 对于合规的要求确实越来越严格, 这也是驱动我们做好信息安全工作的驱动因素工控安全建设落地的难点在工控安全上, 我们面临知识储备不足和人才匮乏的难题我们传统的网络安全实际上更关注于传统 IT, 包括业务系统办公网络对于工控领域, 这一部分知识未必能够完全适用, 因为工控系统涉及到很多物联网设备, 所以我认为我们在这个方面的知识准备和储备实际上是有缺失的此外, 我们在工控人才上也储备不足深圳燃气现在内部有一些网络安全工程师, 但是他们的知识领域仅限于网络安全和应用系统的安全, 对于工控领域的安全, 确实需要去补课最后, 很多工控系统比较封闭, 升级也是非常慢, 大规模做升级难度非常大, 从技术上来说也存在难度深圳燃气的实践之路 2017 年我们开展了信息安全风险评估, 包括漏洞扫描我们希望对整个现状有非常真实的了解, 清楚自身短板在哪里在有了安全评估的结果后, 我们会进行相应的安全规划, 要分步来, 不可能一步到位, 规划好最重要的是补哪一块我们首先还是会做好政府的规定工作, 主要是等级保护, 我们肯定按照网络安全法的要求以及相关政策的要求把它做好其次, 在人才方面, 我们加强了信息安全工程师的培训, 希望它能够把它的专业领域朝工控安全领域方面扩展, 能够应对未来可能突发的状况在网络安全应急系统上, 我们认为单靠企业来应对威胁是不够的, 希望政府行业能有一些协同, 让大家能共同来应对重大的网络威胁一旦出现网络攻击事件我们有可用的资源, 能够互相支持此外, 我们还会考虑外部的服务像 360 有非常专业的专家, 他们提供的防护服务, 也是我们未来考虑的领域因为我们给安全工程师的薪水毕竟就这么高, 你指望他有很高的水平也不现实我们希望结合内部和外部力量, 共同把我们关键基础设施行业的安全水平做好安互联网安全 73

专栏 COLUMN 政务云安全建设要把好三关王永璋芜湖市人民政府信息化办公室总工程师大数据时代的到来给各行各业都带来了新的机遇与变革, 特别是对于政府用户来说, 大数据时代电子政务云的建设更是火热的展开近几年来, 全国各地在政务云的建设上都取得了非常大的成绩, 在智慧城市治理惠民服务和行政管理等方面得到了广泛的应用然而在电子政务云稳步推进的当前, 政务大数据的共享却成为了一大难题

76 专栏 COLUMN 政务云安全建设要把好三关王永璋芜湖市人民政府信息化办公室总工程师大数据时代的到来给各行各业都带来了新的机遇与变革, 特别是对于政府用户来说, 大数据时代电子政务云的建设更是火热的展开近几年来, 全国各地在政务云的建设上都取得了非常大的成绩, 在智慧城市治理惠民服务和行政管理等方面得到了广泛的应用然而在电子政务云稳步推进的当前, 政务大数据的共享却成为了一大难题 2015 年 8 月国务院印发促进大数据发展行动纲要, 明确提出推动政府数据开放共享 ;2016 年 12 月国务院通过了十三五国家信息化规划, 提出要打破各种信息壁垒和孤岛, 推动信息跨部门跨层级共享共用如何推动政府部门数据共享, 打破信息壁垒, 提升协同治理能力成为当务之急在政务大数据共享的推进过程中, 存在着不愿共享不敢共享不能共享等难题, 有些政府部门不愿意将本部门本系统的管理数据拿出来与其他部门共享, 有些政府部门基于风险的考虑而不敢将管理数据拿出来与其他部门共享, 有些政府部门因法律法规的规定而不能将管理数据及时拿出来与其他部门共享政务大数据的分享难题要如何破解? 结合芜湖政务云建设的具体实践, 我们发现政务云在 IT 资源整合和系统高效运行数据共享方面发挥了积极的作用, 但是在大规模应用的时候也存在云安全管理责任的不清, 包括管理缺乏规范以及可控性灵活性不足等方面的问题芜湖在 2015 年就建成并且开始运行政务云中心, 在芜湖市资源整合数据共享系统应用方面发挥了巨大的作用, 芜湖的政务云建设最开始的基本要求也是满足信息安全等级保护, 但实际上这是远远不能够满足网络安全法针对政务云关键信息基础设施保护的要求在实践与摸索的过程中, 我们认为政务云的安全建设需要把好三方面的关 : 一是要把安全责任关中央网信办 2015 年下发了关于云计算网络安全管理的意见, 当中提到了四条基本要求 : 安全管理责任不变数据归属关系不变安全管理标准不变数据敏感信息不出境因此对于政务云来说, 就是要遵照这四条基本要求, 进一步细化明确上云业务部门责任政务云管理部门和运维单位的责任, 正确处理网络责任云平台责任数据责任系统责任的关系和边界二是要把好安全防护关政务云的安全建设除了必要的软硬件防护措施, 还需要分层加强边界防护, 包括访问控制虚拟化防火墙等技术应用, 更重要的是让专业的人做专业的事, 要积极推进购买专业的安全服务, 来保障云平台自身的安全三是要把好安全管理关安全管理关要分成三步走, 首先上云前要建立管理规范, 不是说所有的政务信息系统都可以上云, 要建立可以上云的业务标准 ; 其次上云时要建立上云的审查规范, 按照审查规范对上云的相关业务进行测评审查审核审批 ; 第三是上云后还要常态化做好系统的监测通报以及运行管理工作安 74 互联网安全

77 Internet Security Insight 如何破解数据上云的三重阻碍杭州数据归集共享大会战后的思考齐同军杭州市数据资源管理局数据资源处处长 2016 年 12 月, 国务院印发十三五国家信息化规划, 其中讲到要加快信息化发展, 适应把握引领经济发展新常态数据资源工作是信息化发展的重中之重 2017 年, 杭州广州沈阳成都合肥等多个城市纷纷设立大数据管理局, 归集处理政务民生数据, 提高政府服务效率回看过去一年, 杭州成绩斐然自 2017 年 8 月启动数据归集共享大会战至今 ( ), 归集 59 个部门近亿条信息, 几乎覆盖杭州所有政务数据,85% 的新设企业可按一件事标准进行网上办理, 公民仅凭身份证可办事项 203 项作为数据归集共享先进城市, 杭州还推出了全国首个人工智能数据平台祥云 DRMS 首个数据安全规范杭州市数据安全保障体系规划 ( ), 为后续发展打下了坚实基础杭州市如何做到又快又好发展? 杭州市数据归集共享大会战的推动者数据资源管理局数据资源处齐同军处长做了深入分享破解数据上云的三重阻碍 : 安全权利本位法律约束当前我们没有全部上云, 还在陆续上云的过程中我们认为上云比放在你自己那里安全, 为什么? 因为云的安全级别肯定是高于自己机房的安全级别举一个例子, 你是把钱放在你家枕头下面安全? 还是放在银行更安全呢? 肯定是放在银行更安全为什么你不把钱存在自己家里呢? 说明你更相信银行对数据来说, 云就相当于银行, 而你放在自己家里的机房, 就相当于你把钱放在自己的房间里, 实际上是非常不安全的权利削弱方面, 我觉得只有共享出去的数据, 才能产生更大的价值数据在你一个市局, 产生的价值是很小的, 如果把它共享给其它市局, 能产生很多的价值举个例子, 社保的数据放在社保局, 它只起到了管理作用, 如果共享给其它市局, 老百姓就可以少跑很多次比如说你去投标, 需要提供社保证明, 以前你就要到社保局去看, 实际上我们可以把这个数据直接共享给招标部门, 让他直接可以查询到, 而不用让企业 / 老百姓再去跑其价值不仅仅是少跑腿, 过去你到社保局去停个车, 说不定又违章了, 现在就不会 ; 你不用开车去跑了, 还可以减少用度和碳排放 ; 要去处理一个违章, 要跑到交警城管那里去处理, 处理的过程中没有地方停车, 结果处理完之前违章出来又被贴了一张少跑腿会带来很多的便利, 这个就是数据共享带来的附加值这种附加值只是表面的, 我们希望将来数据共享能够产生更大的价值用电数据放在国家电网, 只是管理电的使用收费用电量, 但这个用电量数据共享出来, 用来计算有多少疑似僵尸企业 ( 开办了但没有运行 ), 克强总互联网安全 75

78 专栏 COLUMN 理就把它命名为克强指数怎么判断呢? 我用工商数据和国家电网数据进行比对, 很容易发现某些企业连一度电都没有用, 你说这种企业有工作人员吗? 怎么连个灯也不开? 有生产吗? 它们就可以定为疑似僵尸企业电网数据拿来评判企业, 肯定不是国家电网能够做的, 它的数据共享出来, 就完全得到了更大的其它价值数据共享是趋势, 也是必然的法律依据当前国家也有一些, 像去年 5 月国务院出台的政务信息系统整合共享实施方案, 里面就明确规定, 除了涉密数据其它都要拿出来共享当然, 有些数据是有条件共享, 需要申请, 共享方式不一样, 但是总的来说是有依据的国家立法比较慢, 地方立法也有先后像贵州已经立法了, 其它城市还在可能走向立法的这个过程, 暂时没有那么快, 各个省市都有相应的管理办法出台, 相当于政府的规范性文件, 这些也是依据杭州徐立毅市长提出, 所有政府数据将无条件归集, 有条件使用, 无条件归集就是要保证所有的数据能够全部拿出来共享数据上云的安全管理之道我们用了很多的手段去保证数据的安全性一开始我们做了一套顶层设计的数据安全规划, 这个规划已经通过专家评测, 正在进行修订, 修订好后全市征求意见就正式发布其次, 我们还出台了政务数据资源共享管理暂行办法, 从整体上对数据安全进行了考量下一步我们会基于数据的全生命周期安全, 出很多实施文件, 确保这个数据在各个环节能够越来越安全我们认为数据共享是必然的, 不能因为安全问题就不共享了, 只是采取的手段方式方法需要斟酌数据安全和传统网络安全系统安全很不同, 主要是保证不泄漏, 隐私受到保护目前我们有多种数据共享方案, 一种是提供数据, 对方保存, 我们这边也保存 ; 第二种是接口调用的方式, 我开发一个接口, 可以随时来调用它的数据, 不一定要存储 ; 第三种是页面查询的方式, 大家都可以到这个页面上去查相关的数据, 只要看一看就可以数据共享平台做了严格的权限控制, 所有访问地址都是经过实名认证的, 非实名认证的地址全部禁止访问实名认证地址有访问次数限制, 比如公安要用社保的数据, 我们根据 2016 年每天办件量统计一个数据, 高峰值一天 150, 那我就定 160, 对方每天只能访问 160 次同时, 你访问 160 次是有平均时间的, 我们对时间也会有所限制假如说你一分钟访问了 10 次, 我已经给你停掉了有的数据是不允许你调用的, 你这个身份去调用了这个数据, 那就会被禁止传统安全的手段, 现在国内常见的安全产品我们也都用了, 包括虚拟主机防火墙入侵检测安全审计等当前每天防范的攻击数还是很多的, 量非常大, 一般他们攻击的也就是我们对外的这一台安全维护主要靠各个安全公司我们是外包服务, 有驻场人员不同安全产品选择了不同公司, 因为每个安全公司做的不是很全面, 我们选择各个方向上的优质企业来做服务, 争取吸取各自的强项, 所有面都没有短板安 76 互联网安全

79 Internet Security Insight 后永恒之蓝时代的终端安全防护思考罗小平比亚迪安全总监 6 月份, 幸运躲过第一次勒索病毒的比亚迪, 最终还是中招 : 工业生产系统被感染, 最核心的动力电池生产系统直接瘫痪掉此后, 对于工控系统, 乃至终端安全如何防护, 比亚迪有了比较深入的思考永恒之蓝二次突袭, 工业生产系统中招永恒之蓝勒索病毒, 之前大家听到中招的都是办公系统, 但是我们 2017 年恰好不巧的是, 整个生产系统躲过了第一次, 结果没有躲过第二次, 在第二次永恒之蓝的时候中招了这个事情影响比较深刻,6 月 9 日发生那一天正好是深圳 CIO 协会走进比亚迪, 白天都在忙着接待, 下午把各位 CIO 送走还没有上车, 我们的系统就开始异常了, 晚上 7 点钟的时候比亚迪最核心的动力电池生产系统直接瘫痪掉了, 这意味着我们所有电动车的电力电机出不了货当时不知道是中了永恒之蓝, 所以去做排查, 星期五的晚上干了一个通宵, 在星期六又干了一个通宵仅仅是把动力电池的生产系统救活, 从 6 月 9 日开始一直到 7 月底差不多用了两个月时间才把生产网里中病毒的终端全部清理干净, 整个中病毒的终端占了我们生产网 20% 这个反面我们也不怕丢人, 在这里拿出来分享整个过程从生产网瘫掉到后来救活, 再到后面的全面清理, 这个过程还是比较艰辛的, 后来我们借助了一些工具, 其中就包括了 360 的天眼系统工控安全提上日程,9 个月打造全面防护体系本来我们 2017 年没打算把工控安全的防护提上日程,2017 年的信息安全计划是先把终端, 包括办公终端生产终端全部防护起来我们在 2016 年底就开始有了终端防护, 终端安全产品从选型测试到最后的定型选定了年做终端安全的时候, 工控安全没有在计划之内, 但是 6 月份发生了病毒事件我们就把工控安全提前提上日程, 现在正在实施工控安全防护这个防护我们也在整个生产网系统里做了测试和验证, 包含各种类型的终端, 基本上现在是可以安心的把项目做起来了 360 的工控安全在这个地方, 发生大面积的病毒事件以后我们一方面是要去找各种工具想各种办法, 最关键还要有一个有能力的厂商来替我们一起解决, 所以通过两三个月的测试验证再到生产系统里面去验证, 最后事实证明, 工控安全的产品还是可行的我们的目标就是 :2018 年 3 月份, 把我们整个生产网的工控设备或者叫生产设备整体防护全部实施完整个实施过程中有很多辛酸, 像生产系互联网安全 77

80 专栏 COLUMN 统里面最先碰到的苦头不是实施, 而是会遇到各种终端要去打通, 生产网里面终端几乎覆盖了现在制造业里面所有的终端系统, 包括了 WinCE 的终端 XP 的终端各种各样的终端都会碰到, 我们测试的时候最老的差不多有 10 年历史, 都想接入进来, 最后整个工控安全的兼容性都一一的被拿下了范围不敢说大, 在深圳制造业里面, 我觉得工控安全防护这一方面 2018 年比亚迪应该能看到一些成就出来, 这是我们对工控安全做的一些事终端安全注重大一统思路, 要建设统一唯一管控平台还有就是每一家企业都在做的终端防护, 分享一下比亚迪的做法, 我们从去年年底开始对所有操作系统的终端进行安全防护, 在内部分了几大块, 一是针对办公使用的, 二是针对生产网使用的, 三是针对第三方合作伙伴我们的汽车设计不是由比亚迪一家完成的, 是很多合作方一起在公网上协同的针对不同的终端类型不同的运行环境, 我们提出了大一统的思路 : 首先是终端的管控平台我们要统一唯一, 不再是以前的五花八门的, 但凡能做安全管控的都放在一起 ; 第二个是怎么管理, 技术层面统一以后管理也要统一, 所以我们有专门的团队来进行实施到现在为止, 我们在一个客户端上对所有终端进行安全管控, 里边措施基本包含了现在在终端安全里面的所有技术领域, 包括桌面管理网络准入打印机 U 口以及所有信息的交互, 类似像微信 QQ 各种各样的聊天工具, 所有的交互工具全部都做了管控现在实施还没有完成, 但是初步结果来看, 基本上达到了我们预期的管控效果管控的同时还要解决一个问题用户体验, 在实施安全管控时要考虑的重要因素就是用户的体验不能降低, 像腾讯做的所有交互工具一样, 体验感如果不好, 那推行起来一定是困难重重这是我们这一年时间在安全终端管控跟工控安全做的一些事情安全人员紧缺难招? 服务外包可解燃眉之急最后一个, 大家说到安全行业从业人员人手紧张的问题, 我就在想, 本身比亚迪去年也是有一整年的时间都在招这方面的人, 但是效果很不理想所以我想, 最佳的办法可能是, 安全公司把人挖走了, 造成人员紧张, 那我们就直接用安全公司的服务帮我们好了安 78 互联网安全

81 Internet Security Insight 教育行业网络安全治理的困惑与思考於晓东浙江省教育技术中心网络技术部主任浙江省教育技术中心网络技术部主任於晓东就教育行业目前主要安全威胁和综合治理进行了分享和剖析以下为於晓东的分享内容教育行业面临三大网络安全威胁教育行业量大面广, 全省中小学校有近 6 千所, 加上幼儿园高校等, 数量庞大, 管理难度大随着教育信息化的推进, 网络信息技术和教育教学融合越来越深入应用越来越广泛, 网络安全问题也日益凸显当前教育行业主要面临境外黑客攻击师生信息窃取恶意软件泛滥等威胁, 一是境外黑客的攻击越来越多, 越来越频繁, 教育行业特别是高校成为攻击的主要目标 ; 二是针对学生教师信息窃取的行为也是越来越多, 特别是招考信息的窃取 ; 三是恶意程序的泛滥网络安全综合治理 : 治乱堵漏补短规范 2017 年, 网络安全工作任务重压力大, 特别是十九大期间的网络安全保障, 教育部很重视, 在全国教育行业开展了网络安全综合治理行动我们按照教育部要求在全省开展了此项行动, 四个目标 : 治乱堵漏补短规范, 取得了不错的成效治乱 : 治理网站乱象堵漏 : 要求各级教育部门都要建立起风险监督机制, 对于所管辖学校网站机构网站进行风险检测, 发现漏洞要及时进行处置跟踪, 核实核验, 最后整改, 堵塞安全漏洞补短 : 在全省全面启动等级保护工作, 要求做到应保尽保, 补齐等保短板, 并与公安部门联合开展等保工作检查规范, 规范网络管理行为, 比如在 2017 年的最多跑一次工作中, 数据归集方面出台了浙江省教育数据管理办法来规范整个教育行业数据的采集运维共享使用等管理行为网络安全的困惑 : 手段机制与人才 1 如何更有效地发现风险? 我们建立了一系列制度, 包括漏洞扫描查找漏洞排查风险等, 建立周检制度, 每周委托服务商比如 360 来做漏洞扫描, 然后责成开发商对所存在的风险进行整改, 再有服务商进行核实验证但是每个礼拜同样有大量的漏洞出来, 有大量的风险点, 这项工作如何做到更加有效? 比如某些风险点今天这个系统里有, 明天另外一个系统同样有, 是否有更加智能化的手段去解决, 不至于让我们长期陷在事务性工作里 2 如何评估损失? 被黑客入侵了, 我的损失如何来评估? 这个方面要有一套机制, 用什么技术手段能够帮我们来评估分析, 我到底损失了什么, 损失多少 3 如何解决安全人才短缺问题? 讲到人员队伍, 大家都说高校如何去培养自己机构如何去培养我觉得不仅是如何培养的问题, 还有一个发展环境的问题像我们这样的行政事业单位, 薪酬体系能不能够适应高水平的安全人员? 能不能留得住? 习总书记的 419 讲话中, 指出要建立适应网信特点的人事制度薪酬制度这个方面应该有所突破, 要让这部分人进得来留得住安互联网安全 79

专栏 COLUMN 落实政务数据安全需提前规划布局陈友增台州市大数据管理中心主任浙江省在互联网 + 政务服务和大数据方面的改革与探索方兴未艾成果迭出在给民众和相关行业带来便利的同时, 也伴随着安全风险, 值得我们警惕面对大数据的安全风险, 我们认为需要, 探索从理念技术体制和运营等多个层面的创新, 以成功应对安全挑战电子政务三大特点综合来看, 电子政务建设大致有三大特点 :

82 专栏 COLUMN 落实政务数据安全需提前规划布局陈友增台州市大数据管理中心主任浙江省在互联网 + 政务服务和大数据方面的改革与探索方兴未艾成果迭出在给民众和相关行业带来便利的同时, 也伴随着安全风险, 值得我们警惕面对大数据的安全风险, 我们认为需要, 探索从理念技术体制和运营等多个层面的创新, 以成功应对安全挑战电子政务三大特点综合来看, 电子政务建设大致有三大特点 : 第一是大, 以大数据为导向的大系统大平台的不断涌现比如围绕全省最多跑一次改革的全省政务服务网大平台全省的基层治理系统综合信息平台, 都是以省政府顶层设计的综合性大系统建设第二是集中, 围绕 " 云 "" 网 "" 数 " 集中展开打造全省一体的电子政务云, 集中全省政府门户网站, 集中全省政府各部门信息资源打造全省一体的电子政务网络, 集中全省所有政府部门网络资源打造全省一体的公共数据平台, 集中全省政府各部门的数据资源第三是共享开放, 围绕打破信息孤岛, 实现数据共享开放, 在近期内明确了清晰的时间表作为政府公共数据和电子政务管理机构, 大数据管理中心的职能经历了三次变化, 从服务行政首脑, 到部门协调, 再到服务百姓和各个部门, 工作方式也从过去的后台走向前台, 譬如一窗受理平台面向基层的信用平台面向公众服务生活服务的市民云, 让很多业务都依赖电子政务平台一旦网络攻击造成系统的停顿, 就会造成严重的影响, 保障政务大数据安全成为首要任务现在感觉安全责任压力山大, 因此作为负责人往往战战兢兢, 如履薄冰网络安全的建议与思考网络安全的关键核心是人病毒是人造出来的, 漏洞也是人留下的我们要特别重视人的因素, 加强引进网络安全专业人才, 制订制度, 防范风险由于网络安全问题复杂广泛, 需要从理念技术体制和运营方面进行创新, 现结合自身工作提出以下几点建议 : 1 数据安全立法从国家层面以及地方层面建立数据安全及个人隐私保护法律体系, 从严从重打击网络犯罪 2 把网络安全纳入政府大平安考核体系把网络安全提高到国家安全城市安全的高度, 让政府一把手真正重视网络安全 3 在政府电子政务管理机构设立网络安全专员或者专门的网络安全机构 4 电子政务管理机构创办国企实体 - 数据运营公司, 利用国企高薪条件, 为招聘网络安全高级人才提供保障随着国家加快进入大数据时代, 迫切需要有响应的大安全理念和技术支撑我们在实施政务大数据时, 需要提前进行安全规划, 确保响应的体制与措施到位同时, 针对安全服务化的趋势, 要选择大型安全机构来提供全方位的安全服务像 360 这类顶级网络安全企业, 要更多的关注政府公共数据和电子政务的数据安全建设, 利用 360 大数据技术优势, 与政府共筑网络安全万里长城安 80 互联网安全

Internet Security Insight 2018.03 www.360.net 网络安全人才的培养与创新机制李安徽农业大学教授截至到 2017 年 6 月, 中国网民规模达 7.51 亿, 半年共计新增网民 1992 万人互联网普及率达 54.3%, 移动网民覆盖率已超过 96%, 移动互联网用户数量已经达到 7.

83 Internet Security Insight 网络安全人才的培养与创新机制李安徽农业大学教授截至到 2017 年 6 月, 中国网民规模达 7.51 亿, 半年共计新增网民 1992 万人互联网普及率达 54.3%, 移动网民覆盖率已超过 96%, 移动互联网用户数量已经达到 7.24 亿科学技术的飞速发展, 必将带动互联网行业向前迈进, 网络之间信息传输量的急剧增长, 网络安全形势也面临着更加严峻挑战, 对于网络运营管理和安全方面的人才需求也更加迫切随着信息化的持续推进, 网络安全问题更加突出, 这也对网络安全人才建设不断提出新的要求网络空间的竞争归根结底是人才的竞争, 然而我国网络安全人才还存在缺口较大素质不高和结构不尽合理等问题, 与维护国家网络安全建设网络强国的要求不相适应网络安全学科建设刚刚起步, 迫切需要加大投入力度习近平总书记在党的十九大中报告中就提出 : 坚定实施科教兴国战略人才强国战略报告还强调, 要培养造就一大批具有国际水平的战略科技人才科技领军人才青年科技人才和高水平创新团队, 并就做好人才工作进行了深入阐述信息技术的发展演变到最后, 一定是对网络爆发性的需求产生的网络相关人才极度匮乏的问题纵向来看, 目前的大中型企事业单位及政府部门对网络行业人才的培养及网络安全等职能部门的建设仍不够重视, 加上网络技术日新月异更新频率高, 从而造成潜在技术人才的流失和人才存量过少与此同时, 人才和资源的不平衡分布也是导致人才匮乏的症结之一, 像行业间的不良竞争相互挖人等现象, 相关技术的学习资源平台和人群的受限等问题都亟需应对针对这些问题, 我们认为网络安全人才的培养应如下几个方面予以审视一网络安全人才的培养与创新对于网络安全人才的建设, 国家近些年给予了前所未有的重视中央网信办还联合了有关部门, 出台制定了一系列指导意见和有关人才奖励和学院建设等具体实施办法, 如关于加强网络安全学科建设和人才培养的意见一流网络安全学院建设示范项目管理办法网络安全优秀教师奖奖励办法等, 就是为了有力地推动我国网络安全人才建设的步伐尽管具备了良好的政策条件, 但现有的网络安全人才培养机制仍不够健全, 没有统一的培养规范和标准高校企事业单位及合作培养模式涉及网络安全相关专业的范围仍不够广泛因此, 应当适时加快网络安全类学科和院系建设, 制定出专业内一系列具有代表性可行性的人才培养方案, 使得网络安全人才的培养模式有迹可循加大有关科研投入, 加强基础科研设施的建设, 开展高水平高层次的科学研究, 完善本专科研究生教育和在职培训等多层次的网络安全人才培养体系此外鼓励高等院校科研机构根据需求和自身优势, 拓展网络安全专业方向, 建设跨专业跨学科式网络安全人才综合培养平台 ; 鼓励高校开设网络安全基础公共课程, 提倡非网络安全专业学生学习掌握网络安全知识和技能 ; 发挥专家智库作用, 在实践应用上, 积极推动互联网安全 81

84 专栏 COLUMN 高等院校与行业企业的合作育人协同创新二网络专业人才的需求精准化创新科技人才, 特别是高层次创新人才代表着一个地区核心竞争力, 也是各地争相引进的核心战略资源在高层次人才引进上更加注重精准引才注重高端紧缺人才引进现有的企事业单位在专业技术人才录用体制与标准上过于僵化和局限, 人才选拔标准不精确等造成了人才过度流失与资源浪费因而需要优化人员结构, 创新网络安全人才的评价机制, 以实际能力为衡量标准, 不唯学历, 不唯论文, 不唯资历, 突出专业性创新性实用性, 最大程度地挖掘和招揽英才另外, 不同的网络行业对人才的需求定位不尽相同, 岗位与不同层次人才的适配度需求也不相同这就需要用人单位在招录网络相关行业人才时, 结合实际岗位需求和发展定位来制定适宜的岗位招录信息, 而不是一锅端, 或是入岗后进行回炉再造零基础等事后基础培训, 从而浪费不必要的开支与资源其次, 不同层次的岗位也应当适配相应技术能力的人员, 如把擅长底层硬件施工布线人员安排在高级软件开发层面的岗位上, 把熟悉高级网络管理的人员放到简单的设备运维岗位上等, 这都是岗位层次需求与人才能力不匹配所造成的二次人才浪费, 即专业人才的优势能力未得到完全应有的利用而造成的人才资源浪费这就需要用人单位因位制宜, 对专业人员从招录到不定期考核进行全方位的评测, 通过数据的分析, 力求制定出适宜的可动态调整的专业岗位匹配方案, 真正意义上地做到人尽其才, 物尽其用, 发挥好不同类型网络安全人才的作用三网络安全人才的深度持续提升随着网络安全技术的不断革新, 现有网络安全从业人员职业素质和管理水平的提高也变得十分重要但企业和机构往往只停留在扩大岗位需求和加大引进力度的层面, 而忽视网络团队的自身管理, 内部隐患也就成为了引发网络安全事件的主要诱因之一, 因而需要加强团队的管理能力, 增强责任意识, 提升网络管理的能力加强网络安全从业人员在职培训, 建立党政机关企事业单位网络安全职员培训制度, 提升网络安全从业人员安全意识和专业技能各种网络安全考核要将在职人员网络安全培训情况纳入考核体系, 制定完善的网络安全岗位分类规范和能力测评标准建立健全的网络安全人才培养激励等机制, 满足后期学习途径升职空间等人才发展需求, 通过项目工程平台竞赛等形式, 锻炼培养造就人才, 促进行业人员的自我能力提升, 增强行业发展后劲四网校培养模式及人才共享服务机制引导并规范社会力量网络安全企业开展网络安全人才培养和从业人员的网络安全培训加深与资深网络安全机构的交流合作, 深入开展技术人才以及战略上的研讨与互助活动同时, 深化校企人才联合培养模式, 推进因材施教个性化培养进程, 侧重培养学生实践应用能力和实际解决问题的能力此外, 由于传统教育途径培养的网络安全人才, 一方面数量不足, 另一方面实践经验缺乏, 远远满足不了实战需要在互联网 + 时代, 我们需要依托互联网平台, 开放多样化的网络安全知识技能的线上线下学习平台, 逐渐建立起网校培养模式, 将国内安全领域龙头企业的技术经验和研究成果通过各种创新开放平台, 传递给信息安全从业者与校园学子同时能为不同领域需求的人群提供个性化的学习途径, 随时随地获取目标资讯与技术这都讲有利于解决国内网络空间安全人才短缺的难题, 营造社会化的网络安全终身学习体系和氛围, 未来也能让更多人参与到网络安全的建设中去安 82 互联网安全

展开

邀请函1

邀请函1 2015 企业级 IT 服务与软件应用创新峰会上海市计算机用户协会上海市通信学会 2015 企业级 IT 服务与软件应用创新峰会主办单位 : 支持单位 : 承办单位 : 企业级 IT 服务与软件应用创新峰会大会拟定日程安排合作支持媒体参加行业及人员相关软件开发系统集成信息安全数据中心建设与运营电信运营公司医疗机构教育科研互联网金融保险制造业能源电力石化交通运输