ISC 2021國家關鍵信息基礎設施安全防護研討峰會成功舉辦
近日,作為第九屆互聯網安全大會(ISC 2021)九大峰會之一的國家關鍵信息基礎設施安全防護研討峰會在北京國家會議中心成功召開。本次會議由CCF計算機安全專業委員會主辦、360集團承辦,會議邀請了院士、專家、學者、企業代表,共同交流探討,帶來國家關鍵信息基礎設施安全防護的前沿觀點。
(國家關鍵信息基礎設施安全防護研討峰會會議現場)
需積極構建關鍵信息基礎設施安全保障體系
在網絡安全方面,去年起公安部積極推進等保2.0的實施,并下發了《關于貫徹網絡安全等級保護制度和關鍵信息基礎設施安全保護條例的指導意見》,將關鍵信息基礎設施的保護工作推向了實施階段。
(公安部一所原所長、中國計算機學會計算機安全專業委員會榮譽主任嚴明)
公安部一所原所長、中國計算機學會計算機安全專業委員會榮譽主任嚴明擔任本次峰會的主持人,他在開場時提到,數字技術與網絡技術的深入融合,以大數據、人工智能、物聯網等新一代信息技術產業化應用為標志的數字經濟,迫切需要一套完整的數字化基礎設施作為支撐。隨著新型基礎設施建設和應用開展,相關業務的安全風險,應用場景安全風險和關鍵技術安全風險也在一起浮出水面,因此,期望本次會議業界同仁共同討論關鍵信息基礎設施的安全防護問題,同時為業界搭建一個學習與交流的橋梁。
(中國計算機學會計算機安全專業委員會主任、公安部第一研究所副所長于銳)
中國計算機學會計算機安全專業委員會主任、公安部第一研究所副所長于銳在致辭時表示,關鍵信息基礎設施是國家安全建設和發展的基石,也可能是遭受重點攻擊的目標,是網絡安全防護的重中之重。他提出了對于行業發展的幾點認識:一是要樹立正確的網絡安全觀;二是要加快構建關鍵信息基礎設施安全的保障能力和保障體系;三是要提升全天候全方位網絡安全態勢感知能力;四是完善關鍵信息基礎設施安全防護的應急機制;五是增強網絡安全防御和威懾能力;六是要加強網絡安全人才隊伍的培養。
(中國工程院院士沈昌祥)
“筑牢關鍵信息基礎設施安全防線,核心是安全、可信。網絡安全等級保護制度2.0標準要求全面使用安全可信的產品和服務來保障關鍵基礎設施安全。”中國工程院院士沈昌祥在作題為《用主動免疫可信計算筑牢關鍵信息基礎設施安全防線》的精彩分享中表示。對于如何進行關鍵信息基礎設施網絡防護,他指出,要用安全可信構筑網絡主動免疫保障體系,打造主動免疫可信計算3.0新型產業空間,筑牢關鍵信息基礎設施3.0。
(公安部歷年演習裁判李海威博士)
隨后,公安部歷年演習裁判李海威博士進行了題為《實戰攻防下的網絡安全問題與對策》的演講,他指出網絡攻擊總體特點包括精準踩點、高效突破、高超社工、潛伏漫游、精準打擊等,面對這些特點,關鍵信息基礎防護應當采取硬措施:一是收縮互聯網出入口;二是主機防護全覆蓋;三是內外情報共享;四是數據安全隔離交換;五是網絡異常外聯預警;六是網絡安全以打開路;七是開展專業培訓。
(公安部信息安全等級保護中心專家委員會委員任衛紅)
公安部信息安全等級保護中心專家委員會委員任衛紅發表了《關鍵信息基礎設施保護政策和標準》的演講,對關鍵信息基礎設施保護政策和標準進行了解讀。她介紹了目前關鍵信息基礎設施保護的工作職能分工,關鍵信息基礎設施保護條例(草案)制定認定過程中要考慮到網絡設施、信息系統等對本行業、本領域關鍵核心業務的重要程度,網絡設施、信息系統等一旦遭到破壞后可能帶來的危害程度,對其他行業和領域的關聯性影響等因素。
(中國人民銀行金融信息中心信息安全部主任袁慧萍)
中國人民銀行金融信息中心信息安全部主任袁慧萍作了《網絡安全體系相關實踐》主旨演講。她從當前網絡安全形勢、網絡安全體系規劃、網絡安全改進實踐三方面進行了介紹。她認為網絡空間面臨的安全問題與過去不同,具有對手更具組織化,環境“云”化,目標數據化,戰法實戰化的特點。通過調研分析,發現行業存在威脅發現不及時、數據泄露風險大、認證與授權技術滯后、應用系統防護不足、安全運營支撐較弱、邊界安全防御不足、安全保障體系不完善等問題。
分享最佳實踐和解決方案
除了院士、學者帶來對關鍵信息基礎設施保護的真知灼見以及趨勢預測,當天的會議還邀請了行業專家、企業代表積極分享新技術新應用、安全風險和管控、網絡安全產品等熱點領域,交流最新研究成果、技術路線、解決方案和最佳實踐。
(中國科學院信息工程研究所副主任陳愷)
中國科學院信息工程研究所副主任陳愷帶來了《智能方法與軟件安全》的主題演講。在演講開始部分,他提出了AI應用是否真的安全,AI是否能輔助傳統攻防手段的問題,并給出了他的觀點,他認為,目前智能技術越來越多地用在了軟件安全、漏洞發現、漏洞驗證等領域,但是智能技術暫時還存在一定的脆弱性,表現在機器審核、智能算法還有目標識別、語音控制等方面的脆弱性。
(國家計算機網絡與信息安全管理中心高級工程師、博士韓志輝)
國家計算機網絡與信息安全管理中心高級工程師、博士韓志輝進行了《勒索軟件威脅下的關鍵信息基礎設施安全防護》的主題演講。他介紹了勒索軟件的演進史與態勢,將勒索類軟件分為系統鎖定類、文件加密類、數據破壞類以及數據竊取類。目前,勒索類軟件攻擊對關鍵信息基礎設施具有強針對性。他認為要完善關鍵信息基礎設施安全保護法律法規和政策標準體系,完善和明確關鍵信息基礎設施重點保護措施和要求,顯著提升關鍵信息基礎設施網絡安全防護能力。
(360集團戰略創新研究院副院長吳露渟)
360集團戰略創新研究院副院長吳露渟帶來了題為《關鍵信息基礎設施安全能力體系建設》的演講,她指出,關鍵信息基礎設施的安全應建立網絡安全綜合防御體系。360公司構建了一套安全能力的成熟度的框架。這套系統具有很多特點:第一是模型特點,安全狀態可量化,引入百分制的機制,通過機制對政企現有的安全狀態進行評價;第二是能力成熟度建設,這個是360安全能力公式落地的基礎工程;第三是持續校驗;第四是特色網絡安全能力度量標準。
無疑,關鍵信息基礎設施安全防護已經成為業內共識,本次ISC 2021國家關鍵信息基礎設施安全防護研討峰會的成功舉辦,將為行業發展貢獻新思路和新實踐。
