斬“手”

2012年9月12日，由工業和信息化部信息安全協調司指導，《計算機世界》報社主辦的2012中國信息安全大會暨第十屆中國CSO俱樂部年會在北京召開。在本次以“落實‘十二五’規劃 應對信息安全挑戰”為主題的大會上，工業和信息化部信息安全協調司司長趙澤良、工業和信息化部電子科技情報所所長洪京一、工業和信息化部電子科技情報所副所長萬鵬遠、國家信息化專家咨詢委員會委員寧家駿、公安部檢測中心主任助理兼信息安全技術部主任范紅等多位領導及專家，就信息安全行業的現狀以及未來發展方向給出了指導性意見，華為、天融信、趨勢科技、網康科技、邁克菲、飛塔、中標軟件、H3C等業內廠商也同時受邀，就業界熱點同與會者進行了深入的探討。

工業和信息化部信息安全協調司司長趙澤良在大會致辭中，對中國信息安全大會及CSO俱樂部活動的作用給予了肯定，“這一大會在宣傳信息安全方針政策、促進信息安全技術的交流合作，以及提升全社會的信息安全意識等方面都發揮了積極作用。”

信息安全已經成為國家安全一部分

趙澤良司長表示，在信息技術發展日新月異的今天，我們不僅要在信息安全的風險評估、產品認證等方面堅持遵循《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號，以下簡稱“27號文件”）的規定，同時“更要強調對關鍵信息基礎設施的保護、對重要信息系統的保護、對政府信息系統的保護，以及對個人信息、企業信息，乃至信息資源的保護。”

“‘27號文件’和‘23號文件（《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》，國發[2012]23號)’共同構成了我國信息安全的總政策框架。”趙澤良司長說，“二者都是指導我們今后一個時期信息安全工作，乃至信息化工作的重要文件。同時，文件中所提到的內容也是我們信息安全工作的一個重要任務。”

工業和信息化部電子科技情報所所長洪京一表示：“‘十二五’時期是我國全面推進經濟和社會信息化的關鍵時期，迫切需要加快發展信息安全產業，為國民經濟和社會信息化提供安全可控的信息安全技術、產品和服務。”

在我們的生活中，從衣食住行到產業經濟，再到國防軍工，信息技術的“烙印”無處不在。正是因為這樣，信息安全已經成為保證社會發展、保障國家安全的重要支柱。美國、俄羅斯、日本等國家都在信息安全方面投入了大量的人力、物力，將信息安全上升到了國家安全的角度去考慮。比如，美國已經先后制定了一系列的相關文件，并對部門進行整合以對信息安全進行統一管理。

國家信息化專家咨詢委員會委員、國家信息中心專家委員會副主任寧家駿認為，我國網絡信息安全工作正在面臨著新的復雜形勢。一方面信息化的大勢不可逆轉，信息安全問題更加錯綜復雜。所以，對信息安全保障體系的建設需求更加緊迫；另一方面，社會管理面臨著新的形勢，也使我們的信息安全面臨新的挑戰。同時，公民的公平意識、民主意識、權利意識、法制意識以及監督意識不斷增強，公民意識的多元化也給我們如何管好互聯網提出嚴峻的挑戰。

“威脅在不斷地演變，這對我們發展重要性系統的保障工作提出了更加緊迫的需求。”寧家駿表示，“有些人覺得我的電腦中沒有存儲什么可被竊取的內容，這種想法是非常不恰當的。很多攻擊就是利用這些疏于防范的平臺作為網絡攻擊的第一個跳板，進而以此為突破口非法訪問重要內容。”

他表示，我們已經從以計算機為中心的PC時代，過渡到了網絡時代，而如今又進入到以服務為中心的云計算和物聯網的時代。在這樣的背景下，信息化建設本身對信息共享、資源共享和網絡共享提出了十分緊迫的需求。

從物聯網到電子政務安全

物聯網、電子政務、云計算，這些如今已經為我們耳熟能詳的詞匯放在幾年前會讓人感到非常陌生。而隨著對這些概念的理解程度加深，我們所關注的話題也已經從早期的如何實現、如何落地，發展到了如今的如何運維、如何保護。在這些領域，信息安全已經有了自己的用武之地。

公安部檢測中心主任助理兼信息安全技術部主任范紅在信息安全領域擁有多年的實踐經驗，在本次大會上，她重點介紹了當前在物聯網感知層通用安全技術體系方面的一些研究成果。

物聯網感知層通用安全體系研究的目標，是為不同類型的物聯網應用提供通用的感知層安全技術參考依據，為各類物聯網應用的感知層安全設計、實施和檢測工作提供技術支持和指導，以及指導制訂各類物聯網應用的感知層安全技術。在公安行業，目前物聯網有了很多實際應用，這其中包括特定人員識別、危險物品監控、異常行為報警以及車輛GPS定位感知等，涉及RFID、人像識別、手機定位感知以及傳聲器陣列等多種技術。

范紅介紹說，在物聯網感知層安全技術體系中，數據處理是數據獲取后的一個重要操作。其中面臨的安全問題包括RFID標簽本身的安全威脅、通過電磁輻射分析技術的非法通信、傳輸過程中的安全威脅，以及個人隱私的安全威脅等。

針對這些威脅，范紅表示，一方面RFID標簽自身要具備更安全的輕量級密碼算法以加密數據，另外也要采用傳輸安全防護、抗干擾以及密鑰管理等措施，使得系統可用。除此之外，在物聯網應用中，用戶還要注意保證數據的完整性，并加強訪問控制和安全審計機制。

在談到信息安全發展時，范紅深有感觸地表示：“我們進行物聯網感知層技術研究的時候，發現一個現象：信息化應用能走得遠些，信息安全就能走得更遠。信息安全領域有著一個非常廣闊的展現舞臺。”

一直以來，華為在政府及公用事業方面都在進行著開拓與努力。今年2月，國家信息中心與華為共同達成電子政務戰略合作；8月初，雙方共同構建起了“電子政務聯合創新中心”。

在本次大會上，華為SecoSpace產品線行業總監蔣淼對電子政務的發展狀況做了詳細的介紹。“政府數據中心目前來看已經完成了虛擬化部署，在向私有云演進。在這其中，用戶最關心兩個話題，一個是業務可用性，另一個是數據集中過程中的數據泄漏防護。”蔣淼表示。

在這其中，云計算的多租戶特性尤為值得注意。多租戶雖然看起來節約了成本，不過由于各個部門申請的資源都互相獨立，因此安全防護也會相應獨立起來，這中間包括安全策略的獨立部署、日志報表的獨立察看、獨立的資源使用等多個環節。但是，如果每一個部委都獨立部署安全產品，成本則會不降反升。

蔣淼在演講中提到了華為在政務云安全方面的看法。首先，用戶需要在數據傳輸過程中進行加密，并對整個數據的安全做完整的生命周期管理，并在網絡邊界建立不同區域的虛擬機，在邏輯上隔離開來。另一方面，用戶同樣可以采用安全虛擬化技術以解決多租戶安全成本的問題。在使用體驗上，通過安全虛擬化技術，每個租戶所感受到的還是獨立的一臺防火墻。

目前，華為已經在我國多個地方完成了云數據中心的建設。“西南某省的政務云接入了80多個廳局。華為在這個項目中不僅實現了政務云的集中管理，還完成了相關的邊界防護。后續我們會進一步根據政務協同要求進一步深化。”蔣淼表示說，“華為在云安全方面已經具有完整的解決方案。”

新時代的安全：百花齊放

伴隨著技術革新和應用需求變革的熱潮，在本次大會中，天融信、趨勢科技、網康科技、邁克菲、飛塔等廠商都分別就不同的側重點，介紹了信息安全領域未來的發展趨勢。值得一提的是，盡管信息安全聽起來是一個共同的話題，不過不同廠商的演講重點都不盡相同。即使有些廠商之間在觀點上達成了一致，但是在最終的實現方式上也是多種多樣的。這種不同觀點的爭鋒與融合，也讓本次大會有了一些“百花齊放”的味道。

天融信安全網關產品線總監馬騰輝表示，隨著信息化應用的不斷增加，用戶對應用層的安全防護需求越來越強烈。但是，多個不同功能的安全設備使得運維成本居高不下，并增加網絡故障點。因此，天融信就下一代防火墻提出了6點特性，包括基于用戶防護、面向應用安全、高效專發平臺、多層級冗余架構、可視化解決方案以及安全技術融合等。

對于下一代安全防護，網康科技高級市場經理嚴雷也有著自己的觀點。他在演講中提到了一個非常核心的理念：以用戶應用為核心。他表示，安全產品一定要加強應用層的防護。盡管下一代防火墻在概念上還存在爭議，不過，不管這個概念如何變化，都必須堅持以應用為基本點定制安全策略，“從網康建立的那一天起，我們就沒有從網絡的底層出發想問題，而是從應用的底層出發想問題，因為網絡基礎的價值在于它能夠為人類提供服務，支撐企業的業務。我們要做產品，就是要服務于我們客戶最基本的需求。”

趨勢科技北方區技術總監羅海龍在演講中主要談到了趨勢科技在云計算方面的一些做法。他表示，在云基礎設施方面，趨勢科技主要考察虛擬化安全這部分的內容。同時，趨勢科技在云應用解決方案方面還可以提供對漏洞、釣魚網站的實時安全檢查。

邁克菲中國區技術總監鄭林表示，目前企業，尤其是中小企業面臨著多個類型的風險。排在首位的是直接風險，也就是安全威脅直接為企業帶來的經濟損失。第二是社會風險。最為簡單的例子就是我們常說的僵尸網絡，黑客可以利用這個網絡中的終端做任何事情。

就當前熱門的BYOD（Bring Your Own Device，自帶設備）話題，飛塔公司高級顧問工程師譚杰認為，BYOD之所以流行，主要在于其降低了企業成本，而且改善了用戶體驗。然而，BYOD的流行卻在某種程度上增加了數據泄漏的風險。 所以，從安全角度考慮BYOD，首先要評估項目的必要性，并進而對不同的BYOD安全解決方案進行審查。

在隨后進行的高峰論壇環節中，天融信高級副總裁劉輝、H3C總工李彥斌、中標軟件總監李震寧、計世傳媒副總編輯孫定、計世資訊高級分析師盧軍就云計算安全實施、相關政策制訂等話題同與會者進行了交流。