信息安全揚帆起航
——2014年中國網絡安全大會紀實

《電視技術》編輯部

信息安全揚帆起航
——2014年中國網絡安全大會紀實

《電視技術》編輯部

10月23日，由中關村海外科技園與賽可達實驗室-西海岸實驗室（中國）主辦，中國金融CIO聯盟、中關村信息安全產業聯盟、中國科學院北京國家技術轉移中心、中國云體系產業創新戰略聯盟等多個行業協會、機構組織協辦的“2014年中國網絡安全大會”在京隆重召開。本屆大會以“全球化的網絡安全新格局·新挑戰”為主題，從技術、應用、標準、行業案例等多個角度對網絡安全的現狀及未來發展進行了深度探討，國內外40多位信息安全領域頂尖專家、國內重量級企業高管、政界嘉賓及知名學者分享了全球前沿的信息安全技術與解決方案。

信息安全形勢嚴峻

大會聯合主席，賽可達實驗室宋繼忠主任介紹，隨著全球信息技術日新月異的發展，網絡信息安全環境日趨復雜。“棱鏡門”事件的持續發酵與影響，令更多不為人知的監控項目不斷曝光，如何抵御網絡威脅成為各國關注的首要議題之一。“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”已上升為國家戰略。

2013年中國信息安全測評中心發布的報告顯示，“隨著行業云計算、大數據、移動互聯網等新技術、新應用的引入、業務多元化的實現以及信息化、工業化的不斷融合，重要行業和企業的信息安全建設明顯滯后于信息化的發展，基礎信息網絡與重要信息系統的脆弱性依然突出，信息安全風險已升至行業風險的高位，關鍵數據的安全和業務的連續性面臨極大的挑戰，中國企業的信息安全形勢不容樂觀。”

主要表現為以下幾個方面：

首先，行業企業和內部的信息安全發展極不平衡，存在安全短板。一是行業間信息化發展速度的不均衡，導致部分行業和企業的信息安全滯后程度相當嚴重；二是在企業內部，對于很多規模龐大，機構眾多且業務復雜的大型企業來說，雖然在信息化建設初期進行了統一的規劃及要求，但由于各部門及分支機構對信息安全的重視程度不同，針對信息安全的投入不同，因此信息安全的建設和防護水平參差不齊，造成這些企業系統的整體防御及縱深防御體系比較薄弱，出現了短板的現象，非常容易引發全局性的安全問題。

其次，數據安全沒有得到足夠的重視，敏感數據存在泄漏隱患。由于企業沒有采取切實有效的數據防外泄措施，數據沒有根據重要程度分類分級進行保護，大量敏感數據采用明文傳輸和存儲，同時互聯網出口防護不善，網絡隔離不利，應用層安全漏洞大量存在，導致大量敏感數據面臨失竊風險。

第三，安全檢測和感知能力不足，無法及時發現和處置攻擊等異常行為。雖然很多企業部署了入侵檢測設備，但是由于存在部署位置不當、規則庫老舊，沒有及時進行更新，報經日志無人查看等原因，導致其入侵檢測的設備形同虛設。此外，部分企業沒有建立健全應急響應體系和機制，缺少遇到安全事件的實際演練，信息化人力資源和技術能力不足，也導致信息安全長期處于被動狀態。

第四，關鍵技術受制于人，安全隱患與日俱增。

第五，安全規劃和建設沒有同步，引入新技術的風險持續加大。

隨著云計算、大數據、移動應用的普及，眾多企業均在積極跟進新技術的步伐，但在應用這些新技術的同時，部分企業既缺乏安全規劃及同步實施措施，也沒有進行安全風險評估，導致新的安全風險及隱患。

云計算標準制定正當其時

近年來，隨著互聯網經濟的快速發展，黑客攻擊的目標及方式也逐漸發生了改變。“2010年前，基本上是以傳統木馬蠕蟲為主流，那時一般的殺毒軟件、防火墻及漏洞掃描就可基本滿足企業對安全防護的需求，而近年來黑客事件則主要表現為未知威脅及未知攻擊，從攻擊結果來看，病毒攻擊主要是破壞用戶系統，而未知攻擊則主要是為了盜取用戶敏感數據，從而獲取巨大的商業利益，基于此，這種安全攻擊具有非常高的隱蔽性，傳統的殺毒軟件、安全產品及解決方案很難察覺這種攻擊更不用提防護。”瀚海源聯合創始人王偉介紹。“而云計算的特點，使得這些數據及系統更容易遭受攻擊，這就為我國云計算的安全防護提出了更高的要求。”國家信息中心信息與網絡安全高級顧問章恒介紹，從全球層面來看，國內在云計算安全方面的發展相對滯后3～5年的時間，目前國外的云安全攻擊已處于高發時期，且出現了很多具有重大影響的事件。此外，無論是國內外50%云計算系統網絡方面的攻擊，還是針對于傳統的軟件漏洞和配置錯誤。從國內的情況來看，SaaS服務出現的安全問題較多，相對來說，PaaS和IaaS要少一些。

基于此，如何進行云安全規劃及標準制定就成為全世界各國共同關注的問題。

目前，國內外云安全戰略的規劃主要停留在云計算安全規劃階段，在國家層面最先發布云計算安全戰略國家為新西蘭，其重點關注的是跨境云計算服務的保護措施。其次是歐盟，2012年9月份歐盟啟動的云計算方面安全戰略，主要是針對于可信賴的云服務提供商提供認證，此外，國內外相關標準化組織針對云計算標準的制定也在進行當中。“目前，很多國際標準組織如NIST、歐洲的網絡信息安全管理局、云安全聯盟及國際電信等已針對云計算制定了大量的相關標準。我國的云計算標準也在制定當中，但大部分標準還沒有最后實施，尚處于制定和征求意見階段。”

章總表示，國家信息中心在構建云計算環境指標體系方面的工作思路主要包括以下幾個方面：首先，進行實際應用環境調研；其次，在進行調研及國內外相應安全成果分析的基礎上，確定一個指標體系架構；第三，針對云計算所面臨的威脅與風險進行分析；第四，在構建整個指標體系的基礎上，導出云計算環境安全保護的基本要求；第五，落實計算模型，對每一項指標進行評分；第六，在整個評分系統完成后，運行在針對安全系統的信息評估方面，可對企業的安全方案進行整體評價。

信息安全建設原則

根據國內目前信息化建設的實際，中國衛星通信集團公司信息中心李煒主任建議，企業在進行信息安全建設時可遵循以下一些原則：一是要遵循國際國內或者行業信息安全的法規和標準；二是注重投入產出比，安全與投資的平衡。“目前信息安全產品很多，企業需要防御及部署的層面也很多，在具體實施時，應使業務的重要性與防護等級保持一致，即企業受到入侵或者破壞以后，對企業影響到什么程度，就將信息系統定義為什么樣的級別，相應地進行安全防護建設”；三是要強調三分技術，七分管理；四是統一性，在一個大型企業中，要統一進行安全規劃，統一進行安全策略的設置，統一進行安全建設；五是全面考慮，分步實施。

第二屆中國（國際）數字家庭展暨論壇武漢開幕

11月6日，伴隨著第十一屆“中國光谷”國際光電子博覽會的開幕典禮，DHWorld 2014第二屆中國（國際）數字家庭展暨論壇也在江城武漢正式拉開帷幕。本次論壇由國家八部委和湖北省人民政府共同主辦，匯聚了數字家庭領域內的知名企業，如聯想、海信、長虹等和行業精英以及各專家學者。

數字家庭一直是工信部重點支持的項目，我國從2009年開始探索部省共建數字家庭示范產業基地模式，已在廣東、浙江、四川、湖北、福建等取得了不俗的成績。工信部電子信息化司副司長彭紅兵在致辭中表示，未來，工信部將從三方面著重推進國家數字家庭的建設：1）加大全產業鏈包括技術、產品、服務及產品模式等創新的支持；2）加強產品研發，最終形成產業集群；3）積極開展示范應用。

本次展會以“體驗·智慧生活”為主題，集合智能終端、服務內容、用戶體驗、典型應用和示范導向為展示要素，為創新發展、促進信息消費和提升生活品質提供了導向，并以媒體傳播和市場拓展為目標，為讓大眾充分體驗“在家，世界觸手可及；在外，家庭近在咫尺”的極致感受而締造一個國際性數字家庭產業的交流平臺。

會議同期，聯想與中建三局的“東湖明珠智慧社區示范合作項目”現場簽約，將在東湖明珠打造一個完整的智慧社區，將智慧的理念進一步惠及大眾。

2014中國衛星應用大會北京落幕

10月28日至30日，中國衛星應用大會在北京舉行，大會由工業和信息化部批準、中國通信學會主辦。衛星應用大會集主題報告會、設備展覽會、衛星技術講座、圓桌討論會于一體，是業界探討衛星通信、衛星廣播、衛星遙感與導航定位等應用發展方向的開放平臺。

今年是中國首顆自主研制的通信衛星升空30周年。今天，在廣袤的太空中，我國已有100余顆各種通信衛星、導航衛星、遙感衛星、科學實驗衛星在其中遨游。而后由工信部及中國通信學會的領導分別致辭。本次會議云集了國際衛星組織、資深衛星專家、中外知名企業、衛星設備制造商、運營商、網絡服務商，以及來自廣播、通信、軍事、公安、交通、科技、導航等諸多領域的用戶及專業媒體參加，力求全面燕尾服示了中國衛星應用的發展現況，并為產業健康發展搭建開放的平臺。