互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全論壇

時(shí)間：2018年7月11日上午

地點(diǎn)：國(guó)家會(huì)議中心

主題：互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全

論壇概況：

2018年7月11日，由中國(guó)信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室承辦的中國(guó)互聯(lián)網(wǎng)大會(huì)互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全論壇在國(guó)家會(huì)議中心順利召開(kāi)。工業(yè)和信息化部網(wǎng)絡(luò)安全管理局處長(zhǎng)付景廣和中國(guó)信息通信研究院副院長(zhǎng)何桂立致歡迎辭。作為2018(第十七屆)中國(guó)互聯(lián)網(wǎng)大會(huì)專(zhuān)題論壇之一，本次論壇以“網(wǎng)絡(luò)及設(shè)備安全”為主題，響應(yīng)國(guó)家建設(shè)“網(wǎng)絡(luò)強(qiáng)國(guó)”的發(fā)展目標(biāo)，結(jié)合《網(wǎng)絡(luò)安全法》實(shí)施，圍繞互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域，重點(diǎn)從關(guān)鍵設(shè)備安全，網(wǎng)絡(luò)安全可靠運(yùn)行和應(yīng)急防災(zāi)等角度展開(kāi)探討。

參加論壇主題演講的有中國(guó)信息通信研究院、中國(guó)移動(dòng)、360、啟明星辰、國(guó)科量子以及TAF論壇安全工作組的相關(guān)專(zhuān)家。論壇秉承互聯(lián)網(wǎng)大會(huì)“融合發(fā)展，協(xié)同共治”的主題，在互聯(lián)網(wǎng)設(shè)備安全治理的各個(gè)方面進(jìn)行了深入的研討。研討內(nèi)容包括了物聯(lián)網(wǎng)終端安全、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)威脅檢測(cè)、數(shù)據(jù)中心抗震安全、家庭網(wǎng)絡(luò)安全、量子加密和網(wǎng)絡(luò)設(shè)備安全等內(nèi)容。專(zhuān)家報(bào)告精彩紛呈，演講內(nèi)容引人入勝。成功探討和交流了互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全現(xiàn)狀、優(yōu)秀案例、后續(xù)思考。

付景廣 工業(yè)和信息化部網(wǎng)絡(luò)安全管理局處長(zhǎng)

介紹了互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全的國(guó)家政策及網(wǎng)絡(luò)安全的重要性，并對(duì)當(dāng)前的網(wǎng)絡(luò)安全工作提出了幾點(diǎn)要求：一是從建設(shè)“網(wǎng)絡(luò)強(qiáng)國(guó)”的高度，開(kāi)展網(wǎng)絡(luò)安全治理，為國(guó)家安全筑牢屏障；二是樹(shù)立正確的網(wǎng)絡(luò)安全觀，堅(jiān)持依法開(kāi)展網(wǎng)絡(luò)安全治理工作；三是大力發(fā)展網(wǎng)絡(luò)安全核心技術(shù)，提升網(wǎng)絡(luò)安全保障技術(shù)能力；四是加強(qiáng)人才培養(yǎng)，打造網(wǎng)絡(luò)安全保障的專(zhuān)業(yè)隊(duì)伍。

何桂立 中國(guó)信息通信研究院副院長(zhǎng)

介紹了本次論壇主題，并就論壇的背景、《網(wǎng)絡(luò)安全法》實(shí)施的重要意義作了深刻剖析，對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備安全領(lǐng)域后續(xù)工作提出了幾點(diǎn)建議：一是成立專(zhuān)題研究團(tuán)隊(duì)，全面支撐工信部網(wǎng)絡(luò)安全監(jiān)管，推動(dòng)網(wǎng)絡(luò)安全法的落地實(shí)施；二是建立完善標(biāo)準(zhǔn)體系，推動(dòng)網(wǎng)絡(luò)安全和設(shè)備安全標(biāo)準(zhǔn)化工作；三是建設(shè)綜合管理系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全和設(shè)備安全的技術(shù)能力建設(shè)；四是組建技術(shù)團(tuán)隊(duì)，建設(shè)信息平臺(tái)，強(qiáng)化網(wǎng)絡(luò)設(shè)備漏洞管理機(jī)制。

李祥軍 中國(guó)移動(dòng)信安中心一級(jí)專(zhuān)家

近年來(lái)，全球物聯(lián)網(wǎng)安全事件頻發(fā)，破壞力極大，安全形勢(shì)嚴(yán)峻。在2016年美國(guó)大半個(gè)國(guó)家斷網(wǎng)事件之后，布局物聯(lián)網(wǎng)安全，避免物聯(lián)網(wǎng)淪為“黑客游樂(lè)場(chǎng)”成為全球共識(shí)。物聯(lián)網(wǎng)終端已成為安全問(wèn)題的主要源頭，常見(jiàn)問(wèn)題包括：采用簡(jiǎn)單密碼、通信過(guò)程不加密、固件升級(jí)不進(jìn)行簽名驗(yàn)證等等。在物聯(lián)網(wǎng)終端產(chǎn)業(yè)存在標(biāo)準(zhǔn)缺失、體系缺失、評(píng)測(cè)缺失、技術(shù)缺失、意識(shí)缺失等問(wèn)題。物聯(lián)網(wǎng)終端安全面臨的挑戰(zhàn)主要表現(xiàn)在：在管理方面，安全管理體系不完善，各角色安全責(zé)任界面不清；在技術(shù)方面，終端規(guī)模巨大、升級(jí)困難，傳統(tǒng)安全問(wèn)題在物聯(lián)網(wǎng)環(huán)境下被急劇放大。中國(guó)移動(dòng)堅(jiān)持技管結(jié)合，源頭管控，建設(shè)端到端的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)防控體系。發(fā)布了終端安全管理制度及技術(shù)規(guī)范；開(kāi)展終端入網(wǎng)管控，做好重點(diǎn)終端安全評(píng)估，建立物聯(lián)網(wǎng)終端安全態(tài)勢(shì)感知能力。從加快安全標(biāo)準(zhǔn)建設(shè)、健全入網(wǎng)安全評(píng)測(cè)、深化安全法制建設(shè)、建立安全生態(tài)聯(lián)盟等方面共同努力推動(dòng)物聯(lián)網(wǎng)終端產(chǎn)業(yè)健康發(fā)展。

汪坤 中國(guó)信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室無(wú)線(xiàn)技術(shù)部高級(jí)工程師

業(yè)界對(duì)供應(yīng)鏈安全的認(rèn)識(shí)，經(jīng)歷了傳統(tǒng)供應(yīng)鏈安全和ICT供應(yīng)鏈安全兩個(gè)階段。第一階段主要關(guān)注運(yùn)輸/物流/貨物&人員安全。第二階段主要關(guān)注ICT產(chǎn)品和服務(wù)的安全并將其提高到國(guó)家安全的高度。目前較為成熟的供應(yīng)鏈安全標(biāo)準(zhǔn)主要有ISO 28000-2007系列標(biāo)準(zhǔn)、ISO/IEC 27036系列標(biāo)準(zhǔn)、NIST SP 800-161以及NIST IR 7622。供應(yīng)鏈安全風(fēng)險(xiǎn)管理思路主要是將ISO/IEC 27000安全風(fēng)險(xiǎn)管理思路應(yīng)用到供應(yīng)鏈安全風(fēng)險(xiǎn)管理領(lǐng)域，具體包括背景調(diào)研、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、持續(xù)監(jiān)督、風(fēng)險(xiǎn)整改。其中，風(fēng)險(xiǎn)識(shí)別環(huán)節(jié)需結(jié)合多個(gè)供應(yīng)鏈上下游參與方，梳理內(nèi)在安全脆弱性和外在安全攻擊，是整個(gè)安全風(fēng)險(xiǎn)評(píng)估中最為復(fù)雜的。目前，供應(yīng)鏈安全風(fēng)險(xiǎn)已成為我國(guó)ICT行業(yè)發(fā)展的重要安全風(fēng)險(xiǎn)來(lái)源之一，企業(yè)和行業(yè)主管監(jiān)管部門(mén)需從頂層設(shè)計(jì)、組織架構(gòu)、人員設(shè)置、供應(yīng)鏈管理專(zhuān)用系統(tǒng)建設(shè)、合同案例、技術(shù)保障措施等方面，加強(qiáng)供應(yīng)鏈安全風(fēng)險(xiǎn)防范。

唐伽佳 360企業(yè)安全集團(tuán)天眼產(chǎn)品總監(jiān)

當(dāng)高級(jí)持續(xù)攻擊出現(xiàn)的時(shí)候，攻擊者針對(duì)高價(jià)值目標(biāo)會(huì)結(jié)合多種攻擊方式、多種惡意軟件、0day漏洞，社會(huì)工程學(xué)等進(jìn)行持續(xù)定向攻擊，竊取我們的核心數(shù)據(jù)，造成無(wú)法估量的經(jīng)濟(jì)與聲譽(yù)損失，面對(duì)這種高級(jí)威脅，傳統(tǒng)的防護(hù)體系僅僅是在解決單點(diǎn)問(wèn)題，攻擊鏈條并沒(méi)有被打破，持續(xù)攻擊仍在進(jìn)行。在威脅發(fā)生且還未對(duì)網(wǎng)絡(luò)造成大范圍影響的這段時(shí)間內(nèi)，如何精準(zhǔn)感知網(wǎng)絡(luò)內(nèi)部的安全威脅？如何快速了解遭受攻擊的程度以及影響范圍？如何快速定位需要重點(diǎn)關(guān)注的攻擊事件和來(lái)龍去脈，并以此來(lái)制定安全應(yīng)急響應(yīng)策略？圍繞高級(jí)威脅的精準(zhǔn)檢測(cè)、攻擊調(diào)查溯源、響應(yīng)處置進(jìn)行全面深入的思路和方法創(chuàng)新是未來(lái)高級(jí)威脅檢測(cè)的核心。

汲書(shū)強(qiáng) 中國(guó)信息通信研究院泰爾實(shí)驗(yàn)室抗震防災(zāi)測(cè)評(píng)部副主任

抗震防災(zāi)能力是信息通信網(wǎng)絡(luò)建設(shè)的重要性基本要求，數(shù)據(jù)中心的抗震安全不容忽視，必須從通信建筑、信息通信設(shè)備設(shè)施自身抗震性能、設(shè)備設(shè)施安裝抗震加固措施等三個(gè)方面做好基礎(chǔ)工作。一是對(duì)于新建的通信建筑，首先根據(jù)所在地區(qū)，使用功能及重要性確定抗震設(shè)防設(shè)計(jì)水平，然后按照GB50011《建筑抗震設(shè)計(jì)規(guī)范》進(jìn)行專(zhuān)業(yè)的抗震設(shè)計(jì);對(duì)于改擴(kuò)造的通信建筑首先進(jìn)行抗震性能鑒定，對(duì)需要進(jìn)行抗震加固的，必須進(jìn)行抗震加固設(shè)計(jì)改造。二是信息通信設(shè)備設(shè)施自身抗震性能關(guān)系著網(wǎng)絡(luò)功能的實(shí)現(xiàn)，是整個(gè)抗震防災(zāi)工作的核心工作。設(shè)備設(shè)施生產(chǎn)企業(yè)必須進(jìn)行設(shè)備設(shè)施的抗震能力設(shè)計(jì)，然后按照國(guó)家標(biāo)準(zhǔn)要求進(jìn)行設(shè)備設(shè)施自身的抗震性能鑒定，以達(dá)到信息網(wǎng)絡(luò)抗震防災(zāi)的基本要求。三是信息網(wǎng)絡(luò)設(shè)備設(shè)施的安裝，要求按照信息行業(yè)的標(biāo)準(zhǔn)進(jìn)行安裝抗震設(shè)計(jì)。數(shù)據(jù)中心建設(shè)抗震設(shè)防工作作為保證網(wǎng)絡(luò)安全的基本工作往往被忽視，建議將抗震安全納入工程質(zhì)量，產(chǎn)品質(zhì)量的體系管理，加強(qiáng)科學(xué)化管理，系統(tǒng)化發(fā)展。

郝春光 北京啟明星辰信息安全有限公司創(chuàng)新業(yè)務(wù)事業(yè)群副總經(jīng)理

隨著物聯(lián)網(wǎng)時(shí)代的到來(lái)，物聯(lián)網(wǎng)設(shè)備已經(jīng)滲透到我們的生活、消費(fèi)各個(gè)領(lǐng)域，現(xiàn)在乃至未來(lái)很長(zhǎng)一段時(shí)間里，我們將面臨三大最突出問(wèn)題：一是智能設(shè)備增多，網(wǎng)絡(luò)無(wú)處不在，游戲沉迷、色情網(wǎng)站等防不勝防，兒童網(wǎng)絡(luò)保護(hù)安全問(wèn)題；二是家庭網(wǎng)絡(luò)設(shè)備暴露在互聯(lián)網(wǎng)端，個(gè)人隱私信息泄露、財(cái)產(chǎn)安全受到威脅，甚至威脅到人身安全問(wèn)題；三是物聯(lián)網(wǎng)智能設(shè)備平臺(tái)多樣化和復(fù)雜化，解決方案難以提供，智能家居成為網(wǎng)絡(luò)黑產(chǎn)幫兇問(wèn)題。

馬彰超 國(guó)科量子通信網(wǎng)絡(luò)有限公司標(biāo)準(zhǔn)總監(jiān)

量子信息技術(shù)的發(fā)展為互聯(lián)網(wǎng)安全帶來(lái)全新的挑戰(zhàn)和機(jī)遇。網(wǎng)絡(luò)空間安全的基石是基于計(jì)算復(fù)雜度的經(jīng)典密碼學(xué)，而量子計(jì)算Shor算法的提出則使得RSA、ECC等主流公鑰算法不再安全。這將對(duì)基于公鑰算法的安全協(xié)議和應(yīng)用產(chǎn)生廣泛影響，包括Https、軟件更新、安全郵件、VPN、云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈等。目前，啟動(dòng)量子安全問(wèn)題的應(yīng)對(duì)十分迫切。可破解現(xiàn)有公鑰密碼的量子計(jì)算機(jī)有望在未來(lái)10-20年內(nèi)研制成功，而現(xiàn)有安全產(chǎn)品升級(jí)至量子安全方案仍需相當(dāng)長(zhǎng)的時(shí)間，這對(duì)于要求較長(zhǎng)保密年限的安全應(yīng)用已構(gòu)成現(xiàn)實(shí)威脅；量子安全問(wèn)題的應(yīng)對(duì)措施主要包括后量子密碼學(xué)（PQC）和量子密鑰分發(fā)（QKD）兩種路線(xiàn)。前者仍基于新型的數(shù)學(xué)算法，對(duì)現(xiàn)有密碼體制兼容性好，但無(wú)法保證長(zhǎng)期安全性；后者則是基于量子物理手段，可實(shí)現(xiàn)信息理論上的長(zhǎng)期安全性，但需要額外的硬件開(kāi)銷(xiāo)和網(wǎng)絡(luò)支持。構(gòu)建未來(lái)量子安全的互聯(lián)網(wǎng)，兩者均有用武之地，均面臨不少的挑戰(zhàn)，需要匯聚密碼學(xué)、量子信息和傳統(tǒng)ICT行業(yè)的各界力量攜手推進(jìn)。

張治兵 中國(guó)信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室網(wǎng)絡(luò)部副主任、TAF論壇WG9安全工作組資深專(zhuān)家

隨著網(wǎng)絡(luò)安全法的頒布實(shí)施，網(wǎng)絡(luò)設(shè)備安全被提升到新的高度。新形勢(shì)下，5G、SDN、網(wǎng)絡(luò)虛擬化、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)和新業(yè)務(wù)對(duì)網(wǎng)絡(luò)設(shè)備形態(tài)和功能特性產(chǎn)生重大影響。網(wǎng)絡(luò)設(shè)備與重大安全事件關(guān)聯(lián)度不斷上升，網(wǎng)絡(luò)設(shè)備漏洞等安全問(wèn)題近幾年呈現(xiàn)迅速上升態(tài)勢(shì)。國(guó)家標(biāo)準(zhǔn)在保障設(shè)備安全能力上起到兜底線(xiàn)的作用，新技術(shù)新領(lǐng)域的設(shè)備安全標(biāo)準(zhǔn)還需要充分運(yùn)用團(tuán)體標(biāo)準(zhǔn)的靈活性。加大網(wǎng)絡(luò)設(shè)備的安全管理力度，按照網(wǎng)絡(luò)安全法等相關(guān)法律法規(guī)要求，充分結(jié)合強(qiáng)制性檢測(cè)認(rèn)證和自愿性檢測(cè)認(rèn)證的優(yōu)勢(shì)，發(fā)揮TAF等網(wǎng)絡(luò)設(shè)備安全相關(guān)社會(huì)團(tuán)體的作用。■