2017第二屆中國信息安全服務年會：多方解讀國家政策，推進網路安全法與關鍵信息基礎設施保護落地

新聞 07-24

同一個議題，不同的嘉賓，同與不同的見解或想法。

在參會中我們聽到了不同的嘉賓從不同角度解讀網路安全法與關鍵信息基礎設施保護，國家政策和國家意志的實現究竟會落實到怎樣的一個具體形態上，處於安全圈以及處於網路安全防護保障體系下的廠商、服務商、相關單位又能怎樣為新形勢下的國家信息安全、關鍵基礎設施、工控安全發揮新的力量呢？

繼昨日的網路安全法與關鍵信息基礎設施培訓會後，7 月 21 日第二屆中國信息安全服務年會繼續在北京萬壽庄賓館舉辦。只不過相較於培訓會，第二天的中國信息安全服務年會的的人數要翻上好幾番，因此場地也從前一天的會議廳變到了樓上的小禮堂。

現場可謂各路英才齊聚一堂，連空氣都變甜了呢

今年的年會圍繞正處在風口浪尖的「

網路安全法與關鍵信息基礎設施保護

」主題，由公安部第三研究所、國家網路與信息系統安全產品質量監督檢驗中心主辦、公安部第三研究所《信息網路安全》雜誌承辦，上海嘉韋信息技術有限公司協辦，邀請了三類與會人員前來參加年會——信息安全主管部門領導與行業信息化建設的負責人，大型央企和專家學者，以及安全產品廠商服務商。

落座與會者在彼此交流

筆者來到現場的時間，還算挺早的，落座的嘉賓已經有四成，其他還在陸續前來和前台簽到處登記。

FreeBuf 的座位

落座後，桌面上安放的一張薄薄的A4紙上正反兩面，列明了今日所有的演講議題。除去開幕致辭部分，演講部分主要包括了上午的 3 場主題演講和下午的 7 場專業演講，幾近填滿一整天時間。

關鍵基礎設施的安全保護是國家的意志

上午的服務年會由中國計算機學會計算機安全專業委員會秘書長

唐前臨

主持，公安部第三研究所所長助理

趙代江

、中國安防協會副理事長

顧建國

以及公安部網路安全保衛局處長

盤冠員

，分別進行了開幕致辭。在開幕致辭中，就可以聽出或者預判到本次年會也許註定就是各抒己見的，是會激起一些思考碰撞的，但也許這恰恰是選擇這樣形式的意義。

同一個議題，不同的嘉賓，同與不同的見解或想法。

國家目前高度重視信息安全工作，出台網路安全法開啟了依法治網的時代，能夠推進信息網路安全水平的提高。——

趙代江

關鍵基礎設施的安全保護是國家的意志，國家行動；但說到真正抓好關鍵基礎設施的安全，我們準備好了么？我認為差距還不小，需要加強五方面的保障…——

顧建國

做好安全保護，要進行體系化建設，充分發揮制度優勢，建立發現-預警機制。——

盤冠員

前一天辛苦上課的學員們也獲得了相應的回報——包括

斗象科技

在內的十位培訓學員代表在前一天的考核中脫穎而出，成績位列前十榜單，因而獲得優秀學員的證書。

國家網路與信息系統安全產品、質量監督檢驗中心

顧健

副主任就《推動網路安全創新服務保障關鍵基礎信息基礎設施安全》的主題，介紹

信安在線

服務平台的網路安全生態平台，並著重介紹了平台上的安全產品信息搜索，網站安全認證，安全服務，網路安全保險等配套網路安全服務。公安三所的下設部門和 8 個實驗室還能依照企業需求，提供針對性的檢測服務。

我們在中央網信辦，公安部的領導下，為保障我國關鍵信息基礎設施的安全，作出自己應有的貢獻。

顧健副主任的演講後，進行了信安在線網站安全安全認證服務的發布。

隨後，國家能源局信息中心副主任

胡紅升

針對關鍵基礎信息的主題，作了《電力關鍵信息基礎設施保護的前期探索》的主題演講。

能源發展是重要物質基礎，有關國計民生和國家戰略競爭力；

而到2020年，天然／煤炭消耗比重會大幅下降，所以安全發展核電（在建21台），是今後能源方面主要力量。

胡紅升副主任回顧了我國現在能源消耗現狀和未來規劃（核電項目），回首電力及能源系統的相關法律法規的前身，總結電力監控系統安全防護三大階段（貿委30號令／電監會5號令/發改委14號令），詳細闡述了電力系統如何構建安全防護體系：從電力公司監控系統管理系統，網路的專網專用和網路防護，系統本體安全，可信安全免疫，應急備用措施，人員管理上分條闡述。

工業和信息化部電子工業標準化研究員信息安全研究中心技術部主任

葉潤國

就《關鍵信息基礎設施安全防護保障體系思考與網路安全標準研製進展》發表演講。他先講解了服務運營者的安全保護義務，隨後對照美國制定的相關法律進行分析，如 NIST 制定的《改善關鍵信息基礎設施的安全框架》（指導規範）及 CII 網路安全防護體系。

為了建立關鍵信息基礎設施安全保障體系，我國現在在國家層面和法律、制度、和標準上都分別有出台相關內容，如國家安全法，網路安全法，關鍵信息設施保護條例等保制度，產品和服務審查辦法，個人信息和重要數據出境辦法等等。

部門、學界、企業三方觀點碰撞

下午的七場專業演講內容就更擴散一些，既有如公安部等級保護評估中心分享的《落實等級保護制度要點淺析》，國家信息技術安全研究院提供的《加強工控安全幾點建議》；

公安部信息安全等級評估中心李明

其實等級保護的概念早在94年就已經得到提出，現在我們也是走在正確的道路下，堅持等級保護和關鍵基礎設施重點保護，並且要看到新技術和新發展，與時俱進。與時俱進，就是說網路空間的外延正在隨著信息技術的發展而不斷變化。

李明嘉賓還仔細就近幾年發展起來的雲計算問題，進行了分析。他認為雲計算的概念的提出和應用對於安全責任的劃分，和傳統意義並沒有大的不同。並不是說選擇雲技術，就意味著責任外包給了對應的雲服務提供商。實際上各單位安全責任的具體承擔人員，還是需要商榷的，因為重要的業務系統如果發生安全問題，還是在追責的時候落到責任人的頭上。在大型雲平台不斷建立的當下，雲服務提供商需要對自己假設的平台負責，而相關企業和單位在選擇雲服務的時候，也需要對服務商的資質進行把控和服務過程中進行安全監督，彼此的關係將來應該就如同機場與航空公司之間的合作那樣。

最後他還提出了對於雲租戶和雲服務商的建議，如：鏡像需要及時安裝補丁；雲服務商獨立賣資源是不對的；作為租戶需要學會如何判斷一個好的雲服務商等等。目前雲服務對象正在不斷擴充，新的對雲服務外包的定級備案、測評整改的解決方案也在得到提出。

其次，也有來自學界如北京航空航天大學計算機學院及北京大數據與腦機智能創新中心的李博老師分享了《工業控制系統安全技術探討》，他提出了「智能」工業系統的概念，認為隨著工業互聯網+的程度逐漸提高，電力、航空、化工、醫療等行業曾經封閉的工控網路現在需要面對傳統互聯網的威脅，可以考慮雲平台上的安全保障系統，管理智能進行服務更新、數據的日常運行和控制指令的發布。

這樣形成的智能工業系統需要關注便分為三個層次的安全風險，即雲安全（雲自身安全、數據驅動安全），網安全（協議安全和聯網安全）、以及端安全（硬體可信及程序可信）。他對其中的每一部分展開了詳細解析和對策。特別是在雲端安全應對策略上的智能安全分析一點，他提出需要將工業過程感知和工業知識引入到策略上，基於機器學習進行異常檢測，還要建立「取存融析」的數據處理閉環，將日常數據轉化為知識，構建工業信息安全知識圖譜。

還有來自企業的代表分享行業從業經驗，如工控領域頗具實力的北京威努特技術有限公司分享了《工控信息安全產業發展探討》，北京蘭雲科技的《關鍵信息基礎設施APT防範思路》，杭州安恆信息就《工控監管體系建議》分享了大數據在其中的實踐與運用，上海嘉韋思信息技術有限公司分享了《信息安全創新服務思考與實踐》。