“加快推进网络信息技术自主创新,朝着建设网络强国目标而不懈努力”。2016年,习近平总书记首次将信息技术应用创新发展作为一项重要国家战略举措。
四年后的今天,纵览信创产业已在全国遍地开花,呈现出现象级风口之姿,瞬势成为继互联网、数字经济等领域之后国家经济发展的全新动能。
而安全永远是促进新兴技术稳步前进的基础,无论何种领域,都离不开信息安全,信创领域也不能例外。信创产业之蓬勃发展,更需要安全服务来保驾护航。
始终与时代同频共振的ISC大会,更是敏锐捕捉到这一热点,在第八届互联网安全大会(ISC 2020)上,特设“信创安全”论坛,汇聚业内顶尖专家学者“云端论剑”,把脉数字孪生时代下,信息技术应用创新的安全发展之路。
本次ISC 2020信创安全论坛共计两场举行,360首席安全官杜跃进,国家工业信息安全发展研究中心首席专家张格,360首席科学家、国家信息安全漏洞库特聘专家潘剑锋,北京炼石网络技术有限公司创始人、CEO白小勇,杭州安恒信息技术股份有限公司高级副总裁袁明坤,360漏洞云业务线负责人胡晓娜等重量级嘉宾受邀出席ISC 2020 信创安全论坛(上半场),并针对如火如荼的信创安全建设展开巅峰对话。
无安全,不信创
信创安全需要全新思路
众所周知,信息技术应用创新是发展的必然之路;而做好网络安全保障,则是信创产业建设的一块“定心石”。
ISC 2020“信创安全”论坛上,360首席安全官杜跃进以全局视角,纵观信创产业安全发展全局,以“信创安全”为议题,从信创建设面临的挑战、出现问题以及信创安全建设的全新思路等方面展开精妙绝伦地讲解。
/360首席安全官 杜跃进/
杜跃进指出当前信创安全正面临着:自身弱、对手强、动机多等严重挑战。与此同时,信创安全还面临着:认知偏差、能力不足、积累不足、实战不足四大问题。
由此,杜跃进提出无安全,不信创。一味照搬过去的安全思维和方法,无法解决当下信息技术应用创新所面临的安全问题,信创安全需要全新的思路。鉴于此,他提出以下五大信创安全体系设计的五大设计指导思想,践行于信创安全建设之中:
其一,需拥有攻防视角,进行体系设计,以完成信创安全的目标;
其二,亟需整体思维,利用来自各方的资源与力量,使其相互响应与配合,以实现高效防御;
其三,进行统一调度,面对安全威胁,,要有统筹指挥、步调一致、相互配合的能力;
其四,需要开放运营,防御方要集中所有力量,统一调配才有抵御威胁的机会;
最后,以能力驱动,掌握对抗抵御威胁之能力,确保信创安全工作的有序进行。
除去指导思想建设之外,落地信创安全建设更加势在必行。截止目前,针对信创安全各安全厂商已逐步推进终端安全、安全测试、漏洞管理、安全开发、安全挑战、数字证书等工作,而杜跃进也呼吁希望更多的安全企业能够参与到信创安全的工作之中,以确保国家信息化建设实现“自主可控”之愿景。
各细分领域“异军突起”
大咖众说信创安全多维防御
基于信创产业迅速落成“四梁八柱”之浪潮下,正如360首席安全官杜跃进所说,亟需各领域的安全建设来守卫信创产业。而本次“信创安全”论坛就同时邀请多位细分领域安全专家展开全方位、多领域的深度分析。
信创安全之“慧眼”:信息技术产品网络安全风险识别和测评能力
国家工业信息安全发展研究中心首席专家张格以“国内信息技术产品网络安全风险识别和测评”为议题发表主题演讲。他指出,近年来国内信息技术基础软硬件产品网络安全问题严峻,系统、产品开发和应用存在安全漏洞和缺陷可能性较大,产品安全测试与评估方法存在局限,的安全性更是有待验证。
特别是完善安全测试体系建设尤为重要,一方面,推动研究制定产品安全测试大纲,提出安全测试基线要求,形成通用性安全技术要求及安全性测试指南。
另一方面加强网络安全靶场与测试验证环境建设,从而高效开展漏洞挖掘与验证工作;通过组织各类技能比赛及活动,开展国内软硬件产品的漏挖、行业安全攻防演练、虚实结合场景攻击等工作。
/国家工业信息安全发展研究中心首席专家 张格/
信创安全之“关口”:终端安全挑战与应对方案
360首席科学家、国家信息安全漏洞库特聘专家潘剑锋则以“信创终端安全挑战&应对方案”为议题展开印象深刻的演讲。
潘剑锋指出,终端是网络攻防的最前沿和最直接的战场,保障信创终端安全是目前信创领域最迫切的任务。
操作系统是信创终端拥有最高权限的基础软件,终端安全软件基于操作系统提供的接口对网络攻击行为进行扫描、检测和阻止,二者关系密切、相辅相成,信创操作系统向信创终端安全提供统一安全接口,对保障信创终端安全和系统稳定性意义重大。为此,他提出信创终端安全保障目标,具体可通过:
建立信创终端啊暖安全防护标准体系;
开展针对终端安全防护产品的检测、众测和压测的安全测试;
并推动终端安全产品间的威胁情报共享和协调同防御等措施;
从而促进终端安全防护产品在信创领域的全面部署应用,从而全面提升信创终端安全保障能力。
而在具体实施方案上,潘剑锋提出,建立信创终端安全标准体系规范、提升信创终端安全保障能力,推动信创终端安全产品应用推广三大方面。
/360首席科学家
国家信息安全漏洞库特聘专家 潘剑锋/
信创建设之“DNA”:密码应用实战化
密码就像“网络空间的DNA”,密码功能已由单一的信息加密拓展到身份识别、安全隔离、完整性保护等领域,遍及经济社会生活方方面面,也是信创安全建设更不能缺少之关键。
北京炼石网络技术有限公司创始人、CEO白小勇就针对“实战视角促合规 密码应用抓生态”这一议题精彩开讲。他提出,密码作为网络空间安全的核心支撑技术,是信创体系的重要组成。
伴随《密码法》及相关政策法规颁布,密码产业迎来前所未有的发展机遇,一方面“密码新合规”拉动新需求,另一方面以实战为导向的需求市场也被充分激活。着眼于密码产业与生态,分析密码产业面临的挑战与机遇,结合需求侧与供给侧现状,依据“密码应用实战化”思路,提出合规与实战并重的商用密码发展建议,推动高质量密码供给,并重点分析信创产业技术链条中商用密码能力覆盖情况,为信息产业升级提供有效安全保障。
/北京炼石网络技术有限公司
创始人、CEO白小勇/
信创安全之“准绳”:安全开发治理体系
本次论坛中,杭州安恒信息技术股份有限公司高级副总裁袁明坤就“新形势下信创安全治理与开发建设之路”为主题展开精妙绝伦的演讲。
在国内,国家也愈发重视安全漏洞带来的威胁,信创产业的安全能力也需要在安全开发的源头开始构建,相关企业需要具备足够的安全开发能力。
袁明坤针对信创领域可以参考的安全开发制度流程,安全开发标准规范,安全开发技术工具,安全开发人员能力及保障机制等多个维度进行讲解,推动信创企业逐步建立良好的安全开发治理体系。
/杭州安恒信息技术股份有限公司
高级副总裁 袁明坤/
信创威胁“惯犯”之信创热潮下的漏洞威胁
漏洞无处不在,一起皆可攻击。风头正热的信创建设自然也不能例外。
本次论坛上,360漏洞云业务线负责人胡晓娜带来“信创热潮下的漏洞威胁——探索信创背景下安全发展的可行方向”的议题,展开精彩的“云上”探讨。
在各类网络安全事件中,安全漏洞的身影常常显现,尤其在出现0day漏洞的利用时,可能会发酵成重大事件,影响受害机构和国家的正常运行,甚至威胁国家安全。
可以说,在未来国际网络安全博弈中,不仅是技术的对抗,更是安全漏洞等网络安全基础资源积累的对抗。建立面向信创的漏洞发现和响应体系,发动社会白帽子力量发现、识别未知漏洞并快速提供相应修补或防范措施,对帮助软件厂商更有效地预防漏洞和更便捷地修补漏洞具有重要的意义。
/360漏洞云业务线负责人 胡晓娜/
先事虑事谓之接,接则事优成。在我国大力推进信创产业发展的同时,做好网络安全保障是实现我国信创战略目标的重要前提和基础,而全域化的网络安全建设远不止于此。
而此次ISC 2020的举办正是最好的证明。以“数字孪生时代下的新安全”为主题的ISC 2020,汇聚万人云聚“论剑”,共谋网安发展之全新变革。这其中,承载着每一位网安人之梦想,每一家网安企业之希冀。
正如360董事长兼CEO周鸿祎所说,“360的终极梦想是希望携手同行,以新一代网络安全能力框架整体提升我国应对数字化时代安全挑战的能力,为工业制造、智慧城市及各个产业、行业、企业数字化保驾护航。”
网安建设从未间断,ISC 2020 永不闭幕!而信创安全论坛的下半场也于今天上午10点全面上线,同样有六位重量级大咖也带来展开精彩纷呈的思想碰撞与技术交流,广大读者可以优先登陆 ISC 2020官网抢先观看。