NSC2013 中国网络安全大会2013论坛一 北信源 胡建斌

胡建斌:好,我下面简单给大家分享一点,就是说我个人对国家信息安全战略的一个思考。首先我们想,国家信息安全战略实际上对中国来讲,实际上跟中美关系是息息相关的,一个10年为一个阶段看,从八十年代到九十年代的时候,中美关系的改善,然后中国得到了首先是开放了经济市场,得到美国国际社会的积极响应,这个时候我们看到,IBM、惠普,苹果等一系列的软硬件产品开始进入中国市场,这个时候也是中国本土市场初步形成的一个阶段,包括我们的五笔字型,四通汉字打印机,国光计算机汉化终端等等。从信息安全的角度来讲,那么这是我们国内开始逐步地研究美国的橘皮书的技术标准,对信息安全的保密性、完整性和可用性形成了一些粗浅的理解。

20131211113324634

到九十年代的时候,随着中美关系的变化,苏联解体,海湾战争的发生,我们整个中国的信息安全市场又得到了进一步的繁荣,这时候就是互联网,BBC、移动手机、数字电视等等开始进入了中国市场,那么这个时候一个比较典型的标志就是移动通信和计算机与互联网的广泛应用以及普及,标志着我们进入了信息网络时代。如果大家在这个时候给信息安全比较明显的一个理解,那么我们可以记忆犹新的就是我们CIH的病毒,我们BO的木马等等,中办发2003年27号文件一直都是我们的行动计划。到2000年的时候,我们可以看到随着中美关系发生微妙的变化,我们可以看到911阿富汗事件,南联盟的战争,这时候中美关系已经开始,美国已经开始对遏制中国发展,成为西方的一个主流的意识形态,所以我们国内对IT企业的发展已经开始比较成熟,比方说我们的中兴华为已经开始逐渐走出国门了,那么这时候我们也开始构建自己的关键性基础设施,但是很遗憾的是,我们的资金也是这样,我们的核心的软硬件产品基本上都是国外的产品占比都非常大。所以这时候我们在这一个10年,中国信息安全的体系和战略布局基本形成了,那么也一直延续到现在。包括我们的管理协调体系,我们的标准的建设,以及我们各种产品测评,还有就是我们的人保分保体系的建立。

2011年之后,我们前面大家也讲了,智慧地球,云技术的出现,可以看到中美关系进一步的朝分化的方向发展,那么我们可以看到就是说在美国成立了美国国防部的网络空间司令部,网络作战部队等等一系列的这种针对中国的威胁的网络威胁的一些手段,同时在近几年,大家可能明确提出来网络,很多国家提出来自己的网络安全的国家战略,那么提出了赛博空间,网络电子空间等等一系列的概念,那么这时候网络空间已经放大了,与陆海空天相融合,能够对现实世界产生现实影响力的一个空间,所以在这个阶段的话,中国在国家的层面上和军地在军队层面上,都做了很多的应对措施,那么对典型的就是我们三中全会的国家信息安全委员会的成立。总体来讲我们可以看到,我们国家这个国家信息安全整体的一个发展趋势,首先美国的国家战略对我们的影响是非常大的,那么随着美国国家信息安全战略将中国略为主要的打击目标以后,我们可以看到,就是说美国政府它点名的时候,主要的网络威胁的主要原因之一就是中国,为了维持这种,它也投入了高额的投入,将中国作为它的假想敌,这次的邻居们事件,把美国的意图基本上表现得淋漓尽致。第二个它加大了民营高科技公司的合作力度,就是我们通常所说的八大金刚,加上一些黑客技术的研发,前面陈老师也做了一些阐述。包括一些新技术的威胁,网络恐怖主义的威胁,还有就是刚才我们大家看到了说信息安全产业的100个亿的产值,我觉得是面上的,如果我们看到我们互联网的黑色经济的话,可能在我们的地下,可能还会有100亿在这个地方,在2011年的时候我们统计,互联网的地下黑色产业链已经达到了50个亿,那么2013年应该会超过七八十个亿左右,所以地下的这个产业也是很吓人的。

另外就是意识形态和网络战争的危险,这是我们不要讲太多。所以包括到尤其是物联网、云计算以及下一代互联网成为当前热门的新技术和新领域以后,我们的安全由传统的网络世界,延伸到了我们真实的物质世界,包括我们大家现在可能讲的APT的公约控制系统的危害,可能是一个最典型的表现。那么整个随着云计算和虚拟化计算,还有物联网的发展,所以它把整个网络安全延伸到了我们现实生活中的每一个人,甚至我们生活中的每一个时辰,每一个点,就是几乎是无处不在,无时不在的威胁。那么我们对信息安全的一些指导思想的一些考虑,因为时间有限,就简单讲一点。

首先我们要讲改变我们的观念,就是从我们传统的,尤其是在我们内网建设的时候,都是从信任出发的一个理念,那么我们希望能够从怀疑走向信任的一个原则,遵循这个原则构建我们的指导体系,第二个,我们现有的体系一个就是边界防御,再一个就是围网防护。大家可能非常重视边界防御,随着我们新型计算机的发展,内部和外部的区别已经很模糊了。第三个现在我们谈到很多信息安全的话,可能都是老三样,就是老生常谈,这些新技术也需要引起大家的重视,包括软件的净化技术,系统清洗,网络清洗,主动防御,深度防御以及攻击成本增加采取的一系列措施等等。那么我想对信息安全的发展的总体的战略目标,应该是首先第一是预防和阻止对我们国家关键信息基础设施的网络攻击行为,其次当这种行为不可避免的时候,那么我们怎么样减少、减轻我们所遭受的损失,以及进行快速的恢复,所以站在国家的层面上来讲,第一个我们要建立国家的赛博空间的应急响应体系,第二个是要建设降低国家安全危险性的一大批的国家项目,那么这些项目有可能,除了刚才讲的一些大型的国企以外,随着黄金10年的到来,信息安全黄金10年的到来,可能也会向大量的民营企业进行倾斜。第三个就是建立国家网络安全预警和培训项目,第四个是确保政府各部门的网络安全,这个是由政府来管的事。然后还有很重要的事,就像网络师一样,网络师在安全领域里头,它也是有自己的呼声,就是加强网络安全的国际合作,用国际的准则和法律去约束美国,我们国家也应该走这样一个路。

有八大研发领域,包括网络安全功能,保护基础设施安全,特定域的安全等等。然后我们认为就是说在10个方向上面可能是未来国家会优先做的一些发展的一些方向。第一个就是我们的认证技术,第二个是我们协议的各种协议的安全性的理解和新协议的构建,第三个是从软件工程和软件保证上讲安全,第四个是系统整体的安全性,这种安全性不仅是包括我们技术性的,甚至包括我们社会性,我们管理性的安全体系。第五个是监控与探测,第六个是缓解与恢复,第七个是我们现在大家发展得如火如荼的网络的取证,第八个是新技术建模与测试平台,第九个是度量基准和最佳实践,第十个是危害网络安全的非技术问题。包括一些管理体制,我们的法律法规,甚至包括我们的人才培养,还有就是我们的人员的这种全民的信息安全意识的培养等等。谢谢。

上一篇:NSC2013 中国网络安全大会2013开幕 张群英

下一篇:杨春燕:2015年电子商务交易额或达18万亿