《电视技术》编辑部

信息安全扬帆起航
——2014年中国网络安全大会纪实

《电视技术》编辑部

10月23日，由中关村海外科技园与赛可达实验室-西海岸实验室（中国）主办，中国金融CIO联盟、中关村信息安全产业联盟、中国科学院北京国家技术转移中心、中国云体系产业创新战略联盟等多个行业协会、机构组织协办的“2014年中国网络安全大会”在京隆重召开。本届大会以“全球化的网络安全新格局·新挑战”为主题，从技术、应用、标准、行业案例等多个角度对网络安全的现状及未来发展进行了深度探讨，国内外40多位信息安全领域顶尖专家、国内重量级企业高管、政界嘉宾及知名学者分享了全球前沿的信息安全技术与解决方案。

信息安全形势严峻

大会联合主席，赛可达实验室宋继忠主任介绍，随着全球信息技术日新月异的发展，网络信息安全环境日趋复杂。“棱镜门”事件的持续发酵与影响，令更多不为人知的监控项目不断曝光，如何抵御网络威胁成为各国关注的首要议题之一。“没有网络安全就没有国家安全，没有信息化就没有现代化”已上升为国家战略。

2013年中国信息安全测评中心发布的报告显示，“随着行业云计算、大数据、移动互联网等新技术、新应用的引入、业务多元化的实现以及信息化、工业化的不断融合，重要行业和企业的信息安全建设明显滞后于信息化的发展，基础信息网络与重要信息系统的脆弱性依然突出，信息安全风险已升至行业风险的高位，关键数据的安全和业务的连续性面临极大的挑战，中国企业的信息安全形势不容乐观。”

主要表现为以下几个方面：

首先，行业企业和内部的信息安全发展极不平衡，存在安全短板。一是行业间信息化发展速度的不均衡，导致部分行业和企业的信息安全滞后程度相当严重；二是在企业内部，对于很多规模庞大，机构众多且业务复杂的大型企业来说，虽然在信息化建设初期进行了统一的规划及要求，但由于各部门及分支机构对信息安全的重视程度不同，针对信息安全的投入不同，因此信息安全的建设和防护水平参差不齐，造成这些企业系统的整体防御及纵深防御体系比较薄弱，出现了短板的现象，非常容易引发全局性的安全问题。

其次，数据安全没有得到足够的重视，敏感数据存在泄漏隐患。由于企业没有采取切实有效的数据防外泄措施，数据没有根据重要程度分类分级进行保护，大量敏感数据采用明文传输和存储，同时互联网出口防护不善，网络隔离不利，应用层安全漏洞大量存在，导致大量敏感数据面临失窃风险。

第三，安全检测和感知能力不足，无法及时发现和处置攻击等异常行为。虽然很多企业部署了入侵检测设备，但是由于存在部署位置不当、规则库老旧，没有及时进行更新，报经日志无人查看等原因，导致其入侵检测的设备形同虚设。此外，部分企业没有建立健全应急响应体系和机制，缺少遇到安全事件的实际演练，信息化人力资源和技术能力不足，也导致信息安全长期处于被动状态。

第四，关键技术受制于人，安全隐患与日俱增。

第五，安全规划和建设没有同步，引入新技术的风险持续加大。

随着云计算、大数据、移动应用的普及，众多企业均在积极跟进新技术的步伐，但在应用这些新技术的同时，部分企业既缺乏安全规划及同步实施措施，也没有进行安全风险评估，导致新的安全风险及隐患。

云计算标准制定正当其时

近年来，随着互联网经济的快速发展，黑客攻击的目标及方式也逐渐发生了改变。“2010年前，基本上是以传统木马蠕虫为主流，那时一般的杀毒软件、防火墙及漏洞扫描就可基本满足企业对安全防护的需求，而近年来黑客事件则主要表现为未知威胁及未知攻击，从攻击结果来看，病毒攻击主要是破坏用户系统，而未知攻击则主要是为了盗取用户敏感数据，从而获取巨大的商业利益，基于此，这种安全攻击具有非常高的隐蔽性，传统的杀毒软件、安全产品及解决方案很难察觉这种攻击更不用提防护。”瀚海源联合创始人王伟介绍。“而云计算的特点，使得这些数据及系统更容易遭受攻击，这就为我国云计算的安全防护提出了更高的要求。”国家信息中心信息与网络安全高级顾问章恒介绍，从全球层面来看，国内在云计算安全方面的发展相对滞后3～5年的时间，目前国外的云安全攻击已处于高发时期，且出现了很多具有重大影响的事件。此外，无论是国内外50%云计算系统网络方面的攻击，还是针对于传统的软件漏洞和配置错误。从国内的情况来看，SaaS服务出现的安全问题较多，相对来说，PaaS和IaaS要少一些。

基于此，如何进行云安全规划及标准制定就成为全世界各国共同关注的问题。

目前，国内外云安全战略的规划主要停留在云计算安全规划阶段，在国家层面最先发布云计算安全战略国家为新西兰，其重点关注的是跨境云计算服务的保护措施。其次是欧盟，2012年9月份欧盟启动的云计算方面安全战略，主要是针对于可信赖的云服务提供商提供认证，此外，国内外相关标准化组织针对云计算标准的制定也在进行当中。“目前，很多国际标准组织如NIST、欧洲的网络信息安全管理局、云安全联盟及国际电信等已针对云计算制定了大量的相关标准。我国的云计算标准也在制定当中，但大部分标准还没有最后实施，尚处于制定和征求意见阶段。”

章总表示，国家信息中心在构建云计算环境指标体系方面的工作思路主要包括以下几个方面：首先，进行实际应用环境调研；其次，在进行调研及国内外相应安全成果分析的基础上，确定一个指标体系架构；第三，针对云计算所面临的威胁与风险进行分析；第四，在构建整个指标体系的基础上，导出云计算环境安全保护的基本要求；第五，落实计算模型，对每一项指标进行评分；第六，在整个评分系统完成后，运行在针对安全系统的信息评估方面，可对企业的安全方案进行整体评价。

信息安全建设原则

根据国内目前信息化建设的实际，中国卫星通信集团公司信息中心李炜主任建议，企业在进行信息安全建设时可遵循以下一些原则：一是要遵循国际国内或者行业信息安全的法规和标准；二是注重投入产出比，安全与投资的平衡。“目前信息安全产品很多，企业需要防御及部署的层面也很多，在具体实施时，应使业务的重要性与防护等级保持一致，即企业受到入侵或者破坏以后，对企业影响到什么程度，就将信息系统定义为什么样的级别，相应地进行安全防护建设”；三是要强调三分技术，七分管理；四是统一性，在一个大型企业中，要统一进行安全规划，统一进行安全策略的设置，统一进行安全建设；五是全面考虑，分步实施。

第二届中国（国际）数字家庭展暨论坛武汉开幕

11月6日，伴随着第十一届“中国光谷”国际光电子博览会的开幕典礼，DHWorld 2014第二届中国（国际）数字家庭展暨论坛也在江城武汉正式拉开帷幕。本次论坛由国家八部委和湖北省人民政府共同主办，汇聚了数字家庭领域内的知名企业，如联想、海信、长虹等和行业精英以及各专家学者。

数字家庭一直是工信部重点支持的项目，我国从2009年开始探索部省共建数字家庭示范产业基地模式，已在广东、浙江、四川、湖北、福建等取得了不俗的成绩。工信部电子信息化司副司长彭红兵在致辞中表示，未来，工信部将从三方面着重推进国家数字家庭的建设：1）加大全产业链包括技术、产品、服务及产品模式等创新的支持；2）加强产品研发，最终形成产业集群；3）积极开展示范应用。

本次展会以“体验·智慧生活”为主题，集合智能终端、服务内容、用户体验、典型应用和示范导向为展示要素，为创新发展、促进信息消费和提升生活品质提供了导向，并以媒体传播和市场拓展为目标，为让大众充分体验“在家，世界触手可及；在外，家庭近在咫尺”的极致感受而缔造一个国际性数字家庭产业的交流平台。

会议同期，联想与中建三局的“东湖明珠智慧社区示范合作项目”现场签约，将在东湖明珠打造一个完整的智慧社区，将智慧的理念进一步惠及大众。

2014中国卫星应用大会北京落幕

10月28日至30日，中国卫星应用大会在北京举行，大会由工业和信息化部批准、中国通信学会主办。卫星应用大会集主题报告会、设备展览会、卫星技术讲座、圆桌讨论会于一体，是业界探讨卫星通信、卫星广播、卫星遥感与导航定位等应用发展方向的开放平台。

今年是中国首颗自主研制的通信卫星升空30周年。今天，在广袤的太空中，我国已有100余颗各种通信卫星、导航卫星、遥感卫星、科学实验卫星在其中遨游。而后由工信部及中国通信学会的领导分别致辞。本次会议云集了国际卫星组织、资深卫星专家、中外知名企业、卫星设备制造商、运营商、网络服务商，以及来自广播、通信、军事、公安、交通、科技、导航等诸多领域的用户及专业媒体参加，力求全面燕尾服示了中国卫星应用的发展现况，并为产业健康发展搭建开放的平台。