上周六,中国网络安全协同创新高峰论坛在京召开,沈昌祥、倪光南两位院士、中国信息化推进联盟协同创新专业委员会宁家骏主任、国家信息技术安全研究中心冯燕春副主任、交通运输部通信信息中心信息化发展处李璐瑶处长等炳专家到会并发表主题演讲。安全牛记者参会并着重记录了两个演讲。
《智能交通网络安全风险与对策分析》
–交通运输信息安全中心主任 李璐瑶
信息安全目前在技术层面、国家战略层面和政策理论层面有很好的探讨,但是有一些重要的领域重要的行业在认知上还是需要互动。
一、什么是智慧交通
根据国务院对交通的定位,现在包括这样几个领域,铁路、公路、水路、民航、城市交通,管道交通目前没有列入我们的交通领域。
交通运输的基本要素包括四大方面,一方面就是基础设施,比如道路、桥梁和航道;第二类属于装备工具,包括车、船、飞机、集装箱等;再者是运输主体;最后是服务管理,比如一卡通、ETC等。
中国的运输量和基础设施在世界上是数一数二的位置。除了车站机场和运输工具一些标准化的程度以外,最大的一个生产要素实际上是我们信息化的水平。
什么是智慧交通?就是在多种运输方式无缝衔接、零换乘这样的条件下,通过站场的衔接,通过运载工具的衔接,最终最根本的目的是通过一个信息的交互。
智慧交通数据分为静态和动态。前者包括基础设施、运载工具、服务对象和运输主体。后者包括运输行业、组织管理、公共服务和建设发展。如果需要一个信息交互,更多的是体现在大数据的积累和大数据的产生。比如图像信息、地理信息的矢量信息、空间位置信息、云信息,等等一系列构建了智慧交通的模式,应该说它最具有大数据的特征。
站在数据的角度来说,我们更多的看到它的数据服务的泛在、海量、服务能力强、社会价值高。在这个条件下智慧交通的影响和作用体现为为社会发展和经济发展和社会进步提供了最好的方式,提出来,一个是它自己的发展,第二是增进人民福祉,再是加强国家宏观调控,然后是国家安全和社会稳定。
二、智慧交通安全风险
安全涵盖六个方面,国家安全、社会稳定、经济发展、公众利益、社会情绪、公众安全。国外的重要基础设施保护,从国家安全战略定位,注重法律、政策、实施措施和标准,非常注重自主可控的产业技术,强化对数据资源的管理控制,甚至于这个管理控制不受信息公开自由法的约束。
目前看,关于风险态势,目前交通行业应该说是一个普遍的脆弱性,广泛的安全威胁和严峻的安全态势。在马航搜救期间,我们有一条船,国内的搜寻机构和船只的邮件系统被植入了18个木马。再一个是2013年,全国重点营运车辆联网联控系统18台服务器遭受攻击。还有12306网站的用户名和密码信息泄露事件。
1. 对关键基础设施保护的安全认识和重视程度不足;
2. 现有的信息安全保障政策制度体系对关键基础设施保护的适用性不强;
3. 支撑关键基础设施保护的国产化产业技术体系不健全
4. 对关键基础设施数据资源的使用和保护缺乏必要的管理控制措施
我们高铁出国了,但是我们的控制系统是国产化吗?包括北京地铁,我们的信号系统、控制系统,都是国外的。我们国产化的程度,确实是存在这样一些问题。
三、保障策略
1. 提升关键基础设施保护理念
从社会、经济、政治、国防高度认识关键基础设施保护的重要性,关键基础设施保护提升到国家安全战略的高度,加强关键基础设施保护重要性的宣传和意识教育,确定关键基础设施保护的范围。
2. 加快关键基础设施保护政策法规标准制定
分别从国家和行业层面制定相关的关键基础设施保护政策法规,加快关键基础设施保护标准的研究和制定,完善关键基础设施保护的可操作安全框架,并加强过程管理。
3. 加快自主可控产品技术革新
加强核心技术的自主研发,实现关键装备、基础软硬件的国产化,加快重要领域或系统中关键设备的国产化升级换代,强化产品和技术应用的安全审查。
4. 明确数据开放范围并加强管控
建立数据授权共享与管控的合作机制与责任机制,规范企业参与行为,企业参与关键基础设施的活动进行控制,限制敏感数据的共享与信息披露,加强随着时间推移或复合后产生的敏感信息的控制,加强企业参与关键基础设施建设与运营的审查。
《协同创新共筑全方位的网络安全技术生态保障体系》
–浙江乾冠信息安全研究院执行院长 董超
我们从成立起就定位不是做一个产品的研发公司,更多的是从整个网络安全的全方位安全隐患的角度去思考我们网络安全问题该怎么去解决这个角度。所以我们开始定位从整个全网的角度去思考定位,能够更多的与我们的产品厂家和技术厂家去协作,更多的去思考网络安全问题,怎么样把这些威胁更好的分析处理,也就是说建一个安全管理平台,这就是一个生态体系的全景。
一、构建安全管理服务系统平台
基于安全防护产品和安全服务,建立检测、监测、预警、服务保障体系,实现态势感知,实现实时响应和及时处理。
二、构建网络安全应急响应体系
能够随需应变、主动处理。更有效的解决方式就是通过协调技术资源或者服务资源区解决。
建立响应机制、应急体系,建立全社会参与的动员体系。这个从国家层面已经在做了,从企业的层面来看,将来不仅仅是众测,还有众包,能够更好与用户互动。
三、构建一体化的移动终端系统
它包括了网络安全应急指挥、管理、响应和处理,这个体系会成为我们解决网络安全问题的闭环,最终的终端是掌握在用户手里的。从我们国家的网络安全和信息化管理的角度来说,他肯定是考虑智慧、管理、处理包括整个响应的过程。从企业和服务商的角度要考虑服务。通过这个体系应该构建一个移动式的解决网络安全第一公里和最后一公里这样的过程。
四、构建安全大数据中心
包括安全威胁大数据、安全管理大数据、安全处理及服务大数据,实时采集、分析、加工、处理,提供网络安全从防御到应对的协同创新共同体。
国家已经把大数据作为一个战略层面来发展,所以像网络安全问题的解决,可能现在也是要基于大数据的整个分析管理处理这样的过程。我们会跟很多产品厂商去协同,能够构建从防御到应对的协同创新共同体,借助国家科研机构和政策指导保障众多厂家进行协同创新,构建一个生态的开放式的共同体。
五、构建以用户系统为核心的平台
必须以用户系统为核心,智能化、易交互,实时高效。我们基于协同创新共同体在做一些开放平台,包括在监测、预警和服务的开放,我们需要的是一个共同体来帮助用户解决安全问题。
安全之道,一路同行。