摘要：工业和信息化部信息安全协调司司长赵泽良在会上表示，政府部门加强信息安全工作不仅是维护自身网络安全，同时，也对全社会起到了非常大的示范和引领作用。政府部门网站是政府形象，是为老百姓办事的一个重要窗口，更是把政府服务送到千家万户的一个途径，所以，首先要加强网站的安全工作。当前信息网络更新换代，网络技术和计算机技术日新月异，网络的类别越来越多，物联网、云计算、移动互联网等新兴应用日益普及，随之而来的安全风险也越来越高。我们如何在这种复杂的网络环境中保证信息安全?

　　2011年4月21日，第十二届中国信息安全大会在北京新世纪日航饭店隆重召开。本次会议由中国电子信息产业发展研究院主办，中国计算机报承办，并得到中国计算机学会计算机安全专业委员会、公安部第一研究所、中国信息安全测评中心、中国信息安全认证中心、国家计算机病毒应急处理中心的大力支持和指导。本次大会继续保持了历年大会的综合性、前沿性、权威性等特点，知名的信息安全专家、厂商代表等共聚一堂，围绕“集中管控•全面防护”这一业界关注热点，共同探讨了信息安全产业发展及技术创新等议题。
　　
　　信息安全关系着国计民生
　　
　　有人说，当今的经济是网络经济。的确，信息技术已经成为经济可持续发展的重要因素。信息网络已经成为国民经济运行的重要设施，如果信息安全问题解决不好，就可能会严重影响人们对信息技术的信心和利用，严重影响信息网络这个基础平台的安全运行。
　　
　　工业和信息化部信息安全协调司司长赵泽良在会上表示，政府部门加强信息安全工作不仅是维护自身网络安全，同时，也对全社会起到了非常大的示范和引领作用。政府部门网站是政府形象，是为老百姓办事的一个重要窗口，更是把政府服务送到千家万户的一个途径，所以，首先要加强网站的安全工作。
　　
　　赵泽良还表示，提高政府部门网站的安全防范能力是加强政府信息安全工作的一个重要环节。政府信息安全工作要实行标准的管理，按照工作需要配置，要严格使用管理，加强政府部门的互联网连接管理。这些方面的管理提升，可以提高政府部门自身的信息安全水平，同时也能带动全社会的信息安全工作。
　　
　　中国电子信息产业发展研究院院长罗文在会上指出，面对日益复杂的信息安全形势，要着重做好以下几个方面：一是完善网络与信息安全的法律法规和信息安全标准体系，实施信息安全等级保护、风险提供等制度;二是加强信息网络检测、管控能力建设，确保基础信息网络和重点信息安全;三是推进信息安全基础设施建设，构建信息安全保密防护体系，加强互联网管理，确保国家网络信息安全。
　　
　　云计算环境下的安全防护
　　
　　中国科学院信息安全国家重点实验室教授翟起滨在会上表示，云计算的安全问题主要体现在云系统的可见性和透明性。很多云提供商告诉用户只要关注自己的业务就好，不用担心云是如何工作的。但是在用户看来，如果他看不到云提供商的服务界面是什么，不清楚云有多大，不清楚文件包在云中如何运行，他很难放心。
　　
　　北京网御星云信息技术有限公司针对云计算带来的安全挑战进行了探索和研究。网御星云拥有完整的产品架构，包括14条产品线，56个系列，370型号，几乎覆盖了从网络安全到应用安全，再到安全管理的全系列安全产品。安全管理和监控，在过去是网元管理、事件管理或者性能管理，在云计算时代，应用服务管理是不可或缺的，基础的网元管理和事件管理架构要更加完善。网御星云高级工程师姜铁华表示，云计算带来了安全接入、数据加密、协同保密、认证授权、监控方面五方面的挑战。网御星云的统一安全认证和授权服务平台可以适应云计算的大规模应用，同时在跨域应用更加适合云计算应用。
　　
　　本次大会上，杭州安恒信息技术有限公司带来了Web安全的解决方案。从检测方面来说，该解决方案主要包括Web应用落点扫描和数据库落点扫描。杭州安恒的观点是，没有主动防护的防护是脆弱的。杭州安恒目前在安全检测市场占有60%以上的份额，对Web安全漏洞防护做了大量的贡献。安恒的应用安全检测有很多的创新技术，它的扫描技术支持BS架构、Web6.0、虚拟化等架构。杭州安恒拥有国内最强的防火墙团队，他们最早攻克了全透明代理并最早提出了加密协议检测。杭州安恒总裁范渊表示，现在的安全策略不再是一个堆盒子的过程，而是一个产品和服务的结合，业务系统要和应用安全紧密联系，从前端到后端，要形成一个完整的解决方案。
　　
　　蓝盾信息安全技术股份有限公司技术副总裁杨育斌在会上表示，云计算最大的问题是数据和应用环境是分离的。因为它们是分离的，所以接入渠道是不安全的，云端的虚拟机是不安全的，软件服务提供商也是不安全的。蓝盾提供的解决办法包括用软件检测、软件加密、存储安全、法律法规、第三方监管等一系列技术手段和法律手段保证云的安全。蓝盾还在会上提出了云安全模型。它可以覆盖到PC、服务器、计算与资源中心、手机，甚至是未来的公共设备，能把所有的安全策略统一管控起来。蓝盾的第四代安全管控平台考虑到了云安全的管控，包括了对云进行发布、组织、聚合、管理以及调动等功能。蓝盾的安全管控平台从第一代的事件分析到第三代的风险评估，发展到了第四代的风险可视可控。
　　
　　多方面的安全防控
　　
　　很多人可能都用过网上银行，没有用过网上银行也用过电子银行，但是最近发生的网上银行受到钓鱼攻击的事件让人们开始重视网上银行的安全问题，如何才能保障网络交易的安全?上海众人网络安全技术有限公司推出了他们的解决方案。上海众人主要致力于身份认证，尤其关注的是金融信息安全。上海众人针对网上支付和网上交易推出了ISK500支付增强型令牌，用户可以通过它进行一个平台多渠道安全认证。ISK500开关机自动生成时间密码，保证用户转账账号安全。ISK500还可以应用在出版领域，作为电子签名使用。值得一提的是，上海众人在2009年推出了第一款基于时间的动态令牌产品，并获得了有关部门和专家的认可。
　　
　　安全运营中心(SOC)越来越被企业所重视，北京天融信科技有限公司在会上就以湖南电信SOC项目为例分享了他们在大型系统安全监管项目上总结出来的经验。天融信在湖南电信SOC项目一期的时候主要是对湖南电信的安全产品以及非安全产品做了相应的安全管理，主要包括网络的可用性、日常流量方面的管理。天融信在二期工程中把异常流量的分析功能做了加强，还根据湖南电信的特点增加了报表功能，提出了包括流量清洗的安全增值业务，更是把安全管理的监控范围扩展到了湖南省全省。天融信在三期工程中又增加了异向流量，帮助湖南电信建立了整套基于SOC平台的安全体系。
　　
　　东软集团股份有限公司网络安全营销中心副总经理曹鹏会上表示，在云时代，传统的很多安全检测的技术和手段，可以不用再像一个设备一样，它可以变成一种服务，它可以把检测传到云端。在国内很难找到哪个技术团队可以把所有的业务做得很强，在传统形式下这是很难的。到了云时代这变得很容易，所有的内容都可以通过云端去做回馈。云带给人们思想上和技术上的挑战，激发出了很多设计理念，激发出了很多新的产品，激发出了很多解决方案的创新。云计算带来的冲击是可以让更多的、最优秀的一线厂商结合在一起，能够让更多优秀产品的功能和模块走在一起，而不是像以前那样堆盒子，用这些云去完成快速的行业内整合。
　　
　　等级保护工作成果显著
　　
　　等级保护工作从开展到现在已经有五六年的时间了，现在到了该回过头来梳理一下过程并总结一下这几年来我们国家信息安全等级保护工作的成效的时候了。去年全国公安机关组织开展的等级保护专项检查工作发现，主要成效有以下几个方面：1.国家重要行业部门对网络安全的重要性的认识程度提高。2.重要行业部门以等级保护工作为抓手，全面系统地开展网络安全工作，提升了国家信息安全保障的能力和水平。3.部省两级保办推荐的全国信息安全保护测评机构，对各单位各部门开展等级测评，及时发现信息系统存在的安全隐患漏洞和薄弱环节，初步掌握了重要信息系统的安全保护状况。4.通过开展等级保护安全整改工作，重要信息系统安全防护能力显著增强，信息安全的试点事故数量明显下降。5.重要行业部门通过开展等级保护工作，创造出自己的具有行业特点、结合行业特殊需求的信息安全保证工作模式。
　　
　　去年下半年，公安部组织全国公安机关对各单位各部门开展为期三个月专项检查，通过开展检查了解了各单位的工作成效和经验，公安机关有机会为各单位各部门提供更好的服务和保障，也有利地促进了各单位工作的开展。
　　
　　公安部网络安全保卫局重要信息系统安全监察处处长郭启全在会上表示，做好等级保护工作领导重视是根本，充分发挥行业主管部门的作用是关键，突出工作重点是有效对策，充分调动多方力量是重要保障，加强服务指导是科学方法。
　　
　　2009年等级测评体系试点完之后，2010年大力开展等级测评体系建设，今年这个体系建设工作要初步完成。等级测评体系建立流程是企业申报，然后公安机关初审，公安部等级保护评估中心进行现场核查，测评师培训、考试、面试、发证，最后由部省两级等级保护办向社会推荐。
　　
　　继续大力推动组织开展信息系统安全建设整改工作是核心。全国公安机关大力推动等级保护工作，使国家的信息安全产业发展起来了，国家的信息安全产品的水平在大幅度提高，信息安全产品的数量种类在大幅度提升。
　　
　　重点推动中央企业等级保护工作，加强对中央企业开展等级保护工作的考核。加强公安机关的监督检查，从去年开始，以后每年的部省市三级公安机关对各单位的等级保护工作进行专项检查。
　　
　　公安部要组织相关的部门开展等级保护技术体系研究，包括物联网、云计算、三网融合等新技术、新应用和等级保护制度的结合问题，还有信息安全等级保护的标准，基本要求和安全设计技术要求这两个最重要的标准。
　　
　　责任编辑：Lily