楊光

2016“云棲大會·西湖論劍”中國網(wǎng)絡(luò)安全創(chuàng)新分享大會于2016年10月15-16日在杭州云棲小鎮(zhèn)國際會議展覽中心召開。

此次大會由杭州市人民政府、中國網(wǎng)絡(luò)空間安全協(xié)會、浙江省網(wǎng)信辦、浙江省公安廳、浙江省經(jīng)信委、云棲大會組委會指導(dǎo)，中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會、阿里云計算有限公司、杭州安恒信息技術(shù)有限公司主辦，浙江省計算機(jī)信息系統(tǒng)安全協(xié)會、杭州市網(wǎng)絡(luò)安全協(xié)會、北京洋浦偉業(yè)科技發(fā)展有限公司、飛塔信息科技（北京）有限公司、北京元支點信息安全技術(shù)有限公司、北京珊瑚靈御科技有限公司協(xié)辦。

本屆大會以“安若磐石，云之所棲”為主題，以全新的國際視野，洞悉全球云安全發(fā)展趨勢；圍繞“中國網(wǎng)絡(luò)安全創(chuàng)新分享”這一主題，共同研討探索適應(yīng)我國國情的網(wǎng)絡(luò)安全發(fā)展的道路，共商凝聚共識，整合資源的網(wǎng)絡(luò)安全創(chuàng)新新模式。

大會由公安部第一研究所原所長、計算機(jī)安全專委會主任嚴(yán)明主持，并宣讀了杭州市委副書記、市政府黨組書記、市長張鴻銘對大會發(fā)來的賀信。參加本次大會的致辭和重要演講的嘉賓有，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長胡嘯，浙江省公安廳副廳長石小忠，浙江省經(jīng)信委總工程師厲敏，中國信息產(chǎn)業(yè)商會信息安全產(chǎn)業(yè)分會理事長朱勝濤，公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全，國家信息中心專家委員會副主任、國家信息化專家咨詢委員會委員寧家駿等領(lǐng)導(dǎo)和專家。另外，來自全國各地政府機(jī)構(gòu)、公安部門、信息安全科研單位、央企、金融、運營商、互聯(lián)網(wǎng)、軍工各行業(yè)信息安全決策人員、信息安全主管、CIO、媒體等1500余人出席了本次大會。

專家論道產(chǎn)業(yè)安全

郭啟全總工在演講“加強(qiáng)創(chuàng)新和能力協(xié)同 全力保衛(wèi)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全”中提到，國家對網(wǎng)絡(luò)安全提出了新的要求，首先就是要健全和完善國家信息安全等級保護(hù)制度，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)?！毒W(wǎng)絡(luò)安全法（草案）》中也提出明確要求，國家實施網(wǎng)絡(luò)安全等級保護(hù)制度。

等級保護(hù)在網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)強(qiáng)國建設(shè)方面起著至關(guān)重要的作用?；A(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)面臨著日益嚴(yán)峻的威脅與挑戰(zhàn)。

為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護(hù)工作的需要，從2014年3月開始，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護(hù)重點標(biāo)準(zhǔn)申報國家標(biāo)準(zhǔn)的工作，等級保護(hù)正式進(jìn)入了2.0時代。

全新的《網(wǎng)絡(luò)安全等級保護(hù)基本要求》涵蓋了6個部分的內(nèi)容：安全通用要求、云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求以及大數(shù)據(jù)安全擴(kuò)展要求。

寧家駿指出，開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查至關(guān)重要，安全檢查是從涉及國計民生的關(guān)鍵業(yè)務(wù)入手，理清可能影響關(guān)鍵業(yè)務(wù)運轉(zhuǎn)的信息系統(tǒng)和工業(yè)控制系統(tǒng)，準(zhǔn)確掌握關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況，科學(xué)評估面臨的網(wǎng)絡(luò)安全風(fēng)險，以查促管、以查促防、以查促改、以查促建，同時為構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供基礎(chǔ)性數(shù)據(jù)和參考。

他建議，充分借鑒國外關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)相關(guān)法律，分析我國現(xiàn)有立法的不足和主要問題，抓緊建立我國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法律體系，從法律層面明確關(guān)鍵基礎(chǔ)設(shè)施的定義和范圍、界定政府部門的職責(zé)、規(guī)范運營者何所有者的運營資質(zhì)要求。同時通過關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢感知、積極穩(wěn)妥推動關(guān)鍵基礎(chǔ)設(shè)施相關(guān)產(chǎn)品的國產(chǎn)替代、開展安全檢查評測督促關(guān)鍵基礎(chǔ)設(shè)施運營單位加強(qiáng)管理等方案促進(jìn)我國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與信息化的大發(fā)展。

聚焦G20杭州峰會安保

安恒信息CSO劉志樂在演講中表示，杭州安恒信息技術(shù)有限公司作為本次大會網(wǎng)絡(luò)安保和應(yīng)急支撐工作的主要技術(shù)支撐單位，歷經(jīng)近360天精心準(zhǔn)備、投入309位技術(shù)骨干參與到G20峰會網(wǎng)絡(luò)安保任務(wù)。通過企業(yè)自主知識產(chǎn)權(quán)的最新大數(shù)據(jù)態(tài)勢感知系統(tǒng)及應(yīng)急處置工具箱、工控檢查工具箱等二十多種產(chǎn)品平臺，為G20峰會網(wǎng)絡(luò)安保構(gòu)建了全網(wǎng)全程網(wǎng)絡(luò)安保和應(yīng)急支撐監(jiān)測體系、防御體系和服務(wù)體系，經(jīng)過G20峰會全程考驗，安恒信息圓滿完成為本次峰會相關(guān)重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施、省市兩級重要信息系統(tǒng)提供網(wǎng)絡(luò)安全保障的安保任務(wù)。

安恒信息網(wǎng)絡(luò)安保團(tuán)隊以遠(yuǎn)程和現(xiàn)場人員安全檢測，結(jié)合部署基于云與大數(shù)據(jù)技術(shù)的遠(yuǎn)程安全監(jiān)測、大會系統(tǒng)現(xiàn)場各重要駐點安全值守、會議安保指揮中心四方互聯(lián)，多地支撐的形式，為大會召開保駕護(hù)航。他以本次峰會核心信息系統(tǒng)為例介紹道，安恒信息安保團(tuán)隊共發(fā)現(xiàn)高危以上漏洞438個，共攔截3300萬次攻擊。經(jīng)風(fēng)暴中心分析，攻擊來自于41個國家和地區(qū)。

DT時代的云計算安全

阿里云安全資深總監(jiān)肖力表示，云計算時代所面臨的安全挑戰(zhàn)并不比傳統(tǒng)安全所面臨的問題要少，甚至于相較之下更加復(fù)雜。通過10多年在安全領(lǐng)域的積累，阿里云建立了一支全球頂級的云計算安全團(tuán)隊，有完善的基礎(chǔ)設(shè)施，并且有更快的安全應(yīng)急時間，能及時發(fā)現(xiàn)高危的安全漏洞信息，用最短時間修復(fù)，幫助用戶應(yīng)對安全問題。

據(jù)普華永道統(tǒng)計，目前69%的企業(yè)正在使用基于云的安全服務(wù)，阿里云保護(hù)云上37%的數(shù)百萬的網(wǎng)站，每天防御8億次各類攻擊，每天識別并防御35000個惡意IP，每天防御2000次DDoS攻擊。安全從來就不是云平臺、用戶或者安全廠商某一方的單打獨斗。云計算廠商需要建立強(qiáng)大的生態(tài)讓用戶個性化的安全需求能夠快速有效的解決，云上客戶需要與SaaS服務(wù)商和安全廠商的虛擬化產(chǎn)品協(xié)同作戰(zhàn)，目前阿里云安全生態(tài)市場已有包括安恒信息在內(nèi)的79家生態(tài)廠商、168款安全產(chǎn)品。

阿里云首席安全研究員、云盾負(fù)責(zé)人吳翰清在大會上首次發(fā)布了“阿里云云盾混合云解決方案”，混合云解決方案由阿里云安全團(tuán)隊與數(shù)夢工場聯(lián)合開發(fā)、交付，支持公共云、專有云、線下IDC全場景覆蓋，讓企業(yè)擁有與阿里云一樣的世界級安全能力與體驗效果：包括安全態(tài)勢感知大屏、海量寬帶和快速擴(kuò)容、大數(shù)據(jù)安全分析、威脅情報支持和0DAY快速反應(yīng)能力。

模塊化是混合云云盾解決方案的一大體驗亮點。阿里云云盾的安全能力和服務(wù)，用“可插拔”的模式，模塊化輸入。用戶可以按需購買，按需啟用，解決以往線下解決方案不靈活、投入大的缺點。

安恒密盾2.0發(fā)布

安恒密盾安全產(chǎn)品經(jīng)理楊錦峰做題為“打造你的釘釘移動應(yīng)用安全之路（密盾2.0發(fā)布）”的演講。

楊錦峰認(rèn)為，作為一家從事網(wǎng)絡(luò)安全的科技公司，首先要了解用戶在想什么。安全感無疑是首先要給予用戶的體驗。安恒信息為阿里釘釘量身打造的安恒密盾是基于釘釘開放接口，結(jié)合專業(yè)的信息安全經(jīng)驗，采用國密標(biāo)準(zhǔn)，自主研發(fā)實現(xiàn)獨立第三方安全加密模塊。確保企業(yè)釘釘用戶內(nèi)部溝通協(xié)作的信息從通訊鏈路到釘釘云端的全過程加密，密鑰和內(nèi)容分開存儲，雙重加密，任何第三方包括釘釘都無法解密。

安恒密盾實現(xiàn)了信息存儲于阿里釘釘?shù)姆?wù)器上，密鑰存儲于安恒密盾的服務(wù)器上，從各終端（包括：手機(jī)、PAD、PC端）、通訊鏈路到阿里釘釘服務(wù)器的云管端三位一體的加密。安恒密盾采用完全自主的國密加密算法，為加密技術(shù)提供有力的支撐。企業(yè)管理員可以自主進(jìn)行密鑰更新，防止密鑰泄漏可能帶來的安全風(fēng)險，并且密鑰服務(wù)器采用云端部署，極大地降低了使用成本。