本文讲的是中国网络安全大会上,《网络安全法》起草者是如何解读这部法律的?,《网络安全法》生效两周后,北京国家会议中心,正气氛热烈地举行一场安全大会。
中国网络安全大会(NSC2017),由国家相关部委指导,赛可达实验室联合国内外多家具有影响力的行业协会、机构等单位共同主办,今年已经是第五届。
早上九点,北京的天空淅淅沥沥地下着雨,但并不影响观众的热情。嘶吼编辑准点抵达现场时,会场里已经大半坐好了,再过一会,会场快要满席,主持人上台致辞,大会便开始了。
NSC2017是《网络安全法》施行后,国内首个公开场合下的行业讨论大会,包括《网络安全法》起草单位、等级保护条例起草单位、政府网站管理单位、等级保护测评单位等多个网安领导单位领导都有分享内容。观众的热情,很大一部分应该来自于此吧。
下边进入大会正题。
上午场
大会上午场为主会场,除致辞环节外,有6个议题,时间卡得非常紧。
安全可信的一种方法
第一位出场嘉宾清华大学计算机科学与技术系教授吴建平分享了一则小故事。在国内,ipv6早先发展很顺,2003年立项研究,2008年一期完成开始试商用,建成全球最大的IPv6示范网络,得到国外的高度关注和评价。但后面商用阶段陷入困境,到现在一直停滞不前。
为什么会这样?吴教授总结了几点原因:
1、国内互联网技术应用存在差距,运营商长期采用私有地址转换技术,不愿使用公有地址
2、国内互联网公司缺乏国际竞争,采用新技术的积极性不高
3、国内互联网安全措施难度增大,认为IPv6不安全,(有加密功能)不利监管
4、国内发展方向争议太多,产业、政策决策艰难
吴教授还点评“想哭”勒索蠕虫事件,称主要原因是软件不升级,封端口长远看解决不了问题,专网和国产也解决不了。再进一步,是大家都使用了相同的软件、硬件、网络栈,统一的互联网体系结构没有安全可言。
那怎么解决呢?从体质上增强,提升互联网安全可信。比如以IPv6技术驱动的源地址认证和可信访问。白话理解,我想应该是IP地址实名认证。
等保2.0时代
讲第二个议题前,先介绍下演讲者的身份:
公安部网络安全保卫局总工程师郭启全,数十年老公安,十年前等级保护制度的起草者,《网络安全法》起草者之一。
不同的人看《网络安全法》会看到不同重点。郭工认为,这部法有个最核心的点,叫做等级保护制度。
郭工的演讲正围绕于此,他认为《网络安全法》下的等级保护制度已经进入2.0时代,国家网络基本制度、保护策略、保护对象、保护措施都发生了变化。
等级保护制度重点保护关键信息基础设施,并也具有普适性。
市面上目前一些单位自称有关键信息基础设施,郭工表示全是假的,“指南都没出来,所谓的关键信息基础设施只有一个概念”,谁去评定的呢?
IoT安全
接下来的瑞星议题略微广告性质,并且内容是不擅长的APT领域,跳过直接说微软。
微软中国首席安全官邵江宁从产业发展、安全演进等角度,梳理了IoT设备的安全指南。
有朋友评价,内容详实得够讲一天(感觉挺适合培训的,有兴趣的读者可以联系我)。虽然邵总也小广告了他们的Azure云安全方案,但相比还是很良心的。
放一则统计图:
2016安全态势
腾讯副总的议题主要讲他们近几年的安全成果,后边有机会介绍。下边是中国反网络病毒联盟负责人、CNCERT的何能强博士,主讲2016年国内外安全态势。
捡几个我感兴趣的点讲,一个是恶意App通报,他们会向应用商店、云盘、网盘等平台通报发现的恶意App,并要求下架。16年通报数量最多的是七牛,有1413个。比较感兴趣这里的工作流程和具体数据,如果官方能以博文形式分享几例案例就好了,说不定可能会增加新的举报来源加入呢。
再一个是2016年通报的安全漏洞事件24246起,较2015年仅增长3.1%。去年7月发生的乌云事件,影响正在慢慢扩散。
还有境内网站篡改,国内被植入暗链的网站占全部被篡改网站的比例高达86%。可见黑产的目标也是极为明确,就是黑帽SEO。
下午场
大会下午场分为四个分论坛,嘶吼编辑只能凭着兴趣四个会议室轮流串场听,同样捡有料的讲。
可能大家不清楚,中国的政府网站群(政务专网),为目前全球最大规模。
中国政务专网分省、地市、区县三级,覆盖率90%以上,它们的管理机构叫做国家信息中心。
国家信息中心安全管理处处长邵国安分享了目前政务专网正在逐步实施的统一安全策略,以及未来安全方向的战略目标。他说政务信息化建设应遵循边界安全、网络安全、终端安全、应用安全、数据安全五条原则,以及介绍制定的《政务云安全要求》。
邵国安特别提及,目前部分省市推行智慧城市计划,其中政务云也参与,放在了公有云上,这是不合规定的。政务业务应部署在独立的政务云上,他点名像新疆、陕西等地,以后肯定要迁回来。
后边有听的,腾讯反病毒实验室负责人马劲松、盘古团队移动安全研发部安全员刘涛、微步在线合伙人李秋石几位分享了各自团队对安全事件的精彩响应过程,由于他们很多都曾经说过,这里不再累述。
还有个议题讲浏览器地址欺骗漏洞,到目前仍是困扰厂商、用户的大难题,腾讯玄武实验室的徐少培是这方面专家,他在挖掘了两位数以上该类型漏洞后,点出了问题核心:
浏览器地址栏是个矛盾体,它提供两个相互冲突的角色:你在哪和你要去哪。但它只能显示其中的一个。地址栏恰是困于这两个角色的不断交换中。
深刻理解地址栏之困,是挖掘URL欺骗漏洞的核心奥义。
最后听的议题叫做《网络安全法实施过程中,大型互联网企业如何做到等保合规》,由公安部信息安全等级保护评估中心测评部副主任张振峰讲解。后边嘶吼会制作网络安全法专题,对各个方面进行深入讲解,大家可以关注我们网站。
尾声
大会至此进入尾声,观众也逐渐散去。
我还在想等级保护制度2.0的概念。未来一年,除政府网站以外,国内大型互联网企业、云服务企业都需要主动进行合规检查,网信网安相关单位正时刻盯着,指不定就会巡查抽检出不合格厂商。
但新的等级保护制度究竟成效如何,能拯救个人信息已经被泄漏个底朝天的用户吗?这需要观察。
原文发布时间为:2017年6月13日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。