在中國網路安全大會上 聽《網路安全法》起草者是如何解讀這部法律的

《網路安全法》生效兩周後,北京國家會議中心,正氣氛熱烈地舉行一場安全大會。

中國網路安全大會(NSC2017),由國家相關部委指導,賽可達實驗室聯合國內外多家具有影響力的行業協會、機構等單位共同主辦,今年已經是第五屆。

早上九點,北京的天空淅淅瀝瀝地下著雨,但並不影響觀眾的熱情。嘶吼編輯準點抵達現場時,會場里已經大半坐好了,再過一會,會場快要滿席,主持人上台致辭,大會便開始了。

NSC2017是《網路安全法》施行後,國內首個公開場合下的行業討論大會,包括《網路安全法》起草單位、等級保護條例起草單位、政府網站管理單位、等級保護測評單位等多個網安領導單位領導都有分享內容。觀眾的熱情,很大一部分應該來自於此吧。

下邊進入大會正題。

上午場

大會上午場為主會場,除致辭環節外,有6個議題,時間卡得非常緊。

安全可信的一種方法

第一位出場嘉賓清華大學計算機科學與技術系教授吳建平分享了一則小故事。在國內,ipv6早先發展很順,2003年立項研究,2008年一期完成開始試商用,建成全球最大的IPv6示範網路,得到國外的高度關注和評價。但後面商用階段陷入困境,到現在一直停滯不前。

為什麼會這樣?吳教授總結了幾點原因:

1、國內互聯網技術應用存在差距,運營商長期採用私有地址轉換技術,不願使用公有地址

2、國內互聯網公司缺乏國際競爭,採用新技術的積極性不高

3、國內互聯網安全措施難度增大,認為IPv6不安全,(有加密功能)不利監管

4、國內發展方向爭議太多,產業、政策決策艱難

吳教授還點評「想哭」勒索蠕蟲事件,稱主要原因是軟體不升級,封埠長遠看解決不了問題,專網和國產也解決不了。再進一步,是大家都使用了相同的軟體、硬體、網路棧,統一的互聯網體系結構沒有安全可言。

那怎麼解決呢?從體質上增強,提升互聯網安全可信。比如以IPv6技術驅動的源地址認證和可信訪問。白話理解,我想應該是IP地址實名認證。

等保2.0時代

講第二個議題前,先介紹下演講者的身份:

公安部網路安全保衛局總工程師郭啟全,數十年老公安,十年前等級保護制度的起草者,《網路安全法》起草者之一。

不同的人看《網路安全法》會看到不同重點。郭工認為,這部法有個最核心的點,叫做等級保護制度。

郭工的演講正圍繞於此,他認為《網路安全法》下的等級保護制度已經進入2.0時代,國家網路基本制度、保護策略、保護對象、保護措施都發生了變化。

等級保護制度重點保護關鍵信息基礎設施,並也具有普適性。

市面上目前一些單位自稱有關鍵信息基礎設施,郭工表示全是假的,「指南都沒出來,所謂的關鍵信息基礎設施只有一個概念」,誰去評定的呢?

IoT安全

接下來的瑞星議題略微廣告性質,並且內容是不擅長的APT領域,跳過直接說微軟。

微軟中國首席安全官邵江寧從產業發展、安全演進等角度,梳理了IoT設備的安全指南。

有朋友評價,內容詳實得夠講一天(感覺挺適合培訓的,有興趣的讀者可以聯繫我)。雖然邵總也小廣告了他們的Azure雲安全方案,但相比還是很良心的。

放一則統計圖:

2016安全態勢

騰訊副總的議題主要講他們近幾年的安全成果,後邊有機會介紹。下邊是中國反網路病毒聯盟負責人、CNCERT的何能強博士,主講2016年國內外安全態勢。

撿幾個我感興趣的點講,一個是惡意App通報,他們會嚮應用商店、雲盤、網盤等平台通報發現的惡意App,並要求下架。16年通報數量最多的是七牛,有1413個。比較感興趣這裡的工作流程和具體數據,如果官方能以博文形式分享幾例案例就好了,說不定可能會增加新的舉報來源加入呢。

再一個是2016年通報的安全漏洞事件24246起,較2015年僅增長3.1%。去年7月發生的烏雲事件,影響正在慢慢擴散。

還有境內網站篡改,國內被植入暗鏈的網站佔全部被篡改網站的比例高達86%。可見黑產的目標也是極為明確,就是黑帽SEO。

下午場

大會下午場分為四個分論壇,嘶吼編輯只能憑著興趣四個會議室輪流串場聽,同樣撿有料的講。

可能大家不清楚,中國的政府網站群(政務專網),為目前全球最大規模。

中國政務專網分省、地市、區縣三級,覆蓋率90%以上,它們的管理機構叫做國家信息中心。

國家信息中心安全管理處處長邵國安分享了目前政務專網正在逐步實施的統一安全策略,以及未來安全方向的戰略目標。他說政務信息化建設應遵循邊界安全、網路安全、終端安全、應用安全、數據安全五條原則,以及介紹制定的《政務雲安全要求》。

邵國安特別提及,目前部分省市推行智慧城市計劃,其中政務雲也參與,放在了公有雲上,這是不合規定的。政務業務應部署在獨立的政務雲上,他點名像新疆、陝西等地,以後肯定要遷回來。

後邊有聽的,騰訊反病毒實驗室負責人馬勁松、盤古團隊移動安全研發部安全員劉濤、微步在線合伙人李秋石几位分享了各自團隊對安全事件的精彩響應過程,由於他們很多都曾經說過,這裡不再累述。

還有個議題講瀏覽器地址欺騙漏洞,到目前仍是困擾廠商、用戶的大難題,騰訊玄武實驗室的徐少培是這方面專家,他在挖掘了兩位數以上該類型漏洞後,點出了問題核心:

瀏覽器地址欄是個矛盾體,它提供兩個相互衝突的角色:你在哪和你要去哪。但它只能顯示其中的一個。地址欄恰是困於這兩個角色的不斷交換中。

深刻理解地址欄之困,是挖掘URL欺騙漏洞的核心奧義。

最後聽的議題叫做《網路安全法實施過程中,大型互聯網企業如何做到等保合規》,由公安部信息安全等級保護評估中心測評部副主任張振峰講解。後邊嘶吼會製作網路安全法專題,對各個方面進行深入講解,大家可以關注我們網站。

尾聲

大會至此進入尾聲,觀眾也逐漸散去。

我還在想等級保護制度2.0的概念。未來一年,除政府網站以外,國內大型互聯網企業、雲服務企業都需要主動進行合規檢查,網信網安相關單位正時刻盯著,指不定就會巡查抽檢出不合格廠商。

但新的等級保護制度究竟成效如何,能拯救個人信息已經被泄漏個底朝天的用戶嗎?這需要觀察。

如若轉載,請註明原文地址: 中國網路安全大會上,《網路安全法》起草者是如何解讀這部法律的? - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

【從入門到跑路】XSS技術專題
Pwn2Own 2017 Linux 內核提權漏洞分析

TAG:公共关系 | 网络安全 | 信息安全 |