迎挑战、建体系 | ISC 2020 信创安全论坛(上)
2020-08-13 20:08:46 Author: www.aqniu.com(查看原文) 阅读量:440 收藏

迎挑战、建体系 | ISC 2020 信创安全论坛(上)

星期四, 八月 13, 2020

8月11日上午10:00,第八届互联网安全大会(ISC 2020)信创安全论坛于云端准时上线。本次论坛共分为上下两场举行。上半场六位业内顶尖专家对“信创安全”一题进行了详细的解读。六位专家分别是:

杜跃进
360集团首席安全官

张格
国家工业信息安全发展研究中心首席专家

潘剑锋
360首席科学家,国家信息安全漏洞库特聘专家

白小勇
北京炼石网络技术有限公司创始人,CEO

袁明坤
安恒信息高级副总裁

胡晓娜
360漏洞云业务线负责人

信息技术创新应用是我国信息技术领域打造自主创新生态的国家战略举措。在大力推进信创产业发展的同时,做好安全保障是实现我国信创战略目标的重要前提和基础。信创安全目前面临哪些严峻挑战,有怎样的应对之策,专家们这样说:

360集团首席安全官杜跃进指出信创安全正面临着自身弱、对手强、动机多的严峻挑战。与此同时,信创安全还面临着认知偏差、能力不足、积累不足、实战不足四大问题。基于此,杜跃进提出无安全,不信创,一味照搬过去的安全思维和方法,无法解决当下信创所面临的安全问题,信创安全需要全新的思路。

针对以上问题,他提出信创安全体系设计的五大指导思想,践行于信创安全建设之中:一是需拥有攻防视角;二是亟需整体思维;三是进行统一调度;四是需要开放运营;五是以能力驱动。在这样的指导思想下,杜跃进将整个信创安全的目标划分为可信、安全、可控、可对抗和可存活五个层次。

建设信创安全体系势在必行,目前各信创安全厂商已逐步推进了终端安全、安全性测试、漏洞管理、安全开发、安全挑战、数字证书等方面的工作。未来还有更多的工作需要安全行业共同参与,互相配合,才有可能解决信创安全面临的问题。

国内信息技术产品网络安全风险识别和测评

国家工业信息安全发展研究中心首席专家张格重点阐述了国内信息技术产品存在的安全问题。他指出,近年来国内信息技术系统、产品开发和应用存在安全漏洞和缺陷的可能性较大;产品安全测试与评估方法存在局限,安全性更是有待验证;针对国产化环境的安全产品的防护水平有待进一步提升。

其中,完善安全测试体系建设尤为重要,这就需要做到:1.推动研究制定产品安全测试大纲,提出安全测试基线要求,形成通用性安全技术要求及安全性测试指南;2.研制针对基于国内软硬件的系统安全评估指南;3.加强网络安全靶场与测试验证环境建设。

信创终端安全挑战&应对方案

随着信创工程的深入推进,党政用户计算机终端面临严峻的安全威胁。党政用户是有组织的网络攻击的重点目标,终端是网络攻击的最前线。360首席科学家,国家信息安全漏洞库特聘专家潘剑锋表示保障信创终端安全是目前信创领域最迫切和最紧急的工作。

潘剑锋指出传统终端安全的防护手段在信创领域中还存在不足:终端安全产品能力参差不齐;缺少集中统一的威胁分析能力;缺少统一的恶意代码命名规范;缺少统一的终端安全产品标准;难以发现高级持续性攻击威胁。

针对这样的问题,潘剑锋认为想要保障信创终端安全,需要建立信创终端安全标准体系规范、提升信创终端安全保障能力,推动信创终端安全产品应用推广。

实战视角促合规,密码应用抓生态

密码作为网络空间安全的核心支撑技术,是信创体系的重要组成部分。北京炼石网络技术有限公司创始人、CEO白小勇尝试辩证分析密码合规与实战的关系,思考国密市场未来趋势,探索高质量密码供给体系、新密码应用及数据安全技术方向,最后从生态角度思考国密推广破“局”之道:

1. 密码实战防护需求极具潜力:《密码法》出台、“放管服”落实、信息技术升级换代造就了商用密码发展的黄金窗口期。从需求侧,合规与实战并举,将会拉动商用密码市场蓬勃发展。
2. 高质量密码供给激活实战防护市场:高质量密码供给面临着国密算法难以等效替换、密码产品不好用、甲方难以消化密码技术这三个挑战,这些挑战也意味着密码创新的机遇,白小勇提出了让密码能用、让密码好用和让甲方用好的破局思路。
3. 拓宽商业市场,做强密码生态:信息技术生态的广泛环节存在商用密码覆盖盲区,需要增强工具链覆盖,弥补密码生态短板,抓住历史机遇,拓宽密码商业化市场,做强密码应用生态。

新形势下信创安全治理与开发建设之路

安恒信息高级副总裁袁明坤表示随着新兴技术的发展,安全开发已经成为信创安全领域关注的重点。放眼国际,BSIMM 10以及OWASP SAMM是较为通用的安全开发成熟度模型,以标准化的安全开发为指导有利于安全治理及开发实践的不断优化。

袁明坤认为,新形势下信创安全治理与开发体系应由政策、标准、产学研、生态、工具五大体系同步规划与建设。以国家政策推动,建立体系完备的信创安全开发标准指导;以产学研持续人才培养、治理研究,协同成立上下游生态;除此之外,制定完整的技术规范作为安全开发技术指导;以自动化、半自动化的工具支撑,实现安全开发能力的提高。

袁明坤总结,参考国内外成熟安全开发标准、技术规范,结合我国信息系统安全保障评估框架、系统安全工程能力成熟度模型等相关标准,国内信创生态体系可建立对安全开发能力客观可量化、具有操作性的评价指标及评价方法。

信创热潮下的漏洞威胁
——探索信创背景下安全发展的可行方向

360漏洞云业务线负责人胡晓娜以“斯诺登事件”、“伊朗震网病毒”、“索尼影业攻击事件”、“RSA Adobe Flash事件“四个事件展开,分析了严峻的国际网络安全形势,表明了国家通过发展信创产业构建自己的IT产业标准和生态的必要性。

国内自主研发的软硬件中不可避免的存在漏洞问题,为了规避信创领域里的漏洞风险,胡晓娜提出了一套科学可行的整体解决方案:

一是以协作为主线,以技术创新为核心,搭建信创领域安全技术研究、信息交流、应用推广的平台;

二是制定一套针对信创产品安全尤其是产品漏洞的标准和规范来支撑我国信创相关政策的制定与执行;

三是搭建信创安全人才培养体系,制定安全人才的认证标准,建立信创安全人才培养基地;

四是充分借鉴传统的安全产品,围绕提升信创产品中发现漏洞等能力,建设整个信创漏洞安全防护体系。


文章来源: https://www.aqniu.com/zhuanti/isc2020/69405.html
如有侵权请联系:admin#unsafe.sh