2022西湖論劍.網(wǎng)絡安全大會關鍵信息基礎設施及等級保護論壇在京舉行

7月3日，2022西湖論劍·網(wǎng)絡安全大會關鍵信息基礎設施及等級保護論壇在北京舉行。中國計算機學會計算機安全專業(yè)委員會主任、公安部第一研究所副所長于銳，中國計算機學會計算機安全專業(yè)委員會榮譽主任、公安部一所、三所原所長、一級警監(jiān)、研究員嚴明，公安部第一研究所信安部副主任胡光俊，公安部信息安全等級保護評估中心咨詢部副主任袁靜，中國電信集團網(wǎng)絡和信息安全管理部總經(jīng)理谷紅勛，中國科學院軟件研究所研究員、博士生導師連一峰，鄭州大學網(wǎng)絡空間安全學院、中原網(wǎng)絡安全研究院院長、研究員胡傳平，安恒信息副總裁楊方宇及安恒信息態(tài)勢感知事業(yè)部副總經(jīng)理楊波等出席本次論壇。

保障關鍵信息基礎設施安全，對維護國家網(wǎng)絡空間主權和國家安全、保障經(jīng)濟社會健康發(fā)展、維護公共利益和公民合法權益具有重要意義?！吨腥A人民共和國網(wǎng)絡安全法》明確規(guī)定實行等級保護制度，并規(guī)定關鍵信息基礎設施在等級保護基礎上實施重點保護?！蛾P鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的出臺，也為我國深入開展關鍵信息基礎設施安全保護工作提供了有力的法治保障。

論壇上，專家學者圍繞《條例》的理解和貫徹進行了深入的探討，聚焦金融、能源等關鍵信息基礎設施重要行業(yè)和領域，分享安全防護優(yōu)秀實踐案例，助力構建新型基礎設施安全防護體系，促進數(shù)字經(jīng)濟安全健康發(fā)展。

于銳在致辭中指出，關鍵信息基礎設施是國家安全建設和發(fā)展的基石，是保障國家安全、國際民生和公共利益的重大長期任務。作為關鍵信息基礎設施運營者的行業(yè)及企業(yè)，應積極承擔主體防護責任，認真執(zhí)行重要信息系統(tǒng)等級保護制度，落實公安機關提出的“三化六防”工作要求;監(jiān)管機構、行業(yè)主管部門、科研院所、網(wǎng)絡安全企業(yè)應共同發(fā)力，加快構建關鍵信息基礎設施安全保障能力和保障體系，完善關鍵信息基礎設施安全防護應急機制，提升全天候、全方位網(wǎng)絡安全態(tài)勢感知能力。

嚴明就《條例》作出解讀。他認為，隨著《條例》的實施，關鍵信息基礎設施安全保護工作將邁上新的臺階。

袁靜則分享了基于等級保護的關鍵信息基礎設施安全保護與測評的思考。“從保護國家安全的角度來說，關鍵信息基礎設施的保護目標可以說是一個無限風險防范目標，我們要盡自己的最大能力去保護。”袁靜說，整個關鍵信息基礎設施標準相關系列標準的推動和研究涉及到三部分：重要標準、支撐標準和特定領域的標準。在關鍵信息基礎設施保護的六個方面，即在識別認定、安全保護、檢測評估、監(jiān)測預警、主動防御及事件處置中，每一個環(huán)節(jié)均有相應的標準作指導，每個環(huán)節(jié)都有一到兩個核心標準。

谷紅勛從運營商的角度分享了落實關鍵信息基礎設施保護的實踐經(jīng)驗。谷紅勛認為，通訊和能源是關鍵信息基礎設施保護的重點對象，而運營商的安全防護是重中之重。安全型特質成為中國電信的工作重心之一。中國電信在自主可控云、安全中臺、安全能力資源池的自主開發(fā)等方面做出了特色的探索。目前，已經(jīng)形成了由分布式云、自主可控云、安全可信云及開放合作云構成的、非常成熟的、相對自主可控的龐大公有云體系。

“我的團隊一直嘗試把人工智能、包括機器學習技術應用到關鍵信息基礎設施的保護當中，希望能夠提高保護工作的精準性、有效性和預見性。”連一峰從數(shù)據(jù)采集監(jiān)測、數(shù)據(jù)驗證、數(shù)據(jù)融合及業(yè)務實戰(zhàn)等方面，介紹了大數(shù)據(jù)與人工智能技術在關鍵信息基礎設施安全保護中的應用。

楊波就供應鏈安全能力分享了安恒信息在落實關鍵信息基礎設施保護的實踐經(jīng)驗。“目前，開源成為供應鏈開發(fā)的主要方式。開源的方式帶來了很多優(yōu)點，比如說高效、快速，同時也引入了很多問題，導致一些軟件供應鏈不可控。”楊波提到，安恒信息這幾年在軟件供應鏈方面的基礎性工作主要致力于建立云端與企業(yè)端的軟件供應鏈安全運營的生態(tài)。在云端，依托安恒信息的威脅情報能力，建立安全運營平臺，提供采集通報、應急處置、態(tài)勢感知等軟件供應鏈管理模塊，通過開源的形式，將各關聯(lián)方生產(chǎn)、運營產(chǎn)生的數(shù)據(jù)庫最終形成軟件供應鏈的知識圖譜，實現(xiàn)共享。在企業(yè)端，利用態(tài)勢感知的全新檔案，幫助客戶梳理資產(chǎn)及供應鏈的情況，形成單位系統(tǒng)和資產(chǎn)的檔案，支撐供應鏈安全業(yè)務管理的閉環(huán)。

最后，他呼吁行業(yè)相關部門要制定相關軟件供應鏈的標準，安全廠商要加強軟件供應鏈的研究、情報共享及相關的培訓，關鍵信息基礎設施相關單位要按照公安部門的要求開展網(wǎng)絡安全智慧監(jiān)控中心檢測，升級安全管理的平臺和技術體系。

值得一提的是，《2021網(wǎng)絡安全態(tài)勢觀察報告》(以下簡稱“白皮書”)在此次論壇中發(fā)布。白皮書指出，就2021年整體應急響應數(shù)據(jù)而言，安全攻擊主要集中在運營商、金融、政府、能源、互聯(lián)網(wǎng)、醫(yī)療、衛(wèi)生等關乎國際民生的重要行業(yè)。白皮書通過相關數(shù)據(jù)闡述了關鍵信息基礎設施的重要性及其所面臨的安全風險，并就如何應對新型網(wǎng)絡威脅、保護關鍵信息基礎設施提出建議。白皮書中的主要數(shù)據(jù)，由2021年安恒信息應急響應中心團隊綜合分析全國整體安全行業(yè)工作檢查支撐及事件應急響應相關數(shù)據(jù)而得出。

本次論壇由浙江省公安廳、中國計算機學會計算機安全專業(yè)委員會主辦，安恒信息承辦，中國計算機學會計算機安全專業(yè)委員會關鍵信息基礎設施安全保護工作組協(xié)辦。(記者 孔繁鑫)

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）