2017第二届中国信息安全服务年会：多方解读国家政策，推进网络安全法与关键信息基础设施保护落地

同一个议题，不同的嘉宾，同与不同的见解或想法。 在参会中我们听到了不同的嘉宾从不同角度解读网络安全法与关键信息基础设施保护，国家政策和国家意志的实现究竟会落实到怎样的一个具体形态上，处于安全圈以及处于网络安全防护保障体系下的厂商、服务商、相关单位又能怎样为新形势下的国家信息安全、关键基础设施、工控安全发挥新的力量呢？

继昨日的网络安全法与关键信息基础设施培训会后，7 月 21 日第二届中国信息安全服务年会继续在北京万寿庄宾馆举办。只不过相较于培训会，第二天的中国信息安全服务年会的的人数要翻上好几番，因此场地也从前一天的会议厅变到了楼上的小礼堂。

现场可谓各路英才齐聚一堂，连空气都变甜了呢

今年的年会围绕正处在风口浪尖的“ 网络安全法与关键信息基础设施保护 ”主题，由公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心主办、公安部第三研究所《信息网络安全》杂志承办，上海嘉韦信息技术有限公司协办，邀请了三类与会人员前来参加年会——信息安全主管部门领导与行业信息化建设的负责人，大型央企和专家学者，以及安全产品厂商服务商。

落座与会者在彼此交流

笔者来到现场的时间，还算挺早的，落座的嘉宾已经有四成，其他还在陆续前来和前台签到处登记。

FreeBuf 的座位

落座后，桌面上安放的一张薄薄的A4纸上正反两面，列明了今日所有的演讲议题。除去开幕致辞部分，演讲部分主要包括了上午的 3 场主题演讲和下午的 7 场专业演讲，几近填满一整天时间。

关键基础设施的安全保护是国家的意志

上午的服务年会由中国计算机学会计算机安全专业委员会秘书长 唐前临 主持，公安部第三研究所所长助理 赵代江、中国安防协会副理事长 顾建国 以及公安部网络安全保卫局处长 盘冠员 ，分别进行了开幕致辞。在开幕致辞中，就可以听出或者预判到本次年会也许注定就是各抒己见的，是会激起一些思考碰撞的，但也许这恰恰是选择这样形式的意义。同一个议题，不同的嘉宾，同与不同的见解或想法。

国家目前高度重视信息安全工作，出台网络安全法开启了依法治网的时代，能够推进信息网络安全水平的提高。—— 赵代江 关键基础设施的安全保护是国家的意志，国家行动；但说到真正抓好关键基础设施的安全，我们准备好了么？我认为差距还不小，需要加强五方面的保障…—— 顾建国 做好安全保护，要进行体系化建设，充分发挥制度优势，建立发现-预警机制。—— 盘冠员

前一天辛苦上课的学员们也获得了相应的回报——包括 斗象科技 在内的十位培训学员代表在前一天的考核中脱颖而出，成绩位列前十榜单，因而获得优秀学员的证书。

国家网络与信息系统安全产品、质量监督检验中心 顾健 副主任就《推动网络安全创新服务 保障关键基础信息基础设施安全》的主题，介绍 信安在线 服务平台的网络安全生态平台，并着重介绍了平台上的安全产品信息搜索，网站安全认证，安全服务，网络安全保险等配套网络安全服务。公安三所的下设部门和 8 个实验室还能依照企业需求，提供针对性的检测服务。

我们在中央网信办，公安部的领导下，为保障我国关键信息基础设施的安全，作出自己应有的贡献。

顾健副主任的演讲后，进行了信安在线网站安全安全认证服务的发布。

随后，国家能源局信息中心副主任 胡红升 针对关键基础信息的主题，作了《电力关键信息基础设施保护的前期探索》的主题演讲。

能源发展是重要物质基础，有关国计民生和国家战略竞争力； 而到2020年，天然／煤炭消耗比重会大幅下降，所以安全发展核电（在建21台），是今后能源方面主要力量。

胡红升 副主任回顾了我国现在能源消耗现状和未来规划（核电项目），回首电力及能源系统的相关法律法规的前身，总结电力监控系统安全防护三大阶段（贸委30号令／电监会5号令/发改委14号令），详细阐述了电力系统如何构建安全防护体系：从电力公司监控系统管理系统，网络的专网专用和网络防护，系统本体安全，可信安全免疫，应急备用措施，人员管理上分条阐述。

工业和信息化部电子工业标准化研究员信息安全研究中心技术部主任 叶润国 就《关键信息基础设施安全防护保障体系思考与网络安全标准研制进展》发表演讲。他先讲解了服务运营者的安全保护义务，随后对照美国制定的相关法律进行分析，如 NIST 制定的《改善关键信息基础设施的安全框架》（指导规范）及 CII 网络安全防护体系。

为了建立关键信息基础设施安全保障体系，我国现在在国家层面和法律、制度、和标准上都分别有出台相关内容，如国家安全法，网络安全法，关键信息设施保护条例等保制度，产品和服务审查办法，个人信息和重要数据出境办法等等。

部门、学界、企业三方观点碰撞

下午的七场专业演讲内容就更扩散一些，既有如公安部等级保护评估中心分享的《落实等级保护制度要点浅析》，国家信息技术安全研究院提供的《加强工控安全几点建议》；

公安部信息安全等级评估中心 李明

其实等级保护的概念早在94年就已经得到提出，现在我们也是走在正确的道路下，坚持等级保护和关键基础设施重点保护，并且要看到新技术和新发展，与时俱进。与时俱进，就是说网络空间的外延正在随着信息技术的发展而不断变化。

李明嘉宾还仔细就近几年发展起来的云计算问题，进行了分析。他认为云计算的概念的提出和应用对于安全责任的划分，和传统意义并没有大的不同。并不是说选择云技术，就意味着责任外包给了对应的云服务提供商。实际上各单位安全责任的具体承担人员，还是需要商榷的，因为重要的业务系统如果发生安全问题，还是在追责的时候落到责任人的头上。在大型云平台不断建立的当下，云服务提供商需要对自己假设的平台负责，而相关企业和单位在选择云服务的时候，也需要对服务商的资质进行把控和服务过程中进行安全监督，彼此的关系将来应该就如同机场与航空公司之间的合作那样。

最后他还提出了对于云租户和云服务商的建议，如：镜像需要及时安装补丁；云服务商独立卖资源是不对的；作为租户需要学会如何判断一个好的云服务商等等。目前云服务对象正在不断扩充，新的对云服务外包的定级备案、测评整改的解决方案也在得到提出。

其次，也有来自学界如北京航空航天大学计算机学院及北京大数据与脑机智能创新中心的李博老师分享了《工业控制系统安全技术探讨》，他提出了“智能”工业系统的概念，认为随着工业互联网+的程度逐渐提高，电力、航空、化工、医疗等行业曾经封闭的工控网络现在需要面对传统互联网的威胁，可以考虑云平台上的安全保障系统，管理智能进行服务更新、数据的日常运行和控制指令的发布。

这样形成的智能工业系统需要关注便分为三个层次的安全风险，即云安全（云自身安全、数据驱动安全），网安全（协议安全和联网安全）、以及端安全（硬件可信及程序可信）。他对其中的每一部分展开了详细解析和对策。特别是在云端安全应对策略上的智能安全分析一点，他提出需要将工业过程感知和工业知识引入到策略上，基于机器学习进行异常检测，还要建立“取存融析”的数据处理闭环，将日常数据转化为知识，构建工业信息安全知识图谱。

还有来自企业的代表分享行业从业经验，如工控领域颇具实力的北京威努特技术有限公司分享了《工控信息安全产业发展探讨》，北京兰云科技的《关键信息基础设施APT防范思路》，杭州安恒信息就《工控监管体系建议》分享了大数据在其中的实践与运用，上海嘉韦思信息技术有限公司分享了《信息安全创新服务思考与实践》。

北京威努特技术有限公司 龙国东

北京兰云科技有限公司 李传恩

杭州安恒信息负责人

经过整整一天的主题及专业演讲的洗礼，2017 第二届中国信息安全服务年会伴随着演讲的结束落下帷幕。

正如嘉宾顾建国一开始在在会上所说，网络安全法与关键信息基础设施保护条例虽然已出，但还需要有更多层面的保障，帮助企业、服务厂商和相关单位在日常中实施这些要求。国家政策和国家意志的实现究竟会落实到怎样的一个具体形态上，会怎样落地，会提供哪些具体的保障／约束或政策引导呢？处于安全圈以及处于网络安全防护保障体系下的厂商、服务商、相关单位又能怎样为新形势下的国家信息安全、关键基础设施、工控安全发挥和贡献出新的力量呢？

我们还有漫漫长路要走，但这对中国国家网络空间安全而言，是道阻且长却着实关键的一步吧。