当前,以人工智能为代表的数字技术应用,正推动产业数字化进一步发展,同时内外部安全风险不断升级,各行业亟需构建常态化安全防御体系,为数字化转型筑牢安全底座。12月8日至9日,以“加强网络安全防护体系建设”为主题的第16届政府/行业信息化安全年会在北京举行。
公安部第三研究所副所长李建瓴,中国计算机学会计算机安全专委会荣誉主任、公安部研究员严明,应急管理部大数据中心副主任房玉东,中国网络安全审查技术与认证中心原党委书记、副主任王连印,国家能源局电力管理和监督中心原副主任胡红升等50位国内信息网络安全专家参会,共同探讨等级保护关键技术、关键信息基础设施防护、数据安全等方面的新技术、新应用,为推进我国网络安全发展建言献策。
李建瓴在致辞中表示,加强网络安全防护体系建设,需充分利用大数据、物联网、人工智能等新兴技术,提升等级保护关键技术、关键信息基础设施防护能力和响应速度,将数据安全流动和数据价值发挥相结合,以此推动我国网络强国战略的实施和数字经济的健康良性发展。
中国国家铁路集团公司科信部信息化处处长周亮瑾就构建铁路网络安全保障体系表示,要将网络安全与铁路运输生产安全放在同等重要位置,不断强化“人防+物防+技防”的“三位一体”网络安全保障体系。
杭州安恒信息技术股份有限公司高级副总裁、首席安全官袁明坤围绕“新一代安全运营中心和大模型在亚运安保中的应用”介绍,在国际赛事中应用的AI安全垂域大模型,是通过大模型技术固化安全专家专业知识,以数字身份扮演安全运营角色,基于授权策略实现全天候值守。
中国电建华科软公司运维事业部安全总监陈源提到,在中国电建网络安全实践中,主机安全加固系统在防守行动中发挥了重要作用,通过主机安全RASP插件和系统敏感命令监测,可有效发现处置攻击行为,巩固了纵深防御体系最后一道防线。
中国民航信息网络股份有限公司安质部信息安全管理处处长衡闻琦介绍了中国航信网络安全制度与保障体系建设实践。他表示,为进一步规范数据安全管理,中国航信旅客数据安全管理规定及细则明确了数据收集、存储、使用、加工、传输等各个环节的原则,以及旅客个人数据的分类分级标准。
北京酷德啄木鸟信息技术有限公司总经理杨临庆提到,为保障供应链的安全,可利用软件成分分析技术,获取开发过程中软件所使用的源码、模块、框架和库,以识别和清点开源软件的组件及其构成和依赖关系,并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题。
北京锐安科技有限公司安全业务专家崔洪宇介绍,“城市数字安全防护理念”即以数据安全为核心统筹设计并部署安全防护体系,“技防+人防”实现城市大数据纵深安全防护体系。如增强底层数据库安全防护能力,实现数据底层的安全管控和审计,落实数据分类分级、大数据安全零信任防护能力,实现DaaS层数据的细粒度权限管控。
在以“数据安全共享”为议题的圆桌讨论中,教育部信息中心电子政务处处长安宏表示,在教育系统数据分类分级落地过程中,需出台相应政策法规、明确监管机制,以实现在安全可控的前提下,促进教育系统数据的有序共享开放和深入运用。中国农业银行总行科技与产品管理局信息安全与风险管理处处长何启翱介绍,在接口数据安全领域,数据安全保护体系建设无法一蹴而就,逐步落地的第一步为边界保护。天融信科技集团助理总裁李建彬介绍,数据安全共享领域缺乏数据权重的核心概念,即什么样的数据在什么样的场景下才能使用,应在原有数据分类分级清单基础上进一步匹配数据权重。针对数据防泄漏、防窃取问题,北京兰云科技有限公司董事长易建超分享了兰溯数据泄露监测与分析取证解决方案,全量采集并留存原始流量,还原泄密场景,进行敏感信息泄露的监测和泄密事件的分析、取证。
在以“等保和关基基础上的数据安全”为主题的专题论坛上,严明围绕数据安全和信创表示,从“资源”到“资产”再到“资本”,是数据应用的两次飞跃,要实现数据资产化,就要解决好数据的定性、定价值和流通的监管问题。
针对数据保护工作,王连印提到应建立全生命周期的技术体系,从数据的产生、采集到传输、存储、交换、共享、分析、使用、销毁等每一个环节,都需做好研发设计和数据保护。要在产品供给侧下更大功夫,而非把问题留给需求侧。
国家电子政务外网管理中心办公室安全管理处处长罗海宁介绍,目前,政务外网形成了网络安全大模型建设思路,通过政务外网网络安全流量日志等源数据形成安全元数据语料,对大模型进行模型参数输入,并在预训练阶段输入政务外网场景认知,在网络安全大模型的基础上,打造政务外网全网网络安全大模型,服务于各级数字政府体系。
北京亦心科技有限公司总经理韦祖兴认为,图像中隐藏着地址信息、成果数据等大量秘密,专业图像处理软件国产化是一种趋势,以此提高信息安全可控度。
国家能源集团国能数智科技公司IT基础服务事业部副总经理牛月坤提到,要多视角推进数据安全建设,包括持续完善资产分类分级,推进能源行业标准制定;落实安全与业务并重,构建数据安全管理体系;创新先进技术和工具,让管理更加智能快捷等。
会上,公安部网络安全等级保护评估中心副主任陈广勇、公安部第三研究所密码技术处总工程师倪力舜,分别就“关键信息基础设施保护”和“密码在关键信息基础设施中的应用体系”进行了详细介绍。
北京红山瑞达科技有限公司总经理朱代祥针对企业网络安全意识与技能提升的方法提出,应进行体验化培训,针对钓鱼邮件等开展实战化演练,量化评价网络安全意识能力,持续加强网络安全常态化宣传教育。
广东盈世计算机科技有限公司副总裁吴秀诚介绍,针对信息欺骗(钓鱼)的防范措施是信息合法性检查,如遇非法邮件将被拦截或拒信,而解决盗号的有效手段,是二次验证结合客户端专用密码。
本次会议由公安部第三研究所主办,《信息网络安全》杂志、公安部网络安全等级保护评估中心、国家网络与信息系统安全产品质量监督检验检测中心、网络安全等级保护与安全保卫技术国家工程研究中心、信息网络安全公安部重点实验室、北京锐安科技有限公司共同承办。(记者 孔繁鑫)