由于下午会场分为三个区,大致走走看看,精华都在上午,有兴趣的看看!



( 05-6-3 08:52:15 )
第三界“中国CSO俱乐部”大会暨2005中国信息安全年会
时间：2005年6月3日上午
地点：国宾酒店大宴会厅
( 05-6-3 09:41:39 )
主持人：
    女士们，先生们，
    尊敬的各位领导，各位来宾，大家早上好。我首先做一下自我介绍，我是中央电视台《新闻30分》节目的主持人朗永淳，今天非常高兴主持第三届中国CSO俱乐部大会暨2005中国信息安全年会。首先我向大家介绍一下莅临指导本次大会的嘉宾，他们是：

     
( 05-6-3 09:42:17 )
主持人：中华人民共和国国家认证认可监督管理局主任刘为军先生；
    国务院信息化工作办公室网络安全组处长赵泽良先生；
    国家计算机病毒应急处理中心主任张健先生；
    计算机世界报社执行社长金羽中先生；
    计算机世界报社副总编辑孙定先生；
    再一次感谢各位嘉宾的到来，同时我们也对其他莅临现场的专家、领导一并表示衷心的感谢。
( 05-6-3 09:43:08 )
主持人：因为今天的年会已经是第三届了，前两届在座的很多朋友都参加了，大家都是老朋友了。第一届年会是2003年8月14号，计算机世界报社在国家信息化领导小组和中国信息安全产品测评认证中心的指导下，主办了首届中国信息安全年会暨中国CSO俱乐部成立大会。
( 05-6-3 09:43:49 )
主持人：2004年5月25号，计算机世界报社发起成立的中国SCS俱乐部又召开了第二届年会，主题就是“创建中国信息安全保障体系”。前两届年会的成功举办不但在业界引起了巨大反响，更为重要的是这两年来，中国CSO俱乐部的各项活动还为广大CSO“立言、立行、立命”的舞台，把中国信息安全产业的发展提高到了更深入的应用层次。
( 05-6-3 09:44:07 )
主持人：因此，今天计算机世界报社在国务院信息化工作办公室和公安部十一局的指导下，如期举办了主题为保障信息安全、构建安全网络的第三届中国CSO俱乐部大会暨2005年度中国信息安全年会，在这里我们首先要预祝本次大会取得圆满成功。
( 05-6-3 09:45:41 )
金羽中：
    尊敬的各位来宾，女士们，先生们，上午好。今天户外艳阳高照，正如2005年中国信息安全领域如火如荼的发展势头相得益彰。首先我代表计算机世界报社感谢在座各位听众以及中国CSO俱乐部成员的热情参与和对计算机世界长期一贯的支持。
( 05-6-3 09:49:10 )
金羽中：正是您们的支持，才使得计算机世界能紧跟IT产业最新的发展动态，并能向读者和观众随时呈现这些变化的最新面貌。作为信息安全产业的从业人员，我们可以记起2004年所发生的两件重大事件，一个是在2004年初互联网上形成了将近十万的计算机网络，当时我们称为“僵尸网络”，共同隶属于同一个人，利用这个庞大体系对很多系统发起了攻击，再有2004年7、8月份的时候，韩国的一批黑客根据漏洞，对一些主要国家的军政网络发起攻击。
( 05-6-3 09:50:49 )
金羽中：这些只是信息安全事件中的代表，基于严峻的安全现状，我们不能掉以轻心，要采取措施，才真正地做好安全保障工作，这就是本次大会含义之一——保障信息安全。
( 05-6-3 09:51:04 )
金羽中：另外对信息安全概念的理解也在慢慢深入，当网络解决了人们互联互通的简单需求之后，确实带来了方便、快捷，但不幸的是也带来了很多麻烦，已经或即将发生的一桩桩安全事件考验着网络的能力。
( 05-6-3 09:51:21 )
金羽中：同时也在考验着我们的适应能力。如今网络任意一个蚁穴，都有可能在一分钟内引发全球性的大战，这是黑客攻击、病毒泛滥、俄裔程序爆发的典型特点。正是这样的究竟，使得网络设备提供商倡导安全网络的概念，并得到了安全众多用户的认可。

( 05-6-3 09:51:32 )
金羽中：再有信息安全意识日益普及，相应的信息安全提上用户的议事日程，这些变化既来自于企业的努力，也源于安全厂商和网络厂商的紧密合作，更是市场发展变化的最终体现，这些表现是本次大会主题含义之二——构建安全网络。
( 05-6-3 09:51:50 )
金羽中：我们此次大会的主题之所以命名为保障信息安全、构建安全王浪，就是看到了信息安全产业的产业发展，理解了信息安全产品、技术、市场和应用的最新变化，信息安全是一个系统级工程，而非信息安全技术、产品的简单堆积。
( 05-6-3 09:52:11 )
金羽中：经过反复理解国家的信息安全政策、精神，我们知道在资金不富裕的情况下，为了在投资与信息安全之间寻求一种平衡，必须要对信息系统划分等级，信息系统的分等级保护已经是信息安全领域的基本国策。
( 05-6-3 09:52:37 )
金羽中：为了划分等级，势必要进行风险评估，对信息系统中人的行为进行约束，势必要加强网络信任体系建设。此外，信息系统的安全不仅仅描述的是网络设备级的安全，终端作为整个系统中的各种对外接口，必须成为体系当中的重要组成部分。任何一种防护措施都不可能是绝对安全的，为此，出了问题后的灾难备份与应急响应就成了一种必要的补充。
( 05-6-3 09:52:53 )
金羽中：这些都是构成信息安全保障体系不可或缺的环节。为此本次大会将针对不不同用户对于信息安全产业理解的程度，分别从信息系统的等级保护、风险评估、内容安全、网络信任体系、终端安全、灾难备份与应急响应六大方面，讨论信息安全建设办法。
( 05-6-3 09:53:10 )
金羽中：下午我们将在这里针对这六个方面的问题，约请行业的专家和企业代表进行深入的分析和交流。

( 05-6-3 09:53:28 )
金羽中：信息安全的建设在中国如火如荼的开展了几年，政府、专家、用户和厂商为整个中国信息安全的建设做出了不可磨灭的贡献。为了见证并推动这一历程，计算机世界报社作为独立公正的权威性媒体，通过专家推荐、CSO俱乐部成员的评选方式，第二次对在中国信息安全建设中做出突出贡献的政府官员、专家、用户和厂商代表进行评选、表彰和推荐，这必将对中国的信息安全建设产生积极的作用。
( 05-6-3 09:53:45 )
金羽中：我们希望本次大会不是概念炒作大会，而是一场信息安全培训交流的大会，希望在座各位能从专家和企业的演讲中吸收到最新的信息安全保障知识，也实现计算机世界发起并倡导成立的中国CSO俱乐部的宗旨，成为中国信息安全主管，也就是CSO共享信息安全管理、技术、产品知识的平台。
( 05-6-3 09:53:56 )
金羽中：最后我要特别向国务院信息化工作办公室，中华人民共和国国家认证认可监督管理局、公安部十一局、国家计算机网络应急技术处理协调中心、国家计算机病毒应急处理中心的各位领导、专家对本次大会的大力支持表示衷心的感谢。你们的到来将使本次会议进一步获得圆满成功。再次谢谢各位。
( 05-6-3 09:54:14 )
主持人：
    刚刚金总是对信息安全产业的发展进行了概括和梳理，从宏观的角度来看，我们信息产业的发展将会呈现什么样的走势呢？我就请赵泽良博士为本次大会做主旨发言，有请。

( 05-6-3 09:56:17 )
赵泽良：各位领导，各位朋友、各位老师，上午好！坦白地讲，我现在没有多少信心自己在这里发言，如果说讲话或者致辞，那应该是领导的事，如果要说研讨，咱们在座的有的是专家，如果是交流就更没有我了，在座的很多是领导和专家。

( 05-6-3 09:56:46 )
赵泽良：上个星期我收了这么一个电子邮件，他说媒体的大会正需要政府的支持，今天我的发言实际上是一个命题值的作文，讲进信息产业发展我的一些任何和跟大家的一些讨论。
( 05-6-3 09:57:12 )
赵泽良：这个问题应该说是一个非常重要的话题，从某种意义上讲是一个比较沉重的话题。近年来我国的信息化近来快速发展，无论从网络规模，还是从技术产业，无论是服务模式还是应用范围等方面都得到了迅速发展，推动了社会的进步，丰富了人民的精神文化生活。特别是互联网的发展更为需迅速。
( 05-6-3 10:03:34 )
赵泽良：在信息化快速发展的同时，信息安全问题也更加突出。一方面表现在各国共同面临的信息问题，比如病毒、网络攻击、垃圾邮件、虚假有害信息还是大量存在的，网络违法犯罪活动也是在上升，这些问题给我国的信息化建设带来了消极的影响。

( 05-6-3 10:03:54 )
赵泽良：另一方面是我们国情所决定的，我国是一个13亿人的社会主义国家，社会上总也一些人和一些集团他并不希望看到一个强大的中国，他不希望信息化在中国得到健康的发展，他们会利用自己的技术、资金等方面的优势对我们设置种种障碍。我们信息化在这方面的问题也比较突出，这些问题已经引起了国家的高度重视。

( 05-6-3 10:04:05 )
赵泽良：大家知道，在2003年的时候，国家信息化领导小组通过了《加强信息安全保障工作的意见》，也就是大家非常熟悉的27号文件，在去年年初的时候召开了全国信息安全保障会议，国家要求高度重视信息安全工作，从加强信息安全法制建设、加强信息安全人才的培养，加强信息安全技术和产业。
( 05-6-3 10:04:15 )
赵泽良：特别是加强信息交流产生等方面来加强我们信息安全工作，也强调了要从等级保护、风险评估、信任体系、服务支撑等方面来加强建设我们的信息安全保障体系。

( 05-6-3 10:04:40 )
赵泽良： 应该说，信息化的发展给我们的信息安全工作形成了很大的空间。信息安全问题的突出和这些问题的要求必须解决，又给我们创造了很大的市场。国家这么重视信息安全命题，也是信息产业发展的很好的机遇。事实上我们国家这几年信息安全产业也得到了比较迅速、良好的发展。据我们调查了解的情况，信息安全产业发展也有一些不尽如人意的地方，比如说离在座老板的期盼还有很大的距离，我们国家对信息安全保障工作的要求也还有不相符的地方。

( 05-6-3 10:04:57 )
赵泽良：我觉得这些问题可以从这几个方面来看：
        第一，从企业来看，我们国家的信息安全企业普遍规模比较小，核心竞争力不强，还没有步入良性循环的轨道。一些老板经常说我们的信息安全产业做得很累、很苦，也很艰难。国内有一位知名的信息安全企业的老板明确地指出，面对信息安全多元化的需求，国内外竞争日趋激烈，国内外产业面临着生死存亡的冲击。
( 05-6-3 10:05:11 )
赵泽良：另一方面，从用户的角度看，很多用户对复杂的信息安全问题，对用高技术手段，用信息安全技术和产品来解决信息安全问题，或者是不太了解，或者是信心不足。用户感觉到管用的信息安全技术还不多，管用的信息安全产品也不多，真正解决问题的信息安全技术，解决方案也还不太多。
( 05-6-3 10:05:33 )
赵泽良：我们感觉到用户现在更多的是在用降低信息化的效益增加信息化的代价，损失信息化的效率这些手段来解决信息安全问题。比如说更多的是建章，敏感的信息不要上网，这实际上是在回避信息安全问题。

( 05-6-3 10:05:43 )
赵泽良：从国家层面来看，我国的信息化建设中的关键核心技术主要依赖于进口。信息安全的技术、产品、服务还不能适应信息化的发展和维护国家安全的要求。
( 05-6-3 10:05:56 )
赵泽良：应该说出现这些局面的原因是多方面的，首先从产业本身来分析，我们的信息安全观念、技术整体上比较落后，信息安全产业技术含量不高，产量不太合理，低水平重复的现象比较严重，这时候单靠压低价格的不正当竞争还不同程度地存在，这种情况都极大地损害了信息安全企业，或者信息安全产业的发展。
( 05-6-3 10:06:06 )
赵泽良：第二个方面，从信息安全产业所处的外部环境来分析，目前国外的一些大公司、跨国集团都在利用自己本身的优势进入信息安全业，进入我国的市场。
( 05-6-3 10:06:19 )
赵泽良：民族信息安全产业面临着激烈的竞争和相当大的外部压力，同时还存在着一些情况，一些国家拼命地要求我们开拓市场，对我们的产品进入他们的市场也制定出种种调整，同时也有一些有利的条件和优势，限制先进的工艺对我国的出口，挤压我国信息安全产业的发展。
( 05-6-3 10:06:29 )
赵泽良： 第三，对信息产业产品的控制。我认为独立的信息安全产品在减少，数据库这些系统，比如说我们的控制、数据加密等安全功能，相当多的产品安全功能现在已经成了标配，比如说路由器现在已经有很多的安全功能都可以集成进去。随着信息处理的提高，这种趋势还会继续发展，客观地也在挤压着产品信息安全产业的空间。
( 05-6-3 10:06:51 )
赵泽良：第四，从国家政策来分析，比如缺乏具体可操作性的措施，国家对信息产业安全发展的要求还没有得到很好的落实。一些行业和用户在选择信息安全产品的时候，往往我们自己的产品不够先进，不够可靠，技术指标不高，往往不太愿意选择我们自己的产品。


( 05-6-3 10:06:59 )
赵泽良：在支持信息产业的问题上，客观上形成了很多朋友说的多、做的少的局面。信息安全是高技术的对抗，解决信息安全问题还要发展高技术，还要发展我们自己的信息安全产业，这是解决信息安全问题，摆脱信息安全技术在社会上处于被动局面的根本出路。
( 05-6-3 10:07:09 )
赵泽良：国家非常重视发展自己的信息安全产业，不仅要求从行业监管、市场准入、政府采购等推动信息产业的发展。目前国家有关部门正在制定“十一五”的信息安全规划，据了解，在这些规划中都有支持我们自己产业发展的人。有关部门的人也正在按照国家的要求，来制定推动国家信息产业化的具体措施。
( 05-6-3 10:07:21 )
赵泽良：信息安全产业的发展应该需要多方面的努力，包括政府的努力、企业的努力，大家的努力。首先，政府应该在发展信息安全产业中发挥关键作用，要创造一个好的政策环境，创造一个好的市场环境，加大投入，支持产业的发展。从政府采购、市场准入、资金渠道这方面入手，制定可操作性的政策规定，促进产业的发展。
( 05-6-3 10:07:30 )
赵泽良：国家机关按照有关法律的规定带头使用国产的产品。电子政务的建设，还有包括军队的系统建设，都要按照规定采用我们自己的产品和服务，这应该说是世界各国的普遍做法，也应该是符合WTO的框架的。
( 05-6-3 10:07:41 )
赵泽良：比如政府应该努力营造一个有利于我们信息安全产业发展的市场环境，国家认证委的刘主任在这儿，按照推动信息安全产品的认可工作，我认为这个工作重要的一点就是要支持我们国家自己的信息安全产业的发展等一系列问题，来给我们国家在信息安全企业的发展创造一个良好的环境，让我们本来还不强大的企业，增加更多的精力、更多的资金投入到新产业发展的研发上来。

( 05-6-3 10:07:51 )
赵泽良：比如说我们国家还应该加大对基础性、战略性的信息安全研究资金的投入。对一些关键的技术、核心的技术，还应该依照自己的力量来取得突破，这些战略往往周期比较长，需要国家支持，企业更多的是研究一些面向市场的见效相对比较快的产品，这些产品可以说靠企业的力量推动。加强对信息安全产品资金投入的协调，完善资金机制，将有限的资金投入到继续的关键研究课题上来。
( 05-6-3 10:08:03 )
赵泽良：支持信息安全的研究计划项目的同时，要强调在这个项目上信息共享，成果的共享，资源的共享。要充分发挥信息产业的作用，应该为信息安全关键技术产品，特别是高技术的产品，核心的一些产品，提供一个使用环境。
( 05-6-3 10:08:13 )
赵泽良：要建立必要的风险补偿机制，鼓励企业采用我们研制出来的一些高技术产品，因为新技术、高产品往往带来新的高风险。要加强信息产业人才培养，这是维护国家信息安全必要的基础条件和先决条件，也是一项长期的工作。
( 05-6-3 10:08:22 )
赵泽良：国家教育部最近有专门下发了文件，要加强信息安全的学科建设的人才培养工作。还有非常重要的是应该加强政府和企业的联系和合作，要建立政府主管部门和信息安全企业的联络沟通机制，要定期听取企业的意见，让企业更多的参与国家的政策的制定，国信办也会近期召开研讨会，就有关问题进行讨论。这是从政府方面我们的理解。
( 05-6-3 10:08:37 )
赵泽良：第二,从社会层面，我认为都应该尽到支持信息安全产业发展的义务。如果没有这种支持，政府就是再支持，我们的企业再努力，发展我们自己的信息安全产业也是空话。再好的产品，再好的技术，没有得到大量的使用，得不到市场的承认，就不可能得到充分的发展，也不能得到改进，质量问题、可靠性问题也难以提高。

( 05-6-3 10:08:50 )
赵泽良：应该说在我们现在有一些认识误区，有一些用户甚至包括一些行业，总是以我们自己的产品，可靠性的问题，技术质量的问题，先进性的问题，指标的问题，他不太喜欢用我们的产品，我们的企业，我们国家投入了大量资金，研制的一些产品得不到应用，得到市场的承认，这一方面促进了企业科研的积极性降低，另一方面也是一种浪费。要尽可能多的使用我们自己的产品和服务。

( 05-6-3 10:09:01 )
赵泽良：用户在选择产品的时候，还应该不要以价格作为选择产品唯一的标准和尺度，这样会促使一个企业之间不良竞争，如果过低压低了价格，最终还是会影响企业的发展，最终影响用户。从某种意义上讲，信息安全产业是买出来的，是用出来的，广大的用户应该把它作为自己的产业，积极地使用和支持我们自己的产品，自己的产业。
( 05-6-3 10:09:12 )
赵泽良：第三，我们的信息安全企业自身的努力，这是我们过程信息安全产业发展的最关键、最决定性的因素，企业首先应该用好的技术，好的产品去面对市场，争取用户。要不断增加在研究上的投入，掌握核心技术，增加企业的核心竞争力。
( 05-6-3 10:09:23 )
赵泽良：只有这样，我们的企业才能发展壮大。产业才能真正得到发展。在掌握核心技术、高技术的基础上，还应该积极地提出符合我们国家国情的技术标准，开发具有竞争力的信息安全产品使我们国家信息安全产业走上良性发展的轨道。
( 05-6-3 10:09:34 )
赵泽良：高度重视做好信息安全服务是我们企业的责任，也是我们用户的要求，我们的企业对我们国家的文化，对我们国家的市场，对我们国家的风土人情，人文关系有得天独厚的优势，这是我们做好服务的天然优势。要充分利用这种优势，通过我们的优质服务来弥补我们在技术上的不足，在可靠性的上的补足，同时可以更好地了解我们用户的需求，了解我们产品存在的问题，了解我们今后发展的方向。
( 05-6-3 10:16:17 )
赵泽良：信息安全产品不同一般的产品，从用户的角度讲，我们不能一味地将价格作为因素，我们的企业也不应该一味地靠压低价格来占领市场，这样会打价格战，无序竞争，有些把我们的商品市场作为信息安全市场，这样会损害企业的信息创新能力，也不利于我们企业的发展。企业应该积极参加我们国家政策的制定，不应该是简单地跟着政策走。
( 05-6-3 10:16:30 )
赵泽良：前段时间17号电子政务的文件发出来之后提出来隔离的问题，很多企业一下出来了很多产品，比如说物理隔离系统等，隔离交换系统等，这些产品现在还没有得到充分的利用，对一些政策的规定和概念还没有重充分的了解，都冠以“物理”的头衔，用户还没有敢用。信息安全问题会制约信息化的发展，如果信息安全问题解决不好，同样也会制约信息安全的发展。
( 05-6-3 10:17:01 )
赵泽良：我说的是解决不好，我们的信息安全产品，信息安全技术，信息安全方案没有充分地了解用户的需求，充分了解和运用相结合是作为我们一个重要的出发点，这样我们做的产品更多的是限制、削减信息系统的功能。比如说我们做防火墙，我理解防火墙是一堵墙，更多的应该是一个通道，让我们合理的、合法的信息能正常的流动。
( 05-6-3 10:17:12 )
赵泽良：我们一说到安全产品就需要提到“万无一失”，我们的产品有些理念比如说“高枕无忧、永远放心”，这些理念我认为是不存在的，我认为用这些理念来销售我们的产品也不是合适的，我们在做信息产业的时候，就应该充分考虑到方便用户的使用，也不要是以求绝对安全，不要追求不计成本的安全。这样只有，我们信息安全产品才会越做越大，不至于把我们的信息安全产业搞死，只有这样才会把我们信息产业发展的空间越做越大。谢谢。
( 05-6-3 10:17:38 )
主持人：
    非常感谢赵泽良博士的主题发言，他从宏观的层面对发展走势做出了精辟分析，并且指出信息安全产业发展需要多方努力和配合。从赵博士的发言当中我们可以知道，如今在信息安全问题上形势更加严峻，也更加复杂。其中计算机病毒一直是困扰每个人的难题。计算机病毒近期呈现出怎样的变化，我们又有哪些问题需要解决？让我们掌声有请国家计算机病毒应急处理中心主任张健博士谈谈这个问题。
( 05-6-3 10:17:55 )
张健：
    各位领导，各位老师，各位嘉宾，早上好。
    今天我代表国家计算机病毒应急处理中心，向各位领导和专家，把我们的工作做一些汇报，因为在座的很多都是我们的老师和领导，我想把我们在最近这段时间，包括前一阶段病毒中心在应急处理工作的工作和今后的想法和大家做一个小的汇报，我们也想通过很好的机会，能够得到在座的专家和领导，以及来宾的很好的建议。
( 05-6-3 10:20:37 )
张健：首先，简单介绍一下病毒中心的基本来历。2001年，国家成立了一个国信办，那个时候我们国家开始构建整个国家的应急体系，在这之前一直在从事计算机病毒防治产品的检验工作，在检验的过程中，在病毒的应急处理积累了很多经验和实践的成果，当时经过国信办和公安部考察之后，最后确认在我们的检验中心的基础上，批复由我们承建国家计算机病毒应急处理中心，是在2001年8月份，一直到现在。
( 05-6-3 10:20:53 )
张健：通过这些年的工作努力，我们在应急方面也了一些具体的事情。我们在中心责任方面基本上确立了几个大的方向。一个是建立了国家病毒应急监测体系，但是这个监测体系从目前的运行来看，主要依赖的还是人，而非系统。

( 05-6-3 10:21:05 )
张健：这点在今后的一两年中，可能会有很大的变化，因为从国家，包括很多省市、地区都在建立自己的病毒监测系统进行监测，也就是说将来在很多网络上能够安装我们自己的探头也好，或者传感器也好，直接从网上能够获取到有关病毒或入侵的信息，可能就会改变我们目前主要是通过已有安装防病毒的产品，包括防病毒的网关、防火墙，或者网络版的甚至个人版的软件。
( 05-6-3 10:21:24 )
张健：这些现在是我们对病毒信息主要的收集来源。今后的变化可能会转换成自动化的、快速的、实时的通过网上获取，这也是国际上发展的很大趋势，当然这也涉及到很多国家的投资，或者各部门的具体投资，可能有比较长的建设周期。
( 05-6-3 10:21:41 )
张健： 一旦发现病毒事件之后应该如何处理？我们快速地向有关部门，包括国信办、公安部、CACC等及时上报病毒疫情的情况，同时配合国内的CACC快速处置在网络内部发生的病毒的侵害事件，同时为用户提供技术支持、服务等等，也对整个国内的产品，包括防病毒的策略，提出了我们自己的建设性的意见，同时我们目前跟很多国内外防病毒的企业以及有关组织建立了很多国际间的交流和合作机制，定期举办了病毒疫情发布会等等，及时通过这个渠道把现在了解、掌握病毒的情况向用户通报。
( 05-6-3 10:21:52 )
张健：我们在遇到病毒的时候有一个基本的处理流程。首先，在病毒监测的时候，一，首先把很多国内外的防病毒厂家作为应急小组的重要成员，病毒防范也好，安全也好，不是一个单位或者机构所能完全解决的，需要社会的力量共同来做。社会力量是谁呢？

( 05-6-3 10:22:02 )
张健：我们有广大的用户，有很多从事这方面的企业和科研院所，在做应急工作时一直遵循一个原则，能把社会上所有集合起来的力量，能够有效的通过一种方式组织起来，让大家共同把防病毒作为共同的事业和目标来做，在资金和技术、人力不足的问题，这些年把信息安全，把防病毒行业企业一直作为我们最重要的合作伙伴。

( 05-6-3 10:22:13 )
张健：企业的监测网变成我们的监测网的延伸，一旦这些企业发现病毒，或者我们中心独立的接受用户的报告。不管是哪个渠道，一经发现之后，快速把病毒的情况和样本上报给我们，我们如果拿到样本，会把这些样本迅速地分配给所有的应急小组成员，最终的目的是能够快速地针对网上发生的病毒，能够以最快的速度拿出解决方案提供给用户，同时部署防病毒措施，减少病毒对我们的危害。所以我们一直按照这种流程来做。
( 05-6-3 10:22:37 )
张健：病毒处理完之后还要进入下一段监测环节，对病毒要进行一段跟踪和监测，再发现有没有新的变化，及时地调整防护的策略。现在来看，我们目前正在制定病毒疫情危害性的标准，通过我们搜集的信息，按照这个标准判定病毒有哪些级别，针对不同的级别，还有相应的特殊的处理流程对它处理。
( 05-6-3 10:23:07 )
张健：我们在去年一个阶段里国内病毒流行的情况，公安部每年都在组织病毒的调查，今年的调查到5月31号结束了，要发布今年病毒疫情调查的结果。截止到2004年，我们国家病毒的感染率一直处于上升期，去年已经达到了87.93％。最近大家可能也在网上看到了一些专家发表的新的文章，“病毒厂家在卖过期药”，有没有很好的长效机制防病毒？
( 05-6-3 10:23:20 )
张健：这个观点是从有病毒那年开始，大家就有这种理想，按照这个目标去做。但是从目前来看，是否真正能有一个非常有效的技术方法来完全杜绝新的病毒对我们的侵害，可能还需要一个比较长的研究或者发展的阶段。

( 05-6-3 10:23:30 )
张健：因为我们的系统也在不断变化，虽然我们在安全方面做了很多工作，但是病毒也在不断地变化，而且我们有很多应用，一些新的应用技术可能会带来一些新的病毒，系统本身确实有很多漏洞。
( 05-6-3 10:23:40 )
张健：但是在很多新的应用引入之后，也许就把很多新的脆弱性，一些安全隐患又会带进来。所以这种发展也许是同步的，可能解决了现在的问题，又会出现新的问题。这种长效机制也许在某个历史时期有，但不能适用于整个IT的发展阶段。

( 05-6-3 10:23:51 )
张健：病毒的感染情况，在国内来说重复感染率很高，国内三次以上能达到60％多，用户感染一次，后边可能感染第二次、第三次，甚至更多。这个问题到现在还没有一个很好的解决方案，包括我们现在感染的频率，像4月、5月属于病毒的高发期，而且最近在网络上也出现了所谓“魔头”病毒，通过邮件进行传播，对网络可能形成了一些危害，而且去年“五一”我们经历了“振荡波”等等病毒的侵扰。
( 05-6-3 10:24:03 )
张健：2005年，大面积的针对造成污染封塞和瘫痪的病毒目前还没有。而且我们通过对网络病毒的监测和分析来看，前几年发生的“红色代码”或者“冲击波”、“振荡波”，造成网络大范围的瘫痪事件很多。
( 05-6-3 10:24:15 )
张健：今后这段时间，通过我们现在的分析，感觉可能今后像这样的事件会减少或者不太容易发生，当然都是很不确定的口气。从我们的感觉来说，今后病毒的攻击破坏不是以这种形式出现，可能会发生新的变化，后面我们会针对这些病毒做进一步的分析。
( 05-6-3 10:24:29 )
张健：病毒造成的破坏，在2004年来看有一个降低的趋势，但是这种趋势表面上看可能非常好，但是我们进行深入分析，发现可能也会隐藏其它问题。通过造成的后果可以看到，系统无法使用是用户反映比较多的，数据部分丢失，包括配置被修改、网络受限等等。但是这些调查结果都是用户亲身能够感受到的，病毒传播的一些途径主要也是通过网络和邮件传播的，现在通过介质传播已经很少了。
( 05-6-3 10:24:40 )
张健：今后病毒的防范主要以网络的格式为主，但是一些新的，我们大量使用的U盘、介质也是不能掉以轻心的，前一阶段出现的CH病毒通过介质传播，造成很多邮件都不能使用，这部分也不能掉以轻心。我们现在都在强调很多网络的重要系统要和数据进行隔离，采取介质进行交换，但是介质对于内网也会形成很大的威胁，所以这部分也不能掉以轻心。
( 05-6-3 10:24:54 )
张健：从清除病毒的时间来看也略有增加，病毒一旦造成攻击破坏之后，我们现在花费很多时间进行清除，时间有增加，凼机时间越长，对我们的损失也会越来越大，说明后期病毒的清除，对于现在的用户会变得越来越困难。
( 05-6-3 10:25:49 )
张健：因为现在有些病毒感染之后，对你的系统很多原始的配置进行了大量的修改，即使用杀毒软件清除，配置如果不修改，系统还是无法使用，就需要有一些专业的服务或者一些人员帮助用户，一旦感染之后要帮助他进行清除和恢复，这也涉及到将来的服务问题，怎么做好服务的问题。
( 05-6-3 10:26:07 )
张健：对病毒的感染分类，第一位是“木马”。现在用户觉得造成数据破坏的，感染之后造成破坏的数量在降低。用户能够感觉到系统被修改。感染的病毒大量以“木马”为主，有一个很典型的特点，被感染的时候自己不知道。

( 05-6-3 10:26:20 )
张健：调查是用户反馈回来的意见，统计的这张表是由用户病毒查杀的工具的日志，这两者之间存在问题，很多用户可能自身已经被控制了，甚至有一些数据被人窃取了，但是自己也许不知道，这里有很多问题，也许将来我们面临的威胁在加大，而用户还没有意识。

( 05-6-3 10:39:39 )
张健：我们中心在这一阶段成立了应急小组，2004年一共处理了电子邮件三千多封，2000多个求救电话。而且在重大的节日期间，尤其是“两会”，国家发生的大事，我们还组织专门的应急小组，响应国内用户的求救。

( 05-6-3 10:41:25 )
张健：去年我们先后发布了52期计算机病毒监测周报和52期计算机病毒监测预报，就像天气预报一样，每周都发布上一周病毒的情况以及对下周病毒的预测，而且在中央电视台、新华社、新华网都开辟了专门的栏目，今年还专门开辟了手机短信的服务，大家可以通过短信直接订阅病毒的预报和对现在病毒栏目科普知识的介绍。
( 05-6-3 10:41:37 )
张健：领导对我们中心确实很重视，我们中心作为应急主要的业务指导部门，到我们这儿来进行视察和指导。包括公安部部长专门到我们中心，对于目前的发展有很多重要知识。
( 05-6-3 10:41:49 )
张健：国内外的交流，微软的钱永正先生在上任伊始，就到我们中心谈和微软的合作情况。到目前来看，有一些合作还没有真正落实和开展，有时合作大家觉得确实双方都有很多事情做，但是很多事情在具体落实的时候周期比较长，我们在工作中都有这种感觉，也许时间一长，会把很多合作机会，包括很多时机都错过了。
( 05-6-3 10:42:00 )
张健：我们和趋势科技现在也开展了，趋势专门在我们这儿建立了防病毒的实验室，而且我们也是作为亚洲防病毒研究协会的重要成员，2003年我们对整个国际反病毒起到重要的推动作用，还得到了一个奖项。
( 05-6-3 10:42:12 )
张健：我们和美国的飞塔公司建立了专门的应急小组，而且和俄罗斯卡巴斯基合作，在我们这儿建立了应急小组。和国际间实现接轨，国际上有些新的病毒，我们能够得到最新的信息，而且国内一些新的病毒可以透过我们合作的机构，能够快速地得到解决方案，现在和国内重要的防病毒企业在加强这方面的合作。
( 05-6-3 10:42:22 )
张健：近期对于安全事件做一个小的回顾，英国前一阶段破获了一起案件，利用“木马”偷窃银行的资金。第二，近期以色列披露的私人侦探为人家提供服务，很多公司利用私人侦探偷别人的信息，先后抓获了十多个人，以色列警方采取了一些行动。这两个事件折射出来现在很多问题。
( 05-6-3 10:42:35 )
张健：国内去年很重要的就是所谓的唐山黑客，姓徐，他利用了一些“木马”技术，对国内六万多台机器进行控制。由于这次事件，通过应急体系的监测和公安部门的快速侦查，迅速把这个案子破获了，没有造成更多的损失。
( 05-6-3 10:42:52 )
张健：这个案件的破获有一些技术上的特点，决定了我们很快能把这个案件破获。如果他在技术上采用了其它方法，可能这个案件的结果会发生很大变化。目前比较典型的把它侦破了，是不是网上现在还有很多病毒存在，而且现有的技术还无法完全能够掌握它的活动规律，这是今后作为厂家也好，用户也好，包括应急体系，应该作为一个重点进行研究。
( 05-6-3 10:43:07 )
张健：现在全球一共有多少台，百万台甚至更多的机器已经成为“肉机”，被人控制了。而且有很多大量使用的计时通讯工具，可能会以极快的速度传播病毒，成为病毒传播很重要的新的途径。
( 05-6-3 10:43:18 )
张健：综上所述，最近国内也好，国外也好，病毒发展的最新趋势。一个是黑客、木马数量在大量增加，被控制的僵尸网络也越来越多。通过将来的计时通讯工具，包括P2P的软件可能成为新的病毒的传播来源。近期国内要召开相应的研讨会，大家要专门研讨如何应对网络欺诈。最近出台了一些标准应对这种情况，包括一些安全措施。
( 05-6-3 10:43:29 )
张健：病毒的目的性越来越强，而且我们现在对于无线的安全，包括手机病毒，高端的手机用户也许感染过若干次别度，这些病毒也会构成很大的威胁。
( 05-6-3 10:43:46 )
张健：还有一个问题，手机里有很多涉及到个人的敏感信息，如果有一些黑客入侵手机，从手机里盗取敏感信息，弄到互联网上去，现在这样的事件也是很多的。今后对于手机如何保证自己的安全，保障自己的隐私不被侵害，这也是今后面临的很重要的问题。
( 05-6-3 10:43:55 )
张健： 病毒破坏有一种是显性的，另外一种称之为隐性的。显性的会造成大量的网络瘫痪，用户能感觉到，称之为显性的。隐性的通过置入远程控制，对机器进行远程操纵或者窃取信息，我们称之为是隐性的。隐性的破坏，破坏性会更大，这是将来如何提高发现能力是我们要面临的难题。
( 05-6-3 10:44:06 )
张健： 病毒预警监测体系的建设，一个是在国家的骨干网上，可以通过监测获取到。个别的省一级，甚至地市一级也可以建立监测网。通过监测，把问题在小的局域内部监测到今后可能定位的新病毒，只要发出来，病毒编出来投放到网络上可能能迅速的定位，从而增大侦破案件的可能性。如果监测的比较高，将来的定位会有问题。所以网络应该采用复合的方式比较理想。需要广大用户参与，这个网络才变得更加完善。
( 05-6-3 10:44:18 )
张健：   每天的病毒，还不说攻击，就是每天通过邮件的病毒，在典型的小区里，就能达到几万次，在整个互联网上的数量相当庞大。大量网络的开销是用在传病毒和垃圾邮件，大家不断提高带宽，但是病毒也在不断侵蚀资源，如果能把网络空间真正净化，能挖掘出很多网络自身的潜力。
( 05-6-3 10:44:31 )
张健：我们去年在申办2005大会的时候获得成功，今年11月17号－18号，国际反病毒大会将第一次在国内召开。这次大会的议题，我们对现代网络的安全分析来看，确定了一个主题，从有线安全拓展到无线安全，今后我们的研究重点，因为过去都是基于有线的网络环境下，将来无线网络的安全问题已经变得日益突出了。从技术追求者蜕变为网络罪犯。现在有很多黑社会，或者是犯罪集团，大量的在使用病毒的技术，来窃取各种资产，通过网络进行犯罪活动，这是今年大会的主题，届时也希望各位领导和嘉宾积极地参加这个会议。

( 05-6-3 10:44:44 )
张健：我们对今后病毒的防治和应急处理的策略，一个是加大立法的力度。因为现在信息安全方面还不够完全健全，现在还要逐步加强。再一个，对于各类犯罪活动必须要有一个严厉的打击措施，否则会姑息纵容。犯罪黑客很高，在网络上找不到他，将来会有很多人效仿，这是获利大，风险小的行业，必须提高打击力度。再有对于整个国家预警体系的建设，27号文和32号文里都提到要建立预警体系，预警体系应该如何建设？如何使用，发挥它的效益？这是今后很重要的问题。
( 05-6-3 10:44:58 )
张健：再一个是对于病毒产品，这次大会很重要的是认监委，包括信息安全管理部门，作为主要的获奖嘉宾，涉及到将来对信息安全产品进行规范和管理，信息安全产业如何发展的问题。
( 05-6-3 10:45:09 )
张健：大家对应急的理解总是觉得在事后处理，但实际上很多应急工作真正做的好应该在预防，体现应急的能力和水平，不当机的数据丢失了，我迅速恢复了，这么多年之后，最高的应急措施应该是以预防为主，应该把很多工作放在前面。
( 05-6-3 10:45:18 )
张健：这个工作如何解决？我们现在也在积极运作，也借鉴了国外的想法，我们现在想在这里推出信息安全服务。国内对服务这个问题目前很难直接接受，或者付费买这种服务。
( 05-6-3 10:45:36 )
张健：但是从我们现在的感觉来说，很多用户是自己花钱采购产品，可能会通过政府招标、组织专家论证，自己的系统应该买什么东西，买来之后装上了，但是装上以后，我们感觉有很多用户在产品真正发挥效率方面没有发挥产品的优势，往往装上了，完全依赖于产品自身的升级，或者由企业提供服务，包括用户扫描和其它的东西，装上或者使用了一次，就束之高阁了，没有人再用。
( 05-6-3 10:45:55 )
张健：而且网络里生成很多日志没有人去看，这种状况和现在的安全背道而驰，我们现在想能不能采用一种方式，用户把整个安全系统的管理权和控制权移交给专业化服务的部门，由他们真正7×24小时为你提供服务？
( 05-6-3 10:46:19 )
张健：同时提供服务之前，应该把现在提到的很多安全评估，包括对系统的动态评估纳入进去，真正把应急的工作往前推，把用户从开始的整个安全情况有所了解，后边有一个安全的团队来保证，产品只是保证安全的一种方式方法，一种工具。
( 05-6-3 10:46:30 )
张健：一旦再发现问题，只能退到后一步，进行快速恢复和清理。把新的安全托管服务的概念引入到国内，同时一直在关注信息安全的保险，因为日本也好，北美也好，信息安全的保险已经实施，有很多地方如果和信息安全服务结合在一起，包括应急服务结合在一起，把保险作为最后的一关，万一应急处理不了，造成损失了，我们通过保险对你进行一定的赔偿。
( 05-6-3 10:46:39 )
张健：如果把这套体系建立起来，可能是今后比较好的，从安全评估到实时的监测和安全服务，以及应急服务，到最后的保险，形成比较闭合的系统，真正为用户提供服务。
( 05-6-3 10:46:53 )
张健：也许将来用户不再选择某种产品，也许是选择某家服务，具体在保证安全的同时，用什么产品可能和我无关，只要保证我的系统不能感染病毒或者不能遭受攻击，或者在多长时间内能承受一个小时的当机，只要满足这些条件，究竟用枪、用炮还是用防盗门，都与我无关，你有你的安全服务公司或者安全服务部门来解决，我们最近在这方面和很多安全厂家，包括提供服务的厂家进行合作，在国内应急方面能不能开展新的东西，而不拘泥于原来的发现、发布，给人家解决方案，这是属于被动的，应该划被动为主动，这是今后应急要走的一条道路。谢谢大家。
( 05-6-3 10:47:22 )
主持人： 通过张健先生的发言，我们对中国计算机病毒的现状有了更为深入、清晰的认识。本次大会进入到激动人心的颁奖时刻。
( 05-6-3 10:55:36 )
主持人：2004年第二届年会上，为了配合国信办的工作，计算机世界报社作为独立、公正的媒体，首次对在信息安全工作中有突出贡献的专家、用户、厂商代表进行颁奖，确定了16位获奖者。
( 05-6-3 10:56:01 )
主持人：本届大会仍然贯彻同样的评选方针，继续对在中国信息安全建设中做出突出贡献的政府官员、专家、用户和厂商个人代表进行推介和表彰。在本次评选当中谁能获此殊荣，赢得2005年度中国信息安全保障突出贡献奖的称号，一会儿就要揭晓。
( 05-6-3 10:56:14 )
主持人：计算机世界方案评析实验室还会同业内众多专家和学者进行科学评估，评选出优秀的信息安全解决方案，大会也要对胜出者进行表彰。到底谁的解决方案会在这次评选当中脱颖而出，获得计算机世界2005年度信息安全解决方案奖呢？马上也会揭晓。
( 05-6-3 10:58:11 )
吴作鹏：各位领导，各位嘉宾以及在座与会的代表，感谢大家的支持。非常高兴能够与大家一起分享这一历史时刻，首先我向大家汇报一下此次颁发2005年度中国信息安全保障突出贡献奖的评选标准。
( 05-6-3 10:58:22 )
吴作鹏：一，积极研究并出台各类信息安全政策，创建了中国良好的信息安全整体法律、政策、应用环境。二，将网络建设非常周密，抵御了各类攻击事件发生的用户。三，积极研究各类信息安全新技术、新产品、新战略。
( 05-6-3 10:58:32 )
吴作鹏：四，在国家关键系统的维护中发挥了巨大作用。五，在各种网络攻击事件发生时，积极采取应对措施。六，对信息安全技术和产品严格把关，整体提高了中国信息安全技术水平。七，积极推动信息安全人才培养和技术培训。
( 05-6-3 10:58:42 )
吴作鹏：根据这些标准以及各行各业相关单位的提名推荐，计算机世界报社依照上述标准，本着客观、公正的原则确定了最终名单，排名不分先后。
( 05-6-3 10:58:54 )
吴作鹏：他们是：
    中华人民共和国国家认证认可监督管理局副主任、国家信息安全产品认证管理委员会主任刘卓慧女士、国家计算机网络应急处理技术处理协调中心主任方兵新、国家信息中心首席工程师、公共技术服务部门宁家俊。国家信息化专家咨询委员会曲成义，中国科学院研究生院赵战生，国家税务总局信息中心安全处长李建彬，人民银行科技司安全处郭全明，海关总署信息中心副主任何瑜。解放军信息工程大学副校长、将军王亚弟。四川大学信息安全研究所所长戴宗坤。北京天融信网络技术有限公司吕里程、北京数字认证中心总经理詹榜华。
( 05-6-3 10:59:05 )
吴作鹏：   在此向获奖嘉宾表示衷心的祝贺。再次感谢获奖嘉宾积极的参与，希望计算机世界报社能够得到你们一如既往的支持。
( 05-6-3 10:59:14 )
吴作鹏：下面我们将开启另一份大奖，计算机世界2005年度信息安全解决方案奖，此奖项是计算机世界方案评析实验室经过两个多月的时间，从近30多个信息安全解决方案中仔细评估和筛选出来。
( 05-6-3 10:59:24 )
吴作鹏：作为IT媒体中有实力和专业水平，能够针对解决方案进行横向评估的机构，计算机世界方案评析实验室已经针对几十个技术领域解决方案做过成功的分析。为了推选出真正有实用和借鉴价值的方案，在每一次解决方案的评估中，都制定了完善可行的评估体系，并组织各技术领域的知名专家和行业专家共同对所征集到的解决方案进行评估，并得出量化的结果。
( 05-6-3 10:59:58 )
吴作鹏：下面我宣布获得计算机世界2005年度信息安全解决方案奖的获奖单位以及他们的方案名称，同样排名不分先后。



( 05-6-3 11:00:03 )
吴作鹏：他们是联想网御科技有限公司的电力行业安全解决方案、沈阳东软软件股份有限公司的运营级网络DDOS解决方案。Array  Networks的BOSS安全解决方案。北京赛门铁克的电信行业混合型病毒和垃圾邮件解决方案。北京网新易尚科技有限公司的银行整体网络安全解决方案。北京天融信公司的可信网络架构解决方案。中联绿盟信息技术有限公司网络游戏行业抵抗拒绝服务攻击解决方案。SatfeNet China的解决方案。美讯智软件科技有限公司信息、内容安全整体解决方案。冠群电脑的电力行业集中安全管理解决方案。
( 05-6-3 11:00:21 )
吴作鹏：以上十个获奖方案就是本次，也是计算机世界首届2005年度信息安全解决方案获奖名单。让我们再次对优秀解决方案的企业代表表示衷心的祝贺。

( 05-6-3 11:03:44 )
刘科全：尊敬的CSO，各位专家，各位同行朋友，大家上午好。各位关心联想网御的朋友，对联想产品感兴趣的朋友，可以通过我们的服务网络，通过我们的网站索取。我今天跟赵博士一样，也是作为命题作文，《论全网安全管理》。
( 05-6-3 11:05:56 )
刘科全：这个题目我非常喜欢，为什么呢？有两个原因。全网安全管理，或者SOC安全管理中心是这两年来信息安全建设炒的最热门的两个话题。第二是有关全网安全管理的问题，正在成为信息安全产业本身的巨大贡献。
( 05-6-3 11:06:06 )
刘科全：为什么这么说呢？用户在为他们所需要的全网安全管理，厂商是不懂的，厂商给他介绍的安全管理他也听不懂，同时从厂商来说，我们的安全管理系统非常非常先进，但是用户不理解，用户需求和技术的发展这两者之间出现了巨大的鸿沟。
( 05-6-3 11:06:15 )
刘科全：这个问题如果不研究好，一定会影响到未来几年中国信息安全产业的发展，所以我非常愿意今天在会上抛砖引玉，谈全网安全管理，希望能够引起产业界的讨论和思索，共同努力，来通过全网安全管理的发展。

( 05-6-3 11:06:26 )
刘科全：用户为什么需要信息安全？用户可能会说他的信息资产是存在着办公业务、生产业务和管理业务，资产是有价值的，同时存在着漏洞，因而存在风险。需要根据风险的种类和级别管理风险需要建立等级化的安全体系，来保护信息资产的安全，这是用户需要信息安全的原因。
( 05-6-3 11:06:38 )
刘科全：用户需要什么样的信息安全呢？我们认为首先是能够基于价值估量、弱点分析、威胁研究，就是在风险评估的基础上建设系统的安全等级，从而保护用户的网络信息系统，机密性、完整性。如何满足用户的安全需求呢？
( 05-6-3 11:06:48 )
刘科全：就是行业里的经营专家，网络信息从安全保护的角度，可以分成四个网络单元分别考虑安全解决方案，构建它的安全体系，网络基础设施、计算环境、区域边界、安全基础设施，包括四个体系，安全策略体系、组织体系、技术体系和运维体系。

( 05-6-3 11:07:06 )
刘科全：在安全体系和网络系统之间是什么关系呢？是资产管理、弱点管理和威胁管理。排列组合可以得到理论完整意义上的安全需求和对应引出的安全体系。从策略体系，从资产管理角度，对四个网络单元分别确定它的安全需求和提出相应的解决方案。
( 05-6-3 11:07:20 )
刘科全：针对安全策略体系、组织体系、运维体系和针对技术体系制定更细致、更满足需求的、个性化的安全解决方案。还需要培养一到三个增强方案，我们如何来不满足用户的安全需且？如果是真正的会员，每个系统都这样来设计的这样来分析，系统会越来越复杂，所以我们需要一套管理工具，把复杂问题简单化，简单问题流程化，这就是全网安全管理。
( 05-6-3 11:07:33 )
刘科全：如何管理信息安全？全网安全管理就是需要三个核心的解决方案，信息资产管理解决方案，弱点管理解决方案，威胁管理解决方案以及与之配套的安全设备集中控管方案，安全保障决策支持方案和统一的监控平台。这六个方面是构成全网安全的六大要素。
( 05-6-3 11:07:43 )
刘科全：安全设备集中控管的解决方案，就是2001年的第三个阶段积极防御阶段，对安全设备实现统一管理需求和安全观念的需求，已经是非常成熟的需求。
( 05-6-3 11:07:53 )
刘科全：安全设备集中控管的主要要求包含三部分，策略管理、可用性管理和日志审计，策略管理包括全局策略、局部规则、策略校验、策略的联动管理。可用性监控，包括设备状态监控、设备调试维护监控。日志审计方面包括日志收集、日志审计、日志的保教入库等工作。
( 05-6-3 11:08:05 )
刘科全：安全设备集中管理从需求分析的阶段，进一步来说，我们的行业用户就是需要把安全各自为政的状态变成统一管理，关键有三个需求：
    第一，要对不同的安全设备要有标准的查检协议，能够支持对不同的安全设备的管理。
    第二，不同的安全设备实现的日志、事件、信息、交付需要有交会标准。

( 05-6-3 11:08:14 )
刘科全：第三，安全设备之间实现相互联动防御，需要联动的标准。这是我们理解的安全设备集中控管的需求。
( 05-6-3 11:08:24 )
刘科全：二，资产管理解决方案。从需求的角度看，要管理IT设备，包含交换机、路由器，包括主机、终端，也包含应用软件系统、数据、文档以及使用这套系统的人员。具体来说，包含资源价值的管理，安全特性的管理，运行状态的管理。
( 05-6-3 11:08:35 )
刘科全：信息资产管理主要功能要求包含资源运用维护、资产防护和拓扑管理，资产运维方面包括资产的等登记、复制、推进和调配、保护方面，备份平台维护，拓扑方面包括资产的导致和维护。信息资产管理的需求方面，使我们的管理人员摸清IT人员的事实，使各种网络设备、安全设备现在所处的状态，是在运行还是停止，或者是没有接入网络，他工作正常还是不正常？与哪些设备之间有关系？我们可以对每一台设备进行集中统一的安全，有保障的策略管理、设备监督、配制查询和远程管理，以及设备的属性，基于网络的查询管理。
( 05-6-3 11:08:44 )
刘科全： 弱点管理的角度主要包含三方面：漏洞管理，补丁管理，强制策略的执行。主要是要保证网络信息系统，IT资产系统的健康性。从安全管理的角度，在需求上一方面要了解全球最新的漏洞情况，要跟踪我们的企业、行业系统行业出现的漏洞，对漏洞进行收集加工、整理入库和漏洞的发布和弥补。在补丁管理里，制度更新方面，我们认为对系统厂商、补丁库和数据库厂商补丁库一系列实施的下站，通过制定制度分发到主机、桌面中。
( 05-6-3 11:08:56 )
刘科全：在策略强制执行方面，对符合安全策略的远程计算机和规范安全策略远程计算机，由策略强制服务器去强制策略的执行。对于符合安全策略的远程计算机，可以穿越策略强度服务器访问内网。对没有打补丁的，没有做升级的，就不能通过强制策略服务器，这是弱点管理。
( 05-6-3 11:09:07 )
刘科全：威胁管理需求模式，保护对象是在信息资产和安全对策之间建立一套威胁防御体系。通过对保护对象，我们的网络系统，不同的安全单位，不同的安全领域，不同的组网进行监视，收集信息，进行安全事件的分析上升到观点的威胁方面，然后向管理层提出预警，调整相应的安全对策，通过对策响应，最终实现对保护对象的控制。
( 05-6-3 11:19:47 )
刘科全：威胁管理具体来说，需要防火墙、防病毒、入侵检测这样一些系统支持，建立大型的管理系统来进行多层级的威胁管理体系。最关键的是要实现安全事件的观念分析，从这个图上看有一条蠕虫，要穿越防火墙来攻击服务器，当防火墙检测到的时候，会报告给我们的威胁管理系统，威胁管理系统这个时候是不是会当成顶级的威胁来预警呢？
( 05-6-3 11:19:59 )
刘科全：是这样的话，它一定会发出很多的误报。首先，威胁管理系统会检测漏洞服务器是否存在于相对应的漏洞，同时要去查询数据库服务器的网络运行状态，看是不是网络运行与正常的运行提供数据库的运行有明确的区别，如果这三者验证都一致，这个时候才会作为威胁事件上报预警。这是威胁管理最关键的需求。
( 05-6-3 11:20:10 )
刘科全：安全保障决策支持。决策支持的需求模型，我们认为是针对安全的策略体系、组织体系、技术体系和运维体系进行安全的再评估，和安全体系、安全策略、安全组织、安全运维组织的再改进。
( 05-6-3 11:20:20 )
刘科全：包含基于安全策略的支持，对安全策略的改进，包括策略审计、策略学习、策略调整，对安全体系设计方面的决策支持，包含对体系的改进，对决对策的查询，对安全体系的修改及完善，以及安全体系整体的观念的决策支持，包括观念审计、观念决策和观念的实施。
( 05-6-3 11:20:29 )
刘科全：从决策支持的角度看，我们需要建立两个库，一个是技术对策库和管理决策库，通过资产管理、弱点管理和威胁管理建立在安全体系设计中我们做技术的提取和安全对策的提取，通过国家法规的管理要求，来制定政策的研究，提出管理支持，提出建立管理对策库，在这个技术上构建安全对策平台。
( 05-6-3 11:20:41 )
刘科全：统一监控平台至少要解决三个问题，能够统一监视网络信息系统的运行状态，监视受攻击的情况，以及整体的安全态势。在运行状态方面，我们能够实时查看不同的安全运行，不同的网络正常的流量情况，不同的安全领域，正常的流入和流出的量，异常的流入和流出的量等等，在攻击状态下面我们至少能够查询最近五分钟，最近一小时，最近一周排在前十位的是哪些攻击类型？异常的流行的情况等等，异常的攻击的情况等等。
( 05-6-3 11:20:51 )
刘科全：在异常态势方面整体的对我们系统所处的威胁等级做评价，是一级、二级还是四级、五级等等。统一监控平台的主要功能要求，包含安全预警、安全审计和应急响应。安全预警分威胁通报、攻击分析、漏洞分析和波量分析，安全审计包含安全报告损失评估等等。
( 05-6-3 11:21:01 )
刘科全：统一的安全控管平台会整合全球的资源以及与扫描器、防病毒系统联动做一个统一、深度的基于事件、威胁、弱点的分析，通报全球的威胁情况，本地的威胁情况，代码情况，系统漏洞情况以及安全事件的分析报告，日常流量的分析报告，攻击类型排名前十位的分析报告等等。
( 05-6-3 11:21:12 )
刘科全：前面简单地介绍了全网安全管理，主要是从用户需求的角度分析。用户需要的到底是什么样的全网安全管理？用户心中的SOC是什么样的产品？从这样的角度，联想网御从三年半以前开始做安全管理方面的开发和研究工作，历经了三年半，发展了三代产品，目前我们正在按照这样的用户需求快速地向前推进。
( 05-6-3 11:21:24 )
刘科全：在座的各位朋友和各位CSO，如果是对这方面感兴趣，我们下面再做进一步的讨论。谢谢。
( 05-6-3 11:21:37 )
主持人：谢谢刘科选先生的精彩发言。下面为我们带来精彩发言的是国家信息化专家咨询委员会委员、研究员曲成义。
( 05-6-3 11:21:59 )
曲成义：各位来宾，上午好，下边我就大会主持要求我对电子政务安全保障体系做一个探索，跟大家共同探讨。
( 05-6-3 11:22:12 )
曲成义：2001年17号文件，对推动我们国家电子政务的发展起到了非常关键的历史性作用。其中有一条，要建立电子政务的安全保障体系。2003年的27号文件是国家信息安全领导小组第三次会议《关于加强信息安全保障工作的意见》里提到信息安全体系的建设一定要发挥各界的积极性，大家共同构筑行业地区的信息安全保障体系。
( 05-6-3 11:22:22 )
曲成义: 2004年1月9号国家开了一个信息安全保障工作的高层会议，会议是由国家信息安全协调小组组长黄菊做的报告，在这个会上同样提到怎么样用新思路、新眼光建设信息安全保障体系。
( 05-6-3 11:26:40 )
曲成义：这个问题无论是在国家层次，地区层次、行业层次，都面临着一个问题，在信息化快速发展和应用系统在广泛渗透的情况下，怎样构架一个安全的保障体系来保障信息系统的安全工作？对电子政务面临着哪些威胁和风险？
( 05-6-3 11:26:57 )
曲成义：一个是黑客，一个是病毒，一个是关于机要信息的流失，网上的恐怖活动。另外往往被我们忽略掉的是电子政务内部人员的违规和违法，包括分发式威胁。
( 05-6-3 11:27:15 )
曲成义：构建于信息安全保障体系的目标，是在国家讨论27号文件的时候，专家们都在议论要增强信息网络四种安全能力，一个是信息安全防护能力，一个是隐患发现能力，一个是网络应急反应能力，一个是信息对抗能力，最终是要保障信息化六要素的核心要素，无论是什么应用决策，都离不开信息，实质对信息安全保障体系，说到底是要保障信息及其服务，因为信息要反映到服务层上，具有六性。

( 05-6-3 11:27:30 )
曲成义：先说三性，就是85年SNWAE那时候提出的三性，保密性、完整性、可用性，是信息安全非常基础性的，也是分不开的。现在大家都补充了另外三性，真实性，在一个开放的网络空间下，人和人、人和机器、人和软件进程之间，在跨时空的环境下怎么保证对方是真实的，是您所要的？所以提出真实性。可核查性，任何事情有的时候威胁面临的事，当时发现不了，怎么保证事后能够核查追踪甚至取证？
( 05-6-3 11:27:39 )
曲成义： 如何正确制定安全策略？处理好发展与安全的策略，黄菊的总报告里提出信息安全和信息化的发展一定要同步建设，同步规划和同步发展。在安全中要注意成本和风险的问题，如何在投入和风险之间寻找平衡点？
( 05-6-3 11:27:50 )
曲成义：这就是当前国信办正在进行的等级保护，很多政府部门现在都在考虑做这件事，北京市正在出台他的规则。其它的紧急防御、以人为本、综合治理都是构件信息安全电子政务安全体系的提供证据的策略。
( 05-6-3 11:41:32 )
曲成义：如果有一个图表示，就归结成电子政务安全体系也是由六要素构件的：一个是立法，第二，管理，第三，标准，第四，安全工程与服务，第五，安全技术与产品，第六，安全基础设施。电子政务从全局上来说离不开这样六个要素。

( 05-6-3 11:41:44 )
曲成义：我们国家第一部信息化的法律就是《电子签名法》，今年4月1号在全国执行，这个法将来对于电子上午、电子政务都会产生非常重大的作用，全球已经有20多个国家比我们早走了一步，还有很多国家正在进行中。
( 05-6-3 11:41:54 )
曲成义：电子政务的安全国家因此在进行《保密法》的修改，对于《公开法》的制定，《个人数据保护法》的制定，现在国家都在积极推动。现在有一个信息安全大法，叫《信息安全法》，现在正在推动。因为立法的周期很长，可能先搞一个《信息安全管理条例》。
( 05-6-3 11:42:04 )
曲成义：第二个关于信息安全的组织管理。信息安全是要人推动的，没有组织上的落实，信息安全往往成为空话。从国家层次上看，咱们国家以总理为信息化领导小组组长，在小组下面设立了一个网络信息安全协调小组。从国家层面已经在组织上落实了，组长是温总理，网络信息安全协调小组的组长是黄菊副总理。
( 05-6-3 11:42:19 )
曲成义：在很多部门，北京市、人民银行等很多部门都对信息安全组织建设进行部署，成立信息安全协会，有很多部门都成立，像人民银行在做，不单纯有领导层，而且从总行、分行一直到营业部成立了信息安全处、信息安全科，有信息安全员，有了这个队伍，信息安全网络就办了一大半。当然，厂商还建立了CSO，咱们这个会议就是推动有关部门建立首席安全官。

( 05-6-3 11:42:32 )
曲成义：除了队伍以外，如何遵循一些安全的准则？有一个ISO17799，很多部门翻译过了，有一百多项规则，这些规则都是很多人的经验的一些贡献，比如从管理、组织人员、资产运行配置、事件、文档标记、物理环境、开发环境、作业连续性保障和服务都有非常详细的规范，很多人都看了。我们国家已经参照国家的标准，以及搞了我国家的GB，为什么XXX呢？因为现在还没有发布。
( 05-6-3 11:45:23 )
曲成义：我们国家在2004年为了通过信息安全保障体系的建设，在国家信息办的联合推动下成立了国家信息安全标准化委员会，这里委员会设立了十个工作组，最近可能再加一个，已经都在网上了，大家都能查到，而且是开放性的，无论是政府机构还是科研院所，或者厂商大都能参与。
( 05-6-3 11:45:32 )
曲成义：标准体系与协调，下面又设了一个可信计算的标准组，我们国家很多厂商已经也开始认真地进入了，而且争取在这一轮的安全产品或者是IT产业上要抢占最高点，不是单纯一个技术问题，还涉及到市场问题。

( 05-6-3 11:45:41 )
曲成义：另外关于内容安全分级标识，像电子公文的密码标识我们正在紧锣密鼓地做，以前是盖章的，电子传真怎么办？密码标识不可修改，不可删除等很多方面。
( 05-6-3 11:45:49 )
曲成义：关于安全评估、应急处理、安全管理，他们正在推动类似的安全管理标准，像电子政务、标识和识别数据库操作系统等，这十个工作组正在紧锣密鼓的做，现在已经送到国家的报表有十六项，有望今年上半年出一批，特别是和电子政务的很多相关的稿子正在研究，有了标准就会推动电子政务安全体系的建设。
( 05-6-3 11:45:58 )
曲成义：再一个要素就是信息安全工程服务，要构建一个电子政务信息系统，按照什么样的规则和方法其做？关系很大。国际上有ISSE，叫信息系统安全工程，也包括国防部出台的基本框架，这些资料都在推动建设中，你要建设以政府电子政务部门的信息保障体系，按照一种什么思路、方法、过程进行？这里面都有很好的经验和借鉴。

( 05-6-3 11:46:13 )
曲成义：比如说安全需求分析，你所面临的威胁，系统的弱点，风险怎么评估？应该采取哪些措施？应该采用的安全功能，你可能要用的安全要素，要从五个层次上做好。物理、网络、系统、应用、管理层上怎么选择这些安全要素，进行设计。

( 05-6-3 11:46:23 )
曲成义：怎么全程控制风险？系统建设怎么评估系统的安全是健康的？采取什么策略？只要搞过电子政务的，参与安全设计的人都有体会。按照这样一个流程去做，就可能减少漏洞，减少失误。当然，做好这个过程也有很多技术支撑和经验。
( 05-6-3 11:46:31 )
曲成义：作为安全工程服务，目的就是为电子政务提供安全服务。服务有很多种，电子政务也有九种服务，完整性、保密性、真实性、可用性、访问授权、抗否认性、抗破坏性、可核查性等等。

( 05-6-3 11:46:41 )
曲成义：信息安全机制是第五个要素，关于信息安全技术和机制。信息安全现在发展经过了很多阶段，最开始是在大互联网上做的，在互联网上形成内联网，内联网之间要互联，与外联网之间的机制，现在无论是哪个部门有内联网也有外联网，政府也有内联网和外联网，网络很复杂，现在是电子政务，就面向电子政务去考虑的，如果你是电子商务就考虑电子商务，或者你是一个企业，就考虑面向企业的。
( 05-6-3 11:46:49 )
曲成义：技术现在发展的很快，已经面临对象考虑去选择哪些安全技术是你所需要和应该采纳的。信息加密技术，密码是信息安全的核心技术，它支撑着很多需求。
( 05-6-3 11:46:58 )
曲成义：电子政务可能涉及到国家的秘密，也可能涉及到工作秘密，也可能涉及到个人隐私，所以这是必不可少的，关键的要素。第三就是鉴别认证，现在鉴别认证无非就是四大类，后来出现了动态加密，口令密码，动态口令，还有CA签名，还有物识别。
( 05-6-3 11:47:10 )
曲成义：还有访问控制技术，再就是网络边界安全技术，第四种现在看起来也不能说谁是绝对的好，各有各的用途，各有各的应用领域，是价格的投入和安全强度的折中的产物，你的单位有哪个合适？经过分析千万不要赶时髦，也不要对新技术不去认真探索。总之这四种类型还有它的特点和领域，在相当长时间不能说哪个能够代替就是哪个可以用。
( 05-6-3 11:47:29 )
曲成义：病毒防治技术如果再发展一步就是属性证书，就是在固定的领域里，除了SCA证书以外，还发一个属性证书，一旦这个证书到了你的全县在全网都是有效的，在有些部门有这个需求，但是因为授权和应用系统是紧密的，所以对PAA的选择要慎重。

( 05-6-3 11:47:37 )
曲成义：安全编解技术也要慎重，还有安全扫描、内容识别产权，包括安全技术，任何操作系统都需要技术，需要CPO，怎么包括安全的基础性？特别是对电子政务都有一个思索的问题，对安全给的保护，别人或者是外国怎么去做？不是没有，有很大的问题，如何打补丁，去优化配制？如何清除可能的潜在的威胁？

( 05-6-3 11:47:46 )
曲成义：比如像一些恶意代码，如何对过程加固，保护措施？现在有防火墙包起来，进出的时候要对您进行监视。再就是内容升级，本来为C2级的是商业用的，电子政务是第一级，现在升到B1级了，但是B级操作系统国外受到一些限制，国内的厂商现在积极在做，这些都是按照级的变化。
( 05-6-3 11:47:56 )
曲成义：另外就是审计的取证。最近我去了一趟南海，有各个省市的代表带了一些重要的信息去了，引领大家思索在这样一个系统出现灾难的情况下如何应对，如果在50年代初的时候，一旦是一把火着了，或者是炸弹炸掉了，那损失是非常大的，不可计算。在信息安全技术里面，当前任何一个政府都已经从办公室走向园区，从园区走向城市，从城市走向全国，走向世界了，对这样一个纵向防御中的关键要害要有认真的思索。
( 05-6-3 11:48:06 )
曲成义：一个很关键的就是信息安全网络化，在这个复杂的环境下，投入和风险应该掌握科学的平衡点，不是说投入越多越好，欠投入是不允许的，但是过投入也是不必要的，就得要做好信息安全工作科学化，做好等级的定级，然后再采取科学的隔离和防治机制，才是可取的。17号文件政府规定需要有内网，是以设密为代表的。还有外网，外网是提供社会公共服务的后台。还有互联网的网站，是面向社会公众的。最近电子政务很多同志提到，叫专网。
( 05-6-3 11:48:15 )
曲成义：在纵深防御中，不单纯是本身的计算环节，第二就是边界，第三是中间的传输手段，第四是基础设施。每个政府都有一个核心计算机，都有外网或者是专网，都有一个面向社会公众的互联网，为公众服务的。
( 05-6-3 11:48:25 )
曲成义：无论这三个哪个都有一个边界，你怎么确定边界？这个边界确定准确了，机制才合理。比如17号文件中设密的网和互联网一定是互补的，如果内网设小了，可能把国家的秘密漏出去，这是不允许的，如果设大了，为公众服务就麻烦了。安全域的划分，边界的措施非常关键。支持这些安全领域有一个信息基础设施，这些基础设施并不是每一个用户都建立的，但是你可以使用。

( 05-6-3 11:48:36 )
曲成义：还包括传输领域中的安全保护，比如政府内网也有业务的内网，现在对任何一个政府部门的内网往往还有一个核心部分，就是内部机要、绝密等等。
( 05-6-3 11:48:48 )
曲成义：保密局正在做电子报签，一旦做好了，把这些报签切入到这些文件里，这些文件专门建一个电子数据库，这在这个网关上同时要核对密级，又要核对访问者的身份和权限，然后才允许这个文件是出还是进。
( 05-6-3 11:48:58 )
曲成义： 外网的公共服务画了个白框，因为这个技术还在审定过程中，还需要一个过程。现在技术手段还没有，最好的办法就是一刀切。对于电子政务来说，当前所使用的主流的信息产品无非就这三大类，一类是防范外部入侵，有防火墙、防病毒、IDS检测、物理隔离等。防范外部的大家都非常熟悉，很多厂商提供的产品，进展都非常大。

( 05-6-3 11:49:09 )
曲成义：第二类，防控内部作案类，强审计，主机内控，书记安保，这些对内部的防控还比较弱，到今天为止很多人已经开始认识这个问题了，因为有些数据不一定准确，国外一些数据对电子政务、安全、国防等一些要素，因为它是物理隔离的，所以就变成了内部犯罪和内外勾结可能的作案率有70％，这是国外的数据。系统级安全类，包括加密、鉴别、授权、扫描、灾备、过滤、物理安全等等。

( 05-6-3 12:02:54 )
曲成义：物理隔离这个词汇也是经过保密局的认真探索，找不到别的好词，物理隔离比如说物理级的物理隔离，就是怎么防止电磁波泄漏出去，或者是外界的电磁波的干扰？现在政府部门发现有的部门建了一套线，那个网络没法弄了，而且有的部门把设密的无论是屏蔽线，车上的干扰器、测评器等等，还有终端级的，就是双盘型、双区型的。

( 05-6-3 12:03:05 )
曲成义：传输级别的，有些很少的部门，自传输系统是自己出的光纤，但是大量的政府部门不可能自己去铺光纤，还要使用公用信道，公用信道就是要按照政府做指定的密度，进行端对端的转程。最高级别就是网络级，如何把内网、外网适度地连接起来？
( 05-6-3 12:03:15 )
曲成义：现在设置了一个叫网闸，到现在为止还没有开放这个口，但是它确实比防火墙，比网络网关安全强度强很多，还有对进入的信息要做检测，对出去的信息也要做检测，这些还在积极核查。
( 05-6-3 12:03:25 )
曲成义：网泵是另外一种，秩序出来不允许进去，就是禁止一些黑客的进入，而且之间没有任何信号，这个协议是落地的，总之切断了任何联系。这些都再做，但是难度比较大。现在进展的情况，虽然在内网里不可以使用，但是在外网里可以使用，安全强度高，这些保密局的鉴定证书后面都有使用的允许范围。
( 05-6-3 12:03:34 )
曲成义：这些产品还没有最后过关之前，就像“非典”期间把人民医院隔离起来一样，就是把网络切断。现在很多政府部门正在用的内网网闸发展的也挺快，有交换性、共享性和操作性。

( 05-6-3 12:03:42 )
曲成义：对电子政府来说，内控是很重要的，早期防御阶段有这么大的工作，现在转向了，要对内部进行强化审计。什么叫内部的强化审计呢？这种审计是全球性的，是从网络级、数据库级运用到主机。对这些审计信息要进行安全架构，对这种审计信息的安全性、防拷贝、防假冒，当然也是要重建的。怎么促进审计信息的证据有效性？《电子法》的出台为电子数据创造了法律的空间，但是审计信息能不能作为电子审计信息？这还有很多工作要做。
( 05-6-3 12:03:53 )
曲成义：数据库的审计包括对数据库的操作、非法操作、对事件的查询以及分析。
( 05-6-3 12:04:03 )
曲成义：刚才提到对审计中的主机的安全稳定，这引起了政府的很大的关注，它的作用是什么？就是要对政府内部的用户的行为和他所使用的数据的普及，他做的是不是原来规定的？怎么保证这块？目的就是防止内部人员的雇佣，因为他们的技术不高造成的。另外就是图省事，这都是属于违规造成的，当然还有违法，内外勾结。

( 05-6-3 12:04:11 )
曲成义：像主机端机的安全内控有四个方面：一个是非法连接，包括内网机的外联，外网机的内联，外设和端口。第二叫违规传输，移动存储设备创新，移动硬盘，各种各样的。对这些设备在涉密内网里传输，要采取什么措施控制，按照规则来做，可以分禁用、只读、安全读写。另外对资源的干预，对类型、时间、地址和协议，另外内用系统违规操作的文件、题目如何控制。
( 05-6-3 12:04:34 )
曲成义：策略怎么设置？用什么手段监测发现？现在的非法外网，本来是内网的，往互联网上一连，监测发现，要报警，不能让他做违规的事，他只要做了，系统就有痕迹，这个痕迹是抹不掉的，对内部可能产生违规行为产生很大的威慑，这个问题正在引起政府部门的重视。
( 05-6-3 12:04:51 )
曲成义：还有一个类型是防范物理临近式威胁，不是通过网络攻击，接触了一些重要设备做违法的事，有很多政府部门已经在做了，正在上机，突然叫他那边有一个电话，他出去了，或者开会的时候机器忘关了，有的人进了大楼，但把不应该操作机器，他进去了，怎么防这种类型？不是网络攻击，是物理临近攻击，所以现在采取强制人员临近，把机器锁死，怎么打都打不开。
( 05-6-3 12:05:00 )
曲成义：把自己的存储文件、关键文件，在端机上加密，当然哪些加，哪些不加，要按照需求来做，加了以后影响效率，占用空间。另外是文件隐藏，关门搞了一个涉密的文件夹，即使那个人进去了，找不着哪个是涉密的，文件是隐藏的，等等这些技术很多。
( 05-6-3 12:05:09 )
曲成义：对电子政务来说，使用哪些IT产品，安全产品，对分发式威胁脑子里要有根弦。过去对这方面的问题办法不多，认识也不多。其实一个产品从严治研制、生产、分销、维护到给你更新这些过程，都有很多漏洞，这些漏洞中都可以前入病毒，迁入恶意代码，这种例子已经有了。最彻底的办法是恶意代码发现，有些国家已经做了。

( 05-6-3 12:05:18 )
曲成义：大量的用户不可能对几十万、上百万条信息发现病毒，但是也有一些工作要做，扫描、发现、打补丁、配置优化的技术、清除技术，还是有办法做，要有这根弦。作为一个用户，如何真正获得社会的自控权。
( 05-6-3 12:05:31 )
曲成义：最后一个要素是关于信息安全基础设施的支撑。对一个政府来说，大量的基础设施要使用好，国家、行业、地区建设的基础设施，比如CA，国家信息办去年成立了关于CA小组，是不是每个政府都要建CA中心？其实真没必要，要建的话，CA的保护负担很重，要发一万张、十万张证书，根儿一旦泄漏以后，十万张证书更新累死了，而且一旦更新，造成的威胁是很大的。
( 05-6-3 12:05:42 )
曲成义：因此CA证书，特别是数字签名法出来以后，信息产业部、国家保密部、信息办想整合我们国家的CA体系，需要建的要建，建好，安全强度要加固，不需要建的就别建了，政府需要的话，有些省市已经指定了政府部门。CA本身就是基础设施。
( 05-6-3 12:05:52 )
曲成义：网络应急体系，一旦出现灾难，要求本部门有一个强手队伍发现攻击，阻断攻击，恢复系统，都有困难。因此，如何构建应急体系，国家正在考虑。有些部门已经从行业的角度考虑。

( 05-6-3 12:06:00 )
曲成义：再一个是灾难恢复基础设施，国家有一个通知指南出来，怎样保护信息资产，一旦灾难出来以后怎么办？比如有的城市，特别是发达城市建设政府公用的灾难恢复基础设施，不要大家都去建，我建，给你提供安全条件、保护条件、便利条件、网络条件、物理条件，你把设施拿进来，有些行业已经开始考虑，行业统一形成一套规划和策略。
( 05-6-3 12:06:10 )
曲成义：防病毒服务机制，天津、上海很多行业都建了，及时提供疫情，及时提供客服防病毒工具。
( 05-6-3 12:06:18 )
曲成义：另外，信息产品的安全检测和评估体系，由国家拿钱买，防火墙安不安全自己可能测不了。首先大家要看看有什么证书，过去的证书太多，四个证书、五个证书，国家正在理顺这个关系，国家信息中心安全评测体系对这个产品要认可一个机构测，统一发证书，建立规范化的测评体系。咱们国家的产品很成熟，但是系统级的测评比较大。
( 05-6-3 12:06:27 )
曲成义：非涉密系统，北京市成立一个测评中心，正在理顺这套关系，对于电子政务，按照规定，在运行之前一定要通过第三方的检测，国家规定信息安全测评分为自评估、委托评估、检查评估。自评估是自己做，委托评估，是自己没有这个能力，委托社会第三方，检查评估是政府以后作为法定的，北京市已经开展了这个工作，国家保密局有三个档次，一个是很好的运行。
( 05-6-3 12:06:37 )
曲成义：第二，有问题，但不影响运行，限期整改。第三，停止运行，对电子政务来说，如果没有强行的检查评估的手段，出了事不单是自己部门的事，可能影响国家高层次。
( 05-6-3 12:06:46 )
曲成义：外是密钥管理基础设施，PKI。认证体系在电子商务里有非常广阔的应用。电子政务公开以后面向社会，很适合开放性的、大时空、无限边界的条件，构建良好的网上信任环境，完成交网、交换多种业务，PKI在电子政务中找它合适的应用。

( 05-6-3 12:06:55 )
曲成义：风险评估，特别对于系统评估是一个很大的问题，涉及到系统要素安全要素，涉及到物理环境、行政环境和人，因此对这个问题，现在国信办、国家认监委正在组织和建设我们国家的信息安全系统评估体系，正在做。

( 05-6-3 12:07:05 )
曲成义：关于灾难恢复，国信办去年11号文明确通知，已经发到各个重要的部门去了，希望这些部门认真考虑一下出现灾难怎么办。“9.11”事件给全球敲了一个大的警钟，1200多个公司，400多个有灾备的，800个没有灾备的，数据全丢了，积累的信息全丢了，一个银行把客户都丢了怎么办？政府把医保系统个人信息全丢了，很麻烦。要落实责任制，谁主管谁负责。
( 05-6-3 12:07:14 )
曲成义：国信办有一个重要信息系统灾难恢复指南，把我们国家的灾备等级划分六级，更本地化、更可操作性。对于政府部门来说，构建电子政务安全保障系统，要点是什么？第一，部门要做好需求分析，信息安全的关注点在哪儿？信息资产的价值是什么？使命是什么？应该重点保护哪儿？
( 05-6-3 12:07:26 )
曲成义：第二，一定要在国家的安全保障体系框架指导下，很多国家出了很多标准、法规，国家正在推动建设一些信息安全基础设施，也在鼓励和发展有自主知识产权民族的信息安全产业，这些指导思想要认真学习、参考、指导，对你是非常有利的。

( 05-6-3 12:07:55 )
曲成义：第三，如何对信息系统的生命周期中，信息安全的全面规划，信息安全是一个过程，不简单的是一个产品。这个过程从使命确立开始到结构设计、危学分析、脆弱性分析、风险挖掘、采购实施、操作运行一直到系统维护和更新，一定要全程研究。信息安全是木桶原理，哪块板低了水全流出来了。不是哪一块不好，生命周期过程中哪一个环节没注意都可能出错。真正要做，应该从五个层次做。
( 05-6-3 12:25:03 )
田成：利用这个机会给大家做一个汇报。去年的大会我也来过，也有机会跟大家做了非常好的沟通，这次希望利用这个机会就一些想法，谈谈我的真实体会。
( 05-6-3 12:26:06 )
田成：我上个星期或者更早一点的时间看到一个报道，来自于美国华盛顿的报道，有一个企业级的用户系统被一定程度的感染了，恶意代码感染，但是与以往不同的是感染利用了权限，搜索到了系统里的文档，包括数据库的，包括Excel，包括Word，加进去以后留了一个记号，跟用户讲如果想加密，请跟我联系，请付200美金到互联网银行帐号上去，我会给你一个解码，一个密钥解开。
( 05-6-3 12:26:15 )
田成：我想说的是这是一个趋势，一个新的变化，有一点带有讹诈或者威胁，过去的病毒攻击、恶意代码攻击，黑客们很有炫耀性，很愿意表现他的成功，你想加密给我一笔钱，为什么是200美金呢？很简单，他希望比较小的钱数，企业不必麻烦找公安机构或者找外面的机构，给你200美金把这个事解决了就可以了，刻意希望是这个结果。

( 05-6-3 12:26:24 )
田成：我上礼拜跟银行的客户沟通的时候，他就提到这是一个问题，比如一个极端的情况，做一些机构变革的时候，裁员或者调动工作的时候，会不会有人利用系统的弱点，在系统里做类似的动作，用非法手段进到系统，在内网里不是很难做的。我给客户做了很简单的测试，极少的时间，17台设备，在几个小时的时间，其中14台非法的最高权限的，从内网进去了。
( 05-6-3 12:26:36 )
田成：一旦有人利用这个机会上去了，可以把文件加密走人，不必留记号，不必炫耀，是一种发泄，这对企业，特别是内网，或者我们讲的内贼的威胁，还是很有威胁的，领导跟我讲我听这个东西都出汗了，我不想把这个作为一个宣传，但这是一个趋势。
( 05-6-3 12:26:47 )
田成：现在我们面临的安全挑战，大家在一定时期内看到的，包括个人信息保护法正在制定，还没有出台，但是已经成文，在征求意见。我在几年前在北美做信息安全的工作，在日本、欧洲、北美都做过项目，欧洲做的比较早，大概有九年到十年的时间，北美大概有五到六年的时间。
( 05-6-3 12:26:57 )
田成：第一，个人隐私非常重要，四五年前北美的金融机构和大型企业在《个人隐私法》正式公布的时候所考虑的问题，所想的问题，所讨论的问题，这对企业是非常严重的问题。过去的应用和系统都架构在原来的模式下，《个人隐私法》出台之后怎么保护个人的信息，免予承担法律责任？这是非常大的特点。

( 05-6-3 12:27:21 )
田成：中国的更严重，中国人不是特别在意个人信息，比如身份证号码，出生年月日，您几岁了，我38或者42，都无所谓。但是一旦我们国家出台了个人信息保护法或者个人隐私法，可能在座的单位都面临着非常严重的问题，要是做不好，将来要承担法律责任或者承担经济责任。
( 05-6-3 12:27:31 )
田成：美国加州的立法，经常在安全立法方面做的比较早，经常会出现新的东西，比较快的立法是《反间谍软件法》，未经许可不许在客户的网站里收集信息，如果要收集信息一定要明文告示，如果不这样做，就要高额罚款。
( 05-6-3 12:27:40 )
田成：另外还明确规定，作为一个普通用户，认为你的系统被个人或者公司非法收集个人信息了，比如通过间谍软件，可以要求一千美元赔偿。一千美元对一个公司来讲不大，但如果是大量的用户，很大的群体，赔偿的潜在的市场非常大。加州的立法是新的个人隐私的立法。新的法规面临比较严峻的挑战，金融欺诈、移动办公，国内做的移动办公程度比国外小的很多，这是国内将来所面临的挑战。
( 05-6-3 12:27:50 )
田成：我做过很多年的信息安全，从1998年开始，非常荣幸有机会在很多国家不同的区域，欧洲、美国、加拿大、中国、日本做过信息安全的工作，也做过很多比较。我亲身的体会，跟客户沟通、汇报的时候，到目前为止，很多客户，特别是企业级的客户在讨论比较综合的信息安全体系，大家都存在着困惑。
( 05-6-3 12:28:05 )
田成：诸位都来自不同的单位，有国家单位，有企业单位，有CSO，也有相关的负责人，你们有没有这种困惑？谁能告诉我说对怎么建安全，应该做什么事情，谁去做什么事情非常清楚，我该做到什么程度非常清楚，我真的希望能跟你好好沟通沟通。
( 05-6-3 12:28:16 )
田成：但是从我跟客户沟通，包括金融、电信、政府、国外很多客户对怎么做信息安全，做到什么程度，谁来做，比如说企业、合作伙伴，单位自己的上级领导，谁来做工作？其实不是特别清楚，我觉得有多种原因，有资源的原因，文化的原因，领导重视的程度，企业对安全认识的程度，经费的原因，包括国家市场成熟的程度都是原因。
( 05-6-3 12:28:26 )
田成：今天讨论的是定位问题，在真正考虑安全建设的时候为什么会有困惑？不同的企业，实际上自身在建设信息安全的时候，是有不同的定位。我总结了四个安全管理模式，比较概括性的讲有四类的安全管理模式，从两维考虑，一个是对安全技术的要求，一个是对管理流程的要求。
( 05-6-3 12:28:36 )
田成：第一种信息安全管理模式叫安全事件引导，以安全事件为导向，这种现象或者这种单位，不发生事情天下太平，也不会太多的考虑投资，不会考虑投入太多人的力量，做太多的事情。但是一旦出事，上面也会讲，下面也会讲，自己也会考虑投入买东西，这是事件导向的安全模式。不理想吗？确实不理想，换句话说是最不理想的方式。
( 05-6-3 12:28:44 )
田成：但是我做了这么多年信息安全工作，必须坦率地承认，在中国也好，或者国外刚开始做信息安全的时间不长，它是一种非常不理想的模式，但是非常现实存在的模式。作为信息安全工作者是不可回避的，不能说这个不好，不能做，这样讲话是对客户不负责任的态度。我们做信息安全工作的时候应该考虑理想与现实。
( 05-6-3 12:28:53 )
田成：第二是技术导向。在企业里有很大的力量做技术，比如防火墙、加密、解密等等，注重安全技术的实施，注重安全技术的应用，在安全技术方面投入很多人力和物力。
( 05-6-3 12:29:03 )
田成： 第三，流程。通常对业务要求比较严格的，有比较全面业务流程的企业或者是单位，会用流程导向的管理模式。当然最高境界的，简单的来讲是流程、技术和安全事件综合平衡的结果，也就是风险导向，一切都以风险作为依据。
( 05-6-3 12:29:12 )
田成：总结一下，每个导向的安全管理模式都有优点，也都有缺点，也都有存在的必然性。举个极端的例子，比如我发现某一个单位是事件导向，说明流程不具备，技术也比较有限，安全组织也比较松散。在这种情况下，如果我发现了这么多问题，一系列的问题，17个系统，有13台几个小时最高权限进去，发现以后我跟你讲A公司，这是问题，包括组织、管理所有的问题，我建议你做一个以风险为导向的风险管理模型，给你推荐一个非常完善的，投入一千万或者两千万，有什么问题呢？
( 05-6-3 12:29:23 )
田成：如果这样给客户做工作，客户决定从这儿直接做到全面的风险管理模型，用风险管理将来在企业里运营和维护安全管理，坦率地讲必败无疑，这个模式一定坚持不了，而且一定花很多钱维护。
( 05-6-3 12:29:33 )
田成：我个人认为，风险管理一定要有流程、技术和相应的事件跟踪的基础，具备一定的基础才会达到目的，否则花钱做不了事。流程导向也有缺点，可以非常强调流程，强调管理，但如果没有技术作为手段，流程很容易流于形式，变得没有用。技术也有问题，技术导向非常突出的，很大的力量投入到技术上去，公司的技术力量非常强，投入进去没有一定的流程导向，没有流程作为安全保证，投入的技术在很大程度上都是浪费，也失去了原来理想的目标，用技术完善管理。考虑安全管理模式的时候要看企业自身的文化，考虑企业的具体情况。
( 05-6-3 12:29:43 )
田成：我承诺了我的客户，在两星期前沟通的时候，一个行的领导，我做了一个汇报，沟通的非常好，领导花了十分钟的时间讲了一番话，其中五分钟是针对我们讨论的结果，另外五分钟讲了一个故事，我一定要在大会上讲这个故事，关于老鼠和猫的故事。
( 05-6-3 12:29:52 )
田成：有一家已经生存很多年的老鼠，在这个家里生存了很多年，很愉快，经常有吃的，但是有一天很郁闷，这家来了一只猫，猫很凶悍，抓老鼠，但是这些老鼠很厉害。老鼠就在想不能就这么坐以待毙，还要生存，跟我们都一样，我们要生存。

( 05-6-3 12:30:01 )
田成：所以它们就开会讨论怎么解决这个问题，很多人出了很好的意见，说我们轮流值班发现猫在什么地方，这是一种，还有的考虑我们找猫睡觉的时间出去找东西吃，找猫睡觉的时间出去玩，还有的说让老鼠把猫引开，然后我们出去玩。

( 05-6-3 12:30:09 )
田成：最后一个提出高层次的建议，能不能在猫身上、脖子上挂一个铃铛，猫走起路来，一听就知道猫来了，这个很高明，比较有层次，比较有见解的模型。但是大家想了想，有一个最大的问题，谁去挂铃铛，这是最大的问题。
( 05-6-3 12:30:19 )
田成：那位客户给我讲这个故事非常有道理，我们在帮助企业或者一个单位建好做信息安全的时候，要考虑很多因素，考虑建了以后的承受程度，考虑建以前的经费，建以后谁来管理、维护。安全风险管理模型是最理想的，但是最大的问题是投入成本非常高，维护成本非常高。
( 05-6-3 12:30:28 )
田成：如果建一种东西，最后管不了，或者发挥不了作用，可以不做，就像老鼠和猫的故事一样。如果想出一个东西，最后实现不了，请你不要做，因为结果会更差。
( 05-6-3 12:30:40 )
田成：在原来的会上我也呼吁过，有一个特别简单的道理，听起来很俗，但是我自身的体会，管不了就不要做，要做的是可以管得了的东西。
( 05-6-3 12:31:04 )
主持人：非常感谢田成先生经过压缩的精彩的发言。时间过的飞快，第三届中国CSO俱乐部大会暨2005中国信息安全年会上午的主题报告到此结束，下午大会将会以分论坛的形式，有针对性的进行关于信息安全具体的技术以及应用的研讨，也欢迎各位嘉宾继续关注大会下午的论坛。谢谢。

第一次系统对我的提示

楼主辛苦了，连系统都觉的你太辛苦了，让你少贴两个字呢