電網信息安全應當建立主動防御陣線—2013電力信息化年會

2013-12-23 09:54:36 大云網　點擊量：評論 (0)

在11月30日-12月1日舉行的電力行業信息化年會上，上海交通大學信息安全學院常務副院長李建華針對信息安全問題做主題講話，全面介紹了信息安全技術的發展和面臨的挑戰，并與參會人員熱烈互動。以下為文字實錄。上

另外我們做安全會戴有色眼鏡來看文化和意識形態看，例如IPad，這是將個人休閑方式帶到了世界各地，facebook將自己的社交方式推向了全球。我們也看到在80年代時，老一代可能拿過收音機收聽，然而從2010年之后美國長達半個世紀美國之音停播。所以這樣的特點從新技術發展對信息安全提出非常高的挑戰，隨著應用越來越復雜，我們需要從應用角度造就一個全網安全管理、安全體系，可評估攻擊行為來支持由于新技術發展對安全提出新挑戰。但是從信息安全泛在化趨勢來講，對企業來講，非常敏感一些核心數據，財務數據運營統計等，都是可以利用的，包括通過網絡、郵件非法介入、存儲、本地硬盤、軟盤、、光盤、USB等等都構成對敏感數據的缺失的，而且這種趨勢確實存在。

還有內容安全問題，以及病毒攻擊，這是常態大家能夠看到的。某種程度上這可能是未來的信息安全需求，近期以三星蘋果為代表，大部分今天在座的代表都使用了三星和蘋果手機，對于移動終端包括移動互聯網在內的惡意樣本程序有162981個，增值服務越來越多，這方面問題就更加凸顯，同時網絡攻擊手段也更加豐富。

另外還有很多其他的安全問題。我們要做安全技術，這里講到一些典型案例，比如說木馬僵尸，檢測這方面肯定做好，還有僵尸網絡發送垃圾郵件，所以我們也要看到，在高度關注信息安全的時候，仍有一些問題是很難解決的，包括釣魚網站，以及網站被篡改的問題等等，還有木馬的問題，互聯網交織著各種各樣的網絡形態和各種信息，包括類似于人類的社會的暴力、受局限的、版面意識包括恐怖組織等問題，還有一些不斷演進考驗執政黨執政能力、公共安全事件等。從2009年到現在，躲貓貓、七十碼等不斷演化的網絡輿情事件構成了當今信息安全非常重要的內涵。還有網絡誠信等重要問題，蒙牛伊利互相詆毀，郭美美事件等等，這些都是網絡誠信方面的問題。整體來看，國家這樣一個戰略不外乎是通過核心關鍵技術獲得能力上的提升，如果想要在信息安全領域解決所有問題是非常困難的。

因此有一些非常關鍵技術能力，比如幾大關鍵技術，像丟失密碼，PPI等其實是信息對抗，在這些能力中若密碼學這一學科有所進展，那么對于前沿性這一方面，主要是支持互聯網，包括下一代網絡的一些應用和網絡研究就會比較多一點。這一塊的關鍵應用技術其實就是密碼分析技術，目前是應用得比較多的。從階級防御角度有相當的核心能力需要提升，特別是漏洞挖掘、智能終端，主要是IOS和安卓，包括蘋果的MAC終端分析。從一些關鍵技術來講包括系統安全性角度，研究一些共性的關鍵技術，主要是系統安全，針對操作系統和軟件應急的系統安全。

在移動互聯網技術高度發達的今天，無線安全高度感知也是大家關心的問題。工控這一部分其實給大家留下了非常寬闊的研究領域，總體來講要從工控系統的密碼、訪問控制、身份鑒別、安全審計技術研究等各個角度做一些工作。還有認證與訪問控制領域，這里面有一些基礎的，但是關于量子認證和量子計算這部分則是很前沿的，一旦這個技術突破之后，可能未來對現有密碼體系是一場革命性的變化。另外內容安全這一部分，大家知道社交網絡非常復雜，對于社交、社會媒體和移動終端之間的社會關系網絡是大家比較關注的問題，包括移動互聯網、社交網絡的用戶行為，網絡行為、組織行為分析、預算技術研究。因此基于碎片信息挖掘及聚合的大數據環境下知識發現與情報收集監控等都是非常重要的。

舉例來說，比如內容這一方面問題，某一個安全網絡輿情事件一直導致你無法應對，對電力企業來講有一些考慮，因此全面掌握行業輿情也非常重要，還有宣傳、信息公開等都是可以用到，這個是從信息角度講。另外取證，大量網絡犯罪系統線上線下取證也是可以應用的，還有網絡安全分析取證技術、檢測，云概念出現之后包括加固和檢測都是比較難做的。

另外就是智慧城市的安全，也是從內容上進行互聯網追蹤和取證。這是大數據，它的特點主要是幾個安全問題，一是采集和分析，第二是應用和感知，大數據一直是和云計算做深度的管理，大概是這樣一個特點。

還有標準化問題，這里面有算法標準、產業檢測標準，系統安全管理標準，無線網絡安全標準等，研究的內容比較多，有幾個典型案例都是從欺詐后門發現感染，包括獲取等隱蔽撤退，呈現了非常完整的完美攻擊形態，另外在安全里面有一個非常艱苦的基礎性工作就是漏洞安全，對決議軟件系統等，這也是非常基礎的一部分。

典型安全涉及具體系統，從應用和數據、主機和系統，網絡安全包括物理和環境安全，電力行業在這一方面做得不錯，由此來構建一個完整的綜合管理控制體系。

另外還有兩個觀點同各位分享一下。系統安全問題，包括華為產品的安全性問題，大家都希望進入到本土化的認知認可，系統安全不可能保證100%，信息安全風險評估，包括系統安全管理，已經從風險評估、技術轉到管理這種安全認證認可，這可能未來的一個趨勢，像人保一樣支撐。另外還有一個特點，從關鍵點安全專項面向專業服務安全保障，這也是非常典型一個特征，還有就是服務這一部分需要考慮。

如今國安委成立，將來相當長一段時間我們國家信息安全累計保護仍然在內網、外網兩方面一起公安統籌，這是一系列標準。在十二五期間可能國家密碼管理還會出臺新的管理條例，更加開放國際化商務密碼使用，以上是我簡要說明的情況，謝謝大家。