2019年网络安全技术高峰论坛主论坛，16日下午在梅江会展中心举办，国内外网络安全专家、学者、产业界代表等千余位嘉宾会聚一堂，就网络安全技术、产业、标准、人才培养等方面，关键信息基础设施安全、大数据安全、个人信息保护，以及人工智能、物联网、下一代通信网络等新技术新应用安全防护等内容，进行了交流研讨──拟态防御：解决网络安全隐患之道中国工程院院士邬江兴新一代信息基础设施给我们带来新服务的同时，也带来了新的网络安全困扰。如何应对这类新型安全问题？中国工程院院士邬江兴介绍了一种“拟态防御”技术。邬江兴说，未来30年里，基于云端计算存储的服务将会深刻改变教育、医疗等各个行业，“但用户敢不敢把数据放到云里去，放在数据中心？敢不敢把鸡蛋都放在一个篮子里？”“在享受新技术服务的时候，我们头上还悬着一把‘达摩克利斯之剑’。”他说，“云平台和数据中心的物理边界消失，软硬件的一体化以及内外部的模糊化，还有资源共享的特殊问题，都会带来网络安全隐患。”事实上，尽管云平台“出生”并不久，但是云平台的安全事件屡屡发生，几乎全世界主流云服务提供商无一幸免。网络空间安全最大的威胁是什么？邬江兴院士称之为不确定威胁。不确定威胁原因是什么？他认为是基于未知漏洞、未知后门、未知攻击，学术界称之为未知的未知安全威胁。各种不确定安全威胁造成数据的失窃、毁损、不可用以及服务不可信问题。新一代信息基础设施的应用架构使得数据安全问题更加凸显。解决之道在哪里？邬江兴院士介绍了其团队提出的基于内生安全功能的拟态防御，其特点是“将未知的未知转换为可控概率的问题，将不确定安全威胁转变为经典可靠性理论与技术可以管控的问题”。他介绍，拟态构造系列设备试点应用，现在已经投入使用了。“在明年一季度将推出拟态云平台和数据以及工业控制互联网，这是现在部署在河南联通和景安网络中的实际产品，这些产品通过城市化部署，将为自主可控、安全可信提供中国智慧和解决方案。”网络安全本科专业全国布点233个教育部发展规划司司长刘昌亚网络安全学科建设与人才培养情况如何？教育部发展规划司司长刘昌亚介绍，目前，已经建设与网络安全直接相关的本科专业有5个专业，分别是网络空间安全、信息安全、信息对抗技术、保密技术、网络安全与执法，全国布点233个。其中，网络空间安全本科招生增长率最为突出。研究生方面，“网络空间安全”一级学科于2015年正式增设。信息与通信工程、计算机科学与技术、软件工程等一级学科，电子信息专业学位领域也与网络信息安全具有相关性。同时加快实施一流网络安全学院建设示范项目。2017年8月印发的《一流网络安全学院建设示范项目管理办法》，决定在2017年至2027年实施一流网络安全学院建设项目。截至2019年5月，42所高校成立了专门的网络空间安全学院或网络空间安全研究院。在网络安全领域新工科建设方面，刘昌亚表示，2017年，教育部启动新工科建设，探索建立人才培养的新理念、新结构、新模式、新质量、新体系。深化网络安全领域产学合作协同育人；加强对网络安全领域人才培养的指导；加大网络安全领域教学资源建设；支持举办大学生信息安全大赛。刘昌亚也指出了网络安全人才培养存在的主要问题：生产环境约束，理论实践脱钩；校企合作不足，复合人才缺乏。如何解决这些问题，他建议下一步要深化产教融合，培养特色复合人才；打破专业壁垒，构建任务驱动复合人才培养模式。密码研究和应用的结合还需加强中国科学院院士郑建华网络安全新形势下密码研究要关注哪几个问题？中国科学院院士郑建华发表了自己的看法。他认为网络安全的新形势有三个特点：网络攻防水平水涨船高；攻防从信息的攻防到设备设施的攻防，随着智能驾驶、智能交通、智能家居等人工智能的应用，可能最后会直接影响到人；新技术发展，特别是以信息技术为牵引的新技术，像云计算、大数据、人工智能、区块链技术的快速发展，对网络安全提出了一些新问题。郑建华认为，如果网络安全问题能解决好，很大程度上就能够解决信息安全的问题。信息安全的基本属性是保密性、完整性、可用性、可控性、不可抵赖性。信息安全要解决什么样的问题？对信息的使用和处理要经过所有权人的授权，严格按照所有权的要求真实、顺畅、合理地进行，做到结果可追溯可认证。网络安全要解决什么问题？他归结了这样一句话，“网络上每一个可定义计算逻辑的结点，其计算逻辑完备、合理，并严格按照既定逻辑运行。”当前密码研究需要关注的问题包括：解决面向移动互联的密码技术，关注生物特征识别与经典密码的结合，量子计算对经典密码的挑战，面向大数据安全的密码系统。密码安全的原理是基于计算不可能，其他的网络安全技术原理靠的是增加攻击者的成本和代价。郑建华表示，“网络安全防护中要有意识地运用密码的原理和技术，充分发挥它在网络安全中的作用。”“我们现在的密码研究和应用在结合上还需要进一步加强，应该充分发挥密码在网络安全防御中的作用。”他总结道。推进网络安全学科建设与人才培养华中科技大学党委书记邵新宇“在武汉华中科技大学建立网络空间安全学院有很好的条件。”华中科技大学党委书记邵新宇说，国家网络安全人才与创新基地正式落户武汉，对高校来说是一个非常好的机遇。国内网络企业前50强中的三分之一已入驻，对于学科的发展、人才的培养、产业的生态环境都非常重要。华中科技大学坚持“一院两地，多方协同，开放共享，产学研用结合”的办学模式。首先体制建设上强调学院独立运行。依托以“四颗明珠”为基础的国家级重大科研平台，经过计算机、机械、电气、光学等相关优势学科的交叉发展，形成了系统安全、应用安全、网络安全、密码学及应用等4个特色方向。在网安人才培养方面，“通过个性化、国际化、系统化、多层次的人才培养，打造本硕博贯通、产学研用结合的立体式人才培养体系。”邵新宇介绍说，目前有支撑网络空间安全教学的国家级基地与实验教学平台8个，省部级平台5个。同时，强化校企合作，共建联合实验室，促进技术落地，构筑一流网络安全产学研用生态链。“近三年来承担10项国家级重点和专项网络安全研究项目。以服务国家网络安全战略要求，产业创新科研成果为核心任务，旨在解决国家网络空间安全面临的重大挑战。”他说。邵新宇对华中科技大学网络空间安全学院的未来充满信心，到2021年要形成初具规模的一流网络安全师资队伍，包括人才培养要初见成效，体系建设完整；2027年要和其他学校一起建立具有中国特色的、具有良好国际声誉的网络安全基地，达到国际一流水平。网络安全要向人体免疫系统学习中国工程院院士于全随着网络技术的不断发展，各种新的安全挑战也在不断升级，应该如何有效应对？中国工程院院士于全说，人类就有一个自带的内生免疫安全系统。破解网络安全难题，可以向我们人类这样经过亿万年进化而来的复杂生物系统学习。于全介绍，免疫系统发挥作用分为四个阶段，分别是免疫识别、免疫预警、免疫应答和免疫调节。免疫系统通过识别危险信号，触发及控制免疫反应，有效启动、及时终止，适度调节才能完成使命。复杂生物对抗病毒的策略，一是靠经常在带菌环境中激活调动免疫系统产生抗体，进行自适应学习、响应、调控，二是靠生物群体多样性协同进化，形成天然固有性免疫能力。据此，可以将生物个体类比为网络节点，将生物群体类比为网络空间，构建类免疫动态网络安全架构，通过群体协作和对抗学习来构建网络安全防御机制。在群体协作方面，通过网络协同感知响应，大量异构网络节点高效协作，实现协同感知、协同评估、协同预警，靠全局协作形成整体响应优势，靠全局态势实现共享带来预见性和适变性。在对抗学习方面，引入网络疫苗智能培育的思想，采用云虚拟机和网络切片来构建一个逼真的“平行对抗网络”，靠海量数据和超算能力形成网络空间对抗优势。于全认为，生物免疫系统与网络安全系统一样，对付未知病毒或内部变异分子的攻击是非常困难的，达到所谓的“绝对安全”状态，追求“绝对”安全的结果必然是“绝对”的不可用。科学的网络安全观，目标应该是可用性与安全性的平衡，实现安全风险的可预测、可评估、可隔离、可控制。“网络安全”要向“网络免疫”转变卡巴斯基实验室CEO尤金·卡巴斯基“每一天我们都收集到大概38万个前所未有的恶意软件，而20年前每天只有50个新的病毒，10年前大概有14500个新的病毒。这背后有数以万计的犯罪分子。”卡巴斯基实验室CEO尤金·卡巴斯基说，新的网络攻击带来的破坏和损失越来越大，“网络安全”要向“网络免疫”转变。卡巴斯基介绍，该公司通过AI从网络上自动收集病毒信息，通过机器学习的手段来处理、清除这些病毒。有的恶意软件非常复杂，背后是专业化的骇客，他们攻击目标明确，都是针对有重要数据的企业、政府机构和军队，比如金融系统。对于这类攻击，不但要保护这些机构免受网络犯罪攻击，还需要找到这些攻击的源头，予以针对性的打击。有的恶意软件还会给物理设施造成损害，比如震网病毒曾经袭击过伊朗核设施和德国的钢铁厂。这些网络攻击造成的损失是前所未有的，这就要求“网络安全”向“网络免疫”转型。卡巴斯基说，我们不能完全基于传统的方法建立网络的免疫系统，必须要有一个新的网络免疫操作系统。比如说卡巴斯基就有一套新的系统，跟传统的系统架构完全不同。新系统是一个微内核架构，从设计之初就加入了安全的设计。每一个免疫板块都有自己的功能，比如说中央处理器、键盘、触摸板，都是相互独立，与其他板块分离的。“我认为这样的系统是无懈可击的，而且也不需要再安装防病毒的软件。我们已经在物联网、工业互联网上应用了。”卡巴斯基认为，新的网络空间不仅应该是安全的，还应当是有免疫功能的，希望未来的网络空间是不需要安装防病毒软件的。正在天津建立网络安全培训中心360集团董事长周鸿祎“最近两年工业互联网和产业互联网成为企业转型升级之道，带来巨大信息化红利的同时，工业互联网把物理空间、工业设施和虚拟空间打通了，所以过去所有在虚拟空间仅仅破坏文件的攻击都可以转成物理的伤害，当它能够攻击工业基础设施的时候，它的威力超越了其他的攻击技术。”360集团董事长周鸿祎说，网络安全已经进入到了大安全时代，关系到国家安全、国防安全、关键基础设施安全、社会安全、金融安全乃至于人身安全，需要新的方法论和作战思想。周鸿祎认为，360过去被人熟知是因为免费杀毒，但实际上10年来公司几千名安全专家一直在坚持做的一件事，就是追踪全世界的APT（高级持续性威胁）攻击和APT武器。应对APT，最大的难题是“看不见”。网络安全大数据，则是“能看见”的基础。最近10年里，360累计发现针对中国的境外APT组织超过40个。“我们专注干好一件事，通过建设网络的预警雷达，使得我们能够发现国与国之间的APT攻击。”他说，光靠一个360的网络安全大脑，还不足以解决APT的问题，今后要通过360网络安全大脑跟各界一起合作，共建分布式网络安全大脑、分享威胁情报和知识库、赋能客户、投资扶持初创安全企业，推动产业的加速发展，共建安全生态，同筑大安全。周鸿祎介绍，360正在天津建立网络安全培训中心，为天津政府和大型企事业单位培养安全运营人员。在这里建立的实战数字型靶场，将通过实网攻防提高政府和企业对网络攻击的应对能力。数据治理的前提是数据产权界定中国电子信息产业发展研究院院长卢山结合个人隐私保护、数据安全和合规、网络平台安全、公共网络安全、物联网安全、5G电信网IP化等方面的情况，中国电子信息产业发展研究院院长卢山介绍了技术发展带来的安全隐忧。中国电子信息产业发展研究院研究显示，无论是政府部门的服务，还是教育、医疗等细分行业的服务，网民在接受网络服务的时候，最大的担心还是个人隐私。“个人隐私问题之所以没有引起足够重视并予以解决，是因为对其定义还没有一个共识。如果说个人隐私定义不清的话，数据的安全和合规问题背后，实际上是对于数据产权的界定尚不明确。”卢山说，在国家层面数据有主权，对于企业和个人层面，需要界定清楚数据的所有权、使用权、收益权，这是整个数据治理的一个前提基础。此外，现在几大网络平台占据的数据所发挥的作用越来越大，但是网络平台本身是否让大家觉得安全可靠，这本身是一个需要关注的问题。“这次在调查当中，55％的网民反映对于这些网络平台的担心，尤其对越大的网络平台越是担心。”在谈到公共网络安全时，卢山特别提醒工业控制领域与互联网“接轨”的风险。因为传统的工业控制基本上是离线设置的，计算能力有限，而且是明文传输，纠错风险高。物联网方面，每接入一个接点，安全风险系数将会成指数增加。人工智能方面，技术上的不确定性会带来一些风险。当机器有了自主意识，那么传统的安全理论也会受到本质的挑战……最后，卢山概括说，应该将技术、伦理和法律法规等结合在一起，形成一种辩证的网络安全观。核心技术是网络安全重要保障中科曙光总裁历军“核心技术是网络信息安全重要保障，我们要注重自主研发，不能让核心技术受制于人。”中科曙光总裁历军抛出的观点掷地有声。历军说，网络安全是一个复杂的生态系统，不是仅仅依靠防火墙、各种软件就能改善保障的，首先是“内部”要没有漏洞。“表面漏洞可以通过多种手段去检测、扫描，隐藏在芯片内部的‘硬件木马’或者‘后门’，我们无论如何是发现不了的，不到关键时刻，这些重大问题也不会暴露。”在他看来，网络安全关乎整个社会发展，智慧城市、智慧交通等都建立在数字化基础上，当联网的事物越来越多时，对于网络安全的诉求就越来越强烈。我们必须全力推进核心技术自主创新，建立自己的架构、自己的体系，从底层构建安全可靠的信息技术基础，这样才能掌握网络发展主动权。“如今，我们迎来了一个千载难逢的时机。今天的CPU芯片已经采用纳米工艺，摩尔定律随之放缓。我们要抓住这一重要的时间窗口，发展一些面向新兴产业的技术。”历军说，要通过人工智能技术，开启网络攻防“自动化时代”，研发一些技术“杀手锏”，“比如量子加密技术，到目前为止，量子加密通信技术是唯一高度安全的通信保密装置。一个量子计算机可以用8小时破解掉的，传统计算机可能要花80年。”历军表示，网络信息安全不是一个地区、一家企业的事，需要大家共同努力。要支持我们国家的自主技术、自主芯片、自主研发，共同推动核心技术发展。保障网络安全必须要有密码中国科学院院士王小云“在信息技术高速发展的今天，万物互联改变了世界也改变了人们的生活，加强网络安全保障刻不容缓，而密码技术是保障网络安全的一项关键技术。”作为密码学家，中国科学院院士王小云就钻研领域发表了自己的观点。王小云说，说到密码技术及其应用，最基本的就是密码算法，在运用的过程中就是以密码协议形式体现，例如我们不少网民见过的SSL协议、IPsec协议、无线局域网的（WLAN）安全协议、手机通信安全协议、电子邮件中S/MIME、PGP协议等。“其中，无线局域网的WEP协议已经被破解，改用AES算法的WPA2协议更加安全。手机GSM协议中的2G通信已经被破解。”王小云就工业控制领域安全问题和防护进行了解读。“工业控制系统控制工业设施自动化运行，包含了四大板块，分别是数据采集与监控系统、分布式控制系统、可编程逻辑控制器和安全更新维护。”王小云说，如果这些系统受到攻击、出现问题，会产生供水中断、电力中断等严重问题。王小云说，我们要通过一个系统设计，架构出一个比较完备的防护系统，比如既有基于密码技术的认证体系，又有基于密码技术的终端防护，设计一些密码模块，给不同类型的传感器配备不同的密码芯片。“密码学总的来讲是一个大交叉的领域，是一个融合的学科。数据和信息科技计算是一个无底洞。我们需要高水平的交叉型人才，将学科与各个领域相融合，为我们互联网等数字经济的高质量发展保驾护航。”王小云说。监督好APP保护网民信息安全APP专项治理工作组副组长洪延青“截至9月12日，我们共收到举报信息8992条，这还是经过核实、初步验证后觉得存在问题的举报量，网民监督已经成为保障网络安全的一个重要组成部分。”在主旨演讲中，APP专项治理工作组副组长洪延青首先跟大家分享了这样一个惊人的数字。洪延青介绍说，工作组首先选取近600款与百姓生活密切相关的APP，将其纳入评估监测范畴，基本实现了对网民日常信息安全的保护。同时，建立实时处置和事前预防机制，和APP建立密切联系，达到了“治未病”的效果。“通过摸索，我们提出五个自动化监测指标，以更好地分析监测结果。”洪延青说，第一个指标是“权限”，动态静态双权限共同保护；第二个指标是“收集个人信息的频率”，包括读取手机唯一不可变更的设备识别码、读取手机号频率，读取已经安装应用列表程序、读取地理位置的频率，读取通讯录的频率；第三个指标是“跟个人信息没有特别紧密的关系，但可以侧面体现个人信息违法违规的情况”，比如APP后台运行时上行的流量；第四个指标是“APP通讯的IP数量和IP地理位置”；第五个指标是“潜入第三方SDK数量”。洪延青表示，可能单说五个指标听起来比较复杂，但如果做成雷达图的话就比较好理解了，“如果某款APP面积越大，说明它的五个指标表象越多，就可能存在涉嫌违法违规个人信息安全相关的行为。”下一步，APP专项治理工作组将继续从标准规范、检测技术、评估范围以及扩大宣传教育入手，探索APP长效监督机制，更好保障网络安全，保护网民个人信息。

1、企业互联网网络平安保障方案为做好党的二十大和护网行动网络攻防演习等重要时 期网络平安保障工作，确保保障期间无重大网络平安责任事 件，圆满完成网络平安保障工作，提升网络平安事件应急及 处置能力，持续提升公司网络平安防护能力，根据集团公司 网络平安保障工作要求，结合公司实际，制定网络平安保障 方案。一、保障范围 包括公司所有信息系统、服务器、网络设备、办公计算机终端等。保障重点为关键信息基础设施、等保定级为二级 及以上的系统，包括公司对外发布的系统、门户网站等对外 提供服务的系统。二、保障原那么坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原 那么，机关各部门、各二级单位落实主体责任，各负其责、2、协 同做好保障工作。三、组织保障公司成立网络攻防演习防护指挥部，公司副总经理担任 指挥长，信息管理部主任任副指挥长，成员由信息管理部和 公司网络平安应急专家团队组成。防护指挥部办公室设在信息管理部，防护指挥部设置协 调组与应急响应组。四、防护措施 (-)办公计算机终端.安装桌面平安管理系统客户端，安装极限加固核查工具，严格按照平安基线配置。.安装系统补丁。.设置登录口令复杂度，满足基线要求。.启用防火墙，阻止任何入站访问请求。.关闭远程桌面访问，禁止安装使用远程控制软件。.禁止计算机终端通过自建互联网出口连接互联网。.不访问可疑网站，不翻开来历不明邮件，严防钓鱼邮 件。.不采用公共互联网通信软3、件发送工作内容及文档。.下班关闭计算机。.严格限制远程管理泛终端设备IP地址。（二）服务器.及时关闭或下线部署在集团公司DMZ区域的不再使 用的服务器资源。.严格按照平安极限配置服务器。.清理系统账号，杜绝所有账号弱口令、空口令、口令 复用情况。.最小化系统安装。.禁止使用QQ、TeamViewer,向日葵等软件对服务器 进行互联网穿透方式远程管理。.更新服务器最新补丁。.服务器开放提供服务的端口，关闭其他所有不必要的 端口和对外服务，建立白名单。.禁止采用反向代理。.禁止对互联网开放具备远程登录、远程控制能力的管理端口和数据库端口 （例如22、23、3389、5800、5900、1433、34、306、1521等），内网需要访问，应严格限制访问的IP地址。.防火墙默认禁止所有主动对外访问策略，实行服务器 对外访问白名单。.开启日志功能，日志应在本地记录同时转发至日志服 务器，所有日志必须保至少六个月。.管理员每日检查服务器是否存在被入侵的痕迹。（三）网络设备.更新系统补丁.禁用Web管理页面。.严格按照平安基线配置。.开启日志记录功能。.检查平安策略，删除无用策略，保证平安防护策略处于使用状态。.做好配置备份，确认备份有效可以恢复。）工控系统.梳理工控系统在线资产，明确在线工控系统资产、责任人、属地、漏洞。.明确工控网络平安连接边界。连接点处应部署工业防火墙、网闸等网络隔离设备，禁止5、没有采取防护措施的工控 网络与内网连接，禁止工控网络与互联网直接连接。.加强网络流量控制。.关闭工控系统远程访问。.加强物理平安控制。禁止非授权人员进入生产区域， 特别是机房、服务器、操作站等核心工控系统软硬件所在区 域。.加强数据备份工作。五、风险清理.对历年攻防演习和集团公司关基检查中发现的平安问 题进行复验，并进行举一反三排查同类问题，重点在于解决 口令漏洞和老旧局危漏洞问题。.清除在内外部门户、微信公众号、网盘等互联网平台 上暴露的敏感信息，清除在互联网平台上存储的系统源代 码。.严查违规行为，及时发现及时处置，包括自建互联网 出口、采用反向代理等方式穿透DMZ区、自建VPN系统、 自6、建邮件系统等。.不翻开任何可疑邮件中的链接和附件，不通过邮件、 QQ、微信等任何互联网通讯工具发送讨论包含账号密码、 工作内容的敏感信息。六、突发事件应急响应预案(-)角色与职责防护指挥部：全面领导本次网络攻防演习工作，负责演 习期间重大网络平安突发事件处置决策，审核重大网络平安 事件上报。应急响应组：在应急响应工作中进行应急处置的专家人员，成员由信息管理部和公司网络平安应急专家团队组成。对监测到的平安事件进行综合研判，对平安事件进行分类、 分级，并提供处理建议。协调组：行动小组设置两名专职联络员通过企业微信与集团公司行动指挥部对接，及时处置演习过程中的突发情 况。（二）预警防御机制.事件分类及等级根据网络与信息平安突发事件的性质，机理和发生过 程，公司网络与信息平安事件分为有害程序事件，网络攻击 事件，信息破坏事件，信息内容平安事件，设备设施故障和 灾害性事件。根据网络与信息平安突发事件的可控性，严重程度和影响范围，分为四级：I级（特别重大网络与平安事件），II 级（重大网络与信息平安事件），III级（较大网络与信息平安 事件），IV级（一般网络与信息平安事件）。.监控与预警信息报送发现网络与信息平安预警信息，应及时通知应急响应组，经研判后提出预警等级建议，遇到可能造成严重后果的I至川级信息平安预警事件，应按照公司相关规定提报领导 小组审查后发出预警。.预