首页 >> OWASP 2010 >> 会议直播 >> 正文
 
图文:公安部网络安全保卫局处长 郭启全
http://www.cww.net.cn   2010年10月22日 09:49    通信世界网    

通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。

通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。

图为 公安部网络安全保卫局处长 郭启全

演讲实录:

郭启全:尊敬的各位来宾,各位先生,各位女士们,大家早上好!很高兴来参加这次OWASP中国峰会。在座有许多老朋友,当然还有许多新朋友,感谢主办方举办这样一个峰会,对于信息安全工作,特别是信息安全技术进行研究研讨,这是一个很好的事情。我的演讲题目有点复杂,但是最终目的是要推动我们国家的等级保护工作,维护国家的信息安全。我从四个方面给大家介绍一下。

近年来我们国家信息安全等级保护工作的情况及取得的成效。第一,公安部会同有关部门在相关部门大力支持下出台了一些等级保护工作的政策和保护标准。第二,组织了国家机关的等级保护安全建设整改的培训,这为我们国家各单位各部门开展信息安全工作起到很好的指导作用。第三,我们成立等级保护安全建设指导专家委员会,指导各单位各部门开展信息安全工作,开展等级保护工作。这个专家委在一年多来充分发挥作用,为我们重要行业部门开展安全建设整改工作提供有力支持。第四,我们和国家电网、国土资源部等部门,现在正在大力推广相关部门的经验。第五,召开了全国公安机关网安部门等级保护工作培训会。

应该说通过近年来各方的努力,特别是在有关行业部门信息安全企业和专家的大力支持,国家的等级保护工作取得了重要成效。一是出台了一系列等级保护工作配套的政策和标准,构建完成了国家等级保护政策的体系和标准体系,为全国开展等级保护工作提供了政策标准和保障。二是组织大规模的信息系统定级备案工作,明确了保护重点,会议主题要保护我们的应用安全。实际对于这些信息系统,一是要保护网络和系统自身的安全,它的应用安全,实际也就是它的业务安全,它为全社会提供服务、提供支撑的安全是一体的,密不可分的。三是各单位各部门按照公安部的工作部署和要求,全面开展了安全建设整改和等级测评工作,开展以等级保护为核心的安全防范工作,查找安全系统存在的安全问题。特别是我们一些重要行业部门,在新建网络和重要系统的时候,已经按照国家的信息安全等级保护制度要求,从管理、从技术两个方面对于重要系统进行安全建设的方案设计。有效提高了国家基础网络和重要信息系统的安全保护能力。所以等级保护工作,在座有政府行业部门的,有企业、有专家,等级保护工作离不开各个行业和专家的支持,大家都是这项工作的参与者和实施者。等级保护工作为信息安全企业提供一次难得的发展机遇和发展平台,也为我们的产业发展提供了一次难得机遇。

说到网络安全,现在不法分子对我们的网络的威胁越来越严重,对次我们要做好网络安全保护工作,网络安全防御工作,在此我提出我个人的观点和意见。一是要深入开展等级保护工作,提高我们网络主动防御的能力。就是只有把我们的等级保护工作深入开展下去,提高我们主动防御的能力,这样才能真正提高我们的安全防护能力。二是要加强应急软件,提高我们的网络应急组织能力,三是要加强我们的信息通道机制,提高我们的通道共享能力。三是建立各方参与机制,有效发挥各方力量。四是提高我们的应急处置能力。这样几个能力是今后我们政府主导、各方参与、技术研究、产品研发的努力方向。

谈到国家等级保护政策和标准,近几年,应该说近十年公安部根据国务院的授权会同有关部门,出台一系列国家有关等级保护政策,这些等级保护政策是我们国家信息安全保障信息安全的主要政策。这些政策都是公开的,大家可以从网站上查到,从我们的宣传材料上拿到。现在我们国家等级保护政策已经构成比较完备的政策体系,无论是64号文还是43号文,它们的出台为各单位各部门开展等级保护提供了相关的政策文件,为我们全国开展等级保护提供了政策保障。

这几年公安部在信息安全企业以及专家大力支持下,我们国家形成比较完备的等级保护的标准体系,这个标准体系为各单位各部门开展等级保护工作,特别是我们的信息安全建设整改工作提供了标准保障。这些标准引导我们企业搞信息安全技术的研究,为我们国家信息安全技术发展提供了指引。根据相关等级保护标准,当前各单位各部门开展等级保护安全建设整改工作,围绕我们国家的基础网络和重要先进系统安全保护出台的有关定级、测评、安全设计、和保护的相关标准,在这个图当中有所体现。这些材料大家从网上可以拿到,这些标准支撑了我们国家等级保护安全建设整改工作。

由于大规模的系统定级工作基本完成,我们国家的网络和系统的家底我们基本摸清,明确了我们应该保护的重点对象,既然重点对象已经清楚了,我们下一步主要工作是要利用三年时间,对我们已经定级的信息系统开展安全建设整改工作。有几个关键词,什么叫安全建设整改工作?就是要建设安全设施,落实安全措施,落实安全责任,落实安全管理制度。使我们国家基础网络先进系统管理能力提高,防患能力提高,隐患和事故减少,有效维护我们国家信息化健康发展,维护国家安全社会秩序和公共利益,这就是我们搞等级保护的主要目标,也是我们今后三年各单位各部门按照这个目标去努力。

这有一个图,这个图是我们国家信息系统安全等级保护基本要求,这是个国家标准,这个国家标准指导我们各单位各部门这几年,从管理和技术两个方面,各有5大方面重点,加起来有150多个点,这几年各单位各部门按照我们的基本要求开展安全技术建设和安全措施建设。二级以上的系统要纳入我们的整改范围,我们搞这个安全建设整改主要的思路,是在我们原有的保护技术、保护设施的基础之上,按照国家标准查找安全问题,查找安全隐患,查找安全的差距,查找与国家标准的差距,然后制定安全建设整改方案,缺什么补什么。在此,为了指导各单位各部门开展下一步工作,我们制定了相关的工作流程,可以分几步走,各单位各部门要制定规划进行总体部署,第二步是开展信息系统安全现状分析。第三步,确定安全保护策略,第四步,开展信息系统安全建设整改工作。

我们国家开展信息安全保护工作,包括今天的会议要研究我们的应用安全,研究我们相关信息安全的技术,研究产品,那么这个政府指导、政府引领、政府监督检查指导、在各部门和专家企业的共同努力下,我们最终的目标要使我们的重要信息系统达到相关的保护能力,对于我们的二级系统、三级系统、四级系统都提出了相关保护能力的要求。这些要求总的来讲就是无论里面怎么描述,概括起来讲就是通过搞等级保护,通过实施等级保护制度,这样一个强制的国家基本制度,咱们国家信息安全的国策,使我们的重要系统达到这样一个目标:第一,抵抗供给能力强了,身板硬朗了。第二,如果被供给,使它的损失降到最低,能迅速恢复。这是我们搞等级保护对于系统来讲核心的目标。

相关新闻
编 辑:石美君    联系电话:010-67110006-818
分享到新浪微博 分享到搜狐微博 分享到网易微博 分享到139说客 分享到校内人人网 分享到开心网 分享到QQ空间 分享到豆瓣 分享到QQ书签       收藏   打印  进入论坛   推荐给朋友
关键字搜索:OWASP  应用安全  
文章评论查看评论()
昵称:  验证码:
 
重要新闻
通信技术
企业黄页
会议活动