【IT168 资讯】2015年7月1日,第三届中国网络安全大会(NSC2015)在北京国家会议中心举行。此次大会是在国家计算机病毒应急处理中心指导下，由赛可达实验室、中国国际技术转移中心和首都创新大联盟联合主办。大会邀请到几十位演讲嘉宾，将就云安全、电商和虚拟化等领域热门议题进行现场分享探讨。

　　在上午的主题峰会上，大会邀请到政府主管部门代表、网络信息安全企业高管、行业学者专家和信息安全产业投资专家等，阐述国家推进网络安全产业发展政策，解析网络安全业施行的方略，解读最新网络安全依法治理要素，从政府社会、产业部门、学术教育、技术研发等层面对网络安全进行深度解读。

　　倪光南：网络安全测评认证探讨

　　倪光南院士从政府政策的角度，阐释为保障网络信息安全而推出的计算机系统等级保护制度的重要性。他指出，实行信息安全等级保护是客观需求，也符合信息安全发展规律，为保障网络信息安全应加强并完善等级保护工作。

　　等保制度要求对信息安全分等级、按标准进行建设、管理和监督，因此，在信息化建设中，从方案设计、采购选型开始，就应在等保制度指导下进行。所以应当要求重要信息系统建设优先采购通过高级别的分级测评认证的安全产品，对包含信息关键核心技术和设备的安全产品实行强制认证，同时要求政府和重要信息系统建设优先采购通过3C认证的产品。

　　倪光南认为：“信息产品的分级测评认证标准应予以发展，以适应新一代信息技术要求。”我国把信息安全产品的测评认证分为7个级，并分别对应CC评估标准的7个级别(EAL1-EAL7)。这取决于实际产品，实际产品不同，可能达到的较高级别有所不同，例如IC卡、SIM卡等最高可达到EAL5，服务器操作系统最高可达到EAL4。但目前针对具体技术产品的分级测评标准不多，内容也不够充实，对于信息领域新业态如云计算、大数据、物联网等还缺乏相应的标准。

　　网信办主持制定的网络安全审查制度表明，需建立相应的规章制度才能满足信息化建设 “自主可控安全可信”的要求，倪光南则建议出台自主可控的评估标准。他列举了三条理由：一是产品和服务等自主可控，基本上可保证不存在恶意后门并能不断地对其进行改进或修补漏洞;二是自主可控基本上独立于使用场景和生命周期，是可根据各种数据资料一次性地加以评估的;三是自主可控可以成为重大项目立项或对产品服务进行选型采购的一项指标。

　　而自主可控有五方面的评估标准：

　　·知识产权(包括标准)自主可控

　　·技术能力自主可控

　　· 发展自主可控

　　· 供应链自主可控

　　· “国产”资质自主可控

　　马斌：重塑产业链免疫系统

　　腾讯副总裁马斌从宏观的角度，结合当下“互联网+”时代背景，阐述企业产业链的安全问题及防护措施。

　　马斌认为，当前互联网+的三大安全挑战，一是互联网发展速度太快，民众普遍缺乏安全意识;二是移动支付及WIFI等入口缺乏统一安全技术规范;三是安全数据及技术割裂，产业链合作的基础薄弱。与此同时，信息诈骗已成为社会顽疾，数据安全威胁形势日趋严峻，为此要重塑产业链免疫系统。

　　·平台化

　　·系统化

　　腾讯与CFCA推出移动金融安全研究联合实验室，携手ANVA白名单APP推可信认证标准，与公安部合作成立天下无贼反信息诈骗联盟，推出移动支付安全联合守护计划。

　　·高度化

　　腾讯成立了各种安全实验室，包括移动安全实验室、漏洞安全实验室、反病毒实验室、攻防实验室。

　　·制度化

　　建立行业自律及监管制度，包括恶性竞争处罚加码及建立行业裁判员退出机制。

　　陈钟：网络安全教育与人才培养战略

　　北京大学计算机系主任陈钟从教育领域解读当今网络安全人才需求急剧上升的背景下，高校为安全教育和人才培养做出了何种布局。

　　陈钟认为，从宏观上来讲，信息经济发展需要开放合作竞争;中观层面要借鉴美国国家战略和NICE经验;微观上讲要提升高等人才培养的质量。

　　教育的本质在于创新+创造，首先我们要培养具有全球竞争力的安全专业队伍;其次针对网络空间安全建立多维度、新思路、广应用的研发项目;再者要设立网络空间安全教育相关奖学金;接着要依托高校设立安全专家职业培训体系;还要建立有效的评估体系;最后要创造信息安全相关新兴交叉学科专业发展空间。

　　陈钟鼓励全社会信息安全企业关心教育、“众筹”教育，从大学生实习做起，形成全社会重视和尊重人才的氛围。

　　姜向前：移动支付安全解决方案

　　百度首席移动安全专家姜向前对移动支付安全提供了解决方案。他指出现阶段支付类应用在不同程度上存在着安全问题，体现在拒绝服务、远程代码执行、权限/能力泄露、信息泄露和中间人(MitM)这些层面，并列举了支付宝大盗和微信大盗等例子。不仅如此，风险WIFI、诈骗短信和DNS被劫持等安全问题也在困扰着一大部分用户，Android系统已发布以来已经发现多大27处安全漏洞，用户的移动手机也存在着安全隐患。

　　怎么去进行防护?

　　· 增强安全意识：安全宣讲、安全播报、关注热点安全事件、制定安全技术规范

　　· 提高代码安全等级：设立安全技术专员;普及基础安全技术知识;及时更新安全漏洞目录;加强代码自查

　　· 对移动应用进行安全审计：静态防护能力;动态防护能力;安全漏洞;本地数据存储安全;数据传输过程安全

　　· 对移动应用进行保护：防反编;防注入;防调试;防篡改;内存数据保护;本地数据保护

　　· 持续关注分险数据：不安全系统数据环境;不安全系统网络环境;模拟设备运行数据;盗版、篡改监测数据

　　百度移动安全提供的移动支付解决方案，覆盖移动应用生命周期的安全服务，应用安全审计系统更深入地应用审计洞察移动应用的每一个细节，基于大数据平台对每一个移动应用的动向进行监测，从而确保覆盖更广泛的数据服务，全面掌控安全环境。