第六届中国信息安全大会

主办单位:

主办单位：
中国电子信息产业发展研究院

承办单位：
中国计算机报社

指导单位：
国务院信息化工作办公室

公安部公共网络监察局
中国计算机学会计算机安全专业委员
国家计算机网络应急技术处理协调中心（CNCERT/CC）
中国互联网协会
中国PKI论坛
中国信息安全产品测评认证中心

协办网站：
赛迪网(www.ccidnet.com)

拟邀领导和专家：

（排名不分先后）

吕诚昭 国务院信息化工作办公室司长

沈昌祥 中国工程院院士

贾颖禾 国务院信息化办公室网络与信息安全组专家

缪道期 中国计算机学会计算机安全专业委员会副主任、公安部十一局原总工程师

吴亚非 国家信息中心信息安全研究与服务中心常务副主任、中国PKI论坛秘书长

杜跃进 国家计算机网络应急技术处理协调中心主任（CNCERT/CC）副总工程师

李欲晓 中国互联网协会秘书处处长

冯登国 国家信息安全重点实验室主任

李晴昊 BSI英国标准协会中国区运营总监

赛迪顾问安全专家等

大会特色

★ 搭建互动平台，激荡高峰智慧
—— 政府官员、公安部、应急中心等指导型权威专家、世界知名标准组织的安全管理专家、知名咨询顾问公司的咨询专家、行业企业用户、信息安全厂商、网络与系统厂商等精英汇聚北京，激扬智慧，共同把脉信息安全在中国的发展，探讨信息安全对中国信息化产生的深远影响。
★ 关注应用案例，交流成功经验
—— 倾听行业专家讲述全程安全与应急服务的应用经验和案例，与专家与主流安全厂商就公司信息安全评估、服务与管理的关系、实施方法、最佳实践进行思想碰撞与经验交流。
★ 剖析专家视角，洞悉治理真谛
—— 从专家角度把脉全程安全的思想和方法，以及安全服务与管理的应用现状，提出信息安全中的热点和难点问题，推荐解决问题的策略和解决方案，为企业高层管理人士提供信息安全的策略参考和实务指南，导正信息安全发展与应用的方向。

联系方式

联系人：张庭赵建波王莹
电话：010-88558420 88558403
传真：010-88558630 88558600
Email： wangying@mei.ceic.gov.cn

会议合作事宜联系人：
信息产业部中国电子信息产业发展研究院
第六届中国信息安全大会组委会
舒欣颖
热线： 010-88559804，010-88559831
传真： 88559800
电子邮箱：ciw_xy@ciw.com.cn
邮寄地址：
北京市海淀区紫竹院路66号
赛迪大厦18层中国计算机报
邮编：100044

会议报名事宜联系人：
王莹010-88558403
张庭010-88558420
赵建波010-88558606
传真： 010-88558600/88558630/88558411
电子邮件：
wangying@mei.ceic.gov.cn
zhangting@mei.ceic.gov.cn zhaojb@ccidcall.com

报名链接

地址：北京海淀区紫竹院路66号赛迪大厦四层
邮编：100044

主题演讲

中国工程院院士

何德全

何德全：
刚才一听吓了我一跳，应该说中国网络安全的先行者是我们缪道期先生，老缪是我们国家一开始在计算机安全和网络安全做了大量的工作，所以我不敢当，叫我讲什么，实际上刚才吕司长已经都说了，我讲一点，我们现在确实很忙，我们现在考虑一个什么问题呢？就是为国家制定，就是能够在一个难得的一个战略机遇期，2005年，在这么一段时间里，中国特色信息安全战略究竟应该是什么，中国的信息安全的成效机制应该是什么，我看这是我们现在想的一个问题，但今天我想换一种讲法，我建议大家提一个建议，就是建议大家重视一下，今天是星期五了，就是上个星期五，4月14，4月初，就是美国的信息化总统信息化咨询委，就像我们现在这个信息化咨询委一样的，给布什提供的一个报告，这个报告提供叫（英文）怎么翻译，应该翻译成信息安全，这个底下这句话不太好翻，我看就翻译成急中之急，就是现在是一个非常关键的时刻，我想用，也就是到了一个紧要关头，我想是不是这样翻译，大体上能够把这个（英文）这个意思大体上能够表达出来，大家知道了，这个报告是上个星期正式公布，已经提交给布什了，那么这个报告实际上对于2003年美国的信息安全战略，这个大家都很熟悉，很多同志都做过介绍，有一些不同的看法，有一些不同的见解，大家知道了，原来这个战略大家知道，是（克拉克）写的，后来（克拉克）被炒鱿鱼了，大家知道给布什炒了，那个时候他是国家信息安全的顾问，所以古今中外带末能外，这个头被炒了以后，就会有一些新的见解，新的思路，新的问题，所以上个星期五，一个星期以前刚刚公布，实际前2个月已经提交给布什这个报告，我建议大家重视一下，看一看这个报告。
那么这个报告我简单地把这个报告的内容简单地跟同志们介绍一下，因为时间比较少，可能有些同志还没有完全看到，大概这么几个部分，一个部分主要讲这个问题，就是问题的严重性和形式的严峻性，看来在这个报告里面，我第一次感到，至少这个咨询委就总统信息化咨询委把信息安全问题提高到了一个对美国来讲，也是从未有的高度，所以它叫（英文）提高这么一个高度来认识这个问题，它有很多案例，有些是我们知道的，有一些是我们不知道的，比如说美国的信息安全在对于美国的基础网络，基础设施的破坏性，和隐藏的危险性，实际上比我们想像得要大。我们过去知道一些例子，但是有些例子我们不知道，比如对美国水的污染的问题，对于密西西比河监控的问题，也包括像美加大挺的问题，和信息安全的联系在哪里，这些我们都不得而知的，这些报告提出一个看法，现在看来情况不是越来越好，而是情况越来越糟，这个问题，这篇报告里面有一些阐述，我想用我自己的语言，用我自己的体会讲一讲，借用经济领域剪刀差的问题，大家知道经济学里面，苏联的经济和中国的计划经济问题，剪刀差问题很突出，工农业的剪刀差，两个越来越远，不是越来越近，我想至少有四个剪刀差，现在是存在的，第一个剪刀差就是攻击手段的高科技性越来越强，直往上走，攻击者所需要的知识并不一定增长很快，这是一个剪刀差，第二个攻击的成本越来越低，但是防御攻击的成本是越来越高，它并没有降低的趋势，第三个就是攻击者所需要的漏洞信息，传播速度是越来越快，特别是在攻击者这样一个社区里，传播速度极快，可能是一两G，但是我们漏洞的这种传播的，或者共享的这个速度，却是提高得相当慢，所以这个剪刀差又存在了。
总的说来，就攻击能力是快速的增长，而防御能力增长是比较慢的。因此这个报告就提出一个问题，那么我们怎么办呢？现在的这些办法是不是长久之计，有没有什么办法，从根本上把这个剪刀差越来越大，越来越宽地这样一个剪刀差，把它缩小，如果不是，把它消灭的话，我觉得这个报告提出这样一个问题，而这样一个问题，看来这个报告提出来，就是看待我们现在需要一个崭新的机制，和一个崭新的思路，这是这个报告里面一个重要的结论，首先这个崭新的机制，我觉得比较明确地讲清楚了，看来在信息安全包括产业包括市场，以及信息安全整个的这样一个事业来讲，安全用市场机制看来不行，因为大家都很清楚，安全的利润的回报是靠度量这个不发生事情所造成的损失来衡量的，但是你安全又不让它发生，因此它就很难用经常的市场机制来衡量，另外我们需要一个崭新的思路，原来的思路看来基于过去这样一个软件工程的办法，和基于过去的这个协议的这样一个安全深度来讲，看来满足不了信息安全的根本性问题，所以要从根本上从基础上，从核心技术上来解决信息安全问题，那就需要有一个新的思路，需要一个新的做法。
那么在这个报告里面，实际上提出4条建议，如果我没有记错的话，第一个大大加强信息安全科研的投入，第二个要大大加强信息安全队伍的建设，据这份报告估计，在美国既有实践经验，又有比较深厚理论基础的信息安全专家不超过250名，整个美国，不超过250名，我看今天在座可能也有一百名，因此要求在2010年以后翻一番，说的是这一部分人，就是有丰富的实践经验，又有深厚的理论基础的信息安全专家，要求把这个队伍增加一倍，这是第二个。第三个就是从对现在的安全创新进行再思考，也就是说信息安全的成果转化成为防御能力的，这样究竟应该怎么把科研成果变产业化，而且寻求真正实际的能力，这个问题需要再思考，所以这些问题我觉得都说明了一些很重要的一些问题。第四个问题就提出来看来需要把现在信息安全从科研到产业的这样一种结构性的弱点，加以克服，如果不克服这种结构性的弱点，也就是说没有一种协作的，没有一种合作的，没有一种协同的一种机制，这样一种结构性的机制，看来很难把信息安全事业推向前进。所以这是一个咨询委，向布什提出的4条建议。
另外还提出来，就是10个优先的领域，所以提出来10个优先的领域，大体是这样的，第一个就是要研究认证的方法论的问题，也就是我们面向一个什么呢？面向一个和社会和人紧吻合的一个非常庞大的这样一个巨细，这样一个系统，怎么能够开发出真正为大家乐用的，有实际效果的一个认证的方法论，这是第一个问题。
第二个问题就是看来我们要从根来研究，安全的基础协议，现在这个协议看来，后加了，它并不是很安全，因此需要有一个安全的基础性协议，包括现在我们正在发展的（英文）和无线等等这些协议，如果不从根上把这个协议弄好，你要费很大的成本，可是只能解决一时的安全所需。
第三个就要重新思考新的安全软件工程，这个大家都很清楚，我不多讲了，就是现在的软件工程，实际上把安全做成一个附加的甚至于是累赘的这样一种思路，必须从根本上改变，而是要基于安全的这样一个安全网络工程，这是第三点。
第四个就是从整体上解决安全问题，因为这个网络太大了，要求所有的信息都安全，都可信，实际上是做不到的，就像一个社会一样，要求没有一个坏人，实际上是做不到的，因此上从整体上解决安全问题是什么意思呢？即使你的部件是安全的，你不等于你的整体就是安全的，反过来说，你的部件既是有一些不安全，那么它整体上还是安全的。大家知道，这个问题最早提出来，不是外国人，而是中国人，就是钱学森同志，在它的工程控制论这本书，就是把在40年代写的一本书，提出来这样一个观点，就是能够用一些不十分可靠的部件搭建可靠的系统，我们两弹一星就是这样制造出来，我们当时制造条件相当差，但是毕竟我们卫星上天了，毕竟我们原子弹爆炸了，并没有发生安全事故，这也是这次报告提出来，整体上来考虑安全问题。
第五个问题大家都很熟悉，要研究实时有效的监控体系，然后还要解决一个什么问题，一个新的减灾和灾变新的结构体系，如果按照现在这一套做法，实际上能不能真正减灾，能不能真正背了灾，还是一个问题。
第六个要从根本上，提高计算机犯罪的发现和控制，我说的是从根本上，不是一个一个具体的结束。
那么第七个就是要有一套，确实是可信的，而且是可操作的一个模拟环境，和实验台，如果没有这样一个真正的一个完整的这样一个问题，恐怕解决不了安全产品的这种可靠性的问题，可可信性的问题。
第八个就是怎么面向一个通用的这样一个安全的基准和安全的度量问题，大家知道我们实际上在科学技术里面，有一整个的东西，但是在信息安全没有一个通用的大家公用的标准，这样如果我们在这个基础上的测评，我讲句不客气的话，这个测评实际上走过程，这是第八个问题。
第九个问题就是这个报告提出来，要解决安全的社会治理问题，他们意识到完全靠技术不可能解决，而必须有社会治理的概念，大概这个报告就提出这10个方面，因为这个报告刚刚出来，我也没仔细看，今天我也没有一字一字核对，我只是把这10点跟同志核对一下，建议大家重视这个报告，我只说重视，没有说（佛楼）这个报告，总之大家参考一下，看人家怎么想的，对于建设我们具有中国特色的信息安全的战略我觉得是会有好处的，我的话完了，谢谢大家。