4月28日，由北京市公安局、中国电子信息产业发展研究院、公安部第一研究所联合主办的“首都网络安全论坛”在京举行。此次论坛是“4.29首都网络安全日”系列活动中的一项重要内容，以“网络安全就是国家安全”为主题，旨在提升全民网络安全意识，引导行业企业不断创新提高网络安全防护技术能力。《中国电子报》摘取该论坛精彩观点，以飨读者。

政府声音

      北京市公安局网安总队总队长叶漫青

      探讨首都网络安全模式

      今年是我国接入国际互联网20周年，也是中央网络安全和信息化领导小组的开篇之年。为深入贯彻落实中央建设网络强国的指示精神，4月14日，北京市政府正式设立了4.29首都网络安全日，面向社会各界和网民群众倡导“网络安全同甘，网络生活共享”。作为4.29系列宣传活动内容，首都网络安全论坛以网络关键基础设施安全为主题，以北京重要网络和系统的安全需求为中心，通过联合行业主管部门，整合专家机构和厂商等社会资源，旨在建立交流平台，交换观点思路，明确发展方向，形成最强合力，为信息安全系统出谋划策。

      随着互联网技术广泛运用和飞速发展，无论是关系国计民生的国家信息基础设施，还是事关国家安全的国防体系，都越来越依赖网络。北京作为首都，也是全国的科技创新中心，网络安全管理责任重大，任务艰巨。特别是公安机关承担本市的网络信息系统安全保卫、网络行业公开管理、提升首都网络安全综合能力的重要职责，这些都需要各级政府部门、各位专家学者、各个网络公司共同关注，共同参与，共同交流，一同研讨网络法治建设，互通网络安全需求，共享网络技术资源，更好地保卫北京市网络信息系统的设施安全。思路越来越清晰，观点越论越清，让我们携手并肩，畅所欲言，在交流互动中加深了解，促进共识。我们相信通过深入探讨和精彩论述，必将得到更多的交流，更好的学习，更深的思考和更新的收获，从更宽的视角和更高的层面推动网络安全工作。

     公安部网安局副局长赵林

     关键基础设施保护刻不容缓

    目前针对基础设施的网络攻击非常突出。窃取有价值的信息，干扰系统正常运转，或者说干扰一个部门的正常运转，无论是从政治上、经济上还是从安全上，都是有利可图的。不法分子和敌对国家政权，都会对此动心。无论是小打小闹，还是国家级的网络战，都以网络攻击的形式出现。这里面不容易判断攻击者是一个小孩还是一个庞大的情报组织，但一定要把情况设想到威胁里的最高级。

    切实落实好等级保护。无论是从国际还是国内，开展等级保护或者关键信息基础设施保护工作的套路基本上是一样的，比如可信计算安全设计标准，这是国际上正在形成的一个以可信计算为框架的保护要求。等级保护也有它的基本要求，这个基本要求是安全设计要求，是未来我们网络安全发展的一个方向。所以对关键信息基础设施保护、等级保护这样一些技术标准的研究，以及这些标准的落地，是各方面都需要努力去做的事情。

     北京市互联网信息办副主任夏日红

     将网络舆论引导到核心价值观上来

     习总书记强调没有网络安全就没有国家安全，没有信息化就没有现代化，做好网络安全和信息化工作要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。

     北京市网信办从以下几个方面入手加强网络安全工作：一是做好网上舆论工作，网上舆论工作是一项长期任务，要创新改进网上宣传，运用网络传统规律，弘扬主旋律，激发正能量，大力培育和践行社会主义核心价值观，把握好网上舆论导向，建设为民、文明、诚信、法治、安全、创新的网络空间，使网络空间清朗起来。二是依法治理网络社会，依法规范网络传播秩序，主动开展网络引导、舆论引导，严厉打击网络违法犯罪，使网络舆论环境明显改善，网络社会规范有序。三是抓好新应用安全，近年来具有新闻舆论和社会动员功能的网络新产品、新业务、新功能、新业态不断涌现，但是缺少保障应用安全的标准规范、管理制度和技术手段，致使很多应用隐藏着安全漏洞，大量传播有害信息，我们将加强相关新业务，安全规范和管理制度建设，确保装好刹车再上路。四是建设网络宣传阵地，围绕社会主义核心价值观，弘扬传统文化中国梦重大主题，加强网络宣传，把全社会的精气神凝聚到国家工作大局上来，开展成就宣传、典型宣传，凝聚实现中国梦的强大精神力量。

专家观点

     中国工程院院士沈昌祥

     发展自主操作系统是当务之急

     XP停止服务到今天已经20天了，对中国的信息安全产生严重影响。微软希望用户升级到Windows 8，但是如果升级到Windows 8，问题会更为严重。Windows 8跟可信计算严格绑定，所有的可信安全控制权全部由美国接管，改一个代码加一个软件都要经过微软的认定批准，这会产生两个严重问题，第一是我们国土安全权没有了，第二是我们产业的权力也没有了。

     怎么办呢？中国工程院向国家明确提出三步走，第一步是当务之急，通过对2亿台XP计算机的安全加固来提高自主防御能力，同时接管服务。有人说我们可以通过打补丁接管服务，这是不可能的，因为微软始终把这个牢牢抓在自己手上，我们国家任何行业都没有这个能力。因此必须换一个思路，用可信加固的办法提高自主免疫能力。这个做法只管两亿台计算机。

    近期目标是集中服务，进行安全加固，为自主可控操作系统开发打好基础，做好支撑。

    中期目标是开发自主可控的操作系统。习总书记要求我们选准突破点，我认为最基本的是两个：一个是操作系统，一个是CPU。操作系统方面首要是桌面系统、智能终端操作系统，希望在非常短时间之内能够形成自主可控安全可信的智能操作系统，包括移动智能终端、嵌入式公共系统的操作系统。这个问题解决了，安全问题就解决了很大一部分。

      国家信息化专家咨询委员会委员汪玉凯教授

     实现网络强国需要信息技术打翻身仗

     2月27日，习近平总书记讲的三句话：第一，没有网络安全就没有国家安全；第二，没有信息化就没有现代化；第三，中国要由网络大国走向网络强国。这三句话已经把中央网络安全和信息化领导小组的使命，把未来中国信息化、网络化的趋势讲得非常清楚了。

     当前我国网络与信息安全形势不容乐观。核心技术受制于人是国家信息化战略和网络化过程中最大的问题之一。运算技术，网络带宽，存储能力，是衡量一个国家信息技术的三大标志。这三个重大标志性的技术，我们在核心方面基本上不掌握。

     党的十八大报告对我国信息化提出了新的战略，把五化并举、两化融合调整为四化同步，工业化、信息化、城镇化和农业现代化同步，这反映了最高层对整个国家信息化战略的重大政策调整。未来将按照四化同步这样新的战略来思考我们的信息化和网络化。

     未来中国将在网络安全与信息化的重点领域采取系列重大举措。第一，在信息技术领域实行自主创新战略，组织国家力量，包括通过运用市场化手段，打中国信息技术翻身仗。中国现在最核心的两个技术，一个是操作系统，一个是CPU。操作系统用的几乎是苹果、谷歌、微软这三家的，它们几乎控制了所有的移动终端和个人电脑。中国如果在这方面不能搞出自己的操作系统，网络安全就没有保障。第二，网络安全领域要通过发展自主可控的信息安全技术，保障网络安全，维护国家安全。第三，在信息化的基础设施领域，主要是推进宽带战略，发展物联网、移动互联网、云计算、大数据。从网络大国走向强国，要在基础设施方面站在至高点，在网络控制国际战略方面要有自己的话语权，这样才有可能变成网络强国。

      中国软件评测中心副主任刘法旺

      信息传播力度加剧网络安全威胁

      信息技术高速发展加剧了安全事故的传播力度。任何事件的出现都离不开大的时空背景，这其中有两个原因：

      第一，随着科技发展，感知传输技术发生变革并在各个行业应用中得到了更大范围的使用。第二，信息化不断深入，关键系统复杂性更高，面临的安全威胁越来越强烈。

     人们手里面所持有的终端设备，无论是计算功能，存储功能，开发功能，承载的业务功能，跟几年前PC机已经相差不多。除此以外，因为系统的网络化程度不断增强，某一个部件或系统出现问题所导致的失效问题也非常严重。

     以前大家谈信息安全，主要关注的是OA系统、ERP系统。这些系统处理的主体是信息流，强调信息的收集传输分析处理。现在关注的地铁线路、石油管线、交通系统，这些都已经不是传统的信息系统，它们是在传统信息系统基础之上实现的芯片、软件、信息处理等各种技术的融合，是一个综合性的控制系统。这类系统出现事故之后，不能通过简单的业务回滚便可以恢复回来，而是要切实付出非常惨重的代价。

     安全问题的本质是产业问题，我们所有的设备、操作系统、芯片都不是我们自己的。如果想从深层次解决安全问题，根本上还要注重产品本身，要加强整个产业生态圈建设。我们一方面要支持龙头企业，另一方面要加强产业之间协同，构建整个产业生态圈。

行业应用

     中国人民银行营业管理部副主任贺同宝

     金融业信息安全防护永无止境

     银行业信息安全是国家信息安全的重要组成部分。近年来，中央成立了网络信息安全领导小组，习总书记多次强调没有网络安全就没有国家安全，网络安全是国家对于传统安全的重要组成部分。对于银行而言，网络信息安全更是如此。

     银行业经营的模式、经营的手段越来越依靠网络信息技术。银行的信息技术分成三个阶段：最初的单机批量数据处理阶段、后来的局域范围适时业务处理阶段以及现在的完全网络化的信息处理。时至今日，银行业务操作全部都是自动化的，信息处理都是网络化的，客户结算都是电子化的。一旦银行核心网络出问题，各项业务都将受到影响。

     更为重要的是，因为银行之间的业务联系，每个银行出现问题都会影响到其他银行。甚至某家大银行网络如果出现问题，就可能对整个银行业信息安全产生影响。特别是现在银行都实行数据大集中，数据大集中同时也意味着风险的集中。一旦银行网络上的某个节点出现问题，很有可能殃及整个银行系统。

     对此，近几年各大银行都在信息网络建设方面投入大量人力、物力和财力，力图把上述隐藏的风险因素降到最低。以北京市为例，各家银行机构都对信息安全等级保护工作给予了足够的重视。到目前为止，北京市已经完成了20余套三级系统和近百套二级系统的定级备案工作，并对其中78套系统完成了测评和整改，已经定级备案和测评的系统全部完成了新的定级备案和测评，测评通过率达到了100%。

     人民银行还在推动银行卡的安全变革。众所周知，利用银行卡进行网络犯罪的手段越来越多，人民银行专门推出了更为安全的金融IC卡。相比传统的磁条卡，金融IC卡具有难以复制特性，可以大幅度提高安全性。同时，金融IC卡还承载了一些行业功能业务，实现一卡多用。

     当然，对于时时都在变化的安全问题，银行业信息安全工作是无止境的，还需要继续努力做好针对性的工作，在银行业各个领域、系统之间，在规划、建设、测评、投产、运维甚至整个信息系统的生命周期中，全面提高保护水平。

北京市电力公司总工程师王少毅

     通过网络安全技术保障电力系统安全

    近年来监测分析表明，电力企业业务应用、对外网站等系统已成为境内外黑客组织重点攻击的目标。北京市电力公司坚持将等级保护纳入信息安全工作，将信息安全纳入信息化工作，将信息安全纳入电力安全生产管理体系。在电力生产控制大区严格遵循安全分区、网络专用、横向隔离、纵向认证的安全防护原则，构建完善的组织体系，实现信息安全工作网络全覆盖。

    构建完备的操作体系，实现可控能控，扎实开展信息系统等级保护建设，严格开展备案和等级保护工作，认真接受北京市公安局等检查，对照提出的意见和建议，积极开展整改提高。

    加强隐患排查治理，将信息安全隐患排查治理纳入年度安全生产常态工作，按照基础设施、网络安全、主机设备、应用系统等专业执行73个完善项目，进行月度排查和地方管理。

    建设主动防御安全防护技术体系，开展信息系统安全域建设和区域隔离，对公司本部和二级单位分支机构实现纵向边界访问控制，部署安全审计系统，全面增强安全预警应急处置能力。

    加强信息安全全生命周期管理，采取技术措施保证开发测试环境与实际运行环境物理格局，限定开发人员的活动范围和行为，针对开发人员的远程访问，实现书面审批、访问控制在线监测、日志审计等管控措施。

    加强定期演练，编制涵盖各应用系统、网络核心设备、基础设施的现场处置方案57个，针对重大政治活动、重点时段保障开展联合运行演练。