OWASP2010中国峰会会议实录

OWASP2010中国峰会【主持人（中国人民大学石文昌教授】：各位领导、各位来宾、现场和网上的各位朋友，大家好！欢迎大家在百忙之中光临本届OWASP中国峰会，本界得到了公安部网络安全包围局郭启全处长，中国科学院软件研究所基础软件国家工程研究中心，系统安全研究室负责人丁立平研究员，OWASP董事会RIP先生的大力支持，还得到银监会、国家电网、民航、中铁、高校等部门和单位的领导和专家的大力支持。对于各位的到来表示深深的协议。同时我们也对给予本届峰会大力支持的合作伙伴表示由衷的感谢，他们分别是：安腾信息、启明星辰、梭子鱼网络、深圳昂凯神州数码、武安科技、南京瀚海源（音译）等。要感谢的非常多。OWASP作为一个开源的非盈利组织，一直致力于帮助企业和组织设计开发和维护安全系统，本届峰会特意邀请了政府、金融、互联网、教育、电信、能源等热门的代表，国内外知名的应用安全专家，承销商代表共聚一堂，就应用安全及业务安全的发展及技术创新等方面的话题进行深入和广泛的研讨。同时，也为广大从事安全研究的技术人员提供一个多元化的交流平台，相信本次大会必将取得圆满成功。下面，让我们隆重请出OWASP中国主席RIP先生为本届峰会致辞！【RIP】：【主持人】：OWASP中国成长离不开全球总部的领导和支持，下面有请OWASP全球董事会TomBrennan先生致辞！【TomBrennan】：大家好！非常感谢大家把OWASP引进中国，作为OWASP基金会的大使之一我觉得来这里跟大家亲自大家见见面，因为OWASP是一个全球组织，很多运用google翻译可以看到关于OWASP基金会的宗旨，但是翻译的时候有些东西可能丢掉了，所以我亲自来这里向大家介绍OWASP，你们要是有问题的话请大家在会后和我直接谈。OWASP是01年时候成立的，是一帮热心信息安全的人，通过十年来现在OWASP成为全球最权威的一个信息安全的组织，有160多个分部。OWASP上面有2万多个名字，这2万多个人都是热切关心OWASP信息安全的，但是我觉得这2万个名字跟OWASP的会员不一样，OWASP的会员只有2000个，我来这里是想大家真正加入OWASP，因为只有成员会员你才可以选举。OWASP有1200多个网页，有很多人去更改这些网页，因为它不断的更新，你们申请一个免费的OWASP（？英文）你们就可以去改那些网页。而且OWASP对教育非常重要，十年以前OWASP成立了，十年以后OWASP发展壮大了，再过十年我们希望看到更多大学、机构各方面的人能够参与这个信息安全的发展事业。OWASP在十年来不断的发展壮大，得到世界各地政府和企业部门的尊重，我们应该继续把这个传统继续下去，特别是OWASP在中国分部和美国总部，跟世界其他国家的分部，应该互相尊重，尊重同仁，互相合作。OWASP是一个开源性的志愿者组织，非常希望大家申请一个OWASP的电邮，是免费的，你也不用交会费，这样参加地方分部的会议，参观网页、更新网页，谢谢大家！最后我想讲一讲这个幻灯片，它是OWASP的（？英文人名）说的，它说软件在人们生活中变的越来越重要，同时也越来越复杂，也同时越来越互相关联，这正给供给者提供一个机会，我们的系统正在变成他们的用武之地，摸着石头过河不会让我们达到安全。OWASP有一个宏伟的目标，那就是唤醒所有的软件开发者，帮助他们建立坚固的代码，因为我们的未来有待于监管的代码，谢谢你们。【主持人】：下面进入这次峰会的主题演讲环节，第一位演讲嘉宾是公安部网络安全保卫局郭启全处长给大家带来加快推进信息安全等级保护工作维护基础网络和重要信息系统安全方面的精彩演讲。【郭启全】：尊敬的各位来宾，各位先生，各位女士们，大家早上好！很高兴来参加这次OWASP中国峰会。在座有许多老朋友，当然还有许多新朋友，感谢主办方举办这样一个峰会，对于信息安全工作，特别是信息安全技术进行研究研讨，这是一个很好的事情。我的演讲题目有点复杂，但是最终目的是要推动我们国家的等级保护工作，维护国家的信息安全。我从四个方面给大家介绍一下。一、近年来我们国家信息安全等级保护工作的情况及取得的成效。第一，公安部会同有关部门在相关部门大力支持下出台了一些等级保护工作的政策和保护标准。第二，组织了国家机关的等级保护安全建设整改的培训，这为我们国家各单位各部门开展信息安全工作起到很好的指导作用。第三，我们成立等级保护安全建设指导专家委员会，指导各单位各部门开展信息安全工作，开展等级保护工作。这个专家委在一年多来充分发挥作用，为我们重要行业部门开展安全建设整改工作提供有力支持。第四，我们和国家电网、国土资源部等部门，现在正在大力推广相关部门的经验。第五，召开了全国公安机关网安部门等级保护工作培训会。应该说通过近年来各方的努力，特别是在有关行业部门信息安全企业和专家的大力支持，国家的等级保护工作取得了重要成效。一是出台了一系列等级保护工作配套的政策和标准，构建完成了国家等级保护政策的体系和标准体系，为全国开展等级保护工作提供了政策标准和保障。二是组织大规模的信息系统定级备案工作，明确了保护重点，会议主题要保护我们的应用安全。实际对于这些信息系统，一是要保护网络和系统自身的安全，它的应用安全，实际也就是它的业务安全，它为全社会提供服务、提供支撑的安全是一体的，密不可分的。三是各单位各部门按照公安部的工作部署和要求，全面开展了安全建设整改和等级测评工作，开展以等级保护为核心的安全防范工作，查找安全系统存在的安全问题。特别是我们一些重要行业部门，在新建网络和重要系统的时候，已经按照国家的信息安全等级保护制度要求，从管理、从技术两个方面对于重要系统进行安全建设的方案设计。有效提高了国家基础网络和重要信息系统的安全保护能力。所以等级保护工作，在座有政府行业部门的，有企业、有专家，等级保护工作离不开各个行业和专家的支持，大家都是这项工作的参与者和实施者。等级保护工作为信息安全企业提供一次难得的发展机遇和发展平台，也为我们的产业发展提供了一次难得机遇。说到网络安全，现在不法分子对我们的网络的威胁越来越严重，对次我们要做好网络安全保护工作，网络安全防御工作，在此我提出我个人的观点和意见。一是要深入开展等级保护工作，提高我们网络主动防御的能力。就是只有把我们的等级保护工作深入开展下去，提高我们主动防御的能力，这样才能真正提高我们的安全防护能力。二是要加强应急软件，提高我们的网络应急组织能力，三是要加强我们的信息通道机制，提高我们的通道共享能力。三是建立各方参与机制，有效发挥各方力量。四是提高我们的应急处置能力。这样几个能力是今后我们政府主导、各方参与、技术研究、产品研发的努力方向。谈到国家等级保护政策和标准，近几年，应该说近十年公安部根据国务院的授权会同有关部门，出台一系列国家有关等级保护政策，这些等级保护政策是我们国家信息安全保障信息安全的主要政策。这些政策都是公开的，大家可以从网站上查到，从我们的宣传材料上拿到。现在我们国家等级保护政策已经构成比较完备的政策体系，无论是64号文还是43号文，它们的出台为各单位各部门开展等级保护提供了相关的政策文件，为我们全国开展等级保护提供了政策保障。这几年公安部在信息安全企业以及专家大力支持下，我们国家形成比较完备的等级保护的标准体系，这个标准体系为各单位各部门开展等级保护工作，特别是我们的信息安全建设整改工作提供了标准保障。这些标准引导我们企业搞信息安全技术的研究，为我们国家信息安全技术发展提供了指引。根据相关等级保护标准，当前各单位各部门开展等级保护安全建设整改工作，围绕我们国家的基础网络和重要先进系统安全保护出台的有关定级、测评、安全设计、和保护的相关标准，在这个图当中有所体现。这些材料大家从网上可以拿到，这些标准支撑了我们国家等级保护安全建设整改工作。由于大规模的系统定级工作基本完成，我们国家的网络和系统的家底我们基本摸清，明确了我们应该保护的重点对象，既然重点对象已经清楚了，我们下一步主要工作是要利用三年时间，对我们已经定级的信息系统开展安全建设整改工作。有几个关键词，什么叫安全建设整改工作？就是要建设安全设施，落实安全措施，落实安全责任，落实安全管理制度。使我们国家基础网络先进系统管理能力提高，防患能力提高，隐患和事故减少，有效维护我们国家信息化健康发展，维护国家安全社会秩序和公共利益，这就是我们搞等级保护的主要目标，也是我们今后三年各单位各部门按照这个目标去努力。这有一个图，这个图是我们国家信息系统安全等级保护基本要求，这是个国家标准，这个国家标准指导我们各单位各部门这几年，从管理和技术两个方面，各有5大方面重点，加起来有150多个点，这几年各单位各部门按照我们的基本要求开展安全技术建设和安全措施建设。二级以上的系统要纳入我们的整改范围，我们搞这个安全建设整改主要的思路，是在我们原有的保护技术、保护设施的基础之上，按照国家标准查找安全问题，查找安全隐患，查找安全的差距，查找与国家标准的差距，然后制定安全建设整改方案，缺什么补什么。在此，为了指导各单位各部门开展下一步工作，我们制定了相关的工作流程，可以分几步走，各单位各部门要制定规划进行总体部署，第二步是开展信息系统安全现状分析。第三步，确定安全保护策略，第四步，开展信息系统安全建设整改工作。我们国家开展信息安全保护工作，包括今天的会议要研究我们的应用安全，研究我们相关信息安全的技术，研究产品，那么这个政府指导、政府引领、政府监督检查指导、在各部门和专家企业的共同努力下，我们最终的目标要使我们的重要信息系统达到相关的保护能力，对于我们的二级系统、三级系统、四级系统都提出了相关保护能力的要求。这些要求总的来讲就是无论里面怎么描述，概括起来讲就是通过搞等级保护，通过实施等级保护制度，这样一个强制的国家基本制度，咱们国家信息安全的国策，使我们的重要系统达到这样一个目标：第一，抵抗供给能力强了，身板硬朗了。第二，如果被供给，使它的损失降到最低，能迅速恢复。这是我们搞等级保护对于系统来讲核心的目标。由于时间关系给大家介绍到这，大家如果想获得更多的内容，请登陆。谢谢各位！【主持人】：下面请中国科学院软件研究所丁丽萍研究员为我们带来新型网络环境下的计算机取证技术研究的演讲，有请！【丁丽萍】：各位来宾大家好！计算机取证的研究就是在计算机系统以及相关外部设备中获取一些犯罪证据，这个学科是法学和计算机科学的一个交叉学科，从技术的领域来说最新的研究就是基于系统和外围的设备，最底层到了BIOS的取证，再往上是操作系统的取证，然后是应用层的取证，最后是相关的设备。BIOS曾经做出一个基于某个形象BIOS木马的植入以及对木马的防患。基于操作系统的取证最早是我在做的，基于操作系统无非是基于日志的取证，系统调用的取证等等。应用层的取证就是Office取证，e-mail取证，网络跟踪，和版权保护的取证等等。相关设备的取证也很多，比如打印机，打印机中可能留存犯罪分子曾经打印过的东西，比如数码相机，比如电话，比如各种信用卡。既然它是个交叉学科，我们不能光从技术上研究，从法律上要回顾一下国家和计算机相关的法律有这样几个。《中华人民共和国计算机系统安全保护条例》，《计算机信息网络国际联网的暂行规定》，刑法的285、286、287三条，和《中华人民共和国电子签名法》，这部法承认了电子证据具有司法效率，所以使得这个领域的研究更加得到国家的认可。从技术方面，最早提出的主动防御策略促进了这个领域的发展，在03-05年出现一些国家级的课题和研究的文章，2000年公安部确定以办理计算机犯罪案件为主线，以电子数据证据为核心，目前提出了计算机取证的研究。04年在北京召开首届计算机取证技术研讨会，当时我还是警察，这届研讨会非常的热烈，大家热情非常高，说要成立一个协会和交流的平台。后来我们就成立了一个电子学会下的计算机取证专家委员会。第二届取证技术研讨会是在新疆，以网络反恐为主题召开的。第三届即将在上海举行。我的话题是新型网络下的计算机取证，就是云计算、互联网、“三网融合”的网络模式下计算机取证如何发展。云计算为计算机取证