2014年9月23日 ，“深圳2014信息安全专题研讨会”在深圳市信息安全测评中心举行。本次研讨会由深圳市科学技术协会、深圳市计算机用户协会和深圳市信息安全测评中心共同举办。深圳市相关企业，政府相关单位领导，深圳海关技术处和市公安局九处同志等30多位负责同志出席了本次研讨会。

深圳市计算机用户协会高级顾问、市信息安全测评中心主任武刚博士、广东省信息安全测评中心副主任谢朝霞、深圳海关原副总工程师程仰贤和市检验检疫局包先雨博士应邀出席并根据做重点发言。

会议由深圳市计算机用户协会常务副会长李蓟宁主持。

本次信息安全研讨会主题为“加强信息安全管理工作，构建信息安全保障体系”。会议分两个部分，第一部分是由到会的三位信息安全专家针对当前我市信息安全工作中出现的问题提出见解，探讨解决措施；第二部分是 共同探讨政府，企业和社会各界如何去构建信息安全体系，从而做好我市信息安全工作。

一、信息安全体系及个人信息安全管理

研讨会上，武刚博士就个人信息安全管理的议题从五个部分和大家进行了交流。第一是斯诺登事件从去年到现在这个过程当中给我们带来一些变化和启示。第二是介绍了什么是个人信息，第三是介绍了目前在我们身边发生的一些个人信息被侵害的主要事件，第四是如何构建个人信息安全保障的体系，五是推动政府部门加强个人信息保护的对策。有些内容主要是电子商务为背景来介绍，也有一些面向社会的。

武刚博士从专家的角度重新还原和剖析了斯诺登事件的过程。他认为，斯诺登事件的启示分几个方面，今年有一个新闻评奖活动，叫“普利策公共服务奖”，美国两家报纸获得了这个奖，因为他们主要报道了这个事件。一个是《华盛顿邮报》，一个是《卫报美国》，这两份报纸主要讨论了斯诺登在香港透露的一些关于国家、政府、国安部门监测互联网以及对于我们的影响。当时《卫报》的提法是，通过大胆的报道安全和隐私问题激发了一场有关政府和公众之间关系的讨论。这种报道的效果是，安全和隐私，政府和公众到底是什么关系？《华盛顿邮报》提出通过全面性和深入性的报道帮助公众理解国家安全框架下如何看待信息泄漏问题。这说明对于斯诺登事件，美国国内非常关注。

武刚博士还结合斯诺登事件，介绍了美国对信息安全工作的做法。

武刚博士认为斯诺登事件后，中国政府和社会都有呼声。中国政府成立了网络安全和信息化领导小组，在国家顶层设计上进行调整，将国家信息化领导小组和中央互联网信息工作领导小组合并，面对互联网技术的发展，管理体制存在明显的弊端，多头管理，责任不清，效率不高的问题要统筹在顶层设计上解决。7月16日，习主席在巴西国会演讲时谈到信息安全时说了这样一个观点，“每一个国家在信息领域的主权权益都不应该受到侵犯，互联网技术再发展，也不能侵犯他国信息主权。信息领域没有双重标准，各国都有权维护自己的信息安全。国际社会要本着相互尊重和相互信息原则，建立多边、民主、透明的国际互连网治理体系”。提出信息主权和互联网治理的思想，是在合适的时间、合适的地点，向世界宣誓了中国政府对这个问题的态度和观点。这在信息领域叫做“信息主权问题”，不能说随便进出我的系统，这是不可以的，也算是国家的一种主权。7月22日，习近平总书记在网络安全会议上说，网络安全和信息化安全事关国家安全和国家发展，事关广大人民群众生活的重大战略问题。没有网络安全就没有国家关系，没有信息化就没有现代化，建设网络强国的战略部署要与“两个一百年”分头目标同步推进。这就是党中央确定的加强网络信息安全化的指导思想和方针路线，这是习总的讲话，也体现了国家的想法。

对于个人信息，武刚博士认为，最重要的一点是个人信息安全问题，这方面是我国很重要的一个缺失。关于个人的资料、数据都是个人信息。在互联网时代还有特别的个人信息，例如网络上的帐号、网络域名、网名、密码，这些在现实生活中没有的，在互联网的虚拟社会上有，也是个人信息。还有我们打游戏时在网络上的虚拟财产，这些都是个人信息。它是与公共利益无关的个人信息，如果你的个人信息和公众利益有关，那么就不能成为隐私，它的判别是一种主观判别。例如电话号码问题，有时候界限也很难分。电话号码属于隐私吗？他们说人群不同，就可能界定为不同。一般老百姓的手机号码要印在名片上，交换个名片就公开了，这时它是否属于隐私呢？但是有这种案子，领导电话号码被别人拿去了以后诈骗，那有人认为市领导的电话号码是否隐私呢？这种界定就很难区别，所以当我们要某个市领导的电话号码时，下面往往不会给你，他认定为这种电话号码可能会成为一种隐私。还有个人房产信息，现在《不动产管理办法试行征求意见稿》****了，原则要求是禁止以人查房，可以以房查人。还有互联网个人信息，在虚拟世界里，当现实社会的个人信息放到互联网上，就是个人信息变成了数字化，变成了网络信息。还有特别空间的密码、帐号等等，这都是属于个人信息。

武刚博士认为我国个人、老百姓个人信息的认识还在启蒙阶段，都不是很重视。要想保护好，法律就要有依据，我国现在没有隐私法和个人信息保护法，这方面还有很多工作要做，中国迟早要出这个问题。但是还有一些零散的法律条款，例如刑法、宪法里都有“非法获取个人信息罪”依据，依照这个法律也判了很多案子。

还有居住证管理、身份证管理、人口管理都有除了《刑法》以外的相关的管理办法，都要求对信息进行保护。还有国家标准，这些都是我们基本的要求。

政府部门在做联合检查和等级测评工作方面也很重视，也在加强这方面的管理，今后可能大家在上网时会看到基于个人信息采集的一些声明就会有了，我告诉你采集这个信息的用途和作用，我们在测评过程中也会检查这方面的工作是否到位。

二、信息安全技术应用与实践

     广东省信息安全测评中心副主任谢朝霞同志，在研讨会上，介绍了从事十几年信息安全工作的经验和体会。

他认为，信息安全现在越来越受重视，总结四个方面的人群需要信息安全。第一个是有钱的，不管是有钱人还是有钱单位。第二是有权的，不管是个人还是单位。第三是用户数多的，例如腾讯、阿里巴巴这样的互联网土豪。第四是数据多的。

谢朝霞主任提一个新观点。他认为信息安全不是一般的老百姓所能消费的，目前在中国来讲还是属于高端的一种消费品和服务。中国的信息安全发展和发达国家相比有很大的差距，究其原因在于我们的数据资产、移动终端、电脑、数据价值可能还没有形成真正的含金量。

他认为，网络有助于消除信息的不平等，我们现在处于两个空间，一个现实空间，一个网络空间。现在网络空间对现实空间的影响是越来越大，但是现实空间对网络空间的影响目前还很有限。我们就这个网络空间总结一下网络特点，网络有助于消除信息的不平等，并且挑战甚至改变由于信息不平等带来的社会问题，这就需要党政机关人员、企业家、社会上的知识分子、精英要有对网络与草根的生存空间有一个新的认识。在现实空间中，我们还停留在大政府，小社会的权力社会。所以网络空间给我们带来了一个社会革命。作为新一代的领导人，已经很清楚的认识到一点，网络空间对现实空间的影响，很清楚的认识到将来它给我们带来的冲击。所以习总书记把握网络空间的特点，把握国家按照形势变化的新特点和新趋势，提出了总体国家安全观。它包括了11个安全问题，其中有三个重要安全问题，一是信息安全，二是文化安全，三是社会安全，并且进行了全面的阐述。而且出了一些所谓的“大招”来落实国家空间安全。成立了两个机构，第一是国家安全委员会，二是成立了网新办，这个小组是以信息安全为抓手，来统筹解决网络空间的重大问题。

关于“安全”这个东西不是给大家带来麻烦的事，它可以作为一种治理手段，甚至是一种解决方案来统筹这个网络空间各种各样的问题。所以信息安全从中央政府部署可以看出它不仅仅是一种安全需要，也是战略机遇和国家核心竞争力。

谢朝霞主任指出在网络和大数据时代，习总书记提了11个安全问题，我们都可以用信息安全的角度来探索解决方案。但是很多党政及滚干部思想和方法还停留在十几二十年前。近几年爆发了大量的网络舆情危机，主角都有党政干部的影子。这些事件如果经过敌对势力的策划和炒作，将会危机执政党的社会地位。在这个时代，党政机关干部如果不重视信息安全，那么我们就变成了社会的弱者。很多“表叔”、房叔都是暴力网络的牺牲品。网络空间不是我们的对立面，将来我们要靠更多的信息安全、网络和互联网的思维方法去适应，并且利用和开发。这是我们新一代政府的机遇。

我们提炼一下现代信息的三个要素，包括人、网络和数据信息。现代信息系统不仅仅是一个计算机网络系统，我们觉得它是人、数据、网络相互作用，相互影响而构成的一个大系统。信息作为一个要素，它可以改变一个人的知识状态，影响人的感情判断和行动，就像网络上不光是正面还是负面新闻，它可以影响网民的判断性、行动和感情一样。人就是网络空间的用户、内容提供者，他可以对信息进行加工，利用并且改变信息的用途。而信息在网络下会发酵，可以被赋予新的内容和含义，经过利用变成“大招”。

党政机关人员面临的主要信息安全威胁有三方面，一个是个人电脑安全，二是单位网络安全，三是移动终端安全，这三类问题的表现形式基本都是敏感数据的泄漏。在目前很多网络危机事件中都可以看到这几类安全威胁的影子，只要一个手机用户或者电脑用户粘上了党和政府的影子，有这个角色，加上这个单位性质，他的事情敏感数据就很容易被有些人加以加工和利用，很简单的一张图片被人戴一块表，或者桌上摆一包烟，一旦发现这种敏感、有异常的东西，就会被有些人炒作，进而经过传播之后迅速发酵，最终造成舆情危机。第二类网络间谍威胁。在党政机关或者一些重要的国有企业，他们重要敏感岗位面临国外或者潜伏在我国内部的网络间谍的威胁。这几类威胁都会挑战政府公信力，危害国家安全，文化安全，影响社会安全。我们认为这是新的非传统安全问题。

在信息安全防范措施方面，谢朝霞主任认为，要养成良好的安全习惯，我们建议用字母、数字加特定字符，保证一定的长度。不要随便接受不明附件，不要随意点击不明链接。网络上这些广告还有各式各样的链接不要轻易去点，因为有很多的钓鱼假网站，真假网站要区分真的有一定难度。所以我们建议要分开电脑来看。对周围的人有时候打电话过来找你，网络诈骗、电话诈骗有很多，通过电话加网络实施诈骗的成功率会比纯粹的电话诈骗还要高，这方面也是非常重要的，利用了人性的弱点。

三、云数据保障

深圳市检验检疫局包先雨博士后针对移动互联网云数据保障问题介绍了他近段时间的研究成果。云数据保障问题，我们看得比较早，2009年1月份就开始做了，而苹果产品应该是12月份才出来，但是做的方面因为单位限制以及各方面的原因，所以市场化就差一点。但是在标准制订方面还是受到了深圳市市检局的认可，这几年一直给我们相关的标准去制作。2010年给了我们第一个《移动互联网设备成熟技术条件》，这在2011年已经发布。2011年，又给了我们一个《移动互联网设备检验规范》，是从设计到检验。2013年，又给了我们一个“云终端性能安全技术接入要求”，但是后来定稿时改成了“云终端安全技术要求”，实际上时候是从云终端系统的保护角度去做一些安全工作，也是顺应国安委的成立等时事来发展。我们是领先于它的，因为是在去年上半年立项，国安委还是下半年成立的，所以我们在很多方面做的事情还是看得比较早，领先于一些国家的产业布局。

在标准的制订方面，我们也参考别人的经验。把中国的计算机发展分为三次浪潮，第一次就是80年代以前，第二次就是80年代，进入互联网时代。2010年之后，我们认为中国在计算机领域发展到了云计算时代，是第三次IT浪潮。当然也有很多国际公司在做这方面的工作。

我们总结了一下中国云计算的发展，2010年之前，我们认为它的商业模式处于探讨阶段，有“公有云”和“私有云”的说法。2012年提出了“混合云”的概念，国家这时已经比较强调生态建设和商业模式的实检。我们相信明年之后，云计算不仅仅是是从概念上，也是实际上推广的阶段。

我们也到很多城市看了一下，除了深圳之外，中国的天津、青岛，包括我们去内蒙开会时，也发现内蒙竟然都有都有云计算产业基地，也就是说全国有很多城市都在搞这样的东西。我们通过网上也搜集了一些数据，2012年，全球财富1000强企业中将有80%的使用云计算服务，2015年将达到95%，除了一些非常传统的制造业。2013年，全球云计算市场规模将超过1000亿美金。2020年，规模将达到1500亿美金。中国在云计算服务市场，2011年是315亿元，2012年超过600亿，2013年增长1174亿。这个数据也是一份报纸上刊登出来的。

我国国家部委也做了很多，大家在这个行业内也比较熟悉，深圳在2012-2013年也做了一个“海云工程”，在很多地方也编制了云计算的产业发展规划，布局也在逐渐形成过程中。

对于“云”来说，存在安全应该是两方面，一个是互联网用户，还有一个云安全中心。这涉及到互联网云端下载、门户网站以及一些搜索网站，这里涉及到一些恶意威胁。这里就有云计算中心怎么进行数据的收集、分析、挖掘、自动处理方面的工作。即便是在大家认为最简单的瘦终端，不论硬件上的架构如何，都是一台计算机，它面临着很多安全上的问题，在云计算的环境下，终端就构成了云平台第一个安全威胁的入口。

包先雨博士后认为，云计算是学术界各工业界的热点，继个人计算机变革、互联网变革之后，云计算也被看作是IT产业的第三次浪潮。云技术的强大功能使得它在处理大数据与数据交互方面有着得天独厚的优势，但它的安全性确实和真实的云一样让人感到神秘莫测，很难有量化。在此基础上，我们做了深圳市的标准。我们的标准主要采用信息系统安全保护等级划分的角度，来对它的一些安全技术进行要求。目标主要是指导设计者如何设计和实现云终端接入技术安全，使其达到云服务系统所需要的接入安全要求。

  在三位专家发言后，研讨会进入了自有发言环节。与会者认为，要做好信息安全工作，除了做好现有计算机网络系统的信息安全工作以外，更重要的是要研发国产软件，用国产操作系统与会代表主要讨论了一下几个问题。

一、国产LINUX的研发

来自广东省LINUX技术支持中心的胡林泉总监介绍了国产LINUX研发情况。国产LINUX研发项目是国家863计划中的重点内容，是广东省科技厅要求为推广开源软件而设立的。当时中标的单位中兴通讯接了这个标以后，和广东省科技厅七个厅委联合成立了广东省LINUX技术支持中心，专门进行开源软件研发。我们的研发队伍主要来自中兴通讯，有300多人专门进行LINUX的开发。现在实际用户数比中科多很多，因为我们是随着中兴通讯产品一起向全世界发送的。以前主要做嵌入式产品，现在国家搞了一个国家软件自主化，所以我们在这方面投入了很多，搞出来的是桌面的操作系统，和Windows并行。

二、自主移动操作系统的研发问题

来自深圳亚思络科技有限公司的代表介绍了他们企业研发的自主移动操作系统和安全芯片的情况。该公司设计团队来自原芬兰诺基亚总部核心技术研发部门，核心成员是从诺基亚公司分离出去的瑞厦移动机带芯片芬兰公司。该公司的项目主要分两个子项目，第一个是自主移动操作系统，第二是自主移动安全加密芯片。本项目的新颖性、先进性和独特性在于本项目和其他的公益开发的操作系统不同，它具有兼具开发性和安全性特点，通过OS加安全芯片的方式实现高安全性和实用软件符合个人开发者的开源设计的力量。团队核心成员将出资注册成立中山阿尔夫科技公司，并预留20%的股份给未来优秀的核心人才。三、操作系统后门问题

胡林泉总监认为：操作系统有三大流派，一是微软，它做得最好，比尔盖茨就靠它发家。二是苹果也是最近冒出来的；其他都是开源的LINUX，还有移动的安卓。

现在中国政府不采购Win8了，说Win8有后门，让微软关，而微软说留在那里只是收集产品的正常信息，和这些后门没关系，所以中国因为这一点禁止使用win8。包括win7和winXP都是可以用的。中国一些企业还有专门的团队为WinXP、Win2000做支持的，因为微软现在因为这个操作系统特别老，已经不愿意做了。下一步Windows系统国家肯定要考虑，上次它点出了中国有哪几个黑客，连名字、住址、上班时间都点出来了，我们太震惊了。为什么中央后来感到压力？因为那的确是真的，连中国军方的几个黑客的姓名都知道了。就因为通过操作系统、大数据很容易搞出来。所以以后操作系统要逐渐向国产化过度。一个产品的软件和硬件有没有后门如何去证实、检测？这就像警察和小偷一样，是相互推进的过程。有的时候是警察把小偷找到，但是警察和小偷都在发展。我们想判断后门，现有的东西我们可以判断出来了，但是它又可以设置后门，没有终极的办法，我们做应用时就有这样的感觉。侦查手段在改进，偷盗的手段也在改进，大家都在改进，你改进了过后，我一看那个东西不行了，我们也可以进行改进。 所有的产品都有后门，包括一个很简单的碎纸机上面用的软件芯片，中国以前就出现过因为碎纸机上面信息泄密的事件，就是因为碎纸机里面有芯片，可以通过电子辐射信号直流出去。关键是后门是否公开的？

要真正解决有没有后门的问题，我认为最好的办法是你能把它源代码搞到，逐行全部读出来，这至少从软件操作系统角度上是这样说的。否则你在通讯协议中看它好象是一个公开的大家商用的东西，但是里面一个小的字节改变都可以把一些不在公开范围中的信息泄漏。所以关于后门这方面就像您刚才说的，你是被抓到了才叫“后门”，如果没有抓到就觉得这是很安全的。作为应用层来说，后门很容易做，用户怎么去检测它，评价这个软件是否安全，检测手段和作弊手段都是互相递进的。作为一个软件制造商是很容易做这件事的，关键是我做的东西是否能够被你发现。

现在发现的是很少的一部分，所以应用时要当心。这也是我国探听来的，而不是实际找到的。如果真正都找到了，那么后果也不会仅仅是十几个后门被公开。后门太多，尤其搞系统软件的人都清楚后门预留多少。除非都把源代码都读取出来。所以你说这里有多少后门，它可以看具体情况。现在主要是我们怎么提高防范措施，能查到，尽快的解决它。有些软件可以做到，发现了后门和漏洞，通过应用过程当中举报公开了，这就让大家知道了，但是如果没有公开还是不知道。所以软件方面的后门、漏洞都是被动的。

四、关于信息安全体系建设问题

关于信息安全体系建设，李蓟宁副会长发表了自己的见解：解决信息安全问题，不是一个技术问题就能解决的。微软操作系统的后门据外电透露有200多个，现在被发现的只有很少一部分。除非都把源代码都读取出来，但微软是不会让你知道的。现在的防范是被动的措施，如能查到，就尽快的解决它。有些软件可以做到，使用后被发现有后门和漏洞，被举报公开了，这就让大家知道了，但是如果没有公开还是不知道。为了彻底解决这个问题，我们必须下大力气去研制自己的操作系统。国家提倡研发和使用自己国产的系统。因为前段时间红旗LINUX的遭遇对国内很多LINUX开发商打击很大，他们强烈呼吁国家在开发国产操作系统，建立生态环境方面方面给予支持。在企业方面，现在都是各搞各的，相互竞争，本来资源就很有限，这样怎么能形成合力？又怎么样去建立国产系统的生态环境呢？我们搞的这个系统和微软没办法比，人家资金雄厚，而我们是各干各的，政府支持力也分散，整个生态环境建设受到很大影响。你弄出一个操作系统，必须有许多应用设备，外挂的模块或其他工具配合使用，如LINUX做出来以后，没有打印机相应的驱动程序，这就使LINUX 少了一项重要功能。因此在生态环境方面，大家不能忽视。 现在很多单位也在尝试使用LINUX，北京的倪光南院士已向国家有关单位提议国产使用LINUX。早在2003年，国内PC机厂商为了防止微软指控预装盗版Win98时就大量预装了红旗LINUX，其实这是很不成熟的系统，没有多少的外围支持，所以生态方面把握得不是很好。当时，许多人不好看它，也不投资它。包括一些显示器、打印机和游戏棒驱动都没有。现在虽然解决了，但是还不完善，因为这个主系统出来以后，还有很多其他的外部设备和应用方面的外围工具都在不断地发展。现在装这个没有，那个也没有，就影响用户的使用信心。我们看一下和微软配套的设备，可以说是驱动大全，五花八门，什么都有，包括一个路由器和WiFi的驱动。而我们自己在这方面还没有形成比较系统的产业链。所以使用时让大家感觉很不方便。这需要政府政策的支持和主导、企业之间的相互协作和配合。

还有就是高等院校来如何在培养人才方面配合信息安全战略。例如大学或者高职院里面现在讲的很多课程都是如何使用微软的软件来开发这个程序或者那个程序，免费为微软培养了大量的人才，但是我们的LINUX没有。高等院校既然是为了国家战略服务，那么为什么不培养自己的LINUX系统的开发人员呢？尤其在外围设备、外围服务方面，在快速有效的增加战略生态发展方面的科技人员，我们还没有。站在院校的立场来讲，当然以市场为主导，但是从国家层面来讲，LINUX的人才培训和教育等也是当前急需解决的问题。现在只有少部分学校里面讲到LINUX 的使用和应用。教育单位也应以国家利益为中，主动配合国家整体战略的实施，为自主系统软件人员的培养作出贡献 

另外，网络的侵入和反侵入一直在进行。前一段香港闹得很热闹，美国网络公司专门到香港推广美国的先进网络设备，包括路由和所有交换机产品。给香港用户的这些东西有些是很低的价格，有些是免费送的，但是有个条件，需要你把资讯共享。所以有很多单位参与了这个计划，香港企业非常迷信于西方的网络信息设备。他们对于信息跨界非常敏感。信息安全工作中也应有何制止政府机关部门、国企、央企、涉外机构参与国外信息储备、信息灾备工作的预防措施和应急处理程序。

最后，李蓟宁副会长做了会议小结，他认为，本次会议讨论的内容水平较高，议题深入，有较大的信息量，提出的措施有较强的可操作性。信息安全工作涉及到政府、企业、教育、社会、应用推广等多个层面，因此，做好信息安全工作将是一项长期的系统工程。我们要继续探索，增加投入；要从管理、技术和投资等多方面齐抓共管；要根据信息技术的发展和信息安全形势的变化，抓好落实，坚持长久。希望我市信息安全科技人员，努力开拓创新，为做好本地区、本部门、本单位的信息安全工作做出我们的贡献。