OWASP2021中国峰会会议实录.docx

《OWASP2021中国峰会会议实录.docx》由会员分享，可在线阅读，更多相关《OWASP2021中国峰会会议实录.docx（19页珍藏版）》请在第一文库网上搜索。

1、OWASP2023中国峰会会议实录【主持人（中国人民大学石文昌教授工各位领导、各位来宾、现场与网上的各位朋友,大家好！欢迎大家在百忙之中光临本届OWASP中国峰会，本界得到了公安部网络安全包围局郭启全处长，中国科学院软件研究所基础软件国家工程研究中心，系统安全研究室负责人丁立平研究员，OWASP董事会RIP先生的大力支持，还得到银监会、国家电网、民航、中铁、高校等部门与单位的领导与专家的大力支持。关于各位的到来表示深深的协议。同时我们也对给予本届峰会大力支持的合作伙伴表示由衷的感谢，他们分别是：安腾信息、启明星辰、梭子鱼网络、深圳昂凯神州数码、武安科技、南京瀚海源（音译）等。要感谢的非常多。O

2、WASP作为一个开源的非盈利组织，一直致力于帮助企业与组织设计开发与保护安全系统，本届峰会专门邀请了政府、金融、互联网、教育、电信、能源等热门的代表，国内外知名的应用安全专家，承销商代表共聚一堂，就应用安全及业务安全的进展及技术创新等方面的话题进行深入与广泛的研讨。同时，也为广大从事安全研究的技术人员提供一个多元化的交流平台，相信本次大会必将取得圆满成功。下面，让我们盛大请出OWASP中国主席RIP先生为本届峰会致辞！RIP：【主持人】：OWASP中国成长离不开全球总部的领导与支持，下面有请OWASP全球董事会TomBrennan先生致辞！TomBrennan:大家好！非常感谢大家把OWASP

3、引进中国，作为OWASP基金会的大使之一我觉得来这里跟大家亲自大家见见面，由于OWASP是一个全球组织,很多运用goog1e翻译能够看到关于OWASP基金会的宗旨，但是翻译的时候有些东西可能丢掉了，因此我亲自来这里向大家介绍OWASP,你们要是有问题的话请大家在会后与我直接谈。OWASP是O1年时候成立的，是一帮热心信息安全的人，通过十年来现在OWASP成为全球最权威的一个信息安全的组织，有160多个分部。OWASP上面有2万多个名字，这2万多个人都是热切关心OWASP信息安全的，但是我觉得这2万个名字跟OWASP的会员不一样，OWASP的会员只有2000个，我来这里是想大家真正加入OWASP

4、,由于只有成员会员你才能够选举。OWASP有1200多个网页，有很多人去更换这些网页，由于它不断的更新，你们申请一个免费的OWASP（?英文）你们就能够去改那些网页。而且OWASP对教育非常重要，十年往常OWASP成立了，十年以后OWASP进展壮大了，再过十年我们希望看到更多大学、机构各方面的人能够参与这个信息安全的进展事业。OWASP在十年来不断的进展壮大，得到世界各地政府与企业部门的尊重，我们应该继续把这个传统继续下去，特别是OWASP在中国分部与美国总部，跟世界其他国家的分部，应该互相尊重，尊重同仁，互相合作。OWASP是一个开源性的志愿者组织，非常希望大家申请一个OWASP的电邮，是免

5、费的，你也不用交会费，这样参加地方分部的会议，参观网页、更新网页，谢谢大家！最后我想讲一讲这个幻灯片，它是OWASP的（?英文人名）说的，它说软件在人们生活中变的越来越重要，同时也越来越复杂，也同时越来越互有关联，这正给供给者提供一个机会，我们的系统正在变成他们的用武之地，摸着石头过河不可能让我们达到安全。OWASP有一个宏伟的目标，那就是唤醒所有的软件开发者，帮助他们建立牢固的代码，由于我们的未来有待于监管的代码，谢谢你们。【主持人】：下面进入这次峰会的主题演讲环节，第一位演讲嘉宾是公安部网络安全保卫局郭启全处长给大家带来加快推进信息安全等级保护工作保护基础网络与重要信息系统安全方面的精彩演

6、讲。【郭启全工尊敬的各位来宾，各位先生，各位女士们，大家早上好！很高兴来参加这次OWASP中国峰会。在座有许多老朋友，当然还有许多新朋友，感谢主办方举办这样一个峰会，关于信息安全工作，特别是信息安全技术进行研究研讨，这是一个很好的情况。我的演讲题目有点复杂,但是最终目的是要推动我们国家的等级保护工作,保护国家的信息安全。我从四个方面给大家介绍一下。一、近年来我们国家信息安全等级保护工作的情况及取得的成效。第一，公安部会同有关部门在有关部门大力支持下出台了一些等级保护工作的政策与保护标准。第二，组织了国家机关的等级保护安全建设整改的培训I，这为我们国家各单位各部门开展信息安全工作起到很好的指导作

7、用。第三，我们成立等级保护安全建设指导专家委员会，指导各单位各部门开展信息安全工作，开展等级保护工作。这个专家委在一年多来充分发挥作用，为我们重要行业部门开展安全建设整改工作提供有力支持。第四，我们与国家电网、国土资源部等部门，现在正在大力推广有关部门的经验。第五，召开了全国公安机关网安部门等级保护工作培训会。应该说通过近年来各方的努力，特别是在有关行业部门信息安全企业与专家的大力支持，国家的等级保护工作取得了重要成效。一是出台了一系列等级保护工作配套的政策与标准,构建完成了国家等级保护政策的体系与标准体系，为全国开展等级保护工作提供了政策标准与保障。二是组织大规模的信息系统定级备案工作，明确

8、了保护重点，会议主题要保护我们的应用安全。实际关于这些信息系统，一是要保护网络与系统自身的安全，它的应用安全，实际也就是它的业务安全，它为全社会提供服务、提供支撑的安全是一体的，密不可分的。三是各单位各部门按照公安部的工作部署与要求,全面开展了安全建设整改与等级测评工作，开展以等级保护为核心的安全防范工作，查找安全系统存在的安全问题。特别是我们一些重要行业部门，在新建网络与重要系统的时候，已经按照国家的信息安全等级保护制度要求，从管理、从技术两个方面关于重要系统进行安全建设的方案设计。有效提高了国家基础网络与重要信息系统的安全保护能力。因此等级保护工作，在座有政府行业部门的，有企业、有专家，等

9、级保护工作离不开各个行业与专家的支持，大家都是这项工作的参与者与实施者。等级保护工作为信息安全企业提供一次难得的进展机遇与进展平台，也为我们的产业进展提供了一次难得机遇。说到网络安全，现在不法分子对我们的网络的威胁越来越严重，对次我们要做好网络安全保护工作，网络安全防御工作，在此我提出我个人的观点与意见。一是要深入开展等级保护工作，提高我们网络主动防御的能力。就是只有把我们的等级保护工作深入开展下去，提高我们主动防御的能力，这样才能真正提高我们的安全防护能力。二是要加强应急软件，提高我们的网络应急组织能力，三是要加强我们的信息通道机制，提富我们的通道共享能力。三是建立各方参与机制，有效发挥各方

10、力量。四是提高我们的应急处置能力。这样几个能力是今后我们政府主导、各方参与、技术研究、产品研发的努力方向。谈到国家等级保护政策与标准，近几年，应该说近十年公安部根据国务院的授权会同有关部门，出台一系列国家有关等级保护政策，这些等级保护政策是我们国家信息安全保障信息安全的要紧政策。这些政策都是公开的，大家能够从网站上查到，从我们的宣传材料上拿到。现在我们国家等级保护政策已经构成比较完备的政策体系，不管是64号文还是43号文，它们的出台为各单位各部门开展等级保护提供了有关的政策文件,为我们全国开展等级保护提供了政策保障。这几年公安部在信息安全企业与专家大力支持下，我们国家形成比较完备的等级保护的标

11、准体系，这个标准体系为各单位各部门开展等级保护工作，特别是我们的信息安全建设整改工作提供了标准保障。这些标准引导我们企业搞信息安全技术的研究，为我们国家信息安全技术进展提供了指引。根据有关等级保护标准，当前各单位各部门开展等级保护安全建设整改工作，围绕我们国家的基础网络与重要先进系统安全保护出台的有关定级、测评、安全设计、与保护的有关标准，在这个图当中有所表达。这些材料大家从网上能够拿到，这些标准支撑了我们国家等级保护安全建设整改工作。由于大规模的系统定级工作基本完成，我们国家的网络与系统的家底我们基本摸清，明确了我们应该保护的重点对象，既然重点对象已经清晰了，我们下一步要紧工作是要利用三年时

12、间，对我们已经定级的信息系统开展安全建设整改工作。有几个关键词，什么叫安全建设整改工作？就是要建设安全设施，落实安全措施，落实安全责任，落实安全管理制度。使我们国家基础网络先进系统管理能力提高，防患能力提高，隐患与事故减少，有效保护我们国家信息化健康进展，保护国家安全社会秩序与公共利益，这就是我们搞等级保护的要紧目标，也是我们今后三年各单位各部门按照这个目标去努力。这有一个图，这个图是我们国家信息系统安全等级保护基本要求，这是个国家标准，这个国家标准指导我们各单位各部门这几年，从管理与技术两个方面，各有5大方面重点，加起来有150多个点,这几年各单位各部门按照我们的基本要求开展安全技术建设与安

13、全措施建设。二级以上的系统要纳入我们的整改范围，我们搞这个安全建设整改要紧的思路，是在我们原有的保护技术、保护设施的基础之上，按照国家标准查找安全问题，查找安全隐患，查找安全的差距，查找与国家标准的差距，然后制定安全建设整改方案，缺什么补什么。在此，为了指导各单位各部门开展下一步工作，我们制定了有关的工作流程，能够分几步走，各单位各部门要制定规划进行总体部署，第二步是开展信息系统安全现状分析。第三步，确定安全保护策略，第四步，开展信息系统安全建设整改工作。我们国家开展信息安全保护工作，包含今天的会议要研究我们的应用安全，研究我们有关信息安全的技术，研究产品，那么这个政府指导、政府引领、政府监督

14、检查指导、在各部门与专家企业的共同努力下，我们最终的目标要使我们的重要信息系统达到有关的保护能力，关于我们的二级系统、三级系统、四级系统都提出了有关保护能力的要求。这些要求总的来讲就是不管里面怎么描述，概括起来讲就是通过搞等级保护，通过实施等级保护制度，这样一个强制的国家基本制度，咱们国家信息安全的国策，使我们的重要系统达到这样一个目标：第一，抵抗供给能力强了，身板硬朗了。第二，假如被供给，使它的缺失降到最低，能迅速恢复。这是我们搞等级保护关于系统来讲核心的目标。【主持人】：下面请中国科学院软件研究所丁丽萍研究员为我们带来新型网络环境下的计算机取证技术研究的演讲，有请！【丁丽萍工各位来宾大家好

15、！计算机取证的研究就是在计算机系统与有关外部设备中获取一些犯罪证据，这个学科是法学与计算机科学的一个交叉学科，从技术的领域来说最新的研究就是基于系统与外围的设备，最底层到了BIOS的取证，再往上是操作系统的取证，然后是应用层的取证，最后是有关的设备。BIOS曾经做出一个基于某个形象BIOS木马的植入与对木马的防患。基于操作系统的取证最早是我在做的，基于操作系统无非是基于日志的取证，系统调用的取证等等。应用层的取证就是OffiCe取证，e-mai1取证，网络跟踪，与版权保护的取证等等。有关设备的取证也很多，比如打印机，打印机中可能留存犯罪分子曾经打印过的东西，比如数码相机，比如电话，比如各类信用

16、卡。既然它是个交叉学科，我们不能光从技术上研究，从法律上要回顾一下国家与计算机有关的法律有这样几个。中华人民共与国计算机系统安全保护条例，计算机信息网络国际联网的暂行规定，刑法的285、286、287三条，与中华人民共与国电子签名法，这部法承认了电子证据具有司法效率，因此使得这个领域的研究更加得到国家的认可。从技术方面，最早提出的主动防御策略促进了这个领域的进展，在03-05年出现一些国家级的课题与研究的文章，2000年公安部确定以办理计算机犯罪案件为主线，以电子数据证据为核心，目前提出了计算机取证的研究。04年在北京召开首届计算机取证技术研讨会，当时我还是警察，这届研讨会非常的热烈，大家热情非常高，说要成立一个协会与交流的平台。后来我们就成立了一个电子学会下的计算机取证专家委员会。第二届取证技术研讨会是在新疆，以网络反恐为主题召开的。第三届马上在上海举行。我的话题是新型网络下的计算机取证，就是云计算、互联网、“三网融合”的网络模式下计算机取证如何进展。