《OWASP中国峰会简介》由会员分享,可在线阅读,更多相关《OWASP中国峰会简介(32页珍藏版)》请在金锄头文库上搜索。
1、./n 更多资料请请访问.(.)./OWASPP20110中国国峰会【主持人(中中国人民民大学石石文昌教教授】:各位领领导、各各位来宾宾、现场场和网上上的各位位朋友,大大家好!欢迎大大家在百百忙之中中光临本本届OWWASPP中国峰峰会,本本界得到到了公安安部网络络安全包包围局郭郭启全处处长,中中国科学学院软件件研究所所基础软软件国家家工程研研究中心心,系统统安全研研究室负负责人丁丁立平研研究员,OOWASSP董事事会RIIP先生生的大力力支持,还还得到银银监会、国国家电网网、民航航、中铁铁、高校校等部门门和单位位的领导导和专家家的大力力支持。对对于各位位的到来来表示深深深的协协议。同同时我们们
2、也对给给予本届届峰会大大力支持持的合作作伙伴表表示由衷衷的感谢谢,他们们分别是是:安腾腾信息、启启明星辰辰、梭子子鱼网络络、深圳圳昂凯神神州数码码、武安安科技、南南京瀚海海源(音音译)等等。要感感谢的非非常多。OWASPP作为一一个开源源的非盈盈利组织织,一直直致力于于帮助企企业和组组织设计计开发和和维护安安全系统统,本届届峰会特特意邀请请了政府府、金融融、互联联网、教教育、电电信、能能源等热热门的代代表,国国内外知知名的应应用安全全专家,承承销商代代表共聚聚一堂,就就应用安安全及业业务安全全的发展展及技术术创新等等方面的的话题进进行深入入和广泛泛的研讨讨。同时时,也为为广大从从事安全全研究的
3、的技术人人员提供供一个多多元化的的交流平平台,相相信本次次大会必必将取得得圆满成成功。下面,让我我们隆重重请出OOWASSP中国国主席RRIP先先生为本本届峰会会致辞!【RIP】:【主持人】:OWAASP中中国成长长离不开开全球总总部的领领导和支支持,下下面有请请OWAASP全全球董事事会ToomBrrennnan先先生致辞辞!【TomBBrennnann】:大大家好!非常感感谢大家家把OWWASPP引进中中国,作作为OWWASPP基金会会的大使使之一我我觉得来来这里跟跟大家亲亲自大家家见见面面,因为为OWAASP是是一个全全球组织织,很多多运用ggooggle翻翻译可以以看到关关于OWWAS
4、PP基金会会的宗旨旨,但是是翻译的的时候有有些东西西可能丢丢掉了,所所以我亲亲自来这这里向大大家介绍绍OWAASP,你你们要是是有问题题的话请请大家在在会后和和我直接接谈。OWASPP是011年时候候成立的的,是一一帮热心心信息安安全的人人,通过过十年来来现在OOWASSP成为为全球最最权威的的一个信信息安全全的组织织,有1160多多个分部部。OWWASPP上面有有2万多多个名字字,这22万多个个人都是是热切关关心OWWASPP信息安安全的,但但是我觉觉得这22万个名名字跟OOWASSP的会会员不一一样,OOWASSP的会会员只有有20000个,我我来这里里是想大大家真正正加入OOWASSP,
5、因因为只有有成员会会员你才才可以选选举。OOWASSP有112000多个网网页,有有很多人人去更改改这些网网页,因因为它不不断的更更新,你你们申请请一个免免费的OOWASSP(?英文)你你们就可可以去改改那些网网页。而而且OWWASPP对教育育非常重重要,十十年以前前OWAASP成成立了,十十年以后后OWAASP发发展壮大大了,再再过十年年我们希希望看到到更多大大学、机机构各方方面的人人能够参参与这个个信息安安全的发发展事业业。OWWASPP在十年年来不断断的发展展壮大,得得到世界界各地政政府和企企业部门门的尊重重,我们们应该继继续把这这个传统统继续下下去,特特别是OOWASSP在中中国分部部
6、和美国国总部,跟跟世界其其他国家家的分部部,应该该互相尊尊重,尊尊重同仁仁,互相相合作。OWASP是一个开源性的志愿者组织,非常希望大家申请一个OWASP的电邮,是免费的,你也不用交会费,这样参加地方分部的会议,参观网页、更新网页,谢谢大家!最后我想讲讲一讲这这个幻灯灯片,它它是OWWASPP的(?英文人人名)说说的,它它说软件件在人们们生活中中变的越越来越重重要,同同时也越越来越复复杂,也也同时越越来越互互相关联联,这正正给供给给者提供供一个机机会,我我们的系系统正在在变成他他们的用用武之地地,摸着着石头过过河不会会让我们们达到安安全。OOWASSP有一一个宏伟伟的目标标,那就就是唤醒醒所有
7、的的软件开开发者,帮帮助他们们建立坚坚固的代代码,因因为我们们的未来来有待于于监管的的代码,谢谢谢你们们。【主持人】:下面进进入这次次峰会的的主题演演讲环节节,第一一位演讲讲嘉宾是是公安部部网络安安全保卫卫局郭启启全处长长给大家家带来加加快推进进信息安安全等级级保护工工作维护护基础网网络和重重要信息息系统安安全方面面的精彩彩演讲。【郭启全】:尊敬的的各位来来宾,各各位先生生,各位位女士们们,大家家早上好好!很高高兴来参参加这次次OWAASP中中国峰会会。在座座有许多多老朋友友,当然然还有许许多新朋朋友,感感谢主办办方举办办这样一一个峰会会,对于于信息安安全工作作,特别别是信息息安全技技术进行行
8、研究研研讨,这这是一个个很好的的事情。我我的演讲讲题目有有点复杂杂,但是是最终目目的是要要推动我我们国家家的等级级保护工工作,维维护国家家的信息息安全。我我从四个个方面给给大家介介绍一下下。一、近年来来我们国国家信息息安全等等级保护护工作的的情况及及取得的的成效。第第一,公公安部会会同有关关部门在在相关部部门大力力支持下下出台了了一些等等级保护护工作的的政策和和保护标标准。第第二,组组织了国国家机关关的等级级保护安安全建设设整改的的培训,这这为我们们国家各各单位各各部门开开展信息息安全工工作起到到很好的的指导作作用。第第三,我我们成立立等级保保护安全全建设指指导专家家委员会会,指导导各单位位各
9、部门门开展信信息安全全工作,开开展等级级保护工工作。这这个专家家委在一一年多来来充分发发挥作用用,为我我们重要要行业部部门开展展安全建建设整改改工作提提供有力力支持。第第四,我我们和国国家电网网、国土土资源部部等部门门,现在在正在大大力推广广相关部部门的经经验。第五,召开开了全国国公安机机关网安安部门等等级保护护工作培培训会。应该说通过过近年来来各方的的努力,特特别是在在有关行行业部门门信息安安全企业业和专家家的大力力支持,国国家的等等级保护护工作取取得了重重要成效效。一是出台了了一系列列等级保保护工作作配套的的政策和和标准,构构建完成成了国家家等级保保护政策策的体系系和标准准体系,为为全国开
10、开展等级级保护工工作提供供了政策策标准和和保障。二是组织大大规模的的信息系系统定级级备案工工作,明明确了保保护重点点,会议议主题要要保护我我们的应应用安全全。实际际对于这这些信息息系统,一一是要保保护网络络和系统统自身的的安全,它它的应用用安全,实实际也就就是它的的业务安安全,它它为全社社会提供供服务、提提供支撑撑的安全全是一体体的,密密不可分分的。三是各单位位各部门门按照公公安部的的工作部部署和要要求,全全面开展展了安全全建设整整改和等等级测评评工作,开开展以等等级保护护为核心心的安全全防范工工作,查查找安全全系统存存在的安安全问题题。特别别是我们们一些重重要行业业部门,在在新建网网络和重重
11、要系统统的时候候,已经经按照国国家的信信息安全全等级保保护制度度要求,从从管理、从从技术两两个方面面对于重重要系统统进行安安全建设设的方案案设计。有有效提高高了国家家基础网网络和重重要信息息系统的的安全保保护能力力。所以等级保保护工作作,在座座有政府府行业部部门的,有有企业、有有专家,等等级保护护工作离离不开各各个行业业和专家家的支持持,大家家都是这这项工作作的参与与者和实实施者。等等级保护护工作为为信息安安全企业业提供一一次难得得的发展展机遇和和发展平平台,也也为我们们的产业业发展提提供了一一次难得得机遇。说到网络安安全,现现在不法法分子对对我们的的网络的的威胁越越来越严严重,对对次我们们要
12、做好好网络安安全保护护工作,网网络安全全防御工工作,在在此我提提出我个个人的观观点和意意见。一一是要深深入开展展等级保保护工作作,提高高我们网网络主动动防御的的能力。就就是只有有把我们们的等级级保护工工作深入入开展下下去,提提高我们们主动防防御的能能力,这这样才能能真正提提高我们们的安全全防护能能力。二二是要加加强应急急软件,提提高我们们的网络络应急组组织能力力,三是是要加强强我们的的信息通通道机制制,提高高我们的的通道共共享能力力。三是是建立各各方参与与机制,有有效发挥挥各方力力量。四四是提高高我们的的应急处处置能力力。这样样几个能能力是今今后我们们政府主主导、各各方参与与、技术术研究、产产
13、品研发发的努力力方向。谈到国家等等级保护护政策和和标准,近近几年,应应该说近近十年公公安部根根据国务务院的授授权会同同有关部部门,出出台一系系列国家家有关等等级保护护政策,这这些等级级保护政政策是我我们国家家信息安安全保障障信息安安全的主主要政策策。这些些政策都都是公开开的,大大家可以以从网站站上查到到,从我我们的宣宣传材料料上拿到到。现在在我们国国家等级级保护政政策已经经构成比比较完备备的政策策体系,无无论是664号文文还是443号文文,它们们的出台台为各单单位各部部门开展展等级保保护提供供了相关关的政策策文件,为为我们全全国开展展等级保保护提供供了政策策保障。这几年公安安部在信信息安全全企
14、业以以及专家家大力支支持下,我我们国家家形成比比较完备备的等级级保护的的标准体体系,这这个标准准体系为为各单位位各部门门开展等等级保护护工作,特特别是我我们的信信息安全全建设整整改工作作提供了了标准保保障。这这些标准准引导我我们企业业搞信息息安全技技术的研研究,为为我们国国家信息息安全技技术发展展提供了了指引。根根据相关关等级保保护标准准,当前前各单位位各部门门开展等等级保护护安全建建设整改改工作,围围绕我们们国家的的基础网网络和重重要先进进系统安安全保护护出台的的有关定定级、测测评、安安全设计计、和保保护的相相关标准准,在这这个图当当中有所所体现。这这些材料料大家从从网上可可以拿到到,这些些
15、标准支支撑了我我们国家家等级保保护安全全建设整整改工作作。由于大规模模的系统统定级工工作基本本完成,我我们国家家的网络络和系统统的家底底我们基基本摸清清,明确确了我们们应该保保护的重重点对象象,既然然重点对对象已经经清楚了了,我们们下一步步主要工工作是要要利用三三年时间间,对我我们已经经定级的的信息系系统开展展安全建建设整改改工作。有有几个关关键词,什什么叫安安全建设设整改工工作?就就是要建建设安全全设施,落落实安全全措施,落落实安全全责任,落落实安全全管理制制度。使使我们国国家基础础网络先先进系统统管理能能力提高高,防患患能力提提高,隐隐患和事事故减少少,有效效维护我我们国家家信息化化健康发
16、发展,维维护国家家安全社社会秩序序和公共共利益,这这就是我我们搞等等级保护护的主要要目标,也也是我们们今后三三年各单单位各部部门按照照这个目目标去努努力。这有一个图图,这个个图是我我们国家家信息系系统安全全等级保保护基本本要求,这这是个国国家标准准,这个个国家标标准指导导我们各各单位各各部门这这几年,从从管理和和技术两两个方面面,各有有5大方方面重点点,加起起来有1150多多个点,这这几年各各单位各各部门按按照我们们的基本本要求开开展安全全技术建建设和安安全措施施建设。二二级以上上的系统统要纳入入我们的的整改范范围,我我们搞这这个安全全建设整整改主要要的思路路,是在在我们原原有的保保护技术术、保护护设施的的基础之之上,按按照国家家标准查查找安全全问题,查查找安全全隐患,查查找安全全的差距距,查找找与国家家标准的的差距,然然后制定定安全建建设整改改方案,缺缺什么补补什么。在在此,为
