工业和信息化部信息安全协调司司长赵泽良：网络信息系统一旦出现大问题，可能直接影响国民经济和社会的正常运转。因此，我们的信息安全工作应该坚持积极防御、综合防范的方针，要把保障和促进信息化、维护国家安全作为我们的重要出发点，大力加强信息安全的建设工作。

　　中国电子信息产业发展研究院党委书记洪京一：当前我们面临着信息产业更新换代、迅猛发展的新形势。物联网、云计算、三网融合、移动互联网、手机支付等给我们带来技术层面和业务层面的全新变革。随之而来的应用复杂度和风险也越来越大。政府和产业界要共同在融合的环境中探索出安全之道，识别风险，化解风险。

　　公安部网络安全保卫局处长郭启全：近年来，有关部门围绕信息安全保障体系建设，在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下，将信息安全等级保护确定为提高国家信息安全保障能力，维护国家安全、社会稳定和公共利益的一项基本制度，非常必要。

　　中国信息安全测评中心副总工程师 徐长醒：要逐步探索信息安全风险评估工作组织实施和管理的经验，用三年左右的时间在我国基础网络和重要信息系统普遍推行信息安全风险评估工作，全面提高信息安全的科学管理水平，提升网络与信息安全保障能力，为保障和促进我国信息化发展服务。

　　中国科学院信息安全国家重点实验室教授翟起滨：现在各国都在建立自己的云计算发展计划，我国既要跟上这种信息革命的步伐，也要有自己的思维，不能一味地追求云。如何基于我国的实际国情，打造合适的云服务体系，是需要产业界共同关注和研究的问题。

　　——第十一届信息安全大会现场直击

　　三网融合、产业融合已经成为当前信息产业发展的主旋律。我们该如何应对新技术应用带来的安全威胁的演变？

　　2010年4月21日，第十一届中国信息安全大会在北京新世纪日航饭店隆重召开。本次会议由中国电子信息产业发展研究院主办，中国计算机报承办，并得到了工业和信息化部信息安全协调司、中国计算机学会计算机安全专业委员会和国家计算机病毒应急处理中心的大力支持和指导。本次大会继续保持了历年大会的综合性、前沿性、权威性等特点，知名的信息安全专家、厂商代表等共聚一堂，围绕“融合安全·风险识别”这一业界关注热点，共同探讨了信息安全产业发展及技术创新等议题。

　　完善信息安全保障体系

　　经过20多年的演进，我国信息安全产业已经从萌芽期逐渐过渡到快速发展期。随着信息化的发展，信息安全的问题应该说更加突出，一方面，国民经济和社会都越来越依赖信息系统，通信、交通、能源、金融等一些重要行业都离不开网络和信息系统，网络信息系统一旦出现大的问题可能直接影响国民经济和社会的正常运转；另一方面，我们的网络信息系统也并不安全，病毒、黑客攻击、各种恶意代码对系统正常运行产生了严重的影响。由于我们国家的信息化建设还处在快速的发展阶段，因此信息安全形势不容乐观。

　　工业和信息化部信息安全协调司司长赵泽良在会上表示，随着信息化的发展，信息安全问题更加突出。面对日益复杂的信息安全形势，要坚持积极防御、综合防范的方针，着重做好五方面的工作：一是大力加强信息安全的统筹协调；二是抓紧完善相应的信息安全法律法规和规章制度建设；三是大力加强政府信息系统、重要信息系统的安全防护工作；四是大力加强信息安全的教育和人才培养工作；五是大力发展信息安全技术和产业。

　　中国电子信息产业发展研究院党委书记洪京一在大会上指出，中国信息安全产业近年来得到了快速的发展，这一方面源于从中央到各级地方政府的广泛重视，另一方面还源于我国有一批积极进取的信息安全创新企业。正是由于产业界持续的技术创新，再加上信息安全领域高水平研究机构和专家队伍不遗余力的推动，才使得一大批新技术、新产品、新方法和新概念能够在近几年的产业发展中得以不断地涌现。

　　洪京一认为，当前我们面临着信息产业更新换代、迅猛发展的新形势，网络技术、计算机技术日新月异。随着网络的快速发展，网络应用类别越来越多，物联网、云计算、三网融合、移动互联网、手机支付等新兴应用给我们带来了技术层面和业务层面的全新变革。随之而来的应用复杂度和风险也越来越高。我们必须通过完善的安全保障手段，让这些新兴技术更好地为我所用。

　　中国科学院信息安全国家重点实验室教授翟起滨表示，随着时间的推移，所有的一切都要连接到云上，所有的客户都需要让云提供服务，每台服务器都需要与云计算结合，网络时代的各种通信协议和专有设备都将被颠覆。现在各国都在建立自己的云计算发展计划，我国既要跟上这种信息革命的步伐，也要有自己的思维，不能一味地追求云。如何基于我国的实际国情，打造合适的云服务体系，是需要产业界共同关注和研究的问题。

　　严格推进等级保护制度

　　面对日益严峻的安全问题，等级保护制度的严格开展和实施已经愈发受到各界的关注。近年来，随着国家强制要求建立等级保护基础性标准，社会各界对等级保护政策及其具体实施给予高度的关注。

　　目前，在国内有关专家、企业的支持下，公安部和全国安全生产标准化委员会以及公安部的行业标准委员会组织制订了一系列等级保护工作的标准。这些等级保护标准的出台，为我国全面开展信息安全等级保护工作提供了重要的依据，也为等级保护工作提出了一个总体目标，有关行业部门可以在国家标准的基础之上制订出台行业标准规范，比如说电信行业、电力行业、证券行业等。本次大会上，公安部网络安全保卫局郭启全处长对等级保护的重要性和目前的开展情况进行了介绍。郭启全表示，我们信息安全等级保护工作从2006年正式推动以来，已经完成了从基础调查到行业试点再到部署定级等一系列工作。有关部门通过定级已经把我国的几万个重要系统梳理了出来，其中包括了几十个行业部门的500个大系统。这些跨省联网的大系统就是我们下一步要进行安全建设整改、等级测评以及国家重点支持的目标。

　　今后三年信息安全等级保护工作的重点将围绕安全管理制度建设、技术措施建设和等级测评等工作展开，有效提高信息系统安全管理水平。开展等级保护工作需要实现的目标将从以下五个方面体现：一是单位管理水平明显提高，二是信息系统的防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家主权、社会秩序和公共利益。

　　从实际应用的角度出发，郭启全认为各单位、各部门应该按照以下工作流程去开展今后三年的工作：第一，制订行业的安全整改工作规划，对安全整改工作进行整体部署，目前已经有十几个部委大规模地开始培训和部署工作，还有一些重要行业正在研究，需要抓紧部署；第二，开展安全现状分析，从管理和技术两个方面确定安全建设整改的需求；第三，确定安全保护策略，制订系统整改方案；第四，按照方案进行安全建设整改；第五，进行安全自查和等级测评，发现问题进一步整改。

　　多种保护模式融合

　　在网络融合、业务融合以后，企业中的信息应用模式出现了变化。业务融合以后的数据流量模型与传统的模型相比有很大的变化，高度集中的数据中心改变了传统的数据流量分布模型，大规模的应用都需要通过数据中心来对外提供服务，在这种情况下，流量是从分散走向高度的集中。在业务层面，除了传统的数据中心业务以外，以语音、视频为代表的多媒体业务，以微博、社区为代表的Web2.0应用也在逐渐多样化。另外，网络的边界也在变得模糊，当存储、计算、网络等资源高度集中时，安全的边界已经不像原来想象得那么简单了。这种情况下，新的安全防护模型在做安全防护的时候，一定要考虑融合于网络，并且进行深度的虚拟化，以网络做支撑，将现有的安全部署方式、安全部署的经验合理部署到企业的实际营运过程中去。

　　本次大会上，H3C公司展现了其多层次融合的整体化安全解决方案，通过多种安全技术减少企业在安全建设上的资金投入，从而降低企业的运营成本，提高企业IT投入有效性。据H3C安全产品线规划设计部经理孙松儿介绍，这套解决方案的核心就是面向安全的网络设计，更关注网络安全层次化的部署，强调网络和安全的融合。

　　融合安全类产品正在成为网关发展的主流趋势，实现全网的安全防护会是这一类产品的重要发展方向。不过由于各大行业应用情况不一样，所以用户个性化需求也会日趋强烈。在本次大会上，蓝盾信息安全技术股份有限公司提出的模块化UTM解决方案收到了广泛关注，该方案可以解决传统方案存在的问题，包括设备过多、资源浪费、部署比较复杂、管理成本比较高、无法抵御混合式攻击等难题。通过模块化方式，网关产品可以实现功能高度集成，减少设备投资，同时部署非常简单。

　　除了传统的安全防护模式，本次大会针对当前流行的电子商务安全和网络访问安全也进行了针对性的讨论。确保电子商务收付款机制安全能够提高消费者对网上交易的信心。联款通公司在大会上阐释了保障在线支付服务安全的重要意义。在网络威胁与日俱增的环境中，联款通公司始终凭借专业的服务能力，通过先进的技术手段，改善着消费者对网上交易的信心。联款通行政总裁陈永祥表示：“通过我们的网关可以处理零售、电话、互联网交易等多种在线支付，而且这个支付网关随着全球电子商务的发展，其功能越来越强大，我们可以处理不同的客户付款类别，不同收单银行以及不同的语言，这些都有效地帮助了企业开展线上业务。”

　　而作为传统的互联网基础服务供应商，上海帝联公司在本次大会上介绍了如何通过CDN服务保障网站访问的安全。与传统网络访问模式相比，CDN加速平台可以在用户与源站点之间建立一个屏障。任何用户访问都会直接指向CDN边缘节点服务器，或者通过CDN边缘节点向源站发送数据，而不是传统模式中与源站点直接交互数据。这就是说，CDN网络的访问模式很好地对源站点进行了隐藏，从网络结构上避免了源站点受到攻击。

　　对于信息安全未来的发展重点，赛迪顾问软件与信息服务业研究中心高级分析师、副总经理贾娟认为，针对移动互联网的安全、移动云计算的安全、可信计算和可信网络、安全认证、安全管理、数据保护、安全传输以及应急安全保障服务等重点领域值得关注。