“新型基础设施是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。”国务院原参事徐锭明曾经在谈到新基建时表示,需要建立一个战略的、总体的、系统化的思维。要以数据化培育新动能,用新动能推动新发展,以新发展开创新辉煌,实现工业化与信息化深度融合,推动数字经济与实体经济融合发展。
在此数字转型、智能升级的“数智化”时代下,网络安全威胁也正从数字世界向实体世界逐步渗透。
“数智化”时代,企业安全威胁日益严峻
近日于北京召开的2020京麒网络安全大会上,京东集团信息安全负责人在主题演讲中提到,未来企业数据驱动将成为大势所趋。他以京东健康为例,8万医生远程诊疗,其中涉及的隐私保护需求必然远超以往。
FreeBuf的读者们应该深有感触。前几年还会引发社会讨论的大事件,如今却已经司空见惯。仅于今年内,我们就见证了能源、水利、医疗、通信等关键领域遭受不同程度的网络攻击,损失不可谓不惨重。京东安全表示,即使国内每个企业新设1个安全岗位,全国也需要再培养1000万网络安全人才。
缺口太大了。
京麒峰会上大佬云集,他们如何看待包括人才问题在内的,“数智化”时代下的网络安全?面临前所未有的挑战,国家新基建领域安全建设应如何展开?疫情常态化之下的企业安全,又将何去何从?来自北大、加州大学、腾讯、百度、商汤、蔚来、科大讯飞、奇安信等知名院校与企业的专家们,将共同讨论与分享这些话题。
区块链应用的新挑战
区块链技术能否成为“数智化”时代的答案?来自北京大学信息科学技术学院区块链研究中心的陈钟主任,为我们从三个方面介绍了其最新的应用与挑战。
区块链技术的创新和发展;
区块链技术的安全与合规;
区块链技术的挑战和应对。
陈钟以博雅链为例,介绍了2019年成功在中国人民银行批准的北京市的金融科技应用试点项目,就把博雅链应用于金融监管。2020年,博雅链入选了人民银行金融科技重庆的首批监管试点项目,这是一个基于区块链的数字函证平台,涉及到人民银行和财政部以及他们所管辖下的银行、会计师事务所、审计师事务所和各种企业,所以联盟链和联盟的场景,是区块链在安全监管方面未来绝对的关注点。
新基建、新安全、新生态
由于中国强大到有点离谱的基础建设能力,国内互联网环境下,中国往往会被冠上“基建狂魔”的称号。我认为这是一个爱称,没毛病。那么新基建时代,我们会不会也变成“新基建狂魔”呢?百度副总裁马杰认为,我们肯定会。
新基建里面什么是最重要的事情?马杰认为,新基建是人类进入智能经济社会之前的最大的基础设施工程。在此过程中,人工智能一定是“新基建”中最重要的一个“新”。
马杰在会上放了一段小视频,画面中美国总统特朗普正在惟妙惟肖地演唱一首中国歌曲。毫无疑问这是一段“假视频”,它是使用深度学习技术重新拟合而成的。但是,当别有用心之人精心构造用于非法用途时,它所能制造的杀伤力,会使得现在会使现在我们赖以使用的各种面部识别、视觉识别技术全部失效。
马杰提出,解铃仍须系铃人, 面对AI攻击,还是得用AI去对。此外,隐私数据保护也是AI时代必须做好的一件事,百度开源了包括Teaclave等在内的多项安全计算框架。马杰称,百度希望与大家共同改进此类安全技术,共同保障大家赖以生存与骄傲的AI时代。
从实战复盘看甲方安全建设的新思路
随着企业安全水位的不断提升,直接突破Web边界攻击内网变得越来越难,网络实战攻防的战场逐步转向终端,这也给甲方安全建设带来了新的挑战,企业面对类似问题要如何破局?
奇安信首席信息安全官兼网络安全部总经理聂君,为我们介绍了《从实战复盘看甲方安全建设的新思路》。
君哥分享了三个奇安信内部曾经出现过的案例,再从三个案例里提炼出甲方的复盘历程,最后总结得出甲方的安全建设思路。他在会上提到正确的复盘姿势,供大家参考:
第一个,尽量要求同样的问题不再重复,你提出的安全措施能够解决同样一个问题;
第二个,同类的问题尽量避免,你有一个概率尽量的解决同类的问题;
第三个,不要在低级错误上失败;
第四个,从复盘到复仇,我们内部要求每一次事件出来以后,复盘的效果是下一次能够抵御攻击,实现复仇的效果。
除此之外,君哥还分享了他对于内生安全、安全运营、甲方与乙方的相处之道等内容的看法。
智能网联车的网络安全理念与实践
“数智化”时代下,随着汽车的智能化和网联化,车辆不再仅仅是纯粹的交通工具,而是变成了越来越个性化的智能移动网络终端和智能交通网络系统节点。蔚来作为全球化的智能电动汽车制造商,他们又遇到了哪些机遇与挑战呢?
就此问题,蔚来汽车车联网和产品安全负责人朱颢,为我们分享了《智能网联车的网络安全理念与实践》。
朱颢为我们介绍了蔚来汽车的发展历程和安全之路,他特别提到了公司内部做安全的时候遵循的四原则,分别为最小权限,零信任,分层纵深和主动防御。
除此之外,他们还自研了四套摄护系统,并且都以“龙”为名,对应为红龙、银龙、绿龙和棕龙,是一整套安全系统化工程。比如银龙面向用户数据保护、红龙是PKI证书体系、绿龙是车内防护及IDPS体系、棕龙则是OTA及安全性校验体系。
通过以上一系列实践,朱颢提到,他们最大的目标就是保护好智能电动汽车的安全性进化之路。
圆桌对谈·新基建背景下的安全建设
随着“新基建”的不断加速推进,新环境下的安全问题也日益严峻,随着5G、AIoT等技术的发展,网络空间内涵和外延不断扩展,加之关键基础设施联网化、智能化的普及度越来越高,网络安全的威胁的破坏力也会越来越大。相应的,新基建背景下的安全建设则成了我们安全人最为关注的问题之一,来自各大领域的顶尖安全专家们,在京麒大会圆桌对谈环节上对之进行了充分交流。
对谈中,嘉宾们就新基建的过程中带来的新的安全问题、以360为代表的互联网公司与传统公司对新基建安全的不同看法、以中国电信为代表的运营商如何看待新基建、百度在新基建领域中的AI布局以及“数智化”时代的安全投融资情况等问题进行了深入讨论。
漏洞马拉松·京麒站
谁是最强“漏洞王者”?谁是第一“赏金猎人”?这个冬天,我们协众多安全爱好者一同在2020漏洞马拉松半决赛暨漏洞马拉松·京麒站共同见证。
不同于以往漏洞马拉松形式,本次活动采取团队作战模式,20名白帽分为红蓝两队对抗。
本场比赛中发布的漏洞挖掘任务,将设置额外漏洞奖励,任一参赛选手完成目标漏洞确认后,该漏洞的额外奖金部分将自动打入巅峰奖金池。3个小时的你来我往,双方赏金交替上升,36W+巅峰奖金池金额,800+提交漏洞数,5w+线上直播观看人数共同见证了这场激烈的角逐。
比赛期间,每隔半个小时发布一轮项目或SRC任务,每队队员所获得的漏洞奖金相加总和即为本队总战绩,总战绩更高的队伍为获胜方,获胜一方队伍即可瓜分巅峰奖金池,并直接晋级漏洞马拉松总决赛·CIS站参与最终争夺。
翻过这座山,我们将会看见他们后续的故事,不管故事的结局如何,让我们CIS站见!
其他精彩议题
2020京麒网络安全大会技术分会场上还有很多精彩议题,由于篇幅所限无法在此一一详述,他们分别是:
商汤科技安全委员会产品安全负责人、技术执行总监庄汉阳介绍了《商汤AI产品的安全实践》;
加州大学戴维斯分校计算机系终身教授陈浩为我们带来演讲《AI用于软件安全和漏洞挖掘》;
科大讯飞信息安全管理部总经理常炳涛先生介绍了《人工智能企业安全建设实践分享》;
腾讯Blade Team高级安全研究员钱文祥的议题《再看云虚拟化安全:QEMU通用漏洞挖掘新思路》。
尾声
至此,2020京麒网络安全大会圆满落幕。还记得大会圆桌对谈环节,高成资本创始合伙人洪婧曾提到,从IT投入和安全投入来讲,我们现在其实还在补课。全中国的IT投入,占GDP只有0.9%,不到1%,美国是3%左右;我们在安全领域的投入占IT总比为2%,美国是7%到10%。
安全之路漫漫,我们道阻且长。“数智化”时代的企业安全建设路在何方?十四五规划即将启程,我们如何做好新基建安全?人工智能及区块链等新兴技术,如何走出实验室更快落地?
让我们一起期待2021京麒网络安全大会,带给我们更多思想碰撞与真知灼见,明年再见!
来源:freebuf.com 2020-12-03 22:26:49 by: Akane
请登录后发表评论
注册