安全赋能联结万物互联新时代 – 作者:梆梆安全

​2019年7月5日,由公安部第三研究所《信息网络安全》杂志主办、北京梆梆安全科技有限公司承办的“‘赋能安全•联结未来’信息网络安全系列专题研讨会(上海站)”在上海宝华万豪酒店召开,本次会议由计算机学会计算机安全专业委员会严明主任主持。来自公安部信息安全等级保护评估中心、国家计算机网络应急技术处理协调中心上海分中心、上海市信息网络安全管理协会、江苏省信息网络安全协会等相关部门的嘉宾,以及来自中国移动通信有限公司研究院、中国电信上海研究院、上海交通大学网络空间安全研究院、浦发银行、天际友盟、国民认证等单位的专家齐聚一堂,共同探讨了如何应对数字新时代下的网络安全新挑战,合规等保2.0,建设网络安全防护核心新能力。

1&头图.jpg

图1:“赋能安全•联结未来”信息网络安全系列专题研讨会上海站

2.jpg图2:计算机学会计算机安全专业委员会主任 严明

公安部第三研究所《信息网络安全》杂志主编关非、梆梆安全创始人兼CEO阚志刚分别在会上发表了致辞。

4.jpg图3:公安部第三研究所《信息网络安全》杂志主编 关非

《信息网络安全》杂志主编关非表示,爆发增长海量集聚的数据已经成为国家基础性战略资源,各类信息数据不仅是国家发展的重要基础,也是国家各项战略决策的重要支撑。5G、人工智能、物联网等技术的发展给网络安全带来了新的挑战,也让网络空间威胁态势变得日益复杂。因此,网络安全防护必须要重视数据安全建设的重要价值,要结合等级保护2.0系列标准完善数据安全治理体系,完善个人信息保护规则,提升移动互联网治理工作成效,促进网络空间安全治理能力建设。

4.jpg图4:梆梆安全创始人兼CEO 阚志刚

梆梆安全创始人兼CEO阚志刚提出,网络安全工作的终极目标就是为用户清除其业务系统、信息化系统里的安全威胁杂音,面对不断变化的恶意威胁网络安全企业要能够做到“因时而进,因势而新”。《2018移动应用安全报告》显示,移动端已经成为黑客、国外情报组织攻击的新焦点,安全产业链正在面临新的威胁。这意味着在新网络时代下面对新的攻击威胁发展趋势,网络安全企业要建立更为契合的网络安全新思维、新模式。梆梆安全早已未雨绸缪的展开有关物联网安全、工业互联网安全、区块链安全、人工智能安全、程序安全可信的前瞻性研究,并在加快实现威胁感知的延伸与扩展,有效融入关联性安全情报,平台化联动安全检测、安全防护、安全监测、安全响应、安全服务,提升安全与业务之间的融合度。

面向未来,梆梆安全将继续研究更为广泛语言环境、应用环境下的代码安全防护技术,下一代代码质量检测技术,着手启动软件定义安全芯片、基于硬件的虚拟保护层和可靠物联网安全操控系统的研究工作,做到软件、硬件及控制等方向的多管齐下,逐步实现由软及硬、由内而外的联防联控,进而藉此链接网络安全大产业,培育更加广泛的网络安全大生态。

5.jpg图5:国家计算机网络应急技术处理协调中心上海分中心运行部主任 戴沁芸

在移动应用已经与人们日常工作生活紧密关联的今天,与移动应用相关的安全事件也在愈加频繁的爆出。《2018移动应用安全报告》数据显示,2018年有2.6亿条数据由于移动应用而泄漏,超过6亿美元的经济损失与移动应用有着各种直接间接的关联,移动互联网安全威胁态势日趋严重。来自国家计算机网络应急技术处理协调中心上海分中心运行部的戴沁芸主任在本次会议上讲解了《移动互联网网络安全态势分析及对策研究》。从Android“间谍门”事件、美国谷歌公司“位置信息收集”事件,到iOS应用向第三方发送用户数据以及苹果数据安全门,移动互联网里的安全威胁在变得越来越复杂,其给人们带来的危害也越来越巨大。因此,必须要对移动互联网实施全面的安全治理工作,建设移动互联网恶意程序监测系统,治理移动互联网网络安全威胁,专项治理重点行业App应用程序安全,整顿App隐私乱象,制定App基本业务功能必要信息规范。

6.jpg图6:梆梆安全解决方案总监 赵千里

梆梆安全解决方案总监赵千里在其主题演讲《远程开户走红 如何安全可信》里提出,远程开户是互联网+时代下的创新业务模式,其打破了面签,直接网上服务客户,给金融、运营商、政府等行业领域的发展带来了新的增长空间和潜力。同时,远程开户的主体较为隐蔽,开户环境也具有多变性,其中存在的风险和问题也在给各行业的发展造成一定阻碍。

远程开户出现的安全问题本质上都是由于客户端不可信造成的,客户端的环境是否可信,来自客户端的数据是否可信,客户端的操作者是否可信。要解决移动客户端可信问题,需要做好终端静态防逆向,防范反编译暴露业务逻辑,对通信过程加密避免数据篡改,监测运行环境防止行为欺诈。最终从移动应用自身代码安全、通信协议安全、运行时环境安全综合防范建立远程终端可信服务体系。

7.jpg图7:浦发银行总行信息科技部架构管理处网络及安全架构设计专家 王哲敏

来自浦发银行总行信息科技部架构管理处的网络及安全架构设计专家王哲敏为与会嘉宾带来了题为《5G网络安全特性在金融行业中的探索》的主题演讲,介绍了浦发和中国移动5G+银行的合作成果,以及5G对于银行业未来发展的价值。5G技术的应用正在使得银行业得以创造全新客户体验、迎接“智能物”客户、打造精准风控、跨越创新普惠金融、让金融服务更便捷安全。相较于4G而言,5G安全机制得到了全面增强,包括增强的密码算法、更好的空口安全、增强的漫游安全、更好的用户隐私保护等。例如对于空口安全问题,通过采取切片安全、5G接入安全、256Bit算法、信令安全、用户界面安全等保护措施,可以有效解决窃听篡改空口数据、DDoS攻击、空口干扰、非法接入等关键威胁。

8.jpg图8:公安部信息安全等级保护评估中心副研究员 马力

网络安全等级保护制度2.0标准已于今年正式发布,来自公安部信息安全等级保护评估中心的马力副研究员在本次会议上介绍了《网络安全等级保护2.0的标准体系和主要标准介绍》。等保2.0标准有三个特点,十个显著变化。我们需要注意到云计算、移动互联、物联网、工业控制系统等被列入到新标准范围中,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。例如,在移动互联安全扩展要求里增加了“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面内容,而物联网安全扩展要求则明确对“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”等提出了安全要求。另外,新标准对“基本要求、设计要求和测评要求”的分类框架进行了统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。新标准强化了可信计算技术使用的要求,把可信验证列入了各个级别,并逐级提出各个环节的主要可信验证要求,这将进一步提升各信息化系统的主动免疫防御强度。

9.jpg图9:中国移动通信有限公司研究院安全技术研究所副所长 何申

中国移动通信有限公司研究院安全技术研究所副所长何申在其主题演讲《网络安全技术发展趋势和挑战》中提到,5G、云计算、物联网、大数据、人工智能都在快速发展,新的安全威胁和新的安全需求也在因之而产生,此时需要考虑新的安全思维、新的安全防御方式予以应对。可信计算技术能够在计算机运算的同时进行安全防护,让计算全程可测可控。用可信计算双体系结构来保障云计算、物联网、5G等信息系统安全,可以实现计算环境可信、边界可信、网络通信可信,进而实现体系结构可信、操作行为可信、策略管理可信、资源配置可信以及数据存储可信等,让系统主动免疫防御能力得以增强。而量子通信的发展及应用可为5G网络提供高安全性密钥分发,保证5G加密与认证的长期安全。此外,量子随机数、量子精密测量、量子钟等量子信息技术也可为5G场景提供创新应用。

10.jpg图10:梆梆安全安全技术与创新事业部总监 贝松涛

2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,拉开了贯穿2019年全年的移动应用App治理工作,各项相关政策法规、管理办法等也相继出台,2019年成为了中国个人信息保护监管的元年。梆梆安全安全技术与创新事业部总监贝松涛在《个人信息保护监管态势和合规分析》主题演讲中表示,个人信息保护合规工作如今正在面临错误解读、与业务矛盾、相关技术尚待突破等难题,例如被App大量集成的第三方SDK就在成为企业展开相关自查工作的难点。在梆梆安全看来,企业要想做好个人信息保护,那么首先需要基于国家标准中对于个人信息、个人敏感信息的定义,与企业产品、研发等部门对App当前所收集的个人数据类型进行确认。然后对企业当前各个功能、业务流程进行梳理,明确各个业务功能和流程,并展开相关安全测试。另外,还要对企业个人信息保护相关管理制度、规范进行全面了解和梳理,形成企业个人信息管理制度评估表。

11.jpg图11:北京天际友盟信息技术有限公司技术总监 刘广坤

北京天际友盟信息技术有限公司技术总监刘广坤在其主题演讲《安全情报驱动的网络安全防护应用实践》里提出,如今,APT攻击在变得越来越常态化,Wannacry等勒索类攻击让人们看到恶意攻击的门槛也在日益降低,海量的物联网终端设备在成为万物互联世界网络安全架构里的薄弱环节,加剧的DDoS攻击在不断加剧关键基础设施的安全防御压力。网络渗透与攻击行为在频繁危害国家政治、经济安全,网络恐怖与犯罪活动在严重威胁国家社会、文化安全,国家层面在网络空间安全领域的竞争与博弈日趋激烈。而有效运用安全情报,则能帮助始终在与时间赛跑的网络安全防御者们,在网络安全攻防中占得一丝先机,让隐身的威胁显形,促进整体防御体系各个环节间的智能协同。

12.jpg图12:国民认证科技(北京)有限公司技术总监 宁晓魁

在互联网+时代下的今天,身份认证需求也在发生新的变化,需要解决诸如安全性问题、便捷性问题、隐私保护问题、适配性问题、孤岛问题等新型身份认证难题。国民认证科技(北京)有限公司技术总监宁晓魁在其主题演讲《信息网络中可信身份认证技术研究》里和与会嘉宾分享了如何运用可信身份认证新技术来解决新网络时代下身份认证面临的各类新问题。

万物互联的数字时代下,网络在拉近人们之间的距离,数字化让全世界都在加速前行,而来自网络世界里的恶意攻击也在给现实世界带来更为巨大的破坏。网络安全是物理世界和网络世界的重要护卫者与联结者,将安全赋能到万物互联世界里的每个角落,是中国网络安全企业践行国家网络强国战略的重要工作,“没有网络安全就没有国家安全”,让我们结成网络安全命运共同体,共筑国家网络安全新防线!

来源:freebuf.com 2019-07-11 10:32:05 by: 梆梆安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论