2019年5月15日,由公安部第三研究所《信息网络安全》杂志主办、北京梆梆安全科技有限公司承办的“‘赋能安全•联结未来’信息网络安全系列专题研讨会”在北京召开,本次会议由计算机学会计算机安全专业委员会严明主任主持。来自公安部网络安全保卫局、公安部第一研究所、公安部信息安全等级保护评估中心、国家计算机病毒应急处理中心、科技部信息中心、国土资源部信息中心等相关部门的嘉宾,以及来自中国移动通信有限公司研究院、华为、微步在线等单位的专家齐聚一堂,共同探讨了如何应对数字新时代下的网络安全新挑战,建设网络安全防护核心新能力。正式发布的等保2.0成为了本次研讨会的关注焦点之一,梆梆安全作为等保2.0相关标准编撰的参与者也从场景角度同与会嘉宾进行了分享。
图1:“赋能安全•联结未来”信息网络安全系列专题研讨会
会上,公安部第三研究所《信息网络安全》杂志主编关非、梆梆安全创始人兼CEO阚志刚分别发表了致辞。
图2:公安部第三研究所《信息网络安全》杂志主编 关非
《信息网络安全》杂志主编关非表示,快速发展的移动互联网使得各种新业务、新业态不断涌现,网络安全工作重点需要从强化关键信息基础设施安全保护、切实加强数据安全管理和个人信息保护、加快关键核心技术和网络安全产业发展、大力加强网络安全人才培养几个方面来进行。5G时代将涌现更多的网络安全威胁和挑战,针对不同行业、不同业务场景,要提供更强的网络安全防护能力。要充分发挥技术优势,倡导主动防御和应急处置,及时发现问题并补救。
图3:梆梆安全创始人兼CEO 阚志刚
梆梆安全创始人兼CEO阚志刚提出,为用户清除其业务系统、信息化系统里的一切安全威胁杂音是网络安全工作的终极目标,但面对不断变化的恶意威胁,网络安全企业要能够做到“因时而进,因势而新”,在不同的网络时代下选择正确的安全前进方向,面对不同的攻击威胁发展趋势建立契合的网络安全新思维、新思想。未雨绸缪,梆梆安全早已开始展开有关物联网安全、工业互联网安全、区块链安全、人工智能安全、程序安全可信的前瞻性研究,并在加快实现威胁感知的延伸与扩展,做到“聪者听于无声,明者见于未形”,有效融入关联性安全情报,平台化联动安全检测、安全防护、安全监测、安全响应、安全服务,提升安全与业务之间的融合度。
面向未来,梆梆安全将继续研究更为广泛语言环境、应用环境下的代码安全防护技术,适度增强不同领域范围内数字世界关键节点里的代码安全强度,着手启动软件定义安全芯片、基于硬件的虚拟保护层、物联网安全操控系统研究工作,做到软件、硬件及控制等方向的多管齐下,逐步实现由软及硬、由内而外的联防联控,进而藉此链接网络安全大产业,培育更加广泛的物联网安全“大生态”+“泛安全”。
图4:公安部信息安全等级保护评估中心副研究员 陈广勇
网络安全等级保护制度2.0标准已经在日前正式发布,来自公安部信息安全等级保护评估中心的陈广勇副研究员在本次会议上介绍了《新形势下的网络安全等级保护制度》。新技术新应用的发展催生了应用的新模式,需要等级保护制度覆盖这些新模式,而网络安全法的颁布实施则标志着国家等级保护制度开始进入2.0时代。
图5:等保2.0新变化
在新时期下,国家等级保护制度需要开展新的法律和政策体系构建工作、新的标准体系构建工作、新的技术支撑体系构建工作、新的人才队伍体系构建工作、新的教育训练体系构建工作、新的保障体系构建工作。为保障各类新兴业态的健康发展,在正式发布的网络安全等级保护制度2.0中就对云计算安全、移动互联安全、物联网安全、工业控制系统安全提出了严谨的扩展要求。
图6:中国移动通信有限公司研究院安全技术研究所副所长 何申
中国移动通信有限公司研究院安全技术研究所副所长何申在其主题演讲《物联网安全可信接入关键技术研究》中提到,在万物互联的大趋势下,物联网异构设备的数量在急速增长,随之带来的则是安全支出的大幅增加。随着接入设备数量的增长,接入边界的模糊,安全不确定性大幅提升,在普通物联网基础上形成可信成为必然。结合等保2.0对物联网安全的要求,中国移动研究院正在针对海量物联网设备、接入设备,将防御边界推向近源侧,打造可信系统架构,保障网络节点及节点间传输安全,实时感知物联网终端安全态势,动态生成安全策略,展开全网协同防御。让网络自身具备免疫能力,保障网络系统运行时的安全。
图7:梆梆安全CSO 付杰
梆梆安全CSO付杰在主题演讲《从程序安全到安全可信》中分享了梆梆安全未来三年的技术战略。付杰认为现在用户需要的是“解决某个层面的安全问题”,而不再仅是购买安全产品完成合规工作。网络安全问题从来不会独立存在,而是会依附于组织架构和业务等各类实体之上。网络信息安全行业作为生长在基础计算机科学技术上的一个分支,面对复杂的新型恶意威胁和恶意攻击发展新态势,需要开始考虑将编译器、操作系统、芯片体系架构、软件分析等基础计算机科学技术逐渐应用于本行业中。因此梆梆安全持续致力于构建泛程序安全技术体系,打造可信的程序,为万物互联时代构建信息安全新基石。也就是要在解决程序安全漏洞和做好软件安全保护外,还需要开始关注软件供应链安全,关注程序执行所需外部环境的可信,以更为领先的技术在不同类型程序及终端上提供安全检测能力,并且把程序安全融入到SDLC流程中去。为了能更好地解决客户的实际问题,梆梆安全同时也在大力拓展面向程序安全的全方位服务,包含咨询、评估、渗透、威胁响应、安全运维托管及安全培训。这意味着,未来梆梆安全将会围绕程序安全为用户在技术层面上提供泛程序安全的产品和方案,在服务层面上提供泛安全服务,真正成为可以托付信赖的安全服务供应商。
图8:国家计算机病毒应急处理中心高级工程师 刘彦
2019年国家对移动应用的治理愈加趋严,国家计算机病毒应急处理中心高级工程师刘彦在其主题演讲《警企携手 移动应用联动处置走向深入》中介绍了通过建立警企联动处置机制,开通国家移动互联网应用安全管理中心官方网站,打造移动互联网应用安全管控平台,并发起成立移动互联网应用安全与版权联盟的方式,警企合作共同支撑App违法违规收集个人信息专项治理工作。
图9:梆梆安全技术总监 孟杰
在数字化时代下的今天,供应链的数字化趋势创造了新的商业模式——“第三方数字合作伙伴”,数据与服务作为新的生产要素,通过共享的形式被使用,他们带来商业价值的同时,也让企业和供应链中角色承担了安全风险。如何在数字化时代下做到企业与供应链安全共赢,梆梆安全技术总监孟杰在《移动数字化经济供应链安全挑战》主题演讲中揭示了移动数字化供应链所在面临的软件供应链污染、隐私数据泄露监管处罚、财务资金损失等安全问题。孟杰表示,移动数字化经济需要做到安全、可控、合规,因此应该围绕移动数字化经济关键节点集成SDK、外发SDK等,将安全服务覆盖至产业链的上下游,打造安全服务的生态闭环,建立移动数字化经济供应链安全生态。
图10:华为终端实验室技术专家 季昀
安全与隐私是Android Q的主要着力点,从提升平台的防护等级,到以隐私为中心设计新特性,从多角度突破,力争提供完善的安全措施,让用户享有更多控制权,确保应用和设备透明公开信息的收集和使用。
来自华为终端开放实验室的技术专家季昀为与会嘉宾带来了题为《Android Q版本兼容最佳实践》的主题演讲,介绍了Android Q版本的诸多新特性,以及可能会对Android系统及Android移动应用安全带来的影响和适配方案。早在2016年华为就宣布联合包括梆梆安全在内的国内知名互联网企业、网络安全企业等共同组建“安卓绿色联盟”,打造安全、可靠、信赖、健康的安卓应用生态,为移动应用安全作出了极大的贡献。
图11:梆梆安全解决方案总监 赵千里
梆梆安全解决方案总监赵千里在其主题演讲《远程开户走红 如何安全可信》里提出,远程开户是金融和互联网结合衍生的创新模式,打破了面签,直接网上获得客户,给行业的发展带来了巨大的增长空间和潜力。同时,远程开户的主体较为隐蔽,开户环境也具有多变性,其中存在的风险和问题也在给金融行业的发展造成一定阻碍。
远程开户出现的安全问题本质上都是由于客户端不可信造成的,客户端的环境是否可信,来自客户端的数据是否可信,客户端的操作者是否可信?要解决移动客户端可信问题,需要做好终端静态防逆向,防范反编译暴露业务逻辑,对通信过程加密避免数据篡改,监测运行环境防止行为欺诈。最终从移动应用自身代码安全、通信协议安全、运行时环境安全综合防范建立远程终端可信服务体系。
图12:微步在线技术运营合伙人 赵林林
今年是网络安全大年,也是威胁情报的大年,美国RSA大会上威胁情报上升至热词榜第七位。微步在线技术运营合伙人赵林林在其主题演讲《情报驱动的威胁监控》里和与会嘉宾共同分享了情报的应用与落地,以及在企业中如何使用情报进行检测并发现威胁。
万物互联的数字时代里,网络安全不再仅仅是一个工具、一件产品,网络安全更是持续性的服务,是业务顺畅发展的关键助力,是物理世界和网络世界连接的重要枢纽。“没有网络安全就没有国家安全”,网络安全企业作为数字世界里国家安全防御的探索者与践行者,是网络国防的重要主体之一,让我们用安全赋能业务,以安全联结未来,结成网络安全命运共同体,共筑国家网络安全新防线!
来源:freebuf.com 2019-05-16 16:45:46 by: 梆梆安全
请登录后发表评论
注册