八百多年前,宋室南渡,民生凋敝,当时天下最顶尖的高手华山聚会。五大高手,弟子随行,为了一本《九阴真经》,斗了整整七天七夜,决出了天下第一王重阳,东邪、西毒、南帝、北丐、中神通,从此名震天下,史称“华山论剑”。
2018年4月27日,本届“西湖论剑”大会的主题是“新时代、新安全、新力量”,包括中国科学院院士何积丰、中国工程院院士邬江兴、安恒信息董事长范渊、阿里云安全事业部总经理肖力、联合国犯罪和司法研究所主任Francesco Marelli、卡巴斯基全球研究分析团队亚太区总监Vitaly Kamluk等国内外知名专家学者和优秀企业家围绕网络空间安全战略、产业发展趋势、人才培养等热门话题进行了讨论与分享。
侠之大者,为国为民
浙江省人民政府副省长高兴夫与杭州市人民政府副市长陈新华出席大会并致开幕辞。高兴夫指出,近年来浙江省全面推进网络安全工作,关键信息基础设施防护水平显著提升,打击网络犯罪行为取得新成效,网络安全产业快速发展,网民意识逐步提升,进一步筑牢网络安全屏障。陈新华在致辞中表示,通过近几年的努力,杭州涌现出了一批如安恒、新华三、海康威视等在国内外有较强影响力的信息安全企业,不少企业的网络安全防护能力已居于领先地位,为杭州信息安全产业的发展起到了领跑和示范的作用。
要深入学习贯彻习近平总书记网络强国战略思想和在全国网络安全和信息化工作会议上的重要讲话精神,按照省委网络安全和信息化领导小组会议的决策部署,正确处理安全和发展的关系,加强关键信息基础设施保护和数据安全防护;大力扶持网络安全企业做大做强,加快产业集聚,构建产业生态;加大网络安全人才培养引进力度,着力打造一支技术精湛的高素质人才队伍;依法严厉打击网络黑客、电信网络诈骗,侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,维护人民群众合法权益;为我省高质量、竞争力、现代化发展保驾护航,为构建网络空间命运共同体作出新贡献。
高兴夫在开幕致辞中说道。
新时代、新安全、新力量
互联网向传统实业变化,传统实业也在向互联网变化。在安全新时代,我们同样需要新的力量。
安恒信息董事长范渊在演讲中提到,AI与安全的融合在我们目前的实践中,更多表现为大数据和机器学习,AI被用来做精准发现、判断和预警。以前总有人担心,人工智能普及了会不会抢走我们的饭碗?在范总看来,AI和安全的结合,绝对不会消除安全的岗位。相反,通过过去十个月的实践发现,对大数据的分析人才和建模人才将是今后非常热门的岗位之一。
范总还指出,当前数据安全和隐私安全面领着新的挑战,需要新的监管来帮助应对这一挑战。
大数据的流通、交换及有效应用已经成为我们数字经济中无可争议的重点。这个挑战很艰巨,数据安全需要内部和外部的同时管控,过去十年的黑客攻击、拖库、内部数据窃取现象比比皆是。再说隐私保护,很多时候大家会混淆这个概念。数据安全以防护为主,而隐私问题则有很多情况是互联网企业或相关使用者过度使用导致的,没有相关制度与规定的约束很容易出问题,扎克伯格就花五千亿的代价买了个教训。
我们在这一块刚刚开始,从某种意义上讲,如果说数据安全是针对我们很多技术能力的挑战,隐私保护就是所有互联网企业和数据使用者面对贪婪的挑战。
对于新时代下的网络安全,范渊做出了自己的诠释。“监管、赋能、共创”,这三个关键词,成为他眼中新时代下的重要力量。
网络空间安全&拟态构造
近年来网络安全事故频发,像一只幽灵在我们的头顶盘旋,为什么总是有修不完的漏洞?网络安全问题的根源究竟在哪儿?中国工程院院士邬江兴为我们带来了他的见解。
邬江兴认为,网络安全的本源问题有三:
一、软硬件设计缺陷导致漏洞的不可避免性;
二、全球化时代任何机构都无法对木马或病毒等恶意程序进行完全管控;
三、未知的漏洞可能无处不在。
受这三个基本问题的影响,带来了数不清的问题。路由器、交换机、工业控制系统,服务器、云计算、云服务、大数据、芯片、板卡、防火墙……这些东西里面那三个问题都存在吗?或者说这些东西的服务可以做到100%安全可靠吗?答案可能很悲观。因为任何一块集成电路芯片,一个复杂控制装置,只要存在一个漏洞就可能导致整个信息系统乃至所有相同的设施遭殃。
安全防护的边界近乎无限大,我们应该怎么办?
邬院士由此提到了内生安全及拟态构造的概念。如果一种软硬件的系统在不依赖任何附加安全措施的情况下,仅凭自身的构造机制就能在一定程度上将已知或未知的扰动影响控制在一定概率范围内,则称之为内生安全。 石墨与金刚石的成分一样,硬度却是天壤之别。邬江兴提出了网络安全的动态异构冗余构造,它的工作机制很类似于拟态伪装机制,所以也可以称之为拟态构造。
先别急着懵逼,网络安全领域所谓的拟态构造,其实就类似于生物界的拟态伪装。在目标对象给定服务功能和性能不变前提下,其内部架构、冗余资源、运行机制、核心算法、异常表现等环境因素,以及可能附着其上的未知漏洞后门或木马病毒等都可以做策略性的时空变化,从而对攻击者呈现出“似是而非”的场景,以此扰乱攻击链的构造和生效过程,使攻击成功的代价倍增。
拟态构造防御概念提出有些年头了,据邬院士的说法,近期该技术方向的研究取得了关键性突破。去年12月,科学出版社出版了《网络空间拟态防御导论》,德国的出版社将于今年年底在全球发行。据悉,该技术已拥有八项核心专利,四项美国专利,一百多项外围专利,国家一系列重点专项支持即将出台。
内生安全将成为新一代信息技术的基本特征,拟态构造也将创建网络空间新型防御体系,我们正在造就燎原之火。
企业数字安全之路
阿里云计算有限公司安全事业部总经理肖力,他是阿里巴巴集团的第一位安全工程师,在企业安全体系架构建设和云计算安全领域可谓我国第一代老兵。肖力今天带来的分享内容是企业数字化转型的安全趋势。
数字化转型大潮下,包括政府事务在内的各行各业都在把线下的模块线上化、数字化。在此趋势之下,安全已经成为越来越重要的话题。肖力在会上与大家分享了阿里云计算究竟是怎样帮助企业更好地解决互联网安全问题。
当前国内超过40%的网站在阿里云上,我们每天帮助用户成功防御超过16亿次攻击,也有朋友问我为什么有这么大的量?这与目前的安全环境是有关系的,比较遗憾的事,这就是现状。
为此,他也提出了自己对目前企业数字化转型安全之路的看法。
一、人工智能将更加深度地应用在信息安全领域;
二、安全产品整体化;
三、默认安全;
四、数据隐私保护。
肖力以春运为例,介绍了阿里云为期提供的坚实后盾及安全保障。为了把中国互联网打造得更安全、更纯洁,他们将持之以恒,不懈努力。
公域安全核心技术
所谓公域,即公共领域,原指介于社会中的私人利益与国家权利领域之间的机构空间和时间,个体公民聚集在一起,共同讨论他们所关注的公共事务,形成某种接近于公众舆论的一致意见,从而维护总体利益和公共福祉。
引申来看,深海、极地、太空乃至网络空间,都是人类共享的公域。
中国科学院院士何积丰以浅显易懂的语言为大家分享了关于公域安全的核心技术,介绍了目前公域安全的主要内容及其面临的挑战。网络安全目前已是公域安全的重要组成部分,其面临的严峻挑战需要得到更多重视,何院士为此详细介绍了网络安全的保障能力、防护技术、发展趋势等重要内容。
工业互联网安全
国家工业信息安全发展研究中心的尹丽波主任为我们讲述了何为工业互联网,还探讨了当前工业互联网面临的安全问题。
尹主任称,全面推进工业互联网安全保障工作需要坚持四个原则。
一、坚持企业主体,政府引导;
二、坚持安全发展,共同推进;
三、坚持系统谋划,统筹保障;
四、坚持问题导向,科学施策。
尹主任还提出,我国应不断健全工业互联网安全政策和标准体系、促进企业落实工业互联网安全主题责任、强化工业互联网安全技术保障能力建设、发展自主可控的工业互联网安全产业,进一步推动工业互联网安全发展。
其他精彩内容
来自联合国犯罪和司法研究所技术与安全项目主任Francesco Marelli带来了主题为《新技术领域的风险识别和解决方案》的演讲,就技术与安全、区块链安全、利用大数据打击网络犯罪活动、人工智能等热点领域与大家分享信息。
卡巴斯基全球研究与分析团队亚太区总监Vitaly Kamluk自2005年起就参与恶意软件研究,后借调至位于新加坡的国际刑警组织全球创新中心,在国际刑警组织数字犯罪中心专门从事恶意软件逆向工程、数字取证和网络犯罪调查。他带来的演讲主题是:《奥运破坏者——网络安全骗局》,分享了卡巴斯基对2018年平昌奥运会黑客攻击的行为分析。
此外,安恒信息首席科学家刘博、副总裁黄进、副总裁郑赳等分别围绕AiLPHA大数据、数据共享能力协同构建网络安全态势感知新时代等主题进行了精彩演讲。浙江大华CEO李柯、杭州中奥创始人兼总裁沈贝伦、梆梆安全CEO阚志刚、浙江华途副总裁吴进波也开展了与数据安全相关的主题演讲。
大会中场还穿插进行了“西湖论剑杯”大学生信息安全技能总决赛颁奖仪式、网络安全人才培养战略合作签约仪式、网络安全行业创新成果分享以及“X计划”发布仪式等活动。
所谓“X计划”,主题就是联合网络安全产业、高校共同推动的包括高端网络安全人才资格认证、基础网络运维人才培养等在内的人才培养工程。真正的国之重器,必然会担负起相应的社会责任,网络安全人才培养绝非朝夕之功,我们重任在肩。
这场海内外高手云集的“西湖论剑”之旅干货满满,也是笔者近期参加的安全峰会中政企合作属性最浓厚一场,充分体现了范渊“监管、赋能、共创”的愿景。唯一的遗憾就是没看到真的西湖了……期待明年论剑时,有更多的安全新力量大展身手,泛舟西湖,不醉不归。
*本文作者:Akane,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-04-28 01:05:34 by: Akane
请登录后发表评论
注册