亚太区最大规模的安全会议——2017中国互联网安全大会(ISC)今日上午在国家会议中心正式召开。安全牛记者也来到现场,并按照致辞及分享顺序,将干货内容记录如下。
致辞部分:
杨小伟
今年的ISC大会主题是“人是安全的尺度”,因为网络安全归根结底是人才竞争。除此以外,还应在以下三个方面努力:加强技术创新,并在物联网、区块链和人工智能等领域进行前瞻性布局;带动产业需求,力求建立良好的业界生态圈;完善网络空间法治环境,打造“人人学安全、懂安全和重安全”的良好社会氛围。
——中央网信办副主任杨小伟
赵志国
近年网络攻击频发,并呈现出成本持续降低、手段趋于复杂、损失不断增大的严峻态势。对于愈演愈烈的攻击态势,应提升态势感知、应急处置、攻击溯源等方面安全能力;加强网络安全能力的部署、监督与落实;并推进大数据的安全监管和个人信息保护机制的建设。
——中国工程院院士赵志国
郭启全
发展和安全能力都是硬道理。企业要研究国家、重要行业部门的需求,发展自己的业务能力。警察和军队、行业部门和企业、国家各级财政及相关部门,也应从保卫、保护和保障的三个角度,三位一体地实现以等级保护制度为基础,对国家关键信息基础设施的保护。
——公安部网络安全保卫局总工程师郭启全
张平武
无论是实现广泛的互联互通,还是大数据、区块链等新技术的发展,都需要密码技术作为重要基础支撑。以密码技术为核心,才能真正实现可信互联、安全互通。
——国家密码管理局商用密码管理办公室主任张平武
邬贺铨
新的数字经济机遇也带来了新的安全隐患和新的攻击目标。因此,要在“更新安全理念、部署智能安全设备、提升应对安全挑战能力”这三方面做出努力。而在人才培养方面,因为目前能结合新安全技术和传统产业的复合型人才匮乏,所以要更加重视安全人才的培养,以及人在应对网络攻击中不可替代的作用。
——中国工程院院士、中国互联网协会理事长邬贺铨
齐向东
今年的几起重大勒索攻击事件表明,传统的安全技术和产品已经完全无法阻止网络攻击的发生。随着大范围的无差别网络攻击事件频发,以及更多国家关键信息基础设施成为重点攻击目标,安全人员对于检出率和误报的态度,必定不能再像原来那样随意。通过“人+安全”体系实现的综合性防护将在之后的攻击事件应对中起到关键作用。而强大的安全运营团队将是今后安全工作的中流砥柱。人,将成为衡量安全能力的重要尺度
——360企业安全集团董事长齐向东
议题分享:
1. 《从军事战争的演变看网络战的发展》
前美国参联会副主席、退役海军上将、Red Bison咨询集团执行董事长William A. Owens
William A. Owens
Owens表示,预计到2027年,人工智能、机器人的发展的奇点将到来,随着机器越来越智能,对人工智能是否会失控的质疑声音也越来越大。同时,战争的重点,也开始发生变化。未来不再是传统军事装备的堆砌和升级,而是将重点和经费更多的投入在智能战争,包括用传感器来对战场态势进行感知,国家在网络安全防护能力建设上进一步的投入。
当然,无论是在国家层还是社会层面,中美两国在网络安全方面的利益是一致的。中美应通过合作伙伴机制形成合力,打造两国在网络安全领域的全球领导力。
2. 《网络安全、网络犯罪与联合国:外交和能力》
联合国毒品与犯罪问题办公室(UNODC)网络犯罪项目全球主管Neil J.Walsh
Neil J.Walsh
UNODC从2010年开始协助联合国成员打击网络犯罪,并在2013年发布了《网络犯罪问题综合研究报告(草案)》。UNODC已经在中美、东非、东南亚等地建立了办事处,但是受限于当地局势和政治障碍,跨政府的外交、合作、能力建设和技术支援等工作的开展依然困难重重。
目前全球仍有很多机构、很多人缺乏对网络安全威胁的认知,对此,UNODC正在和教育机构合作打造覆盖小学到大学的免费教材,将网络安全能力和防范意识教育带给全球的教师和学生。
就业是另一个重点,从事网络犯罪中有相当一部分人,是因为空怀本领却没有足够的安全岗位来一展所长。所以如果社会和企业更重视安全,创建更多的安全岗位,这将有助于维护更安全的社会环境。
3. 《网络空间安全的定义与演进》
中国电子信息产业集团首席科学家、中国工程院院士方滨兴
方滨兴
网络安全由信息安全发展而来,后者强调保护信息系统、信息自身以及信息利用中的特定安全目标的机密性、可鉴别性、可控性、可用性。具体反映在物理安全、运行安全、数据安全和内容安全四个层面。
网络空间即人造的电磁空间,包含载体(通信设施)、资源(数据)、活动主体(用户)和活动形式(操作)四个要素,人们在其中从事与通信相关的活动,不可避免地会产生信息系统的滥用,这种风险会波及到文化、经济、政治甚至国家安全。
4. 《没有“我”攻不破的系统》
Evolution Security GmbH公司CEO Benjamin Kunz Mejri
Benjamin Kunz Mejri
系统由人开发,而人是会犯错误的,因此每个软件或系统都一定有安全漏洞。很多机构抱着忌病讳医的心态,殊不知漏洞越不为人知就越难以保护。更可怕的是,隐藏的漏洞仍然会被别人发现,一旦这些漏洞被挂在黑市售卖,社会会遭受更大危害。Evolution Security GmbH的重心在于研究APT攻击和提供渗透测试,目前已经与机场、银行、ATM制造商,以及贝宝、摩根大通、苹果公司甚至NASA建立了密切合作关系。
5. 《我掌控了信息世界》
ACKspace创始人、生物黑客Patrick Paumen
Patrick Paumen
Patrick Paumen在他的双手内共植入了14个无源磁体,指尖的4个磁体用于增强对电磁场的感知。胳膊处植入的RFID标签,则可以用来解锁家门(不需要担心丢钥匙)、解锁手机和电脑(不需要存储指纹和输入口令)。当然,RFID植入物也可以动物身上得到应用。通过简单的扫描,就可以获得该动植物的拥有者想要记录的相关信息。
而今年最新的RFID标签植入物中,还加入了双因子身份认证、数据加解密、数字签名等安全和隐私保护功能。
6. 《人是安全的尺度》
360集团董事长、首席执行官周鸿祎
周鸿祎
网络安全已经和社会融为一体,安全问题也已经泛化,不再只是网络或信息安全本身,而是包括国家、社会、基础设施、人身安全的大集合,进入“大安全时代”。
近年勒索攻击、乌克兰停电等安全事件的爆发,都表明世界已经进入不宣而战的网络战时代,打网络战的能力愈加重要,国家间的网络军备竞赛也将进入新的高度。
同时,安全漏洞已经成为国家级的战略储备资源。众测、漏洞奖励计划、有偿购买等,已经成为漏洞挖掘和收集的主要措施。能源(电力、石油、石化)、交通(地铁)等行业为代表的工控网络,也已成为国家级网络攻防演练的对象。安全与军工的结合,已是必然趋势。
如何在网络战中幸存,是所有人必须思考的问题。但是,归根结底,安全对抗的本质是安全人员间对抗,而不是安全产品的简单堆砌。网络安全行业需要大量专业人员提供包括咨询在内的安全服务。而网络安全行业必将成为具有高智商、高科技等特点的劳动密集型产业。只有将软硬件安全产品、安全服务和内外部安全人员结合,才能成为网络战最后的幸存者。