第六屆中國網(wǎng)絡安全大會：網(wǎng)絡安全動向熱詞解析

近日，第六屆中國網(wǎng)絡安全大會（NSC 2018）在北京國家會議中心盛大召開。在2000名與會者的見證下，來自國內(nèi)外的40多位頂級網(wǎng)絡安全專家和學者發(fā)表精彩演講，共同聚焦國際視野下的網(wǎng)絡安全。許多專家學者不約而同地跟蹤了近年來的熱點問題。

 

自主可控

大會名譽主席，中國工程院院士倪光南以中興事件為例，闡明“網(wǎng)絡安全的核心是技術安全”的要義。

他表示，在人工智能、5G網(wǎng)絡、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、AI等新型技術方面，我國占據(jù)相當?shù)暮蟀l(fā)優(yōu)勢，在世界上也有一定的地位。目前，相關單位應當迅速補齊短板，繼續(xù)利用我們的優(yōu)勢實現(xiàn)彎道或者換道超車。倪光南指出，自主創(chuàng)新是我們攀登世界科技高峰的必由之路，未來必須要通過自主可控達到技術安全，用安全的技術打造安全的網(wǎng)絡。

 

區(qū)塊鏈安全

區(qū)塊鏈技術的應用和開發(fā)中，數(shù)字加密技術是關鍵。一旦加密方法遭到破解，區(qū)塊鏈的數(shù)據(jù)安全將受到挑戰(zhàn)，其不可篡改性亦將不復存在。

中國科學院院士王小云在此次會議中，以“Hash函數(shù)與區(qū)塊鏈技術”為主題介紹了基礎密碼算法——Hash函數(shù)的基本安全屬性及其在密碼系統(tǒng)設計中的重要應用，特別是在區(qū)塊鏈技術與產(chǎn)業(yè)中的重要應用。Hash函數(shù)主要用于檢測消息完整性，與簽名算法一起保證電子簽名的合法性與抗抵賴性，是設計眾多密碼系統(tǒng)的關鍵部件。

而北京大學網(wǎng)絡與信息安全實驗室博士生、國際區(qū)塊鏈安全比賽第一名ABBA GARBA(廣博) 則從比特幣和區(qū)塊鏈技術的概述出發(fā)，講述了公鏈、私有鏈和聯(lián)盟鏈的概念及應用。他提出，比特幣和區(qū)塊鏈在隱私及安全方面仍存隱患，應從加強密碼密鑰技術、改進區(qū)塊鏈協(xié)議、強化職能合約和防回溯、實現(xiàn)數(shù)據(jù)分析和可視化等方面對其進行完善。

 

個人信息保護

5月1日，《信息安全技術個人信息安全規(guī)范》開始實施，意味著我國個人信息保護工作步入了一個更加規(guī)范化的階段。

中國電子技術標準化研究院信息安全研究中心審查部總監(jiān)、國家標準《個人信息安全規(guī)范》主要編制人之一何延哲以“個人信息保護合規(guī)的挑戰(zhàn)和機遇”為主題進行了演講。他詳細分析了各國家和組織對個人信息保護的立法情況。其中，美國的特色在于分散立法、重視行業(yè)自律和訴訟案例，歐盟的特色在于統(tǒng)一獨立立法、成立數(shù)據(jù)保護委員會和實現(xiàn)DPA監(jiān)管，而我國雖然尚未形成個人信息保護方面的單獨立法，但出臺了不少相應細則，實踐指導性較強。他認為，當代互聯(lián)網(wǎng)企業(yè)要有所發(fā)展，必須要讓算法在數(shù)據(jù)和合規(guī)之間找到平衡點，以合規(guī)保障業(yè)務可持續(xù)發(fā)展。具體來說，合規(guī)的技術方向應當包括：可知、可控、可溯、可迭、可預、可示。

 

5G安全

5G網(wǎng)絡已成為全球發(fā)展趨勢之一。但是，5G在業(yè)務、架構、技術等方面，都對用戶安全和用戶隱私保護提出了新的挑戰(zhàn)。

中國電子科技集團公司首席科學家曾浩洋以“第五代移動通信系統(tǒng)安全概覽”為主題，從新的應用場景和新的網(wǎng)絡架構兩方面分析了5G面臨的安全挑戰(zhàn)及其安全需求。他指出，當前5G的總體安全需求是，提升安全防護等級，強化認證和授權，實現(xiàn)切片隔離，防止降維攻擊，推進安全監(jiān)控和安全服務化等。

目前，5G安全標準化已推進至第二階段，主要研究內(nèi)容為大規(guī)模物聯(lián)網(wǎng)、身份管理、SBA安全、邊緣計算安全等，防護功能更加完善，且能適用于更多場景。而最終，5G網(wǎng)絡將實現(xiàn)面向垂直行業(yè)的安全服務，即打造靈活的安全體系結構、可定制的安全功能、開放的安全能力和多元化的信任等。

 

基于人工智能的網(wǎng)絡安全

近年來，人工智能被應用于各個垂直領域，網(wǎng)絡安全面臨新的挑戰(zhàn)，也為人工智能大顯身手帶來了重要的契機。

騰訊高級安全研究員羅元海便認為，安卓病毒在當下的傳播態(tài)勢正在加劇對傳統(tǒng)對抗方式的挑戰(zhàn)，而鑒于傳統(tǒng)對抗方式的運行機制，其在當下病毒對抗中陷入困局。AI技術成為破局關鍵，其具備的實時響應、抗免殺等技術特點，將成為下一代反病毒引擎的核心對抗能力。

此外，百度AI安全技術總監(jiān)聶科峰講述了“AIoT時代的安全”、北京安賽創(chuàng)想科技有限公司資深戰(zhàn)略顧問謝超首闡釋了“智能安全的自我進化”、蘇州錦佰安信息技術有限公司創(chuàng)始人兼CEO馮繼強論述了“AI領域，對抗欺騙與安全防御”，3人將視野聚焦于AI數(shù)據(jù)分析、身份認證等不同功能在安全領域的應用。

 

工控智能終端安全

我國工控領域的安全問題突出，工控系統(tǒng)的復雜化、IT化和通用化加劇了系統(tǒng)的安全隱患，通用開發(fā)標準與互聯(lián)網(wǎng)技術的廣泛使用，使針對工業(yè)控制系統(tǒng)（ICS）的病毒、木馬等攻擊行為大幅增長，導致整體控制系統(tǒng)的故障，甚至引發(fā)惡性安全事故。

水利部機電研究所工控網(wǎng)絡安全測評中心副主任張志華以“水利工程工業(yè)控制系統(tǒng)網(wǎng)絡安全防護策略”為主題，解讀了水利工程工業(yè)系統(tǒng)網(wǎng)絡安全政策與水利工程工業(yè)系統(tǒng)網(wǎng)絡安全現(xiàn)狀，提出工業(yè)控制、風險評估、應急處理三位一體的防護策略。

公安部第三研究所助理研究員唐迪提出，近年來針對車載信息的網(wǎng)絡攻擊越來越多，外國黑客先后對多種車型進行了破解，車載電子信息系統(tǒng)安全受到威脅。研究發(fā)現(xiàn)，車載信息系統(tǒng)的安全隱患主要集中在傳輸安全、固件/設備安全、軟件/應用安全3個層面。目前，國外已有相關安全標準出臺，國內(nèi)的相關研究也越來越多，車載信息安全將在未來得到改善。

公安部第一研究所檢測中心物聯(lián)網(wǎng)產(chǎn)品檢測部副主任浮欣以“安防及智能設備信息安全檢測”為主題介紹了物聯(lián)網(wǎng)中廣泛使用的安防及智能家居產(chǎn)品與設備技術特點，包括民用領域和公共安全領域等。他提出，這些產(chǎn)品和設備的安全風險存在于傳感器和執(zhí)行器、嵌入式系統(tǒng)、通信系統(tǒng)等多方面，近年來頻發(fā)的監(jiān)控攝像頭安全問題，已引起有關機構的高度重視。

 

云和大數(shù)據(jù)安全

中國電子技術標準化研究院信息安全研究中心數(shù)據(jù)安全部主任胡影以“我國大數(shù)據(jù)安全標準進展與應用實踐”為主題，闡述了我國在大數(shù)據(jù)安全、隱私保護領域的標準化工作情況。胡影介紹，2018年我國已發(fā)布《大數(shù)據(jù)安全標準化白皮書》，并相繼出臺了多個網(wǎng)絡安全實踐指南文件。目前，這些標準先后得到應用，取得良好成效。下一步，全國信息安全標準化技術委員會將開展“信息安全技術數(shù)據(jù)安全能力成熟度模型”的試點工作，進一步推進大數(shù)據(jù)技術安全進程。

北京安數(shù)云信息技術有限公司CTO徐鋒表示，國內(nèi)云安全市場尚處于起步階段，但整體的市場規(guī)模將隨著云計算市場增長而快速崛起。云安全面臨的挑戰(zhàn)主要在幾個方面：云模式下，用戶失去對物理安全的控制；云中使用內(nèi)部開發(fā)的代碼會涉及代碼組合和兼容的問題，將引入因混合技術不成熟而帶來的安全漏洞；多個組織的虛擬機共存于同一物理資源上，物理隔離和基于硬件的安全難以得到保護；缺乏適當?shù)墓收匣謴图夹g；各類有關標準林立，互不兼容，業(yè)務割裂，系統(tǒng)混亂等。而強化云安全解決方案則應從服務用戶、安全服務融合、數(shù)據(jù)融合、安全產(chǎn)品系列融合、平臺兼容等多方面入手。

（原載于《保密工作》2018年第7期）