第六屆中國網(wǎng)絡(luò)安全大會：網(wǎng)絡(luò)安全動向熱詞解析

近日，第六屆中國網(wǎng)絡(luò)安全大會（NSC 2018）在北京國家會議中心盛大召開。在2000名與會者的見證下，來自國內(nèi)外的40多位頂級網(wǎng)絡(luò)安全專家和學(xué)者發(fā)表精彩演講，共同聚焦國際視野下的網(wǎng)絡(luò)安全。許多專家學(xué)者不約而同地跟蹤了近年來的熱點問題。

 

自主可控

大會名譽(yù)主席，中國工程院院士倪光南以中興事件為例，闡明“網(wǎng)絡(luò)安全的核心是技術(shù)安全”的要義。

他表示，在人工智能、5G網(wǎng)絡(luò)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、AI等新型技術(shù)方面，我國占據(jù)相當(dāng)?shù)暮蟀l(fā)優(yōu)勢，在世界上也有一定的地位。目前，相關(guān)單位應(yīng)當(dāng)迅速補(bǔ)齊短板，繼續(xù)利用我們的優(yōu)勢實現(xiàn)彎道或者換道超車。倪光南指出，自主創(chuàng)新是我們攀登世界科技高峰的必由之路，未來必須要通過自主可控達(dá)到技術(shù)安全，用安全的技術(shù)打造安全的網(wǎng)絡(luò)。

 

區(qū)塊鏈安全

區(qū)塊鏈技術(shù)的應(yīng)用和開發(fā)中，數(shù)字加密技術(shù)是關(guān)鍵。一旦加密方法遭到破解，區(qū)塊鏈的數(shù)據(jù)安全將受到挑戰(zhàn)，其不可篡改性亦將不復(fù)存在。

中國科學(xué)院院士王小云在此次會議中，以“Hash函數(shù)與區(qū)塊鏈技術(shù)”為主題介紹了基礎(chǔ)密碼算法——Hash函數(shù)的基本安全屬性及其在密碼系統(tǒng)設(shè)計中的重要應(yīng)用，特別是在區(qū)塊鏈技術(shù)與產(chǎn)業(yè)中的重要應(yīng)用。Hash函數(shù)主要用于檢測消息完整性，與簽名算法一起保證電子簽名的合法性與抗抵賴性，是設(shè)計眾多密碼系統(tǒng)的關(guān)鍵部件。

而北京大學(xué)網(wǎng)絡(luò)與信息安全實驗室博士生、國際區(qū)塊鏈安全比賽第一名ABBA GARBA(廣博) 則從比特幣和區(qū)塊鏈技術(shù)的概述出發(fā)，講述了公鏈、私有鏈和聯(lián)盟鏈的概念及應(yīng)用。他提出，比特幣和區(qū)塊鏈在隱私及安全方面仍存隱患，應(yīng)從加強(qiáng)密碼密鑰技術(shù)、改進(jìn)區(qū)塊鏈協(xié)議、強(qiáng)化職能合約和防回溯、實現(xiàn)數(shù)據(jù)分析和可視化等方面對其進(jìn)行完善。

 

個人信息保護(hù)

5月1日，《信息安全技術(shù)個人信息安全規(guī)范》開始實施，意味著我國個人信息保護(hù)工作步入了一個更加規(guī)范化的階段。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)、國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》主要編制人之一何延哲以“個人信息保護(hù)合規(guī)的挑戰(zhàn)和機(jī)遇”為主題進(jìn)行了演講。他詳細(xì)分析了各國家和組織對個人信息保護(hù)的立法情況。其中，美國的特色在于分散立法、重視行業(yè)自律和訴訟案例，歐盟的特色在于統(tǒng)一獨立立法、成立數(shù)據(jù)保護(hù)委員會和實現(xiàn)DPA監(jiān)管，而我國雖然尚未形成個人信息保護(hù)方面的單獨立法，但出臺了不少相應(yīng)細(xì)則，實踐指導(dǎo)性較強(qiáng)。他認(rèn)為，當(dāng)代互聯(lián)網(wǎng)企業(yè)要有所發(fā)展，必須要讓算法在數(shù)據(jù)和合規(guī)之間找到平衡點，以合規(guī)保障業(yè)務(wù)可持續(xù)發(fā)展。具體來說，合規(guī)的技術(shù)方向應(yīng)當(dāng)包括：可知、可控、可溯、可迭、可預(yù)、可示。

 

5G安全

5G網(wǎng)絡(luò)已成為全球發(fā)展趨勢之一。但是，5G在業(yè)務(wù)、架構(gòu)、技術(shù)等方面，都對用戶安全和用戶隱私保護(hù)提出了新的挑戰(zhàn)。

中國電子科技集團(tuán)公司首席科學(xué)家曾浩洋以“第五代移動通信系統(tǒng)安全概覽”為主題，從新的應(yīng)用場景和新的網(wǎng)絡(luò)架構(gòu)兩方面分析了5G面臨的安全挑戰(zhàn)及其安全需求。他指出，當(dāng)前5G的總體安全需求是，提升安全防護(hù)等級，強(qiáng)化認(rèn)證和授權(quán)，實現(xiàn)切片隔離，防止降維攻擊，推進(jìn)安全監(jiān)控和安全服務(wù)化等。

目前，5G安全標(biāo)準(zhǔn)化已推進(jìn)至第二階段，主要研究內(nèi)容為大規(guī)模物聯(lián)網(wǎng)、身份管理、SBA安全、邊緣計算安全等，防護(hù)功能更加完善，且能適用于更多場景。而最終，5G網(wǎng)絡(luò)將實現(xiàn)面向垂直行業(yè)的安全服務(wù)，即打造靈活的安全體系結(jié)構(gòu)、可定制的安全功能、開放的安全能力和多元化的信任等。

 

基于人工智能的網(wǎng)絡(luò)安全

近年來，人工智能被應(yīng)用于各個垂直領(lǐng)域，網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)，也為人工智能大顯身手帶來了重要的契機(jī)。

騰訊高級安全研究員羅元海便認(rèn)為，安卓病毒在當(dāng)下的傳播態(tài)勢正在加劇對傳統(tǒng)對抗方式的挑戰(zhàn)，而鑒于傳統(tǒng)對抗方式的運(yùn)行機(jī)制，其在當(dāng)下病毒對抗中陷入困局。AI技術(shù)成為破局關(guān)鍵，其具備的實時響應(yīng)、抗免殺等技術(shù)特點，將成為下一代反病毒引擎的核心對抗能力。

此外，百度AI安全技術(shù)總監(jiān)聶科峰講述了“AIoT時代的安全”、北京安賽創(chuàng)想科技有限公司資深戰(zhàn)略顧問謝超首闡釋了“智能安全的自我進(jìn)化”、蘇州錦佰安信息技術(shù)有限公司創(chuàng)始人兼CEO馮繼強(qiáng)論述了“AI領(lǐng)域，對抗欺騙與安全防御”，3人將視野聚焦于AI數(shù)據(jù)分析、身份認(rèn)證等不同功能在安全領(lǐng)域的應(yīng)用。

 

工控智能終端安全

我國工控領(lǐng)域的安全問題突出，工控系統(tǒng)的復(fù)雜化、IT化和通用化加劇了系統(tǒng)的安全隱患，通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使針對工業(yè)控制系統(tǒng)（ICS）的病毒、木馬等攻擊行為大幅增長，導(dǎo)致整體控制系統(tǒng)的故障，甚至引發(fā)惡性安全事故。

水利部機(jī)電研究所工控網(wǎng)絡(luò)安全測評中心副主任張志華以“水利工程工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)策略”為主題，解讀了水利工程工業(yè)系統(tǒng)網(wǎng)絡(luò)安全政策與水利工程工業(yè)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，提出工業(yè)控制、風(fēng)險評估、應(yīng)急處理三位一體的防護(hù)策略。

公安部第三研究所助理研究員唐迪提出，近年來針對車載信息的網(wǎng)絡(luò)攻擊越來越多，外國黑客先后對多種車型進(jìn)行了破解，車載電子信息系統(tǒng)安全受到威脅。研究發(fā)現(xiàn)，車載信息系統(tǒng)的安全隱患主要集中在傳輸安全、固件/設(shè)備安全、軟件/應(yīng)用安全3個層面。目前，國外已有相關(guān)安全標(biāo)準(zhǔn)出臺，國內(nèi)的相關(guān)研究也越來越多，車載信息安全將在未來得到改善。

公安部第一研究所檢測中心物聯(lián)網(wǎng)產(chǎn)品檢測部副主任浮欣以“安防及智能設(shè)備信息安全檢測”為主題介紹了物聯(lián)網(wǎng)中廣泛使用的安防及智能家居產(chǎn)品與設(shè)備技術(shù)特點，包括民用領(lǐng)域和公共安全領(lǐng)域等。他提出，這些產(chǎn)品和設(shè)備的安全風(fēng)險存在于傳感器和執(zhí)行器、嵌入式系統(tǒng)、通信系統(tǒng)等多方面，近年來頻發(fā)的監(jiān)控攝像頭安全問題，已引起有關(guān)機(jī)構(gòu)的高度重視。

 

云和大數(shù)據(jù)安全

中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任胡影以“我國大數(shù)據(jù)安全標(biāo)準(zhǔn)進(jìn)展與應(yīng)用實踐”為主題，闡述了我國在大數(shù)據(jù)安全、隱私保護(hù)領(lǐng)域的標(biāo)準(zhǔn)化工作情況。胡影介紹，2018年我國已發(fā)布《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書》，并相繼出臺了多個網(wǎng)絡(luò)安全實踐指南文件。目前，這些標(biāo)準(zhǔn)先后得到應(yīng)用，取得良好成效。下一步，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會將開展“信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型”的試點工作，進(jìn)一步推進(jìn)大數(shù)據(jù)技術(shù)安全進(jìn)程。

北京安數(shù)云信息技術(shù)有限公司CTO徐鋒表示，國內(nèi)云安全市場尚處于起步階段，但整體的市場規(guī)模將隨著云計算市場增長而快速崛起。云安全面臨的挑戰(zhàn)主要在幾個方面：云模式下，用戶失去對物理安全的控制；云中使用內(nèi)部開發(fā)的代碼會涉及代碼組合和兼容的問題，將引入因混合技術(shù)不成熟而帶來的安全漏洞；多個組織的虛擬機(jī)共存于同一物理資源上，物理隔離和基于硬件的安全難以得到保護(hù)；缺乏適當(dāng)?shù)墓收匣謴?fù)技術(shù)；各類有關(guān)標(biāo)準(zhǔn)林立，互不兼容，業(yè)務(wù)割裂，系統(tǒng)混亂等。而強(qiáng)化云安全解決方案則應(yīng)從服務(wù)用戶、安全服務(wù)融合、數(shù)據(jù)融合、安全產(chǎn)品系列融合、平臺兼容等多方面入手。

（原載于《保密工作》2018年第7期）