12月5日,《時代周刊》發布了最 新一期的雜志封面,白底黑字的2020被打上了一個大大的紅叉,并附言“THE WORST YEAR EVER(這是最 糟糕的一年)” 。

誠然,對于整個人類社會而言,如此大范圍、持久性的災難并不多見,新冠肺炎從根本上改變了人類社會的格局,但是這種變化也在各行各業激起了漣漪,進一步推動了線下向線上轉型的步伐,數字化成為不可逆的趨勢,新基建的發布再次為這種趨勢填上了一把干柴,“新”成為2020整個行業乃至社會最 為火熱的主題詞。

為了探究這種變化對于安全領域的影響以及應對之策,以“破壁·新生”為主題的2020京麒網絡安全大會召開,來自京東、騰訊、百度、中國電信、賽博英杰、高成資本、奇安信、蔚來汽車、商湯科技、科大訊飛等頭部企業的安全高管,以及北京大學、加州大學、北向智庫的專家學者同臺探討前沿安全技術,共商數智化解決方案,攜手連接安全新生態。

 

[[357155]]

 

整個大會的演講和panel部分精彩紛呈,嘉賓們站在不同行業的角度各抒己見,總體圍繞“新基建”、“新技術”兩個大的方向展開,其中,新基建部分既有政府領導、研究機構的政策趨勢解讀,也有重磅的新型基礎設施的發布;而在新技術方面,AIoT、區塊鏈、云虛擬化等前沿熱門的安全技術領域成為大會主要的探討對象,一場場滿含干貨的演講也為參會者帶去了酣暢淋漓的技術盛宴。

以下是本次大會演講的精華部分提煉,enjoy~

一、新基建

順勢而為,則事半功倍。政策往往對行業的走向有著重要指導意義。今年,新基建政策發布,安全作為新基建的底座,承擔著外戍邊界、滌凈內網的護城河作用,我們該如何去理解新基建?新基建對安全行業有著哪些影響?先行一步的各領域頭部的企業,又有哪些經驗和能力可供借鑒使用呢?本篇中來自政府、研究機構的領導專家以及知名企業的安全高管,將為你解答這些問題。

看點1:政策與趨勢

 

[[357156]]

 

會議開始,公安部網絡安全保衛局十八處的祝國邦處長對大會進行了致辭,祝處長首先對京東集團在疫情期間的網絡安全維護和物流保障工作給予了贊賞,并肯定了互聯網的發展對于整個疫情防控起到的重要積極作用。同時,祝處長也站在新基建的國家政策層面和疫情影響的宏觀社會環境角度,對網絡安全環境建設提出了共同防控、落實法規和踐行社會責任等要求。

 

[[357157]]

 

在隨后的演講環節,中國網絡空間研究院網絡安全研究所負責人姜偉站在中國社會目前整體網信事業建設的視角,提出了行業發展帶來的網絡與現實世界加速融合的安全性問題、新技術和新應用伴生的風險性問題、數據化轉型帶來的安全風險、大國博弈加劇的緊迫性問題以及后疫情時代的網絡威脅風險等諸多隱患,并從技術創新、基礎設施建設、網絡預警、產品&供應鏈管理、數據保護、安全人才培養等方面倡導了未來網絡安全行業發展的主要方向。

看點2:京東發布企業安全操作系統

會上,京東安全重磅發布了全新的企業安全操作系統,該操作系統為一整套安全能力構建及安全運營的底層標準框架,具有“原生、統一運營、數據驅動、開放”四大特性,可提供安全能力構建所需的基礎服務,包括統一接入管理組件、資產管理組件、運營可視化組件、基礎大數據平臺組件及AI組件等,能夠幫助京東和京東的生態伙伴快速完成安全能力共建和智能聯動,將原生安全能力與傳統安全能力相結合,并且與 IT 基礎設施、業務流程無縫全周期、全鏈路對接,形成適合自身業務場景的安全解決方案。

 

 

本次企業安全操作系統發布,距離第七屆京麒大會的J-SAFE基礎設施發布僅一年之隔,之所以在短時間內有如此重磅的產品疊代,與今年整體的環境背景和京東的生態安全布局緊密相關——今年在疫情和新基建政策的雙重影響下,企業乃至整個社會的數字化轉型步伐加速,對安全提出了智能聯動和高效協同的訴求,需要企業基于標準化的底層架構拉通企業現有的安全能力,以智能分析為核心,形成有效的安全運營。面對這種突如其來的變化,亟需一套成熟的、能夠快速匹配企業新基礎設施的安全操作系統。

 

 

京東集團在此方面有著豐富的實戰經驗和強有力的技術支持——京東業務涵蓋零售、數字科技、物流、技術服務、健康、保險、產發、金融、智聯云和海外等領域,業務場景多樣,且在這些業務安全平穩運行的背后,有著龐大的安全基礎設施以及上百萬的IoT設備和服務器作為支撐。因此,在對安全領域多年的摸索和運行之下,京東已經具備了包括數據安全、業務風控和統一身份管理等多項原生安全能力,并已總結和剝離出統一的、可視化的運營能力,進而對不同業務場景的生態伙伴完成安全賦能。本次發布的企業安全操作系統,亦是對于京東多年積累的全套安全技術能力的萃取和升華。

看點3:行業大咖圓桌共話新基建

 

[[357158]]

 

本次以“新基建背景下的安全建設”為主題的圓桌論壇,主持人北京賽博英杰科技有限公司創始人&董事長、正奇學院創始人譚曉生,是安全行業里的老兵,人稱“譚校長”,對安全行業的變化和創新、新基建安全建精研覃思。他與電商、學術機構、資方、搜索&AI、通訊、研究機構的高管和專家一道,分享了不同行業視角的智慧洞察,可謂看點十足。

北向智庫首席經略師潘柱廷認為,目前安全領域最 明顯的特征就是基礎設施化,形成了大基礎設施對前端體系的服務方式,比如潘柱廷現在就任的360,就是典型的以基建的方式做新基建安全,把安全能力基建化,最 終輻射到需要安全的前端。

而站在基礎設施方的視角—— 中國電信集團網絡和信息安全首席專家劉紫千提到,目前通訊運營商在安全方面主要是網絡空間治理和威脅治理的角色,但他們更希望進行數智化的升級,把安全能力植入到規劃和運營當中,中國電信已經成立了移動安全科技公司,以服務型、科技型、安全型的對外全新姿態去面對新基建所帶來的一系列變化。

百度副總裁馬杰也從新基建的另兩個重要領域——AI和自動駕駛方面的安全問題進行了解答,馬杰認為,既然是基建,就需要去解決基礎和本質的問題,安全不能僅僅停留在簡單的攻防層面,而要回歸到模型安全的研究上,因此無論是AI還是自動駕駛,安全都要做到前面、想到前面。

陳鐘教授從更為宏觀的視角談及了在新基建當中所需要注重的衍生安全問題。陳教授以區塊鏈為例,當人們在注重區塊鏈安全本身時,往往會忽略一些衍生的安全問題,比如區塊鏈衍生的數字資產和數字貨幣,可能會因為涉及洗$、跨境外匯而被整體抹除,此時再關注區塊鏈的安全就沒有了任何意義,又比如人工智能方面,一旦人臉識別被禁止使用,那也將遭到重創,因此關注新基建對于安全的影響,不能僅僅關注某個單點,同樣也需要關注單點所帶來的衍生安全問題和合法問題。

插上資本的翅膀,行業從業者就會如虎添翼,走得更快更遠。因此投資者的認知,對行業發展也起到重要影響。高成資本創始合伙人洪婧站在投資人的角度,從資源配置和創造價值兩方面帶來了不一樣的觀點:通過新基建,國家將數據提高到了生產資料的高度上,新基建不僅僅是經濟上的投入,更是為未來中國向技術轉型發展奠定基礎,因此新基建的安全問題,我們既在補課也在創新,一方面要補以前IT投入不夠、安全投入不夠的課,另一方面在移動、AI等領域,也應該結合和創新,不但把技術復制到中國,也使得技術創新來自中國,甚至是向海外輸出。

京東集團作為大會的出品方,作為以供應鏈為基礎的技術與服務企業,在新基建當中也扮演著重要角色,京東目前正在進行大量的智能城市賦能和供應鏈基礎設施建設,安全部分也參與到了這當中的諸多環節,包括上述提及的企業安全操作系統,京東安全希望以“甲方式賦能”的新概念和京東積淀的安全技術,為新基建中的安全領域提供更多的安全能力和經驗借鑒。

看點4:甲方安全建設的新思路

奇安信是國內安全行業的頭部廠商之一,除了自身投入到前沿安全產品的研究當中,奇安信在服務各大甲方企業時也積累了大量不同場景的建設經驗,對于新基建中甲方的安全項目有著很多幫助。京麒大會上,奇安信首席信息安全官兼網絡安全部總經理聶君就為我們提供了一些新的思路。

 

 

聶君以三個內部的真實案例作為引子,分別為excel隱含宏騙取信息、升級包隱含惡意指令的注冊表、以及通過物理方式進行攻擊等,并給出了奇安信研究的解決方案。同時,聶君也總結了甲方安全建設的復盤關鍵點——一是盡量要求同樣的問題不再重復,你提出的安全措施能夠解決同樣一個問題;二是同類的問題盡量避免,不要重復犯錯誤;三是不要在低級錯誤上失敗;四是從復盤到復仇,奇安信內部要求每一次事件出來以后,復盤的效果是下一次能夠抵御攻擊,實現復仇的效果。

除此之外,聶君還分享了他對于內生安全、安全運營、甲方與乙方的相處之道等內容的看法,為現場的安全從業者給出了非常中肯的意見和建議。

二、新技術

看點1:AIoT引領安全技術主流趨勢

在互聯網時代的下半場——產業互聯網時代,AIoT成為各方企業共同追逐的常青樹,如今,在數字化、數智化時代的開局,AIoT同樣是最 為主流的研究方向和跨時代的敲門磚,AIoT在安全領域目前有哪些最新的技術已成功運用?又有哪些最 佳實踐經驗值得借鑒?

來自百度、蔚來汽車、商湯科技、科大訊飛的安全高管和加州大學的專家為我們帶來了AIoT方面的最 新技術和實踐。

1)百度副總裁馬杰-《新基建、新安全、新生態》

 

[[357159]]

 

馬杰將智能經濟社會下,AI所面臨的安全風險總結為三個維度——Security、Safety、Privacy,即強對抗下的環境安全,非對抗環境下的威脅,以及數據安全和隱私的保護。

在 AI 安全攻防上,首先是AI模型安全威脅研究,馬杰展示了在自動駕駛場景下可能會面臨的各種各樣的安全威脅,比如以對抗樣本的方式來欺 騙物理的探測器等。非對抗環境下的威脅方面,馬杰演示了AI能力被黑產濫用的風險,在視頻當中,黑產利用深度偽造技術,使得現在我們賴以使用的各種面部識別和視覺識別失效,產生了新的安全風險。在數據安全和隱私保護層面,馬杰強調了數據安全和隱私保護的重要性,他認為,在AI時代,當用戶覺得不安全時,整個AI時代的進展就會被延緩。他還展示了百度研發的隱私保護安全計算框架——Teaclave,作為開源框架,Teaclave主要可以打破數據孤島,極大的延展AI時代數據協作的信任邊界,目前可廣泛應用于金融、醫療、無人駕駛等多個敏感業務場景。

2)蔚來汽車高級總監和資深專家朱顥-《智能網聯汽車的安全實踐與思考》

 

 

今年,在信息安全行業,沒有什么比智能汽車安全更加火熱的了。今年 Geekpwn 大賽上,新能源汽車、智能汽車的破 解,讓人印象深刻。目前,智能汽車安全問題熱主要源自以下幾個方面:一是用戶觸點增多,傳統汽車僅有車鑰匙,而智能汽車有藍牙鑰匙、IFC鑰匙,還有手機APP遠程啟動車輛的方式;二是新的商業模式,智能汽車的軟件是廠商新的收益點,有錢的地方就有新的安全隱患;三是代碼急劇增加,所帶來的bug也會增多;最 后則是數據安全和用戶隱私的保護。

為了解決這些問題,蔚來汽車的安全團隊做了大量工作,從安全團隊組建、安全工作方法、安全保護技術、安全守護系統和安全響應流程五個方面布局。以安全保護技術為例,蔚來汽車安全團隊在云、管、端做了多重防護,在人的方面,有防火墻、接口有訪問控制、接口強制清零校驗、TRS雙向認證、網絡隔離等等;在通訊管道方面,運用方式,涉及到對車輛有操作的請求,會通過物聯網專線直接連到公司的內網服務器,確保這部分數據的安全;在手機端,蔚來加固了安全防護,大部分的請求都要求GIN碼和生物特征校驗,并建立了登陸防御體系,確保一些異常的用戶可以被挑選出來。

正是有了這些安全防御措施,作為國內智能車企界領頭羊的蔚來,在每年遭受多次重大的攻擊當時,才能夠有效防御,避免重大事故的發生。

3)商湯科技安全委員會產品安全負責人、技術執行總監莊漢陽-《商湯AI產品的安全實踐》

 

[[357160]]

 

商湯科技賦能百業的實戰之下,對于AI在各個場景的安全風險也有著豐富的應對經驗。莊漢陽分別以算法攻擊、算法場景防泄漏、數據安全管理三個場景為代表,介紹了商湯AI產品的安全實踐。

在算法攻擊方面,2015年商湯人臉識別剛上線時遭遇了大量攻擊,包括海外反向訪問、偽造賬號密碼等方面,商湯采用了活體檢測的技術成功抵御;在算法場景防泄露方面,商湯采用了授權方式做SDK激活、加密技術、平臺化支持的方式保證安全;在數據安全管理方面,商湯一方面通過嚴格的制度進行內部限制,另一方面,通過與流程、平臺、審計的結合,確保整個數據安全流程的合規。

4)加州大學戴維斯分校計算機系終身教授陳浩-《AI用于軟件安全和漏洞挖掘》

 

[[357161]]

 

模糊測試,是目前非常流行的一種軟件安全和漏洞挖掘的方法,模糊測試的做法相對簡易,只需要對程序進行不同的輸入,觀察程序的表現,看程序在什么樣的情況下會出錯即可。模糊測試有很多優勢,一是一旦模糊測試發現程序出現了漏洞,那這個漏洞就一定存在;二是當這個漏洞發生時,模糊測試可以一個個進行輸入驗證,一旦程序碰到了這個輸入就一定會出錯;第三,模糊測試的可擴展性非常好,有多少臺機器,就可以同時可復制的進行模糊測試。

但是模糊測試也有瓶頸,那就是如何能夠去探索程序的不同狀態——模糊測試同時也存在效率低下、缺乏系統性的理論指導全憑經驗等問題,但是,借助AI的方式,就可以很好地規避掉模糊測試的這些弱點。介于陳教授后續的演講完全和算法、函數相關,大家可以關注“京麒“公眾號,回復“京麒大會”獲取PPT進行學習。

5)科大訊飛信息安全管理部總經理常炳濤-《人工智能企業安全建設實踐分享》

 

[[357162]]

 

科大訊飛信息安全管理部總經理常炳濤分享了他對于人工智能三個階段的理解,即計算智能(能存會算)、感知智能(能聽會說、能看會認)和認知智能(能理解會思考),常炳濤認為,目前人工智能行業的狀況,基本處于第二階段當中。

近年來,人工智能企業的各種應用也開始批量落地,為了能夠降低安全方面的風險,科大訊飛最 主要的措施主要在幾個方面:一是確保研發安全,將安全要素提前嵌入到研發階段;二是核心技術的安全防護,科大訊飛擁有專用的研發網,并且又專門的審批流,嚴格控制數據的留出;最 后一點,就是業務的安全管理。

除此之外,科大訊飛在安全工作方面也有幾條重點的基本定調工作,可以用于企業的安全建設當中——首先是合規;第二是核心商密的管理;第三是要提升自身的產品系統和產品競爭力;第四是個人信息層面,不僅要跟公司達成共識,還需要跟業務達成共識;第五是安全部門的人不能只發現問題不解決問題,即便落地的不是自身也需要有對應的方案; 第六部分,是安全工作要高度契合公司的流程;最 后一點,是數據驅動安全,最 終實現人工智能的應用落地。

看點2:云虛擬化安全

騰訊Blade Team高級安全研究員錢文祥-《再看云虛擬化安全:QEMU通用漏洞挖掘新思路》

 

 

云服務在2015年左右就 開始進入爆發期,到2020年Q2,全球云服務產業市場份額增速進一步增大,而虛擬化是基礎云服務大環境中許多服務的重要技術支撐。許多的云服務都需要從物理的硬件系統,通過中間的hypervisor層創建環境,可以把一個服務器分發給多個guest操作系統使用,實現的就是虛擬化,典型的代表有QEMU-KVM、Xen等等。

來自騰訊 Blade Team 的高級安全研究員錢文祥,分享了后續有關QEMU的論述,多以代碼形式呈現,大家可以關注“京麒“公眾號,回復“京麒大會”獲取PPT進行學習。

看點3:區塊鏈技術研究

北京大學信息科學技術學院教授、區塊鏈研究中心主任陳鐘-《區塊鏈應用——監管與安全新挑戰》

 

[[357163]]

 

區塊鏈的發展時間較短,從2009年比特幣系統誕生至今約10年的發展時間。關于區塊鏈的安全問題,目前比較典型的有拒絕服務攻擊、雙花攻擊、種族攻擊、芬妮攻擊、Vector76攻擊、替代歷史攻擊、51算力攻擊、整數溢出攻擊、女巫攻擊等。

除此之外,去中心化的應用測試和關于密碼的支持也是目前區塊鏈所面臨的挑戰,面對這些問題和挑戰,陳鐘教授目前已參與到高校在區塊鏈創新行動計劃,包括了8個核心技術攻關的行動,和11項區塊鏈技術攻關能力提升的行動。

要應對區塊鏈安全風險,陳鐘教授認為要從四個方面來加強: 一是,加強聯盟區塊鏈核心技術的自主創新;二是,要加強聯盟區塊鏈漏洞管理和最 佳實踐;三是,加強聯盟區塊鏈安全標準和評測體系的建設;四是,加強區塊鏈安全人才隊伍建設與培養。