12月5日,《时代周刊》发布最新一期杂志封面,白底黑字2020,打上大红叉,以及后记“THEWORSTYEAREVER(这是最糟糕的一年)”。诚然,如此大规模、持续时间如此之长的灾难,对于整个人类社会来说,实属罕见。新冠肺炎从根本上改变了人类社会的格局,但这种变化也在各行各业引起了涟漪,进一步推动了线下向线上转型的步伐,数字化已成为不可逆转的趋势。新基建的发布,再次填补了这一趋势。“新”已经成为2020年整个行业乃至社会最热门的关键词,为探讨这一变化对安全领域的影响及应对措施,2020精奇网络安全大会以“打破常规”为主题召开。墙与新生活》,参会者来自京东、腾讯、百度、中国电信、赛博英杰、高诚资本。来自奇安信、蔚来、商汤、科大讯飞等龙头企业的安全高管,以及来自北大、加州大学、北向智库的专家学者,探讨前沿安全技术,探讨数字智能解决方案,携手共进连接新的安全生态。整场大会的演讲和板块精彩纷呈,嘉宾们从不同行业的角度各抒己见,大致围绕“新基建”和“新技术”两大方向展开。其中,新基建部分有政府领导和研究机构对政策趋势的解读,以及重磅新基建的发布;而在新技术方面,AIoT、区块链、云虚拟化等前沿热门安全技术领域成为大会讨论的主要话题。演讲也为与会者带来了一场丰盛的技术盛宴。以下为本次大会演讲精华摘录,欣赏~1、新基建顺势而为,事半功倍。政策往往对行业的走向具有重要的指导意义。今年,新基建政策出台。安全作为新基建的基石,承担着保卫边界、净化内网的护城河作用。我们应该如何理解新基建?新基建对安防行业有什么影响?领先一步的各个领域有哪些经验和能力可以为龙头企业借鉴?本文将邀请来自政府和研究机构的权威专家,以及来自知名企业的安全高管,为您解答这些问题。亮点一:政策与趋势会开场。公安部网络安全局十八处处长朱国邦在大会上致辞。朱主任首先对京东在疫情期间所做的网络安全维护和物流保障工作表示赞赏,肯定了互联网的发展对整个疫情防控起到了重要和积极的作用。同时,朱主任还从新基建的国家政策层面和宏观经济层面,对网络安全环境建设的联防联控、落实法律法规、履行社会责任提出要求。——受疫情影响的社会环境。在随后的演讲环节中,中国网信办网络安全研究所所长姜伟提出了行业发展带来的网络与现实世界加速融合的安全问题,风险新技术新应用、数字化转型带来的安全风险、权力博弈加剧的紧迫性、后疫情时代的网络威胁等诸多隐患。、产品&供应链管理、数据保护、安全人员培训等方面倡导网络安全行业未来发展的主要方向。亮点二:在京东发布企业安全操作系统发布会上,京东安全发布了全新的企业安全操作系统。操作系统是一套安全能力建设和安全运营的底层标准框架。“数据驱动、开放”四大特征,可提供安全能力建设所需的基础服务,包括统一接入管理组件、资产管理组件、运营可视化组件、大数据平台基础组件和AI组件等,可以帮助京东与京东生态合作伙伴快速完成安全能力共建和智能联动,将原生安全能力与传统安全能力相结合,全周期全流程无缝对接IT基础设施和业务流程链接形成适合自己业务场景的安全解决方案方案。企业安全操作系统的发布距离第七届精奇大会J-SAFE基础设施的发布只有一年的时间。之所以在短时间内出现如此重磅的产品迭代,与整体环境背景和京东的生态安全布局密切相关——在今年疫情和新基建政策的双重冲击下,步伐企业乃至全社会数字化转型加速,对安全提出了智能联动、高效协同的诉求,这就要求企业基于标准化的底层架构,拉通企业现有的安全能力,以智能分析为核心,形成有效的安全运营。面对如此突如其来的变化,迫切需要一个成熟的、能够快速匹配企业新基建的安全操作系统。京东集团在该领域拥有丰富的实践经验和强大的技术支持——京东业务涵盖零售、数字科技、物流、技术服务、健康、保险、生产研发、金融、智联云及海外,业务场景丰富,而这些业务安全稳定运行的背后,有庞大的安全基础设施和数以百万计的物联网设备和服务器作为支撑。因此,京东经过多年在安全领域的探索和运营,已经具备了数据安全、业务风控、统一身份管理等多项原生安全能力,并总结剥离出统一可视化的运营能力。进而完成对生态伙伴在不同业务场景下的安全赋能。此次发布的企业安全操作系统,也是京东多年积累的全套安全技术能力的提炼和升华。看点三:行业领袖圆桌讨论新基建本次圆桌论坛以“新基建背景下的安全建设”为主题,主持人为北京赛博英杰科技有限公司创始人兼董事长,赛博英杰科技创始人。被誉为“谭校长”的安防行业资深人士谭晓生,潜心研究安防行业的变革与创新,以及新基建的安全建设。与来自电商、学术机构、资本、搜索&AI、通信、研究机构的高管和专家一起,从不同行业角度分享智慧见解,可谓看点十足。北向智库首席策略师潘竹亭认为,安全领域最明显的特征是基础设施,形成了前端系统的大基础设施服务方式。新的基础设施是安全的,将安全能力内置到基础设施中,最终会辐射到需要安全的前端。从基础设施看——中国电信集团网络与信息安全首席专家刘子谦提到,目前通信运营商在安全方面主要扮演网络空间治理和威胁治理的角色,但更倾向于开展数字化建设。智力。为了升级安全能力,将安全能力嵌入到规划和运营中,中国电信成立了移动安全技术公司,以服务、技术、安全的新姿态面对新基建带来的一系列变化。百度副总裁马杰也针对新基建另外两个重要领域——人工智能和自动驾驶的安全问题进行了解答。马杰认为,既然是基础设施,就要解决基础性、本质性的问题,而安全不能仅仅停留在简单的攻防层面,需要回归到模型安全的研究中。所以,不管是AI还是自动驾驶,安全都要超前,想超前。陈忠教授从更宏观的角度谈到了新基建中需要关注的衍生安全问题。陈教授以区块链为例。人们在关注区块链本身的安全性时,往往会忽略一些衍生的安全问题,比如从区块链衍生出来的数字资产、数字货币等。这个时候再去关注区块链的安全就没有意义了。比如在人工智能方面,人脸识别一旦被禁止使用,同样会受到严重损害。因此,需要重视新基建的安全性。在影响方面,不能只关注单点,还需要关注单点带来的衍生安全和法律问题。有了资本的翅膀,行业从业者将如虎添翼,走得更快、更远。因此,投资者的认知对行业的发展也起着重要的作用。高诚资本创始合伙人洪静从投资人的角度,从资源配置和价值创造两个方面带来了不同的看法:国家通过新基建,将数据提升到生产资料层面,新基建不仅是一项经济投资,也为中国未来的技术改造和发展奠定了基础。所以,对于新基建的安全问题,我们正在补课、创新。在移动、AI等领域,也要结合创新,不仅要将技术复制到中国,还要让技术创新从中国来,甚至输出到海外。作为大会的主办方,京东集团作为一家以供应链为基础的科技和服务企业,在新基建中也扮演着重要的角色。京东目前正在进行大量的智慧城市赋能和供应链基础设施建设。京东安全参与了这个过程的很多方面,包括前面提到的企业安全操作系统,京东安全希望以“一种赋能”的新理念和京东积累的安全技术,为新基建的安全领域提供更多的安全保障。.能力和经验值得学习。看点四:甲方安防建设新思路奇安信是国内安防行业龙头厂商之一。除了自身对前沿安全产品的研究,奇安信在服务各大甲方企业方面也积累了大量的差异化。现场的施工经验对甲方在新基建的安防工程有很大的帮助。在精奇大会上,奇安信首席信息安全官兼网络安全部总经理聂军为我们提供了一些新思路。聂军以三个内部真实案例作为介绍,分别是excel隐藏宏骗取信息、隐藏恶意指令升级注册表、物理方法攻击等,并给出了奇安信研究的解决方案。同时,聂军还总结了甲方安全建设审查的要点——第一,尽量不要重复同样的问题,你提出的安全措施可以解决同样的问题;第二,尽量避免出现类似问题,不要再犯错误;三是不犯低级错误;第四是从回顾到复仇,奇安心内部要求每次事件出来后,回顾的效果是能够抵挡下一次的攻击,达到复仇的效果。此外,聂军还就安全内生、安全运营、甲乙双方的相处之道等分享了自己的看法,为现场的安全从业人员提出了非常中肯的意见和建议。二、新技术亮点一:AIoT引领安防技术主流趋势。在互联网时代的下半场——工业互联网时代,AIoT成为了所有企业共同追逐的常青树。现在,处于数字化、数字智能时代的开端,AIoT也是最主流的研究方向,也是跨越时代的敲门砖。成功应用于安防领域的最新AIoT技术有哪些?哪些最佳实践值得借鉴?来自百度、蔚来、商汤科技、科大飞翔的安全高管和来自加州大学的专家为我们带来了AIoT领域的最新技术和实践。1)百度副总裁马杰-《新基建、新安全、新生态》马杰将人工智能在智能经济社会面临的安全风险概括为三个维度——Security、Safety、Privacy,即强对抗和非对抗下的环境安全环境威胁,以及数据安全和隐私保护。在人工智能安全攻防方面,首先是人工智能模型的安全威胁研究。马杰演示了自动驾驶场景中可能面临的各种安全威胁,例如通过对抗样本的方式欺骗??物理探测器。在非对抗环境下的威胁方面,马杰论证了AI能力被黑客滥用的风险。视频中,黑客利用深度伪造技术,让我们今天所依赖的各种面部识别和视觉识别失效,从而产生新的安全隐患。在数据安全和隐私保护方面,马杰强调了数据安全和隐私保护的重要性。他认为,在AI时代,当用户感到不安全时,整个AI时代的进程就会被延缓。他还展示了百度自研的隐私保护和安全计算框架——Teaclave。Teaclave作为一个开源框架,主要可以打破数据孤岛,大大扩展AI时代数据协作的信任边界。可广泛应用于金融、医疗、无人驾驶等敏感业务场景。2)蔚来汽车高级总监、资深专家朱浩-《智能网联汽车的安全实践与思考》今年在信息安全行业,没有什么比智能汽车安全更火爆的了。在今年的Geekpwn大赛上,新能源汽车和智能汽车的破解让人眼前一亮。目前,智能汽车安全问题的热度主要来自以下几个方面:一是用户接触量增加。传统汽车只有车钥匙,而智能汽车有蓝牙钥匙、IFC钥匙,以及通过手机APP远程启动车辆的方式;这是一种新的商业模式。智能汽车的软件是厂商新的盈利点。有钱的地方,就会有新的安全隐患。保护隐私。为了解决这些问题,蔚来的安全团队做了大量的工作,从安全团队组建、安全工作方法、安全防护技术、安全守护体系和安全响应流程五个方面进行了布局。以安全防护技术为例,蔚来安全团队在云、管、端实现了多重防护。在人方面,有防火墙、接口访问控制、强制接口重置验证、TRS双向认证、网络隔离等;在通信渠道方面,申请方式涉及对车辆进行操作请求,车辆将通过物联网专线直接连接到公司内网服务器,保证这部分数据的安全;在手机端,蔚来加强了安全防护,大部分请求都需要GIN码和生物特征验证,并建立了登录防御系统,确保一些异常用户可以被挑出来。正是因为有了这些安全防御措施,蔚来作为国内智能车企的龙头,在每年遭受多次重大攻击时,才能有效防御,避免重大事故的发生。3)商汤科技安全委员会产品安全负责人、技术执行总监庄汉阳-《商汤AI产品的安全实践》商汤科技赋能各行各业,在应对各场景AI安全风险方面有着丰富的经验。庄汉阳介绍了商汤AI产品的安全实践,以算法攻击、算法场景防泄露、数据安全管理为代表。在算法攻击方面,商汤科技在2015年首次推出人脸识别时遭遇了大量攻击,包括境外反向访问、伪造账户密码等,商汤科技采用活体检测技术成功抵御;商汤科技SDK激活采用授权方式,加密技术,平台支持,确保安全;在数据安全管理方面,商汤科技一方面采用严格的内部限制,另一方面通过流程、平台、审计等方面的配合。数据安全的结合保证了整个数据安全流程的合规性。4)加州大学戴维斯分校计算机系终身教授陈浩-《AI用于软件安全和漏洞挖掘》模糊测试是一种非常流行的软件安全和漏洞挖掘方法。模糊测试的方法比较简单。输入,观察程序的性能,看看程序在什么情况下会出错。模糊测试有很多优点。第一,模糊测试一旦发现程序存在漏洞,漏洞就一定存在;其次,当漏洞出现时,模糊测试可以对输入进行逐一验证。一旦程序遇到这种输入,肯定会出错;第三,模糊测试的可扩展性非常好,可以复制多少台机器同时进行模糊测试。但模糊测试也有一个瓶颈,就是如何探索程序的不同状态——模糊测试也存在效率低下、缺乏系统的理论指导、完全依赖经验等问题,但借助AI,可以很好地避免了模糊测试的这些弱点。由于陈教授的后续讲座完全与算法和函数相关,大家可以关注“精启”公众号,回复“精启大会”获取PPT进行学习。5)科大讯飞信息安全管理部总经理常炳涛-《人工智能企业安全建设实践分享》科大讯飞信息安全管理部总经理常炳涛分享了他对人工智能三个阶段的理解,即计算智能(能够存储和计算)、感知智能(能够听、说、看和识别)和认知智能(能够理解和思考),常炳涛认为,人工智能行业的现状基本处于第二阶段。近年来,人工智能企业的各项应用也开始批量落地。为降低安全风险,科大讯飞最主要的举措主要有以下几个方面:一是保障研发安全,将安全要素提前植入研发阶段;二是核心技术的安全保护。科大讯飞拥有专门的研发网络和专门的审批程序,严格控制数据保留;最后一点是业务安全管理。此外,科大讯飞在安全工作方面也有几项重点基础定调工作,可用于企业的安全建设——第一是合规;二是核心商业秘密的管理。三是完善自身的产品体系和产品竞争力;第四是个人信息层面,不仅要与公司达成共识,还需要与业务达成共识;第五,安全部门的人不能只发现问题而不解决问题,即使登陆不上也需要相应的方案;第六部分是安全工作必须与公司流程高度一致;最后一点是数据驱动安全,最终实现人工智能的应用。看点二:云虚拟化安全钱文祥,腾讯刀锋团队高级安全研究员-《再看云虚拟化安全:QEMU通用漏洞挖掘新思路》云服务在2015年前后开始进入爆发期,到2020年Q2,全球云服务行业市场份额增速将进一步提升,而虚拟化是基础云服务环境中众多服务的重要技术支撑。许多云服务需要通过中间管理程序层从物理硬件系统创建环境。一台服务器可以分布给多个客户操作系统使用,实现了虚拟化。典型代表有QEMU-KVM、Xen等。来自腾讯刀片团队的高级安全研究员钱文祥分享了后续关于QEMU的讨论,主要以代码的形式进行。可以关注“精气”公众号,回复“精气大会”获取PPT学习。看点三:区块链技术研究陈忠教授-♂区块链技术研究,北京大学信息科学与技术学院教授,??区块链研究中心主任区块链的发展时间比较短。开发时间。关于区块链的安全问题,目前比较典型的有拒绝服务攻击、双花攻击、种族攻击、Fanny攻击、Vector76攻击、替代历史攻击、51算力攻击、整数溢出攻击、Sybil攻击等。此外、去中心化应用测试和对密码学的支持也是区块链面临的挑战。面对这些问题和挑战,陈忠教授参与了高校区块链创新行动计划,包括8项核心技术研究行动、11项区块链技术研究能力提升行动。应对区块链安全风险,陈忠教授认为应从四个方面加强:一是加强联盟区块链核心技术的自主创新;二是加强联盟区块链漏洞管理和最佳实践;三是加强联盟区块链安全标准和评价体系建设;四是加强区块链安全人才建设和培养。
