6月13日,备受关注的第六届中国网络安全大会(NSC 2018)在北京国家会议中心盛大召开。大会由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟及百家行业联盟共同主办。来自国内外的40多位顶级网络安全专家和学者发表了精彩演讲,与2000多位与会者聚焦“国际视野下的网络安全”,共议信息安全热点话题与网络安全新技术。
NSC 2018由大会主席,北京大学网络与软件安全保障实验室主任陈钟教授主持。大会执行主席、赛可达实验室CEO宋继忠作为主办方代表致辞,他指出,我们一直致力于为中国网络安全企业和行业用户服务,打造具有中国特色和国际水准的网络安全大会,使大会成为推动我国网络信息安全领域“产、学、研、用”与国际接轨、开展交流合作的极具影响力的高端品牌盛会,也是相关企业进行“商务合作、产品推荐、品牌推广、技术交流”的最佳平台。
大会执行主席,赛可达实验室CEO 宋继忠
公安部网络安全保卫局副局长钟忠出席大会并致辞,他针对目前网络安全行业关注的三大问题:大数据安全、人工智能安全、互联网的全面融合带来的新的网络安全问题发表了观点。关于大数据安全,钟副局长表示,“最近欧盟通用数据保护条例的实施,更提示我们要在全球化视野下思考大数据安全问题,应当在法律、政策、监管、技术多个维度视角下去思考、保证大数据安全”。关于人工智能安全,他指出要警惕高度依赖人工智能的自动化运行的系统网络,一旦遭受攻击可能会出现闪电式的崩盘。需要加快推进制订,统筹协调人工智能安全和发展的政策,要推进在网络安全领域从信息优势转变为技术优势的进程。
公安部网络安全保卫局副局长 钟忠
十大热词,解析网络安全新动向
技术创新 自主可控
大会名誉主席,中国工程院院士倪光南以中兴事件为例阐明了“网络安全的核心是技术安全”的要义。倪院士表示,新型技术在人工智能、5G、大数据、物联网、云计算、AI等方面我们有相当的后发优势,在世界上也有一定的地位,我们应该迅速补齐短板,继续利用我们的优势实现弯道或者换道超车。指出自主创新是我们攀登世界科技高峰的必由之路。最后表达了通过自主可控达到技术安全,用安全的技术保证网络安全的希望。
大会名誉主席,中国工程院院士 倪光南
20多家厂商参展,包括腾讯安全、百度安全、BlackBerry、思博伦、安数云、天空卫士、安博士、青藤云安全等现场展示了最新的安全产品和解决方案,展区热闹非凡。
区块链安全
2018年上半年,互联网界最火的“网红”当数区块链。区块链技术的应用和开发,数字加密技术是关键。一旦加密方法遭到破解,区块链的数据安全将受到挑战,区块链的不可篡改性将不复存在。
中国科学院院士王小云以“Hash函数与区块链技术”为主题介绍了基础密码算法——Hash函数的基本安全属性及其在密码系统设计中的重要应用,特别是区块链技术与产业中的重要应用。Hash函数主要用于检测消息完整性,与签名算法一起保证电子签名的合法性与抗抵赖性,是设计众多密码系统的关键部件,如消息认证码、区块链和可证明安全密码系统等。
中国科学院院士,国际知名密码学专家 王小云
北京大学网络与信息安全实验室博士生,国际区块链安全比赛第一名ABBA GARBA (广博) 一直活跃在区块链技术领域,曾多次参加世界各地的科技行业、金融行业和大学组织的区块链黑客马拉松及相关会议。他从比特币和区块链技术的概述出发,讲述了公链、私有链和联盟链的概念及应用,分析了比特币和区块链技术在隐私及安全方面存在的最新挑战,给出了比特币和区块链技术在安全和隐私方面的开放性挑战和未来的研究方向。
个人信息保护
《信息安全技术个人信息安全规范》已经于2018年5月1日开始实施,其出台意味着我国个人信息保护工作进入一个更加规范化的阶段。这对于防范公民个人信息被非法泄露和买卖,保障公民个人信息安全,是一个重要推进。
中国电子技术标准化研究院信息安全研究中心审查部总监,国家标准《个人信息安全规范》主要编制人之一何延哲以“个人信息保护合规的挑战和机遇”为主题介绍了我国个人信息保护相关法律法规、政策标准、监管要求,分析了GDPR的核心要求以及与我国个人信息保护相关要求的异同,并站在当前监管环境下,给出了数据安全监管的总体思路,尤其是在个人信息保护合规角度,归纳总结了企业应该注意的关键要素以及未来的合规工作方向。
5G安全
现在全球都在抢占5G市场,面对5G网络的发展趋势,尤其是5G新业务、新架构、新技术,都会对用户安全和用户隐私保护提出新的挑战。5G安全机制除了要满足基本通信安全,还需要为不同业务场景提供差异化安全服务,能够适应多种网络接入方式及新型网络架构,保护用户隐私,并支持提供开放的安全能力。
中国电子科技集团公司首席科学家曾浩洋以“第五代移动通信系统安全概览”为主题从新的应用场景和新的网络架构两方面分析了5G面临的安全挑战及其安全需求,介绍了目前5G安全研究主要进展,包括安全参考模型、基于SBA的安全架构以及接入认证、网络安全、安全管理、隐私保护等主要安全防护机制,简述了5G安全相关标准化组织及标准推进情况,最后从终端安全、安全行业专网和安全服务等方面介绍了5G应用中的安全考虑。
中国信通院是我国通信领域的领导者。中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦解读了“5G终端安全技术发展趋势”,阐述了终端安全的发展现状、分析了5G终端安全的复杂性以及其将面临的安全威胁。
基于人工智能的网络安全
随着人工智能被应用于各个垂直领域,网络安全面临新的挑战,也为人工智能的大展身手带来了重要的契机。
腾讯高级安全研究员罗元海认为安卓病毒在当下的传播态势正在加剧传统对抗方式的挑战,而由于传统对抗方式的运行机制,导致其在当下病毒对抗中陷入困局。AI技术成为破局关键,其具备的实时响应、抗免杀等技术特点,将成为下一代反病毒引擎的对抗核心能力。
百度AI安全技术总监聂科峰讲述了“AIoT时代的安全”,现场解析AIoT安全现阶段的生态格局、未来的趋势、技术上的突破与难点。
北京安赛创想科技有限公司资深战略顾问谢超首以“以未知对未知:智能安全的自我进化”为主题,围绕网络空间安全新态势、AI在网络安全领域的应用、人工智能安全的自我进化等话题进行了分享。
苏州锦佰安信息技术有限公司创始人兼CEO冯继强(风宁)专注于AI安全-身份认证领域,为众多的政府、金融机构等企事业单位提供身份识别综合解决方案。现场针对“AI领域,对抗欺骗与安全防御”展开了讲述。
人才培养
腾讯副总裁马斌以“筑牢安全防线,安全人才培养体系化的企业实践”为主题指出了产业基础、人才驱动、核心技术是网络安全建设的三大关键力量。其表示真正推动落实核心技术的突破,最重要的依靠是人才,“人才是网络安全发展的第一生产力,同时也是创新技术孵化、安全防线建设的核心驱动力量。”
工控智能终端安全
我国工控领域的安全可靠性问题突出,工控系统的复杂化、IT化和通用化加剧了系统的安全隐患,通用开发标准与互联网技术的广泛使用,使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。
水利部机电研究所工控网络安全测评中心副主任张志华主要从事水利工控网络安全检测、风险评估、培训、解决方案的研究等。以“水利工程工业控制系统网络安全防护策略”为主题,解读了水利工程工业系统网络安全政策,水利工程工业系统网络安全现状,水利工程工业系统网络安全防护策略(风险评估、解决方案)等。
公安部第三研究所助理研究员唐迪针对车联网网络安全的威胁和需求,梳理了网络威胁模型和攻击行为,介绍了国内外标准规划和标准建设概况,车载信息安全功能设计方向、车载信息安全测评方法、流程和标准实践。
公安部第一研究所检测中心物联网产品检测部副主任浮欣以“安防及智能设备信息安全检测”为主题介绍了公安部安全与警用电子产品检测中心简介、物联网中广泛使用的安防及智能家居产品与设备技术特点,回顾了国内外物联网安全主要事件、安防视频监控设备信息安全检测情况、智能门锁信息安全检测情况,并将对相关技术标准研究现状、检测技术研究方向等作出解读。
国家计算机病毒应急处理中心研发部负责人、计算机病毒防治技术国家工程实验室技术委员会委员杜振华高级工程师结合《病毒防治产品安全技术要求和测试评价方法》国家标准的起草过程分享了标准化工作中的实践经验以及对今后病毒防治产品标准化思路的思考。
大数据网络安全等级保护
我国《网络安全法》于2017年6月1日正式施行。它明确了等级保护是国家网络安全的基础工作,是企业所履行的一项重要安全责任。
公安部信息安全等级保护评估中心技术部主任任卫红以“大数据网络安全等级保护的思考”为主题结合关键信息基础设施保护的思路,介绍了对大数据及大数据系统落实网络安全等级保护技术和方法的当前研究情况。
云和大数据安全
云计算在企事业单位、政府机关的应用得到了迅速发展,为应用安全保驾护航的云安全俞显重要。大数据技术创新应用,使我们具备了对海量数据的处理和分析能力,数据驱动的时代已经来临。与此同时,数据汇聚、数据分析等带来的安全问题也给我们带来前所未有的挑战。
国家网络与信息系统安全产品质量监督检验中心副主任顾健以“云安全和云安全标准及应用现状分析”为主题重点介绍了我国近年编制的云安全产品和系统测评标准,以及相关测评情况并提出了建议。
中国电子技术标准化研究院信息安全研究中心数据安全部主任胡影以“我国大数据安全标准进展与应用实践”为主题,阐述了我国在大数据安全、隐私保护领域的国家标准化工作情况,以及重点标准的应用实践情况。
北京安数云信息技术有限公司CTO徐锋从云与大数据安全整体解决方案及服务提供商的角度分享了“云端安全新思路——软件定义服务”。展示了全球领先的云安全技术、云端安全解决方案。围绕各企业、各行业当前面临的云端安全问题和挑战;云安全和传统安全的区别;云端安全整体防护思路等,从技术层面和设计思路层面,深入分析了如何防护及保障公有云、私有云中租户与用户的全方位安全。
国家信息中心高级工程师邵国安针对“云计算环境下的数据安全要求”展开了讲述,介绍了网络安全的特点、本质及核心内容;并给出在云计算环境下,我们应该怎么做好数据安全及相关建议。
黑客攻防
大师讲堂特邀知名网络安全技术大咖和顶级白帽子深度分享前沿性的技术研究和发展趋势。
清华大学副教授张超以“ 漏洞挖掘的艺术”为主题介绍了模糊测试面临的挑战,当前最前沿的研究进展,以及其团队提出的解决方案。模糊测试是近年来最流行的漏洞挖掘方法。研究人员也提出了众多的改进方案,极大提高了自动化漏洞挖掘的效率。
腾讯安全玄武实验室高级安全研究员宋凯(exp-sky) 对于软件漏洞挖掘与利用有着丰富的研究经验,主要关注浏览器及操作系统相关的安全研究。他以“Chakra引擎的非JIT漏洞与利用”为主题介绍了Chakra脚本引擎,非JIT相关的漏洞,以及这个漏洞利用的详细过程。