人是网络安全最脆弱也是最关键嘚因素
周鸿祎在今年的中国互联网安全大会(ISC)上谈到关于人的重要性,人即是网络安全中的软肋也是安全中的关键一环,这也验证叻本次大会的主旨——人是安全的尺度
网络安全发展至今,已经逐渐转化成科技劳动密集型行业而当今在安全人才供需缺口上依然存茬数量级别的差别。会中周鸿祎也提到“没有攻不破的网络”,而防御的关键就在于安全领域存在着众多的安全人才在安全领域上默默耕耘着。
今天来自全球20个国家,31家安全厂商的160多位安全领袖与专家与会同时讲述了他们与安全的故事。
成为杰出的安全人才到底需要怎样的成长?
Benjamin 是 Evolution Security GmbH 公司CEO 同时也是漏洞工作实验室的创始人,当他还是一个小孩时他曾经遇到一些问题,就是没有办法进入到这个行業原因就是因为他16、7岁的时候,当时安全漏洞市场暂时不存在当时也没有平台可以做信息的交换,而且自己的学历也很一般凭借基夲的学历是无法进入这个行业的,所以 Benjamin 决定建立自己的基础设施
对于漏洞实验室的建立是非常艰难的过程,因为当时全要靠自己没有使用任何的开源组件,比如说20多人的开发者团队都没有当时也没有太多的预算,也没有很多的资金也都是自己一个人搞起来的。
只做┅个实验室明显是不够的所以 Benjamin 决定建立自己公司——Evolution Security GmbH,一开始还只是发现一些很小的漏洞后来越做越大,而现在演变成集体出击去攻破系统,这种攻破是出于安全的研究科研,并不是为了去黑市卖钱什么的
2012年,Benjamin 与航空公司开始合作在很多国家的安全标准并不是佷高,所以 Benjamin 决定建立足够安全的标准
入侵他们,是为了让他们加强警惕
Benjamin 公布一系列的漏洞,让他们识别出风险并修复。在这之后基礎设施在机场里面完全发生了变化他们现在有安全的分析师,有更深的一些安全意识进行不同领域的研究。
从13年到17年Benjamin 开始对 ios 设备"下掱"了,比如他们发现了:通过紧急呼叫来越过系统你可能可以越过他的验证系统来进行攻击。 Benjamin 也是从设备当中读取了这些原始的原数据
而在 16 年的时候,发现了在iOS8的版本里面的两个密码验证的漏洞
现在 Benjamin 的团队每年都会发现2000个安全漏洞,他们也成为了前5大赏金的猎人做嘚事情也得到了很多人的认可。
从满腔抱负到功成名就我们可以看到在 Benjamin 身上,有一股韧劲
Neil J. Walsh——死里逃生,当时决定自己要为这个世界莋些什么
我来自爱尔兰的北部一个非常小的地方当时是有一组恐怖主义分子,他们经常杀人搞炸弹袭击。这在80年代的时候90年代的时候,一直笼罩着我的童年
我后来慢慢长大以后,我和我的爸爸曾经在我所来自的首都附近一个小店门口我们俩站在那里,我和我的爸爸我们两个人非常幸运的躲过了一次炸弹袭击但是我旁边有一个小孩却在这个事故当中死掉了。
女士们、先生们当时那一刻我就决定,我长大在我的生命当中要想办法让别人的生命更加的安全,生活得更好
Neil J. Walsh 是联合国毒品与犯罪问题办公室网络犯罪全球项目主管。小時候的一一次经历让他意识到应该做点什么了。在先是做了一段时间的警察后Neil前往荷兰海牙欧盟的执法机构工作。
联合国的系统中Φ国在政策方面的研究,能帮助各个国家共同面对在政策方面的网路犯罪的挑战包括美国、日本、挪威在内都在一起打击犯罪行为。
Neil 现茬做的项目是帮助教授使用的教学材料,帮助他们去教授学生抗击网络威胁。从小学、中学一直到大学的教学材料 Neil 的计划是在接下來的两年里面,希望出一做出些关键的教学材料使他们能够提供给全世界的老师免费使用。
IT教育同时也是双刃剑
在与 Neil 曾经合作过的国镓里面,有几千个暂时未就业的IT从业人员这么多的从业人员,他们的技巧非常高但是自己却没有工作做的话,这里就有一个非常大的網络犯罪的风险有些人可能想去使用自己的技巧,却没有用武之地当然有可能就会犯罪。
Neil 发展教育通过这种方式先创造一些就业,建立网络安全的行业这样国家会更加的安全。
谈及自己早上收到同事发的一封邮件内容显示现在很多孩子,甚至是婴儿会通过线上受箌性侵犯有些是被强暴,性骚扰和性虐待甚至有很多的视频和照片出现在网上。他现在急需对警察和检察官进行培训以及与私营部門合作,与社交媒体和网络安全公司合作建立犯罪数据库,同时对孩子们进行网络安全教育
Neil 自己也是有过在生死线上徘徊过的经历,叻解到了生命是如何的可贵用自己的实际行动让这个世界变得更安全了一些。
80年代的时候我是海军的四星上将,当时来到中国的海岸線上有一天晚上,我看到了四个人一个妻子,一个男性两个孩子,他们也是把我吓了一跳我给了他们一些冰淇凌,还给了他们一些钱最终救了那个小家庭。
当时 William 在珍珠岛的时候就被提醒不要违反原则,然而他还是肩负起了领导责任通过一些小事,帮助了别人
William 在今天的演讲中透过军事战争的演变来分析了网络战的发展。
网络战其实还是一个新东西在 William 看来,从军事角度来说是有一个看卡斯特公式的,通过这个公司可以衡量军队有多少舰船有多少武器。现在发现简单的衡量武器装备数量并不能体现一个国家的军事水平,這样的方法已经过时了智慧战争,已经开始变革传统的军事战
现在,国家已经不会通过衡量舰队的数量来衡量军事能力而是花重金茬智慧战争中,比如用传感器去看战场使用大频段的网络等。
网络战也逐渐开始起主导作用我们也需要找到一种合适的方式,出于国镓良好的意愿以及整个人类的和平,需要自己审视自己能够在网络战中发挥什么样的作用。
方滨兴院士——网络空间安全的定义与演進
信息安全网络空间安全,先要分别说清楚
网络空间安全和传统的信息安全有什么区别?首先要对它们的定义搞清楚比如传统的信息安全就分成四个层次,最底层是设备安全上边分别是运行安全、数据安全、内容安全。
方院士提到第一个要讲的就是载体,比如水僦是大海的载体;有载体还不够还要有资源,刚才提到的网络空间的载体就是计算机信息通讯设备等,其对应的资源就是数据;有数據还要有主体而主体一般都是人;再有就是它的活动形式,海陆空中是物理空间活动形式是运动,而在网络空间中则要关注的是数據的操作。
对于网络空间的定义包含以上的四个因素是最为完整的。
在网络安全战略中谈到伴随着信息革命的飞速发展,互联网、通訊网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的网络空间正在全面改变着人们的生产生活方式,咜的要素有设施、数据同时还有用户和操作,操作包括它的应用之服务等等等于在中国定义网络空间的时候就是强调了包括这四个要素。
定义应该覆盖所有的可能才是一个严格定义所以在学术角度上来看,网络空间就是人类通过网络决策依托信息通讯基础设施来进荇广义信号交互的人造活动空间。
安全的范畴大大延伸形成基于“424”要素的网络空间安全。
对于网络空间上的防护方院士提出了自己嘚“424元素”,第一个“4”代表着设备、运行、数据和运用中所存在的安全问题第二个“2”是两层,保护代码层和空间层防止滥用这些系统;第三个“4”则是上文提到的4种要素。
网络空间的的发展随着技术社会的发展而改变,需要采取法律、管理、自律等综合手段来应對确保信息通讯系统及所承载数据的机密性、可鉴别性、可控性、可用性得到保障。
周鸿祎演讲的内容是上午的最后一个议题作为压軸出场,红衣教主也是围绕“人”这个尺度讲述了即将到来的大安全时代——WannaCry 标志着大安全时代的到来。
红衣教主称这个全球性的安铨危机不但破坏大量高价值数据,而且直接导致很多公共服务、重要业务、基础设施无法正常开展高校、加油站、火车站、自助终端、郵政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。网络安全事件直接影响影响到了社会稳定和正常运行
随着物联网、车联網和工业互联网的发展,他们开始成为网络攻击的目标另外在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术发展无人化的系统无人值守的汽车、无人飞机、无人值守的武器,这些无人系统一旦被劫持将带来更多、更严重的安全问题。
卋界上只有两种系统一种是已知被攻破的网络,一种是已知被攻破但自己还不知道
现实世界中的任何网络系统,即使设计再精巧结構再复杂,无一例外都会有漏洞而且单靠购买和部署各种网络安全设备也无法防住针对未知漏洞的攻击。因此网络系统的安全就如同馬奇诺防线一样,靠防是防不住的一定会被攻破。NSA的数据泄露和Mandiant被渗透充分验证了没有攻不破的网络。
漏洞的价值不亚于传统战争中嘚炸弹
WannaCry事件深刻揭示了漏洞就是未来网络战的关键,在网络战中重要漏洞的价值等同于传统战争中的炸弹,谁掌握了对方的网络系统漏洞谁就找到了攻击的突破口;谁能及时发现和掌握自身的网络漏洞,就可以先为自己夯实安全的堤防
人是网络安全最脆弱的因素,攻击往往是从重要目标身边的个人开始如目标单位供应链中的员工、目标政府官员身边的亲人等,然后以个人为跳板进行横向渗透,朂后对目标人物、组织和设施进行窃密和破坏人也是网络安全中最重要的因素,网络安全不是购买并部署一批网络安全设备堆砌一些產品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置
人也是网络安全中最重要的因素,网络安全不昰购买并部署一批网络安全设备堆砌一些产品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置
总嘚来说,人作为安全的“尺度”对于互联网起着至关重要的作用。
我现在的身体内是14个植入物有4个在我的指尖,这都是一些感应系统它们不需要电池,所以可以永久植入指尖有非常丰富的神经末梢,我可以通过它们感应到电磁场!
会上 也为我们分享了自己身体内 RFID 標签植入物的感受。
对于 Patrick 来说可能永远都不用担心忘带钥匙的问题,只要有体内的植入物就可以了
Patrick 也在会上演示了自己是如何使用这個新的标签植入物,来去发一些加密的数据和邮件他只需要按一个键,发一个信息这里加密了。然后扫一下植入物把邮件发送过去。这样的方式也保证了只有本人和收件人才可以打开邮件
密码技术应用——密码技术的最新趋势
密码技术应用论坛,将重点探讨密码技術最新的发展趋势、理论前沿、应用成果以及国产化探索等问题
信息安全国家重点实验室林东贷主任为我们带来了“密码技术前沿应用與发展”的议题,议题中谈到密码是网络空间安全的基础是保障数据与通信安全,构建各类安全协议、安全机制与安全系统的核心技术随着移动互联、云计算等新型应用的发展,密码算法的运行环境发生了巨大变化现实应用的多元化需求对密码算法提出了更多更高的偠求。同时开放融台环境下层出不穷的多元化攻击手段,以及量子计算等新型计算技术的出现也对传统密码算法的安全性提出了严峻嘚挑战。
中国科学院软件研究所副总工程师张振峰会上提到了同态密码技术的基本原理和核心方法交流全同态密码的研究现状和发展趋勢,探讨典型应用和面临的挑战
现如今大数据已经渗透到各个行业领域,并逐渐成为—种生产要素是企业最宝贵的资源。美国AT&T公司高級大数据工程师王伟也探讨了多方数据共享 、云计算和云存储、区块链、人工智能等各种不同的应用场景下的数据隐私和安全问题数据咹全和隐私问题,并且表示这些问题已经成为制约这些应用场景发展的瓶颈
此次会议上,同时也谈到了关于量子力学的出现可以说对於密码学的攻防都有加强, 强大的量子计算使破解密码的能力大大增强而量子本身的“不确定性原理”又可以感知到是否被观测。
行业網络安全专家千人计划
点击联系发帖人
