2014中國網絡安全大會現場報道
責編:admin |2014-10-25 20:09:462014中國網絡安全大會第一天的議程已經結束,安全牛君全程參會,現在給大家做一個概覽匯報。
大會于當日9點半開始,首先由主辦方賽可達實驗室主任宋繼忠致辭,表達了對指導單位、合作伙伴和到會觀眾的感謝,并介紹本次大會的主題“全球化網絡安全的新格局和新挑戰”以及大會的議程。
接著來自公安部網絡安全保衛局的陸蕾處長代表保衛局總工程師郭啟全為大會致辭,陸蕾在致辭中表示,互聯網安全面臨非常嚴峻的形勢,網絡安全保衛局將全力維護網絡安全和秩序,維護人民生命和財產安全,維護國家穩定。
第一位進行主題演講的是中國金融CIO聯盟理事長陳天晴,陳理事長從六個方面講述了自己《關于銀行信息系統安全可控的思考》。
安全是個永恒的話題“銀行業信息系統安全需求除了通常意義上的數據安全以外,還有對整個信息系統的安全性、可靠性、以及服務的及時性、持續性24*365、可恢復性的需求。
安全相對的“安全不等于閉關鎖國,說關起門來就安全了。也不等于我們拒絕使用國際的先進技術,要知道我們現在是國際互聯網的時代,拒絕肯定是不可以的。“
安全的需求隨著發展而變化“安全不是我們的目的,應該是一個手段。發展是我們的目標,以發展促進安全。不發展不安全。”
安全可控需實事求是“是在目前的基礎上,要努力做的首先就是應用系統要安全可控,我覺得這是我們最應該做的事,也是能做的事。銀行業不可能自己去搞一個芯片生產系統,也不可能再去搞一個操作系統。”
關于去IOE“去IBM、Oracle、EMC公司的所有產品和服務,進而去所有國外產品和服務,我覺得如果這樣的話不可能,也做不。如果是指去以IBM的Unix小型機、Oracle的數據庫管理系統、EMC的儲存系統為代表的傳統的封閉式數據處理技術機構,代之以Linux的X86PC服務器、內部數據處理系統和云存儲的開發式云架構,我覺得這個可以積極探討。”
安全可控與國產化” 我們必須支持國內產業,但是支持也必須遵循實事求是、循序漸進的原則,能做什么先做什么,能用什么先用什么。“
第二位演講的是清華大學網絡與信息安全實驗室主任段海新,段博士主攻信息系統基礎設施,他主要講述了基礎設施的三個支柱系統BGP、DNS和PKI的運行機制、安全現狀和一些解決方案。
第三位出場的是騰訊副總裁丁珂先生,丁總的演講十分有特色,聊天漫談為主,主題演講一帶而過。現摘錄一些精彩語錄如下:
“我們發現在做安全的傳統正規軍,好像在理論體系和意識上反而沒有那么清晰的發展路徑。我感覺到安全話題在市場上跟防范的具體對象上,一下子分拆出了很多的領域。”
”寶劍型的安全,你沒有的時候心里很虛,但是有的時候,就像你看小區保安的時候很煩燥,他老干預你,本來是這種效率型的工具,但是總是在不合時宜的時候彈出來打斷你,這不是一個非常好的體驗。“
“安全上升到國家政策后帶來了很多新的課題。總結來說主要是四類問題:銀子、面子、褲子(指數據庫)和亂子。”
“既要合規,又要做到新的需求上面有一些創造性和突破性的方法,能夠做到前瞻的預防,能夠做到不再那么手忙腳亂,這個要求還是很高的。行業大數據方面,希望我們短期內能夠形成集團性的優勢,把各類的人才聚在一起,大家真正做出非常經典的大案例。”
網康科技老總袁沈鋼的演講主題為《互聯網時代下的企業變革》,袁總的重要觀點如下:
“國家在大力支持網絡安全,但我們不是僅靠著國家政策就能夠興旺發達起來了,而要真真切切給用戶帶來閉環性的價值,靠這個行業自身持續不斷的創新和努力,這個產業才能發展起來。“
“我們要解決易用性和參與性的問題,還要解決用戶的黏性問題,一定要使用戶更高頻度的,更廣泛的參與到企業安全設備的使用、管理和價值呈現方面,給用戶提供互聯網時代的企業安全產品,企業安全市場才能夠做大。“
”我們說現在互聯網時代是三十年河東,三十年河西,我們B2C的企業是三十年河東發展得很好了,但是在中國,B2C的安全企業還是一直生存在相對來說掙扎或者是困難的狀態。我們希望未來三十年企業安全企業也能夠發展起來,大家共同努力!”
上午最后一位出場的是微軟云計算總監,中國云體系產業創新戰略聯盟秘書長沈寓實。沈秘書長先為大家分享了整個信息產業的大趨勢,“其實世界上各大IT公司、CT公司,計算、存儲、通訊這些所有的公司,都在向云和移動進行大的轉型”,然后介紹了國際云安全聯盟在中國區的落地。
“國際云安全聯盟今年6月份進行了中國區的落地,總部在美國,前年設立了歐洲區,現在是中國區,由李宇航擔任理事長,我是副理事長。這個安全聯盟是云體系聯盟的一個國際的主要成員,依托這個云體系聯盟在中國進行業務的發展。。。因為IT是一個基礎性的行業,政、產、學、研核心的技術,基礎理論的創新現在都在進行國外和國際的交流,所以我們成立了這個聯盟來推動中國整個云體系的產業發展。”
下午最先出場的是國家信息中心高級工程師邵國安,邵處長先介紹的是國家電子政務外網的狀況:
“電子政務外網是政府唯一一個跟互聯網邏輯隔離的一個政府專網。應該說現在中國的電子政務外網是全球最大的一個政府的專網,從目前來說,現在整個國家、省、地、縣基本上覆蓋的范圍,到地市一級是98%,到縣一級全國有2865個縣,現在我們是90%基本上都覆蓋了。其中我們有10個省,基本上政務外網覆蓋到鄉鎮和社區。”
“國家正在逐步減少互聯網的出口,通過政務外網的VPN可 以給它集中,安全廠商應該有很多可以作為的地方。比如說我們很多的省里面把這個門戶網站群集中來統一管理,比如像北京的首都之窗。還有一塊是跨部門的數據 共享與交換。我們現在正在做的全國的信用體系,全國法人庫的建設,以公安為主的人口庫的建設,都需要給各個部門做共享。”
談到大數據,邵處長認為,現在的大數據炒得過熱,目前我們的數據質量和數據積累還不足以支撐,現在更應該關注現有數據的質量和現有數據的存儲。
最后邵處長談到了對智慧城市的看法,他表示:” 智慧城市關系到政府的信息化、社會的信息化和企業的信息化。這個如果沒有達到一定程度,智慧城市是建不好的。實際智慧城市從本質上它還是城市建設的一個重要的組成部分,而城市化建設,是一段很長時間的過程。
接下來出場的是韓國安博士融合產品開發室室長Kiyoung Kim,通過翻譯他講述了公共基礎設施的威脅與安全,以及安博士產品的特點和解決方案。
“我深刻的意識到,如果沒有‘盾隨時可能被攻破’這種心態的話,我無法達到我現在做的職責,不能防護黑客的攻擊。所以我會以這種心態對AhnLab EPS產品傾注下去,對它一直做維護,對最新的攻擊技巧做最新的防護。”
接下來是思博倫通信高級安全顧問曲博帶來的《下一代網絡安全測試方法》。
“我 們可以測試已知攻擊、未知攻擊和惡意軟件。對于已知攻擊,我們可以通過特征庫,另外可以通過攻擊設計器,還有定期升級,我們提供云測試,還有知識庫。我們 有一個高性能的測試,可以達到千萬級的并發連接數,百萬級的每秒新建,可以達到應用仿真。我們還做應用流量和攻擊流量的混合,可以模擬網絡的真實場景,可 以應用到賽博靶場,對于這種攻防演練要求比較高的場所。我們還可以利用虛擬的方案做云安全測試。“
作為今天大會最后一個主題演講人,公安部信息安全產品檢測中心檢測部主任陸臻分享的是信息安全產品的檢測現狀及分析。陸主任介紹了以下三個方面的內容:
信息安全產品檢測概況
一是產品數量穩步增長,不合格率略有降低;二是進口產品相對萎縮,自主研發趨勢顯現;三是產品數量保持穩定,資金規模明顯擴大。到2013年,總共有439家廠商送檢;四是技術領域發展迅速,新型產品不斷涌現,目前測試類別覆蓋已經達到了51類。
產品安全性檢測檢查的思路
建議要從產品的開發、生產、交付、使用的各個環節來加強安全管理。檢查的內容要針對產品的整個生命周期,包括可靠性、可控性和安全性。方式包括三個:背景檢查、過程檢查和技術檢查。
國家信息安全專項的測試情況
整個測試工作是由國家發改委委托公安部來牽頭組織開展的,質檢總局、國家保密局、國家密碼管理局等部門參與。測評牽頭單位是公安部計算機信息系統安全產品質 量監督檢驗中心承擔的,測試參與單位基本上是挑選了一些實力比較強的國家級的測試機構或者就是專業領域權威性比較高的一些測試部門,認證是國家信息安全認 證中心,網關產品是由我們來測,DCS由中國信息安全測評中心來測,這個也目前體現出了各個測評機構之間的分工合作。
今天的最后一個議程是白帽子圓桌會話,騰訊玄武實驗室的于旸(TK教主)、天融信阿爾法實驗室郭勇生(冷風)、知道創宇技術副總鐘晨鳴(余弦)出席,由烏云市場總監鄔迪主持。下面是安全牛君摘錄出來的精彩對話:
鄔迪:“大家可以把烏云網理解為一個中國網絡安全的天氣預報,每天你看一看烏云就知道今天上網是不是應該多加件衣服,或者是不是應該打個傘。”
TK:“微軟把他們陣營里面的安全專家稱之為“藍帽子”,對于中國人來說黑帽子還是可以戴的,白帽子戴了其實不太吉利。我聽說有的老外他們還試圖搞什么“綠帽子”大會,我跟他們說,你這個搞了中國人是不會去參加的。”
關于思維
余弦:“有時候通過黑客的一些技巧,有一種捷徑,能夠讓你不用通過正常的渠道就能夠達到一個目的,這個感覺還是比較舒服的。我們說‘白帽子’,其實本質上都是為了我能夠解決這個問題的一種思維方式,能夠補充我的思維方式。”
冷 風:“ 其實我覺得做這個事情(指安全工作)是很有意思的,你想想看,別人去蓋一棟樓很難,需要設計,需要施工,蓋起來以后讓你去搞破壞,而且是合法的,這就很有 意思了。當然你懂更好,如果你不懂也可以,你不懂這個樓是怎么建的,但是你能找到它的弱點在哪里,這也是一個很有意思的事情,而且你如果能找到,別人還很 高興。”
冷風:“我覺得不管哪個行業,它最終的道理都是一樣的,就是專注。如果你是針對一個小事的話,比如做滲透,其實你對于一個網站做安全滲透,你會發現做下來的不一定都是高手,不完全在于他的技術有多高,而是在于他是否專注。”
余弦:“如果一個人缺乏視野的話,你很難去觸類旁通,很難做一些發散的思考,這個會決定你未來的路會有多寬敞。”
TK:“我去微軟Blue Hat大會的時候,第一個演講的是微軟的戰略程序員,我覺得這應該是程序員當中最高的,可以用“戰略”這個詞,但是還是程序員,還在寫程序,已經50歲了。”
關于市場
TK:“安全市場這種先天性的問題就導致了任何國家的安全市場和真正的健康自由之間不會完全符合。但是在這個過程當中,作為這個行業里的人,無論是甲方還是乙方,首先要清醒的認識到這一點,另外就是要去適應這一點。”
余弦:“其實我對這個市場有些失望,就是自由度不夠。自由度不夠會導致一個很嚴重的現象,就是很多解決方案不夠透明。如果不夠透明會導致什么一定會導致很 多恐嚇和忽悠,我忽悠你,我最牛。所以大家如果看到誰家的產品說我是第一,那一定是假的。誰家的產品說我是智能的,一定是有問題的。”
關于密碼
冷風:“ 作為普通用戶,常改密碼還是有必要的。京東、淘寶、人人、QQ,其實很多的數據庫已經被拖過了。最好回去以后自己想一個密碼,徹底換一遍,我覺得這個還是有必要的。”
TK:“我再接著冷風的提議給大家一個小建議,你們可以試試用一些集中的密碼管理軟件,你可以給每一個網站都設不同的密碼,而你只需要記住這個密碼管理軟件的一個密碼就可以了,它幫你管理所有的那些密碼。我覺得這是一個相對比較好的策略。”