网络安全问题是最近几年中美两国的重大关切,有分歧、有共识,而更多的还是合作,为配合习近平主席访美,中美互联网和互联网安全领域接连分别在中美两国举行了两场国家级大会,共同探讨互联网和互联网安全大势和未来。一场是中国互联网协会与微软共同主办的西雅图中美互联网论坛,而另一场是中国互联网协会与360在北京举办的中国互联网安全大会(ISC 2015)。
相比较而言,西雅图的中美互联网合作论坛更加宏观和务虚,而北京举行的中国互联网安全大会则更加聚焦和务实,可以真正成为网络安全行业和产业的风向标。
在为期两天的会议中,来自美国、以色列、澳大利亚、韩国和中国等全球多个国家的120位世界顶级安全智库和安全专家出席大会围绕110个议题进行头脑风暴,共同探讨网络安全行业未来。
约2.5万安全行业人士参加了此次大会,来自全球19所知名大学与国内10大研究机构的研究学者、全球30多家安全企业和安全团队的专家,在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上,分享最了新的研究成果和行业洞见。
以下是两天的大会上全球顶级安全大咖们的演讲精彩内容摘录:
中国互联网安全领袖峰会
邬贺铨:中国互联网协会理事长,中国工程院院士
【互联网不是“法外之地”】当今世界已经跟互联网深度绑定,这块“新领域”不是“法外之地”,各方应该在此可以深度交流和分享信息安全挑战和技术,携手共同创造安全、和谐的互联网环境,共同为互联网安全和互联网安全产业做出贡献。
王秀军:国家网信办副主任
【保护网络安全是网络时代的使命】中国正在从互联网大国向互联网强国迈进,积极应对网络安全威胁,有效防范网络安全风险是网络时代维护国家安全和社会稳定以及公众利益的重要使命,可以说是迫在眉睫,刻不容缓。
齐向东:ISC大会主席,360公司总裁
【数据驱动安全成为未来解决安全问题的办法】将大数据的方法与现代网络安全技术相结合,通过对各类网络行为数据的记录、存储和分析,可以帮助我们从更高的视角、更广的维度上去发现异常、捕获威胁,实现威胁与入侵的快速监测、发现和响应。
赵志国:工业和信息化部网络安全管理局局长
【网络安全影响广度和深度前所未有】互联网的快速发展给经济社会带来了一系列的挑战,尤其是网络安全问题复杂突出,影响广度和深度前所未有,已经成为事关经济社会发展乃至国家安全的重大问题。
郭启全:公安部网络安全保卫局总工程师
【国际合作成为打击网络犯罪的必由路径】互联网的开放性使得网络犯罪呈现出跨国性、流动性的特点,跨国网络犯罪的复杂性和打击犯罪的紧迫性决定了国际合作成为打击网络犯罪的必由路径。
基斯.亚历山大:美国前国家安全局局长、首任网络司令部司令
【没有任何国家可以单独解决网络安全问题】要解决网络安全问题,首先要收集源数据,并建立新的防恐项目,其次为网络完全的工作人员提供如何解决未知威胁的培训,和不同的国家进行合作、信息分享和不断的开发研究,最后,建立网络安全相关标准,来防止国家面临的网络安全隐患。
郝叶力:国家创新与发展战略研究会副会长
【丛林法则应让渡于风雨同舟】应该建立21世纪网络空间新秩序,丛林法则应该让渡于休戚与共、风雨同舟;划地为牢应该让渡于开放共享;以价值观划线应该让渡于尊重差异、包容多样。
张力:中国现代国际关系研究院、信息与社会发展研究所教授
【网络强国四要素】所谓网络强国就是要有自己的技术,过硬的技术;要有丰富的、全面的信息服务,要有繁荣、发展的网络文化;要有安全、可靠、良好的信息技术设计;要有实力雄厚的信息经济;要有一支高素质的网络安全队伍;同时,要开展双边、多边国际合作,实现网络强国梦与中国梦。
Jay Heiser:Gartner研究副总裁
【云安全的愿景】我们是要确保人们可以合理使用公共云,需要进行更好的配置,进行身份的管理,以及可以追溯服务提供商的历史服务,确保可以获得身份认证的相关数据和信息。
周鸿祎:360公司董事长兼CEO
【网络安全新法则】安全是一种能力,看见是安全最终的能力,看见是攻防双方的博弈;数据是看见的基础,看见会决定企业安全,看见也会决定国家安全。
全球互联网安全精英峰会
云晓春:中国互联网应急中心副主任、总工程师
【威胁情报是应对新威胁的解决之道】当威胁来临之前,我们要具备“看见”的能力,及时发现、及早预警、全民追踪、到有效处置,四个环节形成一套解决方案。并形成联动、合作机制,提供更有价值的威胁情报信息,构建更有实用性的威胁情报库,才能为政府机构、安全厂商、企事业用户提供更好的支持。
金意儿:美国中佛罗里达大学应急安全及安全攻防实验室助理教授
【物联网设备的安全问题不能一笑了之】当大量的物联网设备应用在工控系统里时,对于局部智能设备攻击最终导致整个工控系统出现风险,这个风险就是我们不能忽视的。
Glenn Chisholm:Cylance公司CTO,前澳大利亚电信公司首席信息安全官
【黑客比你更了解你的公司】 攻击者们花费大量的时间研究企业信号,并通过一对一的攻击,找到后门、分析漏洞、发起攻击,并最大化的减少噪声,隐蔽自己的行迹。从企业噪声数据中提起有价值的安全数据将成为未来新的技术方向。
Avi Rosen:以色列Kaymera公司CEO
【智能手机成终极情报收集工具】智能手机作为黑客的终极情报收集工具,提供了非常丰富的数据环境。黑客侵入手机后,可以利用电话号码、通话记录、社交网络、社交网络当中的朋友来绘制该手机中所有联系人的联系图,它可以攻击跟你有密切接触的人。
Samy kamkar:美国知名独立安全研究员
【邻居也能控制你的车】物联网设备看起来像是智能家居,它并不意味着智能,很可能意味着攻击。经过试验表明,仅需8秒,黑客就可以轻松获取任何一个车库码,通过STR了解编码并突破车库也就轻而易举了。
弓峰敏:ISC大会首席科学家、硅谷著名投资人、Cyphort联合创始人兼首席架构师
【网络安全初创公司有巨大的市场机会】网络安全创业会有很大的机会,主要将集中于异常行为数据分析、安全支付和欺诈、物联网安全、下一代身份和访问控制平台、内部威胁监控和响应、威胁情报基础设施和安全生态系统解决方案将成为网络安全7大热门投资领域,在美国VC和基金都已经开始全面投向这些领域。
谭晓生:ISC大会执行主席、360企业安全集团总工程师
【中国网络安全产业需要反思】据统计数据显示,在全球网络安全500强里,仅美国加州就有100家,而中国发展了20年只有3家,而且还经常爆发“战争”。中国互联网安全企业要想长期发展,必须要先通过加强安全服务人才的培养,继续呼吁政府给企业开放更多项目等方式强大自己才能实现纳什平衡。
13个专业分论坛
数据驱动安全之APT与新威胁论坛:360资深安全专家胡星儒
聚焦国内新兴安全攻防案例,钻研最新工具、学习技术手段、使用方法。探究黑客组织、攻防情报背后的故事,探讨全球范围新兴威胁态势。
说到APT,可能大家会想到威胁情报,主要是相关资源的共享,这是一个多元化和标准化的过程,最初就是民间样本交换,主要以个人为主,然后就是厂商的样本交换。可以看到,从样本到鱼饵,从PC到移动,都是关于情报的交换,共享情报对及时防御的优势不言自明。
网络空间安全战略论坛:复旦大学副教授沈逸
无规矩不成方圆,在网络空间有人不例外。在这里有权威专家带你读懂国家安全法、网络安全法草案等高大上的法律法规。也有资深安全从业者深度分析大数据时代下国家网络空间安全体系构建。让虚无缥缈变得脚踏实地,是这个论坛的主要责任。
跟网络安全相关的观念,首先是多利益相关方,事实上现在已经形成了三个多利益相关方的版本,美国版本、欧洲版本和中国版本。美国版本的多利益相关方就是排除除美国以外的主权实体进入这种模式。欧洲版本试图在国家主权和非国家行为之间形成一种均衡。中国的概念是以主权国家为主体配合一定数量的非主权行为体。这三种多利益相关方的认知,观念之间的相互渗透、转化,将在很大程度上影响未来全球网络空间治理的走向。
云计算及虚拟化安全论坛:360虚拟化安全团队负责人唐青昊
从 2012年到2014年,虚拟化漏洞发生的数量平均每年大概保持在70个,今年这个数字在不断的增加,因此可以认为虚拟化系统的漏洞属于爆发的状态。通过分析普通服务器和虚拟化服务器的差异,我们发现由于虚拟化系统的存在,它为虚拟机提供了物理服务器上的输入输出设备,音频、视频以及网卡相关的设备。由于在物理机上有硬件存在的,而在虚拟化服务器当中由于软件实现的,因此在这方面存在很大的风险,这也是虚拟化系统存在若干年漏洞的原因之一。
互联网+时代的安全管理论坛:CNCERT何世平
互联网+是新概念,所以要构建新常态下的安全运维及管理架构。
云一个很大的趋势,包括以后政府的数据也会往云上迁移。云在一定程度上能增强应用体验,但是也把风险做了转嫁,风险本身并没有消失。如果是不好,不仅风险集中,更容易造成目标的穿越。
智能移动终端攻防论坛:盘古团队首席科学家王铁磊
针对iOS的安全威胁一直都存在,人们对知识的认识,实际你知道,实际上你不知道,你不知道你不知道,还有一种是你不知道你知道。对于iOS的安全隐患,很多终端用户还处于他们不知道他们不知道,就是有很多安全问题一直都在那里,他们不知道他们不知道,他们会盲目相信设备的安全性,这种情况下实际是非常非常危险的。
网络空间安全法律论坛:公安部网络安全保卫局法制工作处李菁菁
法律法规永远是网络世界安全的坚实后盾,搞安全不懂法?等于开车没驾照。
随着网络空间战略地位的不断提升,世界大国均把网络安全提升到国家安全的高度,制定了一系列的战略文件,得以全方位的进行网络空间的战略部署。这一系列的举措指导并引领了一个国家网络安全立法的方向。
数据篡改与物联网安全论坛:360 Unicorn Team负责人杨卿
万物互联时代数据为王,当数据不在安全,威胁到的不仅仅是网络安全,甚至会将人的生命置于危险境地。保护数据,就是保护物联网,同时也在保护着我们自己。
不可否认,GPS是一个伟大的系统,是全球第一个定位系统,那么要不要公开GPS坐标代码?当时是出于国情的考虑,比较敏感。如果代码开源,有些人用在不好的地方,对国家安全是很大的挑战。伪基站就是比较好的先例,当初德国人做OpenBBS的时候没想到中国人会用它来做伪基站。所以我们认为不开源还是比开源要好。
安全产业创新与创业论坛:360公司战略发展部总监蔡欣华
全民创业时代,安全产业是蓝海还是红海?在整个社会处于转型阶段,在变革与转型背景下,安全产业的发展值得期待,创新理念层出不穷。至于水下有多深,只有亲自下来才能知道。
从活力来看,美国过去一年有差不多200家案子,是投资并购或者IPO。其实以色列只有800万人口的小国家,是北京一半的小国家,但是他们去年都是了40—50家安全公司。中国这么大的国家,我们创业公司只有差不多20家。
漏洞挖掘与源代码安全论坛:“360代码卫士”开源项目检测计划负责人韩建
“未知攻焉知防”,想做坚盾就要研究清楚利矛的攻击套路。因为开放源代码意味着开发者能拥有更多自由选择的权利,所以备受业内推崇。但源代码的开放性也有安全风险:OpenSSL被曝光重大安全漏洞Heartbleed;ElasticSearch爆出远程任意命令执行漏洞;Tomcat爆出严重安全漏洞…… 攻击者可以利用这些漏洞,达到获取用户敏感信息、获取逐级最高权限等不法目的。
数据驱动安全之大数据分析论坛:360企业安全集团总裁吴云坤
数据驱动安全需要海量情报数据、存储计算能力、数据挖掘技术、可视化技术分析这四种能力。也就是需要多维、持续性的信息,并且这个信息是海量的,再运用数据挖掘技术中关联分析方法等找出关联性,运用可视化技术来帮助分析。
数据驱动安全之威胁情报论坛:360网络安全研究院院长宫一鸣
我们认为安全是一种能力,安全不是一个具体的东西,这里面最缺失的就是看见这个能力,国内现在也开始讲可见了,但有一个很大的误区国内把可视化当成了可见,可见和可视化是完全不同的东西,可视化是帮助实现的手段,它本身不是安全。
电子取证论坛:中国人民大学副教授刘品新
中国《网络安全法》呼之欲出,走入人们的视野,被大家关注,这不仅会对电子取证造成诸多影响,在业务范围方面也会极大扩展,包括网络安全的形式取证、行政取证、民事取证以及网络安全风险防范咨询等,立法也会利于第三方取证的发展。