8月3日,国内首个新基建安全大赛在北京正式启动。在中国产业互联网发展联盟的指导下,这场大赛由腾讯安全、安信天行、任子行、深信服、拓尔思、卫士通、知道创宇等多家安全企业联合发起,并由国际领先的安全团队KEEN主办。
“新基建”中的“新”给安全产业带来什么机遇与挑战?面向新基建这块新版图,安全厂商又有哪些前瞻性的认识与技术储备?什么原因让这么多安全企业能聚在一起发起新基建安全大赛?
带着这些疑问,启动会上邀请了GeekPwn负责人杨泉、任子行常务副总裁周勇林,腾讯安全玄武实验室负责人于旸,拓尔思副总裁余江,中国电科集团首席专家、卫士通公司总工程师董贵山等安全企业的负责人开启行业沙龙,畅谈如何筑牢新基建的安全根基。
精华观点☟
01新基建大幕铺开,安全有哪些“新”变化?
新基建的“新”一方面体现在新的技术和应用,一方面也对所有新基建参与主体提出新的挑战。本就一直处于动态变化的产业安全,在新基建时代将迎来进一步的变化与重构。
Q:结合安全厂商的一线实践来看,新基建下的安全有什么变化?
任子行常务副总裁周勇林:第一,我觉得我们要认识到一点,在新基建时代安全不仅仅是我们过去一直在不停讲的为社会经济发展保驾护航,它实际上应该成为新基建下各类业务、各类产品内在的属性。
举一个例子,比如说我们做杯子,最开始做杯子只要能装水就可以,并没想杯子要多么好看,那时候用泥烧成一个杯子,装水就很好。慢慢的,随着物质水平的提高,杯子摆在家里要漂亮,因此我要把这个杯子弄的漂亮一点,换一个花纹的,后来有瓷器的产生等等。
我觉得到了新基建这个时代,安全在新基建这里既会成为一个“个类”的产品,这是它的一个本质的属性了。也就是说对于安全的从业者、厂商来讲,我们要做的事情更多了,而且我们要做的事情要跨越此前在自己的小圈子里,不然就安全而谈安全,只是谈一个点。
我们必须要能够主动的走出去,同新基建相关的,无论是5G也好、工业互联网也好、物联网,或者是未来更新的一些技术。
第二,在新基建时代,网络安全在以往安全的架构上、层次上进一步深化和外延了。怎么讲呢?新基建时代广义的互联网和通信网络,它的基础设施的建设一定是最先起步的,这块有基础设施的安全。
我们过去也讲基础设施安全,现在新基建这个时代下,当前我们首先面临的就是新基础设施的安全。在新基建时代下,一个很大的特点,不论我们国家搞5G也好还是搞其它的也好,不是为了研究一个技术而研究它,而是解决阻碍通信技术进一步发展的、在应用上的一些难点问题,比如说要大带宽、低延时,有大量的终端能够进来,解决过去在4G以下那个时代的问题。
因此,我们搞安全,你要融合,在新基建那个时代下,要面向应用去走。我们安全企业过去更多是关注于安全本身的一些点,漏洞、恶意代码、各种攻击等,现在要跟应用结合在一起,要用搞应用的人的思维去思考怎么做,这是一个层面。
第三,就是进一步深化和外延的方面是在行业的监管上,包括违法、违规的一些行为的发现和打击上,从这点来讲它仍然是保驾护航的。协议规则不可以滥用,另外像欺诈,或者是传播有害内容,在5G时代仍然会有。我们现在看到很多物联网的手机卡被用来干各种坏事,物联网卡能不能检测发现等等。
因此在新基建这个时代下,从政府的监管或者行业监管,针对新的互联网通信基础设施的滥用这方面我觉得也有很多问题。特别是随着终端的增加,机器的终端大量的出现,人的应用终端也大量出现,混杂在一起,这时候会出现数据的量变导致质变,对我们来说更加困难的发现哪些事是在正常用,哪些在违法、违规的滥用,这几个方面其实对我们来说是一个挑战。像丁总讲的,挑战其实是一个机会,你只要不被它“搞死”,你就会有很大的发展。
大家现在讲新基建,讲安全,把握住这几点,我觉得方向就不会错。我们作为一个安全企业也是一样,我们在基础设施安全上也在跟工信部、运营商去研究5G相关的一些基础设施安全、应用的安全,我们也在跟政府监管部门去讨论怎么做更好的监管,我们同时也做一些原来狭隘网络安全应用上的一些,比如说零信任、SDP,也在做这些事情,也希望这些东西将来在新基建的背景下跟应用碰撞在一起,有更多的一些机会出来。
Q:新基建大潮之下,看待安全的角度是否会颠覆以前的认知?
腾讯安全玄武实验室负责人于旸:谈到新基建也好,或者是新基建的安全,我在学习这些知识过程当中,我一个比较大的感受其实是碰撞两个字,我觉得这个里面有技术和知识的碰撞,还有观念和意识上的碰撞。
第一点,实际上我们讲新基建它是让各层面IT技术去和很多原来没有特别去接触IT技术的行业发生碰撞,或者说他们以前接触是非常浅的,就搞几台办公电脑级别的接触,但现在不一样了,现在是把IT技术跟他们实实在在的一线业务紧密的,不是说捆绑,甚至是嵌合到一起,这个级别的这种结合,这个里面势必要产生非常深的碰撞。
第二点,可能他们这些行业自己之前,他们已经是用IT,里面是用到IT技术了,像一些工业上面的工业设备,一些生产线上面的这种设备,实际上很多都是程序控制的,他们行业里面是有程序员的,但是这一些行业他们原先去用的IT技术,因为他之前是完全不需要接触互联网,对外面基本上也没有开放,在新基建的背景之下他们会有某种信道开始和外面不一定是直接的,但会有可能的信道会出现,相关的从业人员他们意识当中没有为此做好准备。
在新基建推进过程当中会产生这种基础性的碰撞,这个可能是当下甚至在未来一段时间里面的常态,特别是新基建安全里面的一个常态。
在若干年前,当时国内很多做自主、自研软件厂商,那个时候他们很多观念意识几乎和我们现在很多的刚刚通过新基建来接触了解互联网的企业是一样的,他们首先意识不到自己的产品到底有可能以什么样的形式被攻击者接触到,他们甚至认为我的产品,他不是想我又没有漏洞的问题,他是想我有漏洞又怎样,你没有办法,你能怎么攻击我,他连这个路径都想不到。
后来他真的看到了之后,真的去接触到了之后,他才会发现,确实是可以的,那我这个安全要开始重视了,我觉得这个是极棒最大的意义,极棒最大的意义就是给你看一下,你有问题,真的是有路径可以触达到的。
还有就是相关的技术和意识的碰撞,有这样接触和碰撞之前的,可能很多行业里面从业人员,脑子里面不会把这个安全相关的问题,可能不是技术的就是没有这个意识,不会去想我这样一套东西是构想安全上的东西,新基建不是说我们发明了某些新技术。不是,是99.99%全部都是老的技术演进出来的,老的技术组合出来的。
这种技术的组合就像搭积木一样,盖房子一样,还是那些砖头瓦块,我们建设了不同的建筑物,在这个过程当中又会发生碰撞,不同的技术在组合,可能每一个技术自己是没有问题的,我们认为是久经考验的,但是再组合出来一个新的场景里面,我们认为没有问题的东西一组合出来就出问题了。
我们实验室在过去这么多年研究里面还是挺关注这方面的问题的,像丁总讲到2018年发现屏下指纹识别的问题,那个是非常典型的例子,因为指纹识别不是一个新技术,是几十年的老技术了。
当时相关的企业为了能够把这个指纹识别做到手机的屏幕下面去,把一系列的技术做了一个组合,实现了一个非常酷炫的功能,以前只有科幻电影里面才会出现的,你把手放到屏幕上面就可以验证,但是在这个过程里面,我们说它不光是涉及到了IT技术,里面是有相关的识别算法,而且还把当时用传统的算法是不行了,在里面还用到了机器学习,那个算法是用机器学习做出来的。
同时又用了新的光学原理,几个甚至是不同领域的技术组合最后形成了新的应用,最后在这个里面是出现了问题。然后像我们今年,就是上个月刚刚发布了一个研究,就是在充电器行业里面,充电器、充电宝这个领域里面,我们发现这个东西会存在安全问题的,但是在之前的意识里面,大家根本不会想到。可能电脑被入侵这个大家能想到,但是现在你的充电器可以被入侵,就完全超过了大家的想象,可能一般的用户不会去想,相关的厂商也不会去想,因为我们通过这个事情接触了一些厂商,我们跟这个厂商沟通的时候他们是完全懵的一个状态。
他们一辈子都不会想到,我这样一个企业要和网络安全问题有交叉,我们通过相关的网络主管部门去和他们沟通的时候,甚至是他们相关主管部门我们从来没有跟他们沟通过,这个企业邮箱都不在我们这个地方,因为他们之前自我定位,我是一个生产制造行业。
原因是什么?随着技术的先进,他们为了提供更好的产品,他们需要用IT技术,其实在新基建场景下也是一样的,这些碰撞是我们未来需要面临的,而且大家现在心理上要做好准备,不管是现在在做的行业内的,还是说安全行业内还是新基建领域的。
当然我们作为安全从业者,我们有义务给他们做好心理上的工作,帮他们做好心理建设。
02哪些安全技术在新基建下大有可为?
新基建将集中落地大量数字化技术,例如AI、5G、区块链等。前沿的数字化技术应用造福社会的过程中,本身会伴生全新的安全场景,但技术本身也会成为安全产业的“武器”,更好地占据攻防主动。
Q:如何看待,新基建下AI技术和安全的关系?
拓尔思副总裁余江:在卫士通的业务范畴来面,除了有网络安全,实际上还有公共安全,甚至还有国家安全的一些业务应用场景在里头。
在新基建+人工智能+AI的应用场景里头,我觉得安全技术是我们的一个重要支撑。现在AI的算力已经是在爆发式的增长,而且替代人力,而且很多事情在AI时代它可以做的更精细一些。
举个例子,我们都知道执法办案机关他们有大量的笔录、案卷,以前这些案卷它是需要由人工进行审核的,因为你不知道这个判决是否合理,是否有重罪轻判或者是轻罪轻判的情况,包括像我们公安民警他在做很多笔录的时候,你只是把它记录下来,只是存档放在那里,是不是还可以创造更大的价值,比如说做串并案的分析。
这些都会有人工智能大量的需求在里面,在人工智能技术以前这些数据都是死的,所有东西都是需要人工一条一条审核,要想串并案有要靠那些老刑警,他们依靠自己的经验和能力去进行判断。人工智能来了以后,我们通过这种手写智能识别、语音识别这样一些技术实现叫智能办案,像智能办案这样的应用场景。目前,拓尔思已经在某些省某些执法机关里面做了落地。
像这种场景的落地对于我们司法机关的执法办案人员,极大程度减轻了他们的工作强度,再一个就是有准确性大幅的提高。
说明新基建+AI这种技术对于我们是很重要的,这种应用场景落地的时候考虑安全还是比较少的,但是这种挑战存在,包括刚刚讲的计算能力比以前要提升太多太多了,正是因为有了这样的计算能力我们这些业务场景才有可能去落地。
包括网络带宽也极大的提升了,包括在这过程当中产生了海量数据,我们要去挖掘它的价值。其实这些对安全就提出了更高的要求,从我们实时的响应,以前我们发现事件再来响应被动的防御,那么现在我们要变成主动防御,我们叫安全前置这样一个需求。
Q:密码技术是否正在迎来最好的时代?
中国电科集团首席专家、卫士通公司总工程师董贵山:新基建说“新”也不“新”,发展那么多年,我们国家也倡导数字化转型,数字经济发展。到了今年,特殊情况下,通过拉动经济这样一个大战略,把我们这么多年在数字经济发展中的一些关键要素整合起来,我们以新基建的方式来进行策动。
新基建大家都清楚,融合的基础设施、创新基础设施和信息基础设施,信息基础设施是重中之重。既然是数字中国,数字化经济,数据资产和数据资源的保护其实是新基建安全的核心。在这种情况下,传统我们说网络安全分层次,有物理、网络区域边界、计算环境、应用数据。
但是,新基建的安全体系我们认为应该是以数据资源和数据资产保护为核心来打造的。保护数据安全,围绕这个核心要点,相应的密码、技术其实是发挥着至关重要的作用,大家都知道密码、技术本身对数据资源的一些机密性、完整性和相关实体的真实性以及网络行为的不可否认性,就抗抵赖,这几个要素其实是对数据资产保护起到一个安全基因的作用。
我们《密码法》也立了,其实恰好是深度的应用密码技术,构建以密码技术为安全基因的新基建整个网络信息安全体系,这是我们宏观上的一个认识。落在一些具体的技术手段上面,比如说通信层面上,移动、5G,这应该是新基建实现人连、物连、数连、智连,万物互联核心的一个途径,它本身的场景也分了高带宽、低时延、海量数据接入,它和车联网、物联网、工业互联网这些很多场景,还有边缘计算,密切相关。
我认为这应该是新基建中的通信的底座,在这些场景中,我们又发现密码技术和围绕着以密码为核心的数据安全服务的这些方向其实是更加基础的一个底座,刚才有专家说了,安全基建是新基建的基建,我们也就是新基建的底座,密码和数据安全的能力输出和服务反而也更加成为新基建安全基建的核心。
我们围绕数字经济的发展,各种生产生活的要素都数字化,然后再通过5G这个纽带形成一个很大的体系。在这种情况下它的安全问题就非常复杂。
一方面要牢牢把握住数据安全这个核心要素,同时发挥密码在数据安全、资产保护上的核心作用,在相应的技术体系设计上要有一个整体观。
另一方面是密码服务平台,尤其是在一些区域新基建的专项中,我们着力在进行推荐。比如说围绕着政务领域、区域智慧城市的建设领域,还围绕着行业应用领域,其实它都有一个共性的要求,它的数据资产需要保护,我们的密码不但是原先的卡、机这种配套式的能力输出,而是一种平台化的、服务化的能力输出,所以这是我们着力推进的一个方向。
在“人连、物连、数连、智连”大的体系中,海量的实体还有不同管理体系之间的可信和互认,这是一个信任的大挑战,面临这种信任的挑战,我们应该把信任的服务平台化,信任的颗粒度更加细粒度化。模糊的网络边界环境下,最小实体信任的机制建立起来之后,形成一种更好的细粒度的访问控制和信用服务体系,这也离不开密码,所以这也是我们在着力核心打造的内容。
03联合发起首届新基建安全大赛 驱动产业协作常态化
新基建带来的全新安全态势和安全挑战,让安全生态建设的必要性凸显,没有任何一家单独的厂商可以解决新基建所有安全问题,产业链上下游正在前所未有地紧密结合,携手筑牢新基建安全底座。这也是多家安全企业携手发起本次新基建安全大赛的核心所在。在启动会上,几位嘉宾分享了发起首届新基建安全大赛的思考和期待。
任子行常务副总裁周勇林:我希望通过我们这个比赛去引导年轻人,一方面要关注漏洞,利用这方面的知识;另外通过这次比赛让大家认识到说我们做这些漏洞的挖掘、攻击技术的研究,最终的目的还是为了去保障应用的或者信息安全,在那个方面我们去设计一些题目,让大家能够学更多的知识。
就像TK讲的一样,你要接受不同门类的知识,我们只研究一种,计算机的或者是一个网络协议这方面的问题,这是不够的,把我们人才培养引向更深、更广的一个层面。
拓尔思副总裁余江:新基建给我们人工智能肯定是提供了一个更广阔的空间,在人工智能这块,像极棒这种比赛,应该说给我们提供了一个平台吧,帮助我们去完善我们的安全,提升我们的安全意识、安全技能,我觉得这是一个很好的形式。
通过极棒这样的活动,能够吸引更多的网络安全人才,吸引更多的人进入到信息安全的行业里面,甚至是进入到新基建里面,帮助人工智能企业提高信息安全水平。
在新基建的项目里面,不单单是说事后来考虑安全,通过这些人才的引入让我们安全前置,这是我特别希望说通过极棒这样的活动,看到有年轻人和我们这样的企业形成更多的互动。
腾讯安全玄武实验室负责人于旸:极棒这么多年以来,从2014年第一届到现在办了这十几次,我觉得一直以来极棒说它是一个比赛或者是一个活动,极棒最主要的角色是扮演了一个纽带,一头连接着选手,一头去连接厂商,同时这可能是极棒最粗的纽带,同时还有很多很细的,包括我们去触达公众和媒体的一些认知。
这么多年来了,极棒最棒的地方就是它的纽带角色扮演的特别好,整个中国一直以来,其实是非常缺乏这样一个纽带传递安全的信息,我刚才其实也讲了,极棒在最早的时候,最开始那几年,我相信负责主办方是深有感受,在扮演“纽带”过程当中会遭遇到很多的不理解,特别是当你触达企业那一侧的时候会有很多的不理解,有的时候不理解你,有的是根本搞不清楚你是谁。
我记得当时还有就是你给他发邮件他拒收,他觉得我拒收这一件事情不存在,当时都有这样的情况存在这么多年“纽带”角色扮演下来,现在相关的企业主要拥抱极棒。
我们现在又开始了新基建这样一个新的领域的时候,可能就是说之前早几年我们去探索的时候遇到的这些问题会再遭遇一遍,可能会更激烈,我的期望就是说,希望极棒继续在这样一个征程当中坚持住,把这个“纽带”角色扮演好,把安全理念给刚刚去接触安全的这些企业传递好。
中国电科集团首席专家、卫士通公司总工程师董贵山:应该说极棒搞这个新基建安全大赛也体现了安全界的担当,我觉得确实在这个新形式下,我们围绕新基建整个数字经济和数字社会乃至数字化网络空间所面临复杂条件下,网络空间安全问题也复杂性,不管是面临的平台、场景还是手段都是交叉、融合、综合的,这种情况下安全问题更复杂。
所以这种情况下我们应该说,这种安全大赛所面临的技术上的一些,尤其是融合创新还有攻防技术对抗要求更高,再者就是在平台场景、平台的设计方面要考虑很多,确确实实是,可能和单纯原先我攻某个系统,找漏洞目标不一样,反而是一种结合场景和新基建安全的一种场景,不管是车联网、人工智能、物联网场景结合下,可能对于我们主办方一些场景设计和平台的构建也提出了很大的挑战,我觉得这个方面需要加强一下构思。
同时在这里提一个小的建议,我们对新基建安全有一个共性的认识,就是有一个平台化,就安全底座的这样一个概念,同时也是以数字安全为核心,这种情况下我们在目标上面,参赛的一些导向上面我们更多围绕着数据安全,围绕着实现数据安全各种系统和平台找漏洞、找他的攻防对抗点,甚至是引入一些密码对抗和密码协议分析,攻防方面的一些因素,对于我们这个大赛更有担当、更有新意,也预祝大赛圆满成功。
新基建是一个宏大的版图,新基建安全的建设需要更多社会力量联合共建安全生态,安全厂商应形成协同与合作的常态化,打造统一、融合的安全解决方案,为新基建安全筑牢根基。