第六屆中國網絡安全大會：網絡安全動向熱詞解析

近日，第六屆中國網絡安全大會（NSC 2018）在北京國家會議中心盛大召開。在2000名與會者的見證下，來自國內外的40多位頂級網絡安全專家和學者發表精彩演講，共同聚焦國際視野下的網絡安全。許多專家學者不約而同地跟蹤了近年來的熱點問題。

 

自主可控

大會名譽主席，中國工程院院士倪光南以中興事件為例，闡明“網絡安全的核心是技術安全”的要義。

他表示，在人工智能、5G網絡、大數據、物聯網、云計算、AI等新型技術方面，我國占據相當的后發優勢，在世界上也有一定的地位。目前，相關單位應當迅速補齊短板，繼續利用我們的優勢實現彎道或者換道超車。倪光南指出，自主創新是我們攀登世界科技高峰的必由之路，未來必須要通過自主可控達到技術安全，用安全的技術打造安全的網絡。

 

區塊鏈安全

區塊鏈技術的應用和開發中，數字加密技術是關鍵。一旦加密方法遭到破解，區塊鏈的數據安全將受到挑戰，其不可篡改性亦將不復存在。

中國科學院院士王小云在此次會議中，以“Hash函數與區塊鏈技術”為主題介紹了基礎密碼算法——Hash函數的基本安全屬性及其在密碼系統設計中的重要應用，特別是在區塊鏈技術與產業中的重要應用。Hash函數主要用于檢測消息完整性，與簽名算法一起保證電子簽名的合法性與抗抵賴性，是設計眾多密碼系統的關鍵部件。

而北京大學網絡與信息安全實驗室博士生、國際區塊鏈安全比賽第一名ABBA GARBA(廣博) 則從比特幣和區塊鏈技術的概述出發，講述了公鏈、私有鏈和聯盟鏈的概念及應用。他提出，比特幣和區塊鏈在隱私及安全方面仍存隱患，應從加強密碼密鑰技術、改進區塊鏈協議、強化職能合約和防回溯、實現數據分析和可視化等方面對其進行完善。

 

個人信息保護

5月1日，《信息安全技術個人信息安全規范》開始實施，意味著我國個人信息保護工作步入了一個更加規范化的階段。

中國電子技術標準化研究院信息安全研究中心審查部總監、國家標準《個人信息安全規范》主要編制人之一何延哲以“個人信息保護合規的挑戰和機遇”為主題進行了演講。他詳細分析了各國家和組織對個人信息保護的立法情況。其中，美國的特色在于分散立法、重視行業自律和訴訟案例，歐盟的特色在于統一獨立立法、成立數據保護委員會和實現DPA監管，而我國雖然尚未形成個人信息保護方面的單獨立法，但出臺了不少相應細則，實踐指導性較強。他認為，當代互聯網企業要有所發展，必須要讓算法在數據和合規之間找到平衡點，以合規保障業務可持續發展。具體來說，合規的技術方向應當包括：可知、可控、可溯、可迭、可預、可示。

 

5G安全

5G網絡已成為全球發展趨勢之一。但是，5G在業務、架構、技術等方面，都對用戶安全和用戶隱私保護提出了新的挑戰。

中國電子科技集團公司首席科學家曾浩洋以“第五代移動通信系統安全概覽”為主題，從新的應用場景和新的網絡架構兩方面分析了5G面臨的安全挑戰及其安全需求。他指出，當前5G的總體安全需求是，提升安全防護等級，強化認證和授權，實現切片隔離，防止降維攻擊，推進安全監控和安全服務化等。

目前，5G安全標準化已推進至第二階段，主要研究內容為大規模物聯網、身份管理、SBA安全、邊緣計算安全等，防護功能更加完善，且能適用于更多場景。而最終，5G網絡將實現面向垂直行業的安全服務，即打造靈活的安全體系結構、可定制的安全功能、開放的安全能力和多元化的信任等。

 

基于人工智能的網絡安全

近年來，人工智能被應用于各個垂直領域，網絡安全面臨新的挑戰，也為人工智能大顯身手帶來了重要的契機。

騰訊高級安全研究員羅元海便認為，安卓病毒在當下的傳播態勢正在加劇對傳統對抗方式的挑戰，而鑒于傳統對抗方式的運行機制，其在當下病毒對抗中陷入困局。AI技術成為破局關鍵，其具備的實時響應、抗免殺等技術特點，將成為下一代反病毒引擎的核心對抗能力。

此外，百度AI安全技術總監聶科峰講述了“AIoT時代的安全”、北京安賽創想科技有限公司資深戰略顧問謝超首闡釋了“智能安全的自我進化”、蘇州錦佰安信息技術有限公司創始人兼CEO馮繼強論述了“AI領域，對抗欺騙與安全防御”，3人將視野聚焦于AI數據分析、身份認證等不同功能在安全領域的應用。

 

工控智能終端安全

我國工控領域的安全問題突出，工控系統的復雜化、IT化和通用化加劇了系統的安全隱患，通用開發標準與互聯網技術的廣泛使用，使針對工業控制系統（ICS）的病毒、木馬等攻擊行為大幅增長，導致整體控制系統的故障，甚至引發惡性安全事故。

水利部機電研究所工控網絡安全測評中心副主任張志華以“水利工程工業控制系統網絡安全防護策略”為主題，解讀了水利工程工業系統網絡安全政策與水利工程工業系統網絡安全現狀，提出工業控制、風險評估、應急處理三位一體的防護策略。

公安部第三研究所助理研究員唐迪提出，近年來針對車載信息的網絡攻擊越來越多，外國黑客先后對多種車型進行了破解，車載電子信息系統安全受到威脅。研究發現，車載信息系統的安全隱患主要集中在傳輸安全、固件/設備安全、軟件/應用安全3個層面。目前，國外已有相關安全標準出臺，國內的相關研究也越來越多，車載信息安全將在未來得到改善。

公安部第一研究所檢測中心物聯網產品檢測部副主任浮欣以“安防及智能設備信息安全檢測”為主題介紹了物聯網中廣泛使用的安防及智能家居產品與設備技術特點，包括民用領域和公共安全領域等。他提出，這些產品和設備的安全風險存在于傳感器和執行器、嵌入式系統、通信系統等多方面，近年來頻發的監控攝像頭安全問題，已引起有關機構的高度重視。

 

云和大數據安全

中國電子技術標準化研究院信息安全研究中心數據安全部主任胡影以“我國大數據安全標準進展與應用實踐”為主題，闡述了我國在大數據安全、隱私保護領域的標準化工作情況。胡影介紹，2018年我國已發布《大數據安全標準化白皮書》，并相繼出臺了多個網絡安全實踐指南文件。目前，這些標準先后得到應用，取得良好成效。下一步，全國信息安全標準化技術委員會將開展“信息安全技術數據安全能力成熟度模型”的試點工作，進一步推進大數據技術安全進程。

北京安數云信息技術有限公司CTO徐鋒表示，國內云安全市場尚處于起步階段，但整體的市場規模將隨著云計算市場增長而快速崛起。云安全面臨的挑戰主要在幾個方面：云模式下，用戶失去對物理安全的控制；云中使用內部開發的代碼會涉及代碼組合和兼容的問題，將引入因混合技術不成熟而帶來的安全漏洞；多個組織的虛擬機共存于同一物理資源上，物理隔離和基于硬件的安全難以得到保護；缺乏適當的故障恢復技術；各類有關標準林立，互不兼容，業務割裂，系統混亂等。而強化云安全解決方案則應從服務用戶、安全服務融合、數據融合、安全產品系列融合、平臺兼容等多方面入手。

（原載于《保密工作》2018年第7期）