2014中国网络安全大会现场报道

  2014中国网络安全大会第一天的议程已经结束,安全牛君全程参会,现在给大家做一个概览汇报。

  大会于当日9点半开始,首先由主办方赛可达实验室主任宋继忠致辞,表达了对指导单位、合作伙伴和到会观众的感谢,并介绍本次大会的主题“全球化网络安全的新格局和新挑战”以及大会的议程。

  接着来自公安部网络安全保卫局的陆蕾处长代表保卫局总工程师郭启全为大会致辞,陆蕾在致辞中表示,互联网安全面临非常严峻的形势,网络安全保卫局将全力维护网络安全和秩序,维护人民生命和财产安全,维护国家稳定。

  第一位进行主题演讲的是中国金融CIO联盟理事长陈天晴,陈理事长从六个方面讲述了自己《关于银行信息系统安全可控的思考》。

  安全是个永恒的话题“银行业信息系统安全需求除了通常意义上的数据安全以外,还有对整个信息系统的安全性、可靠性、以及服务的及时性、持续性24*365、可恢复性的需求。

  安全相对的“安全不等于闭关锁国,说关起门来就安全了。也不等于我们拒绝使用国际的先进技术,要知道我们现在是国际互联网的时代,拒绝肯定是不可以的。“

  安全的需求随着发展而变化“安全不是我们的目的,应该是一个手段。发展是我们的目标,以发展促进安全。不发展不安全。”

  安全可控需实事求是“是在目前的基础上,要努力做的首先就是应用系统要安全可控,我觉得这是我们最应该做的事,也是能做的事。银行业不可能自己去搞一个芯片生产系统,也不可能再去搞一个操作系统。”

  关于去IOE“去IBM、Oracle、EMC公司的所有产品和服务,进而去所有国外产品和服务,我觉得如果这样的话不可能,也做不。如果是指去以IBM的Unix小型机、Oracle的数据库管理系统、EMC的储存系统为代表的传统的封闭式数据处理技术机构,代之以Linux的X86PC服务器、内部数据处理系统和云存储的开发式云架构,我觉得这个可以积极探讨。”

  安全可控与国产化” 我们必须支持国内产业,但是支持也必须遵循实事求是、循序渐进的原则,能做什么先做什么,能用什么先用什么。“

  第二位演讲的是清华大学网络与信息安全实验室主任段海新,段博士主攻信息系统基础设施,他主要讲述了基础设施的三个支柱系统BGP、DNS和PKI的运行机制、安全现状和一些解决方案。

  第三位出场的是腾讯副总裁丁珂先生,丁总的演讲十分有特色,聊天漫谈为主,主题演讲一带而过。现摘录一些精彩语录如下:

  “我们发现在做安全的传统正规军,好像在理论体系和意识上反而没有那么清晰的发展路径。我感觉到安全话题在市场上跟防范的具体对象上,一下子分拆出了很多的领域。”

  ”宝剑型的安全,你没有的时候心里很虚,但是有的时候,就像你看小区保安的时候很烦燥,他老干预你,本来是这种效率型的工具,但是总是在不合时宜的时候弹出来打断你,这不是一个非常好的体验。“

  “安全上升到国家政策后带来了很多新的课题。总结来说主要是四类问题:银子、面子、裤子(指数据库)和乱子。”

  “既要合规,又要做到新的需求上面有一些创造性和突破性的方法,能够做到前瞻的预防,能够做到不再那么手忙脚乱,这个要求还是很高的。行业大数据方面,希望我们短期内能够形成集团性的优势,把各类的人才聚在一起,大家真正做出非常经典的大案例。”

  网康科技老总袁沈钢的演讲主题为《互联网时代下的企业变革》,袁总的重要观点如下:

  “国家在大力支持网络安全,但我们不是仅靠着国家政策就能够兴旺发达起来了,而要真真切切给用户带来闭环性的价值,靠这个行业自身持续不断的创新和努力,这个产业才能发展起来。“

  “我们要解决易用性和参与性的问题,还要解决用户的黏性问题,一定要使用户更高频度的,更广泛的参与到企业安全设备的使用、管理和价值呈现方面,给用户提供互联网时代的企业安全产品,企业安全市场才能够做大。“

  ”我们说现在互联网时代是三十年河东,三十年河西,我们B2C的企业是三十年河东发展得很好了,但是在中国,B2C的安全企业还是一直生存在相对来说挣扎或者是困难的状态。我们希望未来三十年企业安全企业也能够发展起来,大家共同努力!”

  上午最后一位出场的是微软云计算总监,中国云体系产业创新战略联盟秘书长沈寓实。沈秘书长先为大家分享了整个信息产业的大趋势,“其实世界上各大IT公司、CT公司,计算、存储、通讯这些所有的公司,都在向云和移动进行大的转型”,然后介绍了国际云安全联盟在中国区的落地。

  “国际云安全联盟今年6月份进行了中国区的落地,总部在美国,前年设立了欧洲区,现在是中国区,由李宇航担任理事长,我是副理事长。这个安全联盟是云体系联盟的一个国际的主要成员,依托这个云体系联盟在中国进行业务的发展。。。因为IT是一个基础性的行业,政、产、学、研核心的技术,基础理论的创新现在都在进行国外和国际的交流,所以我们成立了这个联盟来推动中国整个云体系的产业发展。”

  下午最先出场的是国家信息中心高级工程师邵国安,邵处长先介绍的是国家电子政务外网的状况:

  “电子政务外网是政府唯一一个跟互联网逻辑隔离的一个政府专网。应该说现在中国的电子政务外网是全球最大的一个政府的专网,从目前来说,现在整个国家、省、地、县基本上覆盖的范围,到地市一级是98%,到县一级全国有2865个县,现在我们是90%基本上都覆盖了。其中我们有10个省,基本上政务外网覆盖到乡镇和社区。”

  “国家正在逐步减少互联网的出口,通过政务外网的VPN可 以给它集中,安全厂商应该有很多可以作为的地方。比如说我们很多的省里面把这个门户网站群集中来统一管理,比如像北京的首都之窗。还有一块是跨部门的数据 共享与交换。我们现在正在做的全国的信用体系,全国法人库的建设,以公安为主的人口库的建设,都需要给各个部门做共享。”

  谈到大数据,邵处长认为,现在的大数据炒得过热,目前我们的数据质量和数据积累还不足以支撑,现在更应该关注现有数据的质量和现有数据的存储。

  最后邵处长谈到了对智慧城市的看法,他表示:” 智慧城市关系到政府的信息化、社会的信息化和企业的信息化。这个如果没有达到一定程度,智慧城市是建不好的。实际智慧城市从本质上它还是城市建设的一个重要的组成部分,而城市化建设,是一段很长时间的过程。

  接下来出场的是韩国安博士融合产品开发室室长Kiyoung Kim,通过翻译他讲述了公共基础设施的威胁与安全,以及安博士产品的特点和解决方案。

  “我深刻的意识到,如果没有‘盾随时可能被攻破’这种心态的话,我无法达到我现在做的职责,不能防护黑客的攻击。所以我会以这种心态对AhnLab EPS产品倾注下去,对它一直做维护,对最新的攻击技巧做最新的防护。”

  接下来是思博伦通信高级安全顾问曲博带来的《下一代网络安全测试方法》。

  “我 们可以测试已知攻击、未知攻击和恶意软件。对于已知攻击,我们可以通过特征库,另外可以通过攻击设计器,还有定期升级,我们提供云测试,还有知识库。我们 有一个高性能的测试,可以达到千万级的并发连接数,百万级的每秒新建,可以达到应用仿真。我们还做应用流量和攻击流量的混合,可以模拟网络的真实场景,可 以应用到赛博靶场,对于这种攻防演练要求比较高的场所。我们还可以利用虚拟的方案做云安全测试。“

  作为今天大会最后一个主题演讲人,公安部信息安全产品检测中心检测部主任陆臻分享的是信息安全产品的检测现状及分析。陆主任介绍了以下三个方面的内容:

  信息安全产品检测概况

  一是产品数量稳步增长,不合格率略有降低;二是进口产品相对萎缩,自主研发趋势显现;三是产品数量保持稳定,资金规模明显扩大。到2013年,总共有439家厂商送检;四是技术领域发展迅速,新型产品不断涌现,目前测试类别覆盖已经达到了51类。

  产品安全性检测检查的思路

  建议要从产品的开发、生产、交付、使用的各个环节来加强安全管理。检查的内容要针对产品的整个生命周期,包括可靠性、可控性和安全性。方式包括三个:背景检查、过程检查和技术检查。

  国家信息安全专项的测试情况

  整个测试工作是由国家发改委委托公安部来牵头组织开展的,质检总局、国家保密局、国家密码管理局等部门参与。测评牵头单位是公安部计算机信息系统安全产品质 量监督检验中心承担的,测试参与单位基本上是挑选了一些实力比较强的国家级的测试机构或者就是专业领域权威性比较高的一些测试部门,认证是国家信息安全认 证中心,网关产品是由我们来测,DCS由中国信息安全测评中心来测,这个也目前体现出了各个测评机构之间的分工合作。

  今天的最后一个议程是白帽子圆桌会话,腾讯玄武实验室的于旸(TK教主)、天融信阿尔法实验室郭勇生(冷风)、知道创宇技术副总钟晨鸣(余弦)出席,由乌云市场总监邬迪主持。下面是安全牛君摘录出来的精彩对话:

  邬迪:“大家可以把乌云网理解为一个中国网络安全的天气预报,每天你看一看乌云就知道今天上网是不是应该多加件衣服,或者是不是应该打个伞。”

  TK:“微软把他们阵营里面的安全专家称之为“蓝帽子”,对于中国人来说黑帽子还是可以戴的,白帽子戴了其实不太吉利。我听说有的老外他们还试图搞什么“绿帽子”大会,我跟他们说,你这个搞了中国人是不会去参加的。”

  关于思维

  余弦:“有时候通过黑客的一些技巧,有一种捷径,能够让你不用通过正常的渠道就能够达到一个目的,这个感觉还是比较舒服的。我们说‘白帽子’,其实本质上都是为了我能够解决这个问题的一种思维方式,能够补充我的思维方式。”

  冷 风:“ 其实我觉得做这个事情(指安全工作)是很有意思的,你想想看,别人去盖一栋楼很难,需要设计,需要施工,盖起来以后让你去搞破坏,而且是合法的,这就很有 意思了。当然你懂更好,如果你不懂也可以,你不懂这个楼是怎么建的,但是你能找到它的弱点在哪里,这也是一个很有意思的事情,而且你如果能找到,别人还很 高兴。”

  冷风:“我觉得不管哪个行业,它最终的道理都是一样的,就是专注。如果你是针对一个小事的话,比如做渗透,其实你对于一个网站做安全渗透,你会发现做下来的不一定都是高手,不完全在于他的技术有多高,而是在于他是否专注。”

  余弦:“如果一个人缺乏视野的话,你很难去触类旁通,很难做一些发散的思考,这个会决定你未来的路会有多宽敞。”

  TK:“我去微软Blue Hat大会的时候,第一个演讲的是微软的战略程序员,我觉得这应该是程序员当中最高的,可以用“战略”这个词,但是还是程序员,还在写程序,已经50岁了。”

  关于市场

  TK:“安全市场这种先天性的问题就导致了任何国家的安全市场和真正的健康自由之间不会完全符合。但是在这个过程当中,作为这个行业里的人,无论是甲方还是乙方,首先要清醒的认识到这一点,另外就是要去适应这一点。”

  余弦:“其实我对这个市场有些失望,就是自由度不够。自由度不够会导致一个很严重的现象,就是很多解决方案不够透明。如果不够透明会导致什么一定会导致很 多恐吓和忽悠,我忽悠你,我最牛。所以大家如果看到谁家的产品说我是第一,那一定是假的。谁家的产品说我是智能的,一定是有问题的。”

  关于密码

  冷风:“ 作为普通用户,常改密码还是有必要的。京东、淘宝、人人、QQ,其实很多的数据库已经被拖过了。最好回去以后自己想一个密码,彻底换一遍,我觉得这个还是有必要的。”

  TK:“我再接着冷风的提议给大家一个小建议,你们可以试试用一些集中的密码管理软件,你可以给每一个网站都设不同的密码,而你只需要记住这个密码管理软件的一个密码就可以了,它帮你管理所有的那些密码。我觉得这是一个相对比较好的策略。”

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:PowerPoint死亡陷阱:微软发警告 幻灯片含0day