程彥博

2014中國互聯(lián)網(wǎng)安全大會(huì)的規(guī)模比去年翻倍，這個(gè)眾多信息安全領(lǐng)域重量級人物站臺的大會(huì)，給與會(huì)者帶來了哪些“干貨”？透露了哪些前沿的安全趨勢和獨(dú)到見解？

從2013年第一屆中國互聯(lián)網(wǎng)安全大會(huì)（ISC2013）1.2萬人次參會(huì)，到2014年中國互聯(lián)網(wǎng)安全大會(huì)（ISC2014）主辦方稱超過2萬人次參會(huì)，可以看出人們對于安全的認(rèn)知正在迅速提高，而安全與互聯(lián)網(wǎng)的結(jié)合，又讓安全與每個(gè)人息息相關(guān)。

ISC2014歷時(shí)兩天，除保留移動(dòng)安全、Web 安全、企業(yè)安全、云與數(shù)據(jù)、軟件安全、APT等熱門安全議題外，大會(huì)還首次將視角觸及到國家網(wǎng)絡(luò)空間戰(zhàn)略等高端話題，以及工控安全、車聯(lián)網(wǎng)安全、信息安全立法等新興熱點(diǎn)，共設(shè)置12個(gè)論壇，以及攻防挑戰(zhàn)賽、安全訓(xùn)練營、車聯(lián)網(wǎng)系統(tǒng)破解賽等新項(xiàng)目。記者希望以親身見聞，幫助讀者從眾多“干貨”中汲取精華。

安全體系必須重建

9月24日大會(huì)首日，距離大會(huì)正式開始還有50分鐘，位于北京著名建筑“鳥巢”、“水立方”北側(cè)的國家會(huì)議中心門外就已經(jīng)排起了長隊(duì)，因?yàn)槲吮姸嘈畔踩珮I(yè)內(nèi)人士和普通網(wǎng)民的ISC2014將在這里召開。

這些早早就排起長隊(duì)等待入場的人們，未必是某個(gè)即將登臺演講的重量級人物的粉絲，也未必是因?yàn)榭吹搅私k麗的宣傳海報(bào)就頭腦一熱來參會(huì)，但記者相信，他們都對互聯(lián)網(wǎng)安全保持著熱切的關(guān)注，甚至熱愛著信息安全這個(gè)行業(yè)，希望從大會(huì)上看到行業(yè)的前瞻動(dòng)態(tài)，參與其中并把握未來。

本次大會(huì)的聯(lián)合主席、中國工程院院士鄔賀銓表示，在應(yīng)對安全威脅時(shí)，除了著眼目前的挑戰(zhàn)，我們更應(yīng)該放眼互聯(lián)網(wǎng)的未來。鄔賀銓認(rèn)為，萬物互聯(lián)將會(huì)是未來的趨勢。在不久的將來，不僅手機(jī)、電腦、電視機(jī)等傳統(tǒng)信息化設(shè)備將連入網(wǎng)絡(luò)，家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為互聯(lián)網(wǎng)的端點(diǎn)。而更多數(shù)量、種類的設(shè)備接入互聯(lián)網(wǎng)，讓互聯(lián)網(wǎng)的懷抱更加寬廣，也讓互聯(lián)網(wǎng)安全的形勢更加嚴(yán)峻。

“互聯(lián)網(wǎng)不僅僅把人和人連接起來，也不僅僅通過手機(jī)進(jìn)行連接，互聯(lián)網(wǎng)其實(shí)能夠把我們今天所有能看到、想到、碰到的各種設(shè)備都連接起來，這就是萬物互聯(lián)?！?60公司董事長兼CEO周鴻祎指出了萬物互聯(lián)的環(huán)境呈現(xiàn)出的三大特征。一是互聯(lián)的設(shè)備數(shù)量大幅攀升，未來五年，接入網(wǎng)絡(luò)的智能設(shè)備數(shù)量預(yù)計(jì)將達(dá)到100億～200億個(gè)，遠(yuǎn)遠(yuǎn)超過地球上的人口數(shù)量，也遠(yuǎn)遠(yuǎn)超過現(xiàn)在電腦和手機(jī)的數(shù)量；二是這些新的智能設(shè)備不同于傳統(tǒng)的電腦，它們通常會(huì)24小時(shí)全天候不間斷地產(chǎn)生工作并產(chǎn)生數(shù)據(jù)；三是這些設(shè)備自身的數(shù)據(jù)存儲(chǔ)和計(jì)算能力有限，通常需要把數(shù)據(jù)上傳到云端進(jìn)行處理。然而，這三大特征都給用戶帶來了更大的安全風(fēng)險(xiǎn)和隱患。

“智能汽車就像一個(gè)裝有四個(gè)輪子的大手機(jī)?！敝茗櫟t一向言語詼諧，他把汽車比作手機(jī)，其實(shí)是希望大家對越來越智能化、互聯(lián)化的設(shè)備提高警惕，有些設(shè)備其實(shí)就是我們身邊的日常用品。汽車已經(jīng)成為很多人每天離不開的交通工具，然而汽車越來越智能，車聯(lián)網(wǎng)、電子設(shè)備……也讓汽車成為惡意攻擊的潛在目標(biāo)。試想，如果一些簡單的設(shè)備加上手機(jī)軟件就可以對智能汽車進(jìn)行攻擊，通過遠(yuǎn)程遙控開啟汽車，或者讓汽車在駕駛途中熄火等，這都將是災(zāi)難性的。

事實(shí)上，國外已經(jīng)有Charlie Miller和Chris Valasek兩位白帽子黑客曾經(jīng)對攻克豐田和福特兩款汽車的核心操作系統(tǒng)進(jìn)行過演示，他們甚至可以通過互聯(lián)網(wǎng)篡改剎車、加速、轉(zhuǎn)向等指令。此外，在7月，360公司率先發(fā)現(xiàn)了特斯拉Tesla Model S 型汽車應(yīng)用程序流程存在設(shè)計(jì)缺陷。攻擊者利用這個(gè)漏洞，可遠(yuǎn)程控制車輛并實(shí)現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作，并且能夠在車輛行駛過程中開啟天窗。這是全球范圍內(nèi)安全公司首次發(fā)現(xiàn)特斯拉汽車的應(yīng)用程序漏洞，360公司在ISC2014上也再次演示了這個(gè)漏洞利用。

“在萬物互聯(lián)時(shí)代，各種智能設(shè)備的普及正在讓惡意攻擊的目標(biāo)逐步轉(zhuǎn)移到這些終端上，接入網(wǎng)絡(luò)的終端越多，就意味著可以被攻擊的入口越多。與此同時(shí)，現(xiàn)有的安全防護(hù)手段逐漸失去效力，傳統(tǒng)的系統(tǒng)安全、邊界安全無法防衛(wèi)以數(shù)據(jù)竊取為主要目的的攻擊行為。所以，安全防護(hù)體系必須被重新構(gòu)建?！敝茗櫟t說。

安全產(chǎn)業(yè)期待革命

ISC2014上，匯集了大量世界級的信息安全明星，比如被稱為“計(jì)算機(jī)病毒之父”的弗雷德·科恩（Fred Cohen），F(xiàn)ireEye前首席安全內(nèi)容官、Palo Alto Networks共同創(chuàng)始人兼前首席科學(xué)家、被稱為“硅谷安全創(chuàng)業(yè)教父”的弓峰敏，美國首任國土安全部部長湯姆·里奇（Tom Ridge）等。他們的亮相和演講，不僅僅為大會(huì)增添了耀眼的星光，更重要的是他們對信息安全深刻、獨(dú)到的見解，讓很多人眼前一亮。

無論是大名鼎鼎的FireEye、Palo Alto Networks，還是高速成長、潛力巨大的Cyphort、IntruVert，這些美國安全廠商的背后都有一個(gè)人在它們成長的過程中扮演了重要角色，這個(gè)人就是弓峰敏。弓峰敏強(qiáng)調(diào)，術(shù)業(yè)有專攻，安全廠商必須要做專，才能有立足之地，才能真正為用戶解決問題。然而，隨之而來的問題就是，由于各個(gè)廠商都是專才，在進(jìn)行安全防護(hù)時(shí)，就需要全部的安全生態(tài)系統(tǒng)相互配合，才能有效地抵御現(xiàn)代的安全威脅，避免被攻擊者各個(gè)擊破的窘境。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春同樣認(rèn)為，對比美國已經(jīng)初步形成的反APT產(chǎn)業(yè)聯(lián)盟而言，中國的信息安全產(chǎn)業(yè)協(xié)同方面仍然存在差距，需要建立更加廣泛的合作體系，對漏洞進(jìn)行整體防御等諸多手段，聯(lián)合起來抵御APT等現(xiàn)代化的新型攻擊。

360公司首席隱私官譚曉生則十分認(rèn)同弓峰敏的觀點(diǎn)。他認(rèn)為國內(nèi)安全市場上的同質(zhì)化競爭必然造成人財(cái)物等各類資源的浪費(fèi)?！胺阑饓?、IPS等各類安全技術(shù)和產(chǎn)品應(yīng)該由不同的廠商在某一個(gè)領(lǐng)域內(nèi)深耕，同時(shí)在市場中培育安全服務(wù)公司，這樣才能形成更有效的防御機(jī)制，國內(nèi)安全產(chǎn)業(yè)未來的發(fā)展趨勢應(yīng)該參照美國的模式。”譚曉生說。

專業(yè)與協(xié)同，是安全廠商需要認(rèn)真考慮的問題，而說到信息安全產(chǎn)業(yè)的發(fā)展，則可能是更多人關(guān)心的問題。弗雷德·科恩認(rèn)為，在過去70年的時(shí)間里，信息世界發(fā)生了很大的改變，計(jì)算機(jī)和互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的組成部分，然而信息安全的科學(xué)理論卻自上世紀(jì)80年代以來就一直沒有發(fā)生過重大改變。

科恩表示，信息安全技術(shù)需要重大革新，并且需要重新構(gòu)筑一套完整的理論體系。雖然現(xiàn)在有密碼學(xué)、信息流控制和對病毒、惡意軟件的研究，但科恩認(rèn)為這些研究的作用都十分有限，“密碼學(xué)理論在很大程度上忽略了現(xiàn)實(shí)狀況，而信息流控制的方法幾乎沒有被使用，病毒和惡意軟件理論在很大程度上只是說明了哪些事情不可以做。”科恩認(rèn)為，實(shí)踐標(biāo)準(zhǔn)（Standard of Practice，SoP）恰好為探索提供了出發(fā)點(diǎn)，當(dāng)然這其中還有很多問題需要研究。

“信息保護(hù)更像是一門藝術(shù)，而不是科學(xué)。雖然目前我們并沒有完美的信息安全標(biāo)準(zhǔn)，但是成熟的模型終將會(huì)出現(xiàn)?！笨贫髡f。

安全產(chǎn)品需要?jiǎng)?chuàng)新

去年9月，360公司發(fā)布了“360天擎、360天眼、360天機(jī)”三款企業(yè)級產(chǎn)品，分別針對終端安全管理、未知威脅發(fā)現(xiàn)和移動(dòng)終端安全管理。記者認(rèn)為，這是360公司的一次偉大嘗試，這三款產(chǎn)品發(fā)布的意義不僅在于360公司向進(jìn)軍企業(yè)級安全市場邁出了堅(jiān)實(shí)的一步，更意味著360公司希望從未知威脅發(fā)現(xiàn)、移動(dòng)終端安全管理等前沿的防護(hù)技術(shù)入手，引領(lǐng)國內(nèi)企業(yè)安全市場和技術(shù)的發(fā)展趨勢，并向外界宣稱360公司的志向并不在防火墻、IPS這樣的傳統(tǒng)企業(yè)安全產(chǎn)品。

在ISC2014上，新版的“360天機(jī)”（企業(yè)移動(dòng)終端安全管理）發(fā)布。360天機(jī)主要解決企業(yè)移動(dòng)信息化環(huán)境下的安全與管理挑戰(zhàn)，具有病毒木馬查殺防范、企業(yè)數(shù)據(jù)隔離保護(hù)、企業(yè)遠(yuǎn)程IT支持管理移動(dòng)設(shè)備等技術(shù)特點(diǎn)。它具有公私數(shù)據(jù)安全隔離、 企業(yè)應(yīng)用封裝加固、移動(dòng)終端統(tǒng)一管理、數(shù)據(jù)存儲(chǔ)傳輸加密等特色技術(shù)，其中部分已獲得技術(shù)專利。這些技術(shù)能幫助企業(yè)大幅度降低手機(jī)和智能平板在使用中因操作不當(dāng)、設(shè)備丟失、主動(dòng)泄密等方式造成的數(shù)據(jù)泄密風(fēng)險(xiǎn)，保障企業(yè)的信息安全。據(jù)了解，新版360天機(jī)支持國密算法，避免了商密算法漏洞所帶來的安全隱患。目前360天機(jī)產(chǎn)品已經(jīng)通過公安部的評測并獲得許可認(rèn)證，滿足國家對移動(dòng)安全最新規(guī)范的要求，為政府、國企的高安全等級保護(hù)提供了有力支持。

周鴻祎在大會(huì)上強(qiáng)調(diào)，360公司在面對各類智能設(shè)備和萬物互聯(lián)所帶來的更為廣泛的安全威脅的同時(shí)，也在積極利用智能設(shè)備和物聯(lián)網(wǎng)，為用戶提供更加多樣化、全面的安全產(chǎn)品和服務(wù)。在ISC2014上，“360兒童衛(wèi)士2”、360免費(fèi)WiFi手機(jī)版、360加密郵系統(tǒng)、新版360加固保等諸多新產(chǎn)品悉數(shù)亮相。

科技是把雙刃劍，如果攻擊者利用科技為非作歹，那么正義的安全守護(hù)者，就同樣會(huì)拿起科技的武器捍衛(wèi)廣大用戶的權(quán)益。360公司做的正是這樣一件事情，利用最新的安全技術(shù)和創(chuàng)新的互聯(lián)網(wǎng)思維，給用戶帶來創(chuàng)新的安全產(chǎn)品，營造從電腦到手機(jī)再到整個(gè)家庭，從消費(fèi)級到企業(yè)級的安全防護(hù)環(huán)境。

大數(shù)據(jù)安全三原則

時(shí)下，“大數(shù)據(jù)”仍然是炙手可熱的詞匯，每個(gè)人都在思考什么才是大數(shù)據(jù)，如何利用大數(shù)據(jù)。事實(shí)上，萬物互聯(lián)的另一個(gè)重要特征就是會(huì)產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)也將成為人們可以分析利用的寶貴資源。在ISC2014上，周鴻祎提出了一個(gè)概念——大數(shù)據(jù)污染。所謂大數(shù)據(jù)污染，就是如果人們使用的大數(shù)據(jù)資源中被惡意加入了不好的數(shù)據(jù)，人為操作和注入修改虛假信息，那么一些根據(jù)這些數(shù)據(jù)進(jìn)行行業(yè)指導(dǎo)和趨勢分析的工作將會(huì)受到嚴(yán)重的干擾，甚至造成巨大的損失。周鴻祎表示，大數(shù)據(jù)污染通常分為兩種情況，一種是收集的數(shù)據(jù)中含有刻意或無意加入的無用數(shù)據(jù)，甚至對分析產(chǎn)生負(fù)作用的數(shù)據(jù)；另一種是收集后的數(shù)據(jù)遭受入侵、篡改、替換等。

如果未來惡意的大數(shù)據(jù)污染真的給數(shù)據(jù)分析方帶來誤判，就有可能導(dǎo)致國家金融導(dǎo)向偏失、傳染病疫情失控，以及國計(jì)民生政策制定偏差等重大問題，甚至可能引發(fā)事故災(zāi)難。

“在未來，大數(shù)據(jù)將成為一切組織、國家、社會(huì)行為決策判斷的基礎(chǔ)。如果大數(shù)據(jù)被入侵、篡改、污染，那么將會(huì)影響一系列的社會(huì)決策，其后果將是災(zāi)難性的?！敝茗櫟t說。

面對大數(shù)據(jù)時(shí)代可能存在的安全隱患，周鴻祎也首次在ISC2014上提出了信息安全三原則。

第一，雖然這些信息儲(chǔ)存在不同的服務(wù)器上，但這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn)，這是必須明確的。周鴻祎希望將來談及用戶數(shù)據(jù)時(shí)，能等同于財(cái)產(chǎn)所有權(quán)一樣，個(gè)人隱私數(shù)據(jù)也會(huì)有所有權(quán)，希望立法專家能夠考慮這個(gè)所有權(quán)應(yīng)屬于用戶所有。所以，個(gè)人信息是用戶的資產(chǎn)，它只是暫時(shí)托管和存放在各個(gè)公司的服務(wù)器上。

第二，不僅是今天的互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司，甚至包括很多要進(jìn)入互聯(lián)網(wǎng)，要利用IoT技術(shù)，要給用戶提供這些信息服務(wù)的公司，要有相應(yīng)的安全能力，要把收集到的用戶數(shù)據(jù)進(jìn)行安全存儲(chǔ)和安全傳輸，這是企業(yè)的責(zé)任和義務(wù)。如果這個(gè)企業(yè)沒有足夠的安全能力，卻收集了用戶的財(cái)產(chǎn)、隱私等各類信息，這些信息的丟失會(huì)給用戶本人乃至整個(gè)社會(huì)帶來嚴(yán)重的后果。

每一個(gè)想做互聯(lián)網(wǎng)業(yè)務(wù)的公司，每一個(gè)有用戶資料的公司，每一個(gè)要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司，都要提升公司的安全能力，提升安全防護(hù)水平，要收集用戶的數(shù)據(jù)，必須要先建設(shè)安全可靠的傳輸存儲(chǔ)的基礎(chǔ)。

第三，使用用戶的信息，一定要讓用戶有知情權(quán)、選擇權(quán)，平等交換、授權(quán)使用，不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如如今有些智能手機(jī)上有很多應(yīng)用根本和短信毫無關(guān)系，卻要把用戶的短信記錄上傳到網(wǎng)上，在用戶不知情的情況下過度收集數(shù)據(jù)。對于用戶而言，應(yīng)該具有選擇權(quán)力，可以拒絕應(yīng)用對于用戶數(shù)據(jù)的收集，可以拒絕相應(yīng)服務(wù)。

如今很多互聯(lián)網(wǎng)應(yīng)用都是免費(fèi)的，在很多情況下，用戶是在用自己的數(shù)據(jù)作為交換，來換取相應(yīng)服務(wù)。這些數(shù)據(jù)被企業(yè)拿到之后，可以利用它來進(jìn)行一些所謂的推廣和營銷活動(dòng)。但是企業(yè)在進(jìn)行這種行為時(shí)一定要獲得用戶的授權(quán)，在用戶允許情況下進(jìn)行。如果未經(jīng)用戶授權(quán)就泄露用戶數(shù)據(jù)，把數(shù)據(jù)賣給別人并牟利，這不僅要被視作不道德的行為，而且也應(yīng)該是非法的行為。

周鴻祎表示，進(jìn)入萬物互聯(lián)時(shí)代，只有遵守上述的三個(gè)原則，才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心，才能讓互聯(lián)網(wǎng)得到更好的使用。這種全新的挑戰(zhàn)，需要每個(gè)人、每個(gè)企業(yè)、每個(gè)安全廠商的支持，因?yàn)殡S著互聯(lián)網(wǎng)應(yīng)用的深入，越來越多的人會(huì)意識到，安全才是最重要的。