程彥博

2014中國(guó)互聯(lián)網(wǎng)安全大會(huì)的規(guī)模比去年翻倍，這個(gè)眾多信息安全領(lǐng)域重量級(jí)人物站臺(tái)的大會(huì)，給與會(huì)者帶來(lái)了哪些“干貨”？透露了哪些前沿的安全趨勢(shì)和獨(dú)到見(jiàn)解？

從2013年第一屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC2013）1.2萬(wàn)人次參會(huì)，到2014年中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC2014）主辦方稱超過(guò)2萬(wàn)人次參會(huì)，可以看出人們對(duì)于安全的認(rèn)知正在迅速提高，而安全與互聯(lián)網(wǎng)的結(jié)合，又讓安全與每個(gè)人息息相關(guān)。

ISC2014歷時(shí)兩天，除保留移動(dòng)安全、Web 安全、企業(yè)安全、云與數(shù)據(jù)、軟件安全、APT等熱門(mén)安全議題外，大會(huì)還首次將視角觸及到國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略等高端話題，以及工控安全、車聯(lián)網(wǎng)安全、信息安全立法等新興熱點(diǎn)，共設(shè)置12個(gè)論壇，以及攻防挑戰(zhàn)賽、安全訓(xùn)練營(yíng)、車聯(lián)網(wǎng)系統(tǒng)破解賽等新項(xiàng)目。記者希望以親身見(jiàn)聞，幫助讀者從眾多“干貨”中汲取精華。

安全體系必須重建

9月24日大會(huì)首日，距離大會(huì)正式開(kāi)始還有50分鐘，位于北京著名建筑“鳥(niǎo)巢”、“水立方”北側(cè)的國(guó)家會(huì)議中心門(mén)外就已經(jīng)排起了長(zhǎng)隊(duì)，因?yàn)槲吮姸嘈畔踩珮I(yè)內(nèi)人士和普通網(wǎng)民的ISC2014將在這里召開(kāi)。

這些早早就排起長(zhǎng)隊(duì)等待入場(chǎng)的人們，未必是某個(gè)即將登臺(tái)演講的重量級(jí)人物的粉絲，也未必是因?yàn)榭吹搅私k麗的宣傳海報(bào)就頭腦一熱來(lái)參會(huì)，但記者相信，他們都對(duì)互聯(lián)網(wǎng)安全保持著熱切的關(guān)注，甚至熱愛(ài)著信息安全這個(gè)行業(yè)，希望從大會(huì)上看到行業(yè)的前瞻動(dòng)態(tài)，參與其中并把握未來(lái)。

本次大會(huì)的聯(lián)合主席、中國(guó)工程院院士鄔賀銓表示，在應(yīng)對(duì)安全威脅時(shí)，除了著眼目前的挑戰(zhàn)，我們更應(yīng)該放眼互聯(lián)網(wǎng)的未來(lái)。鄔賀銓認(rèn)為，萬(wàn)物互聯(lián)將會(huì)是未來(lái)的趨勢(shì)。在不久的將來(lái)，不僅手機(jī)、電腦、電視機(jī)等傳統(tǒng)信息化設(shè)備將連入網(wǎng)絡(luò)，家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為互聯(lián)網(wǎng)的端點(diǎn)。而更多數(shù)量、種類的設(shè)備接入互聯(lián)網(wǎng)，讓互聯(lián)網(wǎng)的懷抱更加寬廣，也讓互聯(lián)網(wǎng)安全的形勢(shì)更加嚴(yán)峻。

“互聯(lián)網(wǎng)不僅僅把人和人連接起來(lái)，也不僅僅通過(guò)手機(jī)進(jìn)行連接，互聯(lián)網(wǎng)其實(shí)能夠把我們今天所有能看到、想到、碰到的各種設(shè)備都連接起來(lái)，這就是萬(wàn)物互聯(lián)。”360公司董事長(zhǎng)兼CEO周鴻祎指出了萬(wàn)物互聯(lián)的環(huán)境呈現(xiàn)出的三大特征。一是互聯(lián)的設(shè)備數(shù)量大幅攀升，未來(lái)五年，接入網(wǎng)絡(luò)的智能設(shè)備數(shù)量預(yù)計(jì)將達(dá)到100億～200億個(gè)，遠(yuǎn)遠(yuǎn)超過(guò)地球上的人口數(shù)量，也遠(yuǎn)遠(yuǎn)超過(guò)現(xiàn)在電腦和手機(jī)的數(shù)量；二是這些新的智能設(shè)備不同于傳統(tǒng)的電腦，它們通常會(huì)24小時(shí)全天候不間斷地產(chǎn)生工作并產(chǎn)生數(shù)據(jù)；三是這些設(shè)備自身的數(shù)據(jù)存儲(chǔ)和計(jì)算能力有限，通常需要把數(shù)據(jù)上傳到云端進(jìn)行處理。然而，這三大特征都給用戶帶來(lái)了更大的安全風(fēng)險(xiǎn)和隱患。

“智能汽車就像一個(gè)裝有四個(gè)輪子的大手機(jī)?！敝茗櫟t一向言語(yǔ)詼諧，他把汽車比作手機(jī)，其實(shí)是希望大家對(duì)越來(lái)越智能化、互聯(lián)化的設(shè)備提高警惕，有些設(shè)備其實(shí)就是我們身邊的日常用品。汽車已經(jīng)成為很多人每天離不開(kāi)的交通工具，然而汽車越來(lái)越智能，車聯(lián)網(wǎng)、電子設(shè)備……也讓汽車成為惡意攻擊的潛在目標(biāo)。試想，如果一些簡(jiǎn)單的設(shè)備加上手機(jī)軟件就可以對(duì)智能汽車進(jìn)行攻擊，通過(guò)遠(yuǎn)程遙控開(kāi)啟汽車，或者讓汽車在駕駛途中熄火等，這都將是災(zāi)難性的。

事實(shí)上，國(guó)外已經(jīng)有Charlie Miller和Chris Valasek兩位白帽子黑客曾經(jīng)對(duì)攻克豐田和福特兩款汽車的核心操作系統(tǒng)進(jìn)行過(guò)演示，他們甚至可以通過(guò)互聯(lián)網(wǎng)篡改剎車、加速、轉(zhuǎn)向等指令。此外，在7月，360公司率先發(fā)現(xiàn)了特斯拉Tesla Model S 型汽車應(yīng)用程序流程存在設(shè)計(jì)缺陷。攻擊者利用這個(gè)漏洞，可遠(yuǎn)程控制車輛并實(shí)現(xiàn)開(kāi)鎖、鳴笛、閃燈、開(kāi)啟天窗等操作，并且能夠在車輛行駛過(guò)程中開(kāi)啟天窗。這是全球范圍內(nèi)安全公司首次發(fā)現(xiàn)特斯拉汽車的應(yīng)用程序漏洞，360公司在ISC2014上也再次演示了這個(gè)漏洞利用。

“在萬(wàn)物互聯(lián)時(shí)代，各種智能設(shè)備的普及正在讓惡意攻擊的目標(biāo)逐步轉(zhuǎn)移到這些終端上，接入網(wǎng)絡(luò)的終端越多，就意味著可以被攻擊的入口越多。與此同時(shí)，現(xiàn)有的安全防護(hù)手段逐漸失去效力，傳統(tǒng)的系統(tǒng)安全、邊界安全無(wú)法防衛(wèi)以數(shù)據(jù)竊取為主要目的的攻擊行為。所以，安全防護(hù)體系必須被重新構(gòu)建。”周鴻祎說(shuō)。

安全產(chǎn)業(yè)期待革命

ISC2014上，匯集了大量世界級(jí)的信息安全明星，比如被稱為“計(jì)算機(jī)病毒之父”的弗雷德·科恩（Fred Cohen），F(xiàn)ireEye前首席安全內(nèi)容官、Palo Alto Networks共同創(chuàng)始人兼前首席科學(xué)家、被稱為“硅谷安全創(chuàng)業(yè)教父”的弓峰敏，美國(guó)首任國(guó)土安全部部長(zhǎng)湯姆·里奇（Tom Ridge）等。他們的亮相和演講，不僅僅為大會(huì)增添了耀眼的星光，更重要的是他們對(duì)信息安全深刻、獨(dú)到的見(jiàn)解，讓很多人眼前一亮。

無(wú)論是大名鼎鼎的FireEye、Palo Alto Networks，還是高速成長(zhǎng)、潛力巨大的Cyphort、IntruVert，這些美國(guó)安全廠商的背后都有一個(gè)人在它們成長(zhǎng)的過(guò)程中扮演了重要角色，這個(gè)人就是弓峰敏。弓峰敏強(qiáng)調(diào)，術(shù)業(yè)有專攻，安全廠商必須要做專，才能有立足之地，才能真正為用戶解決問(wèn)題。然而，隨之而來(lái)的問(wèn)題就是，由于各個(gè)廠商都是專才，在進(jìn)行安全防護(hù)時(shí)，就需要全部的安全生態(tài)系統(tǒng)相互配合，才能有效地抵御現(xiàn)代的安全威脅，避免被攻擊者各個(gè)擊破的窘境。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春同樣認(rèn)為，對(duì)比美國(guó)已經(jīng)初步形成的反APT產(chǎn)業(yè)聯(lián)盟而言，中國(guó)的信息安全產(chǎn)業(yè)協(xié)同方面仍然存在差距，需要建立更加廣泛的合作體系，對(duì)漏洞進(jìn)行整體防御等諸多手段，聯(lián)合起來(lái)抵御APT等現(xiàn)代化的新型攻擊。

360公司首席隱私官譚曉生則十分認(rèn)同弓峰敏的觀點(diǎn)。他認(rèn)為國(guó)內(nèi)安全市場(chǎng)上的同質(zhì)化競(jìng)爭(zhēng)必然造成人財(cái)物等各類資源的浪費(fèi)?！胺阑饓?、IPS等各類安全技術(shù)和產(chǎn)品應(yīng)該由不同的廠商在某一個(gè)領(lǐng)域內(nèi)深耕，同時(shí)在市場(chǎng)中培育安全服務(wù)公司，這樣才能形成更有效的防御機(jī)制，國(guó)內(nèi)安全產(chǎn)業(yè)未來(lái)的發(fā)展趨勢(shì)應(yīng)該參照美國(guó)的模式?！弊T曉生說(shuō)。

專業(yè)與協(xié)同，是安全廠商需要認(rèn)真考慮的問(wèn)題，而說(shuō)到信息安全產(chǎn)業(yè)的發(fā)展，則可能是更多人關(guān)心的問(wèn)題。弗雷德·科恩認(rèn)為，在過(guò)去70年的時(shí)間里，信息世界發(fā)生了很大的改變，計(jì)算機(jī)和互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的組成部分，然而信息安全的科學(xué)理論卻自上世紀(jì)80年代以來(lái)就一直沒(méi)有發(fā)生過(guò)重大改變。

科恩表示，信息安全技術(shù)需要重大革新，并且需要重新構(gòu)筑一套完整的理論體系。雖然現(xiàn)在有密碼學(xué)、信息流控制和對(duì)病毒、惡意軟件的研究，但科恩認(rèn)為這些研究的作用都十分有限，“密碼學(xué)理論在很大程度上忽略了現(xiàn)實(shí)狀況，而信息流控制的方法幾乎沒(méi)有被使用，病毒和惡意軟件理論在很大程度上只是說(shuō)明了哪些事情不可以做。”科恩認(rèn)為，實(shí)踐標(biāo)準(zhǔn)（Standard of Practice，SoP）恰好為探索提供了出發(fā)點(diǎn)，當(dāng)然這其中還有很多問(wèn)題需要研究。

“信息保護(hù)更像是一門(mén)藝術(shù)，而不是科學(xué)。雖然目前我們并沒(méi)有完美的信息安全標(biāo)準(zhǔn)，但是成熟的模型終將會(huì)出現(xiàn)?！笨贫髡f(shuō)。

安全產(chǎn)品需要?jiǎng)?chuàng)新

去年9月，360公司發(fā)布了“360天擎、360天眼、360天機(jī)”三款企業(yè)級(jí)產(chǎn)品，分別針對(duì)終端安全管理、未知威脅發(fā)現(xiàn)和移動(dòng)終端安全管理。記者認(rèn)為，這是360公司的一次偉大嘗試，這三款產(chǎn)品發(fā)布的意義不僅在于360公司向進(jìn)軍企業(yè)級(jí)安全市場(chǎng)邁出了堅(jiān)實(shí)的一步，更意味著360公司希望從未知威脅發(fā)現(xiàn)、移動(dòng)終端安全管理等前沿的防護(hù)技術(shù)入手，引領(lǐng)國(guó)內(nèi)企業(yè)安全市場(chǎng)和技術(shù)的發(fā)展趨勢(shì)，并向外界宣稱360公司的志向并不在防火墻、IPS這樣的傳統(tǒng)企業(yè)安全產(chǎn)品。

在ISC2014上，新版的“360天機(jī)”（企業(yè)移動(dòng)終端安全管理）發(fā)布。360天機(jī)主要解決企業(yè)移動(dòng)信息化環(huán)境下的安全與管理挑戰(zhàn)，具有病毒木馬查殺防范、企業(yè)數(shù)據(jù)隔離保護(hù)、企業(yè)遠(yuǎn)程IT支持管理移動(dòng)設(shè)備等技術(shù)特點(diǎn)。它具有公私數(shù)據(jù)安全隔離、 企業(yè)應(yīng)用封裝加固、移動(dòng)終端統(tǒng)一管理、數(shù)據(jù)存儲(chǔ)傳輸加密等特色技術(shù)，其中部分已獲得技術(shù)專利。這些技術(shù)能幫助企業(yè)大幅度降低手機(jī)和智能平板在使用中因操作不當(dāng)、設(shè)備丟失、主動(dòng)泄密等方式造成的數(shù)據(jù)泄密風(fēng)險(xiǎn)，保障企業(yè)的信息安全。據(jù)了解，新版360天機(jī)支持國(guó)密算法，避免了商密算法漏洞所帶來(lái)的安全隱患。目前360天機(jī)產(chǎn)品已經(jīng)通過(guò)公安部的評(píng)測(cè)并獲得許可認(rèn)證，滿足國(guó)家對(duì)移動(dòng)安全最新規(guī)范的要求，為政府、國(guó)企的高安全等級(jí)保護(hù)提供了有力支持。

周鴻祎在大會(huì)上強(qiáng)調(diào)，360公司在面對(duì)各類智能設(shè)備和萬(wàn)物互聯(lián)所帶來(lái)的更為廣泛的安全威脅的同時(shí)，也在積極利用智能設(shè)備和物聯(lián)網(wǎng)，為用戶提供更加多樣化、全面的安全產(chǎn)品和服務(wù)。在ISC2014上，“360兒童衛(wèi)士2”、360免費(fèi)WiFi手機(jī)版、360加密郵系統(tǒng)、新版360加固保等諸多新產(chǎn)品悉數(shù)亮相。

科技是把雙刃劍，如果攻擊者利用科技為非作歹，那么正義的安全守護(hù)者，就同樣會(huì)拿起科技的武器捍衛(wèi)廣大用戶的權(quán)益。360公司做的正是這樣一件事情，利用最新的安全技術(shù)和創(chuàng)新的互聯(lián)網(wǎng)思維，給用戶帶來(lái)創(chuàng)新的安全產(chǎn)品，營(yíng)造從電腦到手機(jī)再到整個(gè)家庭，從消費(fèi)級(jí)到企業(yè)級(jí)的安全防護(hù)環(huán)境。

大數(shù)據(jù)安全三原則

時(shí)下，“大數(shù)據(jù)”仍然是炙手可熱的詞匯，每個(gè)人都在思考什么才是大數(shù)據(jù)，如何利用大數(shù)據(jù)。事實(shí)上，萬(wàn)物互聯(lián)的另一個(gè)重要特征就是會(huì)產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)也將成為人們可以分析利用的寶貴資源。在ISC2014上，周鴻祎提出了一個(gè)概念——大數(shù)據(jù)污染。所謂大數(shù)據(jù)污染，就是如果人們使用的大數(shù)據(jù)資源中被惡意加入了不好的數(shù)據(jù)，人為操作和注入修改虛假信息，那么一些根據(jù)這些數(shù)據(jù)進(jìn)行行業(yè)指導(dǎo)和趨勢(shì)分析的工作將會(huì)受到嚴(yán)重的干擾，甚至造成巨大的損失。周鴻祎表示，大數(shù)據(jù)污染通常分為兩種情況，一種是收集的數(shù)據(jù)中含有刻意或無(wú)意加入的無(wú)用數(shù)據(jù)，甚至對(duì)分析產(chǎn)生負(fù)作用的數(shù)據(jù)；另一種是收集后的數(shù)據(jù)遭受入侵、篡改、替換等。

如果未來(lái)惡意的大數(shù)據(jù)污染真的給數(shù)據(jù)分析方帶來(lái)誤判，就有可能導(dǎo)致國(guó)家金融導(dǎo)向偏失、傳染病疫情失控，以及國(guó)計(jì)民生政策制定偏差等重大問(wèn)題，甚至可能引發(fā)事故災(zāi)難。

“在未來(lái)，大數(shù)據(jù)將成為一切組織、國(guó)家、社會(huì)行為決策判斷的基礎(chǔ)。如果大數(shù)據(jù)被入侵、篡改、污染，那么將會(huì)影響一系列的社會(huì)決策，其后果將是災(zāi)難性的。”周鴻祎說(shuō)。

面對(duì)大數(shù)據(jù)時(shí)代可能存在的安全隱患，周鴻祎也首次在ISC2014上提出了信息安全三原則。

第一，雖然這些信息儲(chǔ)存在不同的服務(wù)器上，但這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn)，這是必須明確的。周鴻祎希望將來(lái)談及用戶數(shù)據(jù)時(shí)，能等同于財(cái)產(chǎn)所有權(quán)一樣，個(gè)人隱私數(shù)據(jù)也會(huì)有所有權(quán)，希望立法專家能夠考慮這個(gè)所有權(quán)應(yīng)屬于用戶所有。所以，個(gè)人信息是用戶的資產(chǎn)，它只是暫時(shí)托管和存放在各個(gè)公司的服務(wù)器上。

第二，不僅是今天的互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司，甚至包括很多要進(jìn)入互聯(lián)網(wǎng)，要利用IoT技術(shù)，要給用戶提供這些信息服務(wù)的公司，要有相應(yīng)的安全能力，要把收集到的用戶數(shù)據(jù)進(jìn)行安全存儲(chǔ)和安全傳輸，這是企業(yè)的責(zé)任和義務(wù)。如果這個(gè)企業(yè)沒(méi)有足夠的安全能力，卻收集了用戶的財(cái)產(chǎn)、隱私等各類信息，這些信息的丟失會(huì)給用戶本人乃至整個(gè)社會(huì)帶來(lái)嚴(yán)重的后果。

每一個(gè)想做互聯(lián)網(wǎng)業(yè)務(wù)的公司，每一個(gè)有用戶資料的公司，每一個(gè)要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司，都要提升公司的安全能力，提升安全防護(hù)水平，要收集用戶的數(shù)據(jù)，必須要先建設(shè)安全可靠的傳輸存儲(chǔ)的基礎(chǔ)。

第三，使用用戶的信息，一定要讓用戶有知情權(quán)、選擇權(quán)，平等交換、授權(quán)使用，不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如如今有些智能手機(jī)上有很多應(yīng)用根本和短信毫無(wú)關(guān)系，卻要把用戶的短信記錄上傳到網(wǎng)上，在用戶不知情的情況下過(guò)度收集數(shù)據(jù)。對(duì)于用戶而言，應(yīng)該具有選擇權(quán)力，可以拒絕應(yīng)用對(duì)于用戶數(shù)據(jù)的收集，可以拒絕相應(yīng)服務(wù)。

如今很多互聯(lián)網(wǎng)應(yīng)用都是免費(fèi)的，在很多情況下，用戶是在用自己的數(shù)據(jù)作為交換，來(lái)?yè)Q取相應(yīng)服務(wù)。這些數(shù)據(jù)被企業(yè)拿到之后，可以利用它來(lái)進(jìn)行一些所謂的推廣和營(yíng)銷活動(dòng)。但是企業(yè)在進(jìn)行這種行為時(shí)一定要獲得用戶的授權(quán)，在用戶允許情況下進(jìn)行。如果未經(jīng)用戶授權(quán)就泄露用戶數(shù)據(jù)，把數(shù)據(jù)賣(mài)給別人并牟利，這不僅要被視作不道德的行為，而且也應(yīng)該是非法的行為。

周鴻祎表示，進(jìn)入萬(wàn)物互聯(lián)時(shí)代，只有遵守上述的三個(gè)原則，才能讓用戶對(duì)下一代互聯(lián)網(wǎng)感覺(jué)更放心，才能讓互聯(lián)網(wǎng)得到更好的使用。這種全新的挑戰(zhàn)，需要每個(gè)人、每個(gè)企業(yè)、每個(gè)安全廠商的支持，因?yàn)殡S著互聯(lián)網(wǎng)應(yīng)用的深入，越來(lái)越多的人會(huì)意識(shí)到，安全才是最重要的。