8 月 3 日,GeekPwn 新基建安全大赛启动会在北京举行。活动现场举办了“院士圆桌”,GeekPwn 发起创办人王琦作为主持人,与中国工程院院士邬贺铨、国家工业信息安全发展研究中心首席专家张格、腾讯副总裁丁珂、GeekPwn 负责人杨泉围绕新基建下的安全趋势分享看法与实践,为新基建安全提供前瞻性的安全战略思考。(原文较长,本篇有删减)
启动会现场花絮
主持人王琦:非常荣幸有这样一个机会做圆桌的主持人,代表一下在场的和在线看直播的安全界同仁,向几位嘉宾请教一些关于“新基建”安全的问题。我们谈的“新基建”在一定程度上来讲是数字化基础设施建设,可以这样来定义,重点是在数字化。
首先,我想先请教尊敬的邬院士。问题一是现在我们要做的“新基建”和您在 40 年、50 年前做的光通信领域拓展的时候,那时候的国内外环境和现在的国内外环境有什么不一样,可以举两个例子。第二个问题是,您怎么看待安全在“新基建”接下来发展过程中扮演的角色,是约束还是促进?我们非常想听到您的分享。
邬贺铨院士:谢谢主持人。如果说四五十年前我们做通信网络的建设,中国也是开展了数字化,中国网络建设是利用了数字化的机遇,跨越的发展。我们的交换机,一开始只是步进制的交换机,但是我们越过了其它的时代,一直调到程控,我们也越过了同轴电缆的时代,一直调到光纤实际上是一个跨越的发展。那个时候网络建设跟现在新基建是很大的不同的,一个那个时候网络主要还是直接是服务于通信,就消费级的通讯,不像现在新基建很大程度是服务于产业。
其次,在那个时候没有这么好的规划,原因当时资金紧张。那个时候根本不考虑安全问题,或者说建设完了再说,安全问题后面再打补丁或者是做些什么,而现在希望在建设的同时,把安全一起考虑进去,所以应该说现在新基建不一样了,而且可以看到现在国家通过新基建实际上发出了很明显的信号,就国家整体上经济的数字化转型,就是通过新基建,打好新基础把它作为一个平台,支撑我们融合基础一些事情。
如果用一句话来说,云计算包含的层次在新基建里面全部覆盖,新一代信息技术的一些基础,是覆盖形成产业的全部,那么我们在考虑的时候是打造一个强有力的产业基础,当然它更主要是服务于整个国民经济,支撑我们企业数字化网络化智能化的转型。所以我觉得到了这个时代,整个是从国家的行为、战略的高度来部署,而不是一个单纯企业的行为,也不是走一步看一步的问题。
基于主持人提到的第二个问题,新基建本身的确是更强调信息技术的应用,信息技术都是“双刃剑”。技术应用的越广、渗透的越深,当然会给我们带来一些数字化的好处,但是从另外一个意义上来说,增加了一些安全风险,当然安全跟新基建这是关联的。尽管我们新基建很多技术也都考虑了安全,但是安全的问题永远是魔高一尺,道高一丈。所以从我的角度看,安全是为了维护整个网络设施,保障公民通行安全以及企业商业秘密的安全,当然我们也希望通过这种安全使得我们更好的应用这些技术。
客观的说,我们在安全上的着力也有助于维护国家的安全。我们要通过技术上的进步,向国际上展示我们是能够让网络更安全,当然我们安全不仅仅保护我们国家的利益,也保护国外客户的利益。就像总书记说的,我们要建设网络空间命运共同体,中国不是为了主导全球的网络,而是为了让全球网络更安全做出我们自己的贡献。
主持人王琦:谢谢,邬院士讲得非常精彩。下面这个问题要问一下腾讯丁总。腾讯已经用很多的技术改变了我们老百姓的生活,后续腾讯重点会建设哪些领域,做新基建的建设。另外,丁总他还是腾讯安全的掌门人,这些年已经把腾讯安全做的非常好。接下来在新基建的投入过程当中,我们还有哪些方面是安全方面重点要投入的方向,这要问一下丁总。
丁珂:刚才邬院士在新基建国家层面和未来战略竞争层面已经讲得非常清晰了,那我先从小的地方讲起。
这是我在疫情后第一次来北京,非常有幸跟大家在一起,在这过程中感触蛮多。因为我们在整个疫情期间特别忙,做了像医疗方面的,还有办公全都转到线上。但转到线上,说实话最初大家心里准备并不足,直到做到像广交会,已经举办了六十三年的广交会搬到了线上,当时几乎调了团队最核心的力量去做,有点像一个商业任务,但后面还有很多是国家的期望。
我们现在面临最真实的困难是说面向的对象变成了生产者,需要提供互联网的一些常用工具、研发框架、安全理念。特别是碰到疫情这样特殊情况的时候,关系到服务能否快速赋能到中国的各行各业里面能发展起来。
我甚至有一个直觉,以后有线下会议的时候基本上都会留一路线上的,比如说现在,这会变成一个习惯。戴口罩后续也会成为一个很长期的习惯,尤其映射到我们未来新基建的安全领域里面。
腾讯在给生产方做的开发和安全的一些响应,安全是一个赋能嘛,以前邬院士讲的很好,说我们这一个大规划,但是可能考虑安全少一点,事后走一段,停一停再补一补。
我想未来三五年真的是一个大关键,如果这三五年我们真的抗过来了,在这个复杂的环境里面,杀不死你的东西一定是会让你更强大的,现在其实是一个很大的挑战,但确实也是一个非常好的机会,至少我们这一下起步的话没有在春节的时候那么恐慌了,无非是大家更团结的去做一些事情,没有想太复杂的一些事情。
总的来说未来还是可期的,涉及到腾讯在里面比较看好的领域,像 AI、5G、IoT 这些领域里面,各有各的一些产业特征,但反而每一个专业领域里面会有更多的一些结果导向吧,看你真的是不是能够用起来。尤其是 5G,其实移动互联网在相当长的一段时间都是符合消费者的,生产者没有在中间有特别大的收益,仔细想想这个问题。但到了 5G 的时候,可能是一个分水岭,5G 真的是生产者的一个大规模的收益。
很多人问我说,怎么样看 5G 里面带来富媒体,我反而没那么强的感觉。如果真的富媒体起来的话,从一个安全角度来,从业者的角度来,我第一反应是怎么做,研发确实会碰到这个问题,如果商业没有到的时候,坦率的讲,作为一个商业公司,不会把技术做的那么超前的,为了一些莫虚有的东西做一个牢不可破的高成本的壁垒,这没有必要。到了 5G,或许最大的收益者是生产方。
回到疫情码,其实这不是腾讯一家做,做不过来的,但你会发现这个技术用起来也没那么想象的那么高的门槛。安全也不是说多神秘,实际上它是真的能够帮到大家。
以上就是我的一些感触。
主持人:丁总和邬院士提到了两个共同点——第一,新基建其实服务的是产业;第二,新基建是未来我们的一个无人区,我们要做的事情是一个开创性的工作。庆幸的是腾讯已经在这方面不仅安全技术做到领先,也起到了一个带头作用,提前思考安全问题,所以非常感谢丁总的分享。
下一个问题要请教一下张总,张总在工业信息安全检查评估方面有多年的经验,近期对新基建安全方面,包括实体攻击也有一些预测。所以我有一个问题想了解一下,在您工业信息安全评测过程当中,未来新基建面临的安全因素有哪些,它和过去我们工业环境里面遇到的问题有哪些稍微不太一样的地方?
张格:感谢主持人,我觉得这是一个大家都很关心的问题,最近很多地方也都在询问我们这块的问题。大家在各种新闻都可以看到,整个新基建、5G 包括现在工业互联网、产业互联网整个领域,大的国际形势是跟以前是不一样的。
以前大家要去解决的问题是——怎样去对付一两个小的攻击者、小的毛贼,现在要考虑的是,在网络交易里面怎样守好自己的设施不被破坏,这个是大形势的变化。
从新基建整个带来跟以前互联网和以前的整个产业界,它的不管是交通领域、能源领域、金融领域,方方面面的不一样,从表象上是两个方面:
一、网络层。以前每一个行业企业都是行业专用网、局域网,通过新基建现在整体要求来讲,现在越来越多用公用网络。在这一块整个工业互联网其实打破就是我们整个网络的载体,以前每一个工业企业都是自己的小的局域网,包括自己的一些互联互通都是用的专线,所以在工业互联网时代,大家基本上逐步往公共网络进行迁移,公共云上进行迁移。
二、数据。以前所有的数据都是存在企业内部的,有个别数据是行业级进行汇总,在整个新基建浪潮当中、整个数据打通一定是未来的发展趋势和目标,这两个打通之后为整个网络整个保障,尤其是为安全整个保障提了非常高的要求,那就不是说一家企业可以防得住。
所以从整体来讲,在新基建里面这种安全的问题还是非常棘手和急待解决的,同时,在安全领域以前咱们的信息化,安全是信息化的一个保障,信息化建设在哪里安全保障就要到哪里。现在尤其是从这两年,特别这次疫情就反映出来,整个安全是在信息化在“卡脖子”了,很多安全问题解决不了,我们信息化手段上不了。今年我们在疫情期间,国内有很多的行业,包括有很多的应用就是因为我们安全问题解决不了,所以我们只能在疫情期间被迫不管是终止还是延缓,不能快速推动,就是因为安全是在一个制约的层次上。
从我这边看来,从政策上面现在是对整个新基建领域里面,现在整个产业互联网上给安全这块提更多更细致的要求,不再是一个单一个体的防御。
所以从我们现在日常工作和平常研究的角度上可以看到,新基建里面对安全重视程度是空前的,放在更高的一个位置上面了。
主持人王琦:谢谢张格的精彩分享。我觉得如果我们把安全上升到一个“卡脖子”的角度,面临一些风险、威胁、包括国内外的环境带来的变化,我们就会有应对的手段。所以我的这个问题,我们一直在讲安全其实问题应对是威胁,我最后一个问题问杨泉杨总。
GeekPwn 过去从黑客攻击角度审视新技术或者是新领域可能面临的一些风险,帮助厂商提前发现问题和消灭问题,在安全技术推进过程当中也助推了人才的发现和引导。这次办新基建安全大赛,杨总能不能分享一下从形式上和过去的比赛有什么不一样?
杨泉:我来回答一下刚刚提到的问题。大家知道,极棒是在 2014 年创办的,当时我们提出主要诉求就是发现人才、挖掘人才。我们提到的关键是在“人才”两个字。
从 2014 年一直到现在已经办了六、七年了,一路下来之后我们发现,从极棒走出来安全人才是越来越多,这其中我们就发现一个特点,在原有极棒做安全比赛的时候,更多参与人都是单一个体或者是有一些小的安全团队,就足以说能够把比赛完成或者是说有一些稍微复杂一点的目标把它破解掉。
现在看起来,这么多年来极棒也是不断扩展比赛目标和形式。接下去我们不难发现单一个体和小团队来打比赛越来越困难,因为他们面对的目标越来越复杂,尤其是我们这次提到的新基建安全。
它所涉及到一些技术的领域,甚至是涉及到产业和行业的逻辑和问题,不单单是某一个人能够完成和覆盖到的。我们提到新基建安全大赛的时候,我们跟以往有所不同,以往我们办比赛更多是我们命题或者是开放这个题目供大家来选择。今年我们提出一个想法和思路是说,新基建本身是有自己的特点,安全的规模还有安全的复杂性,不仅仅是个人就能完成掉,更多是厂商、行业伙伴甚至是政府指导才能把安全的问题讲清楚,我们也是基于这一点,我们联合了向在座的安全厂商和政府部门的指导单位。
借着这个比赛的形式,希望有更多的安全厂商以这种厂商的形式来出现,不管是作为发起方还是后面有好的项目进行参赛,它所起到的作用应该是比我们以前个人的单打独斗所展示安全能力更能够体现出新基建安全的一些特点。这个应该是我们今年举办新基建安全大赛和以往举办安全比赛稍微有些变化和不太一样的地方。
主持人王琦:感谢四位嘉宾,从邬院士到丁总然后到张所、杨总从国家角度、历史、机遇的角度,头部企业的角度还有我们政策的角度,还有我们社区的角度分享了这一块。
“圆桌”最主要是要有点碰撞。下面进入圆桌第二部分,也就是最后一部分——这是一个开放的问题。我们必须要认识到,新基建必须是一个新东西,安全不一定能完全做到位。我就想各位嘉宾能不能吐吐槽——我们新基建有哪些安全短板;大家有什么样的建议;对我们发起的新基建安全大赛还有什么建议?我们就从杨总这边开始过来。
杨泉:其实谈不上吐槽了,刚刚也提到了新基建参与方有很多方,有政府侧、有研究、行业侧的,有企业方还有像极棒更多是体现社区,代表着社区安全性的人员,既然提到了多方合作,更多是有一些期望和希望。
刚刚我也提到了在新基建这个安全研究领域里面,作为安全研究人员、社区研究人员,单一个体毕竟能力有限,不管是说他基础能力有限,还有一些政策上的支持,甚至是包括一些资金方面的支持,这些可能是我们对其他参与方的期望。
新基建这个话题,因为它是一个相对比较新的话题,投身到新基建安全研究这个领域里面来的话,我个人理解是更开放鼓励像社区安全研究人员更有效、有顺利去研究这方面的安全问题。可能从我的角度更多是期望和希望监管机构或者是我们政府层会有这一方面积极鼓励的政策。
另一方面,我们希望社区研究成果能够更好的或者是有效传导到,比如说安全厂商甚至是说传导到行业,再进一步是不是可以传导到政府侧,有一些安全研究成果被政府所了解,比如说政府制订一些像安全标准、安全规范,能有一些借鉴做法,也算是安全社区为新基建安全做出一些贡献。谢谢。
张格:前一段我记得去年年底的时候工信部也专门发了威胁信息相关的管理办法在征求社会的建议,也希望社会各界积极来给我们积极建言献策这一块的建议。
从刚才主持人说的吐槽来讲,我觉得谈不上吐槽,从我们整个的工作来讲,现在整个新基建的网络安全:
第一,大家的意识问题。因为新基建涉及的方方面面太多了,每个企业对安全的认识和对信息化的利用,它是一个完全不一样的认识。传统企业还是把信息化作为一个辅助手段,是通过这种手段来提升部分的效率,而且还不制约业务发展。
现在大家的整个意识,说一个不太恰当的比喻,既有博士生也有小学生的状态,但是在新基建领域,未来如果真的全面实现新基建,它是会拉平的,在拉平的过程中,整个意识问题我觉得是大家一定要高度重视的问题。
第二,开放问题。就像刚才杨总说的,我也特别有感触,这几年出了不少安全事件,这些事件里面集中反应的一个问题就是大家出了事的时候第一反应就是安全问题不是好的事情,就跟每个人的身体生了病之后,大家想的都是个体当隐私积极去治病,但谁也不想让别人知道我现在患病了,就是这么一个状态。
但是,我觉得安全问题在以后的新基建,尤其是在整个产业互联网或者说 5G 阶段,安全问题是大家盖不住的,所以大家一定要有一个开放的心态,不管是设备厂商、用户、服务运营商,大家对安全都一定要发现问题及时的把自己的系统修复好,同时要把这些信息共享出来,让相同领域或者说其它的行业领域能够予以借鉴,然后避免出现重复一个问题的反复发作,造成我们不必要的损失。
第三,从技术方面上面,新技术涌现的非常快。从刚才丁总讲的疫情码这块就能看出来,通过十几天的时间我们国家就出一个国家标准,目前普遍的信息安全标准。从它的提出到正式发布的周期还在两三年左右,这个周期其实是不能满足新基建整个安全要求的,所以我们整个标准的制定,包括规范的制定,一些行标的制定,我们应该鼓励多元化的标准发展,然后能够通过标准来引领整个新基建里面网络安全技术整体水平的提升。
我就“吐槽”这些。
丁珂:听了张总讲了以后,新常态就是处理安全问题像处理新冠一样的一个周期。我想分享两点,感受特别强烈,包括基础安全跟应用安全,现在在我的脑袋里,我觉得挺困惑的,分不太清楚。
我举一个例子,大家最近应该有看到人脸的deepfake,模仿得很像。比如说现在我们在台上的时候,专业的黑客根据这段视频,在一定条件下其实可以 deepfake 我们任何一个人讲话、伪造身份信息认证。
到我们这次大赛,极棒做了很久,也涉及到人脸、视频影声、AI对抗的东西,但是在这个阶段我越来越我觉得对安全人员的要求越来越高了,因为我真实的知道,凡是做人脸技术的,他在识别的时候几乎都是在模拟人脸,而且模拟出来的东西的水平很领先,当然技术上不是完全不能防,你拿肉眼完全看不出来的,你拿频谱分析可以分析的出来。
如果是真实人脸的话,高频部分会低一点,但是模拟出来相对会光滑一点,机器还是很容易分别出来的,只是你怎么样在这个体系里面去应对这样的东西,我们以后会大规模的碰到这种问题。
不远的将来,5G 来了、富媒体来了,这个事情能到什么程度,会有什么样的手段解决,会催生出多大的对抗产业,它将来一定是对抗的。今天根据频谱还能分的出来,明天用什么分呢,就不知道了。它能识别人脸,基本上都能生成人脸,这两个就是一种伴生的技术现象。
第二个领域,刚才王琦还讲到说生态、合作伙伴、政府,其实现在越来越觉得分不清楚,像日常处理的安全问题就五个字,“云”,现在比较典型的,国内国外 AWS、Google,一大堆。“网”其实已经不是以前的“管了”,真的是“网”,因为“网”比“管”要复杂的多,我完全不知道它是几通,头尾应该是断在哪里。“端”是很传统的,而且还算是有边界,但“端”现在其实是做溯源一个非常非常重要的基本功吧,也不能忽视它。
接下来两个就很诡异了,一个是“流”(业务流”),它到底是控制数据,还是加密不加密,然后计算还是它相关的交易。最后一个是服务。整体的云网端流服务这个流派。
再举一个技术的例子,以前都是南北项的,还是有一个门的,你在门那边加锁了,但现在的情况,在云网端流服务的情况下,它东西项巨复杂,东西项的网络架构里面,租户、VPC,能做出六七层,但是能层层都搞防火墙吗?设备上就不现实。那你要用什么机制来防止它东西项一些东西的漂移呢。
像新基建的话,更多模拟未来可能出现的场景去建构。在未来比赛里面除了场景之外,在技术层面更领先一点去看这个领域。这个阶段是越来越进入深水区,几乎每天得会碰到新的问题,可能不是很完善的解决。作为一个企业来说不可能为可能发生的东西,去投固若金汤的那种高大的程度,这个有点难。
邬贺铨:我就说两点。一是网络安全的初心要保护用户的隐私,保护我们服务企业的安全,包括商业秘密以及整个网络生态系统的安全。
现在网络安全很多时候系用虚拟化、云化、开放化的手段,也就意味着传统靠边界防护不行了,就相当于疫情一样,光戴口罩也不行,必须增加内生的免疫能力。但是大家可以注意到,过去做边界安全是不需要了解你里面是什么,现在要做内生安全的话,就是企业内部的东西你要了解,了解得越深你做得越好。
在节点如果你想做企业安全,你要了解它更多的问题,也就意味着你富有保护企业商业秘密的责任,搞不好你就走到了反面。
现在难题是什么呢。作为网络安全是需要把产业线上下游的数据都收集了,要实现威胁情况的共享,这里面就涉及到各个方面的数据。企业与企业、上下游之间也不能完全透明,现在就提出要搞数据联盟,要通过我能调用这些数据而不改变数据所有权和归属权以及存在的位置,但是又可以有数据共享,就意味着对网络安全如何同时保护数据以及数据更大范围的共享,又能保证各自彼此安全,这是一个挑战也是难题。
二是说极棒的比赛,我们目的是什么,发现杰出的黑客,能够破解很难破解的安全漏洞,能够成功打进来,当然我们目的是发现人才。发现了更好给社会提出来这个漏洞应该更好的补上。我们在做黑客大赛的时候,目的还是为了使得全球网络更安全,但是防人之心不可无,害人之心不可有。所以我们在做黑客大赛的时候也要考虑怎样为我们国家的安全增加一些可以对抗人家的手段。
主持人王琦:邬院士说得非常好。我发现越是参加这些会议就会有约有感受到,别的会议都在讲商业模式、赚钱,只有安全会议在讲忧国忧民的东西。是我们都在担心。
所以我发现安全行业特别伟大,非常像医疗行业会议。我们也是“救死扶伤”,我们要为别人生命安全负责。
邬院士(补充):像医生给你做一个小手术,医生也不能说让肝活下来了、而胆被割掉了。医生不能这么说。(做安全也要负责任)
目前 GeekPwn 新基建安全大赛已进入报名阶段,可至 GeekPwn 官网报名参赛(www.geekpwn.org 或点击“阅读原文”),选手报名于 9 月 30 日截止。选手可以选择工业生产、公共事业、交通物流、数据通信、经济金融、卫生健康、数字农业等场景,寻找产品、模块、技术、系统等中的安全问题。此赛事旨提前发现潜在安全威胁,入围项目的产品及服务均不公开品牌。
新基建安全大赛将与 GeekPwn 云安全挑战赛、CAAD 虚假人脸识别大赛、CAAD AI 变脸口罩挑战赛、少年黑客马拉松大赛、窃密与反窃密挑战赛、极棒传统攻破挑战赛等其他赛事同期在 10 月 24 日 GeekPwn 现场举行。0daybank
文章评论