最近加维护有6天不能体现,魔兽对战平台维护时间还安全吗
点击联系发帖人
时间:2017-12-23 03:27
“互联网+”时代,我们如何对信息进行保护?
我们个人的网络隐私保护意识淡薄。
中央网信办、教育部、工业和信息化部、公安部、新闻出版广电总局、共青团中央等部委于9月19日至25日联合举办2016国家网络安全宣传周,以培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的好网民为目标。在“互联网+”时代,移动互联网给我们的生活带来便利,我们如何在享受这些便利的同时,保护自己的信息安全呢?来听听信息安全专家怎么说吧。
“互联网+”时代的到来给人们的工作和生活带来了极大的便利,如“互联网+”助推下的滴滴专车、拼车等网约车服务方便了人们的出行, Airbnb等短租房产服务解决了人们个性化短租需求,菜鸟网络等零售物流服务提升了物流运转效率,转转平台等二手物品交易服务解决了闲置资源利用的问题等等。但伴随着这些O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”,与此同时,接二连三的个人隐私泄漏事件也成为网络晴朗天空中的一朵乌云,不时给人们的互联网生活投下阴影。
“互联网+”服务全面铺开,增加个人隐私泄露风险
我国网民数量急剧增长,各类互联网公共服务发展迅速,截至2016年6月,我国网民规模达7.10亿,互联网普及率达到51.7%,超过全球平均水平3.1个百分点,“互联网+”应用遍布政府服务、医疗、教育、金融、交通、能源、工业等各行各业,我国已成为名副其实的网络大国。但是,随着网民数量的急剧增长以及“互联网+”服务在各行业的全面铺开,个人隐私泄露风险大大增加,泄露后造成的影响范围急剧扩大。
一是网站平台漏洞频发,个人隐私数据遭到泄露。当前国内大多数网站、应用平台均采用注册机制搜集用户个人信息,但这些网站及平台多存在“重建设轻运维”问题,安全防护水平良莠不齐,这就导致部分网站平台漏洞频发,一旦遭到拖库、撞库攻击,就会大量泄露用户信息数据。如2015年1月,机锋科技旗下机锋论坛被曝存在高危漏洞,2300多万用户个人信息疑遭泄露;2015年2月万豪、喜达屋、洲际假日等十余家高端酒店预订网站存在高危漏洞,房客开房信息大量泄漏;2015年4月曝出超30省市社保系统存在高危漏洞,数千万用户社保信息疑遭泄露;2015年8月,线上票务网站大麦网被曝存在安全漏洞,600余万用户账号密码遭到泄露;2015年11月申通被曝13个信息安全漏洞,黑客借此窃取3万多条客户信息。
二是个人隐私安全防护意识薄弱,加剧隐私泄露程度。普通用户在进行问卷调查、购房买车、就医、办理会员卡时缺乏隐私保护意识,在微博、朋友圈、QQ空间中随意点击陌生链接,在发布心情、分享照片时泄露个人信息,这些情况都进一步加剧了隐私泄露的严重程度。如2016年4月曝出大量微信用户点击非法公众号参与“性格测试”、“幸运抽奖”、“分享有礼”等活动造成个人电话、通讯录信息泄露;2016年8月“裸条贷”事件爆发,部分在校大学生通过打“裸条”方式向非法P2P网络借贷平台借款,导致个人隐私信息严重泄露;2016年9月“手持身份证照片”事件曝光,据调查,这些认证照片多是用户随意向小网站小平台提交身份认证信息时所用。
三是主观散布他人隐私情况增加,人肉搜索屡禁不止。以人肉搜索曝光为代表的网络暴力情况日趋增加,在一些大型公众事件中,部分网民往往站在道德制高点,出于“义愤”主动搜集并曝光事件当事人及其家庭工作隐私信息,给当事人及其家庭造成严重身心伤害。如2015年5月成都女司机被打事件中,当事人的个人信息资料、违章记录、开房信息等被网友曝光;2015年7月,14岁少女潘梦莹因发表过激言论被网友人肉搜索并曝光个人信息,直接导致其割腕自杀;2016年8月王宝强离婚案中,相关当事人及父母亲友、代理律师的个人信息、照片、房产资料均被网友搜索翻出,对双方当事人造成进一步伤害。
随意的互联网行为可能导致信息的泄露
通过上述事件可以发现当前“互联网+”时代个人隐私泄漏情况日趋严重,相较传统互联网时代,当前移动互联网的高速发展使得个人隐私泄露的途径更加复杂,泄漏原因更加多样。
从泄露途径上来看,主要体现在以下四个方面:一是个人隐私数据的过度搜集。在当前共享经济模式下,信息资源就是财富,网络运营商、平台服务商为了掌握更大市场的主动权,会千方百计地通过各种渠道搜集用户个人隐私数据。在搜集方式上又分直接和间接两种,直接方式如服务提供商以各种理由要求用户注册,提供手机号、姓名、生日、邮箱、地址等相关信息;间接方式则是在用户不知情的情况下,利用后台权限读取用户通讯录、通话记录、GPS位置信息。
二是个人隐私数据的不当使用。部分非法微信公众号在掌握大量用户隐私数据后,通过地下产业链将其出售谋取暴利,如在网站注册或参加某调研后,会收到大量垃圾短信和垃圾邮件;另外,部分平台通过对掌握的数据进行大数据分析,进而利用用户行为习惯进行精准广告轰炸。
三是个人隐私数据的非法窃取。该类型主要是网络黑客利用各大系统平台漏洞,通过撞库、拖库、钓鱼等方式窃取用户隐私数据,近几年国内知名平台数据泄露事件多是此类。
四是个人隐私数据的故意散布。典型代表是人肉搜索,如“王宝强”事件、“成都女司机”事件、“死亡博客”事件、“晕机女”事件等等,部分用户出于所谓“义愤”将事件当事人个人隐私数据曝光网络。
从泄漏原因上看,主要体现在以下四个方面:一是个人隐私数据买卖黑产巨大利益驱使。在当前市场条件下,许多新公司、新企业、新商户、新平台、新网站在推广初期都急需大量目标客户资料,而掌握这些信息数据的商家或管理者利用信息管理漏洞,将用户数据当作一种“特殊商品”进行贩卖。
二是缺乏专门针对个人隐私数据保护的法律法规。目前我国尚无专门个人隐私数据保护法律,对个人信息数据保护条款散落于《民法通则》、《刑法》、《身份证法》、《互联网电子公告服务管理规定》、《未成年人保护法》等诸多法律中,同时由于缺乏个人隐私数据泄露后的救济与惩罚措施,无法震慑盗窃、买卖个人数据信息的犯罪者。
三是缺乏统一协调的行业监管措施。目前互联网行业日新月异,监管部门缺乏对互联网服务商在个人信息数据搜集、使用、保管等方面的有效监管,公民遇到个人隐私泄漏问题往往不知道向哪个部门举报、申诉。
四是个人网络隐私保护意识淡薄。比如随意接受“问卷调查”,向陌生网站提交“手持身份证照片”,在人才招聘网站、保险销售网站、旅游服务网站实名登记个人信息,登陆钓鱼挂马的网站等等。
我们如何保护自己的信息?
效保护用户个人隐私需要社会力量的广泛参与。从国家立法、行业监管、社会宣传、技术保护、个人意识五个方面入手,全面提升用户个人隐私保护能力水平。
一是加强个人隐私数据保护的立法工作。由于我国目前个人信息数据安全立法尚处于空白,侵犯个人隐私信息的行为得不到应有的制裁致使个人隐私信息泄露情况日趋严重。因此,国家应健全完善相关个人数据隐私保护法律法规,形成全方位立体化的个人数据信息保障体系。
二是加强个人隐私数据应用的行业监管。建立统一规范的网络行为标准体系,成立个人信息安全综合监管机构。定期对相关系统运营商、平台服务商进行评估审核,保证其在个人数据搜集、加工、存储和使用过程中符合法律法规。
三是加强社会媒体的宣传引导。新闻媒体应主动承担起舆论引导责任,主动曝光侵害个人隐私安全的企业、行为,积极宣传个人隐私数据安全防护方法,组织协调相关个人信息安全教育培训。
四是加强网络平台信息安全防护水平。网络运营商及平台服务商在日常运营过程中应定期对系统进行修补维护,及时更新软件版本,消除系统漏洞,从技术上防范拖库、撞库及其他黑客数据窃取行为的发生。
五是加强个人隐私信息保护意识。具体如下:(1)网上注册时尽量减少个人私密信息填写,不在身份不明网站上填写个人信息。(2)远离社交平台来源不明的互动类活动,如各种测评、分享、抽奖。(3)使用安全的计算机上网,尽量避免在网吧等公共场合输入账号密码,安装并定时更新防病毒软件及防火墙软件。(4)公共场所上网不连接陌生WIFI,警惕钓鱼陷阱。(5)警惕电信诈骗,不轻信各类中奖、汇款信息。(6)妥善处理废弃个人信息数据单据,如银行小票、快递单、消费小票等。
版权声明:本文为新华网思客独家稿件,转载须注明来源为新华网思客。授权合作请联系。
位网友推荐了本文
23630&次阅读&&&&2&次回应
所属数据库
最新鲜,最热辣的时事评论。无惧冲突辛辣,只忧平庸逐流。
您还能输入&300&字
时长:5分钟
时长:7分钟
时长:10分钟
“互联网+”时代,我们如何对信息进行保护?
您可以添加如下代码,然后复制粘贴到你要引用的网站下
伴随着O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”。
伴随着O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”。
北京大学国家发展研究院教授
使用第三方帐号登录
还没有思客帐号?
登录或创建一个账号
还没有思客帐号?
邮箱格式不正确
验证码不正确
扫码关注思客
使用第三方帐号登录
还没有思客帐号?
登录或创建一个账号
还没有思客帐号?
邮箱格式不正确
验证码不正确2017西湖论剑(中国网络安全创新分享大会)| E安全图文直播
我的图书馆
2017西湖论剑(中国网络安全创新分享大会)| E安全图文直播
&&18:32E安全·独家
2017西湖论剑(中国网络安全创新分享大会)圆满结束,E安全再次祝贺安恒信息十周岁生日快乐!
&&18:29E安全·独家
国际著名钢琴家 “千人计划”国家特聘专家吴牧野为大家现场表演了钢琴独奏《我的祖国》
&&18:10E安全·独家
安恒信息安全专家袁明坤发表主题演讲《“永恒之蓝”勒索病毒应急响应工作的经验与反思》
各位专家、各位领导,各位同行,很高兴在这儿有机会跟大家分享一下关于我们之前水深火热的这一周的故事。今天其实我也听了一天,这一下午基本上每一位专家都讲到关于勒索病毒的问题,我这儿不会占用太多时间,10分钟左右,主要跟大家汇报一下我们在这个事件过程当中安恒我们做了什么事情,以及我们通过数据的形式表述出来,到底这件事情我们中国在公安部、网信办、各个部委,全国总动员的情况下做的怎么样,用数据说话。最后是很想探讨的部分,面临这些,它基本上是必然出现的一种无解的攻击模式,我们应该怎么样去更积极的面对,去解决这些问题,这是我今天想带给大家的三个话题。
首先这张图是今天看到刘博介绍的Ailpha实验室,来自我们Ailpha实验室的一个,当病毒爆发的第一天的时候,我们分析的全球范围以内病毒蔓延的趋势。主持人说应急工作我做了很多年,我第一次感受到蠕虫像SaaS病毒一样感染一台计算机。这个蠕虫的来源重灾区中国,欧洲、日本、美国,这几个国家当然最关心的是我们的国家。这张图上可以看到我们东南沿海最早开始,当然计算机比较发达的地区。在中国的这些每一个省份里面,我们是当时接到信息的时候,我们没有发觉到原来这是一个全世界性的事件。当那天晚上接到不同的处置电话,我们全国的技术支撑的安恒人员和研究人员做支持的时候,忽然发现不太一样了。当天晚上,5月12号周五晚上,这是我们研究院绘制的一张图,是全国的一个分布范围。那么下面这个是我们从多地当天晚上触发应急响应任务以后差不多18点钟到第二天早上的6点我们迅速的发现这件事情不一般,是一个世界性的事件,我们紧急成立了公司级的应急响应的小组,我们到早上6点钟汇聚了全国去一线城市同事搜集到的病毒样本以及我们在现场最有效的处置手段是什么。然后第二天下午,我们和Ailpha实验室研究院几个部门通力合作,马上给出了一个全球威胁态势报告以及给我们全公司所有人用的应急指导手册,越来越多的厂商、客户、社会组织机构要求我们做应急,必须武装到每一个人,我们做了指导手册。而且在这个时候我们对安恒所有的权限产品,因为病毒样本拿到,当然有可能有一些变种,针对安恒的全线产品做了应对蠕虫。我们做了两个小工具,一个检测蠕虫是不是感染主机,是不是存在“永恒之蓝”漏洞,还做了加固工具,只是一天时间我们给出来的东西不足够,因为很多普通用户不大会用。在这个时候,大家看到右上角写的,基本上全公司每个人不停的接电话,单日接到电话数量将近一千次。为了应对这个问题所有人问怎么解决,今天也有专家提到情报传递出去怎么保证情报权威可靠。我们应急响应小组快速的在5月13号下午19点的时候出了一份,给公众用,也给我们公司所有员工用的一个勒索处置的信息都有的一个工具,我们的信息说实话,我们的信息来源也可能不是那么足够的,怎么解决这个问题,因为形势一直在不停的变化,我们在5月14号的凌晨5点开始把相关所有的这些蠕虫,国外的国内的所有的情报平台做了整理,情报汇总专门有人盯进展。这个时候我们发现一个问题,国内其实当时,这个时候有很多厂家开始说周一开机注意什么,马上打补丁,开完机第一件事情打补丁升级,我们也赶紧在友商的文章下面评论,包括联系上人,这样会误导公众的,第一时间拔掉网线,好多人就是开机打补丁,正在打补丁的时候,已经勒索软件的弹框出来了。当时把信息同步给业界,在14号18点开始做出来周一开机指南,这个开机指南昨天到乌镇的青年旅社的一个,我以前认识一个老板,昨天晚上请我喝了杯酒,他说包括青年旅社,包括所有的客人因为收到开机指南,有一个东北的一个银行的小职员因为被这个被领导好好夸了一通,其它部门感染,他们部门没事,因为他们没有开机。这个比拿多少一等功二等功好多了,这是我们帮助社会公众真实解决问题,那些报告和发布的工具,下载量这是有史以来最多的一次,差不多超过百万次的下载。然后我们的全线产品进行升级,专用工具,其实第一版的界面比这个丑陋的多,当然现在也觉得好看不到哪去,因为是临时性的能解决问题的工具,没有华而不实,只是实用。上面是我们一键进行检测网络里面有没有还有漏洞的机器,有没有被感染的机器。下面一键进行加固,再有一键检测是否加固成功,这是为公众输出的。同时我们从周六开始紧急备了一百台ABT高级预警设备发送到客户手里,有需要的客户。在后面的两到三天里面抓到了大量的勒索蠕虫的样本,并且及时的去推送给客户,通过其它的设备进行防护。这是我们在差不多72小时之内做的一些工作。
这些工作的结果怎么样?这张图,我相信大家是看不出来区别的,可能字比较小,一个5月14号我们通过一些采样分析出来的中国的感染的趋势,右边是16号我们采样的一个数据,可能大家看不出来结果,看不出来就对了,因为这两天中国的形势没有恶化。蠕虫大家知道传播会成倍的递增的,呈指数倍的递增,说明我们控制的还不错。真的是不错吗?没有对比你是不知道结果的。这是美国的,其实可能看的也不是那么清楚,但是如果详细看能看到美国的14号的图和16号的图相比,16号的密度明显大了很多。再直观一点看。这个图,明确的能告诉你一个结果,我觉得这是我们政府,公安机关,各个机关和我们一线的安全厂商,包括我们社会大众我们共同努力的结果,可以看得到中国和英国两个国家,它的数量是基本上持平或者甚至有点下降的,但是美国和日本那一天增长值是非常高的。
我之所以要求我们很多同事加班加点收这张图,是因为当时朋友圈疯传一个文章,说中国的政府、安全厂商只会说拔网线,只会吹嘘,有什么作用?但是这是实实在在的东西,这是可以通过数据对比出来的,这是所有人努力出来的,必须通过数据证明下来。
下面是一个,我们一直从12到15号大概都做了采样,简单摘了几天的数据。可以看到全国每一个省的数字开始慢慢慢慢可能是一个或者两个的数字,但是已经开始持续的,到今天为止已经慢慢的都在下降了,说明这个蠕虫已经取得了局部的控制。当然江湖上还有各种传言有2.0、3.0的东西,当然我们需要晶体,但是整体趋势是在可控的范围以内慢慢在解决问题的。但是这个问题解决了,新的问题又来了,Shadow,影子经济人爆出来的信息让全世界每一个国家的网络安全人员和监管机构都心里面都放了那块大石头落不下去,虽然蠕虫的事件结束了。未来会曝出来多少漏洞,国外的机构还握有多少东西,这是这一个星期我一直思索的问题。前一段时间我们大概有初步的答案,我们该怎么解决这些问题?其实我是整了一张很大的脑图,那天也是跟几个同事在聊的时候,也接到任务说如何应对这件事情,有一天忽然想到一个结果,画了脑图,但是在PPT画脑图是很傻的,因为时间有限,尽可能的简单的几个字描述一下重点,如果有兴趣可以下来继续沟通。网络战,这是未来必然要经历的一个局面,必须面对的,我们面对的对手级别越来越高,而且能力在目前的现状上来看,他们是高维度压制我们的。在我们目前的现状,我们该怎么去解决?所以我写了战网领域,看小说的人知道领域,在我的领域里面我的优势可以被放大的,我的敌人进来它的优势会被压制的。我希望建立一个这种网络战的领域出来,来主动的应对我们未来将要面临的网络战,这需要两个东西,当初总结了很多,最后范总总结了一句话就是知己知彼。什么叫知己?就是以现有的资产,态势感知工具、漏洞检查工具,我们必须把这些事情做扎实,已知的问题解决掉,知道自己的脆弱点。知彼我们做的怎么样呢?现在行业界都在谈情报,但是只是威胁情报不是那么足够的,它必须要和,刚才说我们做应急做了几百场,每次到一线越来越觉得到一线做应急是对个人很有挑战很有趣的事情,但是对于满足客户的需求来说是完全不够,就算个人能力再强,没有威胁情报的支持,后台大数据的支持你是对抗不过攻击者的,因为他们有的能力、数据,然后各式各样的平台资源,比你一个人单兵拿着一个电脑到客户那应急要强太多了。那么我们如何能为一线去应急处置的人去进行火力支持,海陆空军的支持,这是我们需要考虑的。首先我们知彼,除了威胁情报还应该做的是建立一些主动的防御系统。我有一个理念,就像我们现在,我们一百年前我们大清王朝被人入侵的时候,我们确实是国力弱的,我们当然现在很强大了,有比我们强大的对手,当我们交战的时候,我们处在劣势,在劣势的时候可以接受,只要不败就可以。但是处在劣势能快速的知道他们的打发,在我们遭受损失的同时最小化损失最快反击,这是我们要做的,所以要建立各式各样的主动的防御体系,来捕捉各式各样未来未知的威胁。我们Ailpha大数据中心是这样,后面会成立各式各样的应急响应中心解决这个事情。
今天我的内容不是产品发布,我的内容是跟大家分享一下我们如何做的。我们的右下角是今天刘博提到的AI,如何把现有的战术行动级别的系统内部的,我们已有的这些能自我感知的系统,能感知威胁的,人工智能的分析起来,把最有价值的东西提炼出来。战术层面外部的情报,各式各样的这些预警信息,把这些怎么能结合起来。当然还要有我们主动防御的信号,诱捕到各式各样的危险,通过大数据分析出来未知的威胁,快速丢到一线的处置人员手里面,让他快的解决。而且我相信,这提到另外一个概念,我一直觉得目前应急响应的能力、处置的机制是不够的,因为我们这么多年了,从我十年前开始讲应急响应的课到现在基本上还是那些东西,新的东西非常少,是不足以完全支撑这些东西的。所以我们现在也开始和监管机构打算发布一些应急响应的国内的专业的应急响应体系的课程以及认证。那么包括现在在做的左下角能看到的是我们全国的技术人员做应急处置的状态,我们会把每一个在一线处置工作的人的碰到的问题,碰到的蠕虫样本,它的处置方式以及修复的确认的结果,会是怎么样一个状态全部同步下来,会有应急响应的一个知识库,然后让我们越来越多的人不是一个人单凭自己的经验,你做一百次应急很厉害,我们是有这么一个知识库让更多人快速的正确的,最有价值的去现场做应急工作,能最大化的利用威胁情报的价值,利用后台大数据的价值去把应急响应工作做到极致,从而响应未来我们面临的更多的,更复杂的这些未知的攻击,这是我们的一些思路。
我介绍就介绍到这儿,谢谢大家。
&&17:48E安全·独家
梆梆安全总裁阚志刚发表主题演讲《构建物联网-安全共同体》
尊敬的各位领导,各位朋友,大家下午好!首先感谢安恒信息和范渊先生能给我们公司这样的机会。同时也祝贺安恒信息十周年生日快乐。
我今天给大家汇报的题目是:构建物联网安全共同体。因为在座的各位刚才也看到,安恒的小伙伴演示了很多有意思的物联网相关的一些实验,你比如说怎么开锁,怎么远程控制汽车等等。那么刚好我趁这个机会也简单讲一下,在物联网安全的领域里面,这些问题是如何产生的,它的本质的原因是什么,我们怎么去预防,在这方面我们公司有一些粗浅的研究,也请大家能够去指正。
首先我是先跟大家一起,我们回顾一下我们人类从50年之内从两个方面,一个是计算能力,另外一个从连接数量上来看一下我们在计算能力这方面有什么样的提高,在设备的连接数量层面上有怎么样的一个飞跃的发展。
那么我们看一下说我们最早的基于通用计算机是1946年诞生的,当时每秒能进行仅仅300次的浮点计算,这个数量对现在的人类来讲是九牛一毛。
我们看一下说我们世界上最大的分布式系统AlphaGo,现在每秒进行340万亿次的浮点计算,这样的进步真的是我们是很难很难去想像出来的。
那么另外我们在看另外一个关于连接,我们实际上最早的互联网的雏形是1969年正式启用的ARPAnet,当时仅仅连接了四台计算机。
我们现在再看一下说现在连接全世界的已经有几十亿个设备,有全球数以万计的网络构成,未来的30年世界上将有千亿甚至万亿台的设备会连接到网络当中去,由此判断我们人类在过去的一个世纪,半个世纪之内我们的计算能力,我们的连接的数量已经发生了翻天覆地的变化,这个时候我们可以有两句话来去形容一下:计算能力就代表未来的权利,连接就意味着智慧。这个论点不仅仅是我,实际上很多的专家学者都提出来说算力即权利,连接既智慧。
第二点讲一下说我们其实,范总讲未来已经如洪水一样到来,我这边也非常赞成范总的提法,我想也是未来已来。
我们在汽车,我们想像汽车的时候很难想像在三五年之内,我们就能够在汽车上去睡觉了,在汽车上去娱乐,在汽车上去办公,那么我们自动驾驶之路已经走在了第三个阶段,我们人类马上完成第四个阶段,完全自动驾驶,这个梦想肯定是能够去实现的。
在我们的生活里面,我们已经居住智能家庭里面,包括我们的智能门锁,我们的电视、冰箱、洗衣机,再综合利用物联网、大数据、云、自动控制技术的综合运用的情况下能够把我们带入到智慧家庭这样的一个生活环境当中。
那么另外我们也是刚才很多专家提到我们正在向智慧城市去过渡。
在这种情况下,正在实现的万物互联,其实也随着万物互联安全也会随着万物互联而广泛的传播和渗透。
这是我讲的第二部分,我们在未来已来,在我们自动驾驶,在智慧城市,智慧家庭等等,那么都是在智能的情况下,我们面临的安全挑战到底是什么?产生这些安全问题的本质是什么?我们怎么去解决,我们在座各位怎么样共同去应对。
这个地方简单讲一下说,有智能即有风险,现在流行一句话,就是说是:任何事物都是可以被编程的,编程意味着有智能,智能意味着有风险。我跟大家讲一下,刚才演示了车联网,我们公司已经跟将近20多家汽车企业在进行合作,在去研究TBOX的安全,将是将来车联网最中枢的神经,连接着驾驶系统和娱乐系统。我们非常清楚的认识到,我们找了很多TBOX的漏洞,但是漏洞永远找不完的,那么这个时候,我们在想,是我们程序员太笨还是怎么样,为什么会产生这么多的漏洞?我们能不能想到一种科学的方法或者理论,能够让我们的漏洞尽量的减少,或者通过形式化的方法,数学的方法能够证明我们的编程,我们的程序是完全正确的。我想这是可能得到的,那么经过我们专家团队,我们研究院,从去年开始研究了两个主要的方向,一个就是微内核的操作系统,微内核的操作系统能不能达到形式化验证完全正确?理论上是可以的。比如去年澳大利亚的一所大学发布了叫SIL,基于微内核的操作系统,形式化的证明操作系统没有漏洞的,美国军方也用这套操作系统用在它的无人机,它的无人驾驶汽车上。第二个方向就是在研究函数式的编程语言,现在的编程语言都是基于一种逻辑,函数式的编程逻辑能够用数学模型证明是正确的,我想只有这样,因为物联网安全形势发生变化,用传统的方式,补漏洞的方式,不能够满足物联网安全的需要,这时候需要从另外的层面来去做能不能让我们的程序,变得理论上证明是没有漏洞的。
另外有网络即有攻击,这个地方也是很有意思,今年麻《省理工科技评论》在2017年全球十大突破性技术榜单中,第一次把物联僵尸网络列在之内,这也是有史以来,把一种攻击的技术、破坏的技术列入榜单当中,其实我查了十几年的,十年之前的这样一些突破性技术,几乎都是为人类造福的技术,只有这个技术是真的是要进攻我们人类物联网的这样一些技术,叫物联僵尸网络。
基于这两点有智能即有风险,有网络即有攻击,这两个前提之下,安全的挑战是什么?我想有四点:
第一点就是成本的问题。我们跟家电厂商谈的时候,他们认为说一个家电能够,你比如我们在做基于芯片的防火墙,基于芯片的IPS、IDS的概念,他们说芯片你只有能够降到两块钱之下才能够用,意味着一个白家电卖一百多块钱,只允许增加两年的成本,但是每年的出货量三亿台,安全就会吃掉6亿利润,我作为老板也是对安全比较忌惮的。这个时候作为安全人员能不能找到更便宜的方式做,在互联网领域做安全不考虑任何代价的,不考虑内存等等,但是物联网的时候你必须考虑这一些。那么我们的MCU能力是逐步升高的,有可能内存只有几十K,几十K怎么跑你的安全程序?这些问题都应该值得我们去深思。
第二安全生态复杂。物联网的生态远远要复杂于我们现在的互联网的生态,从操作系统来讲就不下十多种。这种情况下,我们怎么样面对这些挑战,它的成本的问题,生态环境的问题,技术创新的问题,应对策略不足的问题。
另外安全的标准上,目前我们缺乏统一的标准,这是任何一个技术都会出现这样的情况,标准往往滞后的,但是我希望在物联网到来的时候能够把安全想的更加靠前一点,因为物联网的安全有一个特点,比如你买一个电视,它的安全是应该在出厂之前就应该放在电视里面的,而不是说我买个电视,再由一个安全厂商安一个杀毒软件,可能太晚了。这种情况下我们的标准是不是要提前做出来。另外如果一台设备发生了感染,其它的设备有可能都会遭受相同的攻击,这时候我们就跟我们的用户提出来说你比如说做汽车的,能不能一车一密,一车一套指令,让我们的每一个设备变得都不一样。那么这个地方也促使我们不断的深思说我们的物联网的时候,我们这些挑战,我们这些标准,怎么样能够很好的通过我们计算机聪明的人的这种实践,能够把物联网的安全能够做的更好。
最后一点我讲一下,因为我们在做物联网安全的时候,真的是感觉到很无能为力,因为从人才上,我们公司大部分人学计算机科学的,我们更需要很多学WE专业的人加入我们里面来。我们希望再次呼吁,我们能不能建造,构建物联网安全共同体。
其实正如习大大所说网络安全是全球性挑战,没有哪个国家能够置身事外,独善其身。 物联网安全的保障也需要各方面的力量共同参与,客户的角度,产品的角度,政策的角度,环境的角度还有智库的角度,从五个层面给物联网的安全建造一个共同体,我们在共同体里面共同去研究,共同去发展。我相信物联网安全的市场是非常巨大的,出来十几个上市公司没有问题的,没有必要为了一块蛋糕争的头破血流,还是希望合起手来,能够探究安全的本质,能够找到问题的所在。所以说我们梆梆安全也是在今年年初发布了2016年物联网安全白皮书,希望这个白皮书能够起到抛砖引玉的作用,能够把我们所有的去年研发的经验和场景,贡献、共享给我们的从业者,能够从互联网安全保护体系、微边界、源代码安全、微内核、函数编程语言,各个方面对物联网的安全有一个本质性的探讨。
其实我们还是应该怀着融合、开放、共享、共治的策略能够把安全检测、安全保护、实时响应、威胁情报,像我们在其它的网络安全里面所用到的这些概念,这些理论,这些思想,能够经过选择的去用到物联网安全当中去。
最后一点讲一下说,其实在万物互联的时候,安全是一个很重要的一个点,也是前两天,软银的总裁孙正义写了一篇文章,当中提到物联网的世界等于安全加连接,这个也是他收购RM公司主要的原因,他预测在未来的三四年,超级智能就会出现。将来会有万亿的基于RM结构的芯片会出来,那个时候的人类,那个时候超级智能的智商会是一万,EQ情商等于零,这种情况下是不是已经学会了,或者迎接跟这些超级聪明而情商几乎没有,几乎没有不是真正没有,也就是跟我们人类没有共同沟通的渠道。像我们现在跟我们的宠物沟通一样。那个时候是不是更加需要安全的保障,所以说我们公司在未来的两年去研究物联网的安全,也去研究人工智能的安全。人工智能的安全我们称作认知安全,怎么从认知的角度确保人工智能的安全。谢谢大家。
&&17:35E安全·独家
中国信息安全测评中心总工程师/研究员 王军 发表主题演讲《网络安全审查——保障我国网络安全的又一道防线》
大家下午好!今天我想给大家谈一个保障我国网络安全的又一道防线,就是网络安全审查。
会讲这么几个方面的内容,我们先来看,这个是我们这两天在谈的最热门的话题,“永恒之蓝”勒索病毒。病毒的本身在网络上可以看到很多的评论,那么我想谈谈我自己的看法。在这样的一个病毒爆发过程当中,实际上,实际上我们在后来的一些分析当中可以看到有这么一些评论。有这么几个分析出来的一个看法,不一定对,说出来给大家分享,说的不对算我个人的。一个是到目前为止,这样一个病毒应该来讲它是针对的范围是全球的而并不是只针对中国或者针对一带一路高峰论坛的,这是一个。第二个从目前的分析来看,那么包括国际上的一些网络安全的公司和我们国内的公司,一些分析,曾经把这个始作俑者或者把作者指向某个国家,但是仅看目前的分析报告,应该来讲,分析报告本身可能有一定的道理,但是仅仅,如果说就拿目前的分析报告来做所谓的指证可能还是不够的。再希望我们引起警惕的,这样的病毒所利用的漏洞和漏洞利用的工具是由影子掮客组织发布的,最近他们说还要继续的发布,我们可能还需要做未雨绸缪的工作。再一个国际社会是不是还是要有一些合作,把始作俑者抓出来,这样对整个,不光咱们国家,对正常社会秩序的破坏应该来讲是一种犯罪的行为,应该要得到世界各国的合作,按照相应的法律来制裁。再一个实际上我们对这一次病毒,勒索病毒发作发现的很多问题,如果我们做好相应的基础性的工作是可以做的,这个里面包括两个方面的工作是可以做的:一方面加大国产操作系统和终端服务器,自己的国产的推广的力度。还有不得不用Widows平台,可以考虑升级到Win10,特别政府定制版的可以考虑这种问题的,这是我个人的一个建议。我觉得包括及时打补丁,也是要做的。再有就是说我们应该要通过举一反三,结合网络安全保护的实施来确实提高我们相应的网络安全的防控能力。这是我想对这个病毒谈点看法。
再一个事情,我觉得我们可以要关注的,再一个控制我们要引起关注的是说实际上刚才也有,前面也有专家发言谈到,就是Vault7,美国中情局这种网络空间情报搜集工具的披露。到昨天已经是披露了总共十波,那么总共大概有8800多份文件被披露。这个里面除了我们刚才前面专家所谈到的我们的一些智能设备被变成窃秘的工具之外,包括对往常的隔离的突破。包括关键基础设施,特别关键设备上植入了后门,这的一些能力。另外也包括这个里面甚至他们对他们所用的入侵工具的这种国别的掩饰,包括里面加入了中文环境,让追踪者认为这是源于中国的,实际上是美国中情局的工具,这也是一个最近应该来讲引起咱们格外关注的。
从这些情况来看,应该来讲,就是我们从事网络安全工作面临的压力还是非常大的。那么网络安全审查是提高我们网络安全防护能力的又一道防线。实际上这样的一个工作在国家整体的国家安全工作当中是有起相应的地位的,而且从我们各种相应的国家的工作计划当中,也都有所体现的。我想给大家做一些声明,一个总体国家安全观,12个领域,现在说信息安全,现在统称为网络安全,网络安全一个重要的方面是建立我们国家自主的网络安全审查制度,这是一个方面。再一个我们国家的国家安全法,国家安全法第59条对进行国家安全审查有相应的几个方面的规定,这个里面除了所说的比如说对外商投资,特定路项,特别点出要对网络信息产品和服务影响国家安全的情况下要进行国家安全审查。国家安全法也有相应的规定。
网络安全法里面这也是一项重要的内容。网络安全法第35条专门提到关键信息基础设施的运营者采购网络安全产品和服务可能影响国家安全的应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
网络安全法的第65条规定了对不遵守刚才35条的情况,它的处罚措施,它是这样说的:关键信息基础设施的运营者违反本法35条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其它责任人处一万以上十万以下的罚款。这里面处罚的规则没有上限,是根据采购金额的十倍定义的,这也是采纳了在《网络安全法》一开始修改过程当中很多专家学者的建议。因为原来规定的一些绝对值的处罚还是觉得这个可能促进不到真正的需要处罚的。
《网络安全法》里面有很多亮点,刚才很多专家谈到,包括我们的数据在境内的情况,对关键基础设施的保护,同时网络安全审查也是《网络安全法》的亮点之一。大家还要注意,前几天结束的对《密码法》的征求意见,专门有一条,对密码应用的分类分级评估进行安全审查,这个意味着对于密码所用的分类分级评估的工作是要纳入到安全审查的内容当中,相应的安全审查工作必须要做,这是在另一个法律里面进行了相应的规定。
同时国家的十三五,国家网络安全规划也提到要对网络安全审查能力进行全面的提升。在国家的网络安全战略里面,在其中的保护关键信息基础设施的这一个九大战略任务之一专门提到网络安全审查。同时它还提到要建立咱们国家的三项三个制度:关键信息基础设施的保护制度、大数据安全管理制度、网络安全的审查制度,在战略里面提到三个国家层面的制度,建立网络安全审查,这是这个制度当中的一个。
在我们国家大的发展的十三五规划里面,对网络安全方面也提了相应的工作要求。在所涉及到的从安全意识到国际合作等等这些各方面的表述当中,其中也专门有一条提到要完善网络安全审查制度。
国家信息化发展战略,这是去年7月份发布的,其中专门在关键信息基础设施保护的章节中专门提到网络安全审查,同时还提到网站的安全、信息共享、等级保护等等内容。
我们说从咱们国家成立网络安全和信息化领导小组以来,那么相应的在工作方针的制定当中,其中提到要维护网络安全的三个坚定不移:一个维护网络的主权,第二个维护国家利益,出台网络安全审查制度是落实维护国家利益的一个重要的一个举措。我们现在大家能够看到的依据网络安全法所进行的配套的这种法律法规的这种工作,其中网信办公布的是网络产品和服务安全审查办法。那么这个审查办法呢,我这里给大家,片子上大家看到的是我们跟征求意见稿,之后的发布稿和征求意见稿的修改之处,我用了这样的修订的方式给大家显示出来,大家可以通过这个比对琢磨一下就是在公布的一个草案,一直到征求了很多意见之后,主管部门对大家所提的意见的吸收的情况以及一些政策在一些细微之处的考虑。这个我给大家做一些归纳。这是办法的正式的文本,不是修订模式的。我做一些归纳,这个归纳有这么几点要注意的:一个目前的审查办法,它提到,相应工作依据是什么?是两个法律,一个是《国家安全法》,一个《网络安全法》,它不是简单的上下位法的关系,两个法律当中对相应的国家安全审查的工作都做了相应的表述。那么审查的核心,是要保证网络产品和服务的安全可控,这是建立审查制度要做的核心。审查的焦点在目前的审查办法里面提到这么几项,这里面包括可能影响国家安全的因素,包括安全风险,包括安全可信的状况,包括安全性、可控性、安全机制、技术透明性,审查的焦点会聚焦在这些方面。审查结果的影响环节会在这么几个方面:一个政府采购,或者是关键基础设施的运营者所进行的采购行为上,再一个审查的结果将以一定的方式向社会公布或者一定范围内进行通报,这是会有社会影响的。再一个法律的尊属,这是《网络安全法》的规定的,不这样做会有法律处罚的结果。这是它的影响环节。
审查的方式在审查办法里面提到有这样几种方式:一个是要要求企业要做出相应的承诺。再一个要让社会可以监督。还有专业机构要进行第三方的评价,同时政府要持续性的监管。这是审查的落地的方式。审查的方式在审查办法提到这么几种:实验室的检测,现场的检查,在线监测,还有背景调查。大家可以通过这样的一些方法可以去体会,它和目前已经实施的这样一些已有的网络安全措施,包括测评认证等等相应的工作的相同点和不同点。审查的内容在审查正文提到有五个方面,不重复了。审查的机构,审查办法说到除了审查对象之外谈到这么几个机构:一个成立一个审查的委员会,这个委员会制定审查工作的这种大的方针的政策,解决大的问题,最后给出这个审查的结论。同时有具体实施的部门是网络安全审查的办公室。它还会有一个专家委员会,专家委员会有可能是一个跨领域的,不仅仅是网络安全领域的,它对其它领域可能影响到国家安全的因素,在专家委员会里面的专家会做出相应的评判。当然再有就是第三方的评价机构,它是作为第三方,作为专业性、技术性评判的主要的机构。审查的对象,除了我们前面所提到的网络安全的产品和服务之外,还有供应链,这个供应链包括对于上诉所说的被审查的产品和服务的提供者也包括在供应链当中。审查的触发条件,在审查办法里面提了有这么,实际上三个方面,如果说再加上一个还要有一个规定程序我们也可以理解为四个方面:一个国家有关的要求,像刚才说的《米密码法》的要求以及其它方面的要求,这是一个。再一个全国性行业协会的建议。第三个用户的反应,这里面包括我们同行,包括我们的用户,包括甚至是每一个网民,都有可能由于你的提议而触法网络安全的审查这样一项工作。触发的工作,同时它要有一个规定的程序,这样程序的规定反过来制约,比如同行利用这样的审查做不正当的竞争等等,要避免这样的情况。审查结果的处理,我刚才已经说了,同时审查办法里面还提到了对于行业和领域的安全审查的工作。审查里面特别提到要按照相关的规定,参照相应的标准,大家注意这是参照相应的标准。因为审查工作当中会碰到很多新的问题,有可能是标准还没有来得及覆盖,或者说可能是覆盖不全的,覆盖不到的,它不能够简单的按照标准,而是要参照相应的标准。审查的原则提到要客观、公正、公平。同时对从事审查相关的人员和机构也提了要保护在审查当中涉及的商业秘密和知识产权,反过来也是对审查从业者的约束,也是具有法律性质的。同时在修改的以后的审查办法里面,专门增加了一条,这一条是一个投诉的渠道,如果你在过程当中,有这个觉得有不公平的地方,包括有不满意的地方,你是可以走这个投诉渠道的。
我们前面讲了整个一个网络安全审查关键核心的问题是要解决安全可控的问题,我们如何对安全可控进行理解,我想谈两个方面:一个我想引用一下网信办有关领导在安全审查办法公布之后答记者问提到的三点,这三点的核心是说:不要损害用户对自己信息的自主权、支配权和控制权,不要利用某种的垄断这样的优势形成搞不政党的竞争和谋取不正当的利益,这是网信办领导对安全可控的一个解读。同时我想谈自己的看法,我们在大前年也是西湖论剑的会上我曾经谈到,对于安全可控或者自主可控的理解,我们在产品和系统这个层面我们要考虑这么几个方面,我们如果要是说你能够对一个产品,不管它是国内的还是国外的,如果说你能够对它的技术进行了充分彻底的消化,你能够对它的安全性做出客观独立的评价,能够自己独立的编译生成这样的系统,发现相关的漏洞和软件后门,自己打补丁升级,能够基于它独立的开发应用,是不是可以基本上认为这个已经是在可控的状态了。如果对一个行业或者一个系统,我们可以从另一个角度看,包括它的体系,包括它的可监控性、管理性、审计性、替代性这些方面。总的来讲对自主可控的把握按照总书记所说的,我们不能够不排斥先进,不要把自己封闭于世界之外,要在立足开放的环境当中搞网络安全。我觉得我们要这样的环境下从事相关工作。我想给大家报告的就这些,谢谢大家。
&&17:10E安全·独家
安恒信息高级副总裁、安全研究院院长吴卓群现场演示破解智能锁、平衡车、汽车
各位专家、各位领导、各位嘉宾,大家好!下面由我和大家分享我们下面的一个议题。我的议题是什么?可能跟前面的不太一样,我这边叫:锁不住的安全。为什么这么说?因为接下来你们会看到很多比较好玩的一些东西。比如说我们怎么样可以把一些我们认为比较安全的一些锁啊这些东西给破解掉。下面的话,我们就往下看。
我这边是安全研究院,现在的话,我们部门,我们这边,会由两个,两个方向,两个实验室在这边。一个叫海特实验室,海特实验室主要做一些智能家居,然后智慧城市,然后公共安全这些,主要也都是安全方面的,包括智慧医疗的安全。海特实验室的负责人在这边,王欣,可以给大家打个招呼,他是海特实验室的负责人,也在这方面,工控,智能设备有一些很深的造诣。还有个实验室叫做卫兵实验室,LOGO WB,主要做一些漏洞挖掘,做漏洞分析,包括一些工具的一些开发,做这些工作。我们这一块的负责人就是站在右边的郑国祥,可以给大家打招呼,包括等下有一些演示也是他们两个配合来完成。
先来看一下我们卫兵实验室在做的东西。第一个主要卫兵实验室主要做漏洞挖掘,我们在去年的时候,我们挖掘的漏洞包括了超过了300多个,321个可以看到,然后有大量的CVE,这边看到一箩,有很多,反正就是有很多,告诉大家有很多。
在卫兵实验室这一块我们也会做很多漏洞挖掘的工作,像会做一些框架性的一些漏洞挖掘,研究各种开源的一些框架,找他们的一些安全漏洞。然后会为各种互联网公司挖掘各种安全漏洞,包括之前的像京东、腾讯、阿里这些,都会给他们做一些漏洞挖掘,给他们报一些安全漏洞。这边还有一些像,我们看到几个CVE,这几个漏洞非常严重,之前暴出来,影响非常严重的。特别是S2—029和045,特别是045,影响范围非常大,没有任何前置的利用条件。我们也可以看到之前我们发现这个漏洞以后,对全球的网站进行一个测试,其实可以看到,整个地球上这是个全球地图,可以看到像中国、美国这一块,因为网站用户非常多,并且只要是这个框架用的非常多。所以这个里面可以看到非常红,就越红表示它的漏洞越多,我们利用我们的一个回声搜索引擎,可以去检测这些东西,然后很快的找到整一个网络里面受影响的这种设备和服务器。那在5月5号又做了一轮检测,发现这个漏洞已经被修复很多,颜色淡了非常多,但实际上还是有很多影响到的,很多暴露在互联网上并且可以被利用的也有好多。因为大家比较关心中国的这块,中国这块我们细分到每个省,其实我们可以看到很明显,像北京、杭州,就浙江这一块,上海这些,互联网发展比较好比较发达的区域,它的对外暴露的站点也挺多的,所以颜色会深一些。一段时间修复以后,5月5号以后看到颜色淡了很多,总的来说也在不断的修复,但实际上互联网上暴露还是有非常多这样的安全漏洞。
接下来我们一个比较重要的一个重头戏,就是我们要去现场去攻防一些我们觉得挺好玩的一些智能设备,包括汽车,包括其它的东西。我们会有三块:第一个就是门锁,那大家会不会觉得门锁是很安全的,可以看到它的一些安全问题。第一个我们可以看到,这边有一个门锁,是智能门锁,也是现在下一代的门锁,它有非常多功能,蓝牙解锁,有指纹解锁,有无线的解锁,有很多。但这个是不是足够安全,其实我们可以看一下。现在我同事,他是门的主人,正常的他有钥匙,可以把门打开。正常的可以把门打开。然后再把门关上,这时候打不开了,因为关上了。正常我们出门会把这个钥匙放到口袋里面,然后我们的攻击者,攻击者走过来了。他利用一个非常小的设备,其实可以把那个钥匙的数据复制下来,非常简单,这些设备非常简单,我们原来配钥匙要花很长时间,到锁匠那边配,这个时候很方便,拿了一张白卡刷不卡的。然后我们把刚才复制的数字信号在卡上复制一下,然后再尝试一下,看能不能成功。这时候就打开了。也就是说我们在很简单的一个过程中,我们只需要花一秒钟时间,甚至一秒钟不到可以把另外一个人这种类型的钥匙复制下来,并且很快的可以变成另外一个钥匙,然后打开。所以它的安全性我们在,就包括可能厂商这些要设计这些东西的过程中,是需要考虑它的安全性的。
第二个再看另外一个门锁,可以看到在屏幕上面,有一个号称是小偷没有办法打开的一个门锁,为什么?因为它根本没有视外的锁孔,所以小偷下不了手。这个时候看是不是到底能够被打开,这是通常通过钥匙能关上打开的,这是正常的。我们把钥匙放在锁上面,然后我们再看能不能够打开。我们的攻击者,准备好了,会发送特定的攻击信号,很简单,门锁又被打开了。整个过程也是非常简单的一个过程,但实际上如果真的用这样的锁,可能会产生比较严重的后果,直接就能够把家里的门打开。当然我相信这种门锁,一般家里面不会装这种,但是有些地方也是会有。
平衡车是非常好玩的东西,也是有一部分人使用的短距离代步工具,但是它是不是安全,我们想像的那么好用呢?不一定。我们看到我们王欣这边很酷炫的骑了上来,这时候这辆车就是王欣的,我们海特实验室的负责人。他可以用手机控制这个平衡车,也可以锁定,可以去正常的锁定和解锁。然后郑国祥开始要准备发送攻击的数据。现在可以看到这辆平衡车已经很难被拖动了,已经被锁住了。王欣可以看一下,这个时候他要去解锁,解锁这个设备就输入刚才的密码,其实已经输不了了,密码被改了,这是它存在的安全性,能够把这些密码直接通过一些手段改掉,而且非授权的情况。这时候这辆车已经不是王欣的了,不是这辆车主人,而攻击者可以控制它,可以去随意的进行控制。我们可以看到,这时候可以在,可以看到平衡车已经开始动了,攻击者可以远程操控,让它随意的变动。
我们看第三个,我们的汽车。很多人有汽车,人手一辆,甚至有些家庭好几辆汽车。我们看看汽车有没有一些安全风险。这是之前我们做的一个视频。我们选了四种品牌,四种不同类型的品牌和四个不同类型的,有SUV,有普通的小轿车,我们可以看一下。(汽车安全破解?)。
刚才讲了这么多就说明现在的物联网,包括车联网,包括汽车,包括这种智能家居这些,门锁越来越先进,有越来越多的功能,但是安全性在发展过程中必然出现很多新的问题,这时候我们必须关注。安恒我这边包括研究院,刚才两个实验室,其实在做的就是这方面的研究,新的一些方向,新的一些测试的一些手段,新的智能设备的东西我们都在做一些相应的测试来保证这块的安全。
有请的两个助手,两位负责人上来。我们的演示就到这边,谢谢大家。
&&16:40E安全·独家
情报之巅——安全数据大脑发布访谈录
茅莹:浙江经视主持人
袁慧萍:中国人民银行金融信息中心信息安全部主任
蔡林:浙江省公安厅网安总队总工程师
李雨航:CSA云安全联盟大中华区主席
杨勃:安恒信息副总裁
刘博:安恒信息首席科学家
主持人:网络就是一场没有硝烟的战争,接下来通过一个短片让在座的各位切实感受一下这场战争的场面。
今天现场那么多朋友,我想大概只有我一个人属于彻底的外行。所以我刚才在看到短片的时候只能用两个字形容:震撼。原来每天赖以生存的互联网看似平静,但是其实如此高频率的爆发攻防的战争。网络战争和传统战争类比,不知道准不准确,网络战争没有硝烟的,但是情报都至关重要,无论从中国古长城的狼烟,到二战的电波,到今天网络空间的各种大数据,情报往往决定了一场战役的成败。接下来邀请五位嘉宾,就威胁情报与网络空间安全这个话题做一个深入的面对面的聊天。
欢迎:袁慧萍、李雨航、蔡林、刘博、杨勃。
欢迎五位嘉宾来到我们台上。
第一个问题问一下蔡总,可能在您的职业生涯当中,刚刚过去那场G20,应该是最能够确确实实的体会到情报的至关重要性的吧?
蔡林:是的,大家可以看到,去年的G20峰会,我们和谐圆满的展示给世界。但是这中间的网络空间的信息对抗是一天也没有停止过。包括我们的关键基础设施,我们的城市运转系统,包括阿里云平台都遭受了前所未有的攻击,像阿里云平台它的最高峰值达到了425个G。而我们的官网,遭受的攻击是以千万次为计的。这当中如果我们没有威胁情报的来源,没有及时预警和处置,这当中的话我们网络安全保卫工作是不可能顺利的完成。
主持人:我问一个特别外行的问题,425G是什么概念?
蔡林:我讲一个比较,就以广电集团为例,广电集团的网站的话,如果加了,包括安全防护措施,加了完善的措施和流量清洗这个网站基本上所能撑到的流量攻击最多一个G,而425G在史上来讲,在中国也算是顶级的攻击了,而阿里云当时它能够承受的攻击,我们知道阿里云的分析能力非常强,它的数据处理能力也是非常强,但是所能撑到的流量攻击大概450G,基本上差不多。
主持人:到极限了已经。
蔡林:基本上极限。
主持人:当时的压力之重,情报发挥很重要的作用。
蔡林:是的。
主持人:情报在平常是每天发挥作用吧?
蔡林:是的,威胁情报包括预警提示,包括电视台对于电信诈骗的一些提醒,都是威胁情报的提醒。
主持人:因为我是电视台的员工您老拿电视台说事吗?
蔡林:比较形象。
主持人:情报应该说在重大活动当中,还是在老百姓的日常生活当中都是至关重要的,因为重要所以很多人现在引起了极大的重视。在座有一位嘉宾,李主席,他是云联盟的大中华区的主席,有人称呼您叫云的联合国,非常形象。所以我想请问一下现在当前威胁情报的情况以及最难的难点?
李雨航:2015年在中国曾经被认为是威胁情报的元年,但是从历史上看,威胁情报实际上是有悠久的历史了。美国政府,大家也知道,在911之后对威胁情报非常的重视,实际上911可以算作一个起源。后来这个威胁情报的前身是叫做信息共享,因为是从911到2015年这一阶段,我都是在美国,当时我跟首席网络沙皇,我跟它做过多次的交流,感觉到我们需要来做这个叫做信息共享,我们就是通过斯密特给美国总统建议,美国总统后来发了叫总统行政令来做这方面工作。当时在美国,我们有过一些优秀实践,比如在州这一级,有剧变情报中心,很多州一级的中心搜集大量的威胁情报,经过处理再发到上一级。在整个信息共享的过程中,我们遭到了很多的挑战,所以在,有很多国际组织在这方面做了大量的工作。2012年是一个转折点,当时是美国的国土安全部它推出了三大标准,有一个叫做STIS,这是一个对威胁情报做了一个完整的定义,它定义了威胁情报的八个要素,另外还通过SML语言来对威胁的细节还有威胁情报的能够都做了比较详细的定义。基于STIS在威胁情报的传输方面,美国政府,叫国土安全部也推出了标准叫TAXII,这个标准它对这些情报的传输,还有它的这些服务以及信息的格式都做了比较规范的标准。之后还有叫SOS标准,通过一系列标准使威胁情报技术工作能够规范化,使我们当时遭到的很多挑战,比如信息的搜集,信息的关联,处理、分享,各种,大家信息来源非常广,很杂乱。所以通过这些标准能够使各个组织也好,机构也好,能够共享一些信息。现在这些挑战还是存在的,这些挑战除了技术方面,还有非技术层面的,除了我刚才讲的基础数据,还有数据分析,还有一些比如人才方面的挑战,我们需要更多的像刘博这样的数据科学家,还有很多,各方面的安全专家来做这方面的工作。另外在互信共享方面还有一些行业方面的障碍需要政府来帮我们解决,需要政产学研一起努力,建立一个共信的机制,能够让大家把威胁情报,能够把敏感的信息屏蔽掉,把公开的信息让它能够在各个单位,不管是政府单位还是私有企业,在这之间能够共享。所以我们云安全联盟现在也做了很多工作,有一些工作组,有些做技术的,还有些做信任方面的工作,从国际国内还有产业界和政府界各方面的信息能够建立沟通的渠道,我介绍到就这一点。
主持人:刘博在那,可是接下来这个问题问一下杨勃,刚才李主席介绍了挑战依然存在的,随着技术发展这个挑战也会日新月异,不断的在升级当中。我其实挺想听听看安恒在这个方面有什么应对的方法吗?你们是怎么做的?
杨勃:主持人好,在座的各位嘉宾好!刚刚李主席讲的这几点我深有感触,威胁情报这个话题,尤其对我个人来说不是今天才开始的,我在安恒马上8个年头了,那么我对威胁情报的探索或者从爱好到现在也差不多8个年头。我们一开始去做了最基础的,应该说叫做基础数据的搜集、积累,因为我们觉得做情报必须要有最基本的抓手,就像G20做安保一样,我们社区做了最简单的一件事情是人口普查,其实我们网络界也同样面临这个问题。这个工作本身涉及大量的,甚至非常琐碎的,然后数据又瞬息万变的一系列的工作,我们要汇聚成一个像大海一样的池子,把数据融下来。第二个挑战,差不多8年下来一直不断的前行,艰难前进的,很重要的一个因素就是人才。人才归根结底分成两大类:第一是安全研究攻防对抗人才的积累,没有这种能力的积累,我们得到了数据,那只是一个硬盘的堆积,没有实际的价值;第二类人才就是我们当有一定的方法或思路,知道这个情报的价值的时候,怎么从海量的数据源里面把它快速的挖掘出来,这就是我们像刘博这样的人才也是我们数据大脑非常紧缺的人才。这个时候我们有长期数据的积累,加上人才的积淀,就为企业提供威胁情报,做好了技术方面一个非常充分的准备。包括刚刚李主席也谈到的话题,2015年国内差不多是威胁情报的元年,但是我们在2016年的时候我们并没有推出威胁情报,因为我们最大的,当时最大的顾虑是什么?在全国,威胁情报从我们的意识到我们的用户能够接纳,再到我们的技术成型能够落地,它是需要相对有一个时间的过程。那么经过这两年,尤其我们安恒,首先我们落地了安恒自有产品,我们的服务团队和威胁情报的沟通能力,形成之后,我们认为在今年这个时机比较成熟,可以把我们情报的能力,可以无缝的输送到我们的用户群体当中去。
主持人:李主席觉得他们靠谱吗这种做法?
李雨航:我很认同。
主持人:开头我提到二战,了解历史的知道二战当中诺曼底登录改变了二战的战局,从而改变了战后的世界格局,为什么会胜利?主要归功于一个代号叫佳宝的间谍,因为他给希特勒提供了假情报,以至于希特勒布兵布错了,以至于最后覆灭了。对盟军来说当然是一场情报战的顺利,可是对于德军来说却是因为有假情报而让自己最后毁灭了。我挺想问问袁处,在我们的工作当中,面对大量情报的时候,你们会不会也碰到这样的问题,有的时候怎么辨别情报的真伪呢?
袁慧萍:今天我特别高兴作为一个网络安全的爱好者参加这个盛会。威胁情报对我们每个做网络安全,尤其是做一线网络安全保障的人是特别有用的。因此我觉得,我们就是不余余力的争取到最大可能的威胁情报的提供者。包括我们国家的网络安全专控队伍,包括顶尖的网络安全厂商,还有各类专家,其实都可以给我们提供一些情报。这些情报的真伪,作为用户单位是很难辩解的,因此我是觉得应该从国家层面,由我们网络空间协会类似这个级别的这种层次的领导的关注或者机构的关注来进行认定。在没有这些之前,我认为要靠行业自律,因为是靠威胁情报的发布者,他的职业道德,他一般不会发布太虚假的信息,否则影响下一年的合作,目前是道德约束阶段。第二个是用户的心理承受能力来判别这些。因为我觉得作为,也在网络安全圈混了十七八年,哪些同志说的比较靠谱,哪些不靠谱,也还是稍微有一些心理上无形的判断。再一个如果说,比方说安恒一家说了勒索病毒还没有太关注,只要有第三个机构说勒索病毒的时候,我在5月12号晚上已经不能睡觉了,早上6点到单位,我们人民银行整个在全行一直到县行、市级单位,8:30已经部署完毕整个应急处置所有的工作。所以整个期间威胁情报发挥了重要的作用。但是判别非常难的,我希望呼吁相关单位高度重视威胁情报,不要让用户来做出正确与否的判断。
主持人:您从用户的体验感受来说曾经受过这方面的委屈吗?数据可能是存在一些问题,数据给的不到位的。有人骗过您吗?
袁慧萍:我们国家的网络安全目前受到空前的重视,作为用户,主管部门,我们经常也会接到国家主管部门发来的调查的通知,说你行疑似被间谍软件控制,被木马控制,这时候就是提供一个情报,甚至比情报更厉害的让你测查,有时候发现不存在,你要写一个反证法证明不存在,是很难的。这时候我呼吁我们更加精准的提出这些预警情报会更加好。我们曾经跟主管部门发过这样一些,就是反证自己没事的,当然我是说我们肯定工作中存在很多需要改进的地方,也需要在座的安全厂商,各位专家的帮助,但是我相信就是说有了威胁情报的精准性,我们的工作会更加高效、直接,而且是精准的来实施防护。
主持人:从精准性来说,刘博士您准备怎样做,安恒怎么把精确性做到最高?
刘博:我觉得,我非常同意刚才李主席讲的,我觉得这是一个很好的对威胁情报的一个解释,就是数据,为了解决这个精确性的问题,第一个是要有足够的数据,就是没有数据其实是,就是为了有更好的威胁情报的这种质量和信息,数据是第一位的,我们要搜集更全的数据,不能是偏颇的数据,这是很重要的一个方面。建模,并不能盲目建模,对数学要有一些理解,手动的分布做图,了解数据的性质、来源,这个基础之上才能知道这个数据的属性什么样的,利用我们的算法,跟这个数据的属性结合起来,比如说我们这个常用的一些算法,比如有迭代性的聚类分析来剔除一些不符合常态的数据,所以是两者结合的一种方式。我们不能盲目建模,数据也不能盲目的利用。
袁慧萍:说到这个威胁情报的精准性,其实我是觉得当前用户的最大的需求就是威胁情报的精准性;其次是威胁情报,既然拿到情报,用户应该第一时间做哪几步。像勒索病毒的威胁情报分了四步,我觉得类似这种就是比较合格的,而且标明资信度在90%以上。
杨勃:这个问题非常尖锐和有挑战性的,也是我们,尤其在我们落地数据情报,面向用户输出的时候,我们内部有一个红线,我们所有对外输出的情报必须要有证据的,而且这个证据必须来自于原生态第一手数据。所以我们输出的时候已经决定了数据的准确度,当然第二个问题刚刚说的,我们数据或情报,我告诉你消息,但是接下来怎么做?其实这就是我们刚刚探讨的,为什么在2017做这个事情?因为我们的服务和产品需要一个过程的,要形成一个闭环,而不是给我们用户一个情报就结束了。
主持人:做论坛之前安恒有两位同事到我办公室做了这一场前期的洗脑,因为我说我是外行并不懂互联网技术。他们当时非常友善的提醒我说当你在场上问道技术类的问题,当刘博士发言,杨总讲技术问题不要想着你听懂了,听不懂也不重要,你只知道他们的技术很牛就可以了。我确实没听懂,他们说什么建模,要怎么采集数据,真心没听懂。所以今天挺想让李主席做一下技术语言的翻译,他们有那么牛吗?不是好多公司都在做这些事情吗?安恒特别牛吗?
李雨航:是有不少公司做这方面的事情,大家知道这方面挑战很多的,大家刚才也举到了例子叫做病毒的攻击,现在勒索病毒攻击,攻击的源到今天实际上还没有找到。为什么困难呢?我就举一个这种物理世界的例子,比如你被人打了一枪,你来找这个源,那么你是从一个维度或者甚至两个维度看问题的,那么你找确实是非常困难。那么刘博也讲要多维度的看问题就简单了,如果我有很多其它的维度,不光从被打的人的角度,我有很多的视频监控头,我把它调出来看,甚至比如卖钱的商店都提供信息,我的维度非常多,甚至他们大数据做的好,他们实际上是可以从上帝的视角,上帝的角度看这个问题,他们什么都能看得见,这个攻击方没有办法隐藏,都可以被他们抓出来。所以他们确实做的比较牛,现在中国做的好的就是有大概安恒,另外还有比如说是天际友萌的都是在他们后面。
主持人:除了安恒没有了,他们已经上帝视角了?我明白了,他们是可以溯源的。
李雨航:他们有很多模型算法,他看的比一般的人要看的非常深,非常广,超出了人类的感知。
主持人:不管数据多不多,算法多么牛,不管它的整个人才储备有多么的丰富,说到底咱们得把这个落到每一个应用场景,让它落地才是真事。今天台上一位来自银行系统,一个公安系统的,可以实实在在的跟安恒提一下你们想解决的痛点是什么,看看安恒能不能解决。
蔡林:威胁情报这一块说实话让我来对它落地之间的要有一个关联分析,一个是你信息搜集的,刚刚李主席讲了是不是足够多,这个对你来说有难度的,你毕竟是一个公司,你搜集一些信息还差的远,这个有一定的难度。你在这个方面搜集方面,信息搜集方面你要难一点。第二个分析上面有一定的难度的,刚刚主持人讲不懂技术,有一个大家都懂,就是社会工程学,实际上精准的分析对于黑客组织之间的关系还有一些溯源机制来看不是光靠技术能够做的,它是需要对一些人的心理,社会工程学和黑客组织内部的一些习惯是有掌握的。否则你要精准度的来分析是比较难的,建模也是一样的,建模的模型不是靠,技术是非常重要的,但是这个技术要对于一些业务的理解才能精准的建立相应的模型,再采用人工智能技术处理,这个我觉得,我讲的就是这个第二个。
第三个就是你的溯源能力。实际上我们现在从信息到情报,还有很长的路要走,我们现在包括共享的东西,大部分是信息,达到情报不多。特别是精准的情报是更少。就是信息到情报的话它是要经过相应的很大的后台的处理才能达到情报,我们也希望安恒将来能够提供更精准的情报,更有效的溯源解决我们防范和打击的问题。
袁慧萍:我讲一个景象,当“永恒之蓝”爆发,周一早上一个高层领导7:30打电话问全行能不能开机,我说没有接到我的通知就是开机,也体现了这次威胁情报的初战告捷。谈到威胁情报提供商的期望,第一必须保证威胁情报的精准度,要做好精准度您刚才谈到,我本身学数学的,聚类、大数据可能在这起很多作用,但是可能您跟相关的国际交往,还有之间同行之间的信息的有一些适当的磋商或者共享机制还是要有的。第二点威胁情报希望你的威胁情报是可落地的,可操作的,这块我刚才谈到,用户要以最短的弧开展应急处置。我一直说我们打补丁的这一块是干病毒之前还是之后,也许就在这几秒之间,这个时间是黄金周期,希望替广大用户行业争取黄金时间,因此你的可落地、可操作的。比方说,我就还举这个例子,这里很多威胁情报告诉我们说请上微软取什么补丁,请到哪,其实用户周六下午4点钟上微软网站打补丁,这个网站基本瘫痪了,访问不了了。何不直接送佛到西,把补丁带在后面,这种我认为可以考虑对可落地性做一些这样的操作。第三个方面想说一下威胁情报还是希望考虑在,应该依托一些权威的发布,应该要有一个权威的发布。比方说在周末的时候,一堆人就通过微信公众号推,微信朋友圈推说千万别开机,我就说实际上正常的声音淹没在其中,谁说的是对的,这种声音太多了,就告诉用户不要听个人用户个人专家的,要听权威的,权威的声音架不住这些声音,这种情况下是哪个国家机器部门,网络安全权威部门发声一下,没有。我觉得我们单位,就靠自己去判别去做,这时候就想说,威胁情报如果在满天飞的互联网整个发布的时候,您跟正常用户发布的同时您也跟黑客发布了,到底你是给我们矛还是啊给盾呢?还是要适当的控制范围。比方合理的渠道,当你的一个有价值的威胁情报是不是依托于专业化的机构来发布,另外依托于你每年的安全服务的方式打包发布,这些我觉得是值得考虑和探讨的。至于后面威胁情报这个怎么发展,还是希望有一些行业的这种规范,比方有的情报写了前三章节,有的后三章节,中间想看的部分,你自己多看可能就知道少写了一两条,这时候格式的规范性还有其它的方面是包括,相当于缺标准,这还是需要考虑一下的。最终我们还是希望大家共同关注威胁情报,在帮助用户的同时帮助企业的成长,也是我们国家网络安全保障提升一个档次,实际上形成合作共赢的局面,感谢。
主持人:今天真的很珍贵,因为在互联网时代能够第一时间听到来自用户的真实的声音和他们的体验感受,是让我们把产品做好的前提。我相信在2017年当安恒要开启威胁情报领域的时候,刚才蔡总和袁处提到的建议是可以在下一步的工作中继续改进的,包括李主席给我们介绍的大面上的情况以及给安恒满满的点赞都是可以激励你们往前走更远走的信息。接下来共同见证安全数据大脑的一个发布仪式,我们一起来看大屏。
谢谢台上五位嘉宾共同经历了安全数据大脑发布,有理由期待相信安恒在数据大脑领域当中可以越做越好,谢谢。
&&16:20E安全·独家
安恒天池云安全管理平台事业部总经理郑赳发表主题演讲《人民的政务云》
(人民的政务云——视频)
尊敬的各位达康书记,秘书长,下午好,下次汇报一下本次的情况以及简单的安全建议。
首先,我们来看一下涼州事件的现象。最开始是因为涼州气象局的门户网站被入侵,所以说有人报警了。他们的网站的首页被篡改,而且带有一定的反动信息。后面经过安全专家分析不仅仅是气象局,还有好几个单位的信息系统被入侵,而且还造成了一定的数据信息的泄露。那么我们来回顾一下这个事件到底怎么发生的?上图是涼州市政务云的示意图,我们通过日志的分析发现是有黑客发起了大量的攻击。我们的涼州市出口的防火墙设备起到一定作用阻断一部分攻击,但是可惜没有阻断全部,还有一部分攻击进入气象局的网站上面去。通过这个漏洞拿下了气象局的网站。更进一步的分析之后我们发现,黑客利用气象局这个网站作为跳板机进行扫描,进一步发现更多的主机、数据库都有相应的或多或少的一些漏洞,它进一步攻击之后拿下很多系统,从而导致了政务云很多信息系统被攻击。这实际上是一起很严重的安全事件。
为什么我们刚刚介绍了政务云,这么快被黑客拿下,什么原因导致的?我们也做了一些简单的分析。从技术的角度看,最直接的原因是因为气象局的网站存在Struts漏洞,这个漏洞政务云设备没有防住。可能更重要的是因为我们出口的设备所做的都是保护政务云的安全,并没有针对我们气象局其它租户做针对性的个性化的安全策略。
第二点,租户之间的东西向隔离不彻底,这也是导致进一步黑客通过气象局的系统扫描到更多的系统从而入侵更多系统很直接的原因,因为他们政务云里面的租户之间的隔离是不彻底的。
第三点是我们业务系统很多牵上云之后,实际上没有做任何的安全检查直接搬上来,以前的安全漏洞直接带到云上,而我们云上的架构的变化有可能所有的防护比你传统的机房的安全措施更弱一些。所以导致了以前没有发生的问题就暴露了。当然还有很重要的因为我们的云平台它的出口的安全设备并没有针对租户做个性化的策略,而是针对云平台的保护策略,这是技术角度来看的。
其它原因看,更进一步的分析之后发现有一个很重要的原因是我们的租户,它信任了云平台的安全,它认为业务系统搬到政务云之后政务云就会保障安全,它信任这个云平台,实际上云平台没有做,而且云平台可能大陆集团为了急于盈利或者是快速的推广,它有意识的去提前的推广了。那在上面的时候,又没有进行一定的评估。那么以前有的业务系统的问题也带上来,问题就爆发了。更重要的是涼州市政府还缺少一套监控措施,这套业务系统上去有没有问题,涼州市政务云、服务商、监管单位都没有数据或者没有措施进行监管,所以导致了一些系统很快的被黑客拿下,这是一个事件的原因。
对于这样的情况我们有什么办法解决呢?我们也罗列了几点简单的建议供达康书记你们参考:
首先第一点,最重要的首先要理清楚安全责任边界,我们要在上云的时候清晰的告诉我们的租户,你的业务系统上云,不代表你的安全责任的转移。你还是有义务承担你自己业务系统的监测、防御、审计的职能,这个责任你要承担的。这个时候一定在业务上云之前介绍清楚,这是第一点。而且一定明确业务系统上云的流程,怎么上云,上云之前进行评估,要进行加固才能进来。这个流程一定要是明确的。
第二点,云服务商有义务构建全局监控能力,要对整个政务云,云平台自身的状态以及租户的安全状态进行监控。
第三点,云服务商有义务构建符合三级等保要求的安全池的能力,能够让我们的租户能够自助的选用自己所需要的安全服务能力,去构建自己的数据安全网,维护自己的安全策略,分析自己的日志,这是我们服务商具备的责任。
最后云平台应该要符合等级保护至少三级,等保2.0时代已经明确提示到云平台承担的业务等于小于它的业务级别。
这是我们的安全加固建议。针对建议,我们安恒也推出了自己的一套解决方案,这个解决方案就是今天说的天池。天池是什么呢?天池是一个解决方案级的产品,它汇聚了安恒十年攻防能力,打包安恒在云上的监测、防御、审计跟服务的能力,整体打包加入到政务云、私有云系统,让政务云快速的拥有完整的符合等级保护的三机的安全能力,然后部署进去之后,我们的租户就可以登录天池的管理平台,就可以看到有很多的安全产品,基于自己的安全需要选择自己需要的产品,天池会自动化的部署、自动化的引流。天池会帮它做统一的管理,统一的分析。这是一个,所以说天池是一个大的管理平台,也是一个安全资源池,可以为客户提供符合等保三级的能力。整个天池已经把租户之间进行了相对应的隔离,每个租户是看不到另外一个租户的安全设备、安全策略、安全日志的,所以这是天池的一个简单的拓扑。
然后天池有什么价值呢?部署天池之后,可以全局感知涼州市政务云的态势,提供云租户平台和云平台的视角,两种视角,在平台视角,服务商可以感知云平台的安全状态,安全能力有多少,安全池还剩多少资源,整个的安全防护状态是怎么样子的,同时也能看到所有的租户的安全日志状态,全局的感知到底哪些租户有问题的,哪些租户是安全的,哪些租户是服务等保二级或者等保三级的,他们的在差距在哪里。用了这样的数据之后,可以跟云服务商、单位监管政务云,同时天池也可以作为云服务商的一个增值服务的手段,它发现问题之后完全可以利用这样的数据反过来去推动租户加固,把天池的安全能力当做增值服务商品卖给我们的合作商,卖给租户,让租户提升自己的安全能力,让服务商变成增值服务产品。这是第一个价值点。
第二个价值点,为政务云构建等保三级的安全资源池。现在天池是一个开放融合的平台, 我们内部也一直讲一句话:往上我要接入不同产品,往下要接入不同平台的云服务商,这是天池。现在的天池已经汇聚了安恒所有的安全产品,这样的产品可以按需取用,自动化部署。这是天池的一个安全服务能力。
然后第三点,可以为涼州市政务云提供业务上云的全生命周期服务指导。天池的业务服务能力,可以在业务上云之前帮助我们的租户去评估这个业务系统是否安全,帮助这个业务系统进行加固,帮助业务系统去设计它的安全拓扑架构。上线过程之中也可以帮助业务,帮助我们的租户去实现它的安全拓扑,去帮助它去设计它的安全策略,然后上云之后的话,天池的安全服务能力就起作用,通过持续的监测、服务、审计、防御,持续的为我们的租户提供安全能力,最终让我们的租户能够符合等级保护的需求。这是天池的服务能力。当然天池它是一个解决方案级的产品,它一般的实时,需要跟云平台进行相应的紧藕合,我们要向下兼容不同的云平台,所以现在我们的天池已经在跟各种国内主流的云平台对接,目前已经完全了阿里、数梦、华为、品高、Os这五种进行融合,所以我们有能力在几天之内把天池部署上去,让涼州市拥有等保三级的安全资源池的能力。这就是我们给整个涼州市安全事件的一个简单的建议。
整个演出正式结束,请大家再欣赏花絮。
&&16:05E安全·独家
浙江省千人计划、安恒信息首席科学家介绍并发布《AILPHA大数据?智能安全平台》
尊敬的各位领导,专家和嘉宾,大家好!很高兴也很激动,能有机会参加西湖论剑,这也是本人第一次参加西湖论剑,也非常幸运,遇上了安恒的十周年庆典。在这么一个特殊和重要的时刻来发布我们的大数据产品,对于我们来说肯定是一个非常美好的开始。
我的PPT,昨天也给我们的产品经理和主持人看了一下,他们觉得这个PPT有一点太技术,担心下面的这些人看不懂。但是我肯定是没有时间来改,我在想,西湖论剑作为一个高端的技术论坛,我们就需要拿出我们的真枪实剑,我也安慰自己,大家看不懂的剑法才是一个好的剑法。所以过程中会讲很多技术名词,请大家容忍一点。
一个好的产品必定依托于一个好的团队,一个好的公司和一个好的CEO,所以在我介绍产品之前,请允许介绍一下我们团队的由来。本人是2016年认识的范总,当时范总的务实求事、精益求精,和他敏锐的决策力深深打动了我,给我留下非常深刻的印象。当时我就带着我自己大数据的梦想,和一个责任感,就毫不犹豫的选择了安恒,加入这个充满热血,充满激情和有责任感的大家庭。当我加入安恒之后,在大家的帮助之下,我们集结公司当中最优秀的研发资源,成立了我们的特种部队,叫Ailpha大数据实验室,在这么一个优秀的团队,公司和CEO的共同努力之下,我们打造出了业界领先的大数据分析平台,我们的Ailpha大数据智能安全平台。那么在介绍我们产品之前,我们为什么要做这件事情?我们为什么要用大数据?大数据能帮助我们解决哪些安全的问题?我们先通过一组数据了解一下我们面临的严峻的安全形势,特别是新型的高级的威胁。随着信息化的网络化的迅速发展,很多企业和组织,安全问题也是他们最头痛的问题,最关心的问题,威胁的风险在不断的增加。就据统计调查,每次数据泄露给企业带来的损失平均是350万美元,威胁的个数和难度也在不断的增加。就恶意攻击在被发现之前,平均已经潜伏229天,企业无力应对,83%的企业认为他们没有相应的工具或者技术来发现,来应对这些新型的威胁。67%的安全事件是在发生了之后,通过第三方发现的。那么传统的安全设备是有哪些问题?他们的局限性在哪里?可能大家知道,传统的安全设备大部分是基于对单条事件的规则匹配,或者规则表达,并不能做复杂的分析,所以他们核心的计算引擎不能应对新型的威胁。同时因为他们是针对单条日志的告警,大多数针对单条日志的告警,单质告警容易误报过多。很多是单点的处理能力,不能应对大规模的数据分析和存储能力。虽然有事前事中事后的安全理念,但是并没有相应的工具和技术有效的执行。所以为了解决这些问题,研发了Ailpha大数据智能安全平台,就在这里,在2017西湖论剑的现场,在安恒十周年庆典这个重要的时刻,让我们共同见证Ailpha大数据智能安全平台的发布。请大家跟我一起,倒计时。
谢谢大家。
大家可以看到我们产品的名字,Ailpha是在原有英文单词中加了一个i,我们这个名字前两个字母AI,代表人工智能,我们期望通过智能大数据的分析和挖掘,能够真正的体现大数据在安全中的价值。
我们希望能够通过Ailpha大数据智能安全平台让所有的单位和企业能够真正的驾驭安全大数据分析,来达到我们的最终目的,让数据无忧,让应用恒久,让一切放心在线。
我们的大数据平台主要解决哪几个问题呢?主要是六个问题:第一个实时的威胁预警;万亿数据的存查,包括管理;异常检测,包括异常行为分析,包括帐号盗用等等;智能的机器学习,能够感知现在的威胁,来发现和预测还未发生的风险点;深度关联,能够对多元的数据进行深度的关联分析,从而发现真正的威胁和产生危害的威胁,追踪溯源,通过查询、关联来还原攻击路径。那么我们是怎么实现这些功能的?下面从几个比较技术的方面介绍一下我们的大数据平台:架构;性能、分析和关联能力。
一个好的架构需要解决下面四个问题:第一是研发效率,一个好的架构可以避免很多不必要的代码,不必要的计算,能够提高研发效率。第二个扩展性,一个好的架构,能够在不动干戈的情况下扩展下的功能,针对新的业务场景或者新的业务领域,提供新的解决方案。伸缩性,就大数据平台可大可小,可以单台部署,也可以集群部署,针对不同规模的客户。最后维护性,大数据要能很容易的拆开,对每个部件进行测试,也能进行很容易的部署和排错。所以我们的大数据平台采用业界领先的Lambda大数据架构,分为两个:一个实时流分析一个批处理部分。我们将这两个部分互补的技术结合起来,最大化的利用资源。实时由一个双核引擎组成,Storm和Spark。离线系统基于ElasticSearch和hadoop系统,这个基础上有一套H的系统,将实时分析和离线分析的结果结合起来以互补的方式输送到Hbase系统中服务前端客户产品的需求,这种方式大大提高了计算的性能,同时也能满足几乎所有应用场景建模的需求。这个大数据架构在很多重要的互联网产品当中都有应用,包括支付宝的反欺诈系统,还有百度的广告系统等等。
我们利用,基于我们的大数据架构做了很多算法和数据流上面的一些优化。第一个实现的,达到了我们业界比较领先的一个性能优势。第一个就是我们可以1小时1键部署,我们把各个大数据平台的组件统一整合到一个运维平台当中,可以在客户现场1小时1键部署。第二个单台计算设备可以达到一万EPS的处理能力,主要基于实时流分析平台和Hbase,自主研发的一个计算逻辑,可以快速的对数据进行处理和分析。同时我们做了一些索引优化,可以达到百亿级别数据的十秒内查询。最后对Hadoop的存储系统做了优化,可以达到万亿级别数据的存储和查询。做一个比较参考,我们现在大数据平台的处理能力可以实时处理所有淘宝的访问日量,同时也能存储所有淘宝的访问日量可以达到一年以上。
我们的平台和计算能力,相当于是我们的一个武器,我们的一个核心。当我们有了这些工具之后,我们就可以游刃有余的进行建模、分析。我们的分析模型大致分为两种:一种是安全场景类分析,是什么意思呢?场景类分析就是指我们已经知道攻击行为大概什么样的,DDos攻击,木马回连等等,我们需要做的就是通过模型踢除一些噪音,快速有限的发现威胁。第二种智能机器学习模型,这种模型针对的威胁是我们之前不知道,或者这种威胁没有一个定势,比如说异常登录,什么叫异常登录,DGA和自动产生的域名什么样的,那么针对这些威胁,通过自动化的智能学习捕捉到这些威胁。下面我简要介绍一下其中的两个模型,一个潜伏型数据窃取,另外一个异常登录。
首先介绍一下什么是潜伏型低频数据窃取,这个图里面横轴是时间,Y轴是访问频率,绿线是一个正常的用户。一个正常的用户一天当中某几个时间点对网站进行频繁的访问,早上或者晚饭的时间。红线是一个潜伏型攻击者的行为,它会在相对跨长时间的时间内低频率的对一个网站进行访问,但是呢在某个短的时间内,比如30分钟之内,你是不能区分出这个潜伏型攻击者,或者很难区分出潜伏型攻击者和正常的行为,因为频率不高,也没有异常的行为。所以说这种分析需要跨长时间的分析,传统的安全设备是没有能力发现这种威胁的。那么我们怎么从海量的数据里面来发现这种威胁呢?我们就引用了信号频率分析当中常用的模型,基于实时流分析平台,研发出基于流数据分析的实时分析的异常行为检测,傅里叶变换模型,可以从海量的数据当中筛选出低频的访问行为。一个例子,我们在客户当中发现了攻击者对一些网站进行数据窃取,左边是正常的用户,右边是异常的,横轴是时间,Y轴代表不同的IP,不同的攻击者,大部分用户都是左边图的形式,短时间内做一些访问,右边是一组攻击者,长时间的、低频的进行数据窃取。为了提高我们的准确度,我们也会对日志做关联,不仅是低频的访问,同时有拉取数据和拖库的行为。
针对案例我们发现这一组黑客在凌晨的时间,包括晚上的时间,都有相对持续的和频繁的访问。他们的攻击手段大致就是:第一先获取这个验证码,然后识别,然后同时通过撞库的方式登录到这个客户的信息系统当中。从而把数据拉取下来。我们通过对原始日志的查询也发现了他们拉取数据的原始日志,从而我们也能调查取证,发现他们所产生的危害。
下面介绍一下第二个模型。我们讲的异常行为模型。异常行为模型,其实在很多场景当中都可以有利用,比如异常流量,异常登录,异常访问,还有僵尸网络等等。这个模型我想通过一个简单的例子给大家介绍一下我们怎么做这个模型的。我们用登录时间,简单的例子介绍一下什么是异常行为。比如说在日志系统中发现一条日志,有一个用户早上6:30登录业务系统,这个行为是正常的还是异常的?很难讲,假如有一个用户A行政人员,他有比较好的生活习惯,所以说每天早上6点钟就起床,那他的历史的登录行为就是我们这张图所显示的,早上登录的相对多一点,6点钟就有一些登录行为,晚上也会有一些。对于这个用户来说,6:30的登录行为可能是比较正常的。另外一个用户我们假设是我们研发人员,都喜欢熬夜,他可能早上起的比较晚,9点钟起的,9点钟之前没有登录行为,所以它的历史行为,一个模型,是右边的这个情况,晚上有很多登录行为,早上没有,对于他而言,6:30可能就是一个比较可疑的一个行为。这是一个很简单的例子,但是大家可以感觉到我们没办法利用简单的规则来设定我们的告警应该是什么样的,我们不可能对每一个用户,一个企业有几千上万用户,不可能对每个用户设置不同的规则,设置之后可能经常产生误报。所以我们就需要一个自动化的、个性化的机器学习模型识别异常行为。
我们怎么做呢?针对这个简单的来自,我们采用了两种方式,一种无监督聚类学习,另外一种贝叶斯混合高斯模型。简单解释,无监督聚类就是根据所有历史数据做简单的聚类分析,来发现哪些点是离群的,这些离群的点,离群的事件就是最有可疑的,最有可能的异常行为。右}
我们个人的网络隐私保护意识淡薄。
中央网信办、教育部、工业和信息化部、公安部、新闻出版广电总局、共青团中央等部委于9月19日至25日联合举办2016国家网络安全宣传周,以培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的好网民为目标。在“互联网+”时代,移动互联网给我们的生活带来便利,我们如何在享受这些便利的同时,保护自己的信息安全呢?来听听信息安全专家怎么说吧。
“互联网+”时代的到来给人们的工作和生活带来了极大的便利,如“互联网+”助推下的滴滴专车、拼车等网约车服务方便了人们的出行, Airbnb等短租房产服务解决了人们个性化短租需求,菜鸟网络等零售物流服务提升了物流运转效率,转转平台等二手物品交易服务解决了闲置资源利用的问题等等。但伴随着这些O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”,与此同时,接二连三的个人隐私泄漏事件也成为网络晴朗天空中的一朵乌云,不时给人们的互联网生活投下阴影。
“互联网+”服务全面铺开,增加个人隐私泄露风险
我国网民数量急剧增长,各类互联网公共服务发展迅速,截至2016年6月,我国网民规模达7.10亿,互联网普及率达到51.7%,超过全球平均水平3.1个百分点,“互联网+”应用遍布政府服务、医疗、教育、金融、交通、能源、工业等各行各业,我国已成为名副其实的网络大国。但是,随着网民数量的急剧增长以及“互联网+”服务在各行业的全面铺开,个人隐私泄露风险大大增加,泄露后造成的影响范围急剧扩大。
一是网站平台漏洞频发,个人隐私数据遭到泄露。当前国内大多数网站、应用平台均采用注册机制搜集用户个人信息,但这些网站及平台多存在“重建设轻运维”问题,安全防护水平良莠不齐,这就导致部分网站平台漏洞频发,一旦遭到拖库、撞库攻击,就会大量泄露用户信息数据。如2015年1月,机锋科技旗下机锋论坛被曝存在高危漏洞,2300多万用户个人信息疑遭泄露;2015年2月万豪、喜达屋、洲际假日等十余家高端酒店预订网站存在高危漏洞,房客开房信息大量泄漏;2015年4月曝出超30省市社保系统存在高危漏洞,数千万用户社保信息疑遭泄露;2015年8月,线上票务网站大麦网被曝存在安全漏洞,600余万用户账号密码遭到泄露;2015年11月申通被曝13个信息安全漏洞,黑客借此窃取3万多条客户信息。
二是个人隐私安全防护意识薄弱,加剧隐私泄露程度。普通用户在进行问卷调查、购房买车、就医、办理会员卡时缺乏隐私保护意识,在微博、朋友圈、QQ空间中随意点击陌生链接,在发布心情、分享照片时泄露个人信息,这些情况都进一步加剧了隐私泄露的严重程度。如2016年4月曝出大量微信用户点击非法公众号参与“性格测试”、“幸运抽奖”、“分享有礼”等活动造成个人电话、通讯录信息泄露;2016年8月“裸条贷”事件爆发,部分在校大学生通过打“裸条”方式向非法P2P网络借贷平台借款,导致个人隐私信息严重泄露;2016年9月“手持身份证照片”事件曝光,据调查,这些认证照片多是用户随意向小网站小平台提交身份认证信息时所用。
三是主观散布他人隐私情况增加,人肉搜索屡禁不止。以人肉搜索曝光为代表的网络暴力情况日趋增加,在一些大型公众事件中,部分网民往往站在道德制高点,出于“义愤”主动搜集并曝光事件当事人及其家庭工作隐私信息,给当事人及其家庭造成严重身心伤害。如2015年5月成都女司机被打事件中,当事人的个人信息资料、违章记录、开房信息等被网友曝光;2015年7月,14岁少女潘梦莹因发表过激言论被网友人肉搜索并曝光个人信息,直接导致其割腕自杀;2016年8月王宝强离婚案中,相关当事人及父母亲友、代理律师的个人信息、照片、房产资料均被网友搜索翻出,对双方当事人造成进一步伤害。
随意的互联网行为可能导致信息的泄露
通过上述事件可以发现当前“互联网+”时代个人隐私泄漏情况日趋严重,相较传统互联网时代,当前移动互联网的高速发展使得个人隐私泄露的途径更加复杂,泄漏原因更加多样。
从泄露途径上来看,主要体现在以下四个方面:一是个人隐私数据的过度搜集。在当前共享经济模式下,信息资源就是财富,网络运营商、平台服务商为了掌握更大市场的主动权,会千方百计地通过各种渠道搜集用户个人隐私数据。在搜集方式上又分直接和间接两种,直接方式如服务提供商以各种理由要求用户注册,提供手机号、姓名、生日、邮箱、地址等相关信息;间接方式则是在用户不知情的情况下,利用后台权限读取用户通讯录、通话记录、GPS位置信息。
二是个人隐私数据的不当使用。部分非法微信公众号在掌握大量用户隐私数据后,通过地下产业链将其出售谋取暴利,如在网站注册或参加某调研后,会收到大量垃圾短信和垃圾邮件;另外,部分平台通过对掌握的数据进行大数据分析,进而利用用户行为习惯进行精准广告轰炸。
三是个人隐私数据的非法窃取。该类型主要是网络黑客利用各大系统平台漏洞,通过撞库、拖库、钓鱼等方式窃取用户隐私数据,近几年国内知名平台数据泄露事件多是此类。
四是个人隐私数据的故意散布。典型代表是人肉搜索,如“王宝强”事件、“成都女司机”事件、“死亡博客”事件、“晕机女”事件等等,部分用户出于所谓“义愤”将事件当事人个人隐私数据曝光网络。
从泄漏原因上看,主要体现在以下四个方面:一是个人隐私数据买卖黑产巨大利益驱使。在当前市场条件下,许多新公司、新企业、新商户、新平台、新网站在推广初期都急需大量目标客户资料,而掌握这些信息数据的商家或管理者利用信息管理漏洞,将用户数据当作一种“特殊商品”进行贩卖。
二是缺乏专门针对个人隐私数据保护的法律法规。目前我国尚无专门个人隐私数据保护法律,对个人信息数据保护条款散落于《民法通则》、《刑法》、《身份证法》、《互联网电子公告服务管理规定》、《未成年人保护法》等诸多法律中,同时由于缺乏个人隐私数据泄露后的救济与惩罚措施,无法震慑盗窃、买卖个人数据信息的犯罪者。
三是缺乏统一协调的行业监管措施。目前互联网行业日新月异,监管部门缺乏对互联网服务商在个人信息数据搜集、使用、保管等方面的有效监管,公民遇到个人隐私泄漏问题往往不知道向哪个部门举报、申诉。
四是个人网络隐私保护意识淡薄。比如随意接受“问卷调查”,向陌生网站提交“手持身份证照片”,在人才招聘网站、保险销售网站、旅游服务网站实名登记个人信息,登陆钓鱼挂马的网站等等。
我们如何保护自己的信息?
效保护用户个人隐私需要社会力量的广泛参与。从国家立法、行业监管、社会宣传、技术保护、个人意识五个方面入手,全面提升用户个人隐私保护能力水平。
一是加强个人隐私数据保护的立法工作。由于我国目前个人信息数据安全立法尚处于空白,侵犯个人隐私信息的行为得不到应有的制裁致使个人隐私信息泄露情况日趋严重。因此,国家应健全完善相关个人数据隐私保护法律法规,形成全方位立体化的个人数据信息保障体系。
二是加强个人隐私数据应用的行业监管。建立统一规范的网络行为标准体系,成立个人信息安全综合监管机构。定期对相关系统运营商、平台服务商进行评估审核,保证其在个人数据搜集、加工、存储和使用过程中符合法律法规。
三是加强社会媒体的宣传引导。新闻媒体应主动承担起舆论引导责任,主动曝光侵害个人隐私安全的企业、行为,积极宣传个人隐私数据安全防护方法,组织协调相关个人信息安全教育培训。
四是加强网络平台信息安全防护水平。网络运营商及平台服务商在日常运营过程中应定期对系统进行修补维护,及时更新软件版本,消除系统漏洞,从技术上防范拖库、撞库及其他黑客数据窃取行为的发生。
五是加强个人隐私信息保护意识。具体如下:(1)网上注册时尽量减少个人私密信息填写,不在身份不明网站上填写个人信息。(2)远离社交平台来源不明的互动类活动,如各种测评、分享、抽奖。(3)使用安全的计算机上网,尽量避免在网吧等公共场合输入账号密码,安装并定时更新防病毒软件及防火墙软件。(4)公共场所上网不连接陌生WIFI,警惕钓鱼陷阱。(5)警惕电信诈骗,不轻信各类中奖、汇款信息。(6)妥善处理废弃个人信息数据单据,如银行小票、快递单、消费小票等。
版权声明:本文为新华网思客独家稿件,转载须注明来源为新华网思客。授权合作请联系。
位网友推荐了本文
23630&次阅读&&&&2&次回应
所属数据库
最新鲜,最热辣的时事评论。无惧冲突辛辣,只忧平庸逐流。
您还能输入&300&字
时长:5分钟
时长:7分钟
时长:10分钟
“互联网+”时代,我们如何对信息进行保护?
您可以添加如下代码,然后复制粘贴到你要引用的网站下
伴随着O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”。
伴随着O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”。
北京大学国家发展研究院教授
使用第三方帐号登录
还没有思客帐号?
登录或创建一个账号
还没有思客帐号?
邮箱格式不正确
验证码不正确
扫码关注思客
使用第三方帐号登录
还没有思客帐号?
登录或创建一个账号
还没有思客帐号?
邮箱格式不正确
验证码不正确2017西湖论剑(中国网络安全创新分享大会)| E安全图文直播
我的图书馆
2017西湖论剑(中国网络安全创新分享大会)| E安全图文直播
&&18:32E安全·独家
2017西湖论剑(中国网络安全创新分享大会)圆满结束,E安全再次祝贺安恒信息十周岁生日快乐!
&&18:29E安全·独家
国际著名钢琴家 “千人计划”国家特聘专家吴牧野为大家现场表演了钢琴独奏《我的祖国》
&&18:10E安全·独家
安恒信息安全专家袁明坤发表主题演讲《“永恒之蓝”勒索病毒应急响应工作的经验与反思》
各位专家、各位领导,各位同行,很高兴在这儿有机会跟大家分享一下关于我们之前水深火热的这一周的故事。今天其实我也听了一天,这一下午基本上每一位专家都讲到关于勒索病毒的问题,我这儿不会占用太多时间,10分钟左右,主要跟大家汇报一下我们在这个事件过程当中安恒我们做了什么事情,以及我们通过数据的形式表述出来,到底这件事情我们中国在公安部、网信办、各个部委,全国总动员的情况下做的怎么样,用数据说话。最后是很想探讨的部分,面临这些,它基本上是必然出现的一种无解的攻击模式,我们应该怎么样去更积极的面对,去解决这些问题,这是我今天想带给大家的三个话题。
首先这张图是今天看到刘博介绍的Ailpha实验室,来自我们Ailpha实验室的一个,当病毒爆发的第一天的时候,我们分析的全球范围以内病毒蔓延的趋势。主持人说应急工作我做了很多年,我第一次感受到蠕虫像SaaS病毒一样感染一台计算机。这个蠕虫的来源重灾区中国,欧洲、日本、美国,这几个国家当然最关心的是我们的国家。这张图上可以看到我们东南沿海最早开始,当然计算机比较发达的地区。在中国的这些每一个省份里面,我们是当时接到信息的时候,我们没有发觉到原来这是一个全世界性的事件。当那天晚上接到不同的处置电话,我们全国的技术支撑的安恒人员和研究人员做支持的时候,忽然发现不太一样了。当天晚上,5月12号周五晚上,这是我们研究院绘制的一张图,是全国的一个分布范围。那么下面这个是我们从多地当天晚上触发应急响应任务以后差不多18点钟到第二天早上的6点我们迅速的发现这件事情不一般,是一个世界性的事件,我们紧急成立了公司级的应急响应的小组,我们到早上6点钟汇聚了全国去一线城市同事搜集到的病毒样本以及我们在现场最有效的处置手段是什么。然后第二天下午,我们和Ailpha实验室研究院几个部门通力合作,马上给出了一个全球威胁态势报告以及给我们全公司所有人用的应急指导手册,越来越多的厂商、客户、社会组织机构要求我们做应急,必须武装到每一个人,我们做了指导手册。而且在这个时候我们对安恒所有的权限产品,因为病毒样本拿到,当然有可能有一些变种,针对安恒的全线产品做了应对蠕虫。我们做了两个小工具,一个检测蠕虫是不是感染主机,是不是存在“永恒之蓝”漏洞,还做了加固工具,只是一天时间我们给出来的东西不足够,因为很多普通用户不大会用。在这个时候,大家看到右上角写的,基本上全公司每个人不停的接电话,单日接到电话数量将近一千次。为了应对这个问题所有人问怎么解决,今天也有专家提到情报传递出去怎么保证情报权威可靠。我们应急响应小组快速的在5月13号下午19点的时候出了一份,给公众用,也给我们公司所有员工用的一个勒索处置的信息都有的一个工具,我们的信息说实话,我们的信息来源也可能不是那么足够的,怎么解决这个问题,因为形势一直在不停的变化,我们在5月14号的凌晨5点开始把相关所有的这些蠕虫,国外的国内的所有的情报平台做了整理,情报汇总专门有人盯进展。这个时候我们发现一个问题,国内其实当时,这个时候有很多厂家开始说周一开机注意什么,马上打补丁,开完机第一件事情打补丁升级,我们也赶紧在友商的文章下面评论,包括联系上人,这样会误导公众的,第一时间拔掉网线,好多人就是开机打补丁,正在打补丁的时候,已经勒索软件的弹框出来了。当时把信息同步给业界,在14号18点开始做出来周一开机指南,这个开机指南昨天到乌镇的青年旅社的一个,我以前认识一个老板,昨天晚上请我喝了杯酒,他说包括青年旅社,包括所有的客人因为收到开机指南,有一个东北的一个银行的小职员因为被这个被领导好好夸了一通,其它部门感染,他们部门没事,因为他们没有开机。这个比拿多少一等功二等功好多了,这是我们帮助社会公众真实解决问题,那些报告和发布的工具,下载量这是有史以来最多的一次,差不多超过百万次的下载。然后我们的全线产品进行升级,专用工具,其实第一版的界面比这个丑陋的多,当然现在也觉得好看不到哪去,因为是临时性的能解决问题的工具,没有华而不实,只是实用。上面是我们一键进行检测网络里面有没有还有漏洞的机器,有没有被感染的机器。下面一键进行加固,再有一键检测是否加固成功,这是为公众输出的。同时我们从周六开始紧急备了一百台ABT高级预警设备发送到客户手里,有需要的客户。在后面的两到三天里面抓到了大量的勒索蠕虫的样本,并且及时的去推送给客户,通过其它的设备进行防护。这是我们在差不多72小时之内做的一些工作。
这些工作的结果怎么样?这张图,我相信大家是看不出来区别的,可能字比较小,一个5月14号我们通过一些采样分析出来的中国的感染的趋势,右边是16号我们采样的一个数据,可能大家看不出来结果,看不出来就对了,因为这两天中国的形势没有恶化。蠕虫大家知道传播会成倍的递增的,呈指数倍的递增,说明我们控制的还不错。真的是不错吗?没有对比你是不知道结果的。这是美国的,其实可能看的也不是那么清楚,但是如果详细看能看到美国的14号的图和16号的图相比,16号的密度明显大了很多。再直观一点看。这个图,明确的能告诉你一个结果,我觉得这是我们政府,公安机关,各个机关和我们一线的安全厂商,包括我们社会大众我们共同努力的结果,可以看得到中国和英国两个国家,它的数量是基本上持平或者甚至有点下降的,但是美国和日本那一天增长值是非常高的。
我之所以要求我们很多同事加班加点收这张图,是因为当时朋友圈疯传一个文章,说中国的政府、安全厂商只会说拔网线,只会吹嘘,有什么作用?但是这是实实在在的东西,这是可以通过数据对比出来的,这是所有人努力出来的,必须通过数据证明下来。
下面是一个,我们一直从12到15号大概都做了采样,简单摘了几天的数据。可以看到全国每一个省的数字开始慢慢慢慢可能是一个或者两个的数字,但是已经开始持续的,到今天为止已经慢慢的都在下降了,说明这个蠕虫已经取得了局部的控制。当然江湖上还有各种传言有2.0、3.0的东西,当然我们需要晶体,但是整体趋势是在可控的范围以内慢慢在解决问题的。但是这个问题解决了,新的问题又来了,Shadow,影子经济人爆出来的信息让全世界每一个国家的网络安全人员和监管机构都心里面都放了那块大石头落不下去,虽然蠕虫的事件结束了。未来会曝出来多少漏洞,国外的机构还握有多少东西,这是这一个星期我一直思索的问题。前一段时间我们大概有初步的答案,我们该怎么解决这些问题?其实我是整了一张很大的脑图,那天也是跟几个同事在聊的时候,也接到任务说如何应对这件事情,有一天忽然想到一个结果,画了脑图,但是在PPT画脑图是很傻的,因为时间有限,尽可能的简单的几个字描述一下重点,如果有兴趣可以下来继续沟通。网络战,这是未来必然要经历的一个局面,必须面对的,我们面对的对手级别越来越高,而且能力在目前的现状上来看,他们是高维度压制我们的。在我们目前的现状,我们该怎么去解决?所以我写了战网领域,看小说的人知道领域,在我的领域里面我的优势可以被放大的,我的敌人进来它的优势会被压制的。我希望建立一个这种网络战的领域出来,来主动的应对我们未来将要面临的网络战,这需要两个东西,当初总结了很多,最后范总总结了一句话就是知己知彼。什么叫知己?就是以现有的资产,态势感知工具、漏洞检查工具,我们必须把这些事情做扎实,已知的问题解决掉,知道自己的脆弱点。知彼我们做的怎么样呢?现在行业界都在谈情报,但是只是威胁情报不是那么足够的,它必须要和,刚才说我们做应急做了几百场,每次到一线越来越觉得到一线做应急是对个人很有挑战很有趣的事情,但是对于满足客户的需求来说是完全不够,就算个人能力再强,没有威胁情报的支持,后台大数据的支持你是对抗不过攻击者的,因为他们有的能力、数据,然后各式各样的平台资源,比你一个人单兵拿着一个电脑到客户那应急要强太多了。那么我们如何能为一线去应急处置的人去进行火力支持,海陆空军的支持,这是我们需要考虑的。首先我们知彼,除了威胁情报还应该做的是建立一些主动的防御系统。我有一个理念,就像我们现在,我们一百年前我们大清王朝被人入侵的时候,我们确实是国力弱的,我们当然现在很强大了,有比我们强大的对手,当我们交战的时候,我们处在劣势,在劣势的时候可以接受,只要不败就可以。但是处在劣势能快速的知道他们的打发,在我们遭受损失的同时最小化损失最快反击,这是我们要做的,所以要建立各式各样的主动的防御体系,来捕捉各式各样未来未知的威胁。我们Ailpha大数据中心是这样,后面会成立各式各样的应急响应中心解决这个事情。
今天我的内容不是产品发布,我的内容是跟大家分享一下我们如何做的。我们的右下角是今天刘博提到的AI,如何把现有的战术行动级别的系统内部的,我们已有的这些能自我感知的系统,能感知威胁的,人工智能的分析起来,把最有价值的东西提炼出来。战术层面外部的情报,各式各样的这些预警信息,把这些怎么能结合起来。当然还要有我们主动防御的信号,诱捕到各式各样的危险,通过大数据分析出来未知的威胁,快速丢到一线的处置人员手里面,让他快的解决。而且我相信,这提到另外一个概念,我一直觉得目前应急响应的能力、处置的机制是不够的,因为我们这么多年了,从我十年前开始讲应急响应的课到现在基本上还是那些东西,新的东西非常少,是不足以完全支撑这些东西的。所以我们现在也开始和监管机构打算发布一些应急响应的国内的专业的应急响应体系的课程以及认证。那么包括现在在做的左下角能看到的是我们全国的技术人员做应急处置的状态,我们会把每一个在一线处置工作的人的碰到的问题,碰到的蠕虫样本,它的处置方式以及修复的确认的结果,会是怎么样一个状态全部同步下来,会有应急响应的一个知识库,然后让我们越来越多的人不是一个人单凭自己的经验,你做一百次应急很厉害,我们是有这么一个知识库让更多人快速的正确的,最有价值的去现场做应急工作,能最大化的利用威胁情报的价值,利用后台大数据的价值去把应急响应工作做到极致,从而响应未来我们面临的更多的,更复杂的这些未知的攻击,这是我们的一些思路。
我介绍就介绍到这儿,谢谢大家。
&&17:48E安全·独家
梆梆安全总裁阚志刚发表主题演讲《构建物联网-安全共同体》
尊敬的各位领导,各位朋友,大家下午好!首先感谢安恒信息和范渊先生能给我们公司这样的机会。同时也祝贺安恒信息十周年生日快乐。
我今天给大家汇报的题目是:构建物联网安全共同体。因为在座的各位刚才也看到,安恒的小伙伴演示了很多有意思的物联网相关的一些实验,你比如说怎么开锁,怎么远程控制汽车等等。那么刚好我趁这个机会也简单讲一下,在物联网安全的领域里面,这些问题是如何产生的,它的本质的原因是什么,我们怎么去预防,在这方面我们公司有一些粗浅的研究,也请大家能够去指正。
首先我是先跟大家一起,我们回顾一下我们人类从50年之内从两个方面,一个是计算能力,另外一个从连接数量上来看一下我们在计算能力这方面有什么样的提高,在设备的连接数量层面上有怎么样的一个飞跃的发展。
那么我们看一下说我们最早的基于通用计算机是1946年诞生的,当时每秒能进行仅仅300次的浮点计算,这个数量对现在的人类来讲是九牛一毛。
我们看一下说我们世界上最大的分布式系统AlphaGo,现在每秒进行340万亿次的浮点计算,这样的进步真的是我们是很难很难去想像出来的。
那么另外我们在看另外一个关于连接,我们实际上最早的互联网的雏形是1969年正式启用的ARPAnet,当时仅仅连接了四台计算机。
我们现在再看一下说现在连接全世界的已经有几十亿个设备,有全球数以万计的网络构成,未来的30年世界上将有千亿甚至万亿台的设备会连接到网络当中去,由此判断我们人类在过去的一个世纪,半个世纪之内我们的计算能力,我们的连接的数量已经发生了翻天覆地的变化,这个时候我们可以有两句话来去形容一下:计算能力就代表未来的权利,连接就意味着智慧。这个论点不仅仅是我,实际上很多的专家学者都提出来说算力即权利,连接既智慧。
第二点讲一下说我们其实,范总讲未来已经如洪水一样到来,我这边也非常赞成范总的提法,我想也是未来已来。
我们在汽车,我们想像汽车的时候很难想像在三五年之内,我们就能够在汽车上去睡觉了,在汽车上去娱乐,在汽车上去办公,那么我们自动驾驶之路已经走在了第三个阶段,我们人类马上完成第四个阶段,完全自动驾驶,这个梦想肯定是能够去实现的。
在我们的生活里面,我们已经居住智能家庭里面,包括我们的智能门锁,我们的电视、冰箱、洗衣机,再综合利用物联网、大数据、云、自动控制技术的综合运用的情况下能够把我们带入到智慧家庭这样的一个生活环境当中。
那么另外我们也是刚才很多专家提到我们正在向智慧城市去过渡。
在这种情况下,正在实现的万物互联,其实也随着万物互联安全也会随着万物互联而广泛的传播和渗透。
这是我讲的第二部分,我们在未来已来,在我们自动驾驶,在智慧城市,智慧家庭等等,那么都是在智能的情况下,我们面临的安全挑战到底是什么?产生这些安全问题的本质是什么?我们怎么去解决,我们在座各位怎么样共同去应对。
这个地方简单讲一下说,有智能即有风险,现在流行一句话,就是说是:任何事物都是可以被编程的,编程意味着有智能,智能意味着有风险。我跟大家讲一下,刚才演示了车联网,我们公司已经跟将近20多家汽车企业在进行合作,在去研究TBOX的安全,将是将来车联网最中枢的神经,连接着驾驶系统和娱乐系统。我们非常清楚的认识到,我们找了很多TBOX的漏洞,但是漏洞永远找不完的,那么这个时候,我们在想,是我们程序员太笨还是怎么样,为什么会产生这么多的漏洞?我们能不能想到一种科学的方法或者理论,能够让我们的漏洞尽量的减少,或者通过形式化的方法,数学的方法能够证明我们的编程,我们的程序是完全正确的。我想这是可能得到的,那么经过我们专家团队,我们研究院,从去年开始研究了两个主要的方向,一个就是微内核的操作系统,微内核的操作系统能不能达到形式化验证完全正确?理论上是可以的。比如去年澳大利亚的一所大学发布了叫SIL,基于微内核的操作系统,形式化的证明操作系统没有漏洞的,美国军方也用这套操作系统用在它的无人机,它的无人驾驶汽车上。第二个方向就是在研究函数式的编程语言,现在的编程语言都是基于一种逻辑,函数式的编程逻辑能够用数学模型证明是正确的,我想只有这样,因为物联网安全形势发生变化,用传统的方式,补漏洞的方式,不能够满足物联网安全的需要,这时候需要从另外的层面来去做能不能让我们的程序,变得理论上证明是没有漏洞的。
另外有网络即有攻击,这个地方也是很有意思,今年麻《省理工科技评论》在2017年全球十大突破性技术榜单中,第一次把物联僵尸网络列在之内,这也是有史以来,把一种攻击的技术、破坏的技术列入榜单当中,其实我查了十几年的,十年之前的这样一些突破性技术,几乎都是为人类造福的技术,只有这个技术是真的是要进攻我们人类物联网的这样一些技术,叫物联僵尸网络。
基于这两点有智能即有风险,有网络即有攻击,这两个前提之下,安全的挑战是什么?我想有四点:
第一点就是成本的问题。我们跟家电厂商谈的时候,他们认为说一个家电能够,你比如我们在做基于芯片的防火墙,基于芯片的IPS、IDS的概念,他们说芯片你只有能够降到两块钱之下才能够用,意味着一个白家电卖一百多块钱,只允许增加两年的成本,但是每年的出货量三亿台,安全就会吃掉6亿利润,我作为老板也是对安全比较忌惮的。这个时候作为安全人员能不能找到更便宜的方式做,在互联网领域做安全不考虑任何代价的,不考虑内存等等,但是物联网的时候你必须考虑这一些。那么我们的MCU能力是逐步升高的,有可能内存只有几十K,几十K怎么跑你的安全程序?这些问题都应该值得我们去深思。
第二安全生态复杂。物联网的生态远远要复杂于我们现在的互联网的生态,从操作系统来讲就不下十多种。这种情况下,我们怎么样面对这些挑战,它的成本的问题,生态环境的问题,技术创新的问题,应对策略不足的问题。
另外安全的标准上,目前我们缺乏统一的标准,这是任何一个技术都会出现这样的情况,标准往往滞后的,但是我希望在物联网到来的时候能够把安全想的更加靠前一点,因为物联网的安全有一个特点,比如你买一个电视,它的安全是应该在出厂之前就应该放在电视里面的,而不是说我买个电视,再由一个安全厂商安一个杀毒软件,可能太晚了。这种情况下我们的标准是不是要提前做出来。另外如果一台设备发生了感染,其它的设备有可能都会遭受相同的攻击,这时候我们就跟我们的用户提出来说你比如说做汽车的,能不能一车一密,一车一套指令,让我们的每一个设备变得都不一样。那么这个地方也促使我们不断的深思说我们的物联网的时候,我们这些挑战,我们这些标准,怎么样能够很好的通过我们计算机聪明的人的这种实践,能够把物联网的安全能够做的更好。
最后一点我讲一下,因为我们在做物联网安全的时候,真的是感觉到很无能为力,因为从人才上,我们公司大部分人学计算机科学的,我们更需要很多学WE专业的人加入我们里面来。我们希望再次呼吁,我们能不能建造,构建物联网安全共同体。
其实正如习大大所说网络安全是全球性挑战,没有哪个国家能够置身事外,独善其身。 物联网安全的保障也需要各方面的力量共同参与,客户的角度,产品的角度,政策的角度,环境的角度还有智库的角度,从五个层面给物联网的安全建造一个共同体,我们在共同体里面共同去研究,共同去发展。我相信物联网安全的市场是非常巨大的,出来十几个上市公司没有问题的,没有必要为了一块蛋糕争的头破血流,还是希望合起手来,能够探究安全的本质,能够找到问题的所在。所以说我们梆梆安全也是在今年年初发布了2016年物联网安全白皮书,希望这个白皮书能够起到抛砖引玉的作用,能够把我们所有的去年研发的经验和场景,贡献、共享给我们的从业者,能够从互联网安全保护体系、微边界、源代码安全、微内核、函数编程语言,各个方面对物联网的安全有一个本质性的探讨。
其实我们还是应该怀着融合、开放、共享、共治的策略能够把安全检测、安全保护、实时响应、威胁情报,像我们在其它的网络安全里面所用到的这些概念,这些理论,这些思想,能够经过选择的去用到物联网安全当中去。
最后一点讲一下说,其实在万物互联的时候,安全是一个很重要的一个点,也是前两天,软银的总裁孙正义写了一篇文章,当中提到物联网的世界等于安全加连接,这个也是他收购RM公司主要的原因,他预测在未来的三四年,超级智能就会出现。将来会有万亿的基于RM结构的芯片会出来,那个时候的人类,那个时候超级智能的智商会是一万,EQ情商等于零,这种情况下是不是已经学会了,或者迎接跟这些超级聪明而情商几乎没有,几乎没有不是真正没有,也就是跟我们人类没有共同沟通的渠道。像我们现在跟我们的宠物沟通一样。那个时候是不是更加需要安全的保障,所以说我们公司在未来的两年去研究物联网的安全,也去研究人工智能的安全。人工智能的安全我们称作认知安全,怎么从认知的角度确保人工智能的安全。谢谢大家。
&&17:35E安全·独家
中国信息安全测评中心总工程师/研究员 王军 发表主题演讲《网络安全审查——保障我国网络安全的又一道防线》
大家下午好!今天我想给大家谈一个保障我国网络安全的又一道防线,就是网络安全审查。
会讲这么几个方面的内容,我们先来看,这个是我们这两天在谈的最热门的话题,“永恒之蓝”勒索病毒。病毒的本身在网络上可以看到很多的评论,那么我想谈谈我自己的看法。在这样的一个病毒爆发过程当中,实际上,实际上我们在后来的一些分析当中可以看到有这么一些评论。有这么几个分析出来的一个看法,不一定对,说出来给大家分享,说的不对算我个人的。一个是到目前为止,这样一个病毒应该来讲它是针对的范围是全球的而并不是只针对中国或者针对一带一路高峰论坛的,这是一个。第二个从目前的分析来看,那么包括国际上的一些网络安全的公司和我们国内的公司,一些分析,曾经把这个始作俑者或者把作者指向某个国家,但是仅看目前的分析报告,应该来讲,分析报告本身可能有一定的道理,但是仅仅,如果说就拿目前的分析报告来做所谓的指证可能还是不够的。再希望我们引起警惕的,这样的病毒所利用的漏洞和漏洞利用的工具是由影子掮客组织发布的,最近他们说还要继续的发布,我们可能还需要做未雨绸缪的工作。再一个国际社会是不是还是要有一些合作,把始作俑者抓出来,这样对整个,不光咱们国家,对正常社会秩序的破坏应该来讲是一种犯罪的行为,应该要得到世界各国的合作,按照相应的法律来制裁。再一个实际上我们对这一次病毒,勒索病毒发作发现的很多问题,如果我们做好相应的基础性的工作是可以做的,这个里面包括两个方面的工作是可以做的:一方面加大国产操作系统和终端服务器,自己的国产的推广的力度。还有不得不用Widows平台,可以考虑升级到Win10,特别政府定制版的可以考虑这种问题的,这是我个人的一个建议。我觉得包括及时打补丁,也是要做的。再有就是说我们应该要通过举一反三,结合网络安全保护的实施来确实提高我们相应的网络安全的防控能力。这是我想对这个病毒谈点看法。
再一个事情,我觉得我们可以要关注的,再一个控制我们要引起关注的是说实际上刚才也有,前面也有专家发言谈到,就是Vault7,美国中情局这种网络空间情报搜集工具的披露。到昨天已经是披露了总共十波,那么总共大概有8800多份文件被披露。这个里面除了我们刚才前面专家所谈到的我们的一些智能设备被变成窃秘的工具之外,包括对往常的隔离的突破。包括关键基础设施,特别关键设备上植入了后门,这的一些能力。另外也包括这个里面甚至他们对他们所用的入侵工具的这种国别的掩饰,包括里面加入了中文环境,让追踪者认为这是源于中国的,实际上是美国中情局的工具,这也是一个最近应该来讲引起咱们格外关注的。
从这些情况来看,应该来讲,就是我们从事网络安全工作面临的压力还是非常大的。那么网络安全审查是提高我们网络安全防护能力的又一道防线。实际上这样的一个工作在国家整体的国家安全工作当中是有起相应的地位的,而且从我们各种相应的国家的工作计划当中,也都有所体现的。我想给大家做一些声明,一个总体国家安全观,12个领域,现在说信息安全,现在统称为网络安全,网络安全一个重要的方面是建立我们国家自主的网络安全审查制度,这是一个方面。再一个我们国家的国家安全法,国家安全法第59条对进行国家安全审查有相应的几个方面的规定,这个里面除了所说的比如说对外商投资,特定路项,特别点出要对网络信息产品和服务影响国家安全的情况下要进行国家安全审查。国家安全法也有相应的规定。
网络安全法里面这也是一项重要的内容。网络安全法第35条专门提到关键信息基础设施的运营者采购网络安全产品和服务可能影响国家安全的应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
网络安全法的第65条规定了对不遵守刚才35条的情况,它的处罚措施,它是这样说的:关键信息基础设施的运营者违反本法35条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其它责任人处一万以上十万以下的罚款。这里面处罚的规则没有上限,是根据采购金额的十倍定义的,这也是采纳了在《网络安全法》一开始修改过程当中很多专家学者的建议。因为原来规定的一些绝对值的处罚还是觉得这个可能促进不到真正的需要处罚的。
《网络安全法》里面有很多亮点,刚才很多专家谈到,包括我们的数据在境内的情况,对关键基础设施的保护,同时网络安全审查也是《网络安全法》的亮点之一。大家还要注意,前几天结束的对《密码法》的征求意见,专门有一条,对密码应用的分类分级评估进行安全审查,这个意味着对于密码所用的分类分级评估的工作是要纳入到安全审查的内容当中,相应的安全审查工作必须要做,这是在另一个法律里面进行了相应的规定。
同时国家的十三五,国家网络安全规划也提到要对网络安全审查能力进行全面的提升。在国家的网络安全战略里面,在其中的保护关键信息基础设施的这一个九大战略任务之一专门提到网络安全审查。同时它还提到要建立咱们国家的三项三个制度:关键信息基础设施的保护制度、大数据安全管理制度、网络安全的审查制度,在战略里面提到三个国家层面的制度,建立网络安全审查,这是这个制度当中的一个。
在我们国家大的发展的十三五规划里面,对网络安全方面也提了相应的工作要求。在所涉及到的从安全意识到国际合作等等这些各方面的表述当中,其中也专门有一条提到要完善网络安全审查制度。
国家信息化发展战略,这是去年7月份发布的,其中专门在关键信息基础设施保护的章节中专门提到网络安全审查,同时还提到网站的安全、信息共享、等级保护等等内容。
我们说从咱们国家成立网络安全和信息化领导小组以来,那么相应的在工作方针的制定当中,其中提到要维护网络安全的三个坚定不移:一个维护网络的主权,第二个维护国家利益,出台网络安全审查制度是落实维护国家利益的一个重要的一个举措。我们现在大家能够看到的依据网络安全法所进行的配套的这种法律法规的这种工作,其中网信办公布的是网络产品和服务安全审查办法。那么这个审查办法呢,我这里给大家,片子上大家看到的是我们跟征求意见稿,之后的发布稿和征求意见稿的修改之处,我用了这样的修订的方式给大家显示出来,大家可以通过这个比对琢磨一下就是在公布的一个草案,一直到征求了很多意见之后,主管部门对大家所提的意见的吸收的情况以及一些政策在一些细微之处的考虑。这个我给大家做一些归纳。这是办法的正式的文本,不是修订模式的。我做一些归纳,这个归纳有这么几点要注意的:一个目前的审查办法,它提到,相应工作依据是什么?是两个法律,一个是《国家安全法》,一个《网络安全法》,它不是简单的上下位法的关系,两个法律当中对相应的国家安全审查的工作都做了相应的表述。那么审查的核心,是要保证网络产品和服务的安全可控,这是建立审查制度要做的核心。审查的焦点在目前的审查办法里面提到这么几项,这里面包括可能影响国家安全的因素,包括安全风险,包括安全可信的状况,包括安全性、可控性、安全机制、技术透明性,审查的焦点会聚焦在这些方面。审查结果的影响环节会在这么几个方面:一个政府采购,或者是关键基础设施的运营者所进行的采购行为上,再一个审查的结果将以一定的方式向社会公布或者一定范围内进行通报,这是会有社会影响的。再一个法律的尊属,这是《网络安全法》的规定的,不这样做会有法律处罚的结果。这是它的影响环节。
审查的方式在审查办法里面提到有这样几种方式:一个是要要求企业要做出相应的承诺。再一个要让社会可以监督。还有专业机构要进行第三方的评价,同时政府要持续性的监管。这是审查的落地的方式。审查的方式在审查办法提到这么几种:实验室的检测,现场的检查,在线监测,还有背景调查。大家可以通过这样的一些方法可以去体会,它和目前已经实施的这样一些已有的网络安全措施,包括测评认证等等相应的工作的相同点和不同点。审查的内容在审查正文提到有五个方面,不重复了。审查的机构,审查办法说到除了审查对象之外谈到这么几个机构:一个成立一个审查的委员会,这个委员会制定审查工作的这种大的方针的政策,解决大的问题,最后给出这个审查的结论。同时有具体实施的部门是网络安全审查的办公室。它还会有一个专家委员会,专家委员会有可能是一个跨领域的,不仅仅是网络安全领域的,它对其它领域可能影响到国家安全的因素,在专家委员会里面的专家会做出相应的评判。当然再有就是第三方的评价机构,它是作为第三方,作为专业性、技术性评判的主要的机构。审查的对象,除了我们前面所提到的网络安全的产品和服务之外,还有供应链,这个供应链包括对于上诉所说的被审查的产品和服务的提供者也包括在供应链当中。审查的触发条件,在审查办法里面提了有这么,实际上三个方面,如果说再加上一个还要有一个规定程序我们也可以理解为四个方面:一个国家有关的要求,像刚才说的《米密码法》的要求以及其它方面的要求,这是一个。再一个全国性行业协会的建议。第三个用户的反应,这里面包括我们同行,包括我们的用户,包括甚至是每一个网民,都有可能由于你的提议而触法网络安全的审查这样一项工作。触发的工作,同时它要有一个规定的程序,这样程序的规定反过来制约,比如同行利用这样的审查做不正当的竞争等等,要避免这样的情况。审查结果的处理,我刚才已经说了,同时审查办法里面还提到了对于行业和领域的安全审查的工作。审查里面特别提到要按照相关的规定,参照相应的标准,大家注意这是参照相应的标准。因为审查工作当中会碰到很多新的问题,有可能是标准还没有来得及覆盖,或者说可能是覆盖不全的,覆盖不到的,它不能够简单的按照标准,而是要参照相应的标准。审查的原则提到要客观、公正、公平。同时对从事审查相关的人员和机构也提了要保护在审查当中涉及的商业秘密和知识产权,反过来也是对审查从业者的约束,也是具有法律性质的。同时在修改的以后的审查办法里面,专门增加了一条,这一条是一个投诉的渠道,如果你在过程当中,有这个觉得有不公平的地方,包括有不满意的地方,你是可以走这个投诉渠道的。
我们前面讲了整个一个网络安全审查关键核心的问题是要解决安全可控的问题,我们如何对安全可控进行理解,我想谈两个方面:一个我想引用一下网信办有关领导在安全审查办法公布之后答记者问提到的三点,这三点的核心是说:不要损害用户对自己信息的自主权、支配权和控制权,不要利用某种的垄断这样的优势形成搞不政党的竞争和谋取不正当的利益,这是网信办领导对安全可控的一个解读。同时我想谈自己的看法,我们在大前年也是西湖论剑的会上我曾经谈到,对于安全可控或者自主可控的理解,我们在产品和系统这个层面我们要考虑这么几个方面,我们如果要是说你能够对一个产品,不管它是国内的还是国外的,如果说你能够对它的技术进行了充分彻底的消化,你能够对它的安全性做出客观独立的评价,能够自己独立的编译生成这样的系统,发现相关的漏洞和软件后门,自己打补丁升级,能够基于它独立的开发应用,是不是可以基本上认为这个已经是在可控的状态了。如果对一个行业或者一个系统,我们可以从另一个角度看,包括它的体系,包括它的可监控性、管理性、审计性、替代性这些方面。总的来讲对自主可控的把握按照总书记所说的,我们不能够不排斥先进,不要把自己封闭于世界之外,要在立足开放的环境当中搞网络安全。我觉得我们要这样的环境下从事相关工作。我想给大家报告的就这些,谢谢大家。
&&17:10E安全·独家
安恒信息高级副总裁、安全研究院院长吴卓群现场演示破解智能锁、平衡车、汽车
各位专家、各位领导、各位嘉宾,大家好!下面由我和大家分享我们下面的一个议题。我的议题是什么?可能跟前面的不太一样,我这边叫:锁不住的安全。为什么这么说?因为接下来你们会看到很多比较好玩的一些东西。比如说我们怎么样可以把一些我们认为比较安全的一些锁啊这些东西给破解掉。下面的话,我们就往下看。
我这边是安全研究院,现在的话,我们部门,我们这边,会由两个,两个方向,两个实验室在这边。一个叫海特实验室,海特实验室主要做一些智能家居,然后智慧城市,然后公共安全这些,主要也都是安全方面的,包括智慧医疗的安全。海特实验室的负责人在这边,王欣,可以给大家打个招呼,他是海特实验室的负责人,也在这方面,工控,智能设备有一些很深的造诣。还有个实验室叫做卫兵实验室,LOGO WB,主要做一些漏洞挖掘,做漏洞分析,包括一些工具的一些开发,做这些工作。我们这一块的负责人就是站在右边的郑国祥,可以给大家打招呼,包括等下有一些演示也是他们两个配合来完成。
先来看一下我们卫兵实验室在做的东西。第一个主要卫兵实验室主要做漏洞挖掘,我们在去年的时候,我们挖掘的漏洞包括了超过了300多个,321个可以看到,然后有大量的CVE,这边看到一箩,有很多,反正就是有很多,告诉大家有很多。
在卫兵实验室这一块我们也会做很多漏洞挖掘的工作,像会做一些框架性的一些漏洞挖掘,研究各种开源的一些框架,找他们的一些安全漏洞。然后会为各种互联网公司挖掘各种安全漏洞,包括之前的像京东、腾讯、阿里这些,都会给他们做一些漏洞挖掘,给他们报一些安全漏洞。这边还有一些像,我们看到几个CVE,这几个漏洞非常严重,之前暴出来,影响非常严重的。特别是S2—029和045,特别是045,影响范围非常大,没有任何前置的利用条件。我们也可以看到之前我们发现这个漏洞以后,对全球的网站进行一个测试,其实可以看到,整个地球上这是个全球地图,可以看到像中国、美国这一块,因为网站用户非常多,并且只要是这个框架用的非常多。所以这个里面可以看到非常红,就越红表示它的漏洞越多,我们利用我们的一个回声搜索引擎,可以去检测这些东西,然后很快的找到整一个网络里面受影响的这种设备和服务器。那在5月5号又做了一轮检测,发现这个漏洞已经被修复很多,颜色淡了非常多,但实际上还是有很多影响到的,很多暴露在互联网上并且可以被利用的也有好多。因为大家比较关心中国的这块,中国这块我们细分到每个省,其实我们可以看到很明显,像北京、杭州,就浙江这一块,上海这些,互联网发展比较好比较发达的区域,它的对外暴露的站点也挺多的,所以颜色会深一些。一段时间修复以后,5月5号以后看到颜色淡了很多,总的来说也在不断的修复,但实际上互联网上暴露还是有非常多这样的安全漏洞。
接下来我们一个比较重要的一个重头戏,就是我们要去现场去攻防一些我们觉得挺好玩的一些智能设备,包括汽车,包括其它的东西。我们会有三块:第一个就是门锁,那大家会不会觉得门锁是很安全的,可以看到它的一些安全问题。第一个我们可以看到,这边有一个门锁,是智能门锁,也是现在下一代的门锁,它有非常多功能,蓝牙解锁,有指纹解锁,有无线的解锁,有很多。但这个是不是足够安全,其实我们可以看一下。现在我同事,他是门的主人,正常的他有钥匙,可以把门打开。正常的可以把门打开。然后再把门关上,这时候打不开了,因为关上了。正常我们出门会把这个钥匙放到口袋里面,然后我们的攻击者,攻击者走过来了。他利用一个非常小的设备,其实可以把那个钥匙的数据复制下来,非常简单,这些设备非常简单,我们原来配钥匙要花很长时间,到锁匠那边配,这个时候很方便,拿了一张白卡刷不卡的。然后我们把刚才复制的数字信号在卡上复制一下,然后再尝试一下,看能不能成功。这时候就打开了。也就是说我们在很简单的一个过程中,我们只需要花一秒钟时间,甚至一秒钟不到可以把另外一个人这种类型的钥匙复制下来,并且很快的可以变成另外一个钥匙,然后打开。所以它的安全性我们在,就包括可能厂商这些要设计这些东西的过程中,是需要考虑它的安全性的。
第二个再看另外一个门锁,可以看到在屏幕上面,有一个号称是小偷没有办法打开的一个门锁,为什么?因为它根本没有视外的锁孔,所以小偷下不了手。这个时候看是不是到底能够被打开,这是通常通过钥匙能关上打开的,这是正常的。我们把钥匙放在锁上面,然后我们再看能不能够打开。我们的攻击者,准备好了,会发送特定的攻击信号,很简单,门锁又被打开了。整个过程也是非常简单的一个过程,但实际上如果真的用这样的锁,可能会产生比较严重的后果,直接就能够把家里的门打开。当然我相信这种门锁,一般家里面不会装这种,但是有些地方也是会有。
平衡车是非常好玩的东西,也是有一部分人使用的短距离代步工具,但是它是不是安全,我们想像的那么好用呢?不一定。我们看到我们王欣这边很酷炫的骑了上来,这时候这辆车就是王欣的,我们海特实验室的负责人。他可以用手机控制这个平衡车,也可以锁定,可以去正常的锁定和解锁。然后郑国祥开始要准备发送攻击的数据。现在可以看到这辆平衡车已经很难被拖动了,已经被锁住了。王欣可以看一下,这个时候他要去解锁,解锁这个设备就输入刚才的密码,其实已经输不了了,密码被改了,这是它存在的安全性,能够把这些密码直接通过一些手段改掉,而且非授权的情况。这时候这辆车已经不是王欣的了,不是这辆车主人,而攻击者可以控制它,可以去随意的进行控制。我们可以看到,这时候可以在,可以看到平衡车已经开始动了,攻击者可以远程操控,让它随意的变动。
我们看第三个,我们的汽车。很多人有汽车,人手一辆,甚至有些家庭好几辆汽车。我们看看汽车有没有一些安全风险。这是之前我们做的一个视频。我们选了四种品牌,四种不同类型的品牌和四个不同类型的,有SUV,有普通的小轿车,我们可以看一下。(汽车安全破解?)。
刚才讲了这么多就说明现在的物联网,包括车联网,包括汽车,包括这种智能家居这些,门锁越来越先进,有越来越多的功能,但是安全性在发展过程中必然出现很多新的问题,这时候我们必须关注。安恒我这边包括研究院,刚才两个实验室,其实在做的就是这方面的研究,新的一些方向,新的一些测试的一些手段,新的智能设备的东西我们都在做一些相应的测试来保证这块的安全。
有请的两个助手,两位负责人上来。我们的演示就到这边,谢谢大家。
&&16:40E安全·独家
情报之巅——安全数据大脑发布访谈录
茅莹:浙江经视主持人
袁慧萍:中国人民银行金融信息中心信息安全部主任
蔡林:浙江省公安厅网安总队总工程师
李雨航:CSA云安全联盟大中华区主席
杨勃:安恒信息副总裁
刘博:安恒信息首席科学家
主持人:网络就是一场没有硝烟的战争,接下来通过一个短片让在座的各位切实感受一下这场战争的场面。
今天现场那么多朋友,我想大概只有我一个人属于彻底的外行。所以我刚才在看到短片的时候只能用两个字形容:震撼。原来每天赖以生存的互联网看似平静,但是其实如此高频率的爆发攻防的战争。网络战争和传统战争类比,不知道准不准确,网络战争没有硝烟的,但是情报都至关重要,无论从中国古长城的狼烟,到二战的电波,到今天网络空间的各种大数据,情报往往决定了一场战役的成败。接下来邀请五位嘉宾,就威胁情报与网络空间安全这个话题做一个深入的面对面的聊天。
欢迎:袁慧萍、李雨航、蔡林、刘博、杨勃。
欢迎五位嘉宾来到我们台上。
第一个问题问一下蔡总,可能在您的职业生涯当中,刚刚过去那场G20,应该是最能够确确实实的体会到情报的至关重要性的吧?
蔡林:是的,大家可以看到,去年的G20峰会,我们和谐圆满的展示给世界。但是这中间的网络空间的信息对抗是一天也没有停止过。包括我们的关键基础设施,我们的城市运转系统,包括阿里云平台都遭受了前所未有的攻击,像阿里云平台它的最高峰值达到了425个G。而我们的官网,遭受的攻击是以千万次为计的。这当中如果我们没有威胁情报的来源,没有及时预警和处置,这当中的话我们网络安全保卫工作是不可能顺利的完成。
主持人:我问一个特别外行的问题,425G是什么概念?
蔡林:我讲一个比较,就以广电集团为例,广电集团的网站的话,如果加了,包括安全防护措施,加了完善的措施和流量清洗这个网站基本上所能撑到的流量攻击最多一个G,而425G在史上来讲,在中国也算是顶级的攻击了,而阿里云当时它能够承受的攻击,我们知道阿里云的分析能力非常强,它的数据处理能力也是非常强,但是所能撑到的流量攻击大概450G,基本上差不多。
主持人:到极限了已经。
蔡林:基本上极限。
主持人:当时的压力之重,情报发挥很重要的作用。
蔡林:是的。
主持人:情报在平常是每天发挥作用吧?
蔡林:是的,威胁情报包括预警提示,包括电视台对于电信诈骗的一些提醒,都是威胁情报的提醒。
主持人:因为我是电视台的员工您老拿电视台说事吗?
蔡林:比较形象。
主持人:情报应该说在重大活动当中,还是在老百姓的日常生活当中都是至关重要的,因为重要所以很多人现在引起了极大的重视。在座有一位嘉宾,李主席,他是云联盟的大中华区的主席,有人称呼您叫云的联合国,非常形象。所以我想请问一下现在当前威胁情报的情况以及最难的难点?
李雨航:2015年在中国曾经被认为是威胁情报的元年,但是从历史上看,威胁情报实际上是有悠久的历史了。美国政府,大家也知道,在911之后对威胁情报非常的重视,实际上911可以算作一个起源。后来这个威胁情报的前身是叫做信息共享,因为是从911到2015年这一阶段,我都是在美国,当时我跟首席网络沙皇,我跟它做过多次的交流,感觉到我们需要来做这个叫做信息共享,我们就是通过斯密特给美国总统建议,美国总统后来发了叫总统行政令来做这方面工作。当时在美国,我们有过一些优秀实践,比如在州这一级,有剧变情报中心,很多州一级的中心搜集大量的威胁情报,经过处理再发到上一级。在整个信息共享的过程中,我们遭到了很多的挑战,所以在,有很多国际组织在这方面做了大量的工作。2012年是一个转折点,当时是美国的国土安全部它推出了三大标准,有一个叫做STIS,这是一个对威胁情报做了一个完整的定义,它定义了威胁情报的八个要素,另外还通过SML语言来对威胁的细节还有威胁情报的能够都做了比较详细的定义。基于STIS在威胁情报的传输方面,美国政府,叫国土安全部也推出了标准叫TAXII,这个标准它对这些情报的传输,还有它的这些服务以及信息的格式都做了比较规范的标准。之后还有叫SOS标准,通过一系列标准使威胁情报技术工作能够规范化,使我们当时遭到的很多挑战,比如信息的搜集,信息的关联,处理、分享,各种,大家信息来源非常广,很杂乱。所以通过这些标准能够使各个组织也好,机构也好,能够共享一些信息。现在这些挑战还是存在的,这些挑战除了技术方面,还有非技术层面的,除了我刚才讲的基础数据,还有数据分析,还有一些比如人才方面的挑战,我们需要更多的像刘博这样的数据科学家,还有很多,各方面的安全专家来做这方面的工作。另外在互信共享方面还有一些行业方面的障碍需要政府来帮我们解决,需要政产学研一起努力,建立一个共信的机制,能够让大家把威胁情报,能够把敏感的信息屏蔽掉,把公开的信息让它能够在各个单位,不管是政府单位还是私有企业,在这之间能够共享。所以我们云安全联盟现在也做了很多工作,有一些工作组,有些做技术的,还有些做信任方面的工作,从国际国内还有产业界和政府界各方面的信息能够建立沟通的渠道,我介绍到就这一点。
主持人:刘博在那,可是接下来这个问题问一下杨勃,刚才李主席介绍了挑战依然存在的,随着技术发展这个挑战也会日新月异,不断的在升级当中。我其实挺想听听看安恒在这个方面有什么应对的方法吗?你们是怎么做的?
杨勃:主持人好,在座的各位嘉宾好!刚刚李主席讲的这几点我深有感触,威胁情报这个话题,尤其对我个人来说不是今天才开始的,我在安恒马上8个年头了,那么我对威胁情报的探索或者从爱好到现在也差不多8个年头。我们一开始去做了最基础的,应该说叫做基础数据的搜集、积累,因为我们觉得做情报必须要有最基本的抓手,就像G20做安保一样,我们社区做了最简单的一件事情是人口普查,其实我们网络界也同样面临这个问题。这个工作本身涉及大量的,甚至非常琐碎的,然后数据又瞬息万变的一系列的工作,我们要汇聚成一个像大海一样的池子,把数据融下来。第二个挑战,差不多8年下来一直不断的前行,艰难前进的,很重要的一个因素就是人才。人才归根结底分成两大类:第一是安全研究攻防对抗人才的积累,没有这种能力的积累,我们得到了数据,那只是一个硬盘的堆积,没有实际的价值;第二类人才就是我们当有一定的方法或思路,知道这个情报的价值的时候,怎么从海量的数据源里面把它快速的挖掘出来,这就是我们像刘博这样的人才也是我们数据大脑非常紧缺的人才。这个时候我们有长期数据的积累,加上人才的积淀,就为企业提供威胁情报,做好了技术方面一个非常充分的准备。包括刚刚李主席也谈到的话题,2015年国内差不多是威胁情报的元年,但是我们在2016年的时候我们并没有推出威胁情报,因为我们最大的,当时最大的顾虑是什么?在全国,威胁情报从我们的意识到我们的用户能够接纳,再到我们的技术成型能够落地,它是需要相对有一个时间的过程。那么经过这两年,尤其我们安恒,首先我们落地了安恒自有产品,我们的服务团队和威胁情报的沟通能力,形成之后,我们认为在今年这个时机比较成熟,可以把我们情报的能力,可以无缝的输送到我们的用户群体当中去。
主持人:李主席觉得他们靠谱吗这种做法?
李雨航:我很认同。
主持人:开头我提到二战,了解历史的知道二战当中诺曼底登录改变了二战的战局,从而改变了战后的世界格局,为什么会胜利?主要归功于一个代号叫佳宝的间谍,因为他给希特勒提供了假情报,以至于希特勒布兵布错了,以至于最后覆灭了。对盟军来说当然是一场情报战的顺利,可是对于德军来说却是因为有假情报而让自己最后毁灭了。我挺想问问袁处,在我们的工作当中,面对大量情报的时候,你们会不会也碰到这样的问题,有的时候怎么辨别情报的真伪呢?
袁慧萍:今天我特别高兴作为一个网络安全的爱好者参加这个盛会。威胁情报对我们每个做网络安全,尤其是做一线网络安全保障的人是特别有用的。因此我觉得,我们就是不余余力的争取到最大可能的威胁情报的提供者。包括我们国家的网络安全专控队伍,包括顶尖的网络安全厂商,还有各类专家,其实都可以给我们提供一些情报。这些情报的真伪,作为用户单位是很难辩解的,因此我是觉得应该从国家层面,由我们网络空间协会类似这个级别的这种层次的领导的关注或者机构的关注来进行认定。在没有这些之前,我认为要靠行业自律,因为是靠威胁情报的发布者,他的职业道德,他一般不会发布太虚假的信息,否则影响下一年的合作,目前是道德约束阶段。第二个是用户的心理承受能力来判别这些。因为我觉得作为,也在网络安全圈混了十七八年,哪些同志说的比较靠谱,哪些不靠谱,也还是稍微有一些心理上无形的判断。再一个如果说,比方说安恒一家说了勒索病毒还没有太关注,只要有第三个机构说勒索病毒的时候,我在5月12号晚上已经不能睡觉了,早上6点到单位,我们人民银行整个在全行一直到县行、市级单位,8:30已经部署完毕整个应急处置所有的工作。所以整个期间威胁情报发挥了重要的作用。但是判别非常难的,我希望呼吁相关单位高度重视威胁情报,不要让用户来做出正确与否的判断。
主持人:您从用户的体验感受来说曾经受过这方面的委屈吗?数据可能是存在一些问题,数据给的不到位的。有人骗过您吗?
袁慧萍:我们国家的网络安全目前受到空前的重视,作为用户,主管部门,我们经常也会接到国家主管部门发来的调查的通知,说你行疑似被间谍软件控制,被木马控制,这时候就是提供一个情报,甚至比情报更厉害的让你测查,有时候发现不存在,你要写一个反证法证明不存在,是很难的。这时候我呼吁我们更加精准的提出这些预警情报会更加好。我们曾经跟主管部门发过这样一些,就是反证自己没事的,当然我是说我们肯定工作中存在很多需要改进的地方,也需要在座的安全厂商,各位专家的帮助,但是我相信就是说有了威胁情报的精准性,我们的工作会更加高效、直接,而且是精准的来实施防护。
主持人:从精准性来说,刘博士您准备怎样做,安恒怎么把精确性做到最高?
刘博:我觉得,我非常同意刚才李主席讲的,我觉得这是一个很好的对威胁情报的一个解释,就是数据,为了解决这个精确性的问题,第一个是要有足够的数据,就是没有数据其实是,就是为了有更好的威胁情报的这种质量和信息,数据是第一位的,我们要搜集更全的数据,不能是偏颇的数据,这是很重要的一个方面。建模,并不能盲目建模,对数学要有一些理解,手动的分布做图,了解数据的性质、来源,这个基础之上才能知道这个数据的属性什么样的,利用我们的算法,跟这个数据的属性结合起来,比如说我们这个常用的一些算法,比如有迭代性的聚类分析来剔除一些不符合常态的数据,所以是两者结合的一种方式。我们不能盲目建模,数据也不能盲目的利用。
袁慧萍:说到这个威胁情报的精准性,其实我是觉得当前用户的最大的需求就是威胁情报的精准性;其次是威胁情报,既然拿到情报,用户应该第一时间做哪几步。像勒索病毒的威胁情报分了四步,我觉得类似这种就是比较合格的,而且标明资信度在90%以上。
杨勃:这个问题非常尖锐和有挑战性的,也是我们,尤其在我们落地数据情报,面向用户输出的时候,我们内部有一个红线,我们所有对外输出的情报必须要有证据的,而且这个证据必须来自于原生态第一手数据。所以我们输出的时候已经决定了数据的准确度,当然第二个问题刚刚说的,我们数据或情报,我告诉你消息,但是接下来怎么做?其实这就是我们刚刚探讨的,为什么在2017做这个事情?因为我们的服务和产品需要一个过程的,要形成一个闭环,而不是给我们用户一个情报就结束了。
主持人:做论坛之前安恒有两位同事到我办公室做了这一场前期的洗脑,因为我说我是外行并不懂互联网技术。他们当时非常友善的提醒我说当你在场上问道技术类的问题,当刘博士发言,杨总讲技术问题不要想着你听懂了,听不懂也不重要,你只知道他们的技术很牛就可以了。我确实没听懂,他们说什么建模,要怎么采集数据,真心没听懂。所以今天挺想让李主席做一下技术语言的翻译,他们有那么牛吗?不是好多公司都在做这些事情吗?安恒特别牛吗?
李雨航:是有不少公司做这方面的事情,大家知道这方面挑战很多的,大家刚才也举到了例子叫做病毒的攻击,现在勒索病毒攻击,攻击的源到今天实际上还没有找到。为什么困难呢?我就举一个这种物理世界的例子,比如你被人打了一枪,你来找这个源,那么你是从一个维度或者甚至两个维度看问题的,那么你找确实是非常困难。那么刘博也讲要多维度的看问题就简单了,如果我有很多其它的维度,不光从被打的人的角度,我有很多的视频监控头,我把它调出来看,甚至比如卖钱的商店都提供信息,我的维度非常多,甚至他们大数据做的好,他们实际上是可以从上帝的视角,上帝的角度看这个问题,他们什么都能看得见,这个攻击方没有办法隐藏,都可以被他们抓出来。所以他们确实做的比较牛,现在中国做的好的就是有大概安恒,另外还有比如说是天际友萌的都是在他们后面。
主持人:除了安恒没有了,他们已经上帝视角了?我明白了,他们是可以溯源的。
李雨航:他们有很多模型算法,他看的比一般的人要看的非常深,非常广,超出了人类的感知。
主持人:不管数据多不多,算法多么牛,不管它的整个人才储备有多么的丰富,说到底咱们得把这个落到每一个应用场景,让它落地才是真事。今天台上一位来自银行系统,一个公安系统的,可以实实在在的跟安恒提一下你们想解决的痛点是什么,看看安恒能不能解决。
蔡林:威胁情报这一块说实话让我来对它落地之间的要有一个关联分析,一个是你信息搜集的,刚刚李主席讲了是不是足够多,这个对你来说有难度的,你毕竟是一个公司,你搜集一些信息还差的远,这个有一定的难度。你在这个方面搜集方面,信息搜集方面你要难一点。第二个分析上面有一定的难度的,刚刚主持人讲不懂技术,有一个大家都懂,就是社会工程学,实际上精准的分析对于黑客组织之间的关系还有一些溯源机制来看不是光靠技术能够做的,它是需要对一些人的心理,社会工程学和黑客组织内部的一些习惯是有掌握的。否则你要精准度的来分析是比较难的,建模也是一样的,建模的模型不是靠,技术是非常重要的,但是这个技术要对于一些业务的理解才能精准的建立相应的模型,再采用人工智能技术处理,这个我觉得,我讲的就是这个第二个。
第三个就是你的溯源能力。实际上我们现在从信息到情报,还有很长的路要走,我们现在包括共享的东西,大部分是信息,达到情报不多。特别是精准的情报是更少。就是信息到情报的话它是要经过相应的很大的后台的处理才能达到情报,我们也希望安恒将来能够提供更精准的情报,更有效的溯源解决我们防范和打击的问题。
袁慧萍:我讲一个景象,当“永恒之蓝”爆发,周一早上一个高层领导7:30打电话问全行能不能开机,我说没有接到我的通知就是开机,也体现了这次威胁情报的初战告捷。谈到威胁情报提供商的期望,第一必须保证威胁情报的精准度,要做好精准度您刚才谈到,我本身学数学的,聚类、大数据可能在这起很多作用,但是可能您跟相关的国际交往,还有之间同行之间的信息的有一些适当的磋商或者共享机制还是要有的。第二点威胁情报希望你的威胁情报是可落地的,可操作的,这块我刚才谈到,用户要以最短的弧开展应急处置。我一直说我们打补丁的这一块是干病毒之前还是之后,也许就在这几秒之间,这个时间是黄金周期,希望替广大用户行业争取黄金时间,因此你的可落地、可操作的。比方说,我就还举这个例子,这里很多威胁情报告诉我们说请上微软取什么补丁,请到哪,其实用户周六下午4点钟上微软网站打补丁,这个网站基本瘫痪了,访问不了了。何不直接送佛到西,把补丁带在后面,这种我认为可以考虑对可落地性做一些这样的操作。第三个方面想说一下威胁情报还是希望考虑在,应该依托一些权威的发布,应该要有一个权威的发布。比方说在周末的时候,一堆人就通过微信公众号推,微信朋友圈推说千万别开机,我就说实际上正常的声音淹没在其中,谁说的是对的,这种声音太多了,就告诉用户不要听个人用户个人专家的,要听权威的,权威的声音架不住这些声音,这种情况下是哪个国家机器部门,网络安全权威部门发声一下,没有。我觉得我们单位,就靠自己去判别去做,这时候就想说,威胁情报如果在满天飞的互联网整个发布的时候,您跟正常用户发布的同时您也跟黑客发布了,到底你是给我们矛还是啊给盾呢?还是要适当的控制范围。比方合理的渠道,当你的一个有价值的威胁情报是不是依托于专业化的机构来发布,另外依托于你每年的安全服务的方式打包发布,这些我觉得是值得考虑和探讨的。至于后面威胁情报这个怎么发展,还是希望有一些行业的这种规范,比方有的情报写了前三章节,有的后三章节,中间想看的部分,你自己多看可能就知道少写了一两条,这时候格式的规范性还有其它的方面是包括,相当于缺标准,这还是需要考虑一下的。最终我们还是希望大家共同关注威胁情报,在帮助用户的同时帮助企业的成长,也是我们国家网络安全保障提升一个档次,实际上形成合作共赢的局面,感谢。
主持人:今天真的很珍贵,因为在互联网时代能够第一时间听到来自用户的真实的声音和他们的体验感受,是让我们把产品做好的前提。我相信在2017年当安恒要开启威胁情报领域的时候,刚才蔡总和袁处提到的建议是可以在下一步的工作中继续改进的,包括李主席给我们介绍的大面上的情况以及给安恒满满的点赞都是可以激励你们往前走更远走的信息。接下来共同见证安全数据大脑的一个发布仪式,我们一起来看大屏。
谢谢台上五位嘉宾共同经历了安全数据大脑发布,有理由期待相信安恒在数据大脑领域当中可以越做越好,谢谢。
&&16:20E安全·独家
安恒天池云安全管理平台事业部总经理郑赳发表主题演讲《人民的政务云》
(人民的政务云——视频)
尊敬的各位达康书记,秘书长,下午好,下次汇报一下本次的情况以及简单的安全建议。
首先,我们来看一下涼州事件的现象。最开始是因为涼州气象局的门户网站被入侵,所以说有人报警了。他们的网站的首页被篡改,而且带有一定的反动信息。后面经过安全专家分析不仅仅是气象局,还有好几个单位的信息系统被入侵,而且还造成了一定的数据信息的泄露。那么我们来回顾一下这个事件到底怎么发生的?上图是涼州市政务云的示意图,我们通过日志的分析发现是有黑客发起了大量的攻击。我们的涼州市出口的防火墙设备起到一定作用阻断一部分攻击,但是可惜没有阻断全部,还有一部分攻击进入气象局的网站上面去。通过这个漏洞拿下了气象局的网站。更进一步的分析之后我们发现,黑客利用气象局这个网站作为跳板机进行扫描,进一步发现更多的主机、数据库都有相应的或多或少的一些漏洞,它进一步攻击之后拿下很多系统,从而导致了政务云很多信息系统被攻击。这实际上是一起很严重的安全事件。
为什么我们刚刚介绍了政务云,这么快被黑客拿下,什么原因导致的?我们也做了一些简单的分析。从技术的角度看,最直接的原因是因为气象局的网站存在Struts漏洞,这个漏洞政务云设备没有防住。可能更重要的是因为我们出口的设备所做的都是保护政务云的安全,并没有针对我们气象局其它租户做针对性的个性化的安全策略。
第二点,租户之间的东西向隔离不彻底,这也是导致进一步黑客通过气象局的系统扫描到更多的系统从而入侵更多系统很直接的原因,因为他们政务云里面的租户之间的隔离是不彻底的。
第三点是我们业务系统很多牵上云之后,实际上没有做任何的安全检查直接搬上来,以前的安全漏洞直接带到云上,而我们云上的架构的变化有可能所有的防护比你传统的机房的安全措施更弱一些。所以导致了以前没有发生的问题就暴露了。当然还有很重要的因为我们的云平台它的出口的安全设备并没有针对租户做个性化的策略,而是针对云平台的保护策略,这是技术角度来看的。
其它原因看,更进一步的分析之后发现有一个很重要的原因是我们的租户,它信任了云平台的安全,它认为业务系统搬到政务云之后政务云就会保障安全,它信任这个云平台,实际上云平台没有做,而且云平台可能大陆集团为了急于盈利或者是快速的推广,它有意识的去提前的推广了。那在上面的时候,又没有进行一定的评估。那么以前有的业务系统的问题也带上来,问题就爆发了。更重要的是涼州市政府还缺少一套监控措施,这套业务系统上去有没有问题,涼州市政务云、服务商、监管单位都没有数据或者没有措施进行监管,所以导致了一些系统很快的被黑客拿下,这是一个事件的原因。
对于这样的情况我们有什么办法解决呢?我们也罗列了几点简单的建议供达康书记你们参考:
首先第一点,最重要的首先要理清楚安全责任边界,我们要在上云的时候清晰的告诉我们的租户,你的业务系统上云,不代表你的安全责任的转移。你还是有义务承担你自己业务系统的监测、防御、审计的职能,这个责任你要承担的。这个时候一定在业务上云之前介绍清楚,这是第一点。而且一定明确业务系统上云的流程,怎么上云,上云之前进行评估,要进行加固才能进来。这个流程一定要是明确的。
第二点,云服务商有义务构建全局监控能力,要对整个政务云,云平台自身的状态以及租户的安全状态进行监控。
第三点,云服务商有义务构建符合三级等保要求的安全池的能力,能够让我们的租户能够自助的选用自己所需要的安全服务能力,去构建自己的数据安全网,维护自己的安全策略,分析自己的日志,这是我们服务商具备的责任。
最后云平台应该要符合等级保护至少三级,等保2.0时代已经明确提示到云平台承担的业务等于小于它的业务级别。
这是我们的安全加固建议。针对建议,我们安恒也推出了自己的一套解决方案,这个解决方案就是今天说的天池。天池是什么呢?天池是一个解决方案级的产品,它汇聚了安恒十年攻防能力,打包安恒在云上的监测、防御、审计跟服务的能力,整体打包加入到政务云、私有云系统,让政务云快速的拥有完整的符合等级保护的三机的安全能力,然后部署进去之后,我们的租户就可以登录天池的管理平台,就可以看到有很多的安全产品,基于自己的安全需要选择自己需要的产品,天池会自动化的部署、自动化的引流。天池会帮它做统一的管理,统一的分析。这是一个,所以说天池是一个大的管理平台,也是一个安全资源池,可以为客户提供符合等保三级的能力。整个天池已经把租户之间进行了相对应的隔离,每个租户是看不到另外一个租户的安全设备、安全策略、安全日志的,所以这是天池的一个简单的拓扑。
然后天池有什么价值呢?部署天池之后,可以全局感知涼州市政务云的态势,提供云租户平台和云平台的视角,两种视角,在平台视角,服务商可以感知云平台的安全状态,安全能力有多少,安全池还剩多少资源,整个的安全防护状态是怎么样子的,同时也能看到所有的租户的安全日志状态,全局的感知到底哪些租户有问题的,哪些租户是安全的,哪些租户是服务等保二级或者等保三级的,他们的在差距在哪里。用了这样的数据之后,可以跟云服务商、单位监管政务云,同时天池也可以作为云服务商的一个增值服务的手段,它发现问题之后完全可以利用这样的数据反过来去推动租户加固,把天池的安全能力当做增值服务商品卖给我们的合作商,卖给租户,让租户提升自己的安全能力,让服务商变成增值服务产品。这是第一个价值点。
第二个价值点,为政务云构建等保三级的安全资源池。现在天池是一个开放融合的平台, 我们内部也一直讲一句话:往上我要接入不同产品,往下要接入不同平台的云服务商,这是天池。现在的天池已经汇聚了安恒所有的安全产品,这样的产品可以按需取用,自动化部署。这是天池的一个安全服务能力。
然后第三点,可以为涼州市政务云提供业务上云的全生命周期服务指导。天池的业务服务能力,可以在业务上云之前帮助我们的租户去评估这个业务系统是否安全,帮助这个业务系统进行加固,帮助业务系统去设计它的安全拓扑架构。上线过程之中也可以帮助业务,帮助我们的租户去实现它的安全拓扑,去帮助它去设计它的安全策略,然后上云之后的话,天池的安全服务能力就起作用,通过持续的监测、服务、审计、防御,持续的为我们的租户提供安全能力,最终让我们的租户能够符合等级保护的需求。这是天池的服务能力。当然天池它是一个解决方案级的产品,它一般的实时,需要跟云平台进行相应的紧藕合,我们要向下兼容不同的云平台,所以现在我们的天池已经在跟各种国内主流的云平台对接,目前已经完全了阿里、数梦、华为、品高、Os这五种进行融合,所以我们有能力在几天之内把天池部署上去,让涼州市拥有等保三级的安全资源池的能力。这就是我们给整个涼州市安全事件的一个简单的建议。
整个演出正式结束,请大家再欣赏花絮。
&&16:05E安全·独家
浙江省千人计划、安恒信息首席科学家介绍并发布《AILPHA大数据?智能安全平台》
尊敬的各位领导,专家和嘉宾,大家好!很高兴也很激动,能有机会参加西湖论剑,这也是本人第一次参加西湖论剑,也非常幸运,遇上了安恒的十周年庆典。在这么一个特殊和重要的时刻来发布我们的大数据产品,对于我们来说肯定是一个非常美好的开始。
我的PPT,昨天也给我们的产品经理和主持人看了一下,他们觉得这个PPT有一点太技术,担心下面的这些人看不懂。但是我肯定是没有时间来改,我在想,西湖论剑作为一个高端的技术论坛,我们就需要拿出我们的真枪实剑,我也安慰自己,大家看不懂的剑法才是一个好的剑法。所以过程中会讲很多技术名词,请大家容忍一点。
一个好的产品必定依托于一个好的团队,一个好的公司和一个好的CEO,所以在我介绍产品之前,请允许介绍一下我们团队的由来。本人是2016年认识的范总,当时范总的务实求事、精益求精,和他敏锐的决策力深深打动了我,给我留下非常深刻的印象。当时我就带着我自己大数据的梦想,和一个责任感,就毫不犹豫的选择了安恒,加入这个充满热血,充满激情和有责任感的大家庭。当我加入安恒之后,在大家的帮助之下,我们集结公司当中最优秀的研发资源,成立了我们的特种部队,叫Ailpha大数据实验室,在这么一个优秀的团队,公司和CEO的共同努力之下,我们打造出了业界领先的大数据分析平台,我们的Ailpha大数据智能安全平台。那么在介绍我们产品之前,我们为什么要做这件事情?我们为什么要用大数据?大数据能帮助我们解决哪些安全的问题?我们先通过一组数据了解一下我们面临的严峻的安全形势,特别是新型的高级的威胁。随着信息化的网络化的迅速发展,很多企业和组织,安全问题也是他们最头痛的问题,最关心的问题,威胁的风险在不断的增加。就据统计调查,每次数据泄露给企业带来的损失平均是350万美元,威胁的个数和难度也在不断的增加。就恶意攻击在被发现之前,平均已经潜伏229天,企业无力应对,83%的企业认为他们没有相应的工具或者技术来发现,来应对这些新型的威胁。67%的安全事件是在发生了之后,通过第三方发现的。那么传统的安全设备是有哪些问题?他们的局限性在哪里?可能大家知道,传统的安全设备大部分是基于对单条事件的规则匹配,或者规则表达,并不能做复杂的分析,所以他们核心的计算引擎不能应对新型的威胁。同时因为他们是针对单条日志的告警,大多数针对单条日志的告警,单质告警容易误报过多。很多是单点的处理能力,不能应对大规模的数据分析和存储能力。虽然有事前事中事后的安全理念,但是并没有相应的工具和技术有效的执行。所以为了解决这些问题,研发了Ailpha大数据智能安全平台,就在这里,在2017西湖论剑的现场,在安恒十周年庆典这个重要的时刻,让我们共同见证Ailpha大数据智能安全平台的发布。请大家跟我一起,倒计时。
谢谢大家。
大家可以看到我们产品的名字,Ailpha是在原有英文单词中加了一个i,我们这个名字前两个字母AI,代表人工智能,我们期望通过智能大数据的分析和挖掘,能够真正的体现大数据在安全中的价值。
我们希望能够通过Ailpha大数据智能安全平台让所有的单位和企业能够真正的驾驭安全大数据分析,来达到我们的最终目的,让数据无忧,让应用恒久,让一切放心在线。
我们的大数据平台主要解决哪几个问题呢?主要是六个问题:第一个实时的威胁预警;万亿数据的存查,包括管理;异常检测,包括异常行为分析,包括帐号盗用等等;智能的机器学习,能够感知现在的威胁,来发现和预测还未发生的风险点;深度关联,能够对多元的数据进行深度的关联分析,从而发现真正的威胁和产生危害的威胁,追踪溯源,通过查询、关联来还原攻击路径。那么我们是怎么实现这些功能的?下面从几个比较技术的方面介绍一下我们的大数据平台:架构;性能、分析和关联能力。
一个好的架构需要解决下面四个问题:第一是研发效率,一个好的架构可以避免很多不必要的代码,不必要的计算,能够提高研发效率。第二个扩展性,一个好的架构,能够在不动干戈的情况下扩展下的功能,针对新的业务场景或者新的业务领域,提供新的解决方案。伸缩性,就大数据平台可大可小,可以单台部署,也可以集群部署,针对不同规模的客户。最后维护性,大数据要能很容易的拆开,对每个部件进行测试,也能进行很容易的部署和排错。所以我们的大数据平台采用业界领先的Lambda大数据架构,分为两个:一个实时流分析一个批处理部分。我们将这两个部分互补的技术结合起来,最大化的利用资源。实时由一个双核引擎组成,Storm和Spark。离线系统基于ElasticSearch和hadoop系统,这个基础上有一套H的系统,将实时分析和离线分析的结果结合起来以互补的方式输送到Hbase系统中服务前端客户产品的需求,这种方式大大提高了计算的性能,同时也能满足几乎所有应用场景建模的需求。这个大数据架构在很多重要的互联网产品当中都有应用,包括支付宝的反欺诈系统,还有百度的广告系统等等。
我们利用,基于我们的大数据架构做了很多算法和数据流上面的一些优化。第一个实现的,达到了我们业界比较领先的一个性能优势。第一个就是我们可以1小时1键部署,我们把各个大数据平台的组件统一整合到一个运维平台当中,可以在客户现场1小时1键部署。第二个单台计算设备可以达到一万EPS的处理能力,主要基于实时流分析平台和Hbase,自主研发的一个计算逻辑,可以快速的对数据进行处理和分析。同时我们做了一些索引优化,可以达到百亿级别数据的十秒内查询。最后对Hadoop的存储系统做了优化,可以达到万亿级别数据的存储和查询。做一个比较参考,我们现在大数据平台的处理能力可以实时处理所有淘宝的访问日量,同时也能存储所有淘宝的访问日量可以达到一年以上。
我们的平台和计算能力,相当于是我们的一个武器,我们的一个核心。当我们有了这些工具之后,我们就可以游刃有余的进行建模、分析。我们的分析模型大致分为两种:一种是安全场景类分析,是什么意思呢?场景类分析就是指我们已经知道攻击行为大概什么样的,DDos攻击,木马回连等等,我们需要做的就是通过模型踢除一些噪音,快速有限的发现威胁。第二种智能机器学习模型,这种模型针对的威胁是我们之前不知道,或者这种威胁没有一个定势,比如说异常登录,什么叫异常登录,DGA和自动产生的域名什么样的,那么针对这些威胁,通过自动化的智能学习捕捉到这些威胁。下面我简要介绍一下其中的两个模型,一个潜伏型数据窃取,另外一个异常登录。
首先介绍一下什么是潜伏型低频数据窃取,这个图里面横轴是时间,Y轴是访问频率,绿线是一个正常的用户。一个正常的用户一天当中某几个时间点对网站进行频繁的访问,早上或者晚饭的时间。红线是一个潜伏型攻击者的行为,它会在相对跨长时间的时间内低频率的对一个网站进行访问,但是呢在某个短的时间内,比如30分钟之内,你是不能区分出这个潜伏型攻击者,或者很难区分出潜伏型攻击者和正常的行为,因为频率不高,也没有异常的行为。所以说这种分析需要跨长时间的分析,传统的安全设备是没有能力发现这种威胁的。那么我们怎么从海量的数据里面来发现这种威胁呢?我们就引用了信号频率分析当中常用的模型,基于实时流分析平台,研发出基于流数据分析的实时分析的异常行为检测,傅里叶变换模型,可以从海量的数据当中筛选出低频的访问行为。一个例子,我们在客户当中发现了攻击者对一些网站进行数据窃取,左边是正常的用户,右边是异常的,横轴是时间,Y轴代表不同的IP,不同的攻击者,大部分用户都是左边图的形式,短时间内做一些访问,右边是一组攻击者,长时间的、低频的进行数据窃取。为了提高我们的准确度,我们也会对日志做关联,不仅是低频的访问,同时有拉取数据和拖库的行为。
针对案例我们发现这一组黑客在凌晨的时间,包括晚上的时间,都有相对持续的和频繁的访问。他们的攻击手段大致就是:第一先获取这个验证码,然后识别,然后同时通过撞库的方式登录到这个客户的信息系统当中。从而把数据拉取下来。我们通过对原始日志的查询也发现了他们拉取数据的原始日志,从而我们也能调查取证,发现他们所产生的危害。
下面介绍一下第二个模型。我们讲的异常行为模型。异常行为模型,其实在很多场景当中都可以有利用,比如异常流量,异常登录,异常访问,还有僵尸网络等等。这个模型我想通过一个简单的例子给大家介绍一下我们怎么做这个模型的。我们用登录时间,简单的例子介绍一下什么是异常行为。比如说在日志系统中发现一条日志,有一个用户早上6:30登录业务系统,这个行为是正常的还是异常的?很难讲,假如有一个用户A行政人员,他有比较好的生活习惯,所以说每天早上6点钟就起床,那他的历史的登录行为就是我们这张图所显示的,早上登录的相对多一点,6点钟就有一些登录行为,晚上也会有一些。对于这个用户来说,6:30的登录行为可能是比较正常的。另外一个用户我们假设是我们研发人员,都喜欢熬夜,他可能早上起的比较晚,9点钟起的,9点钟之前没有登录行为,所以它的历史行为,一个模型,是右边的这个情况,晚上有很多登录行为,早上没有,对于他而言,6:30可能就是一个比较可疑的一个行为。这是一个很简单的例子,但是大家可以感觉到我们没办法利用简单的规则来设定我们的告警应该是什么样的,我们不可能对每一个用户,一个企业有几千上万用户,不可能对每个用户设置不同的规则,设置之后可能经常产生误报。所以我们就需要一个自动化的、个性化的机器学习模型识别异常行为。
我们怎么做呢?针对这个简单的来自,我们采用了两种方式,一种无监督聚类学习,另外一种贝叶斯混合高斯模型。简单解释,无监督聚类就是根据所有历史数据做简单的聚类分析,来发现哪些点是离群的,这些离群的点,离群的事件就是最有可疑的,最有可能的异常行为。右}
我要回帖
更多推荐
- ·怎么建个工程生成软件程序怎么编写输出?
- ·工程师职称如何申报去哪里评?
- ·无穷卤蛋零售价鸡蛋的4S标准是啥意思?
- ·我国宪法规定公民享有的九大基本权利有什么的自由
- ·关于新言哪种的电子喉质量最好,它的音频水平达到了怎样的标准?
- ·象棋残局象棋火烧博望怎么破解望
- ·崩坏3rd处刑装紫苑怎么获得
- ·王者荣耀逐梦之影图片是限定的吗
- ·刀塔传奇魔像武者阵容怎么打 高伤阵容打法攻略
- ·gta5布加迪在哪怎么开门
- ·有人在用剑侠情缘辅助工具2手游辅助工具吗?
- ·dnf九周年有没有dnfss跨界石活动2017
- ·cf手游手柄按键设置怎样设置按键最好
- ·饥荒联机版mod怎么用用来联机的mod下载地址
- ·求一个最新的可以用的GTA7GTA 5线下存档修改器
- ·dnf魔皇传说套装选择用85传说武器行不行
- ·dnf9090版本dnf力法换装怎么堆
- ·猴子王者荣耀猴子重做技能重做后厉害吗
- ·最近加维护有6天不能体现,魔兽对战平台维护时间还安全吗
- ·拳皇97ol礼包装备卷轴怎么获得
- ·红眼有2个技能 嗜血狂暴多少钱 和血之狂暴应该什么时
- ·西普大陆好号和密码号
- ·王者荣耀新英雄图片的英雄图片都有谁
- ·王者荣耀被削弱的英雄为什么削弱snk英雄
- ·卡萨布兰卡有几个机场什么好玩的地方
- ·不知道什么版本的饥荒怎么看版本附带的恐怖
- ·七月是王者荣耀s8赛季冠军吗
- ·这检测配置能不能玩游戏玩啥游戏
- ·我的世界凋零速刷怎么用凋零刷觉醒龙块
- ·我要出去玩儿,有什么广州好玩的地方推荐荐嘛
- ·王者荣耀输出英雄排行里面爆炸输出的英雄有哪些
- ·dnf守护者小池塘可以得什么
