第三届INSEC WORLD成都·世界信息安全大会圆满落幕
作者: 日期:2021年12月17日 阅:3,760

12月15日,第三届INSEC WORLD成都·世界信息安全大会在成都香格里拉大酒店圆满落幕,大会为期两天,包含2大主题论坛、7场细分领域分论坛、高阶培训,聚集了来自海内外近60位行业专家大咖,深信服、腾讯安全、奇安信、安恒信息、360政企安全、新思科技、安芯网盾等近30家网安厂商参会研讨及展示,同时吸引了行业百家专业媒体报道。此次大会共吸引近3000人次专业观众线下参会,其中,两大主题论坛通过线上同步直播,突破150万浏览量。

数字经济发展需要可信生态环境

在以“数字经济 安全为钥”为主题的主论坛上,海内外多位行业专家共同围绕数字经济的安全发展这条主线,针对数据安全、云安全、智能安全、零信任解决方案、威胁监测与防护等细分安全领域进行了技术探讨和实践经验分享。

中国工程院院士沈昌祥在大会演讲时强调指出:“利用缺陷脆弱点挖掘漏洞进行威胁攻击是网络安全风险的永远命题,因此我们应该建立安全可信的‘免疫系统’。”实现数字经济的安全长稳发展的前提是要具备安全可信的生态环境。科技在进步,数字经济在发展,攻防对抗是不可能停歇的,我们无法将全社会网络环境打造的“一尘不染”,类比之下,就像人体本身是无法保证生存的环境永远是无菌状态,因此我们要实现网络环境下的“免疫”。

要实现网络环境的免疫,首先要建立主动免疫可信计算的新模式,即“一边计算一边防护”,而不是被动的在问题到来后在进行防护,这是生成初步的免疫能力;然后通过计算部件和防护部件实现免疫过程,相当建立身体内进行健康巡逻的白细胞;而后,建立可信管理中心支持下的可信边界,可信边界不是网络边界,是防护框架下我们工作、生活的区域下的可信访问领域;最后也是最重要的,我们要在国家法规政策层面上建立安全可信管理体系。这样我们才能保证数字经济发展的可信生态环境。

数据技术发展的“双刃剑”

数字技术发展本身是一把双刃剑,既推动了现代社会的快速发展,同时它的“破坏性”也体现在不法分子对企业组织以及个人关键信息、隐私数据的恶意利用。因此,我们既要建立安全可信的生态环境,保证数字经济发展;同时,也要保证企业个体的隐私数据安全,维护个人的数字利益。

越来越多的数据被收集利用,大数据技术让我们在设备、软件、云平台等产品的使用上更加便捷,但是技术的发展不仅改变了生活,还让我们开始怀疑个人数据的所属权是否还属于自身,同时正因为数据的重要性,反倒让数据泄漏成为更多网络攻击的“辅助力量”。

但是,我们也同样看到,数据技术的发展,让大数据智能分析能力变得更加强大和重要。因为数据爆炸,仅凭人工的力量已经无法彻底的使用数据、保护数据,因此实现数据的安全防护,最大程度的降低数字经济发展带来的“破坏性”需要人工智能技术的协同。

欧洲科学院院士、国际密码学会前主席Bart Preneel也在大会上表示:“我们有太多的数据,但却没有足够的专家来分析这些数据,所以未来的趋势是用AI来分析这些数据。” 由此可见,数据的流通运营促进数字经济迅速发展,数字经济也在迫使我们对数据安全做出更深一步的防护,而人工智能则是大数据分析在发展和保护上最好的推手,但值得注意的是,人工智能本身所面临的攻击风险其实也是需要我们共同面对的。

从金融领域看网络安全防护发展

除了对发展数字经济可信生态环境的建设、数据安全保护与风险思考外,15日,在大会第二天的“金融科技安全”论坛上,平安银行、网商银行、工商银行等企业安全部门相关负责人分别就金融领域的网络安全发展的经验分享,也让我们对金融领域的网络安全防护有了新的看法,同时也经由金融这一细分领域思索到了更多重要行业、关键领域的安全防护需求。

要抵御攻击,首先要思考未来我们将会面对哪些高级威胁,对于金融行业乃至更多行业来说,未来0Day漏洞等高级威胁将更加常态化,近期被曝出的Log4j 2漏洞在被发现之前,攻击者有大半年的时间可以对其进行利用,而这样的漏洞披露后,攻击者仅需三天就可完成恶意利用,但对于防护者来说却很难在三天内做好防护,因此我们应该认真思考面对可能越来越常态化的高级威胁,我们到底该怎么做?除了0Day漏洞威胁,网络钓鱼、供应链攻击也将成为越来越大的网络威胁。

安全人才不足、安全产品覆盖面不全、企业组织安全需求碎片化等问题是我们无法迅速对抗高级威胁常态化形势的重要原因,但同数据安全防护相同,高级威胁防护的突破口在于人工智能技术的利用的发展。其次,我们应该构建一个多层的纵深防御体系,为应急响应争取时间,零信任、SDP、微隔离等解决方案可以助力纵深防御体系的建设。最后,对抗常态化的网络威胁,我们需要可信计算层面的“主动免疫”,这也与我们在倡导建设数字经济发展的“可信生态环境”理念相呼应,我们刚刚提到可信计算是形成“可信生态环境”的关键步骤,可信防御框架的建设本身需要从基础设施环境建设、身份访问控制和运营层面等多个方向去实现。

网商银行CISO张欧在“数字银行高级威胁防御实践:可信防御”的主题演讲表示:“可信防护不能仅仅依赖于检测与响应,不能假设员工不会疏忽和犯错,要有可信防御的理念。只允许预期内的行为、多层防御和信任链规约,而且任何代码、网络、主机和人员的变化必须经过安全评估和管控,不依赖黑名单防御;对于数据驱动理解系统的预期行为,要制定可信的策略,基于安全切面要实现解耦、透视、智能评估和精确管控。”

结 语

“数字经济 安全为钥”,第三届INSEC WORLD 成都·世界信息安全大会为网络安全从业者搭建了一条沟通交流的桥梁,让我们了解到了更多新兴的安全技术,获取了更多攻防对抗实战经验,希望接下来,各位与会者能够将本次大会所得经验知识充分利用到实际工作和生活之中,助力网络安全行业的进一步发展。


相关文章