015中国网络安全大会于7月1日在北京国际会议中心召开,这种重量级安全会议,牛君自然不会缺席。按照安全牛惯例,没有套话,开始干货:
主办方致辞
赛可达实验室CEO宋继忠
今年我们的网络安全大会主题还是“全球化的网络安全”,专注于行业用户交流,厂商和用户对接,网络安全技术与理念分享、国际化是大会的四大宗旨,大会要成为为全行业提供世界先进理念和技术的交流平台。
“第一届中国网络安全大会参会者的30%是行业用户,第二届行业用户参与达到了50%,本届大会非常高兴地告诉大家,行业用户的参与已经超过了70%。”
国家信息中心领导致辞
信息安全研究与服务中心主任吴亚非
网络安全关系到国家安全关键技术设施,社会公共安全和公民个人信息的安全,在维护国家安全,促进经济发展和社会进步的进程中至关重要。维护好网络空间安全和网络社会秩序是国家网络安全职能管理部门、重要行业主管部门、网络运营使用单位、网络安全企业、互联网提供商以及专家学者们的共同责任。
《网络安全相关的测评认证探讨》
中国工程院院士倪光南
一、加强并完善等级保护工作
等级保护制度可以为我们评估相应的产品、服务、项目作为参考,因为等级保护本身就是为保护安全,不是所有的都是为了保护最高级的信息安全,有些信息重要,有些不重要,可以用等级保护来做。我们希望开始从设计,选型开始就用等级保护来指导。
相关部门要抓紧开展研究,如何为我们分级测试标准,加强我国网络设施安全相关要求提供支撑,这是我们需要留给大家,请大家研究的问题。我们希望将来重要信息系统,就是很多方面以分级测试标准去选购。
二、自主可控的评估标准
知识产权(包括标准)自主可控;
能力自主可控;
发展自主可控;
供应链自主可控;
国产资质。
“美国是通过‘增值’原则,如果美国的增值达到50%就可以评估国产。高科技的对一般产品都适用,增值包括材料等等。”
《互联网+安全=产业链免疫系统》
腾讯副总裁马斌
“互联网+”,“+”的是什么?我们自己的定义是连接一切,联系生活上所有的要素。“
互联网公司从信息入口开始进入到消费场景入口,吃穿住行游购娱,再到第三产业升级的入口,第一产业、第二产业到第三产业,经过这么多产业,云、管、端三层,这么多架构下,在端层面、管道层面以及云端全部都要通过数据做成连接。正是在这几个层面的连接,把人合人,人和物,物质和物联系在一起,所以“互联网+”,“+”的是现实和虚拟。
“互联网+安全”一定是产业链的信息系统。正是因为互联网加的时代,连接一切之后,告诉我们整个世界的变化非常得迅速,可以看到每个人都具有改变世界的力量,可以时时刻刻,以事实方式转移到世界里。所以,这种条件下,无论云计算还是物联网都会流到大数据层面上。
“互联网+安全”一定是产业链的信息系统。如何构筑产业链的免疫系统?
1. 平台化
平台不是一家公司能构建的,希望更多的公司,就像安全联盟一样,我们能够构建起一个整合的平台。我们一起打造安全生态链闭环,我们构建端+云+入口的防护体系,通过动态监测扫描,通过用户安全、服务安全,把用户和服务,刚才强调过几遍,在数据的处理,节点上都把它安全做好基础架构,并开放腾讯的安全云库。
2. 系统化
平台化基础上我们做了系统化,防实时攻击检测,漏洞的扫描,性能的检测,通过我们投资的公司在保护政府和企业在提高访问速度上构建核心能力,并提供系统化整体解决方案。
3. 标准化
腾讯成立了移动安全实验室、漏洞安全实验室、反病毒安全实验室和攻防实验室,和CFCA共同成立了联合实验室,数据共享、能力输出,并建立行业标准。腾讯还开放Wi-Fi联盟,促进行业标准建立,提供中国反病毒联盟的白名单,推出可信的认证标准。我们去年和深圳的网警,今年和首都网警共同构建天下无贼反信息诈骗联盟,还和公安部一起进行了雷霆行动。去年我们与警方一起成功阻止2亿的信息诈骗金额。
“在互联网+,时代推进经济转型的背景下我们构建完整的免疫系统,提升行业价值。腾讯作为安全领域里最重要的一个参与者,这是我们的努力目标,也希望与大家一起合作!”
《我国网络空间安全教育与人才培养的战略思考》
北京大学计算机系主任陈钟
2014年2月27日,中央网络安全与信息化领导小组成立,习总书记亲自任组长,中宣部鲁炜副部长担任网信办主任。
2014年6月27日,网络空间安全在当时教育部作为网络安全一级学科成立了论证工作组。
2015年6月18日,网络空间安全获批为工学门类下的一级学科,学科方向包括网络空间安全基础理论、密码学、系统安全、网络安全、应用安全。
“网络信息安全人才无论数量还是质量上还是有严重不足。我们经过统计,本科和研究生人数一年不到1万人。”
从宏观上来讲,信息经济的发展需要开放合作竞争。网络空间安全、学科和人才的培养也需要开放、合作和竞争。
习总书记在成立网络和信息化安全领导小组非常智慧地阐述了网络安全和信息化之间的关系是,它是一体之两翼,驱动之双轮,必须统一谋划、统一部署、统一推进,统一部署。没有国家网络安全化就没有国家信息化。
王秀军主任在五项重点工作,2014年这中间也提到了制订发展战略,加快顶层设计,加快信息服务发展,促进信息服务业发展,增强网络安全保障能力以及推进信息基础设施建设发展,发展信息经济,特别是提到了加强人才队伍建设和开展国际合作交流。
从中观上来讲,要借鉴美国国家战略和NICE经验培养人才体系。
美国人才战略值得借鉴的地方:
培养具有全球竞争力的安全专业队伍;
培养具有全球竞争力的网络空间安全专业队伍;
设立网络军团服务奖学金制度;
依托高校设立安全专家职业培训体系;
建立有效的评估体系;
创造信息安全相关新兴交叉学科专业发展空间。
从微观上来讲,要提升高等教育人才培养质量。
北京大学2012年开始就开设研讨型小班教学,不管多大的班拆成12个人,最多不超过14个人的教学,把计算机系统导论放在里面。不仅把这门课放在里面,而且采用了和卡梅隆肯尼迪大学共同开设这样的课,大课小班的方式,老师定期交流。后来又把算法作为第二个课,被学生称为神一和神二的课,也是小班教学的方式,这样提高我们的教学质量。
有了这两门课的影响,使得整个体系都发生了重大的变化,这是我们不遗余力从2012年到今年一直在做。所以在拔尖学生培养试验计划中加入了具体落实的成分。细节决定成败,核心课程的入手,我们希望把第一个扣子扣准,做到这样的效果,通过这样的方式来改革创新,加大质量方面的力度。
“我们要自始至终把自主原始创新能力提升坚持下去,同时形成产学研知识新型共同体。希望企业关心教育、重视教育,从大学实习生做起,形成全社会重视和尊重人才氛围,为网络空间安全人才的培养和提升做出我们的贡献。”
《移动支付安全》
百度首席移动安全专家姜向前
今年5月份,百度移动安全专家团队对17款支付类应用,42个在线交易类应用进行安全审计。审计结果不容乐观,所有被检测的样本均不同程度存在这样那样的安全问题,尤其漏洞方面,个别手机网银客户端多达580多的安全漏洞,其中高危漏洞多达43个,某一款理财软件漏洞个数超过1200个,某一款非常知名的电商软件漏洞数量最多能达到79个。
“正版应用由于研发过程中,开发人员往往赶工期,对安全性没有做更多的考量。”
百度数据显示,2014年全国垃圾短信数量为454亿条,换句话说我们每人平均每月要收到9条垃圾短信,其中3%是诈骗短信,诈骗短信当中有超过48%的诈骗短信与支付类,即银行和保险理财相关。
安全形势非常严峻,从安全行业从业者的角度,百度建议,提升安全意识,提高安全代码等级,产品发布前进行安全审计,使用第三方厂商应用进行技术加固。
百度倡导的是智能化、全球化。通过大数据和人工智能去深度做病毒的检测,从全球化视野去做全球化的预警、感知和及时查杀。百度会把安全能力开放给行业客户,和行业客户一起去抵御现在所面临的所有安全风险,为“互联网+”保驾护航!
信息安全领袖巅峰对话
主持人:宋继忠
嘉 宾:北信源副总裁钟力、绿盟科技首席战略官赵粮、飞天诚信总经理李伟
宋继忠:当提到BAT在安全发力的时候,传统的网络安全设备厂商何去何从?谁是传统,谁是新兴,我现在有点困惑……
赵粮:我们看怎么样定义传统和不传统……传统的商业模式其特点在于,生产者、技术提供者、用户之间是离线工作的,提供者和用户、专家之间的分享也相对于是离线……绿盟在2010年左右就开始做转型,现在我们的设备已经1000台,绿盟每年出货1万台左右,我们是在线提供服务。2012年我们发布了一款移动App,希望和我们的用户通过App进行互动。现在我们已经初步具备这样的能力,我们和用户的在线沟通是通过我们的产品,所以网上出现的应急事件我们会几小时内告诉用户,同步更新我们的产品和用户,使我们的生态第一时间具备放的能力。所以,我们更愿意叫自己一家企业安全公司。我们希望更加不传统,更加现代化,跟上BAT同行的步伐,更多地向他们学习,进行更好地发展。
钟力:业界对传统安全企业的定义,我不太认同。信息安全在我们国家是在90年代末期开始,那时候诞生了很多企业,包括绿盟,主要是对企业信息安全进行服务。不像现在电子商务或移动互联网的发展,互联网公司慢慢切入到安全领域。
对于我们一直发展过来的安全企业来讲,我认为只是大家的切入点不一样,互联网企业可能从原来个人用户领域进入到安全,我们这些企业一开始一直只是面向企业级的安全,就是这样的一些区别。
李伟:我不谈传统或不传统。安全企业表面上卖的是安全产品,硬件。实际幕后主要工作是软件。我们公司也有好几亿的用户,但实际都是间接的用户,绝大部分网银用户都是我们的用户。但业务模式和BAT、互联网公司是不一样的,他们是B2C,我们是B2B2C,中间隔了一个B。中间那个B绝大部分是Bank,不是和他们竞争,抢他们的客户,而是两种模式共存,我们把这个产品卖给银行,银行再卖给他的客户,我们同时再服务所有这些客户。所以,安全和便捷性、成本是矛盾的,原来互联网公司和安全产品公司选择的平衡点不一样,两边离得比较远,现在走得越来越靠近了。
刚才听了腾讯、百度专家讲的,也是感觉有压力,因为和他们同台竞技,体量不一样,他是千亿美金的,我们是百亿人民币的。我们会继续努力。
宋继忠:能否给大家分享一下现在网络安全需要突破的新技术?
李伟:新技术我们还是更关注新的市场需求,比如网上银行、电子银行、支付都从互联网往移动互联网上转,这是我们面临的一个比较大的机遇,也有一些挑战。
赵粮:攻防技术非常重要,包括各种各样二进制原代码的利用、发掘技术,这都很重要,我的程序员持续在这方面进行努力。我们从大概2000年前以后建立起来的风险评估、安全测试这样的“传统”服务,我们现在更强调怎么在线上自动化帮助用户,提供服务,这是线下转线上的互动服务。我现在关注攻防技术,作为公司的首席战略官我更关注的是带领公司一千名工程师面向的新的挑战。包括响应客户的时间窗口,自动化和形成闭环……传统或不传统不再重要,大家都要变成现代化的企业安全公司。
钟力:我们公司的强项一直在终端安全管理,比如云计算、大数据的情况下我们会关注虚拟化终端的安全管理,移动智能终端的安全管理,自主可控战略。我们公司企业级终端超过5000台,我们在为行业或企业用户提供基于这些终端的大数据分析的解决方案,我们会继续强调在这方面的技术和相关人才的引进。我们会重新进入杀毒领域,我们也将发布新款杀毒软件,会把安全软件和杀毒软件结合起来……对于“互联网+”,对我们来说是“+互联网”,互联网进入安全市场,我们这些安全企业也可以同样进入互联网市场。我们关注终端安全管控,企业级的技术或经验如何能很快转化到个人互联网应用和个人互联网终端应用上,我们关注这方面的安全技术。
宋继忠:中国信息化的网络黄金发展期已经开始了吗?将要开始还是正在开始?
赵粮:我在2011年写过一篇文章,中国网络安全战略十年发展回顾。文章认为,2000年到2014年是中国网络安全的黄金期。我们已经进入这个时代,这个时代的特点除了BAT行业领袖进入这个领域众多CTF大赛,各种各样行业活动,社区活动,大学的,包括陈教授讲的一级学科的批复,社会资源极大地投入到这个领域,我觉得都是非常好的事情。但是我们要想把这样的黄金时代持续下去的时候就发现我们还面临着非常多的限制,这就是真正需求的挖掘。什么叫真正需求,就是企业或组织发自内心地需要网络安全的真实能力,而不是我也买了防火墙,也买了反病毒,做了合规性检查,然后就可以了。
目前中国出现网络安全事件的成本是非常低的……中国网络安全达到什么样的高度,取决于我们对真实需求的对待,需要网信办对行政修正案等各种各样的法律法规健全,使企业发自内心关注网络安全的能力。
钟力:我认为现在应该是处于黄金发展期,迎来新的发展机遇。习主席也讲了,没有网络安全就没有信息安全,就没有国家安全。这对从业者来说网络安全行业也迎来了非常重要的发展期。
赵粮:我认为,伟大人物斯诺登开启了黄金期,我们的网络设备、产品、服务要能真正给用户带来价值,另一方面要减少损失,这才有市场……借用一个安全专家朋友的话,信息安全是调料,这个行业本身比较少,再加上BAT他们体量够大,很多调料都不采购了,自己生产。所以,我们也要做安全厂商,做一些有特色的大餐去推向市场才能把这个规模做大。
宋继忠:走向国际是几乎所有厂商的梦想之一……作为安全厂商国际化如做得更好,能有所收获?
李伟:大家可以想象一下,11、12年前这些企业的规模,在这些企业规模的情况下要走出去还是要下一定决心的,因为相对来说成本、费用,投入的周期也很长……如果要说建议的话,走向海外市场一定要重视知识产权或专利,这个我们在海外是吃过亏的。
赵粮:绿盟年报能看到这样的数字,海外有几百万美元的收入,但现在还是亏损,还没有打平……可以看到要达到华为那样的营收力度还有距离。绿盟在国内主要是服务自己5000个大客户,海外因为壁垒,中小型数据中心的抗D服务,这方面还是着力在做,我们对未来还是有信心的。我们考虑用非传统的方式扩大用户的接触面,比如使用免费服务,在海外建立更多的用户覆盖,以此更好地发展销售,把这个数字拉上来。
宋继忠:自从BAT互联网公司进入网络安全以来,大家都面临着人才的压力。可能大家也都注意到大牛的流动,政府官员的流动确实是前所未有的。那么作为企业安全厂商如何面对人才的争夺和竞争?
钟力:不同的平台提供不同的发展机会,我们公司在人才培养方面会给它一个很好的锻炼机会和发展平台,能够让这些人员体现自身的价值,和能力的提升,我想创造这样的牛人环境。对于年轻人来说,待遇可能是一个方面,但长远的发展对年轻人来说更重要。
赵粮:第一,现在的人才流动是自由选择的结果,网络企业安全,十几年这个产业没怎么增长,BAT行业是我们的十倍左右,我们公司按照这个行业产出能够付出的薪水只能这么高。互联网巨头里,即使按平均薪水也是我们好几倍。所以我们要挽留人才,第一要增加人均产出。要做到这一点,就需要做刚才讲到的变革,就是提高我们的自动化能力,提高我们的人均产出。
为了实现这一点,我们在公司里开展了很多的技术创新……通过各种各样的方式开展内部竞赛,拉开内部技术人员的档次,让优秀的人员在巨大的变革过程中实现个人的目标,做到他原来做不到或者及时到了一个大型、超大型互联网公司也没达到的力度。
2013年,我们把工资拉高了将近一半,对特殊优秀的人才,我们希望薪水能够达到和互联网公司差不太多的样子……我还有一些特殊条款,希望能不断培养这些领军人物。我们一直被业界称为安全行业的黄埔军校,我们还愿意继续培养这样的人才,不断为行业输出人才,同时使绿盟获得更好的发展,让留下来的人实现自己的理想目标,获得更好的经济收入。
李伟:人才方面有压力,但也不完全是单向的,也有BAT的人到我们这儿来,还有从我们这儿去又回来的。待遇方面没有办法与互联网企业相比。技术人才要让他充分发挥作用,让他成长也是我们很看重的。再有企业的文化,情感,可以留住一些人。
宋继忠:越来越多的企业,互联网公司进入网络信息安全行业是一件好事儿,各个方面联手,共同打造一个更好的国家网络空间安全环境,今天的对话就到这里,谢谢大家!谢谢钟总、赵总、李总!
(注:近期安全牛将继续发布《干货|2015中国网络安全大会之大师讲堂》,与牛人黑客和技术大师们会面,敬请期待)
