安全沒有邊界 | ISC 2018互聯網安全大會Day 3報道

新聞 09-11

前言

9月6日，ISC 2018互聯網安全大會技術峰會在國家會議中心召開。

360集團技術總裁、首席安全官譚曉生，安天實驗室創始人兼首席技術架構師肖新光，清華大學教授段海新，柏林工程和經濟應用科學大學教授Katarina Adam，《零信任網路》作者、資深工程師Evan Gilman等重磅嘉賓紛紛上台發表演講，從技術的角度為人們分析網路安全技術的複雜與應用，共同探討未來安全技術研發方向思路，推動技術的革新與發展。

360集團技術總裁、首席安全官

譚曉生在致辭中說：「2018年，互聯網安全大會已經進入第六屆，從首屆互聯網安全大會首次舉辦開始，我們就一直堅持開放性和專業性的原則，結合中國特點，兼顧技術和產業，一路走來，逐漸成為了國內最具影響力的安全盛會。」

峰會演講階段，

安天實驗室創始人

肖新光（江海客）先生以《安全的複雜與複雜的安全》為題，辯證地解析技術，探討技術。從超級大國的一次網路攻擊入手，充分解析了一次網路攻擊中所能應用到的安全技術以及武器裝備，提示人們進行敵情假定，警示在場的網路安全從業者們重視安全威脅，提早準備應對。

清華大學教授、清華大學-360企業安全集團聯合研究中心主任

段海新先生髮表了題為《端到端安全通信協議的理想與現實》的演講。他在現場分享了其團隊關於DNS及https的劫持與部署測量的研究結果，並直接展示了端到端之間的網路安全威脅，其數量之大，部署規模之廣泛，令人瞠目結舌。

區塊鏈是今年的大熱話題，來自

柏林工程和經濟應用科學大學的教授

Katarina Adam帶來了題為《區塊鏈如何加強網路安全的防護》的主題演講，她先是以一段流利的中文與大家打了招呼並致開場白，隨後才開始正式演講。她主張運用時下火熱的區塊鏈技術助力網路安全防護，推動網路安全技術整體水平的提升，為在場的從業者們開啟了一條網路安全防護技術升級新思路。

加州大學伯克利分校電子工程與計算機系教授、Corelight公司創始人

Vern Paxson站在企業的角度發表了名為《從集中到本地——企業網路安全監測架構的革新》的主題演講，為企業網路安全防護體系提供革新思路。他主張：在企業網路安全防禦體系當中需要考慮兩點。其一是可見度，它能夠使我們清楚地了解到企業的網路環境情況，檢測威脅，減緩威脅，有效減少損失；其二則是對於各種情況的控制度。事前事後的分析越多，可見度也會隨之提升。

一貫以堅固安全形象示人的ATM在技術高手的眼中，也有不少漏洞。

Fiducia & GAD IT AG首席安全架構師

Frank Boldewin將ATM機直接搬上舞台，為現場的嘉賓和從業者們表演了一場「實戰」：利用黑客技術攻擊植入隱形系統並進行ATM機信息提取等操作，並成功獲得其部分許可權，結尾則是人們期待已久的「ATM瘋狂吐錢」過程了，當然是通過視頻展示的演示片段。實際上他希望通過實際的展示，讓人們看到網路攻擊的真實存在及網路安全環境的嚴峻。

全球最新威脅態勢如何呢？

Fortinet首席安全戰略官

Derek Manky發表了《全球最新威脅態勢揭秘》主題演講，結合多年的網路安全從業經驗以及海量大數據，解析了目前全球網路安全的最新態勢。

漏洞無處不在，人體也成為了黑客的靶子。

Binah.AI公司創始人

David Maman所帶來的《利用人工智慧和信息處理攻擊人體》的演講，從另一個角度展示了網路攻擊所可能帶來的嚴重後果。

技術峰會尾聲階段，

資深工程師、《零信任網路》一書的作者

Evan Gilman壓軸登場，並發表了題為《零信任網路：在不信的世界構建可信網路》的演講。他認為：網路安全是個「安全從0開始的網路，整個網路是不可信任的，可能會有一些數據包被篡改，被竊取，且非常強的移動性。因此需要一個零信任的安全防護體系。」在向與會嘉賓與現場觀眾們講解防禦體系後，Evan Gilman先生說到：「零信任網路由來已久，我們的安全防禦體系也已運行多年。未來，我們還將繼續朝著這個方向努力，請時刻記住，在當下的網路環境當中，我們並不是安全的。」

峰會小節

在今年的互聯網安全大會技術峰會上，中、美、德、以色列多國的安全技術專家紛紛到場聆聽交流，共同分析網路安全技術的現狀及未來發展趨勢，正如360集團技術總裁、首席安全官譚曉生在峰會最開始所提到的那樣：「安全從0開始，安全從來不是一件簡單的事，希望通過今天的峰會，可以給大家帶來有益的前瞻思考和借鑒。」

分會場精選

個人信息安全與隱私保護論壇——中國個人信息保護標準體系和與實踐

歐盟GDPR法規正式實施，而美國加州也針對個人隱私信息保護出台了區域性的法案。我國的國情與歐美等西方國家有很多不一樣的地方，首先全民對於隱私信息保護的意識相對而言沒有那麼高。其二，雖然不想這麼說，客觀上人民生活中的一部分便利性是基於對於個人隱私信息的犧牲而實現的。如何重視個人信息保護，又可以實現隱私與便利之間的平衡，關於這個問題國家、學界、行業和相關的群體等都討論了很多年，但是並沒有變得容易或者簡化的跡象，反之隨著信息流動性的高速上升而越來越複雜。

在本次ISC大會上，來自國家部委的標準制定專家從國家視角分享了他的看法以及在標準制定過程中面臨的挑戰。

本次演講嘉賓是

中國電子技術標準化研究院、信息安全研究中心、審查部技術總監

何延哲，他帶來的演講主題是《中國個人信息保護標準體系與實踐》。

在演講的一開始，何老師就開宗明義地表示：作為標準的制定部門，我們需要從另一個角度出發，儘可能地幫助企業和組織簡化個人信息保護要求的落地。《個人信息安全規範》的制定對於企業和組織而言相對比較友好，不像法律一樣非常講原則和死板。

不管是從國內從業者還是全球監管者的範圍內來看，總是遵循以下基本思路：

保護個人信息的根本目的是防止對個人的侵害，出於一種防患於未然的考慮。

在制定法律法規和監管功能的過程中，要有一個對等的措施。

從以上兩點出發制定的法律法規或者標準，首先還是一種政策，旨在達到一個引導和提升的效果。拋開民法和刑法的約束，從行政法和標準的角度來看還是希望企業能夠自律、合規和自我提升。如果所有的環節都是失效了，才有政策的處罰。但處罰是一種沒有辦法的辦法，比如說GDPR正式實施後已有律師起訴企業，但目前為止尚未有企業因為GDPR被處以全球營業額4%的罰款。所以無論是國內的法規制定者還是國外的監管者，所秉持的思路是類似的，這也推動了企業自己去思考怎麼在適應個人信息保護政策的過程中達到一個主動的狀態，或者說是理解監管者。所以說法規政策的重點還是引導和提升，希望企業能夠跟上時代發展的腳步，重視個人信息保護。

我們的國家標準制定單位也與國際機構合作，在制定國家標準時也借鑒了很多國際標準，有些甚至等同採用納入國家標準的體系，積極地讓我們的國家標準能夠使用全球化的體系和浪潮。

標準和法律法規的關係是什麼？

法律體現了一鍾框架和原則，這樣一來對於企業來說如何根據這些框架化和原則性的內容去理解法律的本意很困難，尤其是我國在個人信息保護方面的法規和調律尚無法和國外的相比，國外都是好幾百頁。國家標準就是用來指導企業進行實踐的一種規定，是從另一個角度幫助企業針對個人信息保護措施的落地，實際上在國家標準的制定過程中，權威部門和各個企業一起行動，應該說代表了在我國通行的一種最佳實踐。

意思企業在合規的過程中，要守住法律法規的底線，然後按照國家標準行動。國家標準的價值就在這裡，企業自行理解國家的法律法規然後形成一個文本，還是沒有國家各方面共同參與這種形式更具有說服力。

我國的個人信息保護規範的制定在這幾年裡快速完善，且符合我國國情，目前我國個人信息保護的框架不輸於任何一個國家。

我國在制定個人信息保護規範時還遵照了以下幾個要素：

時效性：現在看到的《個人信息安全規範》要比初稿薄很多，這是因為後來發現有些要求提的太複雜，形勢不斷變化，對於企業來說要兼顧隱私和便利的話可操作性比較低，沒有太大必要。所以最後選取了能夠真正產生效果，企業能夠真正遵守的要求，腳踏實地解決一些當前網路信息安全面臨的挑戰。

全面性：在制定我國的個人信息保護規範時，相關部門做了全球範圍內的調研和比較，其中也包括對於GDPR的研究，然後慢慢梳理和制定符合我國國情，能夠解決實際問題的標準。

可操作性：這對這一點必須要有一些要求可以落地，比如說大家看病的電子病例是否可以共享等。

制約的可能性：這裡說的制約的可能性也就是個人隱私與便利性的平衡問題。

適用性：雖然標準的本身是推薦性的，不像法律一樣具備強制性，但我國相關標準的推薦對象是監管部門和第三方評估機構，這樣的機構會參照標準進行實踐。

合規問題

何老師認為，推動我國個人信息保護規範落地的重點是高層的支持和企業的真正的重視。而企業的如何實現合規，從另外一個角度來想，只要遵循

可知、可控、可視、可溯、可迭代、可預警

這幾個要點即可，但這個也不簡單，需要大量的技術支持，因此也變成了技術的問題。