助力智时代构筑新安全
8月24日, “智能时代信息安全高端论坛” 在2018中国国际智能产业博览会期间于重庆成功举办。
论坛由中国国际智能产业博览会承委会、 中国电子信息产业发展研究院主办, 中国信息化周报、 《网络安全和信息化》 杂志社、 北京赛迪出版传媒有限公司、 赛迪智库网络安全研究所、 重庆市合川区人民政府、 重庆信息安全产业研究院承办。 论坛的主题是“助力智时代, 构筑新安全”。
大咖云集 高端权威
重庆市委常委、 政法委书记刘强, 工业和信息化部电子信息司副司长吴胜武, 国家密码管理局商用密码管理办公室副主任霍炜出席会议并致辞。 中国工程院院士倪光南、 中国科学院院士郑建华分别发表主题演讲,中国工程院院士陈纯、 中国电子信息产业发展研究院院长卢山、 中国电子信息产业发展研究院副院长曲大伟出席论坛。
京东集团、 360企业安全集团、启明星辰、 亚信安全、 海康威视、 江苏金陵科技集团、 青藤云安全、 神州绿盟、 上海赢联、 上海星地通、 北斗导航、 航天神禾、 易华录、 神州泰岳、 长扬科技、 恒芯天际、 太极计算机等众多企业代表, 以及来自浙江大学、 西南大学、 重庆邮电大学、 重庆理工大学等高校的专家和主流媒体代表600多人参加论坛, 现场座无虚席, 精彩纷呈。
当前, 网络强国作为国家战略正在全面推进, 产业也呈现出数字化、网络化、 智能化趋势。 智能时代, 信息安全的重要性和紧迫性更加凸显,构筑信息安全新常态成为必然。 在网络强国战略思想指引下, 新时代赋予了网信工作新的内涵和新的任务。
论坛围绕“助力智时代, 构筑新安全” 这一主题, 政产学研用各方代表齐聚重庆, 探讨面向智能时代, 如何在安全可信、 自主可控基础上, 共同构建信息安全体系新生态, 不断推动安全产业发展和数字中国建设。
目前, 重庆正大力实施以大数据和智能化为引领的创新驱动发展战略行动计划, 也致力于将重庆打造为全国信息安全产业的高地。
重庆市委常委、 政法委书记刘强在致辞中指出, 网络信息安全已上升至国家战略。 重庆市政府高度重视信息安全产业建设, 先后成立了重庆市信息安全产业研究院和重庆信息安全产业技术创新联盟, 在信息安全软硬件生产、 系统集成、 信息安全服务等方面集聚了一批优质资源, 加速形成信息安全产业圈、 创新圈和生态圈, 致力建设西部乃至中国信息安全产业新高地, 助力我国信息安全产业发展。
近年来, 工信部高度重视信息安全建设, 相继发布了一系列信息安全相关政策条例, 对地方政府和相关企业信息安全工作的开展, 指明了方向、 提供了保障。
工业和信息化部电子信息司副司长吴胜武在讲话中表示, 发展壮大网络信息安全产业已经成为维护国家网络空间主权、 安全和发展利益的战略选择。 互联网、 大数据、 人工智能等技术的发展为网络安全产业带来新的发展空间。 但我国的网络信息安全产业仍有较大提升空间, 未来要从突破核心关键技术、 加强新技术应用研究、 加快技术成果转化和人才队伍建设以及优化产业生态等方面着手, 进一步加快推动我国网络信息安全产业的发展。
作为网络安全的基石, 密码技术发挥着举足轻重的作用。 国家密码管理局在确定关于密码工作的方针、 政策,研究提出解决密码工作发展的重大问题过程中, 作出了重要贡献。
国家密码管理局商用密码管理办公室副主任霍炜带来题为“构筑以密码为基石的智能时代新安全体系” 的演讲。 霍炜表示, 智能时代最直接的安全威胁依然是网络基础设施和设备安全, 而密码在支撑智能时代发展的过程中被赋予新的任务, 要推动密码与智能时代的融合发展, 做到以应用促融合, 以强力推融合, 以创新强融合, 以机制保融合。
中国工程院院士倪光南做了题为“我国网信领域的若干创新” 的主题演讲。 倪光南表示, 我国网信事业发展很快, 有一些长处, 但也存在很多短板。 核心技术受制于人不仅带来供应链风险, 安全风险也同样严重。 因此, 网络安全的核心是技术安全, 应当将自主可控作为达到技术安全和网络安全的必要条件。
中国科学院院士郑建华在论坛做了题为“新形势下密码研究的思考”的主题演讲。 郑建华认为, 量子计算的发展将给经典密码带来挑战。 密码研究要紧紧围绕国家信息安全需求,面向实际应用。 而当前我们的密码理论研究和密码实际应用的结合有待进一步加强。 要有自信, 勇于创新。
会上, 赛迪智库网络安全研究所所长刘权发表了题为“我国信息领域核心技术安全可控发展路径” 的主旨演讲, 提出要坚持自主创新路线不动摇, 实施自主、 可控安全评估工作,以突破核心技术、 统一技术方向、构建安全可控生态、 抢抓新兴业务布局为重点推动核心技术安全可控路径实现。
京东集团安全战略官吉贻俊表示, 引领智能时代的核心在于创新,科技创新为相关产业的发展带来了新的活力。 京东目前利用人工智能的新技术和产品, 以技术驱动打造智能商业体。 过去的互联网是“扁平” 的,而在智能时代下, 互联网是“3D”的, 会有更多的设备接入网络, 随之也会带来各种安全风险。
智能时代的网络安全形势无疑变得更加错综复杂, 尤其是人工智能技术的发展给网络安全带来诸多不确定性, 我们需要构建怎样的安全能力?智能时代具有三大特征: 一切皆可编程; 万物都可连接; 网络空间成为第五空间。
电子科技大学教授、 成都市新经济发展研究院执行院长周涛表示, 数据对企业的重要性不言而喻, 对于我们每一个人来说也是至关重要的。 尤其数据量爆发的大数据时代, 这种忧虑值得思考, 将给我们带来三个方面的伦理挑战。
重庆市委常委、 政法委书记 刘强
重庆市政府高度重视信息安全产业建设, 集聚了一批优质资源,加速形成信息安全产业圈、 创新圈和生态圈, 致力建设西部乃至中国信息安全产业新高地。
工业和信息化部电子信息司副司长 吴胜武
未来要从突破核心关键技术、加强新技术应用研究、 加快技术成果转化和人才队伍建设以及优化产业生态等方面着手, 进一步推动我国网络信息安全产业发展。
国家密码管理局商用密码管理办公室副主任 霍炜
密码在支撑智能时代发展的过程中被赋予新的任务, 要推动密码与智能时代的融合发展, 做到以应用促融合, 以强力推融合,以创新强融合, 以机制保融合。
重庆大学教授、 国家密码行业标准化技术委员会委员向宏表示, 密码技术自始至终都是网络空间安全的基石, 没有密码技术就没有网络安全。而自主可靠的密码技术是自主可控的网络安全的聚点。 当前, 无论是密码软件还是硬件, 我国均已做到了自主研发。
高峰对话 思想碰撞
中国信息安全研究院副院长左晓栋, 中国计算机学会计算机安全专委会主任严明, 亚信安全副总裁、 亚信网络安全产业技术研究院院长刘东红, 启明星辰集团CBG战略咨询中心总经理、 集团助理总裁韩明畅,北京中科同向信息技术有限公司董事长邬玉良, 青藤云安全创始人&CEO张福以及中科院软件所首席研究员卿斯汉7位嘉宾在论坛高峰对话环节围绕“人工智能时代动态安全防御新技术、 新趋势” 和“‘安全自主可控’ 的机遇与挑战” 话题展开了深入交流。
左晓栋表示, 谈“自主可控”,首先要弄清什么是自主可控, 和国外合作行不行? 国外的产品能不能用?什么样的产品能用? 在对待技术发展上有两种观点, 一种观点认为, 要关起门来, 另起炉灶, 彻底摆脱对外国技术的依赖, 靠自主创新谋发展,否则总跟在别人后面跑, 永远追不上。 另一种观点认为, 要开放创新,站在巨人肩膀上发展自己的技术, 不然也追不上。 这两种观点都有一定道理, 但也都绝对了一些, 没有辩证看待问题。
我们要遵循一定的标准, 要搞清楚哪些是可以引进但必须安全可控的, 哪些是可以引进消化吸收再创新的, 哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。 再者, 自主可控是要到什么样的程度, 这也需要标准来解释, 这是一个科学问题, 要基于客观事实。
同时, 我国各厂商往往各自独立开发, 没有建立起生态环境和生态系统, 这样是行不通的, 我们应该学习国外的“Wintel” 联盟, 联合起来共同开发基础硬件和软件, 打造出完善的生态环境。
在严明看来, 自主可控是安全的必要条件, 而非充分条件。 但是我们不能以此来否定它的必要性。 在智能化的安全问题方面, 严明认为这和其他安全问题有相似也有不相融的地方, 包含两方面, 一个是把AI(人工智能) 技术运用到安全, 一个是AI本身的安全。 所以, 在发展信息化建设, 在研究AI或者智能化技术的时候, 对它的安全新的挑战, 也应该给予充分的重视, 而不是等到这个挑战让我们吃到大亏的时候,再进行慢慢修补。
例如AI的误判导致的潜在威胁和安全隐患。 还有就是我们在谈AI时往往围绕算法、 数据、 网络等方面, 但实际上AI还有执行机构, 比如无人机和机器人的形式。 我们在考虑智能化时, 不能忘记它的执行机构的研究和发展, 应该提前有所规划、有所思考、 有所储备, 才能让AI做得更好。
刘东红在谈到智能化和动态防御时表示, 传统上的安全防御以设备的堆砌、 人工的运维、 静态的防御为主, 已远远不能适应新的威胁带来的挑战。 现在更多地谈动态防御、 精密编排。 这种安全能力要从战略层、 战术层和工具层三个方面来综合考虑,从战略层的角度来讲是顶层设计, 要落实主体、 机制以及目标等等; 在战术层就要构建安全的能力框架去制定威胁相应处置流程等等; 工具层就把相关的技术工具、 各个厂商的产品进行精密编排联动, 使其能够各司其职, 从而实现自动化的运维管理。 这其中离不开人工智能技术, 现在很多厂商都在研究将人工智能运用到安全领域, 亚信安全也在做相关工作, 并在识别安全威胁过程中达到自适应、自学习的能力, 从而提高效率和分析的精确度等。 同时, 还将AI融入到精密编排联动的体系中, 并取得了良好的效果。
韩明畅表示, 启明星辰作为老牌的安全厂商, 深刻理解到网络空间安全形势不断的发展变化, 需要考虑如何颠覆原有的技术和模式, 来适应新的安全形势, 以应对更高强度的网络安全攻击。 在未来将面临国家级高压的网络对抗, 实际上这种高压对抗对网络企业产生新的挑战, 网络空间类似海洋流体, 具有复杂、 开放、 常态化接触对抗的性质, 并且环境不断的变化。 因此, 韩明畅认为, 不存在有效的网络攻击手段, 也不存在永久的防御手段和措施, 即使设计良好的安全体系也存在一定的风险, 本质就是我们在网络安全领域将面临更多的不确定性。 因此, 在这种新的形势下,不仅是网络技术, 网络的思维模式都发生了变化。 需要借鉴灵活性来对抗不确定性, 核心的目标就是取得网络空间的控制权, 而且摒弃过去在网络里面常见的预设阵地的做法。 在这种理念的指导下, 近期启明星辰也研发了基于智能化定义的安全体系, 来应对网络空间中不确定的、 高强度的网络攻击。
邬玉良在谈到网络安全时认为,网络安全的发展需要多种方向, 纵观网络安全发展历程, 其实更多地是针对网络的“门” 的防护, 即在网络边界部署安全策略。 但其背后的系统和数据才是关键, 因此对于数据本身的防护是未来安全防护的重点。 而在自主可控的发展道路上, 有机遇也有挑战。 国家从政策层面为自主可控的发展指明了方向, 这对厂商来说是一种支撑。 随着云计算、 大数据等技术的发展, 计算机技术出现了新态势和新环境, 只有依靠创新才能把握弯道超车的机会。
张福详细解读了新形势下安全的发展方向, 随着业务系统由封闭走向开放, 意味着安全风险也成倍增加,过去的安全防御往往是建立在对黑客的认知基础上, 通过建立安全团队去研究黑客的攻击方法。 但张福认为,这种以有限的认知和资源去应对无限的和未知的攻击, 是注定不会成功的。 因此, 必须把注意力从黑客身上转移到自己身上。 如果能够对自己的认知非常清晰, 在整个体系运转的过程中, 能够产生很多内在的指标, 通过分析这种指标去发现其内部的规律, 无论黑客用了什么样的漏洞、 工具或方法, 只要在网络内部活动, 一定会产生某种变化, 关键是有没有这个水平和能力去敏锐地发现目标, 这其中只靠人工是不够的, 因此, 需要结合AI技术来实现, 这是未来安全的发展趋势。
卿斯汉介绍了如何看待未来AI与信息安全的发展, AI技术的发展也经历了几次高潮和低谷, 近年来再次变得火热。 但目前AI仍旧处在一个较初级的阶段, 因此, 一方面我们还要继续加大研究, 把握好未来的发展方向。 另一方面需要根据AI发展趋势来考虑信息安全的需求, 是否需要构建一个新的安全架构? 例如物联网体系下的认证技术与其他安全体系是不同的, 所以我们需要建立AIoT,即“健壮的物联网结构” 下的安全保护体系。 当然还有物联网体系下密钥的存储也是有着不同的策略, 这些都是需要考虑的。
论坛高峰对话现场