大数据+物联网时代安全是首要威胁——记2014中国互联网安全大会

来源:互联网周刊
关键字:大数据,物联网,安全
发布时间:2014-10-14 07:58

　　沸沸扬扬的“棱镜门”事件，对于互联网安全的影响仍在持续发酵之中，引发了民众和企业对于霸权式网络监控的抵制，甚至造成国家间外交的紧张态势，引发国家网络空间战略的紧缩。其影响之大，波及范围之广不亚于911事件，只不过安全威胁从现实世界转移到了虚拟世界。

　　“棱镜门”事件，连同泄密“功臣”斯诺登，自然成了2014中国互联网安全大会(ISC 2014）和众多信息安全专家常提起的话题。

　　2014年9月24日至25日，北京国家会议中心，亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014）如期而至。作为亚太地区互联网安全行业的饕餮盛宴，本届ISC吸引了包括美国首任美国国土安全部部长汤姆·里奇、计算机病毒之父弗雷德·科恩，以及中国工程院院士邬贺铨、公安部网络安全保卫局总工程师郭启全、360董事长周鸿、国家计算机网络安全专家云晓春等，数百位国内外顶级信息安全专家出席。

　　大佬聚首，

　　畅谈大数据和物联网安全

　　ISC 2014大会主题为“互联世界，安全第一”，聚焦在互联网时代、大数据背景下的信息安全所面临的全新挑战和问题，深入探讨了智慧城市、互联网金融、数字医疗、可穿戴计算等业界关心的问题。

　　作为本次大会的联合主席，中国工程院院士邬贺铨表示，万物互联将会是未来的趋势。不仅手机、电脑、电视机等传统信息化设备将连入网络，家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。

　　而随着可穿戴设备、智能汽车、智能家居、智能电网等智能设备和移动终端的快速普及，万物互联时代的设备连接和数据规模都达到前所未有的程度，远远超出了传统边界网络安全防御的范围；同时，云计算提高IT了资源使用效率，但其动态虚拟化管理方式、强大计算与存储能力，也会引发新的安全问题，给安全管理体系带来巨大冲击。

　　对此，360董事长周鸿指出，在IOT时代，移动设备的普及正吸引网络黑暗势力将目标逐步转至移动终端。与此同时，现有的安全防护手段逐渐失去效力，传统的系统安全、边界安全无法防卫以数据窃取为主要目的攻击行为，必须重新构建有效的安全防护体系。

　　并且，周鸿认为，信息技术和信息安全的自主可控能力与维护国家安全的能力紧密相联，国家面临构建自主可控安全系统的挑战，行业与企业面临的APT等新型攻击愈演愈烈，个人面临透明时代的隐私信息泄漏风险；甚至在未来，人类可能还不得不将面临智能机器“自主意识”的挑战与威胁。

　　不过，在如火如荼的互联网发展新时代，也促使信息安全机遇与挑战并存。周鸿透露，大数据瓦解了传统的信息体系架构，使信息安全监测更精细、更实时和更高效；利用大数据技术能更有针对性地对网络攻击行为的“蛛丝马迹”进行分析，使得网络攻击行为无所遁形，有助于找到发起攻击的源头。因此，信息安全进入新的转折点。

　　更高，更宽，更深：全视角，多领域深入探讨安全问题

　　首届ISC大会于2013年举行，以历时三日、1.2万人次的规格与规模，成为轰动国内信息安全届的盛会和安全人员的重要技术交流盛会。

　　2014中国互联网安全大进一步提升了会议规格、规模和专业性，参会人数超2万人次，超过100场国内外安全专家的精彩演讲和现场交流。在往年的移动安全、Web 安全、企业安全、云与数据、软件安全、APT等热门安全议题之外，大会首次将视角触及到国家网络空间战略等高端话题，将网络安全上升到国家层面；工控安全、车联网安全、信息安全立法等新兴热点，多角度宽领域探讨安全之道；以及攻防挑战赛、安全训练营、车联网系统破解赛等新项目，深入讨论安全话题、展示技术成果。

　　值得一提的是，在国家网络空间安全战略论坛中，国务院发展研究中心国际技术经济研究所所长陈宝国指出，全球信息安全的态势涵盖了对于网络空间主导权竞争加剧、大规模网络冲击风险提升、犯罪和恐怖行为向网络迁移等特点。陈宝国提出，我国不仅是全球互联网最大的用户，也是对互联网依赖性非常强的国家。但我国对于互联网的掌控能力却并不乐观，尤其体现在我国的基础软件核心部件对于国外市场的依赖度越来越高。

　　周鸿钟爱物联网，

　　前提是信息安全有保障

　　作为本次大会主席，360董事长兼CEO周鸿发表了题为《IOT时代的大数据安全》的主题演讲。随着IOT万物互联时代的到来，任何设备都将接入互联网，由此带来的信息安全挑战前所未有。周鸿坦言，很难以通过一套完整的安全产品和服务从根本上杜绝安全隐患。周鸿认为，IOT（Internet of Things）万物互联给信息安全管理体系带来了巨大冲击，传统的系统安全、边界安全已无法防卫以“数据窃取”和“大数据污染”为目的的恶意威胁，必须以大数据为核心，构建全新的信息安全防护体系。演讲中，周鸿详细阐述了IOT时代的六大挑战以及信息安全三原则。

　　其中，六大挑战分别是：网络接入边界模糊化，所有企业的互联网化趋势，大数据时代对用户隐私的挑战，智能设备被非法控制后的灾难，大数据污染，以及人工智能带来的挑战。

　　对此周鸿提出，大数据时代必须重塑信息安全的三个基本原则，以保护用户隐私和数据安全为前提，明确用户对信息数据的所有权，明确企业对信息数据的保障义务，并保障用户在信息交换和使用时的知情权，这些原则也是IOT时代信息安全保护的基础。

　　最后，周鸿表示只有遵守上述的三原则，进入万物互联时代，才能让用户对下一代互联网感觉更放心，才能更好的使用。这种全新的挑战，需要每个人、每个公司、安全企业各方面的支持，互联网上最重要的就是安全第一。

　　国际知名安全专家助阵，

　　呼吁信息保护

　　本届大会邀请到了美国首任美国国土安全部部长汤姆·里奇、计算机病毒之父弗雷德·科恩，两位国际知名安全专家在会上呼吁构建全球信息保护标准，力图唤醒人们的网络安全意识。

　　汤姆·里奇在会上谈到，网络袭击是一个全球性的威胁和挑战，另外，多数公民没有意识到政府和商业部门掌握了他们多少个人信息，其中有一些是不正当获取的。

　　他表示人们在互联网的互动是作为用户、市民而存在，大多数的公民都没有意识到政府和商业部门掌握了他们的个人信息有多少，有一些信息是法定规定的，有很多是自愿性的，但有一些是被不正当获取的。他认为，数字的聚集和分析不是关注的唯一点，使用复杂的算法可以更好的进行个人的一些行为分析和预测，但政府必须要非常谨慎地处理与用户隐私相关的问题，必须制定相应规则，限制数据的获取以及数据的使用。

　　计算机病毒之父，弗雷德·科恩有着传奇的经历，他是电脑病毒的缔造者，亲手打开了潘多拉的魔盒，让世界因此头痛了数十年。而现在他则尝试将魔盒关闭，变身为安全专家，致力于安全行业的相关研究和咨询工作。他对于信息安全与汤姆·里奇有着类似的观点。

　　弗雷德·科恩认为，信息安全技术迫切需要进行重大革新。尽管重新构筑一套完整的理论体系可能需要耗费很长的时间，但制定合理的实践标准却是可行的，因为很多实践标准目前已经被广泛使用，在现有成果的基础上制定实践标准是相对见效更快的方式。

　　弗雷德·科恩一再强调，信息保护更像是一门艺术，而不是科学。他指出一些看似简单的安全手段其实由来已久，比如定期修改密码实际上是二战时期使用的安全策略等。此外科恩认为，安全措施越多越好的概念则完全是一种主观认识，没有任何客观依据；而绝大多数的理论基础在实践中也确实很难发挥作用，因为概率风险评估涉及很多未知因素，因此结果很难被精确量化。这也让大多数标准变得“看上去很美”，却难以产生真正的实际意义。

　　绵羊墙、破解汽车、黑客提货机，

　　攻防之中揭露网络安全危机

　　在主题峰会和专业论坛之外，2014中国互联网安全大会还为参会者提供安全技术展示舞台；无论技术水准还是精彩程度，均堪比国际顶级黑客大会。

　　其中，继7月份，360公司发现特斯拉汽车应用软件漏洞后，本届ISC也再次展示了通过电脑或手机来破解汽车的大戏。

　　另外，为了彰显互联网信息安全问题的重要性，大会特设“攻防挑战赛”，邀请18位国内顶尖的网络攻防技术参赛，以小组为单位，就网络入侵及防御技术展开竞争。

　　同时，本届大会还设立了国内首个“安全训练营”，从9月23日起，安全训练营于国家会议中心率先启幕，特别邀请了国内顶级白帽子大咖公开招收“门徒”，面对面传授高级攻击秘籍，零距离学习前瞻网络安全技术，探究网络安全的终极奥秘。

　　饶有兴趣的是，大会还开设了黑客大会上传统的“绵羊墙”活动——把使用不安全口令的用户名和密码公布在墙上。如此做法，网络安全专业人员一方面是想教育人们：“每个人都很可能随时都被监视”，另一方面也是想提醒那些参会者：即便是专业人士，如果不注意安全防护，也同样会被曝光在墙上。

　　为了进一步增添峰会的互动氛围和趣味性，本次大会还在一层大厅安置了“黑客提货机”，通过与售货机“对答”，将有机会免费获得一件售货机中的宝贝。

　　主办方透露，ISC 2014目标成为互联网安全行业从业者和创业者了解安全行业和技术趋势，学习最新技术和技能的最具影响力平台。

　　本刊记者郝影