万物互联颠覆传统安全

　　——2014中国互联网安全大会“干货”不断

　　2014中国互联网安全大会的规模比去年翻倍，这个众多信息安全领域重量级人物站台的大会，给与会者带来了哪些“干货”？透露了哪些前沿的安全趋势和独到见解？

　　从2013年第一届中国互联网安全大会(ISC2013)1.2万人次参会，到2014年中国互联网安全大会(ISC2014)主办方称超过2万人次参会，可以看出人们对于安全的认知正在迅速提高，而安全与互联网的结合，又让安全与每个人息息相关。

　　ISC2014历时两天，除保留移动安全、Web 安全、企业安全、云与数据、软件安全、APT等热门安全议题外，大会还首次将视角触及到国家网络空间战略等高端话题，以及工控安全、车联网安全、信息安全立法等新兴热点，共设置12个论坛，以及攻防挑战赛、安全训练营、车联网系统破解赛等新项目。记者希望以亲身见闻，帮助读者从众多“干货”中汲取精华。

　　安全体系必须重建

　　9月24日大会首日，距离大会正式开始还有50分钟，位于北京著名建筑“鸟巢”、“水立方”北侧的国家会议中心门外就已经排起了长队，因为吸引了众多信息安全业内人士和普通网民的ISC2014将在这里召开。

　　这些早早就排起长队等待入场的人们，未必是某个即将登台演讲的重量级人物的粉丝，也未必是因为看到了绚丽的宣传海报就头脑一热来参会，但记者相信，他们都对互联网安全保持着热切的关注，甚至热爱着信息安全这个行业，希望从大会上看到行业的前瞻动态，参与其中并把握未来。

　　本次大会的联合主席、中国工程院院士邬贺铨表示，在应对安全威胁时，除了着眼目前的挑战，我们更应该放眼互联网的未来。邬贺铨认为，万物互联将会是未来的趋势。在不久的将来，不仅手机、电脑、电视机等传统信息化设备将连入网络，家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。而更多数量、种类的设备接入互联网，让互联网的怀抱更加宽广，也让互联网安全的形势更加严峻。

　　“互联网不仅仅把人和人连接起来，也不仅仅通过手机进行连接，互联网其实能够把我们今天所有能看到、想到、碰到的各种设备都连接起来，这就是万物互联。”360公司董事长兼CEO周鸿祎指出了万物互联的环境呈现出的三大特征。一是互联的设备数量大幅攀升，未来五年，接入网络的智能设备数量预计将达到100亿~200亿个，远远超过地球上的人口数量，也远远超过现在电脑和手机的数量；二是这些新的智能设备不同于传统的电脑，它们通常会24小时全天候不间断地产生工作并产生数据；三是这些设备自身的数据存储和计算能力有限，通常需要把数据上传到云端进行处理。然而，这三大特征都给用户带来了更大的安全风险和隐患。

　　“智能汽车就像一个装有四个轮子的大手机。”周鸿祎一向言语诙谐，他把汽车比作手机，其实是希望大家对越来越智能化、互联化的设备提高警惕，有些设备其实就是我们身边的日常用品。汽车已经成为很多人每天离不开的交通工具，然而汽车越来越智能，车联网、电子设备……也让汽车成为恶意攻击的潜在目标。试想，如果一些简单的设备加上手机软件就可以对智能汽车进行攻击，通过远程遥控开启汽车，或者让汽车在驾驶途中熄火等，这都将是灾难性的。

　　事实上，国外已经有Charlie Miller和Chris Valasek两位白帽子黑客曾经对攻克丰田和福特两款汽车的核心操作系统进行过演示，他们甚至可以通过互联网篡改刹车、加速、转向等指令。此外，在7月，360公司率先发现了特斯拉Tesla Model S 型汽车应用程序流程存在设计缺陷。攻击者利用这个漏洞，可远程控制车辆并实现开锁、鸣笛、闪灯、开启天窗等操作，并且能够在车辆行驶过程中开启天窗。这是全球范围内安全公司首次发现特斯拉汽车的应用程序漏洞，360公司在ISC2014上也再次演示了这个漏洞利用。

　　“在万物互联时代，各种智能设备的普及正在让恶意攻击的目标逐步转移到这些终端上，接入网络的终端越多，就意味着可以被攻击的入口越多。与此同时，现有的安全防护手段逐渐失去效力，传统的系统安全、边界安全无法防卫以数据窃取为主要目的的攻击行为。所以，安全防护体系必须被重新构建。”周鸿祎说。

　　安全产业期待革命

　　ISC2014上，汇集了大量世界级的信息安全明星，比如被称为“计算机病毒之父”的弗雷德·科恩(Fred Cohen)，FireEye前首席安全内容官、Palo Alto Networks共同创始人兼前首席科学家、被称为“硅谷安全创业教父”的弓峰敏，美国首任国土安全部部长汤姆·里奇(Tom Ridge)等。他们的亮相和演讲，不仅仅为大会增添了耀眼的星光，更重要的是他们对信息安全深刻、独到的见解，让很多人眼前一亮。

　　无论是大名鼎鼎的FireEye、Palo Alto Networks，还是高速成长、潜力巨大的Cyphort、IntruVert，这些美国安全厂商的背后都有一个人在它们成长的过程中扮演了重要角色，这个人就是弓峰敏。弓峰敏强调，术业有专攻，安全厂商必须要做专，才能有立足之地，才能真正为用户解决问题。然而，随之而来的问题就是，由于各个厂商都是专才，在进行安全防护时，就需要全部的安全生态系统相互配合，才能有效地抵御现代的安全威胁，避免被攻击者各个击破的窘境。国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春同样认为，对比美国已经初步形成的反APT产业联盟而言，中国的信息安全产业协同方面仍然存在差距，需要建立更加广泛的合作体系，对漏洞进行整体防御等诸多手段，联合起来抵御APT等现代化的新型攻击。

　　360公司首席隐私官谭晓生则十分认同弓峰敏的观点。他认为国内安全市场上的同质化竞争必然造成人财物等各类资源的浪费。“防火墙、IPS等各类安全技术和产品应该由不同的厂商在某一个领域内深耕，同时在市场中培育安全服务公司，这样才能形成更有效的防御机制，国内安全产业未来的发展趋势应该参照美国的模式。”谭晓生说。

　　专业与协同，是安全厂商需要认真考虑的问题，而说到信息安全产业的发展，则可能是更多人关心的问题。弗雷德·科恩认为，在过去70年的时间里，信息世界发生了很大的改变，计算机和互联网逐渐成为我们生活中不可或缺的组成部分，然而信息安全的科学理论却自上世纪80年代以来就一直没有发生过重大改变。

　　科恩表示，信息安全技术需要重大革新，并且需要重新构筑一套完整的理论体系。虽然现在有密码学、信息流控制和对病毒、恶意软件的研究，但科恩认为这些研究的作用都十分有限，“密码学理论在很大程度上忽略了现实状况，而信息流控制的方法几乎没有被使用，病毒和恶意软件理论在很大程度上只是说明了哪些事情不可以做。”科恩认为，实践标准(Standard of Practice，SoP)恰好为探索提供了出发点，当然这其中还有很多问题需要研究。

　　“信息保护更像是一门艺术，而不是科学。虽然目前我们并没有完美的信息安全标准，但是成熟的模型终将会出现。”科恩说。

　　安全产品需要创新

　　去年9月，360公司发布了“360天擎、360天眼、360天机”三款企业级产品，分别针对终端安全管理、未知威胁发现和移动终端安全管理。记者认为，这是360公司的一次伟大尝试，这三款产品发布的意义不仅在于360公司向进军企业级安全市场迈出了坚实的一步，更意味着360公司希望从未知威胁发现、移动终端安全管理等前沿的防护技术入手，引领国内企业安全市场和技术的发展趋势，并向外界宣称360公司的志向并不在防火墙、IPS这样的传统企业安全产品。

　　在ISC2014上，新版的“360天机”(企业移动终端安全管理)发布。360天机主要解决企业移动信息化环境下的安全与管理挑战，具有病毒木马查杀防范、企业数据隔离保护、企业远程IT支持管理移动设备等技术特点。它具有公私数据安全隔离、 企业应用封装加固、移动终端统一管理、数据存储传输加密等特色技术，其中部分已获得技术专利。这些技术能帮助企业大幅度降低手机和智能平板在使用中因操作不当、设备丢失、主动泄密等方式造成的数据泄密风险，保障企业的信息安全。据了解，新版360天机支持国密算法，避免了商密算法漏洞所带来的安全隐患。目前360天机产品已经通过公安部的评测并获得许可认证，满足国家对移动安全最新规范的要求，为政府、国企的高安全等级保护提供了有力支持。

　　周鸿祎在大会上强调，360公司在面对各类智能设备和万物互联所带来的更为广泛的安全威胁的同时，也在积极利用智能设备和物联网，为用户提供更加多样化、全面的安全产品和服务。在ISC2014上，“360儿童卫士2”、360免费WiFi手机版、360加密邮系统、新版360加固保等诸多新产品悉数亮相。

　　科技是把双刃剑，如果攻击者利用科技为非作歹，那么正义的安全守护者，就同样会拿起科技的武器捍卫广大用户的权益。360公司做的正是这样一件事情，利用最新的安全技术和创新的互联网思维，给用户带来创新的安全产品，营造从电脑到手机再到整个家庭，从消费级到企业级的安全防护环境。

　　大数据安全三原则

　　时下，“大数据”仍然是炙手可热的词汇，每个人都在思考什么才是大数据，如何利用大数据。事实上，万物互联的另一个重要特征就是会产生大量的数据，这些数据也将成为人们可以分析利用的宝贵资源。在ISC2014上，周鸿祎提出了一个概念——大数据污染。所谓大数据污染，就是如果人们使用的大数据资源中被恶意加入了不好的数据，人为操作和注入修改虚假信息，那么一些根据这些数据进行行业指导和趋势分析的工作将会受到严重的干扰，甚至造成巨大的损失。周鸿祎表示，大数据污染通常分为两种情况，一种是收集的数据中含有刻意或无意加入的无用数据，甚至对分析产生负作用的数据；另一种是收集后的数据遭受入侵、篡改、替换等。

　　如果未来恶意的大数据污染真的给数据分析方带来误判，就有可能导致国家金融导向偏失、传染病疫情失控，以及国计民生政策制定偏差等重大问题，甚至可能引发事故灾难。

　　“在未来，大数据将成为一切组织、国家、社会行为决策判断的基础。如果大数据被入侵、篡改、污染，那么将会影响一系列的社会决策，其后果将是灾难性的。”周鸿祎说。

　　面对大数据时代可能存在的安全隐患，周鸿祎也首次在ISC2014上提出了信息安全三原则。

　　第一，虽然这些信息储存在不同的服务器上，但这些数据应该是用户的资产，这是必须明确的。周鸿祎希望将来谈及用户数据时，能等同于财产所有权一样，个人隐私数据也会有所有权，希望立法专家能够考虑这个所有权应属于用户所有。所以，个人信息是用户的资产，它只是暂时托管和存放在各个公司的服务器上。

　　第二，不仅是今天的互联网公司、网络安全公司，甚至包括很多要进入互联网，要利用IoT技术，要给用户提供这些信息服务的公司，要有相应的安全能力，要把收集到的用户数据进行安全存储和安全传输，这是企业的责任和义务。如果这个企业没有足够的安全能力，却收集了用户的财产、隐私等各类信息，这些信息的丢失会给用户本人乃至整个社会带来严重的后果。

　　每一个想做互联网业务的公司，每一个有用户资料的公司，每一个要把自己的服务摆到互联网上去的公司，都要提升公司的安全能力，提升安全防护水平，要收集用户的数据，必须要先建设安全可靠的传输存储的基础。

　　第三，使用用户的信息，一定要让用户有知情权、选择权，平等交换、授权使用，不能未经用户的授权就去采集他的信息。比如如今有些智能手机上有很多应用根本和短信毫无关系，却要把用户的短信记录上传到网上，在用户不知情的情况下过度收集数据。对于用户而言，应该具有选择权力，可以拒绝应用对于用户数据的收集，可以拒绝相应服务。

　　如今很多互联网应用都是免费的，在很多情况下，用户是在用自己的数据作为交换，来换取相应服务。这些数据被企业拿到之后，可以利用它来进行一些所谓的推广和营销活动。但是企业在进行这种行为时一定要获得用户的授权，在用户允许情况下进行。如果未经用户授权就泄露用户数据，把数据卖给别人并牟利，这不仅要被视作不道德的行为，而且也应该是非法的行为。

　　周鸿祎表示，进入万物互联时代，只有遵守上述的三个原则，才能让用户对下一代互联网感觉更放心，才能让互联网得到更好的使用。这种全新的挑战，需要每个人、每个企业、每个安全厂商的支持，因为随着互联网应用的深入，越来越多的人会意识到，安全才是最重要的。

　　本报记者 程彦博