人，最脆弱也最安全：2017中國互聯網安全大會首日紀實

新聞 09-14

人是網路安全最脆弱也是最關鍵的因素。

周鴻禕在今年的中國互聯網安全大會（ISC）上談到關於人的重要性，人即是網路安全中的軟肋，也是安全中的關鍵一環，這也驗證了本次大會的主旨——人是安全的尺度。

網路安全發展至今，

已經逐漸轉化成科技勞動密集型行業，而當今在安全人才供需缺口上依然存在數量級別的差別。

會中，周鴻禕也提到「沒有攻不破的網路」，而防禦的關鍵就在於安全領域存在著眾多的安全人才，在安全領域上默默耕耘著。

今天，來自全球20個國家，31家安全廠商的160多位安全領袖與專家與會，同時講述了他們與安全的故事。

成為傑出的安全人才，到底需要怎樣的成長？

Benjamin Kunz Mejri——沒有「我」攻不破的系統

Benjamin 是 Evolution Security GmbH 公司CEO ，同時也是漏洞工作實驗室的創始人，當他還是一個小孩時，他曾經遇到一些問題，就是沒有辦法進入到這個行業。原因就是因為他16、7歲的時候，當時安全漏洞市場暫時不存在，當時也沒有平台可以做信息的交換，而且自己的學歷也很一般，憑藉基本的學歷是無法進入這個行業的，所以 Benjamin 決定建立自己的基礎設施。

對於漏洞實驗室的建立是非常艱難的過程，因為當時全要靠自己，沒有使用任何的開源組件，比如說20多人的開發者團隊都沒有，當時也沒有太多的預算，也沒有很多的資金，也都是自己一個人搞起來的。

只做一個實驗室明顯是不夠的，所以 Benjamin 決定建立自己公司——Evolution Security GmbH，一開始還只是發現一些很小的漏洞，後來越做越大，而現在演變成集體出擊，去攻破系統，這種攻破是出於安全的研究，科研，並不是為了去黑市賣錢什麼的。

2012年，Benjamin 與航空公司開始合作，在很多國家的安全標準並不是很高，所以 Benjamin 決定建立足夠安全的標準。

入侵他們，是為了讓他們加強警惕。

Benjamin 公布一系列的漏洞，讓他們識別出風險，並修復。在這之後基礎設施在機場裡面完全發生了變化，他們現在有安全的分析師，有更深的一些安全意識，進行不同領域的研究。

從13年到17年，Benjamin 開始對 ios 設備」下手」了，比如他們發現了：通過緊急呼叫來越過系統，你可能可以越過他的驗證系統來進行攻擊。 Benjamin 也是從設備當中讀取了這些原始的原數據。

而在 16 年的時候，發現了在iOS8的版本裡面的兩個密碼驗證的漏洞。

現在 Benjamin 的團隊每年都會發現2000個安全漏洞，他們也成為了前5大賞金的獵人，做的事情也得到了很多人的認可。

從滿腔抱負到功成名就，我們可以看到在 Benjamin 身上，有一股韌勁。

Neil J. Walsh——死裡逃生，當時決定自己要為這個世界做些什麼

我來自愛爾蘭的北部一個非常小的地方，當時是有一組恐怖主義分子，他們經常殺人，搞炸彈襲擊。這在80年代的時候，90年代的時候，一直籠罩著我的童年。

我後來慢慢長大以後，我和我的爸爸曾經在我所來自的首都附近一個小店門口，我們倆站在那裡，我和我的爸爸我們兩個人非常幸運的躲過了一次炸彈襲擊，但是我旁邊有一個小孩卻在這個事故當中死掉了。

女士們、先生們，當時那一刻我就決定，我長大在我的生命當中，要想辦法讓別人的生命更加的安全，生活得更好。

Neil J. Walsh 是聯合國毒品與犯罪問題辦公室網路犯罪全球項目主管。小時候的一一次經歷，讓他意識到應該做點什麼了。在先是做了一段時間的警察後，

Neil前往

荷蘭海牙歐盟的執法機構工作。

聯合國的系統中，中國在政策方面的研究，能幫助各個國家共同面對在政策方面的網路犯罪的挑戰，包括美國、日本、挪威在內都在一起打擊犯罪行為。

Neil 現在做的項目，是幫助教授使用的教學材料，幫助他們去教授學生，抗擊網路威脅。從小學、中學一直到大學的教學材料， Neil 的計劃是在接下來的兩年裡面，希望出一做出些關鍵的教學材料，使他們能夠提供給全世界的老師免費使用。

IT教育同時也是雙刃劍。

在與 Neil 曾經合作過的國家裡面，有幾千個暫時未就業的IT從業人員，這麼多的從業人員，他們的技巧非常高，但是自己卻沒有工作做的話，這裡就有一個非常大的網路犯罪的風險，有些人可能想去使用自己的技巧，卻沒有用武之地，當然有可能就會犯罪。

Neil 發展教育，通過這種方式先創造一些就業，建立網路安全的行業，這樣國家會更加的安全。

談及自己早上收到同事發的一封郵件，內容顯示現在很多孩子，甚至是嬰兒會通過線上受到性侵犯，有些是被強暴，性騷擾和性虐待，甚至有很多的視頻和照片出現在網上。他現在急需對警察和檢察官進行培訓，以及與私營部門合作，與社交媒體和網路安全公司合作，建立犯罪資料庫，同時對孩子們進行網路安全教育。

Neil 自己也是有過在生死線上徘徊過的經歷，了解到了生命是如何的可貴，用自己的實際行動讓這個世界變得更安全了一些。

William A. Owens——無意間的舉手之勞卻救了一家人

80年代的時候，我是海軍的四星上將，當時來到中國的海岸線上，有一天晚上，我看到了四個人，一個妻子，一個男性，兩個孩子，他們也是把我嚇了一跳，我給了他們一些冰淇凌，還給了他們一些錢，最終救了那個小家庭。

當時 William 在珍珠島的時候，就被提醒不要違反原則，然而他還是肩負起了領導責任，通過一些小事，幫助了別人。

William 在今天的演講中透過軍事戰爭的演變來分析了

網路戰

的發展。

網路戰其實還是一個新東西，在 William 看來，從軍事角度來說，是有一個看卡斯特公式的，通過這個公司可以衡量軍隊有多少艦船，有多少武器。現在發現，簡單的衡量武器裝備數量並不能體現一個國家的軍事水平，這樣的方法已經過時了。

智慧戰爭，已經開始變革傳統的軍事戰。

現在，國家已經不會通過衡量艦隊的數量來衡量軍事能力，而是花重金在智慧戰爭中，比如用感測器去看戰場，使用大頻段的網路等。

網路戰也逐漸開始起主導作用。我們也需要找到一種合適的方式，出於國家良好的意願，以及整個人類的和平，需要自己審視，自己能夠在網路戰中發揮什麼樣的作用。

網路安全新疆界

方濱興院士——網路空間安全的定義與演進

信息安全，網路空間安全，先要分別說清楚。

網路空間安全和傳統的信息安全有什麼區別？首先要對它們的定義搞清楚，比如傳統的信息安全就分成四個層次，最底層是設備安全，上邊分別是運行安全、數據安全、內容安全。

方院士提到，第一個要講的就是

載體

，比如水就是大海的載體；有載體還不夠，還要有資源，剛才提到的網路空間的載體就是計算機，信息通訊設備等，其對應的資源就是

數據

；有數據還要有

主體

，而主體一般都是人；再有就是它的

活動形式

，海陸空中是物理空間，活動形式是運動，而在網路空間中，則要關注的是

數據的操作

。

對於網路空間的定義，包含以上的四個因素是最為完整的。

在網路安全戰略中談到，伴隨著信息革命的飛速發展，互聯網、通訊網、計算機系統、自動化控制系統、數字設備及其承載的應用、服務和數據等組成的網路空間，正在全面改變著人們的生產生活方式，它的要素有設施、數據，同時還有用戶和操作，操作包括它的應用之服務等等。等於在中國定義網路空間的時候就是強調了包括這四個要素。

定義應該覆蓋所有的可能才是一個嚴格定義，所以在學術角度上來看，網路空間就是

人類通過網路決策，依託信息通訊基礎設施來進行廣義信號交互的人造活動空間

。

安全的範疇大大延伸，形成基於「424」要素的網路空間安全。

對於網路空間上的防護，方院士提出了自己的「424元素」，第一個「4」代表著設備、運行、數據和運用中所存在的安全問題，第二個「2」是兩層，保護代碼層和空間層，防止濫用這些系統；第三個「4」則是上文提到的4種要素。

網路空間的的發展隨著技術，社會的發展而改變，需要採取法律、管理、自律等綜合手段來應對，確保信息通訊系統及所承載數據的機密性、可鑒別性、可控性、可用性得到保障。

周鴻禕——大安全時代

周鴻禕演講的內容是上午的最後一個議題，作為壓軸出場，紅衣教主也是圍繞「人」這個尺度講述了即將到來的大安全時代——

WannaCry ，標誌著大安全時代的到來。

紅衣教主稱，這個全球性的安全危機不但破壞大量高價值數據，而且直接導致很多公共服務、重要業務、基礎設施無法正常開展。高校、加油站、火車站、自助終端、郵政、醫院、出入境簽證、交通管理、政府辦事等多機構癱瘓。網路安全事件直接影響影響到了社會穩定和正常運行。

隨著物聯網、車聯網和工業互聯網的發展，他們開始成為網路攻擊的目標，另外在物聯網、車聯網和工業互聯網中開始使用一些人工智慧技術，使用人工智慧技術發展無人化的系統，無人值守的汽車、無人飛機、無人值守的武器，這些無人系統一旦被劫持，將帶來更多、更嚴重的安全問題。

世界上只有兩種系統，一種是已知被攻破的網路，一種是已知被攻破但自己還不知道。

現實世界中的任何網路系統，即使設計再精巧，結構再複雜，無一例外都會有漏洞，而且單靠購買和部署各種網路安全設備也無法防住針對未知漏洞的攻擊。因此，網路系統的安全就如同馬奇諾防線一樣，靠防是防不住的，一定會被攻破。NSA的數據泄露和Mandiant被滲透，充分驗證了沒有攻不破的網路。

漏洞的價值不亞於傳統戰爭中的炸彈。

WannaCry事件深刻揭示了漏洞就是未來網路戰的關鍵，在網路戰中，重要漏洞的價值等同於傳統戰爭中的炸彈，誰掌握了對方的網路系統漏洞，誰就找到了攻擊的突破口；誰能及時發現和掌握自身的網路漏洞，就可以先為自己夯實安全的堤防。

人是網路安全最脆弱的因素，攻擊往往是從重要目標身邊的個人開始，如目標單位供應鏈中的員工、目標政府官員身邊的親人等，然後以個人為跳板，進行橫向滲透，最後對目標人物、組織和設施進行竊密和破壞。人也是網路安全中最重要的因素，網路安全不是購買並部署一批網路安全設備，堆砌一些產品和技術就能防的住的，還需要大量專業的安全專業人員來做分析、研判、響應和處置。

人也是網路安全中最重要的因素，網路安全不是購買並部署一批網路安全設備，堆砌一些產品和技術就能防的住的，還需要大量專業的安全專業人員來做分析、研判、響應和處置。

總的來說，人作為安全的「尺度」，對於互聯網起著至關重要的作用。

這些內容同樣不容錯過

生物黑客 Patrick Paumen——出門不用帶鑰匙

我現在的身體內是14個植入物，有4個在我的指尖，這都是一些感應系統，它們不需要電池，所以可以永久植入。指尖有非常豐富的神經末梢，我可以通過它們感應到電磁場！

會上，

Patrick 也為我們分享了自己身體內 RFID 標籤植入物的感受。

對於

Patrick 來說，可能永遠都不用擔心忘帶鑰匙的問題，只要有體內的植入物就可以了。

Patrick 也在會上演示了自己是如何使用這個新的標籤植入物，來去發一些加密的數據和郵件，他只需要按一個鍵，發一個信息，這裡加密了。然後掃一下植入物，把郵件發送過去。這樣的方式也保證了只有本人和收件人才可以打開郵件。

密碼技術應用——密碼技術的最新趨勢

密碼技術應用論壇，將重點探討密碼技術最新的發展趨勢、理論前沿、應用成果以及國產化探索等問題。

信息安全國家重點實驗室林東貸主任為我們帶來了「密碼技術前沿應用與發展」的議題，議題中談到

密碼是網路空間安全的基礎，是保障數據與通信安全，構建各類安全協議、安全機制與安全系統的核心技術。隨著移動互聯、雲計算等新型應用的發展，密碼演算法的運行環境發生了巨大變化，現實應用的多元化需求對密碼演算法提出了更多更高的要求。同時，開放融台環境下層出不窮的多元化攻擊手段，以及量子計算等新型計算技術的出現，也對傳統密碼演算法的安全性提出了嚴峻的挑戰。