誠然，對于整個人類社會而言，如此大范圍、持久性的災(zāi)難并不多見，新冠肺炎從根本上改變了人類社會的格局，但是這種變化也在各行各業(yè)激起了漣漪，進一步推動了線下向線上轉(zhuǎn)型的步伐，數(shù)字化成為不可逆的趨勢，新基建的發(fā)布再次為這種趨勢填上了一把干柴，“新”成為2020整個行業(yè)乃至社會最為火熱的主題詞。

　　為了探究這種變化對于安全領(lǐng)域的影響以及應(yīng)對之策，以“破壁·新生”為主題的2020京麒網(wǎng)絡(luò)安全大會召開，來自京東、騰訊、百度、中國電信、賽博英杰、高成資本、奇安信、蔚來汽車、商湯科技、科大訊飛等頭部企業(yè)的安全高管，以及北京大學(xué)、加州大學(xué)、北向智庫的專家學(xué)者同臺探討前沿安全技術(shù)，共商數(shù)智化解決方案，攜手連接安全新生態(tài)。

　

　　整個大會的演講和panel部分精彩紛呈，嘉賓們站在不同行業(yè)的角度各抒己見，總體圍繞“新基建”、“新技術(shù)”兩個大的方向展開，其中，新基建部分既有政府領(lǐng)導(dǎo)、研究機構(gòu)的政策趨勢解讀，也有重磅的新型基礎(chǔ)設(shè)施的發(fā)布；而在新技術(shù)方面，AIoT、區(qū)塊鏈、云虛擬化等前沿?zé)衢T的安全技術(shù)領(lǐng)域成為大會主要的探討對象，一場場滿含干貨的演講也為參會者帶去了酣暢淋漓的技術(shù)盛宴。

　　以下是本次大會演講的精華部分提煉，enjoy~

　　一、新基建

　　順勢而為，則事半功倍。政策往往對行業(yè)的走向有著重要指導(dǎo)意義。今年，新基建政策發(fā)布，安全作為新基建的底座，承擔(dān)著外戍邊界、滌凈內(nèi)網(wǎng)的護城河作用，我們該如何去理解新基建？新基建對安全行業(yè)有著哪些影響？先行一步的各領(lǐng)域頭部的企業(yè)，又有哪些經(jīng)驗和能力可供借鑒使用呢？本篇中來自政府、研究機構(gòu)的領(lǐng)導(dǎo)專家以及知名企業(yè)的安全高管，將為你解答這些問題。

　　

　　會議開始，公安部網(wǎng)絡(luò)安全保衛(wèi)局十八處的祝國邦處長對大會進行了致辭，祝處長首先對京東集團在疫情期間的網(wǎng)絡(luò)安全維護和物流保障工作給予了贊賞，并肯定了互聯(lián)網(wǎng)的發(fā)展對于整個疫情防控起到的重要積極作用。同時，祝處長也站在新基建的國家政策層面和疫情影響的宏觀社會環(huán)境角度，對網(wǎng)絡(luò)安全環(huán)境建設(shè)提出了共同防控、落實法規(guī)和踐行社會責(zé)任等要求。

　

　　在隨后的演講環(huán)節(jié)，中國網(wǎng)絡(luò)空間研究院網(wǎng)絡(luò)安全研究所負責(zé)人姜偉站在中國社會目前整體網(wǎng)信事業(yè)建設(shè)的視角，提出了行業(yè)發(fā)展帶來的網(wǎng)絡(luò)與現(xiàn)實世界加速融合的安全性問題、新技術(shù)和新應(yīng)用伴生的風(fēng)險性問題、數(shù)據(jù)化轉(zhuǎn)型帶來的安全風(fēng)險、大國博弈加劇的緊迫性問題以及后疫情時代的網(wǎng)絡(luò)威脅風(fēng)險等諸多隱患，并從技術(shù)創(chuàng)新、基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)預(yù)警、產(chǎn)品&供應(yīng)鏈管理、數(shù)據(jù)保護、安全人才培養(yǎng)等方面倡導(dǎo)了未來網(wǎng)絡(luò)安全行業(yè)發(fā)展的主要方向。

　　會上，京東安全重磅發(fā)布了全新的企業(yè)安全操作系統(tǒng)，該操作系統(tǒng)為一整套安全能力構(gòu)建及安全運營的底層標(biāo)準(zhǔn)框架，具有“原生、統(tǒng)一運營、數(shù)據(jù)驅(qū)動、開放”四大特性，可提供安全能力構(gòu)建所需的基礎(chǔ)服務(wù)，包括統(tǒng)一接入管理組件、資產(chǎn)管理組件、運營可視化組件、基礎(chǔ)大數(shù)據(jù)平臺組件及AI組件等，能夠幫助京東和京東的生態(tài)伙伴快速完成安全能力共建和智能聯(lián)動，將原生安全能力與傳統(tǒng)安全能力相結(jié)合，并且與 IT 基礎(chǔ)設(shè)施、業(yè)務(wù)流程無縫全周期、全鏈路對接，形成適合自身業(yè)務(wù)場景的安全解決方案。

　

　　本次企業(yè)安全操作系統(tǒng)發(fā)布，距離第七屆京麒大會的J-SAFE基礎(chǔ)設(shè)施發(fā)布僅一年之隔，之所以在短時間內(nèi)有如此重磅的產(chǎn)品疊代，與今年整體的環(huán)境背景和京東的生態(tài)安全布局緊密相關(guān)——今年在疫情和新基建政策的雙重影響下，企業(yè)乃至整個社會的數(shù)字化轉(zhuǎn)型步伐加速，對安全提出了智能聯(lián)動和高效協(xié)同的訴求，需要企業(yè)基于標(biāo)準(zhǔn)化的底層架構(gòu)拉通企業(yè)現(xiàn)有的安全能力，以智能分析為核心，形成有效的安全運營。面對這種突如其來的變化，亟需一套成熟的、能夠快速匹配企業(yè)新基礎(chǔ)設(shè)施的安全操作系統(tǒng)。

　

　　京東集團在此方面有著豐富的實戰(zhàn)經(jīng)驗和強有力的技術(shù)支持——京東業(yè)務(wù)涵蓋零售、數(shù)字科技、物流、技術(shù)服務(wù)、健康、保險、產(chǎn)發(fā)、金融、智聯(lián)云和海外等領(lǐng)域，業(yè)務(wù)場景多樣，且在這些業(yè)務(wù)安全平穩(wěn)運行的背后，有著龐大的安全基礎(chǔ)設(shè)施以及上百萬的IoT設(shè)備和服務(wù)器作為支撐。因此，在對安全領(lǐng)域多年的摸索和運行之下，京東已經(jīng)具備了包括數(shù)據(jù)安全、業(yè)務(wù)風(fēng)控和統(tǒng)一身份管理等多項原生安全能力，并已總結(jié)和剝離出統(tǒng)一的、可視化的運營能力，進而對不同業(yè)務(wù)場景的生態(tài)伙伴完成安全賦能。本次發(fā)布的企業(yè)安全操作系統(tǒng)，亦是對于京東多年積累的全套安全技術(shù)能力的萃取和升華。

　　本次以“新基建背景下的安全建設(shè)”為主題的圓桌論壇，主持人北京賽博英杰科技有限公司創(chuàng)始人&董事長、正奇學(xué)院創(chuàng)始人譚曉生，是安全行業(yè)里的老兵，人稱“譚校長”，對安全行業(yè)的變化和創(chuàng)新、新基建安全建精研覃思。他與電商、學(xué)術(shù)機構(gòu)、資方、搜索&AI、通訊、研究機構(gòu)的高管和專家一道，分享了不同行業(yè)視角的智慧洞察，可謂看點十足。

　　北向智庫首席經(jīng)略師潘柱廷認(rèn)為，目前安全領(lǐng)域最明顯的特征就是基礎(chǔ)設(shè)施化，形成了大基礎(chǔ)設(shè)施對前端體系的服務(wù)方式，比如潘柱廷現(xiàn)在就任的360,就是典型的以基建的方式做新基建安全，把安全能力基建化，最終輻射到需要安全的前端。

　　而站在基礎(chǔ)設(shè)施方的視角—— 中國電信集團網(wǎng)絡(luò)和信息安全首席專家劉紫千提到，目前通訊運營商在安全方面主要是網(wǎng)絡(luò)空間治理和威脅治理的角色，但他們更希望進行數(shù)智化的升級，把安全能力植入到規(guī)劃和運營當(dāng)中，中國電信已經(jīng)成立了移動安全科技公司，以服務(wù)型、科技型、安全型的對外全新姿態(tài)去面對新基建所帶來的一系列變化。

　　百度副總裁馬杰也從新基建的另兩個重要領(lǐng)域——AI和自動駕駛方面的安全問題進行了解答，馬杰認(rèn)為，既然是基建，就需要去解決基礎(chǔ)和本質(zhì)的問題，安全不能僅僅停留在簡單的攻防層面，而要回歸到模型安全的研究上，因此無論是AI還是自動駕駛，安全都要做到前面、想到前面。

　　陳鐘教授從更為宏觀的視角談及了在新基建當(dāng)中所需要注重的衍生安全問題。陳教授以區(qū)塊鏈為例，當(dāng)人們在注重區(qū)塊鏈安全本身時，往往會忽略一些衍生的安全問題，比如區(qū)塊鏈衍生的數(shù)字資產(chǎn)和數(shù)字貨幣，可能會因為涉及洗$、跨境外匯而被整體抹除，此時再關(guān)注區(qū)塊鏈的安全就沒有了任何意義，又比如人工智能方面，一旦人臉識別被禁止使用，那也將遭到重創(chuàng)，因此關(guān)注新基建對于安全的影響，不能僅僅關(guān)注某個單點，同樣也需要關(guān)注單點所帶來的衍生安全問題和合法問題。

　　插上資本的翅膀，行業(yè)從業(yè)者就會如虎添翼，走得更快更遠。因此投資者的認(rèn)知，對行業(yè)發(fā)展也起到重要影響。高成資本創(chuàng)始合伙人洪婧站在投資人的角度，從資源配置和創(chuàng)造價值兩方面帶來了不一樣的觀點：通過新基建，國家將數(shù)據(jù)提高到了生產(chǎn)資料的高度上，新基建不僅僅是經(jīng)濟上的投入，更是為未來中國向技術(shù)轉(zhuǎn)型發(fā)展奠定基礎(chǔ)，因此新基建的安全問題，我們既在補課也在創(chuàng)新，一方面要補以前IT投入不夠、安全投入不夠的課，另一方面在移動、AI等領(lǐng)域，也應(yīng)該結(jié)合和創(chuàng)新，不但把技術(shù)復(fù)制到中國，也使得技術(shù)創(chuàng)新來自中國，甚至是向海外輸出。

　　京東集團作為大會的出品方，作為以供應(yīng)鏈為基礎(chǔ)的技術(shù)與服務(wù)企業(yè)，在新基建當(dāng)中也扮演著重要角色，京東目前正在進行大量的智能城市賦能和供應(yīng)鏈基礎(chǔ)設(shè)施建設(shè)，安全部分也參與到了這當(dāng)中的諸多環(huán)節(jié)，包括上述提及的企業(yè)安全操作系統(tǒng)，京東安全希望以“甲方式賦能”的新概念和京東積淀的安全技術(shù)，為新基建中的安全領(lǐng)域提供更多的安全能力和經(jīng)驗借鑒。

　　看點4:甲方安全建設(shè)的新思路　　
　　奇安信是國內(nèi)安全行業(yè)的頭部廠商之一，除了自身投入到前沿安全產(chǎn)品的研究當(dāng)中，奇安信在服務(wù)各大甲方企業(yè)時也積累了大量不同場景的建設(shè)經(jīng)驗，對于新基建中甲方的安全項目有著很多幫助。京麒大會上，奇安信首席信息安全官兼網(wǎng)絡(luò)安全部總經(jīng)理聶君就為我們提供了一些新的思路。

　　

　　聶君以三個內(nèi)部的真實案例作為引子，分別為excel隱含宏騙取信息、升級包隱含惡意指令的注冊表、以及通過物理方式進行攻擊等，并給出了奇安信研究的解決方案。同時，聶君也總結(jié)了甲方安全建設(shè)的復(fù)盤關(guān)鍵點——一是盡量要求同樣的問題不再重復(fù)，你提出的安全措施能夠解決同樣一個問題；二是同類的問題盡量避免，不要重復(fù)犯錯誤；三是不要在低級錯誤上失敗；四是從復(fù)盤到復(fù)仇，奇安信內(nèi)部要求每一次事件出來以后，復(fù)盤的效果是下一次能夠抵御攻擊，實現(xiàn)復(fù)仇的效果。

　　除此之外，聶君還分享了他對于內(nèi)生安全、安全運營、甲方與乙方的相處之道等內(nèi)容的看法，為現(xiàn)場的安全從業(yè)者給出了非常中肯的意見和建議。

　　在互聯(lián)網(wǎng)時代的下半場——產(chǎn)業(yè)互聯(lián)網(wǎng)時代，AIoT成為各方企業(yè)共同追逐的常青樹，如今，在數(shù)字化、數(shù)智化時代的開局，AIoT同樣是最為主流的研究方向和跨時代的敲門磚，AIoT在安全領(lǐng)域目前有哪些最新的技術(shù)已成功運用？又有哪些最佳實踐經(jīng)驗值得借鑒？

　　來自百度、蔚來汽車、商湯科技、科大訊飛的安全高管和加州大學(xué)的專家為我們帶來了AIoT方面的最新技術(shù)和實踐。

　

　　馬杰將智能經(jīng)濟社會下，AI所面臨的安全風(fēng)險總結(jié)為三個維度——Security、Safety、Privacy,即強對抗下的環(huán)境安全，非對抗環(huán)境下的威脅，以及數(shù)據(jù)安全和隱私的保護。

　　在 AI 安全攻防上，首先是AI模型安全威脅研究，馬杰展示了在自動駕駛場景下可能會面臨的各種各樣的安全威脅，比如以對抗樣本的方式來欺騙物理的探測器等。非對抗環(huán)境下的威脅方面，馬杰演示了AI能力被黑產(chǎn)濫用的風(fēng)險，在視頻當(dāng)中，黑產(chǎn)利用深度偽造技術(shù)，使得現(xiàn)在我們賴以使用的各種面部識別和視覺識別失效，產(chǎn)生了新的安全風(fēng)險。在數(shù)據(jù)安全和隱私保護層面，馬杰強調(diào)了數(shù)據(jù)安全和隱私保護的重要性，他認(rèn)為，在AI時代，當(dāng)用戶覺得不安全時，整個AI時代的進展就會被延緩。他還展示了百度研發(fā)的隱私保護安全計算框架——Teaclave,作為開源框架，Teaclave主要可以打破數(shù)據(jù)孤島，極大的延展AI時代數(shù)據(jù)協(xié)作的信任邊界，目前可廣泛應(yīng)用于金融、醫(yī)療、無人駕駛等多個敏感業(yè)務(wù)場景。

　

　　今年，在信息安全行業(yè)，沒有什么比智能汽車安全更加火熱的了。今年 Geekpwn 大賽上，新能源汽車、智能汽車的破解，讓人印象深刻。目前，智能汽車安全問題熱主要源自以下幾個方面：一是用戶觸點增多，傳統(tǒng)汽車僅有車鑰匙，而智能汽車有藍牙鑰匙、IFC鑰匙，還有手機APP遠程啟動車輛的方式；二是新的商業(yè)模式，智能汽車的軟件是廠商新的收益點，有錢的地方就有新的安全隱患；三是代碼急劇增加，所帶來的bug也會增多；最后則是數(shù)據(jù)安全和用戶隱私的保護。

　　為了解決這些問題，蔚來汽車的安全團隊做了大量工作，從安全團隊組建、安全工作方法、安全保護技術(shù)、安全守護系統(tǒng)和安全響應(yīng)流程五個方面布局。以安全保護技術(shù)為例，蔚來汽車安全團隊在云、管、端做了多重防護，在人的方面，有防火墻、接口有訪問控制、接口強制清零校驗、TRS雙向認(rèn)證、網(wǎng)絡(luò)隔離等等；在通訊管道方面，運用了雙VPN的方式，涉及到對車輛有操作的請求，會通過物聯(lián)網(wǎng)專線直接連到公司的內(nèi)網(wǎng)服務(wù)器，確保這部分?jǐn)?shù)據(jù)的安全；在手機端，蔚來加固了安全防護，大部分的請求都要求GIN碼和生物特征校驗，并建立了登陸防御體系，確保一些異常的用戶可以被挑選出來。

　　正是有了這些安全防御措施，作為國內(nèi)智能車企界領(lǐng)頭羊的蔚來，在每年遭受多次重大的攻擊當(dāng)時，才能夠有效防御，避免重大事故的發(fā)生。

　

　　商湯科技賦能百業(yè)的實戰(zhàn)之下，對于AI在各個場景的安全風(fēng)險也有著豐富的應(yīng)對經(jīng)驗。莊漢陽分別以算法攻擊、算法場景防泄漏、數(shù)據(jù)安全管理三個場景為代表，介紹了商湯AI產(chǎn)品的安全實踐。

　　在算法攻擊方面，2015年商湯人臉識別剛上線時遭遇了大量攻擊，包括海外VPN反向訪問、偽造賬號密碼等方面，商湯采用了活體檢測的技術(shù)成功抵御；在算法場景防泄露方面，商湯采用了授權(quán)方式做SDK激活、加密技術(shù)、平臺化支持的方式保證安全；在數(shù)據(jù)安全管理方面，商湯一方面通過嚴(yán)格的制度進行內(nèi)部限制，另一方面，通過與流程、平臺、審計的結(jié)合，確保整個數(shù)據(jù)安全流程的合規(guī)。

　　4）加州大學(xué)戴維斯分校計算機系終身教授陳浩-《AI用于軟件安全和漏洞挖掘》

　　

　　模糊測試，是目前非常流行的一種軟件安全和漏洞挖掘的方法，模糊測試的做法相對簡易，只需要對程序進行不同的輸入，觀察程序的表現(xiàn)，看程序在什么樣的情況下會出錯即可。模糊測試有很多優(yōu)勢，一是一旦模糊測試發(fā)現(xiàn)程序出現(xiàn)了漏洞，那這個漏洞就一定存在；二是當(dāng)這個漏洞發(fā)生時，模糊測試可以一個個進行輸入驗證，一旦程序碰到了這個輸入就一定會出錯；第三，模糊測試的可擴展性非常好，有多少臺機器，就可以同時可復(fù)制的進行模糊測試。

　　但是模糊測試也有瓶頸，那就是如何能夠去探索程序的不同狀態(tài)——模糊測試同時也存在效率低下、缺乏系統(tǒng)性的理論指導(dǎo)全憑經(jīng)驗等問題，但是，借助AI的方式，就可以很好地規(guī)避掉模糊測試的這些弱點。介于陳教授后續(xù)的演講完全和算法、函數(shù)相關(guān)，大家可以關(guān)注“京麒“公眾號，回復(fù)“京麒大會”獲取PPT進行學(xué)習(xí)。

　　科大訊飛信息安全管理部總經(jīng)理常炳濤分享了他對于人工智能三個階段的理解，即計算智能（能存會算）、感知智能（能聽會說、能看會認(rèn)）和認(rèn)知智能（能理解會思考）,常炳濤認(rèn)為，目前人工智能行業(yè)的狀況，基本處于第二階段當(dāng)中。

　　近年來，人工智能企業(yè)的各種應(yīng)用也開始批量落地，為了能夠降低安全方面的風(fēng)險，科大訊飛最主要的措施主要在幾個方面：一是確保研發(fā)安全，將安全要素提前嵌入到研發(fā)階段；二是核心技術(shù)的安全防護，科大訊飛擁有專用的研發(fā)網(wǎng)，并且又專門的審批流，嚴(yán)格控制數(shù)據(jù)的留出；最后一點，就是業(yè)務(wù)的安全管理。

　　除此之外，科大訊飛在安全工作方面也有幾條重點的基本定調(diào)工作，可以用于企業(yè)的安全建設(shè)當(dāng)中——首先是合規(guī)；第二是核心商密的管理；第三是要提升自身的產(chǎn)品系統(tǒng)和產(chǎn)品競爭力；第四是個人信息層面，不僅要跟公司達成共識，還需要跟業(yè)務(wù)達成共識；第五是安全部門的人不能只發(fā)現(xiàn)問題不解決問題，即便落地的不是自身也需要有對應(yīng)的方案； 第六部分，是安全工作要高度契合公司的流程；最后一點，是數(shù)據(jù)驅(qū)動安全，最終實現(xiàn)人工智能的應(yīng)用落地。

　　

　　云服務(wù)在2015年左右就開始進入爆發(fā)期，到2020年Q2,全球云服務(wù)產(chǎn)業(yè)市場份額增速進一步增大，而虛擬化是基礎(chǔ)云服務(wù)大環(huán)境中許多服務(wù)的重要技術(shù)支撐。許多的云服務(wù)都需要從物理的硬件系統(tǒng)，通過中間的hypervisor層創(chuàng)建環(huán)境，可以把一個服務(wù)器分發(fā)給多個guest操作系統(tǒng)使用，實現(xiàn)的就是虛擬化，典型的代表有QEMU-KVM、Xen等等。

　　來自騰訊 Blade Team 的高級安全研究員錢文祥，分享了后續(xù)有關(guān)QEMU的論述，多以代碼形式呈現(xiàn)，大家可以關(guān)注“京麒“公眾號，回復(fù)“京麒大會”獲取PPT進行學(xué)習(xí)。

　　

　　區(qū)塊鏈的發(fā)展時間較短，從2009年比特幣系統(tǒng)誕生至今約10年的發(fā)展時間。關(guān)于區(qū)塊鏈的安全問題，目前比較典型的有拒絕服務(wù)攻擊、雙花攻擊、種族攻擊、芬妮攻擊、Vector76攻擊、替代歷史攻擊、51算力攻擊、整數(shù)溢出攻擊、女巫攻擊等。

　　除此之外，去中心化的應(yīng)用測試和關(guān)于密碼的支持也是目前區(qū)塊鏈所面臨的挑戰(zhàn)，面對這些問題和挑戰(zhàn)，陳鐘教授目前已參與到高校在區(qū)塊鏈創(chuàng)新行動計劃，包括了8個核心技術(shù)攻關(guān)的行動，和11項區(qū)塊鏈技術(shù)攻關(guān)能力提升的行動。

　　要應(yīng)對區(qū)塊鏈安全風(fēng)險，陳鐘教授認(rèn)為要從四個方面來加強： 一是，加強聯(lián)盟區(qū)塊鏈核心技術(shù)的自主創(chuàng)新；二是，要加強聯(lián)盟區(qū)塊鏈漏洞管理和最佳實踐；三是，加強聯(lián)盟區(qū)塊鏈安全標(biāo)準(zhǔn)和評測體系的建設(shè)；四是，加強區(qū)塊鏈安全人才隊伍建設(shè)與培養(yǎng)。