安全没有边界 | ISC 2018互联网安全大会Day 3报道

前言

9月6日，ISC 2018互联网安全大会技术峰会在国家会议中心召开。

360集团技术总裁、首席安全官谭晓生，安天实验室创始人兼首席技术架构师肖新光，清华大学教授段海新，柏林工程和经济应用科学大学教授Katarina Adam，《零信任网络》作者、资深工程师Evan Gilman等重磅嘉宾纷纷上台发表演讲，从技术的角度为人们分析网络安全技术的复杂与应用，共同探讨未来安全技术研发方向思路，推动技术的革新与发展。

360集团技术总裁、首席安全官谭晓生在致辞中说：“2018年，互联网安全大会已经进入第六届，从首届互联网安全大会首次举办开始，我们就一直坚持开放性和专业性的原则，结合中国特点，兼顾技术和产业，一路走来，逐渐成为了国内最具影响力的安全盛会。”

峰会演讲阶段，安天实验室创始人肖新光（江海客）先生以《安全的复杂与复杂的安全》为题，辩证地解析技术，探讨技术。从超级大国的一次网络攻击入手，充分解析了一次网络攻击中所能应用到的安全技术以及武器装备，提示人们进行敌情假定，警示在场的网络安全从业者们重视安全威胁，提早准备应对。

清华大学教授、清华大学-360企业安全集团联合研究中心主任段海新先生发表了题为《端到端安全通信协议的理想与现实》的演讲。他在现场分享了其团队关于DNS及https的劫持与部署测量的研究结果，并直接展示了端到端之间的网络安全威胁，其数量之大，部署规模之广泛，令人瞠目结舌。

区块链是今年的大热话题，来自柏林工程和经济应用科学大学的教授Katarina Adam带来了题为《区块链如何加强网络安全的防护》的主题演讲，她先是以一段流利的中文与大家打了招呼并致开场白，随后才开始正式演讲。她主张运用时下火热的区块链技术助力网络安全防护，推动网络安全技术整体水平的提升，为在场的从业者们开启了一条网络安全防护技术升级新思路。

加州大学伯克利分校电子工程与计算机系教授、Corelight公司创始人Vern Paxson站在企业的角度发表了名为《从集中到本地——企业网络安全监测架构的革新》的主题演讲，为企业网络安全防护体系提供革新思路。他主张：在企业网络安全防御体系当中需要考虑两点。其一是可见度，它能够使我们清楚地了解到企业的网络环境情况，检测威胁，减缓威胁，有效减少损失；其二则是对于各种情况的控制度。事前事后的分析越多，可见度也会随之提升。

一贯以坚固安全形象示人的ATM在技术高手的眼中，也有不少漏洞。Fiducia & GAD IT AG首席安全架构师Frank Boldewin将ATM机直接搬上舞台，为现场的嘉宾和从业者们表演了一场“实战”：利用黑客技术攻击植入隐形系统并进行ATM机信息提取等操作，并成功获得其部分权限，结尾则是人们期待已久的“ATM疯狂吐钱”过程了，当然是通过视频展示的演示片段。实际上他希望通过实际的展示，让人们看到网络攻击的真实存在及网络安全环境的严峻。

全球最新威胁态势如何呢？Fortinet首席安全战略官Derek Manky发表了《全球最新威胁态势揭秘》主题演讲，结合多年的网络安全从业经验以及海量大数据，解析了目前全球网络安全的最新态势。

漏洞无处不在，人体也成为了黑客的靶子。Binah.AI公司创始人David Maman所带来的《利用人工智能和信息处理攻击人体》的演讲，从另一个角度展示了网络攻击所可能带来的严重后果。

技术峰会尾声阶段，资深工程师、《零信任网络》一书的作者Evan Gilman压轴登场，并发表了题为《零信任网络：在不信的世界构建可信网络》的演讲。他认为：网络安全是个“安全从0开始的网络，整个网络是不可信任的，可能会有一些数据包被篡改，被窃取，且非常强的移动性。因此需要一个零信任的安全防护体系。”在向与会嘉宾与现场观众们讲解防御体系后，Evan Gilman先生说到：“零信任网络由来已久，我们的安全防御体系也已运行多年。未来，我们还将继续朝着这个方向努力，请时刻记住，在当下的网络环境当中，我们并不是安全的。”

峰会小节

在今年的互联网安全大会技术峰会上，中、美、德、以色列多国的安全技术专家纷纷到场聆听交流，共同分析网络安全技术的现状及未来发展趋势，正如360集团技术总裁、首席安全官谭晓生在峰会最开始所提到的那样：“安全从0开始，安全从来不是一件简单的事，希望通过今天的峰会，可以给大家带来有益的前瞻思考和借鉴。”

分会场精选

个人信息安全与隐私保护论坛——中国个人信息保护标准体系和与实践

欧盟GDPR法规正式实施，而美国加州也针对个人隐私信息保护出台了区域性的法案。我国的国情与欧美等西方国家有很多不一样的地方，首先全民对于隐私信息保护的意识相对而言没有那么高。其二，虽然不想这么说，客观上人民生活中的一部分便利性是基于对于个人隐私信息的牺牲而实现的。如何重视个人信息保护，又可以实现隐私与便利之间的平衡，关于这个问题国家、学界、行业和相关的群体等都讨论了很多年，但是并没有变得容易或者简化的迹象，反之随着信息流动性的高速上升而越来越复杂。

在本次ISC大会上，来自国家部委的标准制定专家从国家视角分享了他的看法以及在标准制定过程中面临的挑战。

本次演讲嘉宾是中国电子技术标准化研究院、信息安全研究中心、审查部技术总监何延哲，他带来的演讲主题是《中国个人信息保护标准体系与实践》。

在演讲的一开始，何老师就开宗明义地表示：作为标准的制定部门，我们需要从另一个角度出发，尽可能地帮助企业和组织简化个人信息保护要求的落地。《个人信息安全规范》的制定对于企业和组织而言相对比较友好，不像法律一样非常讲原则和死板。

不管是从国内从业者还是全球监管者的范围内来看，总是遵循以下基本思路：

保护个人信息的根本目的是防止对个人的侵害，出于一种防患于未然的考虑。 在制定法律法规和监管功能的过程中，要有一个对等的措施。

从以上两点出发制定的法律法规或者标准，首先还是一种政策，旨在达到一个引导和提升的效果。抛开民法和刑法的约束，从行政法和标准的角度来看还是希望企业能够自律、合规和自我提升。如果所有的环节都是失效了，才有政策的处罚。但处罚是一种没有办法的办法，比如说GDPR正式实施后已有律师起诉企业，但目前为止尚未有企业因为GDPR被处以全球营业额4%的罚款。所以无论是国内的法规制定者还是国外的监管者，所秉持的思路是类似的，这也推动了企业自己去思考怎么在适应个人信息保护政策的过程中达到一个主动的状态，或者说是理解监管者。所以说法规政策的重点还是引导和提升，希望企业能够跟上时代发展的脚步，重视个人信息保护。

我们的国家标准制定单位也与国际机构合作，在制定国家标准时也借鉴了很多国际标准，有些甚至等同采用纳入国家标准的体系，积极地让我们的国家标准能够使用全球化的体系和浪潮。

标准和法律法规的关系是什么？

法律体现了一钟框架和原则，这样一来对于企业来说如何根据这些框架化和原则性的内容去理解法律的本意很困难，尤其是我国在个人信息保护方面的法规和调律尚无法和国外的相比，国外都是好几百页。国家标准就是用来指导企业进行实践的一种规定，是从另一个角度帮助企业针对个人信息保护措施的落地，实际上在国家标准的制定过程中，权威部门和各个企业一起行动，应该说代表了在我国通行的一种最佳实践。

意思企业在合规的过程中，要守住法律法规的底线，然后按照国家标准行动。国家标准的价值就在这里，企业自行理解国家的法律法规然后形成一个文本，还是没有国家各方面共同参与这种形式更具有说服力。

我国的个人信息保护规范的制定在这几年里快速完善，且符合我国国情，目前我国个人信息保护的框架不输于任何一个国家。

我国在制定个人信息保护规范时还遵照了以下几个要素：

时效性：现在看到的《个人信息安全规范》要比初稿薄很多，这是因为后来发现有些要求提的太复杂，形势不断变化，对于企业来说要兼顾隐私和便利的话可操作性比较低，没有太大必要。所以最后选取了能够真正产生效果，企业能够真正遵守的要求，脚踏实地解决一些当前网络信息安全面临的挑战。

全面性：在制定我国的个人信息保护规范时，相关部门做了全球范围内的调研和比较，其中也包括对于GDPR的研究，然后慢慢梳理和制定符合我国国情，能够解决实际问题的标准。 可操作性：这对这一点必须要有一些要求可以落地，比如说大家看病的电子病例是否可以共享等。 制约的可能性：这里说的制约的可能性也就是个人隐私与便利性的平衡问题。 适用性：虽然标准的本身是推荐性的，不像法律一样具备强制性，但我国相关标准的推荐对象是监管部门和第三方评估机构，这样的机构会参照标准进行实践。

合规问题

何老师认为，推动我国个人信息保护规范落地的重点是高层的支持和企业的真正的重视。而企业的如何实现合规，从另外一个角度来想，只要遵循可知、可控、可视、可溯、可迭代、可预警这几个要点即可，但这个也不简单，需要大量的技术支持，因此也变成了技术的问题。

小结

最后，何老师提了一个建议，光说不练不行，要与时俱进，如果你是行业内的最后一名，那必然也是监管机构的监管对象。

ISC大会花絮

列车员小姐姐~

DEFCON合影~

2018安全训练营~

结语

最后要感谢一下主办方360带来了如此一场国内互联网安全领域的盛会，齐总说以后要办成5天，小编也是拭目以待，期待能够再战~

* FreeBuf官方报道，本文作者：Freddy，未经许可禁止转载。