《網路安全法》通過審議後騰訊百度滴滴京東首談網路安全

在2016第二屆中國網際網路安全領袖峰會（CSS）上，開場前主持人少有的提醒在場與會者場內共有27個安全逃生通道及它們的具體位置，由此見其對安全的重視。

此時，坐在臺下準備分享網際網路安全領域中最新技術與觀點的嘉賓有國家發改委量子保密通訊京滬幹線工程總師陳宇翱、高通副總裁Alex Gantman、Google AlphaGo負責人Demis Hassabis、騰訊公司副總裁丁珂先生、百度安全事業部總經理馬傑、IBM Security全球首席資訊安全架構師Chenta Lee、京東首席安全專家Tony Lee先生、滴滴出行資訊保安戰略副總裁弓峰敏。

這屆CSS的一個重要背景是，3天前《網路安全法》通過審議，參加此次大會的國內網際網路巨頭企業是在新法通過審議後的首次發聲，從他們的演講與分享中，我們可以間接觀察到在新的網路安全環境與法律規定下，未來他們將如何發展?

這是騰訊第二年舉辦CSS，騰訊副總裁丁珂說，騰訊擁有8億多使用者，而如今的網路安全問題不僅是商業問題，更是國家、企業和大眾的安全問題，我們要一起探討如何保護自己和身邊的人。他表示跨界融合與網路新技術的出現催生了網路攻擊的變異與升級，安全問題的威脅程度日漸加重，開始超越網路與實體的界限，國家與區域的界限，上升為無國界的全球問題。

每年阿里會舉辦阿里安全峰會，360也會舉辦中國網際網路安全大會。其間又怎樣的競合關係？丁珂說網際網路企業共同的競爭對手是黑產，是網路威脅。CSS平臺的參會單位來自全球，不設界限和門檻，我們希望推動的是覆蓋全球的安全生態。

以下為DoNews整理出的部分演講精華：（小標題為記者根據發言內容擬定）

數字空間和資訊空間中的進化論

演講嘉賓：騰訊公司玄武實驗室負責人於暘

我們今天同時生活在兩個空間，一個是物理空間，一個是數字空間，這個觀點應該是現在普遍的被大家所接受了。

這是因為這麼多年過去，我們在物理空間和數字空間這兩個空間中的活動，我們對這兩個空間的依賴逐步的是從物理空間向數字空間所轉移，而這兩個空間的交融也變得越來越深入，數字空間對人類的影響越來越大。

我們說在數字空間創世的早期，安全問題也大多數是一些微觀層面的問題。

早期的安全問題往往是由什麼而引起的呢？是由一行一行的程式碼，比如說某一處程式碼有問題，某一處配置檔案有問題，或者是某一個變數設定的有問題，是一些微觀層面的問題形成了微觀的安全問題，影響了一個微觀的物件。

今天的這些安全問題可能已經不再是某一行程式碼的問題，或者說某幾處程式碼之間的問題，而是一個協議和一個協議之間的問題，或者是某些協議共同作用發生的問題，甚至是一個裝置和一堆裝置之間的問題，一個系統和一個系統之間的問題，而且甚至於這些物件它們相互之間看不到特別明顯的關係，這些其實就是進化的結果。

傳統的那些安全問題是否還存在？就像今天地球上仍然存在單細胞生物一樣，這些問題仍然存在，但是新的問題已經進化出來了。

有一個非常典型的例子，很多的電商系統都犯過一個錯誤，當我們去一個電商的網站購買一樣東西的時候，按照一個設定的價錢去付款，在付款的過程中會進入到交易和結算的系統，交易結算的系統和電商系統通常是兩個系統，甚至於是隸屬於不同的公司所有。

這兩個系統在發生關係的時候，這個關係之間就有可能發生問題。交易系統的設計是由一組人員去完成的，而結算支付系統是另外一組人員去完成的。

無論他們之間怎麼去溝通這個結果，這種溝通很有可能是不能達到百分之百透徹的，這也就導致了這樣一種情況，攻擊者可以在購買完成之後結算的時候將交易金額修改成一個非常小的數字；而電商系統只是判斷了這個交易結算系統返回的資訊是否交易成功，他並不知道這個交易數字到底是多少，就是說他不知道攻擊者購買一臺冰箱到底是花了2千元還是花了1元，這個問題其實是很多的電商網站都犯過這樣的錯誤。

還有一個例子是比較新一些的，前幾年很多運營商向使用者提供了一種叫做簡訊保管箱的服務，這個完全就是便民措施，是完全正常的一種業務。

但是這種業務實際上引起了一個什麼樣的後果呢？他破壞了我們用手機簡訊作為第二驗證因子的這樣一種安全設計。

因為我們說手機簡訊在以前是被認為相對可信的另外一重因子，但是當運營商把簡訊儲存到伺服器上，用一個密碼就可以去檢視的時候，實際上就已經把我們用手機簡訊形成的這樣一種所謂的雙因子又變成了單因子，本來是出於一個完全美好的初衷設計出來的業務，遭遇了簡訊驗證碼之後，被網路犯罪集團用來竊取使用者網銀上的資金，已經發生了很多起了。

最後的結果是什麼？運營商紛紛最後取消了這個業務，這是運營商和銀行兩個看起來完全沒有關係的業務，最後混合產生出來的這樣一套問題。

我們看整個的過程裡面，包括我們剛才舉的這些例子，看起來誰都沒有犯錯誤，沒有人犯錯誤，沒有人故意的，甚至看起來根本就沒有人犯錯誤。

但是這些問題糾結在一起之後，它就變成了我們將要面臨的新的安全問題。

所以我們說，今天資訊保安和網路空間中其他的物件一樣發生了進化，我們拋開軟體或者硬體這樣的視角，將網路空間中的這些我們與之進行互動的物件抽象來看，同樣可以發現這些物件之間的安全問題如同生物進化一樣，在今天他們進化成了一種非常複雜的形態，而這種形態的安全問題用傳統的方法是難以進行發現、分析和防禦的。

相應的我們也必須隨之進化，就是作為防禦者，作為安全研究者，我們需要隨之進化。就是當一切都進化的時候，你不進化是沒有辦法去應對這種新的情況的。當然這種情形是一種非常大的挑戰，但是我相信這裡面也一定蘊含著非常大的機會。

背黑鍋不重要 關鍵如何保護使用者資訊

百度安全事業部總經理馬傑

在大會上午的圓桌會議中，在談到如何做國際安全交流時，百度百度安全事業部總經理馬傑表示以百度一家之力很難獨善其身，很多使用者誤解百度洩露了使用者個人資料，背黑鍋不重要，重要的是如何增加安全合作，解決問題。

馬傑說，“百度本身來說我們是資訊的蒐集和分發者，我們想做到更便捷的連線人和資訊，這裡面我們覺得是很簡單的，只要不洩露使用者的資訊就好了，但後來發現很複雜，使用者理解的我點選出來的結果，連線的那邊的問題百度是有責任的。

既然客戶想要，那我們就多做一步，這就面臨著我們面對一個巨大的生態裡有紛繁複雜的各種各樣的東西。比如我舉個例子，大家聽到可能都會會心一笑，是不是有人打電話給你推銷什麼東西，網路金融或者房子，你問他說，這個資訊你從哪裡來的？他說，百度告訴我的。

這是我們面臨很大的問題，現在很多網站會竊取使用者的隱私，包括電話號碼、e-mail和QQ號，竊取完後有第三方公司專門做這樣的工具提供給網站幫助他們竊取使用者的隱私，他們竊取的出發點很簡單想提高營銷的成功率，提供工具的公司就會說你用我們的東西拿到資訊後，如果使用者問你你就告訴使用者，百度告訴你的就好了。

我們莫名其妙的背了黑鍋。這不重要，但這個事情要怎麼解決？我們對所有的網站要做檢測，我們要發現這裡面如果有竊取使用者隱私的東西，我們要在搜尋的基礎上標註出來，你這個有風險。

很快他們就開始加密，變形，開使用各種方法去隱藏。所以，我們變成了發現要面臨所有黑產的手段，因為網際網路是整個結果，我們希望使用者獲得的結果是安全的，我們就要做出努力。

我們面對這樣漫長的戰線時，我們難以獨善其身，無論是技術無論是安全威脅的資訊，以及對黑產的理解都是需要互通有無的。這裡面的專業垂直點太多了，我們特別特別需要和大家的互動的。”

針對人的新安全正規化

演講嘉賓：弓峰敏（滴滴出行資訊保安戰略副總裁）：

我主要和大家分享的是不是有一個正規化的改變，影響到我們怎麼做安全，可能會牽扯到我們每一個人。

首先，現在冷酷的現實。除了剛才我們提到的孟加拉銀行的款被轉走的狀況。更有意思的因為一些個人受到要挾，欺詐行為，導致他們做出自殺等行為，這些狀況的發生是很可悲的事情。前面大家提到過訛詐軟體，訛詐軟體的出現，不光影響到企業，而且影響到個人。

我們做安全這麼多年，難道就沒有安全的工具嗎？我們在座很多人也是做安全的，但去看以前我們用的安全工具，為什麼沒有成功的幫助我們防禦這些事情？從掃描器一直到各種入侵的檢測工具，一直到下一代防火牆，終端上的防毒軟體，各種場景下他們每一個都有相當嚴重的失敗的場景。所以，你去總結的話，某種程度上，可能我們在防禦的方法技術上有一個很嚴重的大的漏洞，這就是我們想和大家探討的，刨根問底一下到底發生了什麼。

第二，什麼是新正規化？

我們做防禦的人，最早在終端上做的是防毒，當我們用網路用得很多的時候，如果我們在網路上做防禦是有網路效應的，對於我集中管理很有效，如果一個地方能把你搞定，就省了很多事。

今天有很多的終端，我們用了很多基於網路的工具，大家今天聽到我們關於雲的討論，雲的出現確實很多方面，從支援現代的IT技術和商業需求上，它有很多的優點，但云技術沒有從根本上帶來一個全新的安全問題，它可能只是應用場景和部署的問題。

但做工具的人往往犯了一個錯誤，看到大家當今最敏感的問題，我們就衝上去解決這個問題，我們往往做一個單一的全新的產品解決這個問題。所以，這時候你看藍色的盒子，還在很大程度上處在相對孤立、各自為戰的狀況。

如果我們從安全工具開發的防禦模式上，不能去考慮基於生態的防禦，那麼我們的仗沒有打的時候可能就輸了一半。

這就引入了安全保衛的正規化的改變。從舊實踐裡，我們總是盯著漏洞，它是一箇中間環節，我們知道漏洞也不知道它下面要幹什麼。我們就衝動了去解決漏洞的問題，後面還有一個概念，什麼東西我可以把你防禦掉，所以我不需要後面擔心了。

從方法上，從我們的部署上都可能是一個單一化單點的狀態。在新正規化下，我們得到了教訓後，我們一定要以業務為目標，它的最終目標要麼是和你的資料、要麼是業務流程造成破壞。這時候我們再追求的不僅僅是盲目防禦，我要不間斷的做監控，能夠儘早在第一時間感知到，然後能夠做出反應，要把人重新拉到這一保衛的環節中來。

在新理念下我們做基於生態系統的安全防護的要點：一是對目標的認知，一定是以業務為中心，你要知道你需要的是什麼東西，要第一時間對一個生態做以感知，在這個基礎上再做應急的處理。因為大多的場景你有足夠的時間把它搞定，並不是沒有一個預防的概念就搞不定它。

怎樣做一個最佳的安全事件，顯然這個時候我們提到的用的工具和部署流程都去支援一個概念，就是我要做不間斷的監控、排查和及時處理的概念。

這裡面對產品工具有具體的要求，比如我希望我所用的工具一定能夠支援威脅情報共享的模式，裡面重要的就是API的概念，任何環境中我對工具的應用，有了API的概念讓這個工具整合到我的應用過程中就可能有最大的靈活性。一定在一開始就選擇一個流程，按照這個流程做，再不斷的做閉環的更新。

今天已經到了一個時代，我們不再說網路安全或物理空間安全，因為這個時代網路安全和物理空間安全對每個人來說已經緊緊連在一起了，所以為什麼說每個人應該有一個安全的意識，進入到生態系統的安全的防護和自我保護的活動中來。

當物聯網遇上AI

京東首席資訊保安專家Tony Lee

雙十一在即，電商安全成為關注焦點，在CSS大會論壇上，京東首席資訊保安專家Tony Lee簡短介紹了京東在物聯網與AI相遇時，網路安全將如何發展。

“很瞭解電商的痛點，我給大家講一講有意思的事情。前段時間，我在嘗試用京東的智慧冰箱，很有意思，它能夠智慧的看到你的冰箱裡有什麼樣的食品，什麼時候過期，甚至可以上網訂購這樣一些食品。

所以我們看到越來越有意思，從一個貨品生產的園地甚至國外的一些地方，怎樣報關進入中國，通過我們的倉儲物流、智慧硬體帶入我們的家中。現在大家都習慣了網上購物，覺得是很自然的事情，但有時候從某個角度看是難以置信的事情。

大量的原來的自然的邊界被去掉了，裡面大量的資訊在流動，甚至剛才你說到很多商家，在京東上非常棒的一些商家，裡面還有一些物流等等，我們的資訊在流動過程中怎樣保證安全是巨大的挑戰。

IoT本身，包括美國智慧硬體DDoS攻擊，癱瘓了半個網際網路，這樣的事情中國黑客肯定沒有閒著，也想著怎樣模仿這件事情，所以這種事情遲早也會發生。

我們在IoT的安全方面又能做點什麼？因為IoT的裝置很多廠商在做，不一定有很強的安全能力，這個事情怎麼辦也是相當令人擔憂的事情。

我最近也在用亞馬遜的機器人，京東也有一個叮咚，也是差不多的音響機器人，我每天用中文和京東的聊天，英文的和亞馬遜的聊天，真的感受到AI快要來了，這是實實在在可以用得上的。以後AI連上了物聯網，安全又會是什麼樣的，這不是一家公司能夠解決的問題。

AI連上物聯網，方便是肯定會展現出來，但是我覺得安全問題通常會滯後一點點。我感受到IOT是一個機會，就是原來在我們的網際網路上面很多這種技術之間都沒有安全性的，所以做起來非常困難。也許在IOT的領域裡面，包括協議、晶片，整個跟智慧雲的互動等等，也我們能夠重新定義這個安全應該怎麼做，一開始把安全做進去我覺得也是一個機會。

前沿科技——量子通訊不必再擔心竊聽

演講嘉賓：國家發改委、中科院量子物理與量子科技前沿卓越創新中心、京滬幹線的總師陳宇翱教授

量子力學在上世紀建立以來催生了和生活相關的科技，包括電晶體、鐳射、巨磁阻等我們現在生活離不開的一些技術。回頭來看這些應用都是從上至下的過程，是對巨集觀量子效應的被動觀測的應用的展現。

隨著科技的進步和發展也產生了一些瓶頸。以資訊科學為例，儘管目前人類對於計算機的能力需求與日俱增，某種程度上是貪得無厭的，但全世界的計算機的計算能力很有限，加起來也沒有辦法完成2的80到90次方資料的搜尋。

我們用的密碼只是0和1，不用別的，當你的密碼達到90位的時候，全世界的計算機加起來要掃描一年才能勉強掃出來。另一方面，剛才也講到了資訊保安的一個瓶頸，我們無所不在的斯諾登事件告訴我們有晶片有後門，包括去年《紐約時報》報導NSI監聽google和亞馬遜的資料中心，本身它不需要監聽資料中心，只需要對傳輸線路監聽就可以獲得所有的資訊。

隨著我們計算能力越來越高，我們所有傳統的加密體系都基於計算的複雜度，隨著計算能力越來越強，一旦有量子計算，所有依賴於計算複雜度的傳統的加密演算法原則上都可以被破解。而在過去100年的發展中，非常有意思的是，量子力學在發展中已經為解決這些問題做好了準備。

量子通訊，包括了量子金鑰分發和量子隱性傳態。利用量子的方式傳遞金鑰用於安全經典的通訊，而量子隱性傳態當你需要傳送的東西是量子態的時候怎樣傳送。

量子的特點是不可分割，單光子不可分割，一旦有人試圖看它的時候它會被改變，我們可以利用單光子構建這樣一種通訊方式，一旦有人竊聽一定會被發現。

接下來我們怎麼做，如果想要建立金鑰，建立保密通訊，先發金鑰再檢查這個金鑰有沒有被竊聽，確保這些金鑰沒有被竊聽後我再來通過金鑰加密資訊，這個資訊從公用的通道傳統光纖上傳遞就可以了。

這是一個原理上無條件安全的通訊方式，它是基於量子力學的基本原理，從根本上解決了通道之間的安全性的問題。本身這個密碼完全隨機和一次一密的安全性是相容在上個世紀50年代就證明了。

量子金鑰分發的安全方式也是2009年被證實在數學上證明了，只要因果率成立，只有資訊不超過光速安全性就可以保證。

在城市化量子通訊方面，我們從2008年構建了第一個全通型的五個節點的網路，60週年閱兵時構建了量子熱線，合肥都會網路2012年構建了46個節點的網路，在這個網路的基礎上我們又進行了升級，在2013年濟南網構建了50多個節點的網路，90多個使用者已經24×7無故障執行超過了2年。

目前量子通道已經通了，裝置在我們室內做了超過半年的無故障執行的測試後現在正在上線，合肥到上海段馬上要開通，其他的陸續要上線，應該在年底會全部建設完成。

國際競爭也是非常激烈，國際上也是一樣，從政府主導，美國國防部門2013年把量子資訊列為六大領域之一，今年5月份美國科學基金會也把量子資訊作為未來六大科技前沿之一。歐洲也是旗艦計劃，希望未來五年內支援10億歐元的專案。

我們知道企業也開始參與，比如google開始參與人工智慧實驗室，微軟、IBM都開始了量子計算方面的研究。Battelle公司正在建設全美商用量子通訊網路，希望把facebook、google等大公司的資料中心連起來。

做一個小結，曼哈頓計劃研製出第一顆原子彈影響了世界的格局，量子資訊現在是不亞於曼哈頓計劃的領域。第一代量子力學在上世紀給我們帶來了巨大的影響，我們希望新一次的量子革命中，我們能夠從之前的跟跑者變成在新的量子革命中的領跑者。

想做“壞事兒”就會被AI發現

演講嘉賓：IBM Security全球首席資訊安全架構師 Chenta Lee

今天很榮幸在這裡跟大家分享人工智慧跟知識安全，跟網路安全的關係，以及我們對它未來的展望。

從以前的網路環境我們看到的是一些有結構的資料，我們可以用一些既定的方法去分析。但是走到現在我們發現，從最近的報告當中我們看到的新形態的攻擊，它的來源都是一些非結構性的資料。

什麼叫做非結構性的資料呢？我們就是在網路上跟人員之間的互動，寫電子郵件撰寫的內容，微信上的資訊，都可以找出黑客攻擊的關鍵報告。

在這種沒有結構的資料中，我們如何有效率的找到這些指示點？這就是我們所謂的認知時代的來臨。認證技術包括各種AI的演演算法，以及機器學習的技術，我們把它運用在一個特定的領域，我們要去找出對Security有幫助的領域，來抵制外來的攻擊。

2015年之後，資訊的爆炸，雲端的興盛，我們發現沒有辦法及時的掌握他們的使用行為。我們發現，所有的攻擊都來自於這兩個地方，一旦你做了這件事情以後，你的使用者，你在公司就不用上班了，所以必須把這兩個開啟出來。

這就是我們為什麼有了一個東西是Security，使用者是正常的，從正常的行為當中找出一些不正常的蛛絲馬跡。我們看到使用者連到一個伺服器，之後回來以後他有些奇怪的舉動，什麼叫做奇怪的舉動？

就是在不對的時間選擇不對的服務，身為一個工程師，怎麼會去跑到HR的系統撈別人的薪資資料呢？這是不應該發生的，這就是所謂不正常的行為。

我們開始蒐集了大量的資料來建構完整的Security Intelligence的資料，現在非常活躍的我們來分析趨勢和走向，這是一個完整的Security Intelligence裡面的，當我們找出了自然漏洞，變成人與人之間漏洞的時候，我剛才講的那一套就變得有點華而不實，它還是那麼有效。

從Network Security的角度來看，我們傳統的做法是什麼？

從各個自然裝置去搜集，我們看到Firewall，我們從IPS去看有沒有一些什麼威脅事件，我們從一些地方小區蒐集對於我們有意義的資訊，來找出其中真正有威脅的一些行為。

黑客總是有辦法瞭解你在網路上部署了什麼東西。我今天講出來的東西黑客也知道，他們知道這些東西以後，他們就很有效率的去繞過。

包含了一個人在網路上在Facebook上與人的溝通，或者今天看了一條新聞，或者是看到了一個問題，這些都是人與人溝通的渠道。這些黑客很清楚，要找出這些資料很困難，第一個困難就是法律上的問題，就算我有辦法監控這些內容的話，我要怎麼有效率的蒐集散在各處的四面八方的資訊？我可以有效率的收集嗎？

這些是以前資料的好幾百倍大。所以這個迷宮擺明了就是給我們這些Security的專家走，而且會走得非常辛苦。

我們講認知運算運用到安全上面，我們叫做Cognitive Security，可以怎麼做幫你發現網路中奇怪的舉動？我們瞭解到一個使用者在網路上的Aliases是什麼，可以是你公司的員工，可以是外面的黑客，他可以由多個不同的Aliases，他在不同的論壇裡面有不同的ID。

一旦我們串聯起來以後，我們可以從這些ID出發，去找出這些ID後面藏的故事，有沒有人在找一個破解密碼的軟體，有沒有人在網上兜售VPN，有沒有人在網上進行某一家銀行內容的搜尋。

我們可以得到一些IP、DNS，電子郵件DNS，我們利用在已經有的自然裝置上是OK的。我們可以知道這個黑客的真實姓名，甚至是它的居住地址，我們甚至還可以在我們的治安裝置上，把某個國家，某一個地區的交通給搞倒掉，這個都是Cognitive Profile，關注在做什麼對他有意義的事情上面。

這個Cognitive如何把這個Security做出來？

我們平常在網路上的新聞、在微博和維基上所有的東西，都可以給這個Cognitive System，接下來問他，你覺得這個事情是可疑的嗎？

之後就得到一個答案。這是簡單的三個步驟，累計了過去電腦發展30年之後的結晶。

我們通過大量的分析和運算，才有辦法知道一個準確的答案。這個Cognitive Security是怎麼做分析的？

從我們的Security裝置收上來的資料，再加上Security Data，這個Data就是在大環境怎麼做治安的部署。你的內網是什麼，你有幾臺基礎裝置，這些都是Security Data。

我們再加上針對特定產業分析出來的這一群黑客特別喜歡打醫院，這些黑客特別喜歡打銀行，我們套用這個特定產業的分析，最後再加上感情的資訊，就是人與人之間的互動。

我一開始講到AI不是新的東西，Cognitive Security只是運用新的技術提供到特別的領域，代表我們的Use Case是最重要的，這個決定了最終的結果。

本文轉自d1net（轉載）