澳博娱乐科技

当前位置: 首页 / 澳博娱乐 / 创造安全新作用——澳博娱乐科技CEO谢朝霞出席中国网络安全产业担当论坛

创造安全新作用——澳博娱乐科技CEO谢朝霞出席中国网络安全产业担当论坛

发表日期:2018-09-06

论坛与会嘉宾合影

在昨天澳博娱乐科技CEO谢朝霞出席观潮论坛并做主题发言后(《网络犯罪治理的困境与路径》),大会第二日,谢朝霞受邀参加由ISC主办方联合相关协会、联盟共同举办的第二届《中国网络安全产业担当与发展高峰论坛》,并在论坛上做了“创造安全新作用”的主题发言。

澳博娱乐科技CEO谢朝霞作主题演讲

谢朝霞说凡是可以通过网络的形式对公民安全、社会安全和国家安全进行侵害的违法行为,都是网络安全要面对的需求,谢朝霞认为网络安全需求的本质就是创新。

澳博娱乐科技CEO谢朝霞与倪光南院士合影

主动发动对攻击者的攻击,扩宽被动狭窄的传统网络攻防战场,谢朝霞创造性地提出了“网络正当防卫”这一前沿概念,提倡进一步完善我国的法律法规,从被动防御转为积极主动防御。

谢朝霞(封面人物)与读者合影

未来,谢朝霞认为网络安全技术创新应该立足于最活跃攻防技术元素的调用和组合,通过创新的化学反应创造网安技术的新作用,更好地发挥网络空间治理技术、舆情治理技术、隐私保护技术、知识产权保护技术等技术的作用。

以下是演讲全文:

在安全理论的殿堂里,中国古代的安全大师们,往往都是杰出的军事家、政治家。这些人都是在用自己的生命演绎安全两个字。其中有一些人活得很累。诸葛亮就是这么一位活得很累的安全大师。在1700多年前,蜀国这个国家是很难攻进去的,自古以来,都有蜀道难于上青天的说法。但诸葛亮在《前后出师表》中表现出了强烈的忧患意识:他认识到偏安于一隅是最大的不安全,不北伐就是坐以待毙。这个以攻为守的思想还是很先进的,这么一个杰出的领导人,既不缺乏军事才能,也不缺乏冒险意识,北伐到了最后还是没有成功,留下鞠躬尽瘁死而后已的传说。这是因为古时候四川盆地这个地方是缺乏发展后劲的,支撑不了诸葛亮下那么大一盘棋。这个故事告诉我们,发展与安全不是一对矛盾,而是相辅相成的。

解决安全问题,一定要把发展纳入进来统筹考虑。网络安全也是如此。怎样才能兼顾安全和发展呢?这就是我想讲的:创新是解决网络安全的总办法,可以兼顾安全和发展。

说起网络安全的创新,不得不先回顾和赞美一下计算机这个事物。现在的计算机已经变得相当复杂,是现代工业创新的登峰造极之作,是人类有史以来创造的最精密最复杂的仪器,没有之一。

计算机软硬件,及背后的语言,形成了与生俱来的层次化体系,这个结构就像造物主之手,通过进化把计算机技术不断推向极致。不过现在的人只管使用,很少有人去关心这些比较本质的工作原理。

现在,就让我们来向下追溯,我们现在通过浏览器上一个网站,是通过一个IP协议地址和这个地址的80端口交换数据包,这个网站内容的提供服务,是那个网站服务器上的一个web server网络服务程序提供的,网络服务程序再往下走,是网络驱动程序、网卡驱动程序。这些驱动程序又建立在操作系统上面。操作系统再往下走,就是CPU、内存条、硬盘、网卡的芯片程序(firmware,etc),firmware再往下走,是各种封装好的大规模集成电路,大规模集成电路又是建立在各种二级管三级管的并联串联小电路上,而最底层,是电效应、磁效应、光效应,比如电荷守恒定律和电流效应,巨磁电阻原理和磁效应这些东西。

计算机科学的创新架构,层次化模块化(封装)

从这里看,计算机技术的最底层的本质来自于电流的接通和断路,通过这个1和0的两个现象进行调用,形成了最基本的程序和记忆。通过反复对这些电子效应的递归调用,形成了更高阶的功能和更多封装了的细节。这里每一步往上走的封装和抽象都是创新。

现代世界的电子消费品、计算机网络产品,都建立在这样的封装、调用、组合上。

在这里,我们得到的结论是:创新不是无中生有,其本质是对技术自身的递归调用和编程,是对技术元素自身的组合和集成。我们可以把创新理解成技术元素的化学作用。底层技术是无机化学,高阶技术是高分子有机化学。

这个结论对于网络安全有什么启发呢?通过这个计算机网络层次体系架构可以看到,攻击者最初也是要从网络应用层制造机会,进入到系统层,目标往往是数据库和文件。而为了能够长久获得这些资源,攻击者需要在物理层、系统层和应用层等各个层面隐藏起来。而在任何一个层次,我们都有对付攻击者的手段和办法,把这些技术元素进行合理组合、封装和集成,就是网络安全的创新。

第二个问题,网络安全需求的本质是什么?

需求代表要获得某种东西。网络安全需求的本质无外乎获得。真正的需求无外乎获得物质体验和精神满足。追回损失是物质体验;减少痛苦和麻烦、让人有面子,抓到犯罪嫌疑人,是精神体验。网络安全要围绕这些获得体验来研究用户的需求。从这个意义上来说,满足用户需求要做加法,靠的就是创新,甚至可以说,网络安全需求的本质,是创新。

在这里我用另外一种方式表达到底哪些是网络安全需求。凡是可以通过网络的形式对公民安全、社会安全和国家安全进行侵害的违法行为,都是网络安全要面对的需求。因此,网络安全需求的内容,都写在了法律法规里,尤其是《刑法》里。刑法469个罪名,有130个可以借助或通过网络实施。

可以借助或通过网络实施的犯罪罪名

从这个意义上来讲,网安行业还有很多人都停留在非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪和非法控制计算机信息系统罪等少数几个罪名。去年网络安全行业产值中,超过60%的收入是来自于对这几个罪名的防范。

这是一个被动的,狭窄的战场。而且战场空间是在我们用户的领土内。既然我们都知道要攻防兼备,安全要比攻击难做,那我们可以推断,攻击者自身的安全也是非常脆弱的,我们为什么不去发动对攻击者的攻击?这个攻击可以是多个维度的,攻击者是得不到法律保护的,法律、心理、道德,都是我们的武器。防守方针对攻击者的安全发动攻击,实现战场前移,打断攻击者的一条腿,这是一个解决问题的总办法。但是,围绕这个积极防御的战略,需要解决远程取证、网络对抗这些手段的合法性问题,我国的法律法规在这方面还很不完善,连一个网络正当防卫的定义都没有。

第三个问题,网络安全的技术创新怎么搞?

我从来没见过任何一本网络安全技术的书籍不谈网络攻击的。因此,网络攻击技术,本身是网络安全技术不可分割的一部分,也是网络安全人员不能不掌握的一个能力。只有对网络攻防所有的技术元素全面掌握了,才算得上一个合格的网安团队。

攻防四象限想表达的是,所谓的知己知彼的安全解决方案,还是不全面的,只考虑了一三两个象限。

攻防四象限

攻防元素表想表达的是,攻击手段和防守手段都是安全元素,但攻击手段远远比安全手段活跃,防守手段远远没有攻击手段多。澳博娱乐平台没有安全漏洞多。

攻防的技术元素周期表

左边,对于攻击方而言,进攻技术元素的组合十分自由,十分方便。而在右边对于防守方而言,安全元素的组合却不是那么容易和方便。攻击永远比安全自由度大。

值得一提的是中间这一列,这些是攻防双方都要经常用到的能力。此外,防守方如果能越界使用攻击方的技术,攻击方能越界使用防守方的技术,双方的能力都能得到大大增强。

网络安全技术发展已经接近30年的历史,安全技术好像没多少创新。如果我们把攻防两端割裂来看,会发现攻击技术的创新速度比防守技术来得快。

这是一种狭隘的理解。实际上网络安全从来都不缺乏创新。技术是中性的,攻击技术的创新同样属于网络安全,只有防守技术的网络安全是片面的。未来的网络安全技术创新应该立足于最活跃攻防技术元素的调用和组合,通过创新的化学反应创造网安技术的新作用,这些新作用包括网络空间治理技术、舆情治理技术、隐私保护技术、知识产权保护技术。

最后,如何利用好网络安全所有的技术元素,把各种碎片化的攻防技术封装起来形成标准零部件,再逐步建立层次化模块化的体系结构,形成一套能不断促进技术进化的现代网络安全工业体系,还有人工智能技术怎么和网络安全技术融合,法律如何与网安技术结合,形成更多的新作用、新体验,留给大家思考。

安行天下,络达四方
——深圳市澳博娱乐科技有限公司