誠然，對于整個(gè)人類(lèi)社會(huì )而言，如此大范圍、持久性的災難并不多見(jiàn)，新冠肺炎從根本上改變了人類(lèi)社會(huì )的格局，但是這種變化也在各行各業(yè)激起了漣漪，進(jìn)一步推動(dòng)了線(xiàn)下向線(xiàn)上轉型的步伐，數字化成為不可逆的趨勢，新基建的發(fā)布再次為這種趨勢填上了一把干柴，“新”成為2020整個(gè)行業(yè)乃至社會(huì )最為火熱的主題詞。

　　為了探究這種變化對于安全領(lǐng)域的影響以及應對之策，以“破壁·新生”為主題的2020京麒網(wǎng)絡(luò )安全大會(huì )召開(kāi)，來(lái)自京東、騰訊、百度、中國電信、賽博英杰、高成資本、奇安信、蔚來(lái)汽車(chē)、商湯科技、科大訊飛等頭部企業(yè)的安全高管，以及北京大學(xué)、加州大學(xué)、北向智庫的專(zhuān)家學(xué)者同臺探討前沿安全技術(shù)，共商數智化解決方案，攜手連接安全新生態(tài)。

　

　　整個(gè)大會(huì )的演講和panel部分精彩紛呈，嘉賓們站在不同行業(yè)的角度各抒己見(jiàn)，總體圍繞“新基建”、“新技術(shù)”兩個(gè)大的方向展開(kāi)，其中，新基建部分既有政府領(lǐng)導、研究機構的政策趨勢解讀，也有重磅的新型基礎設施的發(fā)布；而在新技術(shù)方面，AIoT、區塊鏈、云虛擬化等前沿熱門(mén)的安全技術(shù)領(lǐng)域成為大會(huì )主要的探討對象，一場(chǎng)場(chǎng)滿(mǎn)含干貨的演講也為參會(huì )者帶去了酣暢淋漓的技術(shù)盛宴。

　　以下是本次大會(huì )演講的精華部分提煉，enjoy~

　　一、新基建

　　順勢而為，則事半功倍。政策往往對行業(yè)的走向有著(zhù)重要指導意義。今年，新基建政策發(fā)布，安全作為新基建的底座，承擔著(zhù)外戍邊界、滌凈內網(wǎng)的護城河作用，我們該如何去理解新基建？新基建對安全行業(yè)有著(zhù)哪些影響？先行一步的各領(lǐng)域頭部的企業(yè)，又有哪些經(jīng)驗和能力可供借鑒使用呢？本篇中來(lái)自政府、研究機構的領(lǐng)導專(zhuān)家以及知名企業(yè)的安全高管，將為你解答這些問(wèn)題。

　　

　　會(huì )議開(kāi)始，公安部網(wǎng)絡(luò )安全保衛局十八處的祝國邦處長(cháng)對大會(huì )進(jìn)行了致辭，祝處長(cháng)首先對京東集團在疫情期間的網(wǎng)絡(luò )安全維護和物流保障工作給予了贊賞，并肯定了互聯(lián)網(wǎng)的發(fā)展對于整個(gè)疫情防控起到的重要積極作用。同時(shí)，祝處長(cháng)也站在新基建的國家政策層面和疫情影響的宏觀(guān)社會(huì )環(huán)境角度，對網(wǎng)絡(luò )安全環(huán)境建設提出了共同防控、落實(shí)法規和踐行社會(huì )責任等要求。

　

　　在隨后的演講環(huán)節，中國網(wǎng)絡(luò )空間研究院網(wǎng)絡(luò )安全研究所負責人姜偉站在中國社會(huì )目前整體網(wǎng)信事業(yè)建設的視角，提出了行業(yè)發(fā)展帶來(lái)的網(wǎng)絡(luò )與現實(shí)世界加速融合的安全性問(wèn)題、新技術(shù)和新應用伴生的風(fēng)險性問(wèn)題、數據化轉型帶來(lái)的安全風(fēng)險、大國博弈加劇的緊迫性問(wèn)題以及后疫情時(shí)代的網(wǎng)絡(luò )威脅風(fēng)險等諸多隱患，并從技術(shù)創(chuàng )新、基礎設施建設、網(wǎng)絡(luò )預警、產(chǎn)品&供應鏈管理、數據保護、安全人才培養等方面倡導了未來(lái)網(wǎng)絡(luò )安全行業(yè)發(fā)展的主要方向。

　　會(huì )上，京東安全重磅發(fā)布了全新的企業(yè)安全操作系統，該操作系統為一整套安全能力構建及安全運營(yíng)的底層標準框架，具有“原生、統一運營(yíng)、數據驅動(dòng)、開(kāi)放”四大特性，可提供安全能力構建所需的基礎服務(wù)，包括統一接入管理組件、資產(chǎn)管理組件、運營(yíng)可視化組件、基礎大數據平臺組件及AI組件等，能夠幫助京東和京東的生態(tài)伙伴快速完成安全能力共建和智能聯(lián)動(dòng)，將原生安全能力與傳統安全能力相結合，并且與 IT 基礎設施、業(yè)務(wù)流程無(wú)縫全周期、全鏈路對接，形成適合自身業(yè)務(wù)場(chǎng)景的安全解決方案。

　

　　本次企業(yè)安全操作系統發(fā)布，距離第七屆京麒大會(huì )的J-SAFE基礎設施發(fā)布僅一年之隔，之所以在短時(shí)間內有如此重磅的產(chǎn)品疊代，與今年整體的環(huán)境背景和京東的生態(tài)安全布局緊密相關(guān)——今年在疫情和新基建政策的雙重影響下，企業(yè)乃至整個(gè)社會(huì )的數字化轉型步伐加速，對安全提出了智能聯(lián)動(dòng)和高效協(xié)同的訴求，需要企業(yè)基于標準化的底層架構拉通企業(yè)現有的安全能力，以智能分析為核心，形成有效的安全運營(yíng)。面對這種突如其來(lái)的變化，亟需一套成熟的、能夠快速匹配企業(yè)新基礎設施的安全操作系統。

　

　　京東集團在此方面有著(zhù)豐富的實(shí)戰經(jīng)驗和強有力的技術(shù)支持——京東業(yè)務(wù)涵蓋零售、數字科技、物流、技術(shù)服務(wù)、健康、保險、產(chǎn)發(fā)、金融、智聯(lián)云和海外等領(lǐng)域，業(yè)務(wù)場(chǎng)景多樣，且在這些業(yè)務(wù)安全平穩運行的背后，有著(zhù)龐大的安全基礎設施以及上百萬(wàn)的IoT設備和服務(wù)器作為支撐。因此，在對安全領(lǐng)域多年的摸索和運行之下，京東已經(jīng)具備了包括數據安全、業(yè)務(wù)風(fēng)控和統一身份管理等多項原生安全能力，并已總結和剝離出統一的、可視化的運營(yíng)能力，進(jìn)而對不同業(yè)務(wù)場(chǎng)景的生態(tài)伙伴完成安全賦能。本次發(fā)布的企業(yè)安全操作系統，亦是對于京東多年積累的全套安全技術(shù)能力的萃取和升華。

　　本次以“新基建背景下的安全建設”為主題的圓桌論壇，主持人北京賽博英杰科技有限公司創(chuàng )始人&董事長(cháng)、正奇學(xué)院創(chuàng )始人譚曉生，是安全行業(yè)里的老兵，人稱(chēng)“譚校長(cháng)”，對安全行業(yè)的變化和創(chuàng )新、新基建安全建精研覃思。他與電商、學(xué)術(shù)機構、資方、搜索&AI、通訊、研究機構的高管和專(zhuān)家一道，分享了不同行業(yè)視角的智慧洞察，可謂看點(diǎn)十足。

　　北向智庫首席經(jīng)略師潘柱廷認為，目前安全領(lǐng)域最明顯的特征就是基礎設施化，形成了大基礎設施對前端體系的服務(wù)方式，比如潘柱廷現在就任的360,就是典型的以基建的方式做新基建安全，把安全能力基建化，最終輻射到需要安全的前端。

　　而站在基礎設施方的視角—— 中國電信集團網(wǎng)絡(luò )和信息安全首席專(zhuān)家劉紫千提到，目前通訊運營(yíng)商在安全方面主要是網(wǎng)絡(luò )空間治理和威脅治理的角色，但他們更希望進(jìn)行數智化的升級，把安全能力植入到規劃和運營(yíng)當中，中國電信已經(jīng)成立了移動(dòng)安全科技公司，以服務(wù)型、科技型、安全型的對外全新姿態(tài)去面對新基建所帶來(lái)的一系列變化。

　　百度副總裁馬杰也從新基建的另兩個(gè)重要領(lǐng)域——AI和自動(dòng)駕駛方面的安全問(wèn)題進(jìn)行了解答，馬杰認為，既然是基建，就需要去解決基礎和本質(zhì)的問(wèn)題，安全不能僅僅停留在簡(jiǎn)單的攻防層面，而要回歸到模型安全的研究上，因此無(wú)論是AI還是自動(dòng)駕駛，安全都要做到前面、想到前面。

　　陳鐘教授從更為宏觀(guān)的視角談及了在新基建當中所需要注重的衍生安全問(wèn)題。陳教授以區塊鏈為例，當人們在注重區塊鏈安全本身時(shí)，往往會(huì )忽略一些衍生的安全問(wèn)題，比如區塊鏈衍生的數字資產(chǎn)和數字貨幣，可能會(huì )因為涉及洗$、跨境外匯而被整體抹除，此時(shí)再關(guān)注區塊鏈的安全就沒(méi)有了任何意義，又比如人工智能方面，一旦人臉識別被禁止使用，那也將遭到重創(chuàng )，因此關(guān)注新基建對于安全的影響，不能僅僅關(guān)注某個(gè)單點(diǎn)，同樣也需要關(guān)注單點(diǎn)所帶來(lái)的衍生安全問(wèn)題和合法問(wèn)題。

　　插上資本的翅膀，行業(yè)從業(yè)者就會(huì )如虎添翼，走得更快更遠。因此投資者的認知，對行業(yè)發(fā)展也起到重要影響。高成資本創(chuàng )始合伙人洪婧站在投資人的角度，從資源配置和創(chuàng )造價(jià)值兩方面帶來(lái)了不一樣的觀(guān)點(diǎn)：通過(guò)新基建，國家將數據提高到了生產(chǎn)資料的高度上，新基建不僅僅是經(jīng)濟上的投入，更是為未來(lái)中國向技術(shù)轉型發(fā)展奠定基礎，因此新基建的安全問(wèn)題，我們既在補課也在創(chuàng )新，一方面要補以前IT投入不夠、安全投入不夠的課，另一方面在移動(dòng)、AI等領(lǐng)域，也應該結合和創(chuàng )新，不但把技術(shù)復制到中國，也使得技術(shù)創(chuàng )新來(lái)自中國，甚至是向海外輸出。

　　京東集團作為大會(huì )的出品方，作為以供應鏈為基礎的技術(shù)與服務(wù)企業(yè)，在新基建當中也扮演著(zhù)重要角色，京東目前正在進(jìn)行大量的智能城市賦能和供應鏈基礎設施建設，安全部分也參與到了這當中的諸多環(huán)節，包括上述提及的企業(yè)安全操作系統，京東安全希望以“甲方式賦能”的新概念和京東積淀的安全技術(shù)，為新基建中的安全領(lǐng)域提供更多的安全能力和經(jīng)驗借鑒。

　　看點(diǎn)4:甲方安全建設的新思路　　
　　奇安信是國內安全行業(yè)的頭部廠(chǎng)商之一，除了自身投入到前沿安全產(chǎn)品的研究當中，奇安信在服務(wù)各大甲方企業(yè)時(shí)也積累了大量不同場(chǎng)景的建設經(jīng)驗，對于新基建中甲方的安全項目有著(zhù)很多幫助。京麒大會(huì )上，奇安信首席信息安全官兼網(wǎng)絡(luò )安全部總經(jīng)理聶君就為我們提供了一些新的思路。

　　

　　聶君以三個(gè)內部的真實(shí)案例作為引子，分別為excel隱含宏騙取信息、升級包隱含惡意指令的注冊表、以及通過(guò)物理方式進(jìn)行攻擊等，并給出了奇安信研究的解決方案。同時(shí)，聶君也總結了甲方安全建設的復盤(pán)關(guān)鍵點(diǎn)——一是盡量要求同樣的問(wèn)題不再重復，你提出的安全措施能夠解決同樣一個(gè)問(wèn)題；二是同類(lèi)的問(wèn)題盡量避免，不要重復犯錯誤；三是不要在低級錯誤上失敗；四是從復盤(pán)到復仇，奇安信內部要求每一次事件出來(lái)以后，復盤(pán)的效果是下一次能夠抵御攻擊，實(shí)現復仇的效果。

　　除此之外，聶君還分享了他對于內生安全、安全運營(yíng)、甲方與乙方的相處之道等內容的看法，為現場(chǎng)的安全從業(yè)者給出了非常中肯的意見(jiàn)和建議。

　　在互聯(lián)網(wǎng)時(shí)代的下半場(chǎng)——產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，AIoT成為各方企業(yè)共同追逐的常青樹(shù)，如今，在數字化、數智化時(shí)代的開(kāi)局，AIoT同樣是最為主流的研究方向和跨時(shí)代的敲門(mén)磚，AIoT在安全領(lǐng)域目前有哪些最新的技術(shù)已成功運用？又有哪些最佳實(shí)踐經(jīng)驗值得借鑒？

　　來(lái)自百度、蔚來(lái)汽車(chē)、商湯科技、科大訊飛的安全高管和加州大學(xué)的專(zhuān)家為我們帶來(lái)了AIoT方面的最新技術(shù)和實(shí)踐。

　

　　馬杰將智能經(jīng)濟社會(huì )下，AI所面臨的安全風(fēng)險總結為三個(gè)維度——Security、Safety、Privacy,即強對抗下的環(huán)境安全，非對抗環(huán)境下的威脅，以及數據安全和隱私的保護。

　　在 AI 安全攻防上，首先是AI模型安全威脅研究，馬杰展示了在自動(dòng)駕駛場(chǎng)景下可能會(huì )面臨的各種各樣的安全威脅，比如以對抗樣本的方式來(lái)欺騙物理的探測器等。非對抗環(huán)境下的威脅方面，馬杰演示了AI能力被黑產(chǎn)濫用的風(fēng)險，在視頻當中，黑產(chǎn)利用深度偽造技術(shù)，使得現在我們賴(lài)以使用的各種面部識別和視覺(jué)識別失效，產(chǎn)生了新的安全風(fēng)險。在數據安全和隱私保護層面，馬杰強調了數據安全和隱私保護的重要性，他認為，在A(yíng)I時(shí)代，當用戶(hù)覺(jué)得不安全時(shí)，整個(gè)AI時(shí)代的進(jìn)展就會(huì )被延緩。他還展示了百度研發(fā)的隱私保護安全計算框架——Teaclave,作為開(kāi)源框架，Teaclave主要可以打破數據孤島，極大的延展AI時(shí)代數據協(xié)作的信任邊界，目前可廣泛應用于金融、醫療、無(wú)人駕駛等多個(gè)敏感業(yè)務(wù)場(chǎng)景。

　

　　今年，在信息安全行業(yè)，沒(méi)有什么比智能汽車(chē)安全更加火熱的了。今年 Geekpwn 大賽上，新能源汽車(chē)、智能汽車(chē)的破解，讓人印象深刻。目前，智能汽車(chē)安全問(wèn)題熱主要源自以下幾個(gè)方面：一是用戶(hù)觸點(diǎn)增多，傳統汽車(chē)僅有車(chē)鑰匙，而智能汽車(chē)有藍牙鑰匙、IFC鑰匙，還有手機APP遠程啟動(dòng)車(chē)輛的方式；二是新的商業(yè)模式，智能汽車(chē)的軟件是廠(chǎng)商新的收益點(diǎn)，有錢(qián)的地方就有新的安全隱患；三是代碼急劇增加，所帶來(lái)的bug也會(huì )增多；最后則是數據安全和用戶(hù)隱私的保護。

　　為了解決這些問(wèn)題，蔚來(lái)汽車(chē)的安全團隊做了大量工作，從安全團隊組建、安全工作方法、安全保護技術(shù)、安全守護系統和安全響應流程五個(gè)方面布局。以安全保護技術(shù)為例，蔚來(lái)汽車(chē)安全團隊在云、管、端做了多重防護，在人的方面，有防火墻、接口有訪(fǎng)問(wèn)控制、接口強制清零校驗、TRS雙向認證、網(wǎng)絡(luò )隔離等等；在通訊管道方面，運用了雙VPN的方式，涉及到對車(chē)輛有操作的請求，會(huì )通過(guò)物聯(lián)網(wǎng)專(zhuān)線(xiàn)直接連到公司的內網(wǎng)服務(wù)器，確保這部分數據的安全；在手機端，蔚來(lái)加固了安全防護，大部分的請求都要求GIN碼和生物特征校驗，并建立了登陸防御體系，確保一些異常的用戶(hù)可以被挑選出來(lái)。

　　正是有了這些安全防御措施，作為國內智能車(chē)企界領(lǐng)頭羊的蔚來(lái)，在每年遭受多次重大的攻擊當時(shí)，才能夠有效防御，避免重大事故的發(fā)生。

　

　　商湯科技賦能百業(yè)的實(shí)戰之下，對于A(yíng)I在各個(gè)場(chǎng)景的安全風(fēng)險也有著(zhù)豐富的應對經(jīng)驗。莊漢陽(yáng)分別以算法攻擊、算法場(chǎng)景防泄漏、數據安全管理三個(gè)場(chǎng)景為代表，介紹了商湯AI產(chǎn)品的安全實(shí)踐。

　　在算法攻擊方面，2015年商湯人臉識別剛上線(xiàn)時(shí)遭遇了大量攻擊，包括海外VPN反向訪(fǎng)問(wèn)、偽造賬號密碼等方面，商湯采用了活體檢測的技術(shù)成功抵御；在算法場(chǎng)景防泄露方面，商湯采用了授權方式做SDK激活、加密技術(shù)、平臺化支持的方式保證安全；在數據安全管理方面，商湯一方面通過(guò)嚴格的制度進(jìn)行內部限制，另一方面，通過(guò)與流程、平臺、審計的結合，確保整個(gè)數據安全流程的合規。

　　4）加州大學(xué)戴維斯分校計算機系終身教授陳浩-《AI用于軟件安全和漏洞挖掘》

　　

　　模糊測試，是目前非常流行的一種軟件安全和漏洞挖掘的方法，模糊測試的做法相對簡(jiǎn)易，只需要對程序進(jìn)行不同的輸入，觀(guān)察程序的表現，看程序在什么樣的情況下會(huì )出錯即可。模糊測試有很多優(yōu)勢，一是一旦模糊測試發(fā)現程序出現了漏洞，那這個(gè)漏洞就一定存在；二是當這個(gè)漏洞發(fā)生時(shí)，模糊測試可以一個(gè)個(gè)進(jìn)行輸入驗證，一旦程序碰到了這個(gè)輸入就一定會(huì )出錯；第三，模糊測試的可擴展性非常好，有多少臺機器，就可以同時(shí)可復制的進(jìn)行模糊測試。

　　但是模糊測試也有瓶頸，那就是如何能夠去探索程序的不同狀態(tài)——模糊測試同時(shí)也存在效率低下、缺乏系統性的理論指導全憑經(jīng)驗等問(wèn)題，但是，借助AI的方式，就可以很好地規避掉模糊測試的這些弱點(diǎn)。介于陳教授后續的演講完全和算法、函數相關(guān)，大家可以關(guān)注“京麒“公眾號，回復“京麒大會(huì )”獲取PPT進(jìn)行學(xué)習。

　　科大訊飛信息安全管理部總經(jīng)理常炳濤分享了他對于人工智能三個(gè)階段的理解，即計算智能（能存會(huì )算）、感知智能（能聽(tīng)會(huì )說(shuō)、能看會(huì )認）和認知智能（能理解會(huì )思考）,常炳濤認為，目前人工智能行業(yè)的狀況，基本處于第二階段當中。

　　近年來(lái)，人工智能企業(yè)的各種應用也開(kāi)始批量落地，為了能夠降低安全方面的風(fēng)險，科大訊飛最主要的措施主要在幾個(gè)方面：一是確保研發(fā)安全，將安全要素提前嵌入到研發(fā)階段；二是核心技術(shù)的安全防護，科大訊飛擁有專(zhuān)用的研發(fā)網(wǎng)，并且又專(zhuān)門(mén)的審批流，嚴格控制數據的留出；最后一點(diǎn)，就是業(yè)務(wù)的安全管理。

　　除此之外，科大訊飛在安全工作方面也有幾條重點(diǎn)的基本定調工作，可以用于企業(yè)的安全建設當中——首先是合規；第二是核心商密的管理；第三是要提升自身的產(chǎn)品系統和產(chǎn)品競爭力；第四是個(gè)人信息層面，不僅要跟公司達成共識，還需要跟業(yè)務(wù)達成共識；第五是安全部門(mén)的人不能只發(fā)現問(wèn)題不解決問(wèn)題，即便落地的不是自身也需要有對應的方案； 第六部分，是安全工作要高度契合公司的流程；最后一點(diǎn)，是數據驅動(dòng)安全，最終實(shí)現人工智能的應用落地。

　　

　　云服務(wù)在2015年左右就開(kāi)始進(jìn)入爆發(fā)期，到2020年Q2,全球云服務(wù)產(chǎn)業(yè)市場(chǎng)份額增速進(jìn)一步增大，而虛擬化是基礎云服務(wù)大環(huán)境中許多服務(wù)的重要技術(shù)支撐。許多的云服務(wù)都需要從物理的硬件系統，通過(guò)中間的hypervisor層創(chuàng )建環(huán)境，可以把一個(gè)服務(wù)器分發(fā)給多個(gè)guest操作系統使用，實(shí)現的就是虛擬化，典型的代表有QEMU-KVM、Xen等等。

　　來(lái)自騰訊 Blade Team 的高級安全研究員錢(qián)文祥，分享了后續有關(guān)QEMU的論述，多以代碼形式呈現，大家可以關(guān)注“京麒“公眾號，回復“京麒大會(huì )”獲取PPT進(jìn)行學(xué)習。

　　

　　區塊鏈的發(fā)展時(shí)間較短，從2009年比特幣系統誕生至今約10年的發(fā)展時(shí)間。關(guān)于區塊鏈的安全問(wèn)題，目前比較典型的有拒絕服務(wù)攻擊、雙花攻擊、種族攻擊、芬妮攻擊、Vector76攻擊、替代歷史攻擊、51算力攻擊、整數溢出攻擊、女巫攻擊等。

　　除此之外，去中心化的應用測試和關(guān)于密碼的支持也是目前區塊鏈所面臨的挑戰，面對這些問(wèn)題和挑戰，陳鐘教授目前已參與到高校在區塊鏈創(chuàng )新行動(dòng)計劃，包括了8個(gè)核心技術(shù)攻關(guān)的行動(dòng)，和11項區塊鏈技術(shù)攻關(guān)能力提升的行動(dòng)。

　　要應對區塊鏈安全風(fēng)險，陳鐘教授認為要從四個(gè)方面來(lái)加強： 一是，加強聯(lián)盟區塊鏈核心技術(shù)的自主創(chuàng )新；二是，要加強聯(lián)盟區塊鏈漏洞管理和最佳實(shí)踐；三是，加強聯(lián)盟區塊鏈安全標準和評測體系的建設；四是，加強區塊鏈安全人才隊伍建設與培養。