近年來,大資料、人工智能、雲計算、移動網際網路及物聯網高速發展,與日益嚴峻的網絡安全形勢形成較大沖突。特别是2018年,全球網絡空間遭遇了巨大的安全挑戰,大型跨國黑客攻擊事件頻發,針對關鍵基礎設施與物聯網的攻擊不斷,資料隐私嚴重洩露,勒索病毒變種肆虐,CPU漏洞允許黑客竊取計算機的全部記憶體内容等等,不僅給使用者安全帶來嚴重影響,甚至威脅到國家安全。
在這樣的背景下:
· 如何通過密碼技術,解決數字經濟安全問題?
· 在分布式情況下,怎樣保障基于區塊鍊的資料分享及安全?
· 替代“找漏洞、打更新檔”的傳統思路,主動免疫可信計算能夠達成怎樣的效果?
**7月29日,以“構築網絡空間安全新格局,助推網絡安全産業新發展”為主題的第四屆中國網絡與資訊安全大會在成都召開。**本屆大會由中國電子學會、四川省經濟和資訊化廳、四川省網際網路資訊辦公室、四川省科學技術協會、四川省貿促會共同主辦,中國科學院院士王小雲、挪威工程院院士容淳銘、中國工程院院士沈昌祥,與來自科研院校、骨幹企業、行業協會的專家學者齊聚一堂,共同對網絡資訊安全前沿技術和産業發展态勢進行了深入探讨。
作為國内優秀網絡資訊安全企業之一,法大大連續第三年受邀參展,并憑借行業知名度、服務體系完整性、方案普适性、标杆使用者推薦等關鍵名額獲評“網絡與資訊安全最佳實踐獎”,進階副總裁兼CTO蘇紅超于現場分享了《資訊安全與法律科技的融合與創新》主題演講。
如何成為網絡資訊與安全的“最佳實踐”?
蘇紅超認為,“法大大之是以獲得網絡與資訊安全最佳實踐獎,得益于在設計實作法大大電子合同平台這個法律科技産品的過程中,團隊始終把安全與合規作為最重要的一個屬性。”
他表示,法大大設立了由CEO親自牽頭的資訊安全管理委員會,并配置了一支熟悉國内外安全法規監管、内控審計、網絡攻防、漏洞挖掘、密碼學、應急響應等專業技能的獨立資訊安全團隊。在多年的資訊安全建設實踐中,不僅取得ISO27001、ISO27018、等保測評三級、企業SaaS可信雲、國密産品型号證書等權威第三方機構與政府部門的相關認證與資質,同時從實體、網絡、主機、應用、業務、資料、終端、運維等不同層面建立了一套有效的縱深安全防禦與感覺體系,有力地保障了平台安全營運與使用者隐私資料的安全。
同時法大大非常注重安全技術的創新,自研了檔案碎片化安全存儲系統與合同文印安全解決方案,也在業界率先推出了基于區塊鍊的分布式電子證據保全平台,通過與司法鑒定機構、公證處、仲裁機構、網際網路法院等合作,實作了鍊上存證、鍊上驗證、鍊上出證,降低了電子資料證據保全成本,友善電子資料的證據認定,提高了司法證據保全領域的訴訟效率。
密碼技術面臨機遇和挑戰
在主題報告環節中,中國科學院院士王小雲發表了題為《密碼技術與數字經濟高品質發展》的主題演講,“目前我國以及世界已經進入到大資料應用和數字經濟高速發展的新時期,但是資訊的惡意擷取、篡改、僞造和濫用,使得數字經濟的安全問題日趨嚴重。”在王小雲看來,密碼技術就是保障數字經濟高品質發展的一個重要技術手段。
但值得關注的是,随着雲計算、人工智能的發展,也給密碼技術帶來了機遇和挑戰。具體來看,王小雲認為,資訊與網絡安全保障體系需要完善一些技術,比如雲服務的遠端身份鑒别、隐私保護問題、大資料的安全治理問題、支付的安全問題、晶片的安全問題等。
鑰匙分布處理的重要性
目前,區塊鍊技術應用同樣具備較高的關注度。挪威工程院院士容淳銘則在《基于區塊鍊的資料分享及安全》中強調,區塊鍊加密解密都具有一定周期性,實際上區塊鍊的不可篡改性、電子簽名都是建立在密碼上面的,而密碼都有一定的周期。在分布式情況下,怎麼樣去處理鑰匙的分布,這是一個難題。
容淳銘院士是世界頂尖的計算機領域專家,中國計算機協會(CCF)首批區塊鍊專業委會委員,IEEE 國際雲計算學術會議系列指導委員會主席。容院士在雲計算、安全通路控制、安全存儲、資料隐私保護方面有許多重要成果,在多個國際權威期刊發表論文200餘篇,主持和參與負責的課題涵蓋企業雲平台安全,石油自動一體化工程(4.0),能源聯網,智慧城市,智慧醫療等領域。
主動免疫可實作正确計算
沈昌祥在《推廣安全可信産業,夯實網絡安全基礎》中指出,由于計算科學問題(圖靈計算原理,缺少攻防理念)、體系結構問題(馮諾依曼架構,缺少防護部件)以及計算模式問題(重大工程應用,沒有安全服務),導緻網絡空間極其脆弱。
“設計IT系統不能窮盡所有邏輯組合,必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。”在沈昌祥看來,殺病毒、防火牆、入侵檢測的傳統“老三樣”難以應對人為攻擊,且容易被攻擊者所利用。找漏洞、打更新檔的傳統思路不利于保障整體安全。
在此情況下,“主動免疫”有望成為新的解決方案。主動免疫可信計算,是指計算運算的同時進行安全保護,以密碼為基因實施身份識别、狀态度量、保密存儲等功能,及時識别“自己”和“非己”成分,進而破壞與排斥進入機體的有害物質,培育網絡資訊系統免疫能力。
“主動免疫的安全目标是確定完成計算任務的邏輯組合不被篡改和破壞,實作正确計算。”沈昌祥表示,“我們要提倡主動免疫可信計算。”
而具體到資訊安全與法律科技的融合與創新——
· 如何看待國内外資訊安全監管發展與合規現狀?
· 法律科技發展與資訊安全關注可以怎樣結合?
· 電子合同平台如何實作資訊安全實踐與創新?
明天,我們将放送法大大進階副總裁兼CTO蘇紅超的現場演講精華,為你一一解答,敬請期待。
蘇紅超 法大大進階總裁兼CTO
電子科技大學大學畢業,十餘年網際網路一線技術研發與管理經驗,國内最早研發實施SaaS/PaaS平台的實踐者,對雲原生(Cloud Native)體系和生态有豐富的實踐及落地經驗,深耕區塊鍊應用研發,擁有多項技術發明專利。在企業級電子簽章/電子印章以及安全證書等領域有多年實踐經驗。
GITC全球網際網路技術大會專家顧問,微軟最有價值專家MVP。出版及翻譯了《ASP.NET深入解析》、《ASP.NET 4進階程式設計(第4版)》、《ASP.NET 3.5 進階程式設計:第2版》等多本計算機程式設計教材。