高峰對(duì)話 思想碰撞

中國(guó)信息安全研究院副院長(zhǎng)左曉棟，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專委會(huì)主任嚴(yán)明，亞信安全副總裁、亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院院長(zhǎng)劉東紅，啟明星辰集團(tuán)CBG戰(zhàn)略咨詢中心總經(jīng)理、集團(tuán)助理總裁韓明暢，北京中科同向信息技術(shù)有限公司董事長(zhǎng)鄔玉良，青藤云安全創(chuàng)始人&CEO張福以及中科院軟件所首席研究員卿斯?jié)h7位嘉賓在論壇高峰對(duì)話環(huán)節(jié)圍繞“人工智能時(shí)代動(dòng)態(tài)安全防御新技術(shù)、新趨勢(shì)”和“‘安全自主可控’的機(jī)遇與挑戰(zhàn)”話題展開了深入交流。

左曉棟表示，談“自主可控”，首先要弄清什么是自主可控，和國(guó)外合作行不行？國(guó)外的產(chǎn)品能不能用？什么樣的產(chǎn)品能用？在對(duì)待技術(shù)發(fā)展上有兩種觀點(diǎn)，一種觀點(diǎn)認(rèn)為，要關(guān)起門來(lái)，另起爐灶，徹底擺脫對(duì)外國(guó)技術(shù)的依賴，靠自主創(chuàng)新謀發(fā)展，否則總跟在別人后面跑，永遠(yuǎn)追不上。另一種觀點(diǎn)認(rèn)為，要開放創(chuàng)新，站在巨人肩膀上發(fā)展自己的技術(shù)，不然也追不上。這兩種觀點(diǎn)都有一定道理，但也都絕對(duì)了一些，沒有辯證看待問(wèn)題。

我們要遵循一定的標(biāo)準(zhǔn)，要搞清楚哪些是可以引進(jìn)但必須安全可控的，哪些是可以引進(jìn)消化吸收再創(chuàng)新的，哪些是可以同別人合作開發(fā)的，哪些是必須依靠自己的力量自主創(chuàng)新的。再者，自主可控是要到什么樣的程度，這也需要標(biāo)準(zhǔn)來(lái)解釋，這是一個(gè)科學(xué)問(wèn)題，要基于客觀事實(shí)。

同時(shí)，我國(guó)各廠商往往各自獨(dú)立開發(fā)，沒有建立起生態(tài)環(huán)境和生態(tài)系統(tǒng)，這樣是行不通的，我們應(yīng)該學(xué)習(xí)國(guó)外的“Wintel”聯(lián)盟，聯(lián)合起來(lái)共同開發(fā)基礎(chǔ)硬件和軟件，打造出完善的生態(tài)環(huán)境。

高峰對(duì)話環(huán)節(jié)現(xiàn)場(chǎng)

在嚴(yán)明看來(lái)，自主可控是安全的必要條件，而非充分條件。但是我們不能以此來(lái)否定它的必要性。在智能化的安全問(wèn)題方面，嚴(yán)明認(rèn)為這和其他安全問(wèn)題有相似也有不相融的地方，包含兩方面，一個(gè)是把AI（人工智能）技術(shù)運(yùn)用到安全，一個(gè)是AI本身的安全。所以，在發(fā)展信息化建設(shè)，在研究AI或者智能化技術(shù)的時(shí)候，對(duì)它的安全新的挑戰(zhàn)，也應(yīng)該給予充分的重視，而不是等到這個(gè)挑戰(zhàn)讓我們吃到大虧的時(shí)候，再進(jìn)行慢慢修補(bǔ)。

例如AI 的誤判導(dǎo)致的潛在威脅和安全隱患。還有就是我們?cè)谡凙I時(shí)往往圍繞算法、數(shù)據(jù)、網(wǎng)絡(luò)等方面，但實(shí)際上AI還有執(zhí)行機(jī)構(gòu)，比如無(wú)人機(jī)和機(jī)器人的形式。我們?cè)诳紤]智能化時(shí)，不能忘記它的執(zhí)行機(jī)構(gòu)的研究和發(fā)展，應(yīng)該提前有所規(guī)劃、有所思考、有所儲(chǔ)備，才能讓AI做得更好。

劉東紅在談到智能化和動(dòng)態(tài)防御時(shí)表示，傳統(tǒng)上的安全防御以設(shè)備的堆砌、人工的運(yùn)維、靜態(tài)的防御為主，已遠(yuǎn)遠(yuǎn)不能適應(yīng)新的威脅帶來(lái)的挑戰(zhàn)?，F(xiàn)在更多地談動(dòng)態(tài)防御、精密編排。這種安全能力要從戰(zhàn)略層、戰(zhàn)術(shù)層和工具層三個(gè)方面來(lái)綜合考慮，從戰(zhàn)略層的角度來(lái)講是頂層設(shè)計(jì)，要落實(shí)主體、機(jī)制以及目標(biāo)等等；在戰(zhàn)術(shù)層就要構(gòu)建安全的能力框架去制定威脅相應(yīng)處置流程等等；工具層就把相關(guān)的技術(shù)工具、各個(gè)廠商的產(chǎn)品進(jìn)行精密編排聯(lián)動(dòng)，使其能夠各司其職，從而實(shí)現(xiàn)自動(dòng)化的運(yùn)維管理。這其中離不開人工智能技術(shù)，現(xiàn)在很多廠商都在研究將人工智能運(yùn)用到安全領(lǐng)域，亞信安全也在做相關(guān)工作，并在識(shí)別安全威脅過(guò)程中達(dá)到自適應(yīng)、自學(xué)習(xí)的能力，從而提高效率和分析的精確度等。同時(shí)，還將AI融入到精密編排聯(lián)動(dòng)的體系中，并取得了良好的效果。

韓明暢表示，啟明星辰作為老牌的安全廠商，深刻理解到網(wǎng)絡(luò)空間安全形勢(shì)不斷的發(fā)展變化，需要考慮如何顛覆原有的技術(shù)和模式，來(lái)適應(yīng)新的安全形勢(shì)，以應(yīng)對(duì)更高強(qiáng)度的網(wǎng)絡(luò)安全攻擊。在未來(lái)將面臨國(guó)家級(jí)高壓的網(wǎng)絡(luò)對(duì)抗，實(shí)際上這種高壓對(duì)抗對(duì)網(wǎng)絡(luò)企業(yè)產(chǎn)生新的挑戰(zhàn)，網(wǎng)絡(luò)空間類似海洋流體，具有復(fù)雜、開放、常態(tài)化接觸對(duì)抗的性質(zhì)，并且環(huán)境不斷的變化。因此，韓明暢認(rèn)為，不存在有效的網(wǎng)絡(luò)攻擊手段，也不存在永久的防御手段和措施，即使設(shè)計(jì)良好的安全體系也存在一定的風(fēng)險(xiǎn)，本質(zhì)就是我們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域?qū)⒚媾R更多的不確定性。因此，在這種新的形勢(shì)下，不僅是網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)的思維模式都發(fā)生了變化。需要借鑒靈活性來(lái)對(duì)抗不確定性，核心的目標(biāo)就是取得網(wǎng)絡(luò)空間的控制權(quán)，而且摒棄過(guò)去在網(wǎng)絡(luò)里面常見的預(yù)設(shè)陣地的做法。在這種理念的指導(dǎo)下，近期啟明星辰也研發(fā)了基于智能化定義的安全體系，來(lái)應(yīng)對(duì)網(wǎng)絡(luò)空間中不確定的、高強(qiáng)度的網(wǎng)絡(luò)攻擊。

鄔玉良在談到網(wǎng)絡(luò)安全時(shí)認(rèn)為，網(wǎng)絡(luò)安全的發(fā)展需要多種方向，縱觀網(wǎng)絡(luò)安全發(fā)展歷程，其實(shí)更多地是針對(duì)網(wǎng)絡(luò)的“門”的防護(hù)，即在網(wǎng)絡(luò)邊界部署安全策略。但其背后的系統(tǒng)和數(shù)據(jù)才是關(guān)鍵，因此對(duì)于數(shù)據(jù)本身的防護(hù)是未來(lái)安全防護(hù)的重點(diǎn)。而在自主可控的發(fā)展道路上，有機(jī)遇也有挑戰(zhàn)。國(guó)家從政策層面為自主可控的發(fā)展指明了方向，這對(duì)廠商來(lái)說(shuō)是一種支撐。隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的發(fā)展，計(jì)算機(jī)技術(shù)出現(xiàn)了新態(tài)勢(shì)和新環(huán)境，只有依靠創(chuàng)新才能把握彎道超車的機(jī)會(huì)。

張福詳細(xì)解讀了新形勢(shì)下安全的發(fā)展方向，隨著業(yè)務(wù)系統(tǒng)由封閉走向開放，意味著安全風(fēng)險(xiǎn)也成倍增加，過(guò)去的安全防御往往是建立在對(duì)黑客的認(rèn)知基礎(chǔ)上，通過(guò)建立安全團(tuán)隊(duì)去研究黑客的攻擊方法。但張福認(rèn)為，這種以有限的認(rèn)知和資源去應(yīng)對(duì)無(wú)限的和未知的攻擊，是注定不會(huì)成功的。因此，必須把注意力從黑客身上轉(zhuǎn)移到自己身上。如果能夠?qū)ψ约旱恼J(rèn)知非常清晰，在整個(gè)體系運(yùn)轉(zhuǎn)的過(guò)程中，能夠產(chǎn)生很多內(nèi)在的指標(biāo)，通過(guò)分析這種指標(biāo)去發(fā)現(xiàn)其內(nèi)部的規(guī)律，無(wú)論黑客用了什么樣的漏洞、工具或方法，只要在網(wǎng)絡(luò)內(nèi)部活動(dòng)，一定會(huì)產(chǎn)生某種變化，關(guān)鍵是有沒有這個(gè)水平和能力去敏銳地發(fā)現(xiàn)目標(biāo)，這其中只靠人工是不夠的，因此，需要結(jié)合AI技術(shù)來(lái)實(shí)現(xiàn)，這是未來(lái)安全的發(fā)展趨勢(shì)。

卿斯?jié)h介紹了如何看待未來(lái)AI與信息安全的發(fā)展，AI技術(shù)的發(fā)展也經(jīng)歷了幾次高潮和低谷，近年來(lái)再次變得火熱，但目前AI仍舊處在一個(gè)較初級(jí)的階段。

因此，一方面我們還要繼續(xù)加大研究，把握好未來(lái)的發(fā)展方向。另一方面需要根據(jù)AI發(fā)展趨勢(shì)來(lái)考慮信息安全的需求，是否需要構(gòu)建一個(gè)新的安全架構(gòu)？例如物聯(lián)網(wǎng)體系下的認(rèn)證技術(shù)與其他安全體系是不同的，所以我們需要建立AIoT，即“健壯的物聯(lián)網(wǎng)結(jié)構(gòu)”下的安全保護(hù)體系。當(dāng)然還有物聯(lián)網(wǎng)體系下密鑰的存儲(chǔ)也是有著不同的策略，這些都是需要考慮的。