CSS 2017 中國互聯網安全領袖峰會:安全新秩序、連接新機遇
為期兩天的中國互聯網安全領袖峰會(CSS 2017)剛剛在北京國家會議中心結束。
作為騰訊的年度安全交流大會,今年的CSS可謂陣容強大,邀請了多位國家互聯網主管單位領導站台,世界黑客傳奇凱文·米特尼特首次來華演講,Google、卡巴斯基、趨勢科技等公司資深安全工程師做技術分享,並且還組了個國內上市安全公司負責人閉門會來探討國家基礎設施安全。從議程設置和質量上來看,儘管今年只是第三屆,CSS毫無疑問已躋身國內最有影響力的安全會議陣營。
我們可以把它和上個月網路安全生態峰會(ISS)進行對比。兩個大會都在講安全生態,由於主辦方阿里巴巴、螞蟻金服的背景,ISS更偏向電商、金融科技的安全和犯罪打擊方向;CSS則強調互聯網和安全兩個行業的結合,要共建「互聯網安全新生態」。如果具體一些,可以看作互聯網新興/創新業務的安全,這也正是騰訊本行。
今年CSS議程有1個主會場、9個分會場。主會場是第一天全天,大家可以點我看嘶吼昨天的直播報道;9個分會場都在第二天,雖然分會場數量比ISS少,但騰訊非常闊氣地包了三大塊場地,分別位於國家會議中心一樓、四樓、隔壁酒店二樓,串場平均時間是5-15分鐘。儘管到處跑,一天下來我發現並沒有看多少內容,只能簡單分享下看過的幾個分會場議題了。
大數據環境下的個人隱私保護
演講者:中國信息安全認證中心體系與服務認證部主任張劍
講大數據的利用,一直有一道難題橫亘在大家面前,就是個人隱私保護。目前業界普遍存在和擔憂有四個方面:非法/合法收集、技術分析(關聯)產生、非法交易傳播、非法利用。
張劍分析了近幾年國內法律和標準對用戶個人隱私保護的要求,包括已發布的網路安全法、大數據安全標準化白皮書(2017),尚在制定中的個人信息安全規範等。他認為未來在個人隱私保護上,做好如下幾點非常關鍵:
要推行國家個人信息安全認證制度,提升個人隱私保護水平;
依託加強關鍵信息基礎設施信息安全管理等工作,強化個人信息安全認證制度;
加強個人信息從業人員管理,必要時同步推出相關人員認證。
《網路產品和服務安全通用要求》
演講者:中國電子技術標準化研究院信息安全研究中心大數據安全技術總監胡影
在ISS上,中科院一個課題組預告了他們即將發布的金融科技國家監管安全標準——《金融科技平台量化安全體系構建原則》,螞蟻金服無疑是這個標準的最大被監督者,二者的關係可見一斑。
騰訊也不遜色,CSS上中國電子技術標準化研究院預告了國家對網路產品和服務的安全標準——《網路產品和服務安全通用要求》。這份《要求》分為強制性、推薦性兩部分,按《網路安全法》規定,所有網路產品、服務都應符合強制性標準(惡意程序防範、缺陷漏洞響應、持續安全維護、用戶信息保護),屬於最小安全要求。
QQ如何保存用戶密碼?
眾所周知,用戶密碼如何存儲是個非常敏感的事情。明文絕對不行,可逆加密不行,單向散列有彩虹庫破解,即使是加鹽散列如果強度低了還是可以破解。該怎麼做呢?
作為國內互聯網龍頭企業,騰訊雲專家工程師崔子翊以「QQ同款」為例,分享他們的密碼加密方案:自適應複雜度散列+鹽存儲伺服器,其具體實現有:可信的隨機鹽生成器,鹽加密存儲,支持區分帳號和定期更換密鑰管理,鹽密鑰長度恰當選取,散列演算法恰當選取,可信信道下發密鑰等數項內容。經此方案,單條密碼的破解時間從數周直接延長到了數千年。
利用AI檢出惡意賬號
今年CSS上有不少AI的議題,比如美國加州大學伯克利分校教授宋曉冬講如何利用機器學習給軟體找漏洞、尋找AI系統的漏洞;滴滴Labs安全研究負責人藺毅翀分享機器學習技術在企業信息安全上的應用,騰訊雲專家工程師成傑峰博士大談騰訊自家的AI安全實踐等。
騰訊這個很有意思,主要講利用機器學習對惡意賬號進行自動識別。惡意賬號檢測一直是業務安全大難題,騰訊比照PageRank,專門設計了SybilRank演算法來對賬號進行打分。
成傑表示,儘管黑產行為變化多端,但他們這套演算法依然可以很好的識別。以子圖嵌入為例,黑產經常在用戶正常頭像中加推廣文字或者不良圖片,他們綜合色情團伙信號識別不良圖像,可以達到99%準確精度。
成傑團隊還建設了全域黑產知識庫,經過特徵引擎、演算法引擎幾重加工,為演算法進行知識迭代。
活體檢測的用戶體驗改進
線上金融業務主要用人臉識別來核實用戶的身份,屏幕那邊的操作者到底是人還是機器?
目前主流的人臉識別活體檢測技術是讓用戶做動作,眨眨眼、轉轉頭等。微眾銀行並不認可這套方案,其基礎科技產品部負責人盧道和認為,讓用戶做動作的過程過於繁瑣,據統計至少要15秒時間,對於漏斗轉化模型來說,這裡顯然屬於待改進瓶頸。
微眾使用讓用戶讀數字的方式,安全等級相當,但時間縮短到了8秒。他們最新還研究了光線活體檢測技術,用戶只需要正臉對著攝像頭,不需要做額外動作,系統通過分析不同光線下人臉的變化來識別是否為活體,又進一步縮短了檢測時間。
TSec安全探索
TSec安全探索論壇是CSS今年新設論壇,主談硬核向的安全技術探索。這個論壇有不少亮點,放幾個給大家看看:讓機器學習幫你的網路安全「演習」、攻破 Windows 的馬奇諾防線——緩解措施繞過的新戰略、爭奪保護內存之戰——利用高級純數據利用技術攻擊只讀內存……對於非前沿、內核研究的人來說,只能致以崇敬的目光。
當然,TSec也有貼近產業現況的議題,比如讓iOS山寨盜版應用橫行的0day漏洞分析、針對工控系統研究的蠕蟲勒索軟體、某寶上都能買到的蜂窩網接入設備等。
最後
其實還有很多精彩內容沒有覆蓋,比如騰訊談微信支付安全挑戰、騰訊/微步在線/知道創宇分享威脅情報/態勢感知實戰、國內13家上市安全公司負責人達成《網路安全產業中堅共識》、《個人信息安全規範》最新進展等,後續嘶吼將挑選放出,感興趣的讀者可以關注我們的後續更新。
今年的中國互聯網安全領袖峰會到此告一段落了,希望嘶吼的報道能讓大家有所收穫,明年再見!
如若轉載,請註明原文地址: http://www.4hou.com/info/news/7280.html
推薦閱讀:
※Popcorn Time(爆米花時刻):第一個不收贖金的勒索軟體
※約會應用也不放過?利用參數污染漏洞繞過IDOR
※iOS 安全的興衰史:蘋果的安全性已經今非昔比
※一個月太久,只爭朝夕