中国互联网安全大会
由360公司与中国互联网协会网络与信息安全工作委员会主办,为期两天,涉及移动终端、Web网络、存储、工控、APT等方面的安全技术及产品分享会,会议不乏产品广告,但本次会议也确实对各个管理机构、厂家及创业公司的标准、先进技术和产品有了一定了解,对本人触动很大,也坚定了我在网络及网络安全领域前行的决心,本次除常规会议外,本人重点听了一下移动安全和APT威胁防御论坛,以下是一些心得体会,供大家参考并引发思考共鸣,部份内容来自于会议专家的介绍在此引用,特此声明,由于能力有限部分内容无法准确表述请各位谅解。
一、网络发展趋势:
1、第一代互联网:PC时代的网络互连,1984年前后,TCP/IP真正引入互联网成为标准,PC网络时代到来。
2、第二代互联网:移动时代的网络互连,目前移动用户7.3亿,网民就有5.2亿,2008年以来我们见证了GSM(2G),WCDMA/TD-SCDMA(3G),LTE(4G)发展史,移动互连网真正来临。
3、第三代互联网:万物互连(internetof things),手机、手环、身体监视器、汽车、手机、电视、微波炉等涉及到我们的衣食住行方方面面都将通过网络进行连接通信,这是我们的未来。
二、威胁发展趋势:
1、传统威胁:1983年弗雷德科恩(本次嘉宾)编写并定义了第一个病毒开始至今,病毒、木马、僵尸网络、钓鱼等攻击方式一直影响着我们的网络安全。
2、APT攻击:2010前后出现了新型的攻击方式APT(震网等),社会工程学兴起,0day漏洞利用,有组织有预谋、目标明确持续渗透并隐藏踪迹的专项攻击逐渐影响到企业甚至国家安全。
三、网络安全应对策略:
1、威胁防护
传统威胁防御产品的研发,网络攻击与防护一直都是一个博弈的过程,依赖于NGFW,VFW、IPS、IDS、UTM、WAF、DLP等设备的网络安全边界防护依然是我们的重点,我们要加强技术积累与研发投入,缩小与国外领先技术产品的差距,做好安全大门的第一把锁;与此同时对于新兴的APT攻击,需要更加专业安全从业人员对产品和技术进行预研和分析,借鉴国外先进技术制定合理有效的解决方案,做好安全大门的第二把锁,个人认为目前这块国内还处于空白期,真正成熟可用的产品还很少;最后做到产品级的全流程防护,从终端,网络,云端进行全面防护,保障IOT的安全。
2、制定标准:
Android APP开发技术门槛较低,用Java+SDK或C/C++/Java+NDK或C#+Mono的APP开发使得所有程序员都能很快开发出自己想要的APP程序,而且目前也没有好的监管和检测恶意程序的机制,导致移动终端木马横行如XX神器等,所有需要国家安全部门与网络安全公司一道制定合理有效的标准从源头上抑制恶意软件程序的工具。
本次会议得到的一个消息是,2014年7月工信部已经形成《Android应用程序开发者第三方数字签名验证及标识规范》后续开发者将从CA申请证书对所开发的应用进行签名,并提供给用户专门的签名验证程序验证签名的正确性,对于已签名的软件将由软件商店单独展示,大大降低目前Android系统受攻击范围,从此CA将面向Android开发者收费。
后面希望政府安全部门牵头制定产品安全标准,对于各家网络安全产品不仅仅只是符合CMMI,ISO认证,而是针对网络安全产品单独发布的检测检验标准,由专门的评测机构负责评测评估及发布决策。
3、技能培养:
网络安全产品需要不断演进,网络安全技术需要积累,网络安全人才需要不断培养,
意识培养:自上而下的培养,从国家政府职能部门到企事业单位对网络安全的重视程度要加强,把保障网络安全作为我们网络安全从业人员人生理想的一部分。
人才培养:专业技术人才培养,通过加大投入,吸引国内外的专业技术人才和安全从业人员一道打造我们本土的安全技术人才,做好产品安全,做好安全演练,积累实战经验真正能够应对外来攻击。与此同时也要加强用户安全技能培养,利用实战攻防演练提高用户的安全意识和操作规范.。
四、总结:
安全在已不在是一个国家、一个企业、一个部门的问题,这是一个全人类、全社会、全民面临的历史性改革性的问题,邓小平提出的积极防御政策已经实行了40多年,我认为用在在网络安全方面仍不过时,在未来全民参与的网络安全大战役即将到来,让我们一起为国家、为公司、为人类的网络安全事业奋斗终身。
我生而立过,安全待从头,此生不发怨,更待何时休。