2024年11月25日 星期一

杜躍進:網路安全本質是攻防對抗

  • 發佈時間:2014-09-25 17:30:04  來源:中國網財經  作者:佚名  責任編輯:湯婧

  中國網財經9月25日訊 2014中國網際網路安全大會(ISC2014)于24日在北京國家會議中心召開,在今天下午的“前瞻技術峰會”上,原網路安全應急技術國家工程實驗室主任杜躍進,發表了題為《網路安全實務:競賽、演練、靶場和人才》的主題演講,暢談組織和實施上述內容背後的深遠意義,並詳細介紹了此前成功舉辦的“XP靶場挑戰賽”的具體情況。

  圖: 網路安全應急技術國家工程實驗室主任杜躍進

  杜躍進的演講有四個關鍵字,競賽、演練、靶場、人才。他坦言把這四個字放在一起是很有難度的。“無論在座的各位是不是在做安全,都會遇到一個問題,被人追尾到底那款産品更好。”對於安全産品來説,這個問題更加難以回答。因為網路安全的本質是人和人之間的攻防對抗,在這個過程中存在著太多不可預知的變數。

  杜躍進在演講中表示,事實上網路安全的本質是攻防對抗,不僅要了解對手的能力、特點和動機,更要像對手那樣思考。而攻防對抗也隨著網路空間的變化不斷催生新思路,諸如:純密碼對抗、資訊數據對抗、系統安全對抗,網路空間對抗等等。

  杜躍進坦言,沒有哪個安全産品是永遠不會被攻破的。安全是一個博弈對抗的過程,攻擊者會不斷尋找防護方的弱點,防護方也會不斷探索對付新攻擊的手段。在這種真實的對抗中,安全保障的水準和能力才會得到不斷提升。

  最初的安全對抗只是單純的加密與解密的對抗;之後的系統安全也相對簡單。但杜躍進指,出現在的網路網路攻防的複雜程度已經超越以往,駭客通過網路就可以偷取原本需要解密、攻破系統才能獲得的東西。在如今的網路世界,沒有辦法阻止數據的向外輸出,這也給安全從業者帶來的更大的挑戰,因此各種形式的網路攻防比賽也因此孕育而生。

  在談及此前被網民以及行業普遍關注的“XP靶場挑戰賽”時,杜躍進重點做了詮釋,與大家分享了組織運作中的收穫。他表示,通過這種競賽不僅可以發現新問題、新方法,而且還可以發現新人才、驗證真效果。畢竟從業人員要通過實戰來提高檢驗自己的技術能力。

  據杜躍進介紹,競評演練工作組成員是由技術專家、賽事組織人員構成,這些工作人員負責賽事的總體設計和競賽事務的統籌協調,以及競賽的整體推進和落實監督。而監督委員會成員是由行業代表、業內第三方專家、參賽企業代表、賽事組織人員等構成,他們將會對競賽全程監督,制定媒體策略以及發生特殊情況時的緊急商議。

  此外,由行業代表、業內第三方專家、參賽企業代表、賽事組織人員組成的技術委員會,將搭建一個合理的平臺,平臺擁有強大的技術能力保障,包括數據記錄回放、鏡像保存、攻擊方法提取,攻擊有效性判定等。這些技術人員將會對靶場環境和靶標,以及賽事挑戰流程的合理性進行確定。

  杜躍進透露組織運作“XP靶場挑戰賽”的過程中,收穫了許多可貴的經驗。而在未來,競評演練工作組將會組織更多的競賽項目,例如,音視頻分析演算法大賽等。目前,在“XP靶場挑戰賽”的帶動下,一些安全競賽也在如火如荼的進行著,通過這些安全競賽,可以發現新的方法、新問題,也能提高安全從業人員的實戰技術水準。甚至可以説,組織這些競賽的就是為了鍛鍊網路安全專業人才。

  據主辦方透露,ISC2014將成為網際網路安全行業從業者和創業者、安全專業技術人員、企事業單位和機構資訊主管、網管員以及安全技術愛好者的了解安全行業和技術趨勢,把握産業和技術方向,知曉安全人才需求方向,學習最新技術和技能的平臺。

  • 股票名稱 最新價 漲跌幅