挑战2抓住安全本质,加强知识储备
如今,我国已成为网络大国,但由于网络技术基础薄弱和网络空间安全人才不足,我国还不是网络强国。4月19日上午,习近平总书记在京主持召开网络安全和信息化工作座谈会并发表重要讲话,在讲话中多次提到“网络安全”,网络安全的重要性不言而喻。
网络空间内,围绕信息安全的斗争是激烈的。那么,安全的本质是什么?阿里安全部副总裁杜跃进曾表示,没有哪个安全产品是永远不会被攻破的。安全是一个博弈对抗的过程,攻击者会不断寻找防护方的弱点,防护方也会不断探索对付新攻击的手段。网络安全的本质是攻防对抗,不仅要了解对手的能力、特点和动机,更要像对手那样思考。而攻防对抗也随着网络空间的变化不断催生新思路,诸如:纯密码对抗、信息数据对抗、系统安全对抗,网络空间对抗等。
那么,对于网络安全领域研究的学生来说,强有力的知识储备是非常重要的。在新方案提出的时候,是追求当下热点,还是按照自己的思路,需要进行多方的考量。同时,前期的积累也是非常重要的。
网络安全的本质是攻防对抗,不仅要了解对手的能力、特点和动机,更要像对手那样思考。
观点
韦韬:安全的本质就是对抗
韦韬百度首席安全科学家,安全实验室负责人
安全和其他研究最本质的区别就是对抗,没有对抗,它不是安全,它会变成系统构成的问题。我觉得安全是在对抗中解决实际问题,这是最核心的。这些年学术界有一个很严重的偏差,攻的东西越来越多,防的东西越来越少,因为防实在是太难做了。但其实我非常鼓励大家做防守,因为工业界最需要的是防守,学术界对这方面的贡献并不是很好。学术界做攻击,在保持对业界的产出和敏感度的同时,也应能够坚持做防守,并将防守的研究做扎实。
潘柱廷:安全归根结底是三个能力
潘柱廷北京启明星辰信息技术有限公司首席战略官
学术圈一直在进行研究,但是依然不能满足工业界的期望,其实是没有找到一个解决问题的点。建议学术圈可以从以下几个方面来考虑安全方面的学术线索。安全归根结底是三个能力:第一个是检测能力;第二个是破坏能力,破坏不是把它拆掉,而且拆掉一点就能够塌,这是一种水平;第三个是塔防技术,利用先发优势,精心谋划,“引导”攻击路线,干扰攻击者,针对威胁行为模式,在各个防御手段方面形成纵深覆盖。这三个能力构建了一定的防御体系能力。同时还可以有五个层面,包括系统、活动流转、数据、语义和人。
张源:前期的积累非常重要
张源复旦大学计算机科学技术学院
系统级的安全是需要很强的攻防能力的,在讲具体任务的时候,很多时候都在谈design,但其实里面有很多inset是需要很多工作能力上的储备才能知道这些细节。在我研究生阶段,对安卓系统有过一个时间比较长的攻守能力的知识储备,做过一些系统级别的移植,这些工作能够帮助我们去了解系统本身的机制。在了解系统机制之后,可以了解它的安全设计,研究其他层面的问题。在实验室也是鼓励学生不要去想太空泛的问题,应该先扎实做一些具体的项目经验。比如做App方面的一些工作,如果之前没有看过别人是怎么做的,那么怎么找这里面的漏洞。因此前期的积累很重要,也是必不可少的。
杨珉:应更多着眼于世界
杨珉973首席科学家、复旦大学软件学院教授
目前国内网络安全学科方向上在着眼于世界的方面还是有所欠缺。不少老师都谈到信息安全的顶级会议,我们鼓励学生去尝试,是希望对于新的安全问题的看法能够被体现和认可。成立InForSec,也是希望通过这个社群来推动师生与工业界,与国际同行的交流,特别是思想上的碰撞。
此外,在当前的背景下,我感觉到学术界对于信息安全有一点点不自信,特别是体现在对黑客攻防技术有一种崇拜感。实际上,攻防只是人才培养中技术门槛的基础,我们培养出来的学生,不应该等同于黑客,以发现多少漏洞作为标志性的成果,而是更应该鼓励他们产生系统性的方法论,如能不能设计漏洞发现工具?能不能建立起更好的安全防御机制?这些是需要扎实的基础,包括理论基础,这也正是我们在教育和科研环境当中应当着重体现的地方。
段海新:攻击的实质就是找问题
段海新清华大学网络科学与网络空间研究院教授
攻击实际上是在找现在系统的问题,之前有一篇论文是《我们如何差一点拯救了互联网》,在这个论文的研究过程中,我们时时刻刻都在跟企业界保持紧密的联系,并在百度的配合下作了这样的测试,在论文发表前,我们通知了所有16个厂商。有厂商表明这个问题的确很严重,但是需要大家联合起来,从标准层面上一起解决。尽管这是一个攻击,但还是帮助了互联网企业。目前,学术圈做攻击的人的确很多,做防范困难重重,主要是缺乏相关环境。
(来自InForSec论坛)