导语:为期两天的中国互联网安全领袖峰会(CSS 2017)刚刚在北京国家会议中心结束。 作为腾讯的年度安全交流大会,今年的CSS可谓阵容强大,邀请了多位国家互联网主管单位领导站台,世界黑客传奇凯文·米特尼特首次来华演讲,Google、卡巴斯基、
为期两天的中国互联网安全领袖峰会(CSS 2017)刚刚在北京国家会议中心结束。
作为腾讯的年度安全交流大会,今年的CSS可谓阵容强大,邀请了多位国家互联网主管单位领导站台,世界黑客传奇凯文·米特尼特首次来华演讲,Google、卡巴斯基、趋势科技等公司资深安全工程师做技术分享,并且还组了个国内上市安全公司负责人闭门会来探讨国家基础设施安全。从议程设置和质量上来看,尽管今年只是第三届,CSS毫无疑问已跻身国内最有影响力的安全会议阵营。
我们可以把它和上个月网络安全生态峰会(ISS)进行对比。两个大会都在讲安全生态,由于主办方阿里巴巴、蚂蚁金服的背景,ISS更偏向电商、金融科技的安全和犯罪打击方向;CSS则强调互联网和安全两个行业的结合,要共建“互联网安全新生态”。如果具体一些,可以看作互联网新兴/创新业务的安全,这也正是腾讯本行。
今年CSS议程有1个主会场、9个分会场。主会场是第一天全天,大家可以点我看嘶吼昨天的直播报道;9个分会场都在第二天,虽然分会场数量比ISS少,但腾讯非常阔气地包了三大块场地,分别位于国家会议中心一楼、四楼、隔壁酒店二楼,串场平均时间是5-15分钟。尽管到处跑,一天下来我发现并没有看多少内容,只能简单分享下看过的几个分会场议题了。
大数据环境下的个人隐私保护
演讲者:中国信息安全认证中心体系与服务认证部主任张剑
讲大数据的利用,一直有一道难题横亘在大家面前,就是个人隐私保护。目前业界普遍存在和担忧有四个方面:非法/合法收集、技术分析(关联)产生、非法交易传播、非法利用。
张剑分析了近几年国内法律和标准对用户个人隐私保护的要求,包括已发布的网络安全法、大数据安全标准化白皮书(2017),尚在制定中的个人信息安全规范等。他认为未来在个人隐私保护上,做好如下几点非常关键:
要推行国家个人信息安全认证制度,提升个人隐私保护水平;
依托加强关键信息基础设施信息安全管理等工作,强化个人信息安全认证制度;
加强个人信息从业人员管理,必要时同步推出相关人员认证。
《网络产品和服务安全通用要求》
演讲者:中国电子技术标准化研究院信息安全研究中心大数据安全技术总监胡影
在ISS上,中科院一个课题组预告了他们即将发布的金融科技国家监管安全标准——《金融科技平台量化安全体系构建原则》,蚂蚁金服无疑是这个标准的最大被监督者,二者的关系可见一斑。
腾讯也不逊色,CSS上中国电子技术标准化研究院预告了国家对网络产品和服务的安全标准——《网络产品和服务安全通用要求》。这份《要求》分为强制性、推荐性两部分,按《网络安全法》规定,所有网络产品、服务都应符合强制性标准(恶意程序防范、缺陷漏洞响应、持续安全维护、用户信息保护),属于最小安全要求。
QQ如何保存用户密码?
众所周知,用户密码如何存储是个非常敏感的事情。明文绝对不行,可逆加密不行,单向散列有彩虹库破解,即使是加盐散列如果强度低了还是可以破解。该怎么做呢?
作为国内互联网龙头企业,腾讯云专家工程师崔子翊以“QQ同款”为例,分享他们的密码加密方案:自适应复杂度散列+盐存储服务器,其具体实现有:可信的随机盐生成器,盐加密存储,支持区分帐号和定期更换密钥管理,盐密钥长度恰当选取,散列算法恰当选取,可信信道下发密钥等数项内容。经此方案,单条密码的破解时间从数周直接延长到了数千年。
利用AI检出恶意账号
今年CSS上有不少AI的议题,比如美国加州大学伯克利分校教授宋晓冬讲如何利用机器学习给软件找漏洞、寻找AI系统的漏洞;滴滴Labs安全研究负责人蔺毅翀分享机器学习技术在企业信息安全上的应用,腾讯云专家工程师成杰峰博士大谈腾讯自家的AI安全实践等。
腾讯这个很有意思,主要讲利用机器学习对恶意账号进行自动识别。恶意账号检测一直是业务安全大难题,腾讯比照PageRank,专门设计了SybilRank算法来对账号进行打分。
成杰表示,尽管黑产行为变化多端,但他们这套算法依然可以很好的识别。以子图嵌入为例,黑产经常在用户正常头像中加推广文字或者不良图片,他们综合色情团伙信号识别不良图像,可以达到99%准确精度。
成杰团队还建设了全域黑产知识库,经过特征引擎、算法引擎几重加工,为算法进行知识迭代。
活体检测的用户体验改进
线上金融业务主要用人脸识别来核实用户的身份,屏幕那边的操作者到底是人还是机器?
目前主流的人脸识别活体检测技术是让用户做动作,眨眨眼、转转头等。微众银行并不认可这套方案,其基础科技产品部负责人卢道和认为,让用户做动作的过程过于繁琐,据统计至少要15秒时间,对于漏斗转化模型来说,这里显然属于待改进瓶颈。
微众使用让用户读数字的方式,安全等级相当,但时间缩短到了8秒。他们最新还研究了光线活体检测技术,用户只需要正脸对着摄像头,不需要做额外动作,系统通过分析不同光线下人脸的变化来识别是否为活体,又进一步缩短了检测时间。
TSec安全探索
TSec安全探索论坛是CSS今年新设论坛,主谈硬核向的安全技术探索。这个论坛有不少亮点,放几个给大家看看:让机器学习帮你的网络安全“演习”、攻破 Windows 的马奇诺防线——缓解措施绕过的新战略、争夺保护内存之战——利用高级纯数据利用技术攻击只读内存……对于非前沿、内核研究的人来说,只能致以崇敬的目光。
当然,TSec也有贴近产业现况的议题,比如让iOS山寨盗版应用横行的0day漏洞分析、针对工控系统研究的蠕虫勒索软件、某宝上都能买到的蜂窝网接入设备等。
最后
其实还有很多精彩内容没有覆盖,比如腾讯谈微信支付安全挑战、腾讯/微步在线/知道创宇分享威胁情报/态势感知实战、国内13家上市安全公司负责人达成《网络安全产业中坚共识》、《个人信息安全规范》最新进展等,后续嘶吼将挑选放出,感兴趣的读者可以关注我们的后续更新。
今年的中国互联网安全领袖峰会到此告一段落了,希望嘶吼的报道能让大家有所收获,明年再见!