​企业安全操作系统、AI革命、智能网联车……领略2020京麒网安大会新基建新安全

今年，在疫情和新基建政策的双重影响下，我国加速了全面数字化的进程，虚拟与现实之间的空间壁垒不断被打破，安全态势变得更加复杂，安全范畴也变得更加广泛。未来行业如何合法合规的发展，已经成为当前企业必须高度重视的问题。

大半年来，国内诸多知名企业都在新基建安全上有哪些发力点呢？其实，我们可以通过近月来连续举办的各类网络安全大会窥探一二。因为这些大规模网安大会，往往聚集了各领域头部企业的安全高管和网安方面知名的专家、学者，每个人、每家企业都会拿出自己最新最重磅的技术与理念来进行分享，以期互通有无，协同解决新型网络风险，共同提升国内安全水位。

最近国内举办的网络安全大会，即是2020京麒网络安全大会。12月4日，以“破壁·新生”为主题的2020京麒网络安全大会在北京拉开帷幕。其之所以称得上大，不仅是因为是由互联网头部企业京东主办，更是汇聚了腾讯、百度、中国电信、赛博英杰、奇安信、蔚来汽车、商汤科技、科大讯飞等头部企业的安全高管，以及北京大学、加州大学、北向智库的专家学者。

掐指一算，这已经是京东举办的第八届网络安全峰会。网安英才，济济一堂，围绕“新基建”、“新技术”、“新安全”等核心理念，聚焦社会在加速数字化转型过程中，安全方面所面临的问题以及解决方案，比如政策趋势解读、新型技术设施发布，以及AIoT、区块链、云虚拟化等前沿安全技术。政企学界同台共商数智化解决方案，携手连接安全新生态。

技术分享，理念传递，可谓干货满满，参会者畅汗淋漓。为了能让更多人共享这场技术盛宴，我们便提炼了本次大会演讲精华，以便网安同仁一一领略。

新基建是2020年中国经济的热词，加快推进新基建，不仅是当前拉动投资、提振经济的务实之需，更是关乎经济转型、社会发展的长远之计。从安全角度看，作为新建的底座，这既是安全领域的机会，但行业在未来如何合法合规的发展，也是当前企业必须高度重视的问题。

公安部网络安全保卫局十八处的祝国邦处长认为，新型基础设施建设就是以网络技术为基础的，如果做不好网络安全，新基建缺少立足之本。公安部一直在强化整个社会层面的网络安全综合防控体系的建设，今年公安部也在牵头制定国家层面的关键信息基础设施网络安全保护条例、网络安全等级保护条例等相应的立法，也配合制定国家的数据安全法、个人信息保护法等一系列的法律法规。

祝国邦处长对大型互联网企业的责任，也做出了三点强调：

随后，中国网络空间研究院网络安全研究所负责人姜伟认为，当前网络安全面临的形势为世界百年未有之大变局加速演进，新冠肺炎疫情对国际格局产生深刻影响，网络安全威胁风险和日益突出，网络安全形势严峻、不确定性和不稳定性增加，主要体现在以下五点：

最后，姜伟强调了网络安全发展五个新格局——我们要努力打造网络安全技术创新新格局，努力打造关键信息基础设施防护新格局，努力打造数据安全防护机制和体系新格局，努力打造网络安全产业新发展格局，努力打造网络安全人才培养新格局。

众多周知，京东是以电商起家，与各行各业都有着千丝万缕，甚至是密不可分的联系。

如今，企业数字化已经是大势所趋。然而许多传统商家，比如水产、木材、家具等行业的中上游制造和批发企业，却一直不敢一脚跨进数字化大门，因为除了担心交易的不确定风险之外，还担心数据隐私泄露了怎么办？企业数据被竞争对手拿去，会不会有这种风险？

此外，像医疗行业，京东健康在线问诊人数与日俱增。也有人担心自己的病情隐私数据能不能得到妥善保护。

另外，京东给江苏省南通市做现代化城市治理，这个项目打通了大量的数据孤岛，有60多个政府部门，还有十几个县地市的数据，数十亿的政务数据，都在京东系统里跑，要支撑如此大规模的城市计算，还要保证政务数据安全，该如何实现？

近年来，京东一直在智能城市、医疗、数字政府、金融科技等行业里，帮助企业重构技术、数据和服务的供应链以及提供安全的数字化基础设施。但是，大量传统企业数智化以后，不可避免地会面临信息安全的问题和需求。

对此，京东内部某安全负责人做了一个简单的计算，安全行业大概可以细分为100多个产品品类，可能有10万名安全专家和安全专业人员在打造这些能力。另一端，中国的数智化要升级上千万数量的中小公司，随之就需要信息安全保护，需要安全赋能。

如果还以传统方式进行安全赋能，那么每家企业至少要管理十几款甚至数十款安全产品，即便保守计算，每家企业配备一个安全人员，则也需要培养一千万名安全业者。然而目前安全行业人才缺口已经高达140万，想在短期内补足1000万的安全人才，根本不现实。

更严峻的问题是，包括京东安全在内的几个互联网安全头部企业，至少要配备几百、上千名安全专家，需要花费5到10年的时间打造安全能力，并且这些安全能力无法被复制和转移给中小企业去赋能。

所以，京东安全认为，大量安全问题都存在于基础设施里，如果不解决基础设施的标准化问题，即亟需一套成熟的、能够快速匹配企业新基础设施的安全操作系统，就很难把安全能力去传递赋能。

幸运的是，京东有着非常丰富的技术积淀和实战经验，京东拥有零售、数字科技、物流、技术服务、健康、保险、产发、金融、智联云和海外等领域，这些业务安全平稳运行的背后，是庞大的安全基础设施以及上百万的IoT设备和服务器，以及各种APP、小程序等10万以上的应用，包括了大量的数据和30万名员工的相关信息。

在多年的摸索和运行之下，京东安全已经具备了包括数据安全、业务风控和统一身份管理等多项原生安全能力，并已总结和剥离出统一的、可视化的运营能力，能够赋能多种复杂场景的安全运维。

数年来，京东许多客户想获得京东打造的安全能力，包括网络安全能力、数据安全能力、风控和帐号安全能力，以及统一运营能力、统一可视化、统一运维等，而不需要去管理数十款安全产品。

此外，京东安全也希望获得一个数据驱动的能力，把所有安全数据都聚集在一起分析提炼。 更重要的是，京东安全的安全能力能够跟自家的IT基础设施和业务流程无缝全周期全链路对接，达成这个目标并不容易，需要一个标准化的架构。

本次企业安全操作系统发布，距离第七届京麒大会的J-SAFE基础设施发布仅一年之隔，之所以在短时间内有此重磅的产品叠代，与今年整体的环境背景和京东安全的生态布局紧密相关。

今年在疫情和新基建政策的双重影响下，企业乃至整个社会的数字化转型步伐加速，对安全提出了智能联动和高效协同的诉求，需要企业基于标准化的底层架构建拉通企业现有安全能力，以智能分析为核心，形成有效的安全运营。

除此之外，“构建新的安全基础设施”是京东安全一直以来的坚持，能够真正深入到底层标准化建设中，利用京东安全的最佳实践和技术，帮助京东的多种业态以及生态中的各行业合作伙伴构筑长久稳定的安全护城河，是京东安全在生态布局当中最为重要的一环。

百度副总裁马杰表示，新基建是人类进入智能经济社会之前的最大的基础设施工程，人工智能一定是所谓新基建中最重要的一个新。

所以，未来企业要兼备人工智能的思维和其本职业务的思维，对未来来讲，可能中小型企业将会承担起很大程度的人工智能领域的创新，而平台性企业会去承担很多基础性平台的工作，搭平台，堆机器，给大家制造一个可以快速创造崭新AI应用的平台。

在智能经济下，AI有三个非常重要的安全要素——算力、算法、数据。这三个层面上，都有它的安全性。在算力层面上，传统安全占主要部分；在算法上，有大量的新兴安全问题；在数据上，有非常重要的数据安全和隐私保护的问题。

马杰提出，解铃仍须系铃人，面对AI攻击，还是得用AI去对。即在强对抗环境下AI安全，用深度学习去既做对抗性的样本，也用对抗性的学习去解决对抗样本的问题。

此外，隐私数据保护也是AI时代必须做好的一件事，如何让数据孤岛既能产生价值，又能保护好，这个是我们所面临非常大的挑战。百度开源了包括Teaclave等在内的多项安全计算框架。马杰称，百度希望与大家共同改进此类安全技术，共同保障大家赖以生存与骄傲的AI时代。

随着企业安全水位的不断提升，直接突破Web边界攻击内网变得越来越难，网络实战攻防的战场逐步转向终端，这也给甲方安全建设带来了新的挑战，企业面对类似问题要如何破局？

奇安信首席信息安全官兼网络安全部总经理聂君认为，我们在做甲方安全建设的时候，每天会有大量的安全事件，这些安全事件的背后，其实或多或少会找到我们自己在技术各个方面的漏洞，这些漏洞我们会受到攻击者的攻击。其实我们会有大量的动作，就是要从已发生的事件里去做复盘分析，然后再去提炼出我们可以去做改进和提升的点，从而推动整个甲方安全建设的提升的动作。

聂君称，终端的对抗未来会成为一个很大的战场，所以在防范终端上，怎么去防范它被投递相应的样本。当投递了样本以后，在终端有什么样的事中发现手段。

聂君觉得，复盘有四个要素，分别是人、技术、机制、安全运营持续改进流程。

聂君分享了三个奇安信内部曾经出现过的案例，再从三个案例里提炼出甲方的复盘历程，最后总结得出甲方的安全建设思路和正确复盘姿势，共有三点：

此外，聂君还总结分享了获取安全资源的四个要点：

最后，聂君还分享了他对于内生安全、安全运营、甲方与乙方的相处之道等内容的看法。

在数字化时代下，随着汽车的智能化和网联化，车辆不再仅仅是纯粹的交通工具，而是变成了越来越个性化的智能移动网络终端和智能交通网络系统节点。蔚来汽车作为全球化的智能电动汽车制造商，他们又遇到了哪些机遇与挑战呢？

蔚来汽车车联网和产品安全负责人朱颢认为，智能汽车领域，既有虚拟网络领域的安全问题，又有除虚拟以外物理世界的供应点。智能汽车但凡有一个地方涉及安全上的隐患，可能影响的不只是信息安全，还会对人身安全造成一些伤害。

另外，现代的车智能化、网联化，在智慧交通大背景下，我们的车不只是一个孤立的终端，以后会成为我们整个智慧交通里面的一份子，它收数据也发数据，在智慧交通里，成为智慧网络的节点以后，它的安全性也会影响到别的车的安全。

随后，朱颢从五个方面讲述了蔚来汽车的安全实践，分别为安全团队、安全工程方法、安全保护技术、安全守护系统、安全响应流程等。特别提到了公司内部做安全的时候遵循的四原则：最小权限、零信任、分层纵深和主动防御。

朱颢还介绍了蔚来汽车具有严格的数据隐私保护，比如车内人脸数据都是严格控制在本地进行处理，不会出车；后台的数据都有严格的权限管控，有哪类数据和哪类部门触碰到，谁察看谁的数据都有严格的记录等等。

除此之外，蔚来汽车还自研了四套摄护系统，并且都以“龙”为名，对应为红龙、银龙、绿龙和棕龙，是一整套安全系统化工程。比如银龙面向用户数据保护、红龙是PKI证书体系、绿龙是车内防护及IDPS体系、棕龙则是OTA及安全性校验体系。

朱颢坦言，他们在第一代平台上吸收最大的教训就是，需要在架构之初将安全融入其中，而不是将来产品上做一些修复，否则带来的代价会非常大。因此，从最开始的设计到开发到产品的发布，安全整个融入其中，再通过一些安全方法保证稳定性，及时发现异常，有漏洞及时通过OTA把软件补丁快速推出去，通过各种机制来保证车的安全。

朱颢认为蔚来汽车安全团队最大的目标，就是保护好智能电动汽车去安全地进化。

实际上，本届京麒网络安全大会技术分会场上，其实还有很多精彩议题，但限于篇幅，无法一一详细介绍。这些议题主要如下：

商汤科技庄汉阳分别以算法攻击、算法场景防泄漏、数据安全管理三个场景为代表，介绍了商汤AI产品的安全实践。认为站在商汤做AI的场景下，希望在技术的进步和提升中，加密、解密和破解的算力越来越强，希望更多有AI属性的工具和AI属性的平台和算法，可以帮助到这个行业。

加州大学陈浩分享了如何把AI技术用于软件安全，具体做法是把软件安全问题转化成优化问题，通过机器学习去解决优化问题。机器学习方法和传统分析方法相辅相成，传统程序分析法优势在于可以精确分析知道一些程序的状态，缺点是无法进行搜索。机器学习是反过来，非常擅长做搜索，但无法知道和你的程序语义相关的一些信息。和程序语义相关的信息，可以通过程序分析的方法，通过静态和动态获得，把这些信息给机器学习，利用这些信息做更加有效的搜索。两者结合起来，可取得很好效果

科大讯飞常炳涛分享了他对于人工智能三个阶段的理解，即计算智能（能存会算）、感知智能（能听会说、能看会认）和认知智能（能理解会思考），目前人工智能行业状况基本处于第二阶段。并介绍科大讯飞在安全工作方面七点重点基本定调工作，可用于企业安全建设：一是合规；二是核心商密管理；三是提升自身产品系统和产品竞争力；四是个人信息层面，不仅要跟公司达成共识，还需跟业务达成共识；五是安全部门的人不能只发现问题不解决问题，即便落地的不是自身，也需要有对应方案；六是安全工作要高度契合公司的流程；七是数据驱动安全，最终实现人工智能的应用落地。

腾讯钱文祥介绍了Blade Team最近在对QEMU进行安全分析时所采用的审计和Fuzz思路。并分享了企业安全开发的一些实践总结，是他根据RedHat和谷歌的一套东西总结而出。即要把静态扫描的流程集中在开发环节的每一个提交中，因为静态扫描不占用人力，只是一个机器在后面扫，设置专门人员负责安全审计，测试人员或开发人员应当对复杂功能编写Fuzzer并及时更新，提供足够算力的机器对代码进行模糊测试，及时处理崩溃的告警信息，合并PATCH并回报。研制热补丁系统，以方便修补补丁不需要改动很多代码的问题。

此外，本次会议中“新基建背景下的安全建设”为主题的圆桌论坛也是一大亮点。北京赛博英杰科技有限公司创始人＆董事长、正奇学院创始人谭晓生主持了本场论坛。

  北向智库首席经略师潘柱廷

认为，目前安全领域最明显的特征就是基础设施化，形成了大基础设施对前端体系的服务方式，以360为例，直接就是用基建的方式来做基建的安全，比如360现在做的基建就是安全大脑，在安全大脑的基建环境下，等于安全能力变基建化，用基建的能力辐射到需要安全的前端，基建的安全和安全的基建需要高度融合。

百度副总裁马杰

认为，新基建这个词拆开看，一个是新，对于百度而言，新就是AI技术的新；另一个是基建，基础设施建完了再去修补，成本很高。所以新基建需要去解决基础和本质的问题，安全不能仅仅停留在简单的攻防层面，而要回归到模型安全的研究上，因此无论是AI还是自动驾驶，安全都要做到前面、想到前面。才是真正对自己负责，对整个安全生态负责。

北京大学信息科学技术学院教授、区块链研究中心主任陈钟

讲述了新基建中衍生而出的安全问题。比如区块链衍生的数字资产和数字货币，可能会因为涉及洗钱、跨境外汇而被斩尽杀绝；又如人工智能方面，一旦人脸识别被禁止使用，那人脸识别技术也将面临灭顶之灾。因此关注新基建对于安全的影响，不能仅仅关注某个单点，同样也需要关注单点所带来的衍生安全问题，是不是有什么样的合法方式使其存在并得到深入发展。

安全的发展离不开资本的加持，近几年，大量资本涌入安全行业，对安全的发展也起到了强大的推动作用。

  高成资本创始合伙人洪婧

从资源配置和创造价值两个层面来阐述，认为新基建其实是在国家已经把数据提升到生产资料高度上的背景下的决策，已是和土地、劳动力、资本同级别的重要生产资料，现在提新基建，不仅仅是从整个经济循环上的一个国家驱动的投入，更是为未来得中国向技术转型发展所奠定的基础。相信数据已经越来越变成核心资产，我国在IT和安全的投入都会增加。

中国电信集团网络与信息安全首席专家刘紫千

觉得，新基建的新，是基于我国第四代工业革命开始的，即从蒸汽化到电气化、信息化，到第四代数智化。电信的效能可在国家新一代信息基础设施中发挥作用。在网络空间治理和威胁治理方面，电信会扮演在信息基础设施上同样重要的位置。电信有很多安全能力，已经开始在规划和运营交付中全部植入进去，这其实是电信现在在做的贴合国家对新基建的要求。电信对外三型是服务型、科技型、安全型。在科技型和安全型上，电信应该会以全新的姿态来做这个事情。

《孟子-公孙丑上》中有言：“虽有智慧，不如乘势；虽有镃基，不如待时。”意为虽有才智，不如依靠好形势；虽有锄头，不如依靠好天时。

当今，我国乃至全球都正处于一个大变革时代，安全也因此正面临着前所未有的大环境。英雄造时势，时势造英雄，抓住这一波新基建大政策以及新技术大爆发的局势，将会有一大波安全企业与安全人，崛起于这个幸运的时代。

以上诸君，以及在读此文的安全业者，我们何其有幸，生正逢时，成为国家新基建安全大航船的舵手与领行者。

万丈高楼平地起，新基建安全，诸君同行，百家争鸣，也必将创造一个属于“新安全”的伟大时代。