时间：2019年3月22日（10：00—12：00）

    地点：昆明国际会展中心6号馆

    全程同步速记内容如下：

    主持人：尊敬的各位领导，各位专家，亲爱的合作伙伴们，大家上午好！感谢大家百忙之中来出席由360安全集团承办的“新形势下的网络安全发展论坛”，也是本次安博会的网络安全专题论坛，共同来探讨新形势下的网络安全如何建设。我是今天的主持人周晓倩（音），欢迎大家！

    在“关口前移”的新形势和要求下，信息安全的屏障建设和安防的创新技术和创新运用共同发展，在实现安全防护的关键在于有效地提升整体的安全能力，本次论坛邀请了众多的客户和伙伴来共同探讨新形势下的网络安全的解决方案和实践的经验。

    首先，请允许我介绍出席本次会议的主要领导及嘉宾。

    ——嘉宾介绍

    主持人：本次论坛共分为四个议题，包括新形势的网络安全重构、工业互联网安全的能力建设，以及智能终端取证的新思路、新IT架构架构、零信任安全的分享。接下来正式进入我们的会议议程，首先有请360企业安全集团副总裁左总（音）为我们致辞！

    左总：首先感谢各位来宾参加南亚安博会，参加由360安全集团主办的新形势下的网络安全发展论坛，我和大家说几句，我想了想，这次会议的主题叫新形势，我想给大家分享关于网络安全发展的三个非常重要的趋势，希望能为大家的工作有所启发。

    我想360企业安全集团大家比较熟悉了，我们在2016、2017、2018年基本以每年超过100%的速度在增长，反观传统的网络安全公司，现在上市公司的年报已经出来了，大家可以看到大多数公司每年的增长只有10%多，这个差别还是很大。我在回忆一些项目时也谈到这些问题，好像你们360集团发展很厉害，发展很迅速，抢了很多网络安全的生意。我说仔细看一下，去年2018年接近40个亿，大概只有不到1/3是传统的网络安全的生意，还有将近2/3的生意不是传统网络安全的生意，是解决方案。

    说明什么问题？我和大家讲，我们360集团做的生意不是抢了大家传统网络安全的生意，是竞争客户的预算，客户在网络安全方面的投资，这个非常重要。说明问题是证明整个网络安全的发展，大量的投资也是把安全的投资在新的网络安全问题，以及相应的产品和解决方案上。把握这个新的趋势和发展潮流，我们想无论是对各位从事网络安全的伙伴来讲都是非常关键的趋势。

    有三个趋势，有主流的趋势，我会按照重要性的优先级排序。第一是新一代信息化建设的浪潮，用全新的IT技术架构来重新构建业务和应用，这是非常重要的。网络安全不会凭空存在，一定是和互联网一起存在。我们各行各业，我们的政府、事业单位、教育客户高校都在用云计算、大数据这样一些技术，用移动技术、物联网、人工智能等，这些IT架构在重新构建他们的需求所引发非常重要的建设浪潮。它对网络安全行业的发展和技术的发展和产业的发展是革命性、变革性大趋势，这个趋势我们必须紧紧的抓住，这是第一个发展的趋势。

    第二，在整个数字化转型、数字中国的建设浪潮里，我们会看到也因为业务的范围在不断的扩大，我们进入了万物互联的时代，所以我们网络安全的内涵和外延也在飞速的扩展。过去我们讲网络安全，甚至是讲信息安全，更多是说业务应用如何保证安全，我的数据如何保证安全，在新形势下我们看到物联网也介入设备，工厂的设备也介入了网络安全，出现了万物互联这种大融合趋势。这个驱使下再谈网络安全，它的外延极度扩展，我们要保护的对象也发生了翻天覆地的发展，同时也给我们新的挑战。

    在IT架构的新变化趋势下，在网络安全不断扩展的趋势下，我们传统的安全技术、产品没有办法在适应这种新变化，如何去应对这种新发展，也是这次论坛要介绍的方向，比如说工业互联网安全、架构等，都是在两个大发展趋势下，非常重要需要我们去把握的点。这两种变化的趋势对我们互联网的发展是非常深远，而且是长远的影响力。希望大家能有所体会。

    第三，网络安全建设发展的趋势是什么，就是我们法律的法治建设的健全和合规要求监管力度持续的加强，这也是非常重要网络安全驱动力。从2018年《网络安全法》正式实施以后，我们也看到登记保护条例、监管实施的条例出台，还有即将出台的《登记保护2.0》，首先它对保护对象，过去我们叫计算机信息系统等级保护，新的叫《网络安全等级保护》，提到云计算、大数据、公共系统、物联网的安全保护建设也纳入了新范围。我们的政府、企业一旦发生安全事故，过去叫违规，现在叫违法，也会促使我们这个行业蓬勃发展，也使我们各行各业都更加关注网络安全，更加愿意投资在网络安全上，为他们的数据保驾护航。

    以上是我们想分享的三个趋势，接下来进入我们的论坛环节。无论是IT技术架构发展的大趋势，因为网络安全本身外延在持续扩展，国家在法律法规、监管力度的加强，这三个趋势后面大家会听到分享的精彩内容。谢谢大家！

    主持人：感谢左总的精彩致辞，左总提到了新形势、新要求、新发展，我们的网络安全技术怎么“新”，我们进入第一个议题，如何重构网络安全的新体系。有请360企业安全集团战略咨询部解决方案架构师张彬哲先生分享，他是我们国内首批本保的从业者，他将为大家分享新形势下的网络安全新体系重构，有请！

    张彬哲：我们360近几年是以100%的速度在发展，我们360快速的发展离不开各位的支持，这是一个外因，内因是，我们360以什么技术为支撑，主持人说了，我们今天分享的内容是以新思想、新思维为顶层设计，为我们新战略、新战法落地。今天我想分享的内容更多是思想，更多是一个方法论的东西，不涉及到太多东西。

    我今天分享内容分三部分：一、数字化转型与外延的网络安全；二、提高网络安全对抗的能力水平；三、新安全体系设计。因为我们主要的内容在第二部分，有了第二部分我们新的一些思想、内容以后，我们新的体系建设会随着我们第一部分信息化进一步的发展，做一个新的一个变化。

    首先我们快速把第一部分看一下。这一部分左总已经讲过了，因为在现在新形势下发展下，我们看到所谓的云计算、大数据、物联网、移动互联、工业互联网这块延到一块以后，就是极大改变了我们日常生活。这套体系的改变也决定了现在信息化架构的改变。针对信息安全来说有什么改变？不管是物联网、工业控制等，已经延伸到物理网络，传统的网络安全信息安全防护思想仅仅在在里面发展，机密性、完整性、可用性已经不适用现在的发展，现在的网络安全发生了新延展，到了我们需要有一个隐私、安全、可靠性，影响我们人活动的安全，网络安全在这种条件下，有美国率先提出全世界积极响应的，已经成为第五位空间。很多的现在的犯罪，包括我们日常的工作就是在这个空间完成的，不仅仅是海陆、空天，现在我们的网络打击犯罪数量远远高于日常，什么偷窃、抢劫之类的，这已经是我们日常生活最重要的组成部门。

    我们新诞生出来什么新安全？有网络犯罪，涉及到我们国家，国家与国家层面上关键基础设施的供给，国家与国家之间对抗利益的重新划分，原来我们人类的战争基本上来说围绕的是一个资源的争夺，这个第五为空间，网络空间对前思维空间，第一有一个控制力，第二就是它带来的利益更大。所以未来国家与国家的对抗，国家利益对抗的充分划分是成为一个新焦点和方向。有可能在不久的将来，人类基于海陆空天的战争爆发几率越来越小，但是战争是时刻在发生，甚至海陆空天的爆发也是网络战争爆发引起的，所以提醒了我们对网络安全的认识。

    在这样一个新时期，如果我们没有新思路，我们难以保证安全。就像2013年时门进门事件，人家信息安全能力高，对信息，乃至对全世界的信息收集能力。也有可能是国家与国家之间的对抗，第五位空间就诞生了。在这个环境下我们如何来提高网络安全的对抗水平能力，刚才我们说了，我们大概分为五个层面：首先在顶层的架构，核心是需要一个新思想、新思维，这是我们的战略方向，如果面对新信息化没有用新思维、新想法，基于老保护，基于PDRR这种架构和模型来保护，恐怕难以适应新时期的发展，难以保证国家网络安全的风险。

    首先来看我们的新思维，针对新思维，我们提出了安全从零开始。这块是零信任，不是我分享的内容。我们从零开始，我们的意思是从头开始，从一个信息系统的发展，从我们信息系统的开始就要注入基因，去实施、去落地三同步的思想。安全需要从项目、从规划、建设阶段，乃至运维阶段就开始，从源头、系统设计、萌芽开始就要有这个要求，那怎么去实现，后面我们会提到个新思维的五段论，我们会有一个新思维。

    实际上“三同步”的原则不是一个新内容，从信息安全理论加强开始，就从BST99开始，乃至发生到后面27002、27001开始就提出了这个要求，当时的要求是把安全作为信息的可选项或者是增值项来进行，后来发生不行，安全应该是信息系统必要的组成环节，一开始这个信息系统就应该有基因，从规划阶段这个信息系统可能在完成组织完成使命的时候面临什么风险，我们规划在规划、运维等阶段都要全程监管。在新实施的《网络安全法》提出需要进行“三同步”，2018年开始国务院颁布了网络安全等级保护条例里面就要求等保也是从“三同步”开始，等保作为国家网络安全基本方法、基本策略，落地的一个基本保障，也就是说在以后所有的网络安全建设当中，“三同步”是基本的思路。只不过是不是嵌入到业务系统、数据基因，这是“三同步”能否落地的很大原因。

    在“三同步”的思想上，或者我们落地的要求上，安全从零开始前移上，我们安全定位也就逐步悄然发生改变了。从原来的事后修补上升到顶层设计，原来在国内怎么做，两个方向：一是合规驱动，国家有一个等保或者行业个要求，要求我们怎么做，是一个什么框架我们就怎么做。第二是事件驱动，比如说最近又爆发了什么，又受到了攻击，现在不可能了，因为有可能爆发阶段是没有办法修补的，如果没有考虑安全网络，这种从战略层面上所暴露出来的脆弱性是没有办法事后解决的。所以在顶层设计，我们要求既要做好基础设施安全、大数据平台安全、数据安全、应用安全、网络安全，介入用户和设备安全，不应该是业务即将上线才注入安全的基因。

    我们360在实施“三同步”和安全从零开始，我们的思路源于何方，我们的思路可以说是在业界，在2014年提出时对业界是颠覆式的。我们充分吸收了网络安全、信息安全的基本原理，就是去做风险管理，去做风险评估、风险处置。新时代网络安全，需基于漏洞的四个假设，系统一定有未被发现的漏洞，一定有已经发现但未修补的漏洞，有可能这个漏洞黑客也没有发现，这个漏洞好像没有多大的威胁，有可能黑客有，有可能没有，比如说我们用了WINDOWS操作系统，有可能微软已经注入了后门，由于业务需要，我们总是在进行补丁管理，所以我们做了第二个假设，一定有已知但未修补的漏洞，这一块在安全设施当中经常发现，很多漏洞已知但是没有被修复。安全网络爆发就是假设最大的，有可能已经发现了，但没有去修补。

    我们做信息安全是做风险管理，风险是什么，利用威胁脆弱性，不一定有风险，也就是我们只有漏洞，只有脆弱性，不一定有风险，那我们内部已经被渗透了，至于有没有做坏事，这个影响在业界非常大。我们的安全从内部、架构难以去维持，最后有一个釜底抽薪，内部人员不可靠，这个是要从源头开始，有需要安全架构的要求。

    基于这层次递进的四个假设，我们从思维上怎么去解决安全问题。我们利用了五段论，用五段的形式层层递进去解决这个安全问题，有已知和未知漏洞未被修复，也有被渗透，内部人员不可靠，那怎么办，从架构安全、被动防御、主动防御、威胁情报、进攻反制，这不是一个物理隔离，是一个逻辑隔离。比如说架构安全肯定是被动安全的基础，被动安全肯定是被动防御的基础，是层层递进的关系。左总说传统领域做的是哪一块，基本上只做了架构安全和被动安全，在一定程度上做了部分主动安全，后面的基本上没有涉及，我们360的能力体现在什么地方，我们能够去更加夯实做架构安全、被动安全，主动安全是我们的基础能力。

    五段论的五个能力是安全在进化，五段论是进化思想，还是停留在战略层面上，那怎么去实施这个内容。架构安全好说，基于等保或者是IATF做好相应的监测，把相应的安全防护启动起来就可以了，主动防御有一些监测，怎么把后面主动防御和威胁情报进一步落地，我们把战略层面的内容变成战术层面的，这就需要我们一个新的战术。我们提了三个能力，把五段论的内容整合到里面去，首先架构安全和被动安全里面，里面有相应的中高位，我们做了比喻，高位能力是“外脑”，中位能力“大脑，低位能力“五官和四肢”，外脑不代表信息安全的高低，整体上来说，我们的被动防御完善，但是整个网络当中一旦发生问题，我们怎么去解决和感知，我们需要中位能力去解决，中位能力达到以后对网络已经熟知了，外部可能对我们的威胁怎么去感知，我们需要一个高位能力，是一个层层递进，达到最终能够实现前面五段论讲的法治的方式，并不代表中高位能力能够凭空建设。

    我们有了这个战术以后怎么去落地？中位能力有安全治理、态势感知、安全运营、应急响应，怎么去做需要有一个新战略，就是数据驱动的能力。我们前面讲到一个大数据，可以说人类的文明程度与所掌握的信息利用现有的信息去规划，现在是大数据时代，针对原来的时代是颠覆式的，同样我们的安全也应该进入大数据时代。进入3.0我认为就是利用了大数据，2015年360企业安全集团推出数据安全技术的理念，用数据真正实现网络安全。收集大数据以后，里面是低夹层密度，经过分析，最终帮我们决策行动，来实现对安全的决策。

    具体是怎么做的，基于我们能够对网络安全基础设施数据广泛的采集，然后进行统一的处理、分析，最后形成我们相应的安全运营中心和监管类的态势感知，这块我们不仅帮企业实现我们的中高位的能力，我们还在国家的战略层面上去帮助国家实现中位和高位的能力。这一块我们安全大脑和传统的安全分析有什么区别？区别就是传统方法主要是基于规则和入倾的决策分析，总的来说是基于库一个静态分析。我们进入了智能安全运营、态势感知关键节点时就变了，我们充分利用了大数据、人工智能这套体系，我们得到了什么实践？我们有监管类的态势感知，第一类实践就是态势感知这一块把我们内部的一些信息完全是以图像的形式进行展现，从掌握内情、安全防御、指挥作战辅助角度处罚，建立安全态势感知系统，形成应急响完整体系。

    针对监管类这一块怎么实现，我们帮助公安、网信、关键信息基础设施各单位来建立态势感知，对于公安、网信来说，要知道全省市，某一个区域的安全态势，甚至是公安的办案系统、情报平原、数源平台、作战平台都是通过大数据、数据驱动这套理论来完成，支撑这套理论是什么？我们有一个威胁情报，我们通过对用户信息的收集，通过情报平台的人工智能自动分析安全专家的守护分析，形成了在全世界都能傲视群雄大数据威胁情报的数据库。有了这个新案例以后，这个情报怎么来？还有一个新战技，我们有一个第三代杀毒的技术，冰毒从1986年大脑病毒诞生，到现在经过了三代的发展，可以说360借助数据驱动的能力，引领了第三代的行为体系，也导致在对APP发现能力上是抗着中国走到第二的梯队。

    我们的四个假设：一定有未知的漏洞，一定有已知的漏洞没有修补、有没有被渗透、内部人不可靠，我们怎么去解决人？实际上这是我们的一个新战法，也是数据驱动2.0的特点，人是安全的尺度，回到了人和人的对抗，整个地球上对海陆空天五维空间的争夺也是人和人的对抗，至少在现在人工智能不能实现真正净化之前还是人和人的对抗。那对信息安全的从业人员，内部人员不可靠，怎么变得可靠？怎么把人嵌入到我们整个安全战略战术上，我们通过五段论，通过架构安全、被动防御、积极防御、威胁情报、进攻反制，我们把人员进行合理的分类，我们发现越到后面培养的人成本越高，但人要得越少。我们企业对人员最大的需求，最大的问题在于对人的定位不清晰。我们有了五段论以后定位就清晰了，我们以人为核心去解决了前面的安全问题。

    最后我们快速说一下，新的安全体系建设。我们360以业务数据安全去覆盖全生命周期安全，除了网络安全和通信网络安全以外，我们都有成熟的解决方案，通过五新去研核360最新的安全思想、安全成品，从需求、设计、编码部署、运营都注入了基因，更重要的是运营的时间是最长的。我们把人员、技术、流程相结合，形成一个安全体系。总结一下，我们这套五新的安全体系是“三同步”，从被动防御到主动防御，乃至到进攻防制，以保护大数据为核心，进行安全从零开始。

    我的内容结束，谢谢大家！

    主持人：谢谢张彬哲先生做的精彩分享，他为我们分享了新形势下的网络安全如何做到真正安全，给到了我们五个新的方向，通过整个新形势下安全体系下的重构介绍。那么接下来有请360企业安全集团公共事业部李航先生分享，我们的一些新痛点和一些安全的解决之道。

    李航：很高兴与大家分享360所做的一些工作，我叫李航，目前在负责整个安全事业部的一些简单工作。提到工业安全，这件事情从2010年开始在市场上已经是一个火热的话题了。2015年乌克兰停电事件在全球已经意识到了公共安全的重要性。

    我这里更多的介绍离我们最近的事件，2018年台积电事件很出名。在三个工厂发现了产线停机事件，2018年8月5日已经计算出约80%受影响的主机已经恢复正常，但是预计公司毛利率影响约为1%，8月6日公布时是恢复正常，但是损失是在1.71亿美金。乌克兰事件，我们判断从黑客已经认识到公共系统的业务，并且已经很了解业务进行发动攻击，其实不仅仅是台积电，在同一时期，中国大陆的很多工业企业遭受了这样的问题。我们在给相关企业做服务时留下的图片（音），有某冷轧钢板厂，所有都是蓝屏的现象，我们通常知道的勒索病毒之后有勒索界面。

    公共安全从最近几年开始不断的发生，从全国在内，包括全世界在内都得到了重视。我们国家加强了相关的指导工作，首先是《网络安全法》，工信部不断的发布应急管理工作，来增加企业对公共安全的认识。这里面特别要和大家强调的是《防护指南》的要求，我们大多会谈等保、《网络安全法》，但是真正结合到公共系统的实际运用相关的指导情况下，它本身是由公共系统的一个业务链和特性为基点来进行指导。（图）这里是从11项，31条内容来进行工作，包括便捷、数据等一系列要求，强调了整个供应链的问题。台积电事情本身是供应链和企业管理漏洞才出现这样的问题。

    在这个背景下，360一直就开始关注公共安全。2015年我们获得了国家级认可的实验室来进行公共安全的相关研究，一开始我们是关注技术，包括发生的事件在领域的病毒，是寻找公共安全的根本问题在哪里。另外我们获得了整个国家产业联盟的相关认可，比如说工业互联网联盟，我们是安全组组长。同时因为360的攻防能力的强大，在相关的大赛上也取得了成绩（图）。

    本人在2018年《网络安全法》发布了工信部工业互联网创新发展工程项目，我们依托与产学研的联动，来获得了8项，累计6000多万的国家资金支持，在工作过程中也获得了优秀案例等等。在整个过程中，我想各位接触工业互联网安全和工业安全，也会提出相关的标准和问题，其实通过整个团队的实验室研究，以及为客户的应急解决它的问题时，我们总结起来工业、企业有三个痛点，一个是主机问题。

    一是首当其冲是做到了主机的病毒干扰，这是最大的痛点和核心之一。因为我们的传统工业系统一开始都是封闭的状态，我们要防病毒，传统的思想就是杀毒软件，杀毒软件最大的特点是要不断的联网才能保证最新的防护手段，就出现了一个问题，杀毒软件因为公共系统是隔离状态不能实时更新；

    二是因为工业软件在开发和使用过程中，它并不像我们的商务软件这么健壮，商务软件会导致对工业软件的误杀，这是很难实施；三是工业上线到结束时可能并不会实时更新打补丁。只要有一点点漏洞，进来就会误伤，这对企业很重要。不能进行有效地打补丁，漏洞就实时存在，这是第一个安全痛点。

    第二个安全痛点不适应物理环境，因为工业现场环境相对比较恶劣，要求专门的软件设计，做到全密闭、无风扇，支持-40摄氏度到70摄氏度。所以我们很多的传统也达不到要求。第三，毕竟隔壁设备平均无故障时间是不能达到10年，使用说明是15-20年。第四，不断匹配运维要求，不允许频繁升级，策略稳妥实施，不允许现网挑食试错。

    大家已经认识到公共安全的重要性，但是很遗憾他们不知道从何入手，我想说管理制度区间去进行定义，从其他的技术进行管理，但是不知道，这是企业最大的痛点。最关键的是工业网络安全管理缺少“抓手”，我们认为用机制、制度用管理的方式，其实在很多工业企业很难实现。所以我们如何来建立这个抓手，我们首先要解决本身工业企业对三个方向不明的问题，那就是它对资产的状况不清楚，这是很多工业企业通用的特点。还有是内部安全威胁他不清楚。

    结合三大痛点，我们已经提出了解决之道。首先是因为工业主机，因为公共系统有一个最大的特性，有两个有限性：任何一个工业企业的公共系统的设备是有限的、公共系统运行业务状态是有限的，对应的运行指令有限。基于两个有限，提出了防护系统是以白名单这套核心方式来进行有效的管控。另外我们也结合了360本身在中文上的传统优势，把很多防病毒的优势、关卡拦截进行有效的防护。我们可以通过控制中心进行控制管理，包括性能安全状态等等，这是解决第一个安全痛点。

    第二个安全痛点，是结合边界隔离的问题，主要是根据不同的业务完整性为前提进行网络隔离，它对它的高可靠性、协议识别、高核性的要求都是非常引人关注的，所以我们设定了一个安全生产环节，也深度解析了子协议，并且可以通过四重防护进行有效防护。

    第三个安全痛点，就是给客户解决安全抓手的问题，我们是通过安全监测的手段来进行解决。首先这个设备是部署到旁路的方式，通过数据流的更新来进行有效的管理。但这里面给客户提供最大的问题是可以发现相关资产来建立资产清单，这就解决了工业、企业对相关资产不清最大的问题。同时也可以监测非法设备介入，因为整个看起来看似是封闭的，但是会有违法操作，只要出现这样的问题我们会及时报警，同时也可以监控网络设备安全等整个漏洞安全检查监测。通过监测设备的异常操作来保证它的运行正常，指令的有限性是通过指令的执行来进行关键操作，也通过这样来连续生产。更重要的是可以把相关的安全产品进行有效的联动，我们可以主机防护、边界防护、安全监测，来给工业企业的网络提供整个工业网内的态势展示，并且可以通过有效的管理方式进行整体管理。

    说了这些，我们一张图片就能给大家展示出来。下面给大家说一下我们的实践，光是理论探讨大家还是比较认可，最关键的是客户的认可。第一个问题就是解决工业主机的问题，前面的同事也提到勒索病毒2017年就开始发作，比较标杆的就是比亚迪汽车，我们提到比亚迪都是汽车制造的印象，受到了“永恒之蓝”的勒索病毒影响。37个工业园区和17000台工业主机，这是比亚迪在整个实践过程中做安全防护所有的范围。最开始提到比亚迪肯定只是生产汽车的，第二是10多个工业制造场景，其实它生活汽车只是它其中一部分，后来才知道比亚迪是我们国内电子百强前十企业。因为它的生产建设年代比较长，有的比较老，所以它的主机操作系统也是非常复杂，在交互过程中要求我们不能停产，我们给它做整个实施过程，难度非常大，我们做了以后获得了比亚迪的葛总在公开场合为我们宣传，得到了好评。

    实施难度说一下，比亚迪最大的是电子制造，我们笔数了3900多个主机的点，（图）这是15个操作系统版本情况，提到了WINDOWS10等等，在整个交互过程中面临几个问题，很多工业企业主机的硬件很低配、老旧，内存低，我们过程中也会很好的支持它，还有是老旧的机器能不能覆盖，还有是安全防护能不能适配现有的，我们也适配了很多。

    还有是海尔集团，它对危机意识很糟，它不希望出现因为工业安全的事件来导致停产。在8家智能工厂来进行试点，来部署我们的安全监测，目的主要是要解决资产清单的梳理，还要监测网络生产内的状况，包括设备和操作。还有是监测生产当中异常的情况，同时也建立了一个可视化的管理中心。8个工厂已经分别部署我们的工业安全监测，同时在信息中心进行监控中心，可以进行有效实时监测，并且和关联性分析，保证整个工厂有效的运行。这是第一期完成的，未来我们要覆盖48个智能工厂。

    这是某烟厂的例子，我们在边界做隔离，并且把安全监测系统上了，这个主要目的是因为烟草也出现了相关的问题，我们也进行了有效的防护。最后实施下来，因为之前内网确实有病毒，同时我们安全监管防护现在可以持续安全生产。在新的传统网络安全中，不管新要求、新技术，工业来说还是以合规为主，首先在合规性的要求特别是普遍，尤其是等保的要求，还有能源局文件的要求都是非常关键的。我们在电力厂按照整个的，包括边界的防护、加固、防护等等，最后效果是进行有效的实时监测和管理，协助生产部门可以进行运维的方式。最重要还是符合按照三级等保要求的建设。

    还有一个例子，这是某一个地级市做一个区域的工业互联网的安全态势，现在来说工业互联网的概念很火，但是前提下风控系统都是隔离状态，之前没有考虑到这种问题，因为有企业认为向从工业互联网发展，这种是要和互联网连接，导致了相关问题。我们也协助相关的监管机构进行地区性的机构来安全态势，协助客户来满足整个安全的状况，使它及时发现、及时有效的控制，同时来保障本身是业务在互联网的状态下需要的情况下，如何去保证它的网络安全。

    以上是我们这边团队从最开始的实验室通过研究，给客户提供解决方案，解决痛点等相关的解决之道，欢迎大家在后续和我做有效的交流。谢谢各位！

    主持人：传统认为工业安全在一个比较封闭的环境下，可能相对是安全的，实际根据这么多事件的展示，确实工业安全是不安全的，他为我们提到了几个方向，态势感知、态势监测等等。下面有请皮浩先生为我们分享“智能终端取证新思路”，有请！

    皮浩：大家下午好！今天我讲的主题是信息安全领域的一个子分支，也就是电子数据取证。我本人从事电子取证大概10年左右，电子取证是信息安全、网络安全兜底的最后一道防线，在发生事件或者是案件时都要落实到电子取证这个环节上，在现在很多传统刑事案件，以及很多的网络犯罪当中都已经很难避免会去处理电子处理取证相关的情形。在电子取证当中又以智能终端、终端设备，这是关注点最核心的区域。今天我从移动智能终端、取证分析新思路给大家做分享。

    移动智能终端很大一定程度上最先联想的，最早接触的还是手机，在21世纪初手机开始普及，到2007年开始从IPHONE第一代触屏时代到来。我先从移动智能手机的取证给大家做简单的介绍。目前来说移动智能手机取证面临三个难题，我总结了一下分成三个类型：一是关于系统权限。各大手机厂商，苹果、华为、三星，为了让自己在业内更有竞争力，在普通的用户群中更有说服力，在系统用户安全上，在每次APP迭代上，从硬件和软件上做了多次的升级和加强。对于我们在遇到一些突发事件和案件中，我们基于这个手机内部的数据做最大程度的提取、固定，甚至对于删除内容的数据恢复，都带来了很多影响。也包括很多数据可能已经被加密，我们在做后期取证时会面临这个问题，系统权限就显得非常重要，在很多智能系统当中最高的系统权限实际上都对应一个权限，这是最高系统权限的名称，类似于管理用户。

    这个管理用户的权限在最近几年的安卓，苹果就不说了，从FBA从涉恐和涉国家重大安全当中都有涉及，苹果在移动圈是做的最好的。安卓在最近几年，华为为首做了极大的加固。最早提出了FD1和FB1双重加密的厂商。有一些是咱们看得到屏幕锁、指纹锁、密码锁等，有一些聊天记录可能会直接消失，还有手机删除完之后做一个芯片的处理，导致我们删除的数据用传统的数据无法实现。

    我们在云端的数据与手机的关联，或者是手机配对其他新型的移动终端，比如说物联网设备、智能家居设备、车联网设备，他们的存储空间中在移动设备中，有的在云端服务器中，这里面的数据还有更多的外延。传统的手机取证大概就有这样的方法，我们市面上能够看到或者是通用的方法基本都是备份获取，我们通过官方的软件或者是第三方免费的同步助手，我们可以把手机中部分数据选择性把它导出到电脑上，用于日常的恢复和还原。如果只能基于备份的数据去做分析，那很有局限性，备份只能是小部分数据，大部分隐私的数据厂家不可能备份，只能APP相关不敏感信息。而且备份不需要任何权限，它是开放的一个方式。我们用在手机上设置最高权限，在高权限的数据上更多挖掘隐私数据。

    除了盘石软件团队，还有市面上像盘古团队（音）都是在360旗下，目前研究取证这块的工作。实际上早前1、2年也是比较传统的取证方式，说白了就是把手机全部拆开，把芯片摘下，换一句话说就是现在行不通了，因为现在所有的手机已经对全芯片做了加密，拆开是无法解密的。所以我们今天主要是拿到逻辑镜像。（图）左边有很多的内容，这实际上就是利用提权技术拿到的APP，把所有数据过渡的内容，而右边就是用传统的技术拿到同个APP所有的内容，相比而言数据多少这个非常明显。

    除了APP自身的缓存内容之外，必须要通过联网实时更新才能拿下也会有差别，比如说FACKBOOK等比较明显，还有是我说一些特殊APP的删除数据，通过提存技术可以拿到一些其他的数据库文件。比如说这里提到WO文件，可以拿到更多被删除的数据，可以做更全面的恢复。另外就是敏感的密码数据，叫Keychain，不管是苹果还是其他的，都会提供Keychain这个密码机制功能，把里面很多存储的内网信息、登陆验证的这些信息，也只有才有深度提存的时候才能获取，以便于我们做更多的分析。因为我们在分析很多加密信息时没有这个很难，如果是通过暴力破解，一个是时间问题，还有一些强加密是无法破除的。

    还有一些是详细记录，比如说什么时候卸载、装的APP，什么时候打开的应用，什么时候干了什么事，这个在日志里有详细的分布。这个也是深度的提存之后拿到的主要内容。刚才说的这些内容之外，我们最关注两点，一是风险问题，我们取证是为了证明案件事实，我们必须有一个前提，不能破坏证据的原始性。传统的足迹、DNA等，我们不能破坏，我们要在受保护的范围去做。针对手机的取证一样要保护原始性，所以我们提存也好、越狱也好，这个提存技术实际上都是在零风险之下做的原始操作，不会在原始性上做任何破坏。

    大家可能知道像苹果备份机制会面临备份加密的限制，实际上在提存就绕过了这个形式，根本不会影响我们的操作。在很多时候我们会遇到一些特定的涉外，会面临很多新兴或者是小型的APP，比如说俄罗斯的，它是端对端的APP，它可以在隐私模式下设置积存，我看到以后消息自动消失，那怎么去做取证，因为在手机端消失之后，在俄罗斯的运营器和服务器上会有一个保存，还是取决于用户的充值、VIP的等级情况。

    我们会运用到仿真技术，实际上就是通过数据的到处和模拟，在一个模拟机上实现和真机一样的场景，我们在模拟机器上可以脱离风险去做操作。说到服务器，就看一下云端的情形。随着物联网的发展，会有各种诈骗等犯罪情形，有的通过特殊的网站、文件、APP，或者是通过微信来实施，以微信为例，我们看到聊天信息可以得到线索，更多是依托在红包、微信转帐或者是其他的支付手段。

    在电子数据的若干规定上也提到关于网络数据的规范，那么网络数据有什么值得我们关注？答案是很多，可以分为云服务类、数据的ICLoud、小米云、华为云、VIVO云等，还有一些社交聊天，比如说我们安装了支付宝、淘宝，里面只会有少量的支付信息，大量的实际上在阿里杭州。还有是电子邮件，通过实时登陆网站信息，实际上并不在我们手机上存储，除非是在手机客户端下载下来。还有是交通出行，之前比较关注的滴滴，包括其他的商旅类、航旅类大概都在在对方端存储，在手机上存储很少。

    我们拿到各种密码、密钥直接导入到云端取证的云端，去连接到互联网上下载更多的服务器数据，来配合做深度的分析。运用的工具就不说了，大家可能熟悉一些工具，这些已经远远不够我们深度的分析了。（图）这个就是用到360会推出相关云端取证的专用产品。

    简单对比一下常见的云端取证和在本地，手机和电脑上看到的显著差别，比如说苹果的ICLoud会拿到本地没有的补充数据，微信最明显就是转帐红包、支付类的，这个在手机上没有云端来得多。支付宝也提到了，最多的可能就是所有的交易记录、充值记录、转帐记录，这个仅仅存在与云端服务器上。12306出票类的，在手机上有一些信息，详细的也是在云端。这个是便于嫌疑人调查过程中非常有帮助，购票的地点和去往的地点。

    下面是物联网已有的取证技术，物联网设备还是比较广的，包括智能家居，不管是哪个类型都离不开移动互联网，或者是WIFI，手机可能是他最主要的接入端的入口，很多智能穿戴设备、周边设备、智能家居等都有可能和手机有互动，还是做到了举足轻重的作用。手环、手表、眼镜这一类的穿戴设备会进入到运行轨迹、身体的指数的变化，比如说心率等。苹果手表为例，必须要和手机配对才能进行同步，在取证过程中我们就可以发现在手机的备份中能够拿到很多手表的备份，手表会有很多补充的情况。很多人在犯罪以后会把手机上的敏感信息删除，但是手表上可能同步了当时部分的信息，手表不会同步删除，在手表的备份当中能找到相应的线索。（图）这就是一个手表聊天记录的截图。

    （图）这是我们在手表这一类穿戴设备中实现的设备技术，智能家居外延发展越来越多，比如说灯泡、手机机器人智能音响等，空调、洗衣机、冰箱、按摩椅等都有智能的，更多是智能机器人能够拿到一些有效的线索，比如说环境地图，很多扫地机器人会在扫地时记录轨迹，运行大概方位的图形，在记录当中做比对，或者是在案发现场做比对，看看它是不是现场的家居布局有变化，是不是有扫地或者是拖地功能，一旦他扫过地、拖过地在现场就有一些毁灭案件现场的可能。

    智能音响会记录一些指令信息或者是日志、声音、音频，因为智能音响大部分是待机状态，有可能会记录案发声音，或者是案发过程中发出的声响，人的声音，或者是操作某个工具都有可能会做相关的记录。智能音响的取证相对比较容易，音响的存储芯片等可以下载。对于家居安防能起到智能作用，比如说智能门锁、智能WIFI等，能记录到拍摄可疑周边的图像，包括密码信息在云端都能取到。

    最后大家比较关注的是车载系统，车联网的取证，基本上围绕四个环节：ECU（中控系统）、车载系统、APP、行车记录。行车记录包括车载系统、APP等，这里面有大量加速相关信息、踩刹车、开车门等信息，这里面的信息是可以能够提取到的。无人机的数据存储在多个区域，内置的芯片，包括存储卡、手机端同步的APP、云端都有数据，这是IOT物联网各种数据的取证和分析，大量的数据已经在当代、现今已经能完整或者是更多地被我们获取、恢复。

    如果大家对电子取证，包括网络安全有兴趣可以添加我的联系方式，谢谢大家！

    主持人：感谢，我们在T33有展台，那边有专门的取证设备，也欢迎大家到我们展台体验。接下来进入第四个议题，由360企业安全集团的信息安全部的张泽洲来分享“新IT架构  零信任安全”，有请！

    张泽洲：大家好，我是360企业安全集团的张泽洲，我今天和大家分享题目叫“新IT架构与零信任安全”，我们说一下新IT时代的网络安全挑战，我们在新IT时代，可以借用一句话，这是一个很好的时代，也是一个很坏的时代，我们先来看新IT时代怎么好了，我们都知道基础的要素，云、大、物、移、智给我们带来了很大的便利。

    以前出门说是伸手要钱，缺一不可，现在大家只需要带一个手机就好了，所以大家可以看到新IT的技术也带来了好处。不好的方面还是以手机为例，现在大家都在手机上办公，随时收工作邮件和工作聊天，工作和生活已经分不开了，事实上从安全的角度，这种新IT时代确实带来了很大的挑战。有几个方面，首先企业边界的挖掘，以前我们做安全，认为人、设备、服务器都在我的企业内部，我只要在企业的网络边界构筑一些安全的措施，那我就可以高枕无忧了，但是现在你发现企业的边界已经瓦解了，移动终端和云计算、物联网设备接入所谓的企业边界，你现在做安全已经没有办法以边界作为抓手。现在安全何去何从，另一方面有各种外部工具愈演愈烈。

    同事几个假设也提到，应该是假设所有的系统都有可能被渗透了，同时从内部的威胁来说，我们从数据泄露来看，内部威胁已经占到非常高的比例，高达30%—40%，包括内部员工的犯错和恶意数据窃取等，所以对企业安全来说这个是内忧外患。左总也提到国家和行业的监管力度也越来越大，在新IT时代对网络安全让大家夜不能寐。大家意识到这些事情也做了很多安全投入和安全措施，但是我们发现这种数据泄露的事件仍然层出不穷。比如说2017年EQUIFAX的泄露事件，也是史上最大规模用户数据泄露事件，差不多泄露了1.5亿人的美国人信息，包括前段时间暴露的生物识别公司人脸识别的信息泄露，大家发现这些安全措施好像对数据泄露并没有起到多大的作用。

    （图）从统计的数字来看，当你安全投入达到一定程度时，你能够获得的安全能力是有限的，安全能力是有天花板的，也就是不断叠加的安全机制，不但不能添加安全防护，反而会影响安全效果。所以我们需要回头重新审视安全，传统的安全到目前为止也是算边界安全，我们说边界安全其实不仅仅是说你的安全解决方案，仅仅是做了一些安全防护的手段，只是上了防护墙，我们认为这种边界安全是一种思维或者是理念上的局限，是认为对信任做了一些假设。

    比如说我们是一个典型安全架构图，里面做了几方面的假设，一个是做了内网和外网的假设，我们认为外网是充满威胁的，认为内网是安全的，觉得信任的。但是大家忽略了一个因素，现在内网如果已经被渗透了，对内网信任的假设从何而来，这是一方面的假设误区。另一方面再举一个例子，我们认为内网的人经过了身份认证，验证了用户名和密码它就是可行的，那这种信任从何谈起，用户的用户名密码可能被泄露了，供给者拿到了这些信息。所以经过简单的身份验证手段我们也不足以认为用户是可信的。

    再举一个例子，在内网运行的这些程序它的行为是可行的吗，对数据的操作是可行的，也不一定，有可能是木马嵌入了内网在窃取数据。我们会看到传统的安全都得到了一些假设，是对信任的假设，而信任被认为是安全最大漏洞，这也是林先生的一句话，林先生认为所有对信任的假设都应该被推翻，我们认为太信任内网和外网所有的人、设备和运用，需要以身份为中心来重构信任。简单来说，本质就是以身份为中心的一个访问控制。

    我们可以把它展开来说几个核心要点：一是以身份为中心，我们为什么要以身份为中心。零信任的中心是访问控制，主体到客体按一定的规则来访问，我们需要一些手段来确认访问的程度，这种信任是不可靠的，我们需要找一个信任的抓手，就是身份。我通过各种多种认证持续手段，来确认身份可信；二是访问的目标应该要细化，我们以前为一个网络为目标，认为通过身份认证用户就可以访问了，没有细化，我们要细化到应用，甚至是接口、数据，这是对访问目标的技术要求。

    对主体和客体确定以后，每个主体只需要赋于最小权限，减少供给面，公开访问控制，没有永远的朋友，也没有永远的敌人，也没有永远的信任，一个用户经过身份认证过后，不意味着我需要永远信任他，需要一些动态的评估，对它的权限做一些动态的调整，明确安全核心是以身份为中心的动态访问控制。

    怎么实现这几个技术要点？下面我以360解决方案为例，给大家简单分享一下。关注零信任的人会比较了解，核心是围绕刚才几个要点，首先对所有的访问主体我们需要一个有持续认证手段，持续去判断信任的成果，不可信的成果应该是拒绝访问受保护的资源。怎么把所有访问都拦截下来，我们需要有一个代理，也就是所有对访问、调用情况下可以被可信代理接管，它是做数据平面的侧面执行，需要和动态访问控制引擎去联动，告诉代理上这个运用请求能不能放行，还是组止。

    就像一个小脑一样，它凭来做这个判定？依据三方面的信息：一是身份信息；二是权限的信息；三是信任库，所有的判定除了要知道你是谁，你要访问什么资源，我需要知道你当前时刻的信任状态，你当前的信任评分怎么样。整个身份库可以通过现代管理的手段来进行维护，权限管理来维护权限库，最核心的信任库是通过一系列的身份分析、信任评估、风险来维护，后端有一个强大的大脑来支撑和控制。

    接下来我做一个简单的展开，第一个要点全面身份化。一是身份范畴的问题，我们讲全面身份化，有的人会问，我以前所有的身份系统都会有密码，这是不是身份，这个不足以作为身份，我们认为是要把人、设备、使用的运用都作为一个身份的方式管理起来。为所有的这些身份管理起来以后，以身份来维护权限和防控策略，这是身份范畴的问题。从身份的角度来看，我们看到所说运用系统的帐号，其实只是这个身份在某一个运用系统的属性，不是身份，身份人、设备、运用在数字事件一个唯一的对应实体。

    二是主体，它与身份有关联，但是更多是控制。以前我们做访问控制判定时，看什么帐号、什么人、可以访问什么资源，我们为一个访问主体，在零信任网络书里面有一个概念讲的也是主体，核心要进的东西就是在任何时候判断一个访问全球应不应该放行，我不仅仅是要看你是谁，还要看你当前设备用的是什么，还有终端是什么，你在终端是用什么样的程序访问。把这三为一体的运用状态作为判定依据，人是可信的，如果终端不可信那同样不可访问资源。这是全面身份化要关注身份和主体的两个概念。

    认证持续化要提一下，我们做一次性还是多次验证都是一次性的认证，认证就通过了，这是完全不够的。我们提出持续化的概念，就是认证通过的用户还需要对你持续的可信，我可以对你键盘按键行为习惯来识别你身份的破坏性，即便你的密码被人窃取了，但是他输入这个密码的行为，这个击键模式和你不一样也没有办法访问。每个人拿着手机的倾斜角度产生的信息和人的心电图一样，人和人之间可以完全区分出来，所以在联系人里面，我们会在用户访问业务的过程中通过技术手段持续来判定身份的有效性。

    接下来我会讲一个风险度量化，核心要点是在访问所有资源之前，我需要主体或者是访问者来给我证明信任级和信任程度，有几个方面，我讲主体方面，从人、设备、运用、环境几个方面，是形成一维的度量，设备的组合又可以构成一个二维的度量。我先讲一维的度量，对人的度量，我认为你这个人和身份可不可信，很简单看你用了什么样的认证手段认证，甚至是人对应的帐号在历史上有没有出现很多密码失败的认证记录，如果一个帐号出现了很多这种错误的密码的日志，说明没有破解，这个人的身份就是可疑的，对设备来说，怎么度量设备的可行，我可以看设备上打漏洞的情况，如果打得越少，信任程度越高。

    如果你用的是一个公司或者是官方下方的应用，比如说统一360安全浏览器，那信任程度高，如果是普通的知名浏览器，我认为是中等，如果是这个浏览器不知道是一个什么运用程序，什么样的浏览器，那这个就没有办法信任，这就组织你的应用访问。我们可以看到从人、设备、应用这几个纬度都可以进行信任的度量。

    还有一个环境的因素，环境无外乎就是时间和空间，在错过的时间、错过的空间来访问资源，那你的信任程度就会受影响，还有时空交错的情况。比如说一个人它在半小时之前在北京登陆了业务系统，半小时之后在昆明就登陆业务系统，这种不合理的时间交错就会影响你的信任度，你的访问权限可以撤销。

    基于前面这种身份化的管理，持续的认证手段和风量的度量手段可以实现动态化，可以通过动态访问的机制，把合法的用户挡在外面，把不合规的终端挡在外面，可以把不合法的可求行为挡在外面，这种越权访问的行为都可以挡在外面，可以实现动态化的效果。大家可以看到技术非常复杂，信息是多维的，如果用传统的分析手段，基于规则的匹配手段难以支撑，我们需要基于大数据的风险和信任建模，需要基于大数据的机械分析手段来进行风险的度量、信任评估。以前基于一个简单的算法或者是规则就能做的事，现在要考虑一些好的来支撑所有安全智能化的需求。

    如果都是用人工进行配置，人工对合规性进行管理，那是错的，人是会犯错的，如果用人来诊断，那肯定会失效，需要一些管理自动化的手段，需要一些数据分析的技术，实时对你的策略、访问日志进行分析，来辅助管理员发现一些配置上的不合理、一些权职上的不合理，告诉管理员一些动作，管理员就自动做一个调整，这是管理自动化需要考虑的一个事情。核心是降低管理员的工作量，减少管理员犯错的几率，提升整个系统的安全合规性。

    整个零信任的理念要在一个现代IT的环境落地，这是一个非常复杂的系统工程，不可能一蹴而就，那我们怎么样来一步步在安全架构里面引入，我们简单提了一个方法论，首先要明确核心是要保护的目标，所谓安全目标应该是有优先级，很难一上来就对所有的应用中心、接口、数据应用一次性全部保护，那是很难的，但是我们把核心资产保护起来，确认保护之后，我们看它有什么暴露面和保护面，以前更多讲攻击面。什么叫暴露面，那就是这个核心拟邀保护的目标有什么样的访问路径，一个访问路径和一个访问入口我们认为是一个暴露面。

    下一步看什么路径，我需要看什么身份、什么样人、什么应用、开发什么样的权限给他，确定访问控制的极限。我看访问权限需要考虑什么样的安全策略，需要进行什么样的信任度量，对用户的访问场景，我对他的信任度量要做到什么程度，要不要做到行为分析，要不要分析按键，是根据你具体的安全需求来制定访问策略，把这些确定下来可以逐步迭代，分阶段去看零信任的前移工作。

    我们下一步以物联网平台为例，看方法论怎么落地。我们假设物联网的场景，以物联网的大数据平台作为核心要保护的资产，这个力度比较粗，可以去做业务级、微服务级，我们简单来看保护面，可以梳理出几个，可能有各种物联网的终端接入大数据平台，需要做访问控制的。外部的平台可能有数据交换，这么一个访问路径，还有用户要通过物联网应用来问物联网大数据平台的数据，这也是一个，还有运维人员需要介入大数据平台，需要对设备、应用进行维护，我们简单来看就需要有好几个需要控制的暴露面，针对需一个暴露面去确定规则和安全策略，去实施零信任的动态控制机制，这样一步步实现整个物联网平台的零信任的方案。

    我们可以通过对用户访问场景，对于应用和应用之间的控制，数据平台之间的交换，我们可以通过KPI代理的方式可以进行执行点，我们的控制台作为一个联系人的小脑来控制安全策略的执行，在下面我们对智能可行身份平台作为大脑做持续信任的评估、风险分析，输出安全策略、信任库，去支撑小脑的控制，去支撑所有应用代理的策略执行能力。

    我的分享结束，谢谢大家！

主持人：感谢张总给我们做关于新安全、新架构、零信任安全的整体介绍，他目前是带队致力于零信任安全理念在国内的推广，并且推动零信任整体解决方案在国内重大部委的落地。

至此我们上午的四个议题分享结束，感谢各位专家的精彩分享。既有新安全思路的引领，又有具体行业建设干货的分享。相信能够给大家在建设安全新的规划当中有新的思想和新的角度启发，感谢大家对360企业安全集团的支持。让我们携手共进，为安全努力。让网络更安全，让世界更美好。感谢大家！

    ——会议结束