高峰對話 思想碰撞

中國信息安全研究院副院長左曉棟，中國計算機學會計算機安全專委會主任嚴明，亞信安全副總裁、亞信網絡安全產業技術研究院院長劉東紅，啟明星辰集團CBG戰略咨詢中心總經理、集團助理總裁韓明暢，北京中科同向信息技術有限公司董事長鄔玉良，青藤云安全創始人&CEO張福以及中科院軟件所首席研究員卿斯漢7位嘉賓在論壇高峰對話環節圍繞“人工智能時代動態安全防御新技術、新趨勢”和“‘安全自主可控’的機遇與挑戰”話題展開了深入交流。

左曉棟表示，談“自主可控”，首先要弄清什么是自主可控，和國外合作行不行？國外的產品能不能用？什么樣的產品能用？在對待技術發展上有兩種觀點，一種觀點認為，要關起門來，另起爐灶，徹底擺脫對外國技術的依賴，靠自主創新謀發展，否則總跟在別人后面跑，永遠追不上。另一種觀點認為，要開放創新，站在巨人肩膀上發展自己的技術，不然也追不上。這兩種觀點都有一定道理，但也都絕對了一些，沒有辯證看待問題。

我們要遵循一定的標準，要搞清楚哪些是可以引進但必須安全可控的，哪些是可以引進消化吸收再創新的，哪些是可以同別人合作開發的，哪些是必須依靠自己的力量自主創新的。再者，自主可控是要到什么樣的程度，這也需要標準來解釋，這是一個科學問題，要基于客觀事實。

同時，我國各廠商往往各自獨立開發，沒有建立起生態環境和生態系統，這樣是行不通的，我們應該學習國外的“Wintel”聯盟，聯合起來共同開發基礎硬件和軟件，打造出完善的生態環境。

高峰對話環節現場

在嚴明看來，自主可控是安全的必要條件，而非充分條件。但是我們不能以此來否定它的必要性。在智能化的安全問題方面，嚴明認為這和其他安全問題有相似也有不相融的地方，包含兩方面，一個是把AI（人工智能）技術運用到安全，一個是AI本身的安全。所以，在發展信息化建設，在研究AI或者智能化技術的時候，對它的安全新的挑戰，也應該給予充分的重視，而不是等到這個挑戰讓我們吃到大虧的時候，再進行慢慢修補。

例如AI 的誤判導致的潛在威脅和安全隱患。還有就是我們在談AI時往往圍繞算法、數據、網絡等方面，但實際上AI還有執行機構，比如無人機和機器人的形式。我們在考慮智能化時，不能忘記它的執行機構的研究和發展，應該提前有所規劃、有所思考、有所儲備，才能讓AI做得更好。

劉東紅在談到智能化和動態防御時表示，傳統上的安全防御以設備的堆砌、人工的運維、靜態的防御為主，已遠遠不能適應新的威脅帶來的挑戰?，F在更多地談動態防御、精密編排。這種安全能力要從戰略層、戰術層和工具層三個方面來綜合考慮，從戰略層的角度來講是頂層設計，要落實主體、機制以及目標等等；在戰術層就要構建安全的能力框架去制定威脅相應處置流程等等；工具層就把相關的技術工具、各個廠商的產品進行精密編排聯動，使其能夠各司其職，從而實現自動化的運維管理。這其中離不開人工智能技術，現在很多廠商都在研究將人工智能運用到安全領域，亞信安全也在做相關工作，并在識別安全威脅過程中達到自適應、自學習的能力，從而提高效率和分析的精確度等。同時，還將AI融入到精密編排聯動的體系中，并取得了良好的效果。

韓明暢表示，啟明星辰作為老牌的安全廠商，深刻理解到網絡空間安全形勢不斷的發展變化，需要考慮如何顛覆原有的技術和模式，來適應新的安全形勢，以應對更高強度的網絡安全攻擊。在未來將面臨國家級高壓的網絡對抗，實際上這種高壓對抗對網絡企業產生新的挑戰，網絡空間類似海洋流體，具有復雜、開放、常態化接觸對抗的性質，并且環境不斷的變化。因此，韓明暢認為，不存在有效的網絡攻擊手段，也不存在永久的防御手段和措施，即使設計良好的安全體系也存在一定的風險，本質就是我們在網絡安全領域將面臨更多的不確定性。因此，在這種新的形勢下，不僅是網絡技術，網絡的思維模式都發生了變化。需要借鑒靈活性來對抗不確定性，核心的目標就是取得網絡空間的控制權，而且摒棄過去在網絡里面常見的預設陣地的做法。在這種理念的指導下，近期啟明星辰也研發了基于智能化定義的安全體系，來應對網絡空間中不確定的、高強度的網絡攻擊。

鄔玉良在談到網絡安全時認為，網絡安全的發展需要多種方向，縱觀網絡安全發展歷程，其實更多地是針對網絡的“門”的防護，即在網絡邊界部署安全策略。但其背后的系統和數據才是關鍵，因此對于數據本身的防護是未來安全防護的重點。而在自主可控的發展道路上，有機遇也有挑戰。國家從政策層面為自主可控的發展指明了方向，這對廠商來說是一種支撐。隨著云計算、大數據等技術的發展，計算機技術出現了新態勢和新環境，只有依靠創新才能把握彎道超車的機會。

張福詳細解讀了新形勢下安全的發展方向，隨著業務系統由封閉走向開放，意味著安全風險也成倍增加，過去的安全防御往往是建立在對黑客的認知基礎上，通過建立安全團隊去研究黑客的攻擊方法。但張福認為，這種以有限的認知和資源去應對無限的和未知的攻擊，是注定不會成功的。因此，必須把注意力從黑客身上轉移到自己身上。如果能夠對自己的認知非常清晰，在整個體系運轉的過程中，能夠產生很多內在的指標，通過分析這種指標去發現其內部的規律，無論黑客用了什么樣的漏洞、工具或方法，只要在網絡內部活動，一定會產生某種變化，關鍵是有沒有這個水平和能力去敏銳地發現目標，這其中只靠人工是不夠的，因此，需要結合AI技術來實現，這是未來安全的發展趨勢。

卿斯漢介紹了如何看待未來AI與信息安全的發展，AI技術的發展也經歷了幾次高潮和低谷，近年來再次變得火熱，但目前AI仍舊處在一個較初級的階段。

因此，一方面我們還要繼續加大研究，把握好未來的發展方向。另一方面需要根據AI發展趨勢來考慮信息安全的需求，是否需要構建一個新的安全架構？例如物聯網體系下的認證技術與其他安全體系是不同的，所以我們需要建立AIoT，即“健壯的物聯網結構”下的安全保護體系。當然還有物聯網體系下密鑰的存儲也是有著不同的策略，這些都是需要考慮的。