智能时代信息安全 高端论坛成功举办 助力智时代 构筑新安全

　　8月24日，“智能时代信息安全高端论坛”在2018中国国际智能产业博览会期间于重庆成功举办。

　　论坛由中国国际智能产业博览会承委会、中国电子信息产业发展研究院主办，中国信息化周报、《网络安全和信息化》杂志社、北京赛迪出版传媒有限公司、赛迪智库网络安全研究所、重庆市合川区人民政府、重庆信息安全产业研究院承办。论坛的主题是“助力智时代，构筑新安全”。

　　大咖云集 高端权威

　　重庆市委常委、政法委书记刘强，工业和信息化部电子信息司副司长吴胜武，国家密码管理局商用密码管理办公室副主任霍炜出席会议并致辞。中国工程院院士倪光南、中国科学院院士郑建华分别发表主题演讲，中国工程院院士陈纯、中国电子信息产业发展研究院院长卢山、中国电子信息产业发展研究院副院长曲大伟出席论坛。

　　京东集团、360企业安全集团、启明星辰、亚信安全、海康威视、江苏金陵科技集团、青藤云安全、神州绿盟、上海赢联、上海星地通、北斗导航、航天神禾、易华录、神州泰岳、长扬科技、恒芯天际、太极计算机等众多企业代表，以及来自浙江大学、西南大学、重庆邮电大学、重庆理工大学等高校的专家和主流媒体代表600多人参加论坛，现场座无虚席，精彩纷呈。

　　当前，网络强国作为国家战略正在全面推进，产业也呈现出数字化、网络化、智能化趋势。智能时代，信息安全的重要性和紧迫性更加凸显，构筑信息安全新常态成为必然。在网络强国战略思想指引下，新时代赋予了网信工作新的内涵和新的任务。

　　论坛围绕“助力智时代，构筑新安全”这一主题，政产学研用各方代表齐聚重庆，探讨面向智能时代，如何在安全可信、自主可控基础上，共同构建信息安全体系新生态，不断推动安全产业发展和数字中国建设。

　　目前，重庆正大力实施以大数据和智能化为引领的创新驱动发展战略行动计划，也致力于将重庆打造为全国信息安全产业的高地。

　　重庆市委常委、政法委书记刘强在致辞中指出，网络信息安全已上升至国家战略。重庆市政府高度重视信息安全产业建设，先后成立了重庆市信息安全产业研究院和重庆信息安全产业技术创新联盟，在信息安全软硬件生产、系统集成、信息安全服务等方面集聚了一批优质资源，加速形成信息安全产业圈、创新圈和生态圈，致力建设西部乃至中国信息安全产业新高地，助力我国信息安全产业发展。

　　近年来，工信部高度重视信息安全建设，相继发布了一系列信息安全相关政策条例，对地方政府和相关企业信息安全工作的开展，指明了方向、提供了保障。

　　工业和信息化部电子信息司副司长吴胜武在讲话中表示，发展壮大网络信息安全产业已经成为维护国家网络空间主权、安全和发展利益的战略选择。互联网、大数据、人工智能等技术的发展为网络安全产业带来新的发展空间。但我国的网络信息安全产业仍有较大提升空间，未来要从突破核心关键技术、加强新技术应用研究、加快技术成果转化和人才队伍建设以及优化产业生态等方面着手，进一步加快推动我国网络信息安全产业的发展。

　　作为网络安全的基石，密码技术发挥着举足轻重的作用。国家密码管理局在确定关于密码工作的方针、政策，研究提出解决密码工作发展的重大问题过程中，作出了重要贡献。

　　国家密码管理局商用密码管理办公室副主任霍炜带来题为“构筑以密码为基石的智能时代新安全体系”的演讲。霍炜表示，智能时代最直接的安全威胁依然是网络基础设施和设备安全，而密码在支撑智能时代发展的过程中被赋予新的任务，要推动密码与智能时代的融合发展，做到以应用促融合，以强力推融合，以创新强融合，以机制保融合。

　　中国工程院院士倪光南做了题为“我国网信领域的若干创新”的主题演讲。倪光南表示，我国网信事业发展很快，有一些长处，但也存在很多短板。核心技术受制于人不仅带来供应链风险，安全风险也同样严重。因此，网络安全的核心是技术安全，应当将自主可控作为达到技术安全和网络安全的必要条件。

　　中国科学院院士郑建华在论坛做了题为“新形势下密码研究的思考”的主题演讲。郑建华认为，量子计算的发展将给经典密码带来挑战。密码研究要紧紧围绕国家信息安全需求，面向实际应用。而当前我们的密码理论研究和密码实际应用的结合有待进一步加强。要有自信，勇于创新。

　　会上，赛迪智库网络安全研究所所长刘权发表了题为“我国信息领域核心技术安全可控发展路径”的主旨演讲，提出要坚持自主创新路线不动摇，实施自主、可控安全评估工作，以突破核心技术、统一技术方向、构建安全可控生态、抢抓新兴业务布局为重点推动核心技术安全可控路径实现。

　　京东集团安全战略官吉贻俊表示，引领智能时代的核心在于创新，科技创新为相关产业的发展带来了新的活力。京东目前利用人工智能的新技术和产品，以技术驱动打造智能商业体。过去的互联网是“扁平”的，而在智能时代下，互联网是“3D”的，会有更多的设备接入网络，随之也会带来各种安全风险。

　　智能时代的网络安全形势无疑变得更加错综复杂，尤其是人工智能技术的发展给网络安全带来诸多不确定性，我们需要构建怎样的安全能力？智能时代具有三大特征：一切皆可编程；万物都可连接；网络空间成为第五空间。

　　电子科技大学教授、成都市新经济发展研究院执行院长周涛表示，数据对企业的重要性不言而喻，对于我们每一个人来说也是至关重要的。尤其数据量爆发的大数据时代，这种忧虑值得思考，将给我们带来三个方面的伦理挑战。

　　重庆大学教授、国家密码行业标准化技术委员会委员向宏表示，密码技术自始至终都是网络空间安全的基石，没有密码技术就没有网络安全。而自主可靠的密码技术是自主可控的网络安全的聚点。当前，无论是密码软件还是硬件，我国均已做到了自主研发。

　　高峰对话 思想碰撞

　　中国信息安全研究院副院长左晓栋，中国计算机学会计算机安全专委会主任严明，亚信安全副总裁、亚信网络安全产业技术研究院院长刘东红，启明星辰集团CBG战略咨询中心总经理、集团助理总裁韩明畅，北京中科同向信息技术有限公司董事长邬玉良，青藤云安全创始人&CEO张福以及中科院软件所首席研究员卿斯汉7位嘉宾在论坛高峰对话环节围绕“人工智能时代动态安全防御新技术、新趋势”和“‘安全自主可控’的机遇与挑战”话题展开了深入交流。

　　左晓栋表示，谈“自主可控”，首先要弄清什么是自主可控，和国外合作行不行？国外的产品能不能用？什么样的产品能用？在对待技术发展上有两种观点，一种观点认为，要关起门来，另起炉灶，彻底摆脱对外国技术的依赖，靠自主创新谋发展，否则总跟在别人后面跑，永远追不上。另一种观点认为，要开放创新，站在巨人肩膀上发展自己的技术，不然也追不上。这两种观点都有一定道理，但也都绝对了一些，没有辩证看待问题。

　　我们要遵循一定的标准，要搞清楚哪些是可以引进但必须安全可控的，哪些是可以引进消化吸收再创新的，哪些是可以同别人合作开发的，哪些是必须依靠自己的力量自主创新的。再者，自主可控是要到什么样的程度，这也需要标准来解释，这是一个科学问题，要基于客观事实。

　　同时，我国各厂商往往各自独立开发，没有建立起生态环境和生态系统，这样是行不通的，我们应该学习国外的“Wintel”联盟，联合起来共同开发基础硬件和软件，打造出完善的生态环境。

　　在严明看来，自主可控是安全的必要条件，而非充分条件。但是我们不能以此来否定它的必要性。在智能化的安全问题方面，严明认为这和其他安全问题有相似也有不相融的地方，包含两方面，一个是把AI（人工智能）技术运用到安全，一个是AI本身的安全。所以，在发展信息化建设，在研究AI或者智能化技术的时候，对它的安全新的挑战，也应该给予充分的重视，而不是等到这个挑战让我们吃到大亏的时候，再进行慢慢修补。

　　例如AI的误判导致的潜在威胁和安全隐患。还有就是我们在谈AI时往往围绕算法、数据、网络等方面，但实际上AI还有执行机构，比如无人机和机器人的形式。我们在考虑智能化时，不能忘记它的执行机构的研究和发展，应该提前有所规划、有所思考、有所储备，才能让AI做得更好。

　　刘东红在谈到智能化和动态防御时表示，传统上的安全防御以设备的堆砌、人工的运维、静态的防御为主，已远远不能适应新的威胁带来的挑战。现在更多地谈动态防御、精密编排。这种安全能力要从战略层、战术层和工具层三个方面来综合考虑，从战略层的角度来讲是顶层设计，要落实主体、机制以及目标等等；在战术层就要构建安全的能力框架去制定威胁相应处置流程等等；工具层就把相关的技术工具、各个厂商的产品进行精密编排联动，使其能够各司其职，从而实现自动化的运维管理。这其中离不开人工智能技术，现在很多厂商都在研究将人工智能运用到安全领域，亚信安全也在做相关工作，并在识别安全威胁过程中达到自适应、自学习的能力，从而提高效率和分析的精确度等。同时，还将AI融入到精密编排联动的体系中，并取得了良好的效果。

　　韩明畅表示，启明星辰作为老牌的安全厂商，深刻理解到网络空间安全形势不断的发展变化，需要考虑如何颠覆原有的技术和模式，来适应新的安全形势，以应对更高强度的网络安全攻击。在未来将面临国家级高压的网络对抗，实际上这种高压对抗对网络企业产生新的挑战，网络空间类似海洋流体，具有复杂、开放、常态化接触对抗的性质，并且环境不断的变化。因此，韩明畅认为，不存在有效的网络攻击手段，也不存在永久的防御手段和措施，即使设计良好的安全体系也存在一定的风险，本质就是我们在网络安全领域将面临更多的不确定性。因此，在这种新的形势下，不仅是网络技术，网络的思维模式都发生了变化。需要借鉴灵活性来对抗不确定性，核心的目标就是取得网络空间的控制权，而且摒弃过去在网络里面常见的预设阵地的做法。在这种理念的指导下，近期启明星辰也研发了基于智能化定义的安全体系，来应对网络空间中不确定的、高强度的网络攻击。

　　邬玉良在谈到网络安全时认为，网络安全的发展需要多种方向，纵观网络安全发展历程，其实更多地是针对网络的“门”的防护，即在网络边界部署安全策略。但其背后的系统和数据才是关键，因此对于数据本身的防护是未来安全防护的重点。而在自主可控的发展道路上，有机遇也有挑战。国家从政策层面为自主可控的发展指明了方向，这对厂商来说是一种支撑。随着云计算、大数据等技术的发展，计算机技术出现了新态势和新环境，只有依靠创新才能把握弯道超车的机会。

　　张福详细解读了新形势下安全的发展方向，随着业务系统由封闭走向开放，意味着安全风险也成倍增加，过去的安全防御往往是建立在对黑客的认知基础上，通过建立安全团队去研究黑客的攻击方法。但张福认为，这种以有限的认知和资源去应对无限的和未知的攻击，是注定不会成功的。因此，必须把注意力从黑客身上转移到自己身上。如果能够对自己的认知非常清晰，在整个体系运转的过程中，能够产生很多内在的指标，通过分析这种指标去发现其内部的规律，无论黑客用了什么样的漏洞、工具或方法，只要在网络内部活动，一定会产生某种变化，关键是有没有这个水平和能力去敏锐地发现目标，这其中只靠人工是不够的，因此，需要结合AI技术来实现，这是未来安全的发展趋势。

　　卿斯汉介绍了如何看待未来AI与信息安全的发展，AI技术的发展也经历了几次高潮和低谷，近年来再次变得火热。但目前AI仍旧处在一个较初级的阶段，因此，一方面我们还要继续加大研究，把握好未来的发展方向。另一方面需要根据AI发展趋势来考虑信息安全的需求，是否需要构建一个新的安全架构？例如物联网体系下的认证技术与其他安全体系是不同的，所以我们需要建立AIoT，即“健壮的物联网结构”下的安全保护体系。当然还有物联网体系下密钥的存储也是有着不同的策略，这些都是需要考虑的。

　　全面推进信息安全领域自主创新

　　我国网信领域建设任重而道远。在“智能时代信息安全高端论坛”上，信息安全领域的院士、学者及企业专家围绕核心技术突破，密码学研究进展，智能化信息安全发展等话题，进行了深度分析。

　　我国网信领域的若干创新

　　■中国工程院院士 倪光南

　　核心技术受制于人是我们最大的隐患。在引进高新技术方面不能抱任何幻想，应当清醒地认识到，关键核心技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己手里。

　　网信领域技术新、发展快、人才作用大，中国有后发优势。网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域，是全球技术创新的竞争高地。我国网信事业发展很快，有一些长处，但也存在很多短板。

　　核心技术受制于人是我们最大的隐患。在引进高新技术方面不能抱任何幻想，应当清醒地认识到，关键核心技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己手里。

　　实际上核心技术受制于人不仅会带来供应链风险，同样会带来安全风险。为此，我们应当认真地分析产业状况，找出其中的“短板”和“长板”，制订相应对策，增强抗风险能力。

　　网信领域软硬件的发展过程一般要经历“不可用”、“可用”、“好用”三个阶段。

　　随着云计算、移动互联网等新技术的发展，“Wintel”体系优势正在逐渐缩小。经过多年努力，目前国产软硬件大多已达到“可用”，并正向“好用”发展。

　　自主创新是我们攀登世界科技高峰的必由之路，我们完全有能力通过自主创新做出自主操作系统，确保网络安全。我们要坚定地走中国特色的自主创新之路。那么，如何达到自主可控？

　　事实证明，自主可控的技术不等于技术安全，但不自主可控的技术一定不安全，即：自主可控-技术安全-网络安全。

　　因此，应当将自主可控作为达到技术安全和网络安全的必要条件。国产软硬件必须通过不断使用，不断改建，才能达到好用。

　　作为一个用户，每个人都要支持和应用国产软硬件，这就是对自主可控作贡献。

　　新形势下密码研究的思考

　　■中国科学院院士 郑建华

　　计算机科学和信息论等的发展促进了现代密码学的诞生，编码与破译的对抗不断推动密码学的发展。同时，新应用的需求，特别是近三十年来的新应用，给密码学带来新的课题。

　　信息安全有着保密性、完整性、可用性、可控性、不可抵赖性等基本要求，而密码是信息安全保障的核心技术。

　　计算机科学和信息论等的发展促进了现代密码学的诞生，编码与破译的对抗不断推动密码学的发展。同时，新应用的需求，特别是近三十年来的新应用，给密码学带来新的课题。

　　随着信息化的不断深入，出现了一些新的问题需要我们去思考。随着移动应用及设备的发展，以往的身份认证密码技术部署到移动终端存在一系列问题，我们需要认真思考面向移动应用的密码技术。对此，可以靠算法的可重构多变来解决这样的问题。

　　另外，基于生物特征识别的技术正在成为保障用户身份认证的重要技术，但当前生物特征识别在构建整个密码体系安全链条中尚存在一些缺陷。

　　如何与密码技术进行融合？如何通过构造典型密码函数来验证身份、协商密钥，来做完整性验证？基于生物特征识别与经典密码的结合成为研究热门。

　　量子计算的发展给经典密码带来挑战，所以要投入更多的力量进行深入研究。

　　现在大数据发展非常快，而密码技术明显滞后于应用发展，因此在面向大数据的密码系统需要我们投入更多的力量。现在提出的同态密码的概念发展很快，但距离应用还有很大距离。

　　总之，密码研究要紧紧围绕国家信息安全需求，面向实际应用。而当前我们的密码理论研究和密码实际应用的结合有待进一步加强。因此我们要有自信，勇于创新。

　　我国信息领域核心技术安全可控发展路径

　　核心技术是国之重器，最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术，有钱也买不来核心技术，必须靠自己研发、自己发展。

　　信息领域核心技术通常包括三类：一是基础技术、通用技术；二是非对称技术、“杀手锏”技术；三是前沿技术、颠覆性技术。近年来我国在信息领域核心技术发展方面实现了一些突破，但问题也非常突出，目前仍面临技术路线分散，自主创新缺少生态，发展步履维艰，引进创新消化不良，再创新堪忧等困难。

　　因此，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，构建安全可控的信息技术体系成为当务之急。

　　我国信息领域核心技术安全可控在实现路径上需要做到：

　　一是在认识上，要坚持自主创新路线，长期不动摇；实施自主、可控、安全评估，建立评价标准、评价机制，开展评价工作。

　　二是在发展路径上，需要突破核心技术，统一技术方向，为CPU、操作系统等核心技术厂商提供安全可控发展的方向，构建安全可控生态，抢抓新兴业态布局，建设开源技术平台。

　　三是在措施保障上，应加快党政机关和重要行业的国产替代和应用系统迁移，加强基于自主核心技术的学科建设，建立科学的人才评价和激励机制，加大人才培养力度，加大投入财政资金或引导设立产业发展基金。

　　■赛迪智库网络安全研究所所长 刘权

　　要坚持自主创新路线不动摇，以突破核心技术、统一技术方向、构建安全可控生态、抢抓新兴业务布局为重点推动核心技术安全可控路径的实现。

　　科技创新在安全建设中的应用

　　引领智能时代的核心在于创新，科技创新为相关产业的发展带来了新的活力。科技是京东发展的驱动力。最近14年间，京东的交易额增长13万倍，年均复合增长率接近150%，目前正联手腾讯打造全球独有的社交电商新模式。这其中需要依靠新技术作为支撑，京东目前利用人工智能的新技术和产品，以技术驱动打造智能商业体。过去的互联网是“扁平”的，而在智能时代下，互联网是“3D”的，会有更多的设备接入网络，随之也会带来各种安全风险。新技术革新也涌现出大量安全问题，信息安全是对抗敌对势力的资源争夺。科技创造未来，而安全也可以破坏这个未来。因此，将新技术应用到安全领域，是每一家企业的共同任务。

　　安全的人工智能系统为京东的应用提供了更为精准的判断，而利用人工智能技术更有效地识别网络攻击行为则大大提高了网络安全水平。在人工智能与安全的交互应用中，黑产等恶意用户对人工智能系统进行攻击，或利用人工智能技术攻击网络谋取利益，防御方则关注人工智能系统自身的安全，或利用人工智能技术保障网络安全。因此，京东通过“安全+人工智能”的方式对抗黑产，通过自主学习，不断进化，以AI技术主动打击黑产，同时利用人工智能、大数据与物联网相结合，构筑面向未来的安全体系，保障电商平台安全。

　　■京东集团安全战略官 吉贻俊

　　引领智能时代的核心在于创新。京东目前利用人工智能的新技术和产品，以技术驱动打造智能商业体。

　　智能时代的网络安全

　　■360企业安全集团高级副总裁 曲晓东

　　智能时代的网络安全形势无疑变得更加错综复杂，尤其是人工智能技术的发展给网络安全带来诸多不确定性。

　　智能时代的网络安全形势无疑变得更加错综复杂，尤其是人工智能技术的发展给网络安全带来诸多不确定性，我们需要构建怎样的安全能力？智能时代具有三大特征：一切皆可编程；万物都可连接；网络空间成为第五空间。

　　网络空间的扩大，令网络安全的威胁变得越来越严重，网络空间也呈现出新的威胁形势。一是新技术的出现带来新的攻击面，网络安全的对象是IT基础设施，正面临转型升级，在为人们带来便利的同时，也使得安全风险增加，过去的安全防护难以适应新的形势变化，需要整体防护。二是新技术让黑客有了新手段，需要新技术对抗，人工智能与安全是相辅相成甚至是相得益彰的，用人工智能可以解决安全问题，用安全也可以解决人工智能的问题。安全是对抗性的，人工智能的能力提高对攻方有帮助，同时对守方也有帮助。需要正确看待人工智能技术与安全的关系。三是安全的本质是人的对抗，安全运营的各个阶段都离不开人的参与，培养专业的安全人员已是当务之急。

　　由此还带来安全防护理念的转变，360企业安全集团目前已经形成了基于叠加演进思路构建安全能力以及数据驱动的安全能力构建，同时还加强了将人工智能应用于安全防护的探索，将人工智能应用到漏洞挖掘、反病毒等多种细分领域。在人才培养上，360与当地政府、高等院校合作共建网络安全人才培养基地，为网络安全市场输送专业的安全人才。

　　数据时代的伦理困境

　　■电子科技大学教授、成都市新经济发展研究院执行院长 周涛

　　数据对企业的重要性不言而喻，对于我们每一个人来说也是至关重要的。

　　数据对企业的重要性不言而喻，对于我们每一个人来说也是至关重要的。在探索大数据和人工智能给我们带来诸多利益的同时，可能将会给我们带来三个方面的伦理挑战。

　　一是数据中立性的问题，很多人直观地认为技术一定是中立，一定没有偏袒，但实际并非如此。由于数据在使用过程中掺杂着人为主观的因素。近年来在某些领域，数据和算法的歧视更为隐蔽，例如推荐算法带给不同阶层的人不同的结果，这种数据和人工智能的使用到底会缩小人们的差异，还是会进一步增大阶层分化，实际上难有答案。

　　二是数据的实效性问题，计算机中长期存储着数据，是否会影响我们未来的行为，过去留下的数据是否对未来的安全风险买单？

　　三是谁将制定道理和伦理的准则？机器人、无人驾驶等技术的发展，规则成为冷冰冰的数据被写入芯片，常规的道德将受到挑战。随着人工智能的发展，在未来将导致资源进一步集中，或许人类也会分化，少数掌握核心技术的人获得益处，但还有一部分人将“活得没有价值”。

　　随着技术的发展，以数据为原材料，以人工智能为牵引的新科技时代的到来是不可避免的，不管未来有哪些让我们更幸福快乐的或是挑战人类底线的事物，我们需要保持冷静，在这种指导思想下拥抱新时代。

　　从国家商用密码发展趋势谈重庆信息安全产业生态圈的培育

　　■重庆大学教授、国家密码行业标准化技术委员会委员 向宏

　　密码算法是网络空间的定海神针，基于国产的密码算法是保护我们网络空间主权的安全基石。

　　密码算法是网络空间的定海神针，密码技术自始至终都是网络空间安全的基石，没有密码技术就没有网络安全。而自主可靠的密码技术是自主可控的网络安全的聚点。当前，无论是密码软件还是硬件，我国均已做到了自主研发。

　　在未来，物联网、工业互联网等领域，有着大量的应用空间，使得我们可以对网络空间密码的应用有崭新的看法。例如，IPv6的大规模启用，使得物联网、工业互联网等将得到飞速发展，但其背后的安全如何保障？在IPv6协议中，有多少密码协议和密码算法和我们自主可控的密码算法相关，它的整个图谱有没有做过细致的分析？这些都是需要考量的。

　　大量城市基础设施一旦遭受攻击后，谁来保护？如何应对？我们可以考虑通过科技手段把城市基础设施具象成大量数据抽象模型，通过对模型的分析调控来模拟实体基础设施的抗打击能力，并在这个系统里进行充分检验。

　　以国产商用密码技术为出发点，在大数据、云计算、人工智能、物联网等不同领域进行的不同粒度应用试点示范，是我国商用密码技术发展的大势所趋。

　　最后，在重庆信息安全产业生态圈建设方面，我们需要聚焦重庆直辖全域智能，专注国产商密全面应用，开拓重庆安全全景生态三个方面，来打造未来中国智慧城市的信息安全“样板房”。

　　本刊编辑部