网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

行业资讯团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 新闻资讯 > 行业资讯 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

维护信任，探索未来，2019京麒国际安全峰会重点回顾

文章来源：牛创网络围观次数：

分享到:

摘要：现代企业面临的威胁数量更加复杂。传统的内部安全边界取决于防火墙和VPN来隔离它们。随着员工使用计算机和手机以及云计算进行工作，攻击者便可以迅速将其用作跳板来完成入侵。

2019年京经国际安全峰会以“捍卫信任”为核心主题，国内外知名安全专家和企业安全主管共同致力于互联网企业安全系统的建设，并讨论了新技术，新风险和新问题。工业互联网方面的问题。生态和人才培训等，分享安全知识，并传达怪胎精神。京东集团副总裁李德浩在会上指出，安全问题的本质根源于基础设施的安全。未来，安全基础架构将具有身份驱动，强大的信任链，分散化和虚拟隔离。

捍卫信任：下一代互联网安全基础架构的发展

随着Internet的快速转型，人工智能，5G和IoT等新兴技术已深刻改变了Internet。工业互联网面临基础架构重建：数据无处不在，计算无处不在，用户无处不在。在这方面，李德豪提出了一系列概念，例如智慧城市，智慧识别用户和智慧社区，其中包括零信任，区块链隐私和多方计算等新技术和新想法。

归根结底，传统信任边界的弱点都是由“受信任”设备和网络环境的“过度信任”引起的。这种“过度信任”体现在以下两个方面：

1.该模型假定所有受信任设备的信誉都是相同的，即，所有设备，无论其功能和状态如何，只要它们是可信的，就其安全性都是“完全受信任的”。

2.该模型假设所有受信任设备中的信任都是永久性的和全时的。

显然，这种“过度信任”是非常危险的，并且是滥用信任。李德豪刚才提到的“零信任”模型提出，在考虑敏感信息时，默认情况下，网络中的任何设备和区域都不应该被信任。相反，应该基于身份验证和授权来重建访问控制的信任系统。执行“信任授权”。盲目信任是不可取的。 “零信任”模型的授权和信任是动态的，即应基于访问实时评估和更改“信任授权”。也许这是信任的真正防御。

据悉，京东拥有超过1.5亿台运行在互联网上的智能设备。这是一个惊人的数字，但是显然随着未来智慧城市的快速发展，这个数字只会成倍增长。下一代互联网安全基础架构将如何发展还有待观察。

数字化转型之路：建立健全的网络安全治理机制

安联集团CISO卡斯滕·舒尔茨（Carsten Scholz）使用他数十年的经验来解释安联集团如何与服务提供商建立强大的网络安全治理机制，以支持服务的数字化转型。

截止到今天，GDPR已经实施了一年多，与数据保护相关的案例和公共事件的数量也在增加。同时，全球许多国家或地区还基于GDPR制定或补充了不同的数据保护规则。全球隐私数据保护迎来了重大发展。 Carsten Scholz告诉我们，安联集团如何在其业务转型中建立安全治理机制，以满足日益严格的监管需求。随着与国内安全有关的法律法规的逐步引入和完善，Carsten Scholz的经验对我们也具有重要的参考意义。

企业安全趋势探讨

各种新技术在新的业务场景中的应用是无止境的，国内外有关信息安全的立法和监督也在紧锣密鼓地进行。滴滴信息安全负责人狄毅结合自己的安全实践，从企业安全体系建设，对全球业务的支持和技术建设等方面与大家探讨了企业安全的建设趋势。

蔺毅翀提出，过去的“老做法”着眼于漏洞，追求防御，单一方法，单一解决方案和生态封闭。当前面临的“新趋势”集中在业务上，追求精确的感知和响应，并信任基于信息共享的生态系统保护。安全对抗的螺旋路径是不断变化的业务，不断变化的技术，不断变化的攻击方法以及不断变化的法律法规。加强，公众对安全的观念正在发生变化。

此外，他还指出了不同时期公司安全团队的特点：

建设期：从头开始建立独立团队通常是事件驱动的。

运营期：专注于解决问题，继续主动发现和解决问题，提高效率，减少盲点，风险驱动，并通过产品技术预先预测。

感知期：增强并关注用户信任，重点是隐私和数据安全性建设。

他补充说，滴滴今天仍然面临着安全建设的挑战。它必须是具有在线和离线形式的多元化旅游业务，并注意国际业务和金融的特殊性。

小组对话：安全性变化和新技术中的挑战

由传统知识领导者滴滴信息安全负责人狄一奇，京东集团副总裁/信息安全部门负责人李德浩主持，百度安全总经理，GeekPwn活动发起人和创始人，创始人兼首席执行官马杰 JEEN.com副总裁兼JD.com基本研发部门负责人傅庆明和KEEN Qi的来访。

他们为我们带来了关于云，人工智能，物联网，安全服务和人才培训的许多新观点。

建立安全可靠的集成供应链平台

京东的核心优势是什么？女主人不加思索地回答：来吧。为什么JD Logistics快速发展，离不开强大的供应链系统。

由于合作伙伴之间的密切业务合作，供应链业务具有高度的数据依赖性，并且相关的安全性问题已引起广泛关注。 JD Logistics研发架构部负责人介绍，JD Logistics在多年实践中建立了基于供应链业务的安全系统，涵盖了商业秘密的识别和控制，隐私保护，交易认证，审计系统，监控预警系统等，在此基础上，将AI技术用于安全管理，将区块链技术用于事务认证，从而提高整个供应链平台的安全级别和保护能力。

除此之外，哲文明还提到京东物流部门和信息安全部门也在积极促进SDL的实施和登陆以及京东物流的数据安全建设经验。

Monocerus：区块链智能合约的动态分析工具

通过引入在区块链上存储和执行程序的概念，智能合约已成为金融科技革命的关键。不幸的是，像其他代码一样，智能合约可能容易受到攻击，并可能直接产生负面的经济影响。

如何挖洞智能合约？据报道，现有工具集依赖于符号执行或静态分析技术。由于缺乏来自区块链平台的支持，因此缺乏传统的动态分析工具。

新加坡南洋理工大学的Nguyen Anh Quynh教授向我们介绍了一个名为Monocerus的轻量级多平台框架，用于对以太坊智能合约进行动态分析。 Monocerus提供了一些重要功能，这些功能旨在为以太坊区块链的动态分析奠定基础。 Nguyen Anh Quynh向我们展示了框架中的一些新工具集，包括字节调试器，代码跟踪器，事件探查器，高级模糊器等。

流动生态安全的探索与实践

随着移动互联网生态发展的趋势，传统的移动安全正在逐渐接近生态安全。在研究制造商的系统生态安全性的过程中，不难发现手机制造商也处于生态的，组件化的开发系统中，并且存在一些普遍的安全风险。利用这些风险形成的远程攻击对移动生态系统构成了巨大威胁，物联网生态安全中也存在类似的安全风险。

腾讯安全移动安全实验室高级研究员韩自栋向我们介绍了移动生态系统背后的生态安全问题和解决方案。

麒麟框架1.0：不是虚拟机的虚拟机

二进制分析对反向工具有很高的要求，它们都依赖于高级工具并支持更广泛的多主体体系结构，由于硬件资源（例如物联网分析）和恶意软件的需求量很大，因此限制了高端自动反向分析的风险。

JD Herder安全实验室负责人Kaijern Lau介绍，麒麟框架是基于Python的沙箱框架。众所周知，Python是逆向工程师最常用的（轻量级且易于理解的）编程语言之一，大大降低了二次开发的门槛。麒麟框架采用模拟技术，是一个跨平台，多体系结构的分析框架。这可以对Linux上的Windows恶意软件进行二进制仿真分析，在MIPS或MacOS环境中仿真IoT固件执行二进制程序，等等。

Kaijern Lau在讲话中提到了Kirin框架研究项目和开发挑战。例如，在虚拟化系统层的系统调用，系统加载程序，系统链接器，Kirin框架如何跨平台支持多二进制文档（PE，Mach-O，ELF等），以及如何应用Kirin框架的辅助R＆ D分析工具。另外，Kaijern Lau还在现场进行了一些具体的演示，例如在二进制执行之前或期间执行代码拦截和任意代码注入。

其他精彩的论坛

除了主会场的精彩话题（安全领导峰会和安全技术峰会）外，2019北京齐齐国际安全峰会还主办了红队终极训练营，OWASP企业安全建设与运营论坛，2019景齐白帽仪式，在北京，极客村和荣耀之王挑战赛上举行的互联网安全城市巡回赛活动由多个SRC团队参加。

据悉，在国王挑战赛现场的尖叫声接连不断，气氛非常好。按照第一场比赛的友谊原则和第二场原则，具体的胜利和失败情况不会一一出现，每个人都可以在现场享受激烈的战斗情况...