安全法规落地、安全技术进化、安全产品创新、安全意识普及…网络安全产业新纪元已经到来!CIS 2019网络安全创新大会以“新纪漫游”为主题,于11月27日-28日在上海宝华万豪酒店举办。
11月27日下午,CIS2019网络安全创新大会暨物联网&工业互联网安全专场召开。大会通过对工业互联网智能终端安全、端到端物联网通信安全、消费IoT物联网通信安全、工业互联网软件代码安全、核心基础架构安全、安全运维等热点话题展开剖析,与安全专家们共同探讨物联网与工业互联网安全。
在大会主办单位FreeBuf、赛博研究院、上海市信息安全行业协会的大力支持下,本场论坛由上海工业控制系统安全创新功能型平台、第五空间信息科技研究院、TUV莱茵联合出品,吸引了近200位业界精英、行业专家、技术大咖、安全厂商齐聚一堂,感受安全产业日新月异的创新突破。
活动现场,上海控安联合猎聘推出《2019中国网络安全与功能安全人才白皮书》。该白皮书基于猎聘平台5200万+中高端人才数据库,系统分析了网络安全与功能安全领域的人才画像、行业及地域供需、薪酬等内容,为相关求职者指明职业机会所在,为雇佣双方提供招聘和求职的决策参考,助力网络安全和功能安全领域的健康发展。
控安联合猎聘发布《2019中国网络安全与功能安全人才白皮书》
海康威视数字技术股份有限公司CSO王滨带来“内生安全的工业互联网智能终端”报告。他表示,工业互联网的核心是底层终端,没有终端,控制系统和应用系统都无法工作;工业互联网终端发展有两个特点,其一是海量的终端,其二是越来越多的工业设备接入互联网。他强调,作为工业互联网的神经末梢,数量庞大的智能终端是连接现实世界和数字世界的关键节点,承担着感知数据精准采集、控制命令有效执行等重要职责,是安全防护需要考虑的重要对象。
第五空间信息科技研究院理事长、翼盾(上海)智能科技有限公司CEO朱易翔分享“端到端物联网通信安全技术框架”报告。他主要从物联网的安全挑战、端到端物联网通信安全技术架构基本设想、应用案例等方面进行阐述。他认为,身份标识和密码体系是智能硬件安全的重要基石。难点在于参与方众多,均面临不同安全攻击向量;边界模糊,入口复杂,传统互联安全方案无法提供有效防护。
TUV莱茵产品数据保护与网络安全业务负责人巫光毅带来“消费类IoT网络安全实现”主题分享。他介绍了消费类IoT的主要安全风险,包括使用明文协议、导致网络中的攻击者可能能够窃听通信信道,访问甚至操纵敏感信息;UART接口开放,并且可以使用root shell,导致攻击者可以连接到调试接口,并可以全权访问硬件设备;固件逆向,导致可能暴露硬编码凭证,暴露更多的攻击界面等问题。最后他指出,安全的实现是基于规范化开发。
上海工业控制系统安全创新功能型平台首席技术官刘虹
上海工业控制系统安全创新功能型平台首席技术官刘虹带来“工业互联网软件代码安全技术发展及趋势”报告。她指出,工业互联网安全的核心要素是软件代码的安全,然而我国工业软件正面临“卡脖子”的现状,以汽车行业为例,95%的工业软件支撑工具均由国外厂商垄断,因此我国亟需研发自主可控的软件代码安全支撑软件;同时刘博士介绍了上海控安团队在软件代码功能安全及信息安全方面的应用实践,包括以动态符号执行技术为核心技术的软件代码功能安全工具-工业嵌入式单元测试工具SmartRocket Unit、结合源代码与二进制文件分析的软件代码安全漏洞分析工具SmartRocket Scanner;同时现场发布上海控安与猎聘联合推出的《2019中国网络安全与功能安全人才白皮书》,为雇佣双方提供招聘与求职的决策参考。
Fortinet华东区技术经理卜婵敏分享精彩议题“OT&核心基础架构安全”。她介绍了通用的工控系统网络架构,并以乌克兰电网事件为例,对ICS数字化攻击链进行详细解说;同时还介绍了Fortinet的风险管理框架、控制层次结构的Purdue模型、如何将Fortinet的参考架构应用于Purdue模型、以及针对已知威胁的可见性和分段保护等内容。
亚信安全资深技术顾问郑晓银带来《威胁可感知,安全可运维》报告。他指出,信息化的进程演变使得安全运维压力巨大,需要跨越安全层的关联进行上下文高优先级的采集、分析和处置,才能提高对网络安全威胁的响应;他还详尽介绍了亚信安全的XDR全景产品,可通过更广的可视化与安全专家分析,能够更早检测和更快响应和运维,有效解决持续演化的高级威胁和安全运营能力不匹配的难题。
360安全研究院研究员、独角兽团队成员郝经利分享《通信卫星的安全缺陷》报告。他介绍,转发器是卫星通信的主要载荷,由于卫星上电能的限制,在地面上使用的传统设备在卫星上的应用也同样受到限制,卫星的某些特性使常规的系统维护不能满足卫星通信领域的需求;卫星转发器包含大量仍在制造的“弯管透明转发器”载荷,对于这种载荷,攻击者可以实现干扰、伪造、窃听等攻击手段,甚至窃取卫星通信资源,对通信数据构成极大威胁。
会议现场气氛热烈,众专家表示在分享与讨论的过程中有所启发和感悟。工业互联网是工业经济实现数字化、网络化、智能化发展的关键支撑。防护新时代下的网络威胁攻击,是适应当前数字经济和实体经济的基础。相信通过产业链各方的通力协作、携手共进,将更好守护工业互联网的健康平稳发展。
