参会总结——第十二届信息安全高级云论坛

第十二届信息安全高级云论坛

  2020.04.17

一、会议主要内容

       会议主要内容是美国2020RSA热点研讨，以“以人为本”为主题，就国际网络安全趋势及热点进行讨论，交流中国网络安全新兴的技术和安全实践，探讨2020 RSA最新、前沿的网络安全技术。从国家政策、产业发展、技术趋势等角度展开思考与碰撞，共同推动中国网络安全产业发展。

会议分为“从RSA2020看国内网络安全面临的挑战和机遇”与“产研专家团深度解析中国网络安全产业未来发展之路”两个篇章，共15个专题报告，分别是《RSAC2020: 回到最硬核》、《安全产业大棋局   独立与统一》、《从RSAC2020展望新基建下的网络安全机会》、《隐私与数据安全技术观察》、《网络安全回归以人为本》、《热点和经典》、《“以人为本”视角下的安全运营发展思考》、《RSAC2020之物联网安全》、《SASE：让云端更SAFE》、《RSAC和电子数据取证》、《从RSA2020看网络安全创新》、《从RSAC2020看安全运营的能力建设》、《谈谈美国RSA会议的起因和29年来的成长》、《RSAC2020给业务移动化场景的启示和思考》、《从RSAC创新沙盒看中美网络安全产业环境的差异》

下面对其中部分专题进行总结：

1.《安全产业大棋局 独立与统一》——高雪峰（360集团事业部总经理）

该报告从甲乙方和数据两个角度阐述了“安全的对立与统一”。

从甲乙方的角度看独立与统一，网络安全产品的现状是小厂做精细分领域，大厂平台建立生态，统一平台化。一般乙方会专注于解决单一的问题，但是甲方需要全局视角，围绕运营、管理、联动三方面设计防御体系。目前的发展趋势是，从单点到纵深防御，是基于数据分析实现的，拓展数据收集、分析，结合主动防御，结合大数据情报分析实现

从数据角度看独立和统一，不同情景、场所产生的数据之间是独立的，需要做的就是将这些数据转化成价值，不仅仅是安全层面的数据，系统、应用层面的数据也是有价值的，就需要利用大数据平台进行检索分析、主动监控、可视化分析等。另一方面，最大化数据价值，很重要的一点是“联动分析”，数据来源是多元化的，能够将这些来源不同原本独立的数据进行结合分析，能够实现1+1>2的效果。

结合上面两个角度，甲方要进行统筹建设，乙方会收集分析数据，但是也需要开放接口，供甲方用以统一化到统一的数据存储分析平台上。

2. 《从RSAC2020展望新基建下的网络安全机会》——韩永刚（奇安信集团副总裁）

报告指出我国网安现状是落后于信息化发展的，且投入在IT整体预算中的占比远低于美国。过去二十多年的安全发展，大多数是零散的，希望可以把网络安全内生化，以达到和信息化同步的发展。

现在所处的数字化转型时代会加快信息化发展，也许可以短时间给企业产生客观宏利，但是也有可能因为没有同步安全问题的解决，影响在基建上的整个业务。因此推出面向新基建的新一代企业网络安全框架。

以5G的基建场景为例，其安全需求如图。

针对我国网安发展落后的问题，参会人员提出了很多看法：

目前看市场中，很多企业都在落地实施阶段各种偷换概念，拉低实际水准。这些实际涉及的技术都不是问题，都很好落地，而是国内平台型的安全公司关注盈利，哪个赛道赚钱就自己做，没有生态格局。归根结底是上个世纪90年代gdp的影响，对于投入必须要看到产出，到现在还要求国有资本保值增值，这种大环境下，科研课题都不敢真正投入去做创新性科研，全都是在确定已知结果的前提下去做课题。生态的核心就在于大环境的理念，能不能投入沉没成本真正的去支撑所谓得核高基与创新。还是刺激不够，很多也不是钱的问题，是安全带来的原有IT模式的改变和不适应。

3.《隐私与数据安全技术观察》——李康（百度安全熟悉科学家）

该报告首先以ZOOM事件为例，阐述了安全与隐私风险的不同：ZOOM事件涉及的两个典型隐私问题是：

1）Zoom为了方便用户，允许直接使用Facebook的账号登陆，但在实际场景中他没有去区分是不是Facebook的用户，而是将所有登陆信息都推送给Facebook进行验证，着明显涉及向Facebook泄漏用户信息的隐私问题；

2）对于参加视频会议的人员，即使是匿名参加，但是参会人员可以查看其他人员的个人信息主页，并且不会对用户做知情通知。

以上两个例子中的隐私问题明显不是传统的安全问题，不属于安全漏洞。可以说是程序员完全没有关注的问题。从中可以看出，隐私保护市场有很强的合规驱动特征，如果不是有明确的规定，厂商通常不会主动去实现隐私保护动作。

如何实现隐私保护合规的自动化，具体措施有法律法规的完善、联邦计算、具有隐私保护的机器学习、Intel推出的基于SGX的隐私保护方案（+硬件）等。

4.《网络安全回归以人为本》——谭晓生（北京赛博英杰科技有限公司董事长）

该报告基于以人为本，主要分析了政企安全产品的用户体验问题，

1）依旧是高度依赖密码的机制，且密码长度太长，记不住；

2）每天有海量的告警，员工处理不过来，而且意义不大；

3）误报多；

4）对于安全运维人员的素质要求高，现在有巨大的人才缺口。

这些都说明了产品的用户体验并不好，整体有一种过于复杂性，我们不能要求用户有较强的安全意识。

因此近年出现了“用户体验的消费者化”，主要的产品和技术有：

1）密码与证书管理：有不少专门用于密码管理的产品；

2）电子邮件安全：是一个已经发展了很久的问题，但是国内厂商做的还不是很好；

3）ACL管控；

4）零信任：可降低对密码的依赖，但是实施的成本比较高，还有待发展。

5.《三原生看：热点与经典》——潘柱廷（安天科技集团资深副总裁/北向智库首席经略师）

该报告提出的三原生指：安全原生、行业原生、技术原生，主要根据着三个原生来介绍具有相关原生属性的安全产品，阐明不同原生性的优劣以及适用场景和市场。

1）安全原生性：突出安全特性的对象和属性。

安全原生性强的代表：密码、加密、恶意代码、漏洞挖掘和渗透、样本和检测、情报属性的态势感知和威胁情报共享、蜜罐和欺骗式防御。

安全原生性较弱的产品和技术：防火墙（网络属性更强，通常和路由器、交换机放在一起去谈），SOC（一个安全管理平台，更具有管理属性）。

2）行业原生性：体现应用领域特色的，如金融行业的风控、运营商运维领域的堡垒机、工控安全等。

行业原生性弱的，比如防火墙，它和行业领域的关联度低。

行业原生性的强弱也没有好坏之分，比如防火墙，行业原生性弱意味着他的适应性强，可以批量生产。行业原生性强的产品发现也意味着更多的机会，更适合以用户为目标的大项目的方式去推进。

3）技术原生性：充分体现新技术热点特性的。

技术原生性弱的示例：边界安全，受技术热点影响小的，不管是大数据系统还是云系统，都是有类似的一个边界安全；所谓大数据安全和隐私保护，这一点并不是指没有技术原生的特点，而是现在我们并没有做到，我们说着大数据安全，用的其实不是针对大数据的安全措施，类似的还有所谓的物联网安全。

技术原生性强：区块链、云原生安全（蜜罐技术）、5G安全。

6. 《SASE：让云端更SAFE》（安全访问服务边缘）——杨庆华（山石网科通信技术股份有限公司首席技术专家/高级副总裁）

该报告围绕RSA 2020主题：人为因素，人始终是网络安全的核心。说明了“技术并非一切，满足用户需求，弥补市场空缺才是成功的。”

SASE：安全访问服务边缘

以前到现在，大部分企业可能会从选择分别不同部件制造得最好的厂商处购入各个部件，但是Gartner预测到2023年，企业会从同一个供应商买成套的东西，比如企业安全网关等各类安全产品。

SASE以人为本，更加关注网络行为和安全管控围绕身份，在安全策略中引入更丰富的内容：你是谁？从哪儿来？到哪儿去？实现这灵魂三问的SASE核心是网络连接的上下文，身份的认证，访问过的设备、时间等等。SASA通过身份识别，行为上下文，策略的实施更新实现了动态的安全。

最后报告人提出了“一切的技术和管理都市为了安全运营”的观点。

7.《从RSAC创新沙盒看中美网络安全产业环境的差异》——万熠（元起资本联合创始合伙人）

该报告从投资人的角度谈对网络安全企业和创业的看法

首先报告站在投资人的角度，解析了Securiti.ai的成功原因：首先市场巨大，需求刚性，客户有强烈的购买意向，此外，Securiti.ai产品本身能够和业务紧密结合，自动去贴合不同的需求，法律法规的要求等。

报告指出，就技术而言，对于各个企业来说都是大同小异，企业掌握的技术差别不大的，主要在于市场，产品面对的市场是大市场还是小市场，是否有足够的需求。

中美网络安全产业环境对比：

中美分工不同：美国在产业划分上更清晰，美国有很多专门的安全方面的代理商，厂商交付给代理商，代理商交付给用户。中国这样的专门代理商是很少的，通常中国的厂商要直接向代理商和用户两者都提供解决方案、技术服务。所以对于美国的厂商，他们只要专注于技术，产品优秀即可，其他事情是代理商的工作；而中国的厂商，因为还需要直接对接与用户，他还要关注客户需求分析问题、服务问题、解决市场问题。

从企业发展角度来看，首先需要扩大盈利，美国走的道路是“同样的产品卖给更多的国家”，是客户群的扩展；而国内更多是“面对同一群客户卖更多的产品”，在有限的本土市场中进行扩展。其次，企业发展需要降低成本，边际成本、人力成本等，美国的主要成本放在了研发人员，而中国的销售人力成本占很大一部分。

两国对上市公司的要求不同：国内以利润为标准，决定一个公司能否上市；美国只要公司合法合规即可上市，而不考虑是正利润还是负利润。其实中国的网络安全上市公司比美国还多，但是美国的并购发展多，但是中国的并购很少，中国没有并购条件和环境。

二、RSAC主题分析

       上述不少报告中，都对往届报告和今年的报告主题做出了分析总结，将几个报告的观点综合总结如下：

RSAC主题演化，从以密码为主，到攻防联动，今年是以人为本。

今年的RSAC会议的十大热点词：人的因素、安全产品、IT和OT安全、流程安全、合规与隐私、威胁情报、热门框架、安全意识、沟通、人才发展。

RSA 2020五大热点是1）SD-WAN 2）Zero-Trust Network 3）SaaS（虽然都在推软件即服务，但是厂商都在卖硬件，就目前来看，硬件还不会消失） 4）SOAR 5）SASE。

几位报告人的主要参会感受是：安全终于开始考虑用户体验了，是一大进步。

三、个人体会和总结

       信息安全高级云论坛的主要内容是美国2020RSA热点研讨，一些有经验的安全界前辈带着对RSAC 2020参会内容的提炼总结，并结合我国网络安全现状，进行二次升华分享。从中我们主要收获到到的是对当前的网络安全发展现状，无论是目前发展大环境、市场还是现有产品发展的了解。除此之外，本次会议主要获得的信息是更多不是技术，而是在现有发展环境下如何去贴合市场（“人”）的需求，比如甲乙方的分工需要更加清晰、隐私的重要性、用户体验保障等。

会议给我留下印象深刻的点是，“技术并非一切，满足用户需求，弥补市场空缺才是成功的。”现在读论文，很多时候可以发现虽然文章在实验中用到的技术本身都是已有，并没有技术创新，但是它的设计思路，使用方法是精妙的，最终达到的面向需求的效果是好的。

四、会议信息

       活动官网：http://rsac.nsfocus.com.cn/html/398/

       活动负责人表示PPT还有录屏资料后续会发布在官网，有需要可以查看。