中國(guó)網(wǎng)財(cái)經(jīng)9月25日訊 2014中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC2014)于24日在北京國(guó)家會(huì)議中心召開，在今天下午的“前瞻技術(shù)峰會(huì)”上，原網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)，發(fā)表了題為《網(wǎng)絡(luò)安全實(shí)務(wù)：競(jìng)賽、演練、靶場(chǎng)和人才》的主題演講，暢談組織和實(shí)施上述內(nèi)容背后的深遠(yuǎn)意義，并詳細(xì)介紹了此前成功舉辦的“XP靶場(chǎng)挑戰(zhàn)賽”的具體情況。

　　圖: 網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)

　　杜躍進(jìn)的演講有四個(gè)關(guān)鍵字，競(jìng)賽、演練、靶場(chǎng)、人才。他坦言把這四個(gè)字放在一起是很有難度的?！盁o(wú)論在座的各位是不是在做安全，都會(huì)遇到一個(gè)問(wèn)題，被人追尾到底那款產(chǎn)品更好?！睂?duì)于安全產(chǎn)品來(lái)說(shuō)，這個(gè)問(wèn)題更加難以回答。因?yàn)榫W(wǎng)絡(luò)安全的本質(zhì)是人和人之間的攻防對(duì)抗，在這個(gè)過(guò)程中存在著太多不可預(yù)知的變數(shù)。

　　杜躍進(jìn)在演講中表示，事實(shí)上網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗，不僅要了解對(duì)手的能力、特點(diǎn)和動(dòng)機(jī)，更要像對(duì)手那樣思考。而攻防對(duì)抗也隨著網(wǎng)絡(luò)空間的變化不斷催生新思路，諸如：純密碼對(duì)抗、信息數(shù)據(jù)對(duì)抗、系統(tǒng)安全對(duì)抗，網(wǎng)絡(luò)空間對(duì)抗等等。

　　杜躍進(jìn)坦言，沒有哪個(gè)安全產(chǎn)品是永遠(yuǎn)不會(huì)被攻破的。安全是一個(gè)博弈對(duì)抗的過(guò)程，攻擊者會(huì)不斷尋找防護(hù)方的弱點(diǎn)，防護(hù)方也會(huì)不斷探索對(duì)付新攻擊的手段。在這種真實(shí)的對(duì)抗中，安全保障的水平和能力才會(huì)得到不斷提升。

　　最初的安全對(duì)抗只是單純的加密與解密的對(duì)抗；之后的系統(tǒng)安全也相對(duì)簡(jiǎn)單。但杜躍進(jìn)指，出現(xiàn)在的網(wǎng)絡(luò)網(wǎng)絡(luò)攻防的復(fù)雜程度已經(jīng)超越以往，黑客通過(guò)網(wǎng)絡(luò)就可以偷取原本需要解密、攻破系統(tǒng)才能獲得的東西。在如今的網(wǎng)絡(luò)世界，沒有辦法阻止數(shù)據(jù)的向外輸出，這也給安全從業(yè)者帶來(lái)的更大的挑戰(zhàn)，因此各種形式的網(wǎng)絡(luò)攻防比賽也因此孕育而生。

　　在談及此前被網(wǎng)民以及行業(yè)普遍關(guān)注的“XP靶場(chǎng)挑戰(zhàn)賽”時(shí)，杜躍進(jìn)重點(diǎn)做了詮釋，與大家分享了組織運(yùn)作中的收獲。他表示，通過(guò)這種競(jìng)賽不僅可以發(fā)現(xiàn)新問(wèn)題、新方法，而且還可以發(fā)現(xiàn)新人才、驗(yàn)證真效果。畢竟從業(yè)人員要通過(guò)實(shí)戰(zhàn)來(lái)提高檢驗(yàn)自己的技術(shù)能力。

　　據(jù)杜躍進(jìn)介紹，競(jìng)評(píng)演練工作組成員是由技術(shù)專家、賽事組織人員構(gòu)成，這些工作人員負(fù)責(zé)賽事的總體設(shè)計(jì)和競(jìng)賽事務(wù)的統(tǒng)籌協(xié)調(diào)，以及競(jìng)賽的整體推進(jìn)和落實(shí)監(jiān)督。而監(jiān)督委員會(huì)成員是由行業(yè)代表、業(yè)內(nèi)第三方專家、參賽企業(yè)代表、賽事組織人員等構(gòu)成，他們將會(huì)對(duì)競(jìng)賽全程監(jiān)督，制定媒體策略以及發(fā)生特殊情況時(shí)的緊急商議。

　　此外，由行業(yè)代表、業(yè)內(nèi)第三方專家、參賽企業(yè)代表、賽事組織人員組成的技術(shù)委員會(huì)，將搭建一個(gè)合理的平臺(tái)，平臺(tái)擁有強(qiáng)大的技術(shù)能力保障，包括數(shù)據(jù)記錄回放、鏡像保存、攻擊方法提取，攻擊有效性判定等。這些技術(shù)人員將會(huì)對(duì)靶場(chǎng)環(huán)境和靶標(biāo)，以及賽事挑戰(zhàn)流程的合理性進(jìn)行確定。

　　杜躍進(jìn)透露組織運(yùn)作“XP靶場(chǎng)挑戰(zhàn)賽”的過(guò)程中，收獲了許多可貴的經(jīng)驗(yàn)。而在未來(lái)，競(jìng)評(píng)演練工作組將會(huì)組織更多的競(jìng)賽項(xiàng)目，例如，音視頻分析算法大賽等。目前，在“XP靶場(chǎng)挑戰(zhàn)賽”的帶動(dòng)下，一些安全競(jìng)賽也在如火如荼的進(jìn)行著，通過(guò)這些安全競(jìng)賽，可以發(fā)現(xiàn)新的方法、新問(wèn)題，也能提高安全從業(yè)人員的實(shí)戰(zhàn)技術(shù)水平。甚至可以說(shuō)，組織這些競(jìng)賽的就是為了鍛煉網(wǎng)絡(luò)安全專業(yè)人才。

　　據(jù)主辦方透露，ISC2014將成為互聯(lián)網(wǎng)安全行業(yè)從業(yè)者和創(chuàng)業(yè)者、安全專業(yè)技術(shù)人員、企事業(yè)單位和機(jī)構(gòu)信息主管、網(wǎng)管員以及安全技術(shù)愛好者的了解安全行業(yè)和技術(shù)趨勢(shì)，把握產(chǎn)業(yè)和技術(shù)方向，知曉安全人才需求方向，學(xué)習(xí)最新技術(shù)和技能的平臺(tái)。