杜跃进出席ISC2014 畅谈网络安全实务

  详解“XP靶场挑战赛” 杜跃进ISC2014发表主题演讲

  亚太地区最大的安全盛会中国互联网安全大会(ISC2014)在北京国家会议中心召开,在25日下午的“前瞻技术峰会”上,原网络安全应急技术国家工程实验室主任杜跃进,发表了题为《网络安全实务:竞赛、演练、靶场和人才》的主题演讲,畅谈组织和实施上述内容背后的深远意义,并详细介绍了此前成功举办的“XP靶场挑战赛”的具体情况。

图: 网络安全应急技术国家工程实验室主任杜跃进

  杜跃进的演讲有四个关键字,竞赛、演练、靶场、人才。他坦言把这四个字放在一起是很有难度的。“无论在座的各位是不是在做安全,都会遇到一个问题,被人追尾到底那款产品更好。”对于安全产品来说,这个问题更加难以回答。因为网络安全的本质是人和人之间的攻防对抗,在这个过程中存在着太多不可预知的变数。

  杜跃进在演讲中表示,事实上网络安全的本质是攻防对抗,不仅要了解对手的能力、特点和动机,更要像对手那样思考。而攻防对抗也随着网络空间的变化不断催生新思路,诸如:纯密码对抗、信息数据对抗、系统安全对抗,网络空间对抗等等。

  杜跃进坦言,没有哪个安全产品是永远不会被攻破的。安全是一个博弈对抗的过程,攻击者会不断寻找防护方的弱点,防护方也会不断探索对付新攻击的手段。在这种真实的对抗中,安全保障的水平和能力才会得到不断提升。

  最初的安全对抗只是单纯的加密与解密的对抗;之后的系统安全也相对简单。但杜跃进指,出现在的网络网络攻防的复杂程度已经超越以往,黑客通过网络就可以偷取原本需要解密、攻破系统才能获得的东西。在如今的网络世界,没有办法阻止数据的向外输出,这也给安全从业者带来的更大的挑战,因此各种形式的网络攻防比赛也因此孕育而生。

  在谈及此前被网民以及行业普遍关注的“XP靶场挑战赛”时,杜跃进重点做了诠释,与大家分享了组织运作中的收获。他表示,通过这种竞赛不仅可以发现新问题、新方法,而且还可以发现新人才、验证真效果。毕竟从业人员要通过实战来提高检验自己的技术能力。

  据杜跃进介绍,竞评演练工作组成员是由技术专家、赛事组织人员构成,这些工作人员负责赛事的总体设计和竞赛事务的统筹协调,以及竞赛的整体推进和落实监督。而监督委员会成员是由行业代表、业内第三方专家、参赛企业代表、赛事组织人员等构成,他们将会对竞赛全程监督,制定媒体策略以及发生特殊情况时的紧急商议。

  此外,由行业代表、业内第三方专家、参赛企业代表、赛事组织人员组成的技术委员会,将搭建一个合理的平台,平台拥有强大的技术能力保障,包括数据记录回放、镜像保存、攻击方法提取,攻击有效性判定等。这些技术人员将会对靶场环境和靶标,以及赛事挑战流程的合理性进行确定。

  杜跃进透露组织运作“XP靶场挑战赛”的过程中,收获了许多可贵的经验。而在未来,竞评演练工作组将会组织更多的竞赛项目,例如,音视频分析算法大赛等。目前,在“XP靶场挑战赛”的带动下,一些安全竞赛也在如火如荼的进行着,通过这些安全竞赛,可以发现新的方法、新问题,也能提高安全从业人员的实战技术水平。甚至可以说,组织这些竞赛的就是为了锻炼网络安全专业人才。

  据主办方透露,ISC2014将成为互联网安全行业从业者和创业者、安全专业技术人员、企事业单位和机构信息主管、网管员以及安全技术爱好者的了解安全行业和技术趋势,把握产业和技术方向,知晓安全人才需求方向,学习最新技术和技能的平台。

责任编辑:汪云鹏

热闻

  • 图片

大公出品

大公视觉

大公热度