6月16日,以“数治安全 智理未来”为主题的2020西湖论剑·网络安全线上峰会(以下简称“峰会”)成功召开。本次峰会设立1个主论坛、6个分论坛、网络安全云上展览等特色环节,汇聚众多院士大咖及青年科学家。
青年科学家对话环节延续了去年西湖论剑院士圆桌的思辨、论道风格,由乌镇智库理事长张晓东主持,浙江大学网络空间安全学院院长任奎,复旦大学计算机学院副院长、国家973项目首席科学家杨珉,之江实验室江之恒网络信息安全研究中心副主任、杭州安恒信息技术股份有限公司高级副总裁刘博联袂登台。主持人与三位嘉宾一道,就网络空间安全学科人才培养、安卓系统的生态安全领域以及开源代码安全性研究展开深入探讨,同时对“未来网络安全20问”全球征集令中几个备受关注的话题,在现场作出解答。
网络安全是交叉学科:课程改革+实战培养双手抓
当今网络战愈演愈烈,而网络安全领域的战争归根到底是人才的竞争。应对网络攻击,最重要是人,即大量的安全专家,但网络安全人才相对匮乏。在圆桌对话阶段,青年科学家们就网络安全方面的人才培养方面分别提出了自己的见解。
“想要把一个系统防护好,真正达到安全,需要不同的传统意义上的各个学科的知识和能力,这也就是为什么面向未来,面向企业真正实用化的人才要做课程改革。”任奎表示,无论是在浙江大学,复旦大学还是安恒信息这样的企业内部,均需要课程改革。
关于网络安全方面的人才培养,实际上是从高校的专业学习开始。任奎认为针对高校的培养,浙江大学和复旦大学均处于领先地位,侧重点不同。就浙大而言,主要聚焦五个方向:数据安全、系统安全、物联网安全、人工智能安全、区块链的安全与技术。“这也是结合我们对于未来的技术趋势的判断以及引进青年人才的组成来进行规划。” 任奎说道。在过去的三年内,浙大不仅把浙江大学网络空间安全学科的课程从本科到研究生进行了全新的设置,人才进行个性化的培养,也和阿里、华为等各企业,建立了一系列联合实验室,共同承接一些产业界的研究挑战,将知识学习与技术落地相结合。
杨珉表示,网络安全人才培养上复旦大学有很多自己的特色,重点关注的是学生在网络空间安全学科的发展背景中,如何把他们培养成行业需要的人才。与国内互联网企业BAT3,以及安全企业安恒等在过去几年有大量的合作,大量前沿成果也进入到应用当中。
来自于一家民间调查机构麦可斯研究院的中国大学生就业起薪调查报告显示:网络安全专业学生的第一份工作平均薪水连续五年都排名第一。这一数据表明网络安全国家级别的宏观需求已体现在了行业与社会需求的层面。从教育部、网络安全等官方数据和口径来看,国内的网络安全人才是极度欠缺的,从业人员中真正科班出身的非常少。换言之,高校作为高端人才培养的主要角色,在人才输送时出现了缺位。面向网络安全从业的行业需求上,高校的培养上有很多缺失的东西,例如计算机系统技术等。针对这一问题,目前例如复旦等一些高校已经在构建课程培养体系,并引入了很多符合年轻人学习习惯的培养模式,比如安全攻防竞赛等。
在产业界层面,刘博表示,大学是供应侧,企业是需求侧。从安恒信息今年招聘人员来看,也可以看出供需之前的现状。安恒信息今年招聘人员50%-60%之前没有接触过网络安全,需要企业自行培养。招聘的相应员工中80%以上都非网络安全专业毕业。目前更多高校成立网络安全专业,人才培养对于这个行业的发展是非常有帮助的。刘博说:“安恒网络空间安全学院也做竞赛以及CISP培训,针对云安全以及大数据安全、工控安全。所以我们不仅仅是人才需求方,也是人才培养方”。
网络安全攻防博弈:安卓开源系统安全如何把控
手机是居民日常必备品,数据显示,2019年中国智能手机用户数量达到748.3百万人,2020年将达到781.7百万人。因此,移动端网络的安全是几乎所有人都关心的重点问题,而这其中,安卓作为开源系统,其安全性显然更受关注。
针对这一点,杨珉认为网络安全实际就是一个攻防博弈为主要特征的领域,很难达到一个天生安全的理想境界。很多新技术、新商业模式的涌现在效率提升的同时,却牺牲了部分安全属性。对于安卓机来说,每个定制版本的漏洞也会形成多个版本,因此并不是使用开源代码就能够保障安全。他认为,对于任何一个新兴信息系统安全问题的认知,一定是符合从学界到监管部门到工业界、大众的传播规律,所以面向全民的科普是非常重要的。
刘博认为,系统中必定存在漏洞,对开源软件来说,并不是整个供应链都自主可控。因此攻防必然存在,关键在于如何第一时间尽可能发现问题。而网络攻防只是网络安全中的一部分,而有了网络安全,才能更好地做数据共享,提升效率。
任奎认为,当今情况下需要第三方移动操作系统,而这点需要我们自身的努力。此外,对于未来的数字化经济、数字化制造来说,嵌入式操作系统是非常重要的,它们更小更专业,也更加定制化。对于嵌入式的操作系统,希望未来能将验证的标准提高,使其从安全性的意义上能容易被保证,而且更容易能向第三方展示安全性、更容易测评。
大数据安全面临挑战:个人隐私问题再度备受关注
大数据环境下,个人隐私的问题受到了现场的专家学者关注。在峰会现场互动环节中,青年科学家针对“未来网络安全20问”征集令中的个人隐私问题进行了深入解答。
刘博表示,从目前技术而言,隐私安全较为难得。在我国现在对个人隐私重要程度的认识还未达到较高标准,从法律层面还欠缺个人隐私保护法、数据安全法等。但这些建议已在两会期间提出,有可能很快会出台相关法律。监管与资源共享两者如何平衡,还需一个循序渐进的长期过程。
任奎在数据安全与隐私保护方面颇有研究,他表示目前有两大趋势,一是信息收集现象愈发普遍,二是隐私定义尚需进化。隐私保护问题不可能完全用技术解决,需要法律法规与技术、伦理道德等多方面的综合解决方案。
而杨珉对于隐私问题较为乐观,想要解决隐私问题,最重要的一点是来自国家与公众对隐私的重视程度。只要主管部门重视,能倾听学界与百姓的声音,配以足够的技术手段,终能解决隐私问题。