【ISC观感之五】从大会主题看ISC——由认知到回归本质

ISC无疑已经成为当前中国乃至亚太地区规模最为盛大的安全行业会议，至今已走过了5个年头，本人有幸无一届缺席。从一名安全从业者的视角来看，五年来五届大会的主题，似乎在阐释人们对于安全的认知和看待，也记录着中国网络安全行业最为难忘的一段发展进程。

今天搜遍了网络上所有的资料才发现，作为首届会议的ISC2013，其实、好像并没有明确的主题，只记得当年周鸿祎先生发表的主旨演讲题为“共筑网络安全世界”，即便如此，当年会议带给每一位参会者的震撼是空前的。这震撼来自于盛况空前、来自于网络安全被上升到的高度、来自于一个个触目惊心却又充满合理性的案例。在那届会议上，被反复提及的名词是“APT”、是“棱镜门”、是“下一代安全”，从那届会议开始，我们开始知道，网络世界里有高达300G流量的DDoS存在，有让人彻夜难眠的Struts2漏洞。

ISC2014，大会主题是“互联世界安全第一”，在那一年的会议上，我清楚地记得，安全的范围被扩大到了PC和网络之外的领域，ATM机可以发疯似的吐钞、心脏起搏器可以在几十米范围之外被操控、福特汽车可以在行驶中无人工干预的突然改变方向。

ISC2015，大会主题是“数据驱动安全”，老周的演讲主题是“看得见的安全”，坦率讲，看到这个主题并不新奇，因为在过去的两年，用大数据的方法、可视化技术来解决安全问题的技术理念已被充分炒作，但当我看到“数据”真正开始解决一些问题的时候，心中还是有些许欣慰，这至少印证了一点，作为一名安全从业者，心里所认同的安全方法论并没有错。

ISC2016：大会主题是“协同联动，共建安全+命运共同体”，并无太多惊艳的感觉，协同联动的范畴很宽广，机器协同、数据协同、组织协同、人的协同，依靠单点、个体的防守终将是徒劳，信息共享、集体协作才是对抗威胁的有力手段。

本届ISC，大会主题为“万物皆变人是安全的尺度”，强调“人”在网络安全中至关重要、甚至是决定性的作用，这似乎是ISC首次将主题的视角转移到威胁、技术之外的领域，但似乎又空前的接近安全的本质。

安全的本质是人与人的智力对抗，安全问题均是由人而生，有人曾说过，即便是在安全市场已空前繁荣的今天，最有效的防护手段也依然不是部署最先进、数量最多的安全设备，而是拥有一批精通攻防技术的“黑客”，其诠释的正是这个道理，最了解人类的群体恰恰是人类自身，技术、设备、产品只是人类将针对特定事物的理解固化下来，并高效率、准确无误的执行，但适应变化的能力始终落后于发起攻击的人。

在安全对抗中，不同的“人”扮演着很多角色，攻击者、受害者、提供服务者、专家、用户等等，之所以有安全问题的产生，恰恰是由于人与人之间在关键知识、关键能力不对等、不对称所导致。其实这个话题，在首届ISC大会中就被提及，“未知攻，焉知防”讲的就是受害者不知道攻击者侵入的方式，也就无从采取有针对性的措施。

当然，除了知识、技能的问题，人性也有难以避免的弱点，懒惰、侥幸、疏忽大意、心怀恶意等等，在当前的威胁环境下都更加有可能带来影响恶劣、损失严重的安全事件。

今年老周的主题演讲中提出一个问题，“大安全时代，如果没有网络安全，人类又将会怎样？”，答案不言而喻。在未来，安全行业的从业者、安全的专业人士，将承担更大的使命和社会责任。

大安全时代，不但需要在安全攻防方面储备深厚的专家，将关键知识和技能持续的输送给安全攻防战中的弱势人群，也需要有坚持“due diligence”（讲的是要始终保持风险意识）和“due care”（讲的是采取必要的措施以规避、减缓风险）的运维管理人员，以专业的手段弥补人性的弱点。

回顾五年来ISC大会的主题，从谈安全的严峻形势、到谈解决问题的技术手段，再到将问题回顾至人的自身，充分体现出大会对安全的认知已在逐步深入并接近本质。