ISC无疑已经成为当前中国乃至亚太地区规模最为盛大的安全行业会议,至今已走过了5个年头,本人有幸无一届缺席。从一名安全从业者的视角来看,五年来五届大会的主题,似乎在阐释人们对于安全的认知和看待,也记录着中国网络安全行业最为难忘的一段发展进程。
今天搜遍了网络上所有的资料才发现,作为首届会议的ISC2013,其实、好像并没有明确的主题,只记得当年周鸿祎先生发表的主旨演讲题为“共筑网络安全世界”,即便如此,当年会议带给每一位参会者的震撼是空前的。这震撼来自于盛况空前、来自于网络安全被上升到的高度、来自于一个个触目惊心却又充满合理性的案例。在那届会议上,被反复提及的名词是“APT”、是“棱镜门”、是“下一代安全”,从那届会议开始,我们开始知道,网络世界里有高达300G流量的DDoS存在,有让人彻夜难眠的Struts2漏洞。
ISC2014,大会主题是“互联世界 安全第一”,在那一年的会议上,我清楚地记得,安全的范围被扩大到了PC和网络之外的领域,ATM机可以发疯似的吐钞、心脏起搏器可以在几十米范围之外被操控、福特汽车可以在行驶中无人工干预的突然改变方向。
ISC2015,大会主题是“数据驱动安全”,老周的演讲主题是“看得见的安全”,坦率讲,看到这个主题并不新奇,因为在过去的两年,用大数据的方法、可视化技术来解决安全问题的技术理念已被充分炒作,但当我看到“数据”真正开始解决一些问题的时候,心中还是有些许欣慰,这至少印证了一点,作为一名安全从业者,心里所认同的安全方法论并没有错。
ISC2016:大会主题是“协同联动,共建安全+命运共同体”,并无太多惊艳的感觉,协同联动的范畴很宽广,机器协同、数据协同、组织协同、人的协同,依靠单点、个体的防守终将是徒劳,信息共享、集体协作才是对抗威胁的有力手段。 本届ISC,大会主题为“万物皆变 人是安全的尺度”,强调“人”在网络安全中至关重要、甚至是决定性的作用,这似乎是ISC首次将主题的视角转移到威胁、技术之外的领域,但似乎又空前的接近安全的本质。
安全的本质是人与人的智力对抗,安全问题均是由人而生,有人曾说过,即便是在安全市场已空前繁荣的今天,最有效的防护手段也依然不是部署最先进、数量最多的安全设备,而是拥有一批精通攻防技术的“黑客”,其诠释的正是这个道理,最了解人类的群体恰恰是人类自身,技术、设备、产品只是人类将针对特定事物的理解固化下来,并高效率、准确无误的执行,但适应变化的能力始终落后于发起攻击的人。
在安全对抗中,不同的“人”扮演着很多角色,攻击者、受害者、提供服务者、专家、用户等等,之所以有安全问题的产生,恰恰是由于人与人之间在关键知识、关键能力不对等、不对称所导致。其实这个话题,在首届ISC大会中就被提及,“未知攻,焉知防”讲的就是受害者不知道攻击者侵入的方式,也就无从采取有针对性的措施。
当然,除了知识、技能的问题,人性也有难以避免的弱点,懒惰、侥幸、疏忽大意、心怀恶意等等,在当前的威胁环境下都更加有可能带来影响恶劣、损失严重的安全事件。
今年老周的主题演讲中提出一个问题,“大安全时代,如果没有网络安全,人类又将会怎样?”,答案不言而喻。在未来,安全行业的从业者、安全的专业人士,将承担更大的使命和社会责任。
大安全时代,不但需要在安全攻防方面储备深厚的专家,将关键知识和技能持续的输送给安全攻防战中的弱势人群,也需要有坚持“due diligence”( 讲的是要始终保持风险意识)和“due care”(讲的是采取必要的措施以规避、减缓风险)的运维管理人员,以专业的手段弥补人性的弱点。
回顾五年来ISC大会的主题,从谈安全的严峻形势、到谈解决问题的技术手段,再到将问题回顾至人的自身,充分体现出大会对安全的认知已在逐步深入并接近本质。
人是安全的尺度!五年来,ISC大会影响着一批又一批 “人”的网络安全观,感谢ISC!也感谢每一位网络安全的从业者,你们不仅用自己的热血和汗水书写了中国网络安全行业最为难忘的一段发展进程,还为中国网络安全的发展做出了不可磨灭的贡献。
每一位网络安全从业者都是“安全长尺”上的一个刻度,正因如此,网络安全也将因你而不同。
来源 360企业安全
|
评论
直达楼层