ISC 2016 | 中国互联网大会的中流砥柱

这两天，中国互联网安全大会(ISC)2016在北京国家会议中心隆重召开，堪称亚太地区年度最大规模的互联网安全会议。在这里你不仅能和国内顶尖安全公司、国内顶尖安全人才交流，你还可邂逅国外安全圈史诗级的人物。

ISC 2016大会的主题是“协同联动共建安全+命运共同体”，并且做到了放眼全球，集中安全，专业安全的境界。峰会为期两天，共计5万多人次参与，设立2大世界级领袖精英峰会、14个主题论坛以及110个最前沿、最具代表性的主题演讲，并邀请了国内外知名安全专家、政府部门领导、学者参加。

大会议题涵盖了世界网络安全形势、网络空间战略、产业方向、行业趋势、技术未来、产业合作、投资创业、人才培养、安全攻防实战等9大方向，包括网络空间战略、政策法律、产业创新创业、物联网、云计算和大数据、新兴威胁、威胁情报、移动安全、软件安全、智能硬件破解、系统漏洞挖掘等20多个话题。

来到国家会议中心C2区，随处可见ISC2016大大的展示牌，并且每一张广告页上都将“协同联动”4个字进行了加粗、加大字号处理，可见它就是本届ISC的中心话题。但是细细体会一下这四个字的含义，似曾相识。顿然领悟，原来是安全理念又上升了一个高度，国内企业纷纷响应协同作业，携手创建安全生态。

360公司董事长周鸿祎演讲的议题是《协同，安全防御的出路》，就如何做好协同这一问题上，他认为应该要做到政府与企业之间的协同、企业与企业之间的协同、安全产品的数据与能力之间的协同。

前不久，希拉里私人邮箱被Guccifer 2.0攻击，泄露部分数据。乍一看这只是一起普通的攻击事件，但是没想到随着事态的发展，却对希拉里的总统竞选产生了不可估量的影响。从希拉里邮件门事件来看，黑客攻击事件甚至可能影响到一个国家的命运，也正如习大大所说的“没有网络安全就没有国家安全”。由此可见，政府不仅要成立自己的网络安全小组，更要重视民间的力量，将其协同起来。

安全圈中，能力超众的企业也很多，但是企业之间并没有做到协同，也没有对自己掌握的威胁情报进行共享，所以就有可能导致牵一发而动全身的案例发生。今年年初发生的孟加拉国央行被黑事件，8100万美元瞬间丢失，全球银行顿时变得忧心忡忡。其实早在之前就有银行遭受到了同样的黑客攻击，但是他们羞于对外公开这类事件，技术人员也没有将问题及时共享给其他的银行，所以就导致后来接二连三银行被黑事件的发生。

周鸿祎通过这两个众人熟知的安全事件，深入分析了协同的重要性。没有协同，安全圈就不会有蓝天。

周鸿祎的协同观念并不是闭门造车，而是经由国内外的事实感悟而来，并得到了国内外政府企业的赞同。前美国陆军少将、现Palo Alto Network副总裁、首席安全官的John A. Davis也表示，政府与政府之间、政府与企业之间、企业与企业之间要及时进行信息传输，相互信任，保证信息的透明度。俄罗斯安全互联网联盟总干事Denis Davydov演讲中也强调了俄罗斯非常注重志愿者活动，也就是在全球范围内，独立或者配合其他机构对网络攻击活动进行追查。

今年ISC上能与周鸿祎争宠的必属迈克菲，因为他就是个传奇。他的人生经历完全可写成一部非常有意思的小说，年轻时吸毒、酗酒、女色、创业等等，但是他认为这些过往也并非都是坏事，因为正是由于这份经历让他对命运有了更深刻的感悟。反弹的高度才是真实的高度。

作为一个旁观者，他还大胆发表了对中国黑客的看法：中国黑客的水平尽管也不错，但是相比较于美国，还是有点逊色，而且中国正规黑客能力低于地下黑客。另外，他对现今白帽子的职位也有不能苟同的地方。白帽子正在保护着这个世界，理应得到尊重，但他不赞同白帽子通过发现系统漏洞获取奖励的行为，并认为它属于不道德行为。能在北京说出这段话，证明他真的就是迈克菲本人！

第二天的精英峰会继续领袖峰会的趋势，SCADA SrrangeLove研究团队负责人、Web应用安全联盟专家谢尔盖·戈德伊奇克，IBM安全事业部威胁防护与认知安全首席技术官巴尼·桑切斯，微软可信赖计算部网络安全战略总监褚诚云，美国资深硅谷安全技术专家、连续创业者和天使投资人卜峰，360公司副总裁谭晓生继续带来精彩演讲。

谭晓生作为压轴出场的嘉宾，PPT第一页赫然显示：我有病，你有药么？当然这里所说的病不是生理疾病，而是一种现象病。

当北京PM2.5的时候，所有人都知道雾霾很严重，但是这个时候你是应该告诉我雾霾很严重呢？还是要告诉我怎么办呢？就好比漏洞挖掘与防御，一个高危漏洞的存在，你是应该告诉我这个漏洞有多么严重呢？还是应该告诉我怎样做好防御呢？其实这样一类比，所有人都知道解决问题才是王道，但是现实中却不如人意，攻与防严重失衡。

ISC2016的分论坛也是极为庞大的，共设14个主题分论坛，每个论坛的议题都是精挑细选出来的精华。

由于论坛排期比较密集，脚踩风火轮也只能细细品味其中的部分，比如HackPwn环节。在进入国家会议中心C2安检口之前，你会发现两辆遮住车牌号的汽车停在门前，一辆特斯拉，一辆沃尔沃。进入HackPwn分论坛会场之后，会场的左侧也停了一辆汽车。毋庸置疑，今天的议程中一定有汽车相关的破解。

360 Unicorn Team成员通过破解钥匙加密协议，只用20秒的时间就成功破解了车锁，从而进一步控制汽车。随后，360汽车信息安全实验室负责人刘健浩和浙江大学教授徐文渊现场演示了破解特斯拉智能驾驶功能，通过干扰汽车传感器，实现对汽车的控制。

前几天，DEF CON大会上，智能汽车安全专家们又再次强调了智能汽车的不安全性，但是由于隔着遥远的时空，我们并没有多大的感受。但是今天身临其境，亲眼所见当今智能汽车的脆弱性，不禁偷偷摸了一下自己的车钥匙。

HackPwn的最后一个环节是抓娃娃机破解秀。抓娃娃机想必大家都不陌生，投币一元即可凭耐心和技巧抓取心仪的娃娃，殊不知这一简单的操作步骤也能被黑客破解。安全研究员现场演示，通过扫描支付二维码，获取数据订单信息后成功破解了娃娃机，让娃娃机一抓一个准。

今年的ISC已经圆满闭幕，但是大会虽然结束了，协同工作还要继续。政府与政府，政府与企业，企业与企业之间如何做好协同将是一个任重而道远的工程！Keep working！