精彩分享

海康威視數字技術股份有限公司CSO王濱

海康威視數字技術股份有限公司CSO王濱帶來“內生安全的工業互聯網智能終端”報告。他表示，工業互聯網的核心是底層終端，沒有終端，控制系統和應用系統都無法工作；工業互聯網終端發展有兩個特點，其一是海量的終端，其二是越來越多的工業設備接入互聯網。他強調，作為工業互聯網的神經末梢，數量龐大的智能終端是連接現實世界和數字世界的關鍵節點，承擔著感知數據精準采集、控制命令有效執行等重要職責，是安全防護需要考慮的重要對象。

第五空間信息科技研究院理事長、翼盾（上海）智能科技有限公司CEO朱易翔

第五空間信息科技研究院理事長、翼盾（上海）智能科技有限公司CEO朱易翔分享“端到端物聯網通信安全技術框架”報告。他主要從物聯網的安全挑戰、端到端物聯網通信安全技術架構基本設想、應用案例等方面進行闡述。他認為，身份標識和密碼體系是智能硬件安全的重要基石。難點在于參與方眾多，均面臨不同安全攻擊向量；邊界模糊，入口復雜，傳統互聯安全方案無法提供有效防護。

TUV萊茵產品數據保護與網絡安全業務負責人巫光毅帶來“消費類IoT網絡安全實現”主題分享。他介紹了消費類IoT的主要安全風險，包括使用明文協議、導致網絡中的攻擊者可能能夠竊聽通信信道，訪問甚至操縱敏感信息；UART接口開放，并且可以使用root shell，導致攻擊者可以連接到調試接口，并可以全權訪問硬件設備；固件逆向，導致可能暴露硬編碼憑證，暴露更多的攻擊界面等問題。最后他指出，安全的實現是基于規范化開發。

上海工業控制系統安全創新功能型平臺首席技術官劉虹帶來“工業互聯網軟件代碼安全技術發展及趨勢”報告。她指出，工業互聯網安全的核心要素是軟件代碼的安全，然而我國工業軟件正面臨“卡脖子”的現狀，以汽車行業為例，95%的工業軟件支撐工具均由國外廠商壟斷，因此我國亟需研發自主可控的軟件代碼安全支撐軟件；同時劉博士介紹了上海控安團隊在軟件代碼功能安全及信息安全方面的應用實踐，包括以動態符號執行技術為核心技術的軟件代碼功能安全工具-工業嵌入式單元測試工具SmartRocket Unit、結合源代碼與二進制文件分析的軟件代碼安全漏洞分析工具SmartRocket Scanner；同時現場發布上海控安與獵聘聯合推出的《2019中國網絡安全與功能安全人才白皮書》，為雇傭雙方提供招聘與求職的決策參考。

Fortinet華東區技術經理卜嬋敏

Fortinet華東區技術經理卜嬋敏分享精彩議題“OT&核心基礎架構安全”。她介紹了通用的工控系統網絡架構，并以烏克蘭電網事件為例，對ICS數字化攻擊鏈進行詳細解說；同時還介紹了Fortinet的風險管理框架、控制層次結構的Purdue模型、如何將Fortinet的參考架構應用于Purdue模型、以及針對已知威脅的可見性和分段保護等內容。

亞信安全資深技術顧問鄭曉銀

亞信安全資深技術顧問鄭曉銀帶來《威脅可感知，安全可運維》報告。他指出，信息化的進程演變使得安全運維壓力巨大，需要跨越安全層的關聯進行上下文高優先級的采集、分析和處置，才能提高對網絡安全威脅的響應；他還詳盡介紹了亞信安全的XDR全景產品，可通過更廣的可視化與安全專家分析，能夠更早檢測和更快響應和運維，有效解決持續演化的高級威脅和安全運營能力不匹配的難題。

360安全研究院研究員、獨角獸團隊成員郝經利

360安全研究院研究員、獨角獸團隊成員郝經利分享《通信衛星的安全缺陷》報告。他介紹，轉發器是衛星通信的主要載荷，由于衛星上電能的限制，在地面上使用的傳統設備在衛星上的應用也同樣受到限制，衛星的某些特性使常規的系統維護不能滿足衛星通信領域的需求；衛星轉發器包含大量仍在制造的“彎管透明轉發器”載荷，對于這種載荷，攻擊者可以實現干擾、偽造、竊聽等攻擊手段，甚至竊取衛星通信資源，對通信數據構成極大威脅。