文|沈筱
编辑|真梓
36氪获悉,近日,第三届“网鼎杯”网络安全大赛暨“数字未来网络安全大会”在杭州举办。本届“网鼎杯”由公安部指导,国家网络与信息安全信息通报中心、浙江省公安厅、杭州市人民政府共同支持,杭州市公安局和余杭区人民政府联合主办。
大赛结束后,来自浙江大学、中国电信集团等高等院校、科研机构和企事业单位的行业专家,围绕网络安全产业的发展趋势,以及数字经济时代网络安全新技术、新场景、新挑战以及应对策略进行了主题分享。
浙江大学网络空间安全学院院长任奎,围绕大型语言模型带来的数据安全挑战和可能的应对策略进行了分享。他认为,当前需要解决的主要问题是“数据可用不可见”,要做到“数据不动但模型动”。
任奎院长指出,目前大型语言模型发展及其应用涉及资源异构、通信开销大、隐私安全保障难、数据偏见四类问题。从数据安全角度来讲,大模型易遭受投毒、后门和模型/梯度反演攻击。而上述四类问题分别会影响模型的可用性、算法效率、模型鲁棒性、模型的公平型。对此,他提出了纵向联邦学习查分隐私、横向联邦学习个性化差分隐私、机器学习数据遗忘三大研究方向。
中国工程院院士谭建荣也认为,大数据、大模型要转变为人工智能,就要通过数据挖掘形成数据智能。但是要用好数据,前提是安全。
谭院士从更普适的数据安全保护角度给出了建议:“当下首先要做好数据保护,防止未授权用户对数据的获取和使用;其次,要保证数据的完整性,防止数据在生产、存储、使用过程中被篡改;同时,还需要保证数据内容的正确性、可使用性,要解决系统内部数据源和外部数据源的采集、预处理和存储问题、系统流失数据的实时分析和大规模历史数据的离线分析问题,以及多元异构数据的快速复杂关联检测问题。
中国科学院院士冯登国同样阐述了网络安全问题对新技术应用以及战略新兴产业发展的重要性。他指出:“网络空间已经成为经济竞争的新领域。如果要做好工业互联网、做好人工智能的应用以及做好新能源供应链、大数据分析等新型基础设施,就必须要考虑相关的安全问题,从法律法规、管理制度、标准规范、人才队伍建设等方面全面掌握网络空间自主权和主导权。”
正如上述嘉宾所言,当前各行业对大数据、人工智能、云计算、物联网等技术应用的旺盛需求,为网络安全提出了新要求。因此,相较于前两届,本届大赛在赛题设置方面有了较大变化。
除了常规夺旗赛(CTF)、攻防赛(AWD PLUS)、靶场赛,大赛增设了共同防御、人工智能漏洞挖掘赛(RHG)和实景防御赛(RDG)等赛制。为强化参赛选手的网络安全综合防护能力和安全应急处置能力,大赛还融入了数据安全、IPv6、5G、IoT、人工智能安全、工业互联网等数字技术场景。
新增赛制是大赛组委会基于对当前数字经济时代网络安全新形势的研判,根据新场景、新技术和新威胁特别设计的。其目的是使参赛选手更贴近实战,在还原现实业务场景以及网络攻击事件的基础上,检验和提升其利用AI等新型技术手段分析、解决实际问题的能力,同时强化协作意识。
以共同防御为例,大赛还原了基础设施运营单位内部通信网络业务场景,构建了重要单位数据泄露风险消除的任务剧情,并基于此设置了水坑攻击,勒索病毒,数据泄露,供应链漏洞等六个挑战任务。参赛选手一方面需要在面临攻击的情形下,完成威胁发现、漏洞修复、网络配置加固、攻击溯源等任务;另一方面永信至诚在赛事靶场中研发了“共同防御模块”。据悉,该模块是数字风洞产品体系的一个子系统。选手需要通过共同的力量把安全事件消除清零,夯实网络安全“联防联控”基础。
据介绍,协同联防需求在现实中真实存在。各厂商在协同作战过程中,已经建立了一些机制,但并不健全。所以,大赛希望借此机会倡导大家一起探讨未来共同防御平台的建设和合作方式。如果把网络安全比作一个木桶,但凡一块木板不够高度,都会影响整个国家的关键信息基础设施安全。
谈及大赛的宗旨,大赛负责人指出:“‘网鼎杯’本身的意义在于为网络安全人才提供能力检验的平台,搭建从知识、技能学习到实践操作的桥梁。同时,其能为网络安全相关领域的群体创造不同价值。”
具体而言,对于高职院校,大赛可以将其作为评价教学成果的方式,共同探索人才培养的未来方向;对于各大行业,可以将网鼎杯作为人才梯队建设、人才评定和认证的途径。另外,站在各主管单位的角度,大赛行业排名可以衡量全国平均网络安全水平,用以评估不同行业、不同地区的能力差距。
同时,对于永信至诚,承办“网鼎杯”能够反哺其产品迭代、技术研发以及市场拓展。
一方面,比赛为永信至诚提供了实战测试产品、检验技术能力的机会,同时能获得来自行业实践者和科研一线人员的反馈,以不断迭代优化产品。
另一方面,这样的全国性比赛可以增加企业的曝光度和影响力,吸引不同行业的用户关注,为企业创造了寻求合作的窗口。