中国信息安全：十大院士揭幕BCS 2019 齐向东致力倡建“内生安全”体系

导言：网安同期声，是安在为中国网络安全新媒体联盟专设栏目，上周网安要闻，各家媒体巡演，技管财政大全，笑看行业发展。

目录

1.安在：让“畅想”变成现实，深信服做到了

2.一本黑：洗钱平台还是被迫背锅？数千人在YY被骗，平台有罪否？

3.FreeBuf：以某家用摄像头测评入手谈物联网智能家居安全

4.中国信息安全：十大院士揭幕BCS 2019 齐向东致力倡建“内生安全”体系

5.E安全：无间道？研究人员发现“黑吃黑”僵尸网络

6.看雪学院：密码学基础：AES加密算法

7.网安视界：聚焦！第七届互联网安全大会今日在北京开幕，全球专家共议大安全

8.游侠安全网：网络黑客开始看上机器人？机器人被入侵会怎么样？

持续将年收入的20%投入到研发，研发人员比例超过35%，成立“国家地方联合工程实验室”，以及特奖高达百万的内部创新激励机制...这些措施无一不在昭示着深信服在研发和创新上的重视程度。

敢想敢做，是深信服领先于人的自信；创新实力，则是深信服厚积薄发的底气。在8月16日深信服联合IDC举办的以“畅想”为题的2019深信服创新大会上，深信服CEO何朝曦分享了深信服创新的法门：“让畅想成为现实，靠的是不断的创新，深信服创新的背后是一整套完整的理念，在战略层面，组织需要有清晰的使命与愿景、独特的技术洞见，围绕一个目标坚持努力，而创新的抓手便是产品服务、商业模式、运作机制、销售通路的持续完善，同时围绕组织流程文化、工作方法与经费投入建立创新的支撑机制，进而推动组织由内而外的系统创新。”

会上，深信服还联合IDC隆重发布了《面向未来 有效保护 护航企业数字化转型白皮书》及《软件定义加速数字化转型之路白皮书》，分别从安全与IT基础设施两个层面，阐述了如何利用安全与软件定义创新技术驱动数字化转型。

《面向未来有效保护 护航企业数字化转型白皮书》指出，在数字化时代，攻击考验无处不在、恶意软件和“零日”漏洞数量持续攀升，网络安全法、等保2.0等法律法规也带来了巨大的合规性压力，企业需要基于威胁情报与分析，构建数字化转型平台上的主动防御体系。

风险是安全建设的驱动力，未来的安全建设将长期受到合规、安全事件、业务建设的影响，同时，安全建设的理念也在不断发生变化，未来的安全将是动态、多维、多场景、全局并重视体验的。

针对企业数字化转型进程中面临的安全风险以及《等保2.0》等政策法规提出的需求，深信服在本次大会上提出智安全架构。为指导用户构建面向未来、有效保护的安全能力，深信服构建了完整的安全建设方法论，包含明确思路、设计模型与完善框架三个部分。

两天前，爆料人小李接到一通电话，对方声称自己是淘宝的“客服”，说小李购买的某品牌衣物存在甲醛超标的问题，根据公司规定需要按照售价给予小李一定金额的赔偿。

后面就很老套了，不仅钱没到手，反倒是支付宝账户分四次被扣掉了近万元。为了拿回被扣的钱，小李在“客服”的指导下，去美团、滴滴、花呗、小米金融等平台借了22000余元的贷款。

等回过神来的时候，小李发现这些钱已经分四十多次都进入这个名叫广州华多网络科技有限公司的账户，名目是充值Y币。

Y币是YY旗下的虚拟货币，1元人民币兑换1Y币，Y币可以用来打赏主播、购买平台游戏或其它虚拟商品，可充值，但不能提现。

从百度检索到最早的关于利用YY平台，以刷单为由实施诈骗的事件发生在2014年。也就是说利用YY实施诈骗，由来已久。诈骗犯将骗来的钱通过充值Y币和购买虚拟产品的形式充值到YY，再经过某些渠道，以低价卖出，换成人民币。

这类行为也被称作Y币套现。

在这场骗局中，承受最多骂声的除了骗子，当属YY。理由是，“虽然诈骗是个人行为，但是钱最终进了平台，平台能够抽成，所以平台是诈骗的保护伞；YY的纵容导致诈骗屡禁不止。”

在这场骗局之中，YY的确不存在明显的过错。但是YY的态度不得不让人质疑，作为一家上市公司，你的价值观到底是什么？你是否真的有措施保障用户的权益？

随着技术的发展、步入5G时代万物互联，物联网应用渗透到工作和生活的方方面面。智能摄像头作为身份认证和安防等重要环节，在智能家居、汽车、无人机、机器人、AR 等已有广泛使用。同时，有不法分子利用一些智能摄像头存在的安全漏洞，窥视他人家庭隐私生活，录制后在网上公开贩卖。

从“水滴直播”到“失控的摄像头”，智能摄像头的安全问题层出不穷，也越来越受到人们的关注。本文从最近拿到的一款家用智能摄像头入手，结合安全测评过程发现的部分安全问题，简要分析目前智能家居的安全架构。

目前IoT安全建模基本都围绕上述“端-管-云”架构展开，另外在智能家居场景下，智能家庭网关作为其中重要的一个中枢，智能家庭网关安全也是一个重要的分支。

智能家庭网关作为连接公网与家庭局域网的枢纽,承担着家庭内部对云端的访问和交互、远程操控用户通过云端对家庭网络的访问和控制,以及家庭内部设备的互联、互控等操作。智能家庭网关是智慧家庭的“中枢神经系统”,通过智能网关可以实现信息采集、信息输入、信息输出、集中控制、远程操作联动操控等功能。

智能家庭网关除了面临着与智能家居终端同样的安全风险，还有网络接入带来的入侵风险，网络恶意流量带来的安全风险等。

8月21日，2019北京网络安全大会（简称BCS 2019）在北京国家会议中心开幕。大会主办方力图将本次大会打造成为网络安全行业的“达沃斯”：共有20位两院院士，与来自30多个国家、70多所全球知名院校、机构和企业的400多位国内外安全领袖齐聚，聚焦全球网络风险应对策略，探讨网络安全前沿技术，呼吁构建网络内生安全体系，实现组织安全能力的“自生长”。

本次大会主题为“聚合应变，内生安全”。BCS 2019将展开为期3天的讨论，举行3场国际峰会、40场安全行业高端论坛、500多个主题演讲、9大安全行业顶级独立品牌活动、6000平米专业展区，内容涵盖网络安全国际合作、政策法规、产业发展、新兴技术、建设及解决方案，以及网络安全人才培养、创新创业、网络空间治理等几乎所有热门网络安全话题。

大会联席主席、奇安信集团董事长齐向东呼吁构建全新的“内生安全”体系。他指出，从互联网时代跨入物联网时代，网络安全开始进化至“内生安全”。“内生安全”要求未来的信息化系统具备自适应、自主、自生长的内生安全能力。这种能力均源于聚合：信息化系统和安全系统的聚合，产生自适应安全能力；业务数据和安全数据的聚合，产生自主安全能力；IT人才和安全人才的聚合。三大聚合完成后，组织将产生不断从内生长的安全能力，这是5G时代安全体系构建的终极目标。

据介绍，BCS 2019是由中国电子信息产业集团有限公司指导，中国互联网协会、中国网络空间安全协会、中国通信学会、中国友谊促进会和奇安信集团主办的安全行业国际级峰会。会议采用联合办会新模式，同期由部委央企主办13个论坛，更将CSA云安全联盟峰会、In For See网络安全研究国际学术论坛、观潮网络空间论坛、首届网络空间可信任技术创新论坛等国际论坛引入，涵盖5G、物联网、大数据、人工智能、云安全、工业互联网安全运营、人才培养等领域的最前沿讯息。

据外媒报道，近日，Positive Technologies的研究人员发现了一种极为稀有的僵尸网络。该僵尸网络由使用Neutrino木马的黑客组建，专门攻击已被其他黑客留下后门的服务器。攻击成功后，黑客会使用这些服务器挖掘加密货币。

Positive Technologies称，与其他僵尸网络类似，Neutrino僵尸网络会搜索并感染特定应用程序和服务器。该僵尸网络使用了多种技术，如搜索不设防的phpMyAdmin服务器，以及强行进入系统根帐户。

然而，不同于其他僵尸网络，Neutrio僵尸网络专注于劫持其他恶意软件所创造的WebShell. 据悉，Webshell是一种可通过网页界面操纵的后门脚本，多用在针对服务器的攻击中。

Positive Technologies表示，使用Neutrino的黑客一直在搜索各种Webshell。在发现目标后，该黑客会发起蛮力攻击（brute-forceattacks），以接管被该WebShell控制的服务器。据悉，多数黑客在感染目标设备后会建立起防御措施，以防其他黑客染指。因此，Neutrino木马僵尸网络的例子实属罕见。

AES的全称是Advanced Encryption Standard，意思是高级加密标准。它的出现主要是为了取代DES加密算法的，因为我们都知道DES算法的密钥长度是56Bit，因此算法的理论安全强度是2的56次方。

但二十世纪中后期正是计算机飞速发展的阶段，元器件制造工艺的进步使得计算机的处理能力越来越强，虽然出现了3DES的加密方法，但由于它的加密时间是DES算法的3倍多，64Bit的分组大小相对较小，所以还是不能满足人们对安全性的要求。

于是1997年1月2号，美国国家标准技术研究所宣布希望征集高级加密标准，用以取代DES。AES也得到了全世界很多密码工作者的响应，先后有很多人提交了自己设计的算法。

最终有5个候选算法进入最后一轮：Rijndael，Serpent，Twofish，RC6和MARS。最终经过安全性分析、软硬件性能评估等严格的步骤，Rijndael算法获胜。

在密码标准征集中，所有AES候选提交方案都必须满足以下标准：

分组大小为128位的分组密码。

必须支持三种密码标准：128位、192位和256位。

比提交的其他算法更安全。

在软件和硬件实现上都很高效。

AES密码与分组密码Rijndael基本上完全一致，Rijndael分组大小和密钥大小都可以为128位、192位和256位。然而AES只要求分组大小为128位，因此只有分组长度为128Bit的Rijndael才称为AES算法。

本文只对分组大小128位，密钥长度也为128位的Rijndael算法进行分析。密钥长度为192位和256位的处理方式和128位的处理方式类似，只不过密钥长度每增加64位，算法的循环次数就增加2轮，128位循环10轮、192位循环12轮、256位循环14轮。

随着万物互联、人工智能、5G等新技术的发展，网络空间与现实空间的边界不断融合消失，网络安全已经关系到国家安全，城市安全，基础设施安全和个人安全等各个方面，打造大安全生态，为我国的经济发展和社会稳定保驾护航，成为中国网络安全行业的共识。

8月19日，主题为“应对网络战、共建大生态、同筑大安全”的第七届互联网安全大会在北京雁栖湖国际会展中心隆重开幕，来自国内外的百余位专家共同讨论全球网络安全的最新形势，从战略、产业和技术等多个层面，探讨网络战时代的安全挑战与应对之道。

第七届互联网安全大会，吸引了近百家网络安全企业参展，带来了在网络安全多个细分领域的最新研究成果。大会期间还将举办20多场技术分论坛，探讨网络安全领域的多个重点议题，包括行业政策与法规，工业互联网安全、城市安全、5G安全、漏洞挖掘、网络安全人才培养等等。本次大会为推广网络安全理念，加强国际交流与合作做出了显著贡献，互联网安全大会本身也成为中国网络安全产业的风向标。

如果有人攻击了机器人呢？

网络安全公司Trend Micro曾调查发现，部分知名工厂机器人的网络安全机制也非常薄弱，一些用的则是非常简单的用户名和密码并且还无法进行更改，一些甚至连密码都没有。几年前，一家名为IOActive的安全公司也强调了黑客可以如何利用某些协作机器人的软件做一些事，而上万台机器人使用的IP地址都是公开的，这显然加大了遭黑客攻破的风险。

工厂操作工和程序员通过远程连接技术管理机器人、通过电脑或手机向机器人发送指令，而如果这时连接无法保证安全的话，那么黑客将能劫持机器人，这样他们就能随意更改操作进而导致产品出现缺陷或损坏的情况。

值得注意的是，所有这些攻击都要求黑客能够访问机器人控制器，保护控制器是保持机器人安全的主要关键之一。

以下是他们发现的五种攻击及其影响：

1.改变控制器参数

黑客可以对机器人的控制参数进行细微的更改。这可以巧妙地以几乎检测不到但改变产品完整性的方式改变机器人的路径。

影响：产品有缺陷或改良

2.篡改校准参数

黑客可能会更改机器人的校准参数，导致其意外移动或偏离其预定路径。

影响：对机器人造成伤害和/或对人体造成伤害。

3.篡改生产逻辑

黑客可能会以小而且几乎察觉不到的方式改变机器人程序，从而将缺陷引入产品并干扰生产线。

影响：产品有缺陷或改良。

4.改变机器人状态

黑客可以将机器人的状态更改为不安全的状态。正如IOActive在2017年所展示的那样，黑客有可能以一种对用户几乎检测不到的方式覆盖协作机器人的安全限制。

影响：对人类的伤害。

5.改变用户感知的机器人状态

一个黑客可以使机器人看起来像是在一个状态，而实际上它在另一个状态，以便它周围的人不知道它实际处于什么状态。例如，控制器可以显示机器人被关闭，而它真的是在未设置安全限制的情况下运行。