BCS2024 │ 互联网创新发展论坛在京召开 共话互联网安全的革新与实践

6月5日，由中国互联网协会指导、奇安信集团主办的BCS2024互联网创新发展论坛在北京国家会议中心举办。

中国互联网协会副理事长兼常务副秘书长陈家春在致辞中强调，今年是我国全功能接入国际互联网30周年，我国互联网事业已经取得历史性成就，探索走出了一条中国特色的互联网发展道路。如今，在阔步迈向网络强国的过程中，要特别提升安全防护水平，加快提升关键基础设施和大型网络平台的安全防护能力，深入开展数据分类分级保护、重要数据全生命周期的安全管理，加快车联网、人工智能等新兴领域安全建设，持续强化网民权益保护，营造安全有序的网络环境。

京东集团基础安全负责人Dustin从漏洞、反入侵角度分享了海量资产下的供给面管理方法论。Dustin介绍到，在整个京东安全防御体系中，基础安全是以漏洞为核心的反入侵，这里的漏洞分为通用漏洞、配置漏送、意识漏洞。为在海量资产且人力有限的情况下去应对这三个挑战，京东利用的是攻击面管理的方式，将漏洞验证的技术融合在攻击面的发现、评估、验证过程中。未来，京东将从掌握更全的资产及资产标签、更快的漏洞情报及风险评估入手，同时利用大模型应用提升资产标签、资产匹配、漏洞分析等方面的能力。

百度研发安全负责人陈长林分享了百度智能代码助手Baidu Comate的安全实践。生成式AI正在为软件研发领域带来了前所未有的机遇，大模型的理解、生成、逻辑、记忆能力同软件研发领域相结合，不仅大幅提升代码的开发质量和效率，而且让研发安全转化为切实的交付结果。围绕 “AI+需求”、“AI+编码”、“AI+测试发布”的三大关键流程，陈长林分享了Baidu Comate基于文心大模型，在企业内部推进“安全左移”的实践经验。Comate不仅能够帮助工程师进行研发提效，还能够帮助工程师发现并快速解决安全问题，让业务代码更加安全。同时通过安全增强模式、数据脱敏保护机制，让Comate产品本身更加安全可靠，让用户用的更放心。

蚂蚁集团资深安全算法专家仲震宇在《DKCF大模型应用可信框架》演讲中介绍了集团安全在大模型应用可信方向的建设工作。作为应用可信框架的组成部分，DKCF指数据、知识、协作、反馈。K是指专业的知识工程，行业数据集需要跟专业知识图谱对接；C是指协同规划和编排，人力专家以及AI专家的决策将融合演进到整个大模型的应用中；F是指高效核验及反馈，目的是让我们推理白盒化、决策可验证，保证知识的高效迭代，最终实现认知可信、决策可信和协同可信。仲震宇强调，以上建设工作是在集团NbSP和OVTP的安全范式指引下进行的，确保安全底盘，谨防大模型成为新的高危的安全突破问题。

亚马逊云科技大中华区安全与合规服务总监白帆在《用长期主义，做生成式AI时代的安全》分享中表示：不会有一个通用大模型适合所有的业务场景，Amazon Bedrock服务是一个生成式AI的服务，提供众多业界领先的大模型，开发者可以直接调用，也可构建属于自己的生成式AI应用程序。白帆指出，生成式AI真正的差异体现在客户私域数据的应用上，亚马逊云科技做了很多工作确保私域数据的隐私性、安全性。“安全是我们的最高优先级”白帆说，“亚马逊云科技在做生成式AI服务的过程中，始终坚持长期主义，不断对产品进行更新迭代，致力于构建更智能、更安全的生成式AI基础性工具。”

阿里云计算有限公司高级产品专家张阳结合多年实践提出，云环境中任何的网络攻击都会留下痕迹，阿里云以流量为核心进行应对。为了解决阿里云飞天企业版内东西向、南北向的流量安全风险问题，论坛上，阿里云携手奇安信天眼，隆重发布了“云内全流量威胁监测与分析方案”。这一方案，旨在解决云内网络威胁看不见、看不清的痛点，确保云内威胁无所遁形。此次合作是继阿里云推出云平台网络流量可视化产品“银河安全网关”之后，首次与网络安全企业强强联手。张阳表示，未来阿里云将继续拓展与主流安全合作伙伴、网络合作伙伴的协同合作，共同提高客户业务在云平台中的安全保障水平。

知名互联网公司AD安全负责人、《域渗透攻防指南》作者谢兆国(谢公子)向与会者分享了Active Directory（AD）安全建设相关知识。由于AD应用广泛、功能齐全，因此AD也成为网络攻击的首选目标，据微软统计每天有超过9500万的AD账户遭到网络攻击。AD目前面临着包括凭据窃取、横向渗透、服务配置错误、账号权限滥用、勒索软件等威胁。谢公子提出，需要从漏洞层面、配置层面、管理层面、风控层面构建AD安全纵深防御体系予以应对，即在多个层次部署防御策略，有效抵御内外部的威胁，确保组织的线性和业务的连续性。

论坛特邀的黑灰产打击专家丁健琮揭露了新型虚假流量黑产的手法及入罪路径。互联网企业对用户增长/流量投放领域的持续资金投入，吸引了大量黑灰产从事虚假拉新活动，这种虚假流量黑灰产不仅给企业造成了直接的经济损失，由此衍生出来的链条也滋生了其他违法犯罪行为。丁健琮认为，治理虚假流量大概分三步走：第一步，虚假流量情报互通，广告主和广告平台之间搭建黑产情报的互通机制；第二步，通过商业合作的合同约定推动整个行业反作弊技术的升级换代；第三步，通过国家行政和立法层面对流量采买、流量来源平台进行规范化操作。

安永（中国）网络安全与隐私保护咨询高级经理左超在《生成式AI应用背后的数据合规风险与应对》演讲中，着重介绍了人工智能的风险治理建议。左超指出，企业的AI安全和合规关注重点在于数据安全、内容安全、内生安全，以及可解释性问题、伦理问题、版权问题等。数据安全方面，安永特别关注跨境数据的数据保密、数据防泄漏工作。

论坛的最后，奇安信云安全首席架构师鲍坤夫提到在近两年的RSAC创新沙盒十强中，云安全一直是受追捧的热点，RSAC2023有六家产品和云安全相关，RSAC2024有四家产品和云安全相关。未来云安全将出现集成、整合、平台化趋势，智能化、自动化趋势，业务融合和内容安全趋势。CNAPP统一安全平台的功能在不断丰富，出现集成整合DSPM、ASPM、SSPM以及大模型安全的态势。企业整体的安全运行效果在统一入口、策略、风险处理、告警处理之后会有很大的提升。