360邱召强:为什么「安全」是推动AI发展的基石?丨AI安防峰会
2020年9月5日,由雷锋网 (公众号:雷锋网) & AI掘金志主办的「第三届中国人工智能安防峰会」在杭州正式召开。
本届峰会以「洗牌结束,格局重构」为主题,会上代表未来新十年的15家企业,为现场1000余位听众和线上几十万观众,分享迎接安防新十年的经营理念与技术应用方法论。
在峰会上,360城市安全集团副总裁、360视觉科技总经理邱召强带来了题为「 360以安全为基础的AI技术与应用」的精彩演讲!
邱召强表示,当行业在享受技术带来当先进性时,360通常用逆向思维思考:一个新的技术产生的同时会带来哪些安全隐患。
邱召强指出了数字时代的四个特征:第一,一切皆可编程,也造成漏洞无处不在;第二万物均需互联,虚拟世界的操作带来了物理真实世界巨大的灾难;第三大数据驱动业务,数据一旦汇总,安全性难以保证;第四软件定义世界,世界架构在软件之上,脆弱性前所未有。
360在过去15年,总结和打造出了一套云端的安全平台。360安全架构是以安全大脑为核心,六大板块,一个安全大脑,十个安全基础设施,和一个运营的所发,一个专家的团队,一个实战演练机制和一个安全互通的标准。
背靠360城市安全集团,360视觉科技专注于人脸识别产品的开发和应用,打造出以大数据为基础的视觉安全产品,包括了人脸识别门禁、人脸识别通道闸机、人证核验设备等智能终端及针对办公楼宇、酒店、商超、社区、学校,交通枢纽等场景解决方案,构建以安全为核心的智能生态。
360安全赋予了360视觉科技独特的竞争力。针对人脸识别终端设备的安全,对核心库和可执行性文件进行核心加固、对代码加固、对应用程序加固,三重安全加固防护;此外,360视觉科技还独创密钥白盒技术,为人脸识别终端、云平台环境中的数据加密及公私钥身份认证,全程密钥无明文。
最后,邱召强展示了360视觉科技人脸识别硬件家族,以及智慧园区、智慧楼宇、社区安全、智慧校园、机场安防、智慧办事大厅等几大行业解决方案。
360城市安全集团副总裁、360视觉科技总经理邱召强
以下是邱召强现场演讲全文,雷锋网作了不改变原意的整理与编辑:
邱召强:大家中午好!
首先,自我介绍一下,我是360城市安全集团副总裁和360视觉科技的总经理。
在上个月5号,360举办了第八届互联网安全大会,在互联网安全大会上,360董事长周鸿袆做了一个关于数字时代安全的新理念和新框架的主题演讲。在这里简单回顾一下。
在我们看来,2020年新基建一些政策的落地,各个行业都快速转型拥抱数字化,加快了数字化的进程。但是新基建的本质就是数字化建设,其主要体现的应用场景也是数字城市和工业互联网。
刚才很多同行也提到,数字城市,就是提高了城市综合治理水平。
在工业互联网,只要提高了制造业和传统的工业信息化的水平,最终都迈入了数字孪生的时代。
在很多行业都在优享技术带来的先进性的时候,我们做安全的公司是比较悲摧的,因为我们一直用逆向的思维思考,一个新的技术在产生的同时会带来哪些安全隐患。
所以,新的时代来临的时候,我们简单总结了四个特征:
第一,一切皆可编程;第二,万物均需互联;第三,大数据驱动业务;第四,软件定义世界。怎么看呢?
一切皆可编程,我们身边从来不缺乏智能终端,从可视化门铃,到扫地机器人,再到车里面的行车记录仪,以及家里孩子的智能手环等等,所有的智能设备都存在着编程。
凡是人编的程序,大概每千行代码里边,总会有4到6个漏洞。这个漏洞恰好又是网络安全的命门,因为很多安全的攻击都是通过漏洞去进行的。
在一个新技术发展过程中,它的漏洞会更多,也会带来很大的危险,我们怎么样守护住这个新的技术呢?要构建一种新的思路和一种新的框架。
万物互联,刚才很多嘉宾也提到,现在一提就是云管端管边,所有设备都要互联,都要形成大数据。在这个过程中,也把网络攻击的指数和战线拉长了,也就造成了单点的防护很难保护整个网络。
例如,在工业网络之中或者在企业网之中,要保证局域网的安全是很难实现整体安全防御的。网络连通以后,5G的打通,模糊了网络的边界和虚拟世界以及现实世界的边界。
我们会发现,物联网打通了虚拟世界和物理世界以后,我们很多的威胁可能是在虚拟世界的操作带来了物理真实世界的巨大的灾难。
例如,无人驾驶汽车,如果它出现了一个安全漏洞,在高速公路上立刻停车,就会造成车毁人亡,这是虚拟世界的一个操作,可能造成现实世界的一个惨案。
大数据驱动业务,车联网、物联网、数字城市很多现在的规划,都是趋于把整个数据集中化和共享化,整个业务体系是大数据,带来的好处无需赘言,我们考虑一下,所有数据一旦汇总了,它的安全性谁来保证?怎么保证?
最后,我们认为将来整个世界都会构架在软件之上,无论是交通、制造业还是工业、金融,所有的产业都最终会跟数据进行挂钩。在跟数据挂钩的同时,包括整个数据、软件,它的脆弱性或者它的威胁也值得我们重视。
前段时间网络上一直在讨论破核的热题,在我们看来,核战争基本上处于一个恐怖的平衡状态,任何一个用核的国家都不敢轻易发动核战争,因为那是毁灭别人也是毁灭自己。
但是网络战恰好形成了一个备胎的转正,是最有可能发生的一种新的战争形态,因为它有战场大、目标大、布局大、信息大、手法大等等特点。
我们发现,很多国家已经开始部署真正自己的网军,把原来军事化的作战排在了其次,而把网络战排到了军事化战争之前。
在数字化时代新的背景下,360怎样才能做到安全的整体防护呢?
在过去15年,360服务了10亿消费者和数千万中小企业的实战,总结和打造出了一套云端的安全平台。
我们以大数据、知识库和安全专家为基础,以我们的沙箱云、分析云、查杀云、漏洞云等组成的部件,形成一个立体的安全防御体系,非常类似于构建了一个网络的预警机和一个反导系统。
在整个体系之内,我们也发挥了巨大的作用,为国家保护了国家级APT组织的攻击,阻止了40多起。也就是说,全国99%的针对中国发动的有组织的、有能力的网络攻击,都是360拦截下来的。
在这个过程中,我们安全的大脑就发挥了很大的作用,基本都是在安全大脑的程度下去完成的应急的调度和应急的反攻击保护。
360的安全架构就是以安全大脑为核心,分为六大板块,即一个安全大脑,十个安全基础设施,一个运营的做法,一个专家的团队,一套实战演练机制和一套安全互通的标准。
我们认为将来的安全,绝对不是一个静态的,因为如果把网络安全比作一种战场,我们在战场上就不能够简单地关注一个IT设备的安全,而是要构建一个整体的安全。
在战略上,我们也要改变,因为原来的网络安全往往是信息化建设的一个附属部分,但是现在在网络战基础上可能要转正,要提到数字化时代基石的高度。
从战术上,我们原来的合规和静态的防护体系,已经很不合时宜了。需要建设一个动态的、整体的、有顶层设计架构的安全防御体系。
从产品上,我们要取代原来不断打补丁的方式。
我们把安全比作战争,从各种战略、战术、产品上都做了规划以后,这时候我们发现安全是时刻在变化的,最终是人与人的对抗,所有的安全是来自于对抗中产生的实际的对抗经验,这跟国家的训练是一样的,如果没有军事演习和红蓝军的对抗,怎么提升作战能力呢?
网络安全也是一样,所以,360的城市安全大脑就是在训练、对抗和实战过程中来保证安全体系的建设。
我们做安全大脑已经6、7年,它已经是在非常成熟的运作过程中了。
我们现在把这套安全大脑、安全的新架构想赋予我们的城市、企业、行业的客户,我们正在给我们的客户建立一套整体的安防新的架构思路,让客户自己就能够知道现在有什么样的漏洞,可能会受到什么样的攻击,受到攻击以后怎样快速的应急和反应。
这是一套整体的安全能力,如果在整个过程中发现很多的攻击病毒库,说明你的能力并不是很全面,这时候跟360安全大脑直接进行联动,形成整体的类似于国家反导系统,上面有城市360安全大脑,下面有若干企业级和城市级,包括行业级分布的安全大脑,形成整个的作战体系。
因为我们一直强调,所有的智能化,包括所有的数字化,一定要以安全为基础,如果不能够做到安全,我们不如不要去实现智能化。
大家可以想象,原来的攻击,如果数据是割裂的,或者没有实现智能,可能还不会造成这么大的威胁。
同时,360想把整体安全策略赋予到部分的产品之中。
所以,成立了城市安全集团,360视觉科技就是城市安全集团下属的一个公司,专注于人脸识别产品的开发和应用。
我们主打的就是把360多年的安全能力,无论是在终端的、平台的、通讯的,还是在实战过程中安全的能力,赋予在整个AI产品和解决方案之上。
我们认为,安全是AI的基石,而不是简单的应用或者是某一个算法。所以,360布局AI产业比较早,在2015年就成立了AI研究院,致力于做一些算法和一些研究。
我从三个不同的维度去分析一下AI:
首先,在政府方面是积极鼓励的,这几年不断推出很多人工智能的制度、政策,使人工智能行业能够得到快速的发展。
同时,政府也发现了数据的安全和隐私的重要性,不断的作出一些安全的规范要求,包括2020《中华人民共和国数据安全法》、《信息安全技术个人信息安全规范》等等的出台。
从商家的角度,因为我本人是从15年进入到人脸识别AI产业,那时候做的公司比较少,前段时间我看到一个文章,现在做人工智能的公司大概有2万家,人工智能产业入门门槛越来越低了。同时也是受到资本的追捧,前几年融资确实比较容易。
因为AI可以跟客户谈很多新的概念,所以,抢占风口也造成了行业的野蛮生长,良莠不齐。
我们做人脸识别的或者做AI的都会发现产品有很多同质化,大家基本去拼低价、抢占市场,会忽略很多安全意识。
我之前在做人脸识别的时候,当客户问到你们怎么保证我的数据安全,通常做产品的人或者做销售的人会回复客户,我这个产品部署到你的网络里面,如果你的网络崩塌了跟我有什么关系?这完全是推卸责任,也就是我的公司大门被强力破解,那个保险柜一定就会被打开吗?
在做AI的过程中,我们发现没有太多的公司或者商家会为客户的数据或者隐私考虑,基本上谈的是我们整个的算法,整个的识别率,整体价格怎么便宜,我觉得这是不负责任的。
从用户的角度,一个技术的发展过程,肯定是由野蛮生长期到落地成熟期,用户也从什么都不懂到不断提高自己的知识结构。
用户在这个过程中,对于AI的便捷和体系的改变是认同的,但是用户也担心安全的问题。
上半年在江苏,有一个社区装人脸识别系统,社区居民集体反抗,提出谁来保护我的隐私,而且闹到了国家级媒体。所以用户已经在注重自己的隐私和数据安全问题。
这是360实验室做的一个简单的攻防实验,现在播放的是人脸识别的一个设备,通过FTP漏洞,快速编写一个脚本,可以把里面人员的照片、身份证、姓名等很多信息全部能够拿到。
在传输过程中或者在设备里面,这不是360的白帽子,也不是黑客,这是一个普通的安全工程师就可以做到。也就是根本没有做安全防护的概念,而是处于裸奔状态,所以根本不存在技术难度。
这是另外一个实验,拿黑白照片打印出来,都可以过。这种设备在市场上广泛流行。是对AI的不负责任还是对用户的不负责任呢?我觉得这整个是害群之马,把整个产业搅的很乱。
这是360开发的人脸识别软件,我们有36种安全的防伪技术。
360做人脸识别步入AI,首先是所有的产品、所有的平台,全部在360安全大脑防护体系之内。
将来的数字时代,安全是动态的,而不是静态的,不是你今年做到了什么或者明年做到了什么,而是能够持续对它的安全进行加固和安全能力进行构建,是一个动态的机制。
我们的360的人脸识别、平台,都是在360安全大脑赋能的情况下持续提升安全性。
我们曾经跟客户讲,360在安全行业不算是全球第一,至少是东半球第一,我们有攻防实验室和研究院不断的升级改造,能够确保使用我的设备、数据包括终端,在五年之内不太可能被其他的黑客所攻击进去。
但是10年的保证期限是不太可能的,因为任何一个技术攻击有一个时间段问题,但是能保证在5年之内黑客攻击不进去,拿不走数据。
另外,除了在360安全大脑的防护之内,设备本身也做了很多安全防护。
我们在终端里面,对我们的核心库和可执行性文件都做了核心加固,降低了设备可执行性文件的反编译,包括它的漏洞,防止了被别人发现和被别人利用的风险。
同时,在执行过程中对代码和对所有应用进行加密。
无论是我们的接口,还是在上面构建的应用平台,包括API等等,都做了很多应用的加固。
另外,我们全程都采用了密钥方式,无论是在设备里面的运行程序,还是运行程序硬件与软件交互过程中,包括计算模型和算法都做了加密,同时,在传输给平台的时候也做了数据的加密。
这个是采用了360独有的加密白盒,现在90%的政府和银行都在用这个加密的白盒技术,这是360独有的一套安全加密技术,能够确保在本机内和在传输过程中,都受到了安全加密传输的保护。
同时,做加密过程中,这个加密的密钥是不是能够被破解?我们的密钥生成是在360安全环境下生成的安全密钥,再把它放到业务系统里面,也就是能够确保加密密钥本身安全性,因为它是在安全环境下生成的。
这是360视觉推出的一系列产品。
刚才也有友商提到测温,北京测量研究院对我们进行了测量,室外测量误差在0.2度,室内测温误差在0.1度,测量研究院认为我们的产品是当前测试效果最好的一款。
这是我们做的软件平台。有公有云的,也有私有云的,有移动端的,也有访客的小程序等等。
同时,我们的设备也对接了北京的健康宝,现在我们只需要人证合一扫脸,直接调出健康宝,一次性就结束,不需要再进行人体测温,再扫健康码,我们叫客户更方便、更省事、更安全。
同时,360的人脸识别结合了语音、语义识别,对着我的设备直接进行呼叫,就可以实现端与端和端与APP之间的视频互动、通话。
如果端和APP没有响应怎么办呢?3秒钟之后自动切换到你的手机或者手机号码,你接听电话以后按1直接开门。这是结合了语音、识别的方法,在写字楼、社区、园区,都可以广泛应用。
我们致力于打造一个被集成化最标准的一个人脸识别硬件终端和平台,所以我们的平台和终端免费做了很多标准的API的开放,我们也致力于打造整个生态系统,在开放了硬件和软件平台之后,可以集成更多的合作伙伴的各种应用、各种硬件。
现在我们已经对接了70多个软件系统和40多个硬件产品,包括打印机、刷脸就餐终端等等。
这是我们基本的功能,设备管理、人员管理、通性管理、媒体管理、考勤管理、访客管理。
至于业务逻辑,需要在360生态里面把合作伙伴应用系统进行整合。360做这个合作伙伴的生态不一样的,是对我们的合作伙伴应用程序、应用系统、平台也要进行安全的加固和检测。
我们要把它的应用系统放到360攻防实验室里面做软件的攻防、漏洞的扫描和真实的攻击。要确保合作伙伴的应用系统也是安全的,再加上360的安全终端和人脸识别系统,给客户提供一整套安全解决方案。
最后快速分析几个案例。
这是园区的案例,主要是把好三道门,管好四类人,这是真实的现场情况。
这是写字楼的一个方案,我们有物业方、企业方、访客方,通过人脸访客登记,通过预约等等,通过人脸识别进闸机等等。
这是我们的智慧社区,360在全国做了2万多个社区,主要是以人和房的网格大数据来做基础,也是目前在业界内唯一跟110报警指挥中心直接进行联动的。
这是智慧校园,直接把人脸设备部署到实验室、写字楼、宿舍和教学楼里面,取代原来的校园一卡通,我们要打造校园一脸通。
这是在机场,在机场外部可以部署动态的人脸识别,加上在进机场的时候的安检,和这些安检系统打通,实现快速安检和刷脸登机,最后工作人员的通道都可以用这个人脸识别。
这是智慧大厅,我们把智慧大厅的人证核验办公,包括动态抓拍形成了一个整体解决方案。
这是我们部分的成功案例,360视觉在人脸识别行业算是新军,我们现在也在快速的布局整个产业和合作伙伴体系。
希望有机会跟各位进行合作,强强联合。谢谢各位。 雷锋网雷锋网雷锋网
。