总结在2022年期间,我们山石网科安全技术研究院逐步减少了在国内外的安全竞赛方面的活动参与度,把更多的精力转向于信息安全学术研究以及各个方向的底层漏洞挖掘研究工作,同时也加强了与全球信息安全组织的合作关系,另外在自研产品安全漏洞、信息安全专利申请、各类外部原创漏洞、原创安全技术文章等方面都有比往年增加了几倍的产出。
在这里我们去掉了一些不方便公开的工作内容之外,简要的回顾了一些可以面向公众的工作成果。我们也希望在2023年里能与更多的部门、客户、单位、安全组织和独立研究人员开展多方面多领域的深入交流合作。一、参编或翻译的文档
山石安研院参与翻译的《如何设计安全的无服务器架构》,报告全面概括了无服务器平台的不同威胁,重点关注无服务器平台面临的应用程序所有者风险,聚焦于最佳实践和建议,并提供了适当的安全控制建议。其提出的基于无服务器的安全计算执行模型,对指导应用程序所有者如何采用无服务器架构具有极好的参考价值。
2022年4月,山石安研院参与翻译的《软件定义边界(SDP)标准规范2.0》。与1.0版本相比,SDP标准2.0主要更新:SDP概念及其与零信任的关系、SDP架构及部署模型细化、加载和访问流程、新的SPA消息格式、SDP通信协议的安全改进、对于物联网设备的支持。
山石安研院参与审校的《企业架构参考指南》是国外大型企业实践经验的总结凝练,汇编了现有的企业架构定义,是一个与时俱进的参考指南。指南对企业架构建设、优化和运营实践的指导意义在于吸收了TOGAF、ITIL、SABSA、Jericho、NIST SP 500-299、 NIST SP 500-292、ISO 27001、ISO 27002等系列框架理论的精要,从而使得在云大物移环境下,企业架构的高效搭建与运行既拥有了理论框架,又有了可查找的实践行动。
云计算开源产业联盟启动的《勒索软件发展报告(2022年)》的编制工作,80页、三万五千字长文报告在撰写过程中,得到了山石安研院的大力支持,报告旨在通过对勒索软件发展情况、主要特点、攻击现状、发展态势以及防护体系建设、未来发展展望等多个方面进行梳理、总结和分析,帮助企业正确认识勒索软件,合理高效地防范勒索软件攻击,增强产业界信心。
2020年1月,微软宣布停止对 Windows 7 操作系统的更新服务,同时不再提供针对其的技术支持、软件更新、漏洞修复等,而目前 Windows 7 操作系统在我国企事业单位存量极大。为积极预防相关风险,保障资产安全。全国信息化标准委员会于5月26日正式发布了由山石安研院参编的《网络安全标准实践指南——Windows 7 操作系统安全加固指引》。二、部分参编的安全标准
2022年9月22日,经中国消费品质量安全促进会(以下简称 “中消会”)批准,山石安研院参编的T/CPQS E00037—2022《网联消费电器信息安全通用技术要求》、T/CPQS E00038—2022《网联消费电器信息安全测评要求 智能摄像头》两项团体标准正式发布。三、部分可公开的感谢信
2022年期间山石积极参与了信创政务产品安全漏洞专业库的技术支撑工作当中,发现了多个重要的信创软硬件产品安全漏洞。在国家工业信息安全发展研究中心工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞库漏洞研判工作中提供了有力的技术支撑,在推进我国信创领域安全体系建设发挥了重要作用。这里特别感谢来自山石网科安研院的*俊杰、*李恒、*俊、*秦富、*志权、*正涵、*桂铅等研究员为信创安全所做的贡献。
粤盾2022广东省数字政府网络安全实战攻防演练活动,山石安研院选派了*海洪、*桂铅、*仕廷三名骨干技术人员参加了本次演练活动,为全面检验我省政务网络安全状况、提升网络安全意识及应急处置能力做出了重要贡献。
11月19日,首届“五象云谷杯”云数据安全实战大赛在广西南宁五象云谷云计算中心产业园隆重开幕。广西壮族自治区党委网信办主任韦凤云出席大赛开幕式,来自广西壮族自治区的有关政府部门、南宁市有关政府部门以及全国网络科技企业代表莅临活动现场参加开幕式。山石网科对本次赛事进行全方位支持,并与五象云谷组成防守队,接受攻防对抗的检验,山石安研院新老两位院长作为特邀嘉宾发布助阵视频。
四、漏洞库支撑证书
由山石安研院信创安全实验室专门对接的信创政府产品安全漏洞专业库,成功通过了考核期以及遴选答辩,并开展了支撑工作,获得上面国家工业信息安全发展研究中心的感谢信。
由山石安研院工控安全实验室专门对接的国家工业信息安全漏洞库,成功通过了考核期以及遴选答辩,并开展了支撑工作,提交了多个工控系统、工业互联网系统的原创漏洞。
2022年9月,山石网科成为UOS主动安全防护计划(UAPP)成员单位,通过加入UAPP计划,由山石安研院信创安全实验室将对接统信SRC平台漏洞挖掘工作,共筑“数字新基建”安全底座。五、研究人员受聘与荣誉证书
山石安研院研究员获得云安全联盟大中华区研究专家证书
山石安研院研究员被选举为CCF计算机安全专业委员会执行委员
山石安研院研究员受聘于数据安全共同体计划专家
山石安研院研究员受聘于重庆信息安全产业技术创新联盟第二届专家委员会专家
按照《关于征集增补深圳市网络与信息安全行业协会专家委员会委员的公告》的要求,经申报资料审核筛选,决定聘任央企、省市国企、知名民企及网络安全行业企业的24名人员为深圳市网络与信息安全行业协会专家委员会委员。
山石研究员获得CISP讲师资质,也是山石的首位CISP讲师
山石研究员获得EXIN的DPO数据保护官(PDPF+PDPP+27001)认证
在一年一度的“BlackHat USA 2022大会”上微软发布最具价值白帽黑客榜(MVRs,原MSRC TOP 100),表彰为微软系统、软件安全及生态系统做出杰出贡献的全球安全专家。三位来自山石安全技术研究院的安全研究员:Zhang WangJunJie、He YiSheng、Li WenYue再次荣耀入选该榜单。在8月10号晚上,微软也会为这些安全研究人员举办庆祝晚会,庆祝他们在一年中所取得的杰出成就。
山石网科安全研究员上榜2022年微软最具价值安全研究员榜单
山石网科安全研究员受邀参加微软安全研究员庆祝晚会
六、公司内外部活动
2022年网络安全金帽子年度评选活动参与厂商和投票数量比往届同期增长25%,经过认真的核验之后,22年网络安全“金帽子”年度评选活动各评选项目重磅出炉。其中山石网科安全技术研究院从众多友商的同类部门之中脱颖而出,再次获得年度杰出安全实验室的评选。
由山石安研院智能安全实验室独家原创供稿的山石《岩谈》第九期-2022年12月(物联网安全专刊)发布,本期精华满满,从硬件安全、固件安全、通信安全、移动安全、WEB应用和车联安全等方向详细剖析了物联网安全的方方面面,是一本值得珍藏的干货月刊,纸质版可在岩选上下单。
2022年期间我们举办的重点活动有一会一赛二令营,分别面向于社会大众、渠道伙伴、各行业客户、高校学生等,为不同层次的技术爱好者、安全从业者赋能,分享我们的技术积累与观点,互相交流,共同进步。