2019年，受VARA大會(huì)邀請(qǐng)，我在會(huì)上做了關(guān)于工業(yè)互聯(lián)網(wǎng)安全的主題報(bào)告。VARA大會(huì)聚集了網(wǎng)絡(luò)安全領(lǐng)域尤其是漏洞分析領(lǐng)域?qū)W術(shù)界與工業(yè)界的眾多專家學(xué)者。在現(xiàn)場，可以感受到VARA大會(huì)的專業(yè)性、權(quán)威性，我本人也獲益良多。

　　當(dāng)前，網(wǎng)絡(luò)空間漏洞數(shù)量持續(xù)增長，漏洞類型日趨多樣化，眾多事件型漏洞及高危零日漏洞已成為具備強(qiáng)大威懾力的新型網(wǎng)絡(luò)資源。網(wǎng)絡(luò)資源正是美國把“以攻為主”網(wǎng)絡(luò)戰(zhàn)略和作戰(zhàn)理念轉(zhuǎn)化為實(shí)際行動(dòng)的有力支撐。我國是美國等網(wǎng)絡(luò)空間強(qiáng)國實(shí)施網(wǎng)絡(luò)攻擊的首要目標(biāo)，只有將漏洞界定為重要網(wǎng)絡(luò)戰(zhàn)略資源，才有可能把握網(wǎng)絡(luò)空間的主動(dòng)權(quán)。

　　為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部三部門于今年7月發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。目前，工業(yè)和信息化部已上線網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)，涵蓋通用網(wǎng)絡(luò)產(chǎn)品安全、工業(yè)控制產(chǎn)品安全、移動(dòng)互聯(lián)網(wǎng)App產(chǎn)品安全、車聯(lián)網(wǎng)產(chǎn)品安全等漏洞專業(yè)庫。

　　漏洞挖掘技術(shù)主要以靜態(tài)分析和動(dòng)態(tài)分析為主，包括模糊測試、符號(hào)執(zhí)行、污點(diǎn)追蹤、數(shù)據(jù)流分析、同源性分析等方法。然而，在工業(yè)領(lǐng)域，存在大量的工業(yè)現(xiàn)場設(shè)備、邊緣終端設(shè)備、工業(yè)通信設(shè)備等，工業(yè)協(xié)議類型多樣、私有協(xié)議難以發(fā)現(xiàn)、設(shè)備固件加密、二進(jìn)制文件難以獲取等諸多問題，都為工業(yè)互聯(lián)網(wǎng)漏洞挖掘能力帶來挑戰(zhàn)。

　　VARA大會(huì)作為我國信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估領(lǐng)域的頂級(jí)盛會(huì)，為推動(dòng)我國漏洞分析與風(fēng)險(xiǎn)評(píng)估理論、方法、技術(shù)和實(shí)踐做出了貢獻(xiàn)，給關(guān)注我國網(wǎng)絡(luò)安全漏洞領(lǐng)域技術(shù)與產(chǎn)業(yè)發(fā)展的研究學(xué)者、產(chǎn)品研發(fā)工程師、安全愛好者等諸多人員帶來一個(gè)非常好的學(xué)習(xí)與交流機(jī)會(huì)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，建議VARA大會(huì)日后的議題可更多關(guān)注工業(yè)互聯(lián)網(wǎng)、（工業(yè)）物聯(lián)網(wǎng)等領(lǐng)域的漏洞挖掘與分析技術(shù)。

　　最后，祝2021世界物聯(lián)網(wǎng)博覽會(huì)信息安全高峰論壇暨第十三屆信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估大會(huì)圓滿召開！

　　深圳市安絡(luò)科技有限公司創(chuàng)始人、CEO；中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)常務(wù)委員；廣東省網(wǎng)絡(luò)空間安全產(chǎn)業(yè)創(chuàng)新聯(lián)合會(huì)法人代表；深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì)副會(huì)長

　　2012年，我參加了第五屆VARA大會(huì)，分享了《非傳統(tǒng)信息安全風(fēng)險(xiǎn)調(diào)查方法》的主題論述。

　　我對(duì)2015年召開的第八屆大會(huì)印象最深。在那一屆大會(huì)上，方興的演講讓我印象深刻。他把威脅情報(bào)講得很透，我深有體會(huì)和同感，完全贊成。那一屆，除了論壇外，還開展了首屆十大杰出CISP評(píng)選活動(dòng)。

　　參加VARA大會(huì)，我可以獲得最新網(wǎng)絡(luò)安全研究成果的一個(gè)重要領(lǐng)域信息，即漏洞與風(fēng)險(xiǎn)領(lǐng)域的發(fā)展趨勢(shì)。

　　VARA大會(huì)的權(quán)威性不僅僅體現(xiàn)在內(nèi)容上，還有參會(huì)的演講嘉賓，主辦方邀請(qǐng)的多是網(wǎng)絡(luò)安全領(lǐng)域研究攻防對(duì)抗前沿技術(shù)的重量級(jí)人物。我認(rèn)為，最重要的是，主辦單位中國信息安全測評(píng)中心的很多做法和理念，領(lǐng)先同行5年以上，是我國網(wǎng)絡(luò)安全領(lǐng)域的前沿風(fēng)向標(biāo)。

　　今后，VARA大會(huì)主辦方應(yīng)該來到改革開放的前沿——深圳特區(qū)，舉辦一次VARA大會(huì)。我代表廣東省網(wǎng)絡(luò)空間安全產(chǎn)業(yè)創(chuàng)新聯(lián)合會(huì)和深圳市網(wǎng)絡(luò)與信息安全協(xié)會(huì)，誠摯發(fā)出提議和邀請(qǐng)，并愿意做好會(huì)議保障工作。我希望，看到更多高水平的白帽子黑客參加會(huì)議并發(fā)言。我也可以幫助邀請(qǐng)部分高手參加。

　　最后，祝第十三屆信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估大會(huì)圓滿召開！