DT科技评论
Data Technology Review
第 32 期
人民网研究院,阿里云研究中心
本期目录
- 云上零信任模型以及微切分在第三方支付行业数据安全标准(PCI-DSS)中的应用
- ARM推出全新DynamIQ技术
- “电子纹身”可以控制智能设备
- UEC杯围棋大赛中国围棋AI “绝艺” 11连胜夺冠
- 苹果获屏幕形变专利
- 微软向丰田授权专利
- Facebook秘密研发AR等四款硬件设备
- 英特尔成立人工智能产品事业部
- 英特尔加入漏洞赏金游戏奖金最高3万美元
- ERP攻击需要逐步提升关注度
人工智能提示:本周热点科技事件,是阿里云“ET”采用分布式爬虫收集全球海量互联网信息,利用文本挖掘和语义分析解析新闻关键词,使用深度神经网络将新闻分类,汇总而选择最新鲜的科技信息。
1.云上零信任模型以及微切分在第三方支付行业数据安全标准(PCI-DSS)中的应用
新闻链接: http://searchsecurity.techtarget.com/tip/Microsegmentation-strategies-for-smarter-security
【新闻摘要】微切分和零信任区域是软件定义网络中固有的安全策略。越来越多的IT和安全专业人员,会寻求更好的方法来解决虚拟化的安全问题。最近网络细分受到关注,主要是由于支付卡行业数据安全标准的严格要求。来自诸如VMware、Palo Alto Networks和思科等厂商的网络虚拟化技术承诺,通过称为“微切分”的产品帮助解决虚拟化问题。通过建立“零信任”区域,企业可以实施更精细的访问控制:提高网络分段的微切分方法;提高可用性和安全性,这些等同于创建了彼此平行运行的隔离虚拟网络。实际上,创建具有微切分的零信任区域提供了一种使用软件定义的网络来满足当今数据中心的独特挑战的技术。网络微切分方法类似于移动设备中设置将业务数据与个人数据分离的方式。虽然微分段和零信任区并不是新概念,但可以看出,这些概念已经在推动企业的部署势头。
【小云评论】上周我们就提到了FireEYE的报告,其中可以看到目前有一类金融安全问题比较难以解决,一台POS机被入侵之后,第三方支付行业数据安全标准(PCI-DSS)的隔离环境会被彻底打破,其他的POS系统完全暴露在黑客的攻击之下;零信任模型和微切分解决如下问题:(1)增加细粒度控制:对传统的网络节点进行更加细粒度的安全控制,包括进/出PCI-DSS环境的微颗粒控制,这种粒度的控制在传统的路由器和防火墙中是非常难以实现的;(2)自适应配置:如果环境发生变化,PCI-DSS环境中的自定义安全控制依然会保留;(3)简化应急响应流程和减少取证时间:微切分通过网络安全把攻击面限定在一个范围之内,从而避免大规模网络的取证和应急响应。
2.ARM推出全新DynamIQ技术
新闻链接: https://mp.weixin.qq.com/s/4AOL4PPgw8Y3nzwj9PMR-w
【新闻摘要】作为未来ARM Cortex-A系列处理器的基础,DynamIQ技术代表了多核处理设计行业的转折点,其灵活多样性将重新定义更多类别设备的多核体验,覆盖从端到云的安全、通用平台。DynamIQ技术将被广泛应用于汽车、家庭以及各种互联设备,这些设备所产生的以泽字节(ZB,一泽字节大约等于1万亿GB)为计算单位的数据会在云端或设备端被用于机器学习,以实现更先进的人工智能,从而带来更自然、更直观的用户体验。
【小云评论】万物互联碰上人工智能,带来了无所不在的智能。无论是云上大规模计算产生的智能还是设备端上海量数据计算产生的智能,无所不在的智能需要的是无所不在的计算和灵活、高效的“智能”计算。DynamIQ的核心设计理念是“根据不同的任务选择最合适的处理器”的方式来推动高效、智能的多核计算创新。“智能”地支持异构计算和各种具有人工智能的设备,并在计算能力规划、计算速度和响应速度的优化、性价比的提升上都为人工智能技术的应用找到更多的空间。
3.“电子纹身”可以控制智能设备
新闻链接: https://mp.weixin.qq.com/s/P66CP_94EcSCKdr_x6grgw
【新闻摘要】Martin Weigel是德国萨尔布吕肯市萨尔大学的一名研究员,他和萨尔大学及Google的同行们合作开发了一款非永久性超薄电子纹身产品,该产品的作用如同触摸感应按钮。他们使用导电油墨在临时纹身纸上打印好电线和电极,再利用水使之转移到皮肤上,纸的厚度比人的头发丝直径还薄。这种纹身(他们称之为皮肤标记“SkinMarks”)可以在皮肤上保持数天。据团队成员Jürgen Steimle介绍,考虑到皮肤有很好的弹性以及弯曲和拉伸性能,我们在电子纹身上集成了多条命令,使之能响应皮肤表面复杂的变化。
【小云评论】传统认识上,可穿戴设备即直接穿在身上或是整合到用户衣服及配件的一种便携式设备。目前,可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。令我们惊喜的是,今天的技术进步,不仅体现人工智能技术带来的智能化产品和服务,硬件设备本身也在发生大的变化,可穿戴设备的概念已经在尝试移出“可穿戴”的范围,扩展到与人体的结合,甚至变成人体的一部分。感应与屏幕相分离、控制与显示相分离,这些给我们带来与众不同的消费体验的同时,也使得智能设备提供的功能更具备个性化和更适用的载体。也许,触摸感应纹身技术离主流应用还有很大的距离,但是今天科技突破的速度,让我们对硬件设备的未来持乐观态度。
4.UEC杯围棋大赛中国围棋AI “绝艺” 11连胜夺冠
新闻链接: http://www.cnbeta.com/articles/tech/594191.htm
【新闻摘要】3月19日,在第10届UEC杯世界计算机围棋赛决赛中,由腾讯AI Lab(腾讯人工智能实验室)研发的围棋人工智能程序“绝艺”(Fine Art)击败日本开发的“DeepZenGo”(天顶),以11战全胜的战绩夺冠。
【小云评论】2016年3月,谷歌“阿法狗”碾压围棋冠军李世石,带来的不仅是对围棋界的震撼,更多的是对人工智能时代的欢呼和拥抱,但是,这并不意味人工智能时代的完全到来。“阿法狗”是弱人工智能的成功代表,而强人工智能(通用人工智能)的道路还有很多的突破要做。今天更多的科技企业希望借围棋人工智能的研究,推动人工智能从弱人工智能向强人工智能的前进,把人工智能向着更为广阔、对人类更有效益的领域发展。我们也期待,围棋人工智能有一天能脱离人类的棋谱而自我学习进化,带给这个社会更多的惊喜!
5.苹果获屏幕形变专利
新闻链接: http://www.cnbeta.com/articles/tech/595261.htm
【新闻摘要】美国时间3月22日,美国专利和商标局授予苹果一项与配置能动态改变形状显示屏的便携式设备有关的专利,可能为真正的触觉用户体验奠定基础。苹果获得的“可改变形状的用户界面”专利,代号为9600070,覆盖一种创新性硬件解决方案,消费类电子设备能动态改变形状,以更好地满足用户需求。在专利说明中特别提到,像iPhone屏幕这样的用户界面,通过在屏幕下方整合能推或拉动可变形表面的机电元件,可提供不同的触感。考虑到这项专利的“年龄”——申请时间是2008年,苹果不大可能近期把这一形变技术用在商品中。
【小云评论】近年来,在移动互联网大潮流的推动下,移动智能设备进入高速发展期,也使得同质化现象越来越严重。作为以个性化和设计感为品牌特征的苹果,投入大量科技研发获得“颠覆性”的用户体验是长久以来的目标。 屏幕形变技术使得虚拟资产实体化,从而提供各种增强功能,除了提供更有真实感、更友好的触觉体验外,也使得手机使用的场景更为便捷,可以让用户在不看显示屏的情况下控制手机。特别需要提到的是,这项技术也能帮助到患有视觉障碍的用户。虽然这项技术的商用化似乎还未有明确的路线图,但是技术的无所不能对人类的帮助还是值得期待。
6.微软向丰田授权专利
新闻链接: http://www.cnbeta.com/articles/tech/595649.htm
【新闻摘要】美国时间3月23日,微软向丰田汽车授权一批专利,包括操作系统、语音识别、手势指挥、人工智能和网络安全工具。不过此次授权并非为丰田独家提供技术支持。微软表示,希望与其它车企也建立合作。微软也希望利用其庞大的知识产权组合成为车联网技术的关键供应商,授权专利是为达到这一目标而努力的一部分。微软一直在努力说服汽车制造商,在Azure云计算平台上建立车联网服务。长期以来,微软的对手Alphabet一直在开发自主自动驾驶汽车技术。
【小云评论】车联网将是继移动互联网之后又一重要方向。车联网,使车与路、车与车、车与人、车与环境之间实时联网,是对车、人、物、路、环境等进行有效智能监控、调度、管理的网络系统。随着车载通讯系统不断推陈出新,更多新车型将设置基本的车联网系统,尤其是无人驾驶普及之后,将会产生大量的互联网服务需求。谷歌、苹果、微软、三星、华为、腾讯等知名公司都在车联网系统领域积极布局。但是,车联网的发展需要的是跨产业的通力合作,微软对本田的技术授权,以及与其它车企的合作体现了这一点。2016年7月,上汽集团与阿里巴巴合作,正式上市全球首款量产互联网汽车“荣威RX5”,就是很好的跨产业合作的尝试。
7.Facebook秘密研发AR等四款硬件设备
新闻链接: http://www.jilemr.com/archives/12860?from=timeline
【新闻摘要】Facebook的秘密部门Building 8正在研发4款硬件设备,同时还在招募零售项目经理为Facebook消费硬件设计“颠覆性”体验。据悉,Building 8正在开发的4款硬件设备包括无人机、增强现实(AR)产品和脑部扫描设备。从Facebook的招聘消息可以看出,Facebook在消费硬件方面有着很大的野心,它想与苹果、Alphabet一样成为硬件玩家,最近连Snap也在硬件行业崛起,去年它推出了数字拍照眼镜Spectacles。目前Facebook唯一值得重视的消费硬件只有Oculus Rift。
【小云评论】智能硬件作为移动互联网的载体,市场规模巨大,成为很多科技公司必争之地。大到汽车、家电,小到手环、耳机、眼镜;大到安防设备、智能家居、健康管理,小到可穿戴设备。“智能化”从简单的数据采集和处理开始,经过市场的检验,已经远远不能满足消费者的诉求。提供真正“智能化”的功能和服务,并且带来个性化的消费体验,已成为智能硬件消费升级的主要目标。当然这些都离不开智能硬件在底层技术的突破和对用户需求的深刻理解,两者的结合,能够产出真正对用户有吸引力的、能让用户形成长期使用习惯的硬件设备。
8.英特尔成立人工智能产品事业部
新闻链接: http://tech.qq.com/a/20170324/029392.htm
【新闻摘要】据英特尔官网消息,英特尔新成立了一个人工智能产品事业部,整合了公司的人工智能力量,并由Nervana Systems(2016年8月,英特尔4.08亿美元收购人工智能创业公司Nervana Systems。)前CEO Naveen Rao领导。人工智能产品事业部将负责执行特定可行性方案、整个AI战略和计划。该事业部还将按其他事业部的需求分配各项资源,制定一项覆盖英特尔Xeon、Nervana和Xeon Phi以及软件产品的AI计划。该事业部还包括一个应用AI研究所,这个研究所将用3到5年的时间开发出更多构建模块,比如新算法、新架构等等。
【小云评论】科技巨头对人工智能的投入很早已经开始,特别是国外的一些科技巨头企业,一直处于人工智能研究和应用的最前沿,从互联网科技公司到汽车制造商,例如谷歌人工智能实验室、facebook人工智能实验室、微软研究院、丰田实验室、本田研究院等等;很多有科技偏好的企业,通过构建整合的人工智能组织来推进企业内部的人工智能战略指定、计划执行和技术应用,希望尽快实现企业向未来智能化的转型。这些领先或者重量公司的一举一动值得中国企业的关注、跟进和研究。
9.英特尔加入漏洞赏金游戏 奖金最高3万美元
新闻链接: https://www.hackerone.com/blog/Intel-launches-its-first-bug-bounty-program
【新闻摘要】在刚刚结束的CanSecWest安全会议上,英特尔的产品安全响应负责人Bruce Monroe公布了基于邀请制的漏洞赏金计划。该计划是和HackerOne合作推出的,旨在鼓励全球的安全研究者在英特尔的各种软件、固件和硬件中寻找安全漏洞。对漏洞的严重性,公司会使用cvss3.0进行基本打分,并结合产品的目标和威胁模型进行调整。其中,寻找出最严重硬件漏洞的安全研究者将给予3万美元奖励。该计划不包括英特尔安全部门的产品、任何第三方产品、开源产品及基本的Web基础设施。这是英特尔首次推出漏洞赏金计划,说明作为最重要的处理器供应商,其产品硬件、固件的安全性得到了越来越多的关注。
【小云评论】事实上在2015年,微软的研究人员和思杰公司(Xen)的研究人员就公开过一个英特尔处理的拒绝执行漏洞,该漏洞可以让恶意的虚拟机对同一台物理机上其它客户虚拟机执行拒绝服务攻击。谷歌的Project Zero项目也曾经基于Row Hammer的硬件漏洞开发了沙箱逃逸的攻击研究,并有专门的团队进行硬件安全的研究。作为云服务提供商,基础硬件的安全有着至关重要的影响,拥有对硬件,固件安全漏洞的应急响应能力,并尽可能的展开前沿性的硬件安全研究。未来此项的发现能力也是衡量公司安全能力的指标之一。
10.ERP攻击需要逐步提升关注度
新闻链接: http://www.darkreading.com/application-security/database-security/erp-attack-risks-come-into-focus/d/d-id/1328418
【新闻摘要】本周的几个发展重点是企业最关键业务系统的安全聚焦,SAP HANA提供了一个全新且非常关键的漏洞,该漏洞攻击级别为最严重性级别。一项新的调查报告显示,安全专业人士发现攻击者正在寻求利用这样的漏洞,在不久的将来会增加对ERP的攻击。ERP安全公司Onapsis在SAP HANA的用户自助服务组件中发现了主要漏洞,并在本月的“SAP安全注释”中获得了通用漏洞评分系统(CVSS)进行的9.8分的评级。如果该漏洞被利用,它将允许远程访问,无需访问任何凭据。据了解,这种访问级别将允许攻击者对HANA支持的业务信息和流程执行任何操作,包括创建、窃取、更改和或删除敏感信息。“如果这些漏洞被利用,企业可能会面临严重的业务后果。”目前,研究人员正计划对SAP 图形用户界面客户端中的一个关键漏洞进行额外的行业审查,并认为这具有更广泛的安装基础,可能影响到数百万SAP用户。虽然还有很多工作要做,但ERP安全性在过去几年中越来越多地打击了企业安全团队的雷达。去年,美国CERT发布了一份报告,报告显示全球至少有36家机构受到在SAP的Invoker Servlet功能运行中利用漏洞攻击的影响,这些漏洞所构成的威胁从理论领域转向了现实。本周,研究机构Crowd Research Partners最新报告发现,89%的安全专家预计会对ERP系统造成更多的攻击。大约1/3的专家预计这些攻击将显著增加。
【小云评论】传统的ERP系统不管在互联网企业还是在传统企业都有很大的使用比例,包括ORACLE Peoplesoft、EBS、SAP、微软等ERP平台,这些平台由于是商业化的,很少人能够拿到代码,企业和厂家会以为安全漏洞较少,但实际情况是高危和严重的漏洞不断的被挖掘出来,成为入侵企业之后的攻击目标以及成为入侵企业的入口,目前做ERP的安全公司不是很多,传统企业在做ERP项目的时候也很少做安全相关的实施,目前看到的企业包括ERPSCAN、onapsis等,他们的解决方案还是以漏洞挖掘、漏洞扫描、ERP解决方案为主,另外还针对SAP ABAP以及Peoplesoft ISCRIPT进行源代码审核等业务。漏洞并不会因为小众而被黑客忽略,反而是容易让企业产生问题的点。未来,企业内外的ERP项目,均需要对安全有着足够严格的把关,选择安全可信的云服务商才是关键。