网络安全 频道

合纵连横抗黑产 业界大佬共话网络安全责任

  【IT168 评论】最近几年,网络安全市场的发展可以说是非常可观,但网络安全责任的划分却似乎并没有那么明朗,从2015年袁炜因在未经许可的情况下发现并公开世纪佳缘的漏洞而锒铛入狱,到知名漏洞平台乌云的关停,网络安全好像一瞬间成为了“高危职业”,稍有不慎就有牢狱之灾。

合纵连横 业界大佬共话互联网安全责任

  而后,我国政府正式颁布了《中华人民共和国网络安全法》,明确了网络安全人员的相关责任和各项规章法度。那网络安全从业者的责任究竟是什么?为了明确网络安全责任问题,加强网络安全从业人员的责任感,由知名网络安全在线教育平台i春秋发起的2018首届互联网安全责任峰会在北京成功举办,本届互联网安全责任峰会以“聚焦漏洞补完生态”为主题,邀请到了来自知名互联网企业的管理者、国内教育者和技术英雄等人士共同与会。

合纵连横 业界大佬共话互联网安全责任
▲从左至右依次为:Tony Lee、弓峰敏、杜跃进、沈鹏飞、潘柱廷

  作为本次会议的“东道主”,永信至诚高级副总裁潘柱廷主持了以“互联网安全责任实践之路”为主题的圆桌论坛,与来自京东的首席信息安全专家Tony Lee、滴滴出行信息安全部战略副总裁弓峰敏、阿里巴巴集团技术副总裁、首席安全专家杜跃进以及百度安全副总经理沈鹏飞共同探讨安全责任问题。

  网络运营者畅谈网络安全责任观

  潘柱廷表示,当真正落实网络安全责任的时候。根据网络安全法的条文基本责任都扣在了网络运营者和关键基础设施运营者身上,那面对这些责任问题,网络运营者又是以怎样的姿态应对的呢?

  京东首席信息安全专家Tony Lee表示,作为安全从业人员来讲,其工作最核心、最本质的驱动力是责任感和正义感。Tony Lee认为,正是因为之前的网络协议对安全问题的忽略,致使今天要面临如此多的安全问题,需要如此多的安全产品。Tony Lee坦然AI和IOT是京东未来的两大重要方向,但无论是那个方向,安全始终是首当其冲要思考的问题。

  滴滴出行信息安全部战略副总裁弓峰敏认为,滴滴出行虽然是一家服务型公司,但在公司内部始终秉承安全第一,体验第二,效率第三的理念,足以看出其对安全的重视程度,他认为对于任何一个服务提供商来说,用户的数据安全、隐私保护应该是第一位的,如果无法保障安全问题,那服务也就毫无意义可言。弓峰敏认为,在今天做安全,广泛的合作是十分必要的,只有相互合作,实现信息共享,安全生态的效率才能得到稳步提升。

  而作为拥有庞大体系的阿里,阿里巴巴集团技术副总裁兼首席安全专专家杜跃进表示,其反对“帝国主义”,阿里希望营造安全生态让大家一起做。杜跃进认为网络安全责任主要分为三层:

  ●第一个层面,安全是发展的一个非常重要的保障,任何一家企业,任何一个网络运营者,它的安全部门首先要保证业务能够按照预期设想的方向往前走。

  ●第二个层面,对于网络运营者来说,他的安全责任不仅在他自己的产品,还在于他上面的用户。所有的企业都有可能是网络运营者,而网络运营者自己的安全就涉及到用户的安全。

  ●第三个层面,杜跃进认为网络运营者也要重视生态和行业发展的责任。

  杜跃进认为对于网络运营者来说,每一个行业都应该有一个认识,我们做的事情最大的目标是让消费者相信这个行业,对这个行业有信心,尤其是安全。然后才可以让行业健康的发展下去。

  百度安全副总经理沈鹏飞认为,网络运营者是个人信息安全保护的第一责任人。百度作为国内第一大搜索引擎的服务商在保护用户个人信息方面应做到首当其冲。沈鹏飞谈到,从整个黑产层面来讲,从最早的外部端到手机端,AI时代已经到来,未来物联网的设备安全、系统安全,都需要密切关注,而百度在系统方面希望打造更开放的平台,更具有活力、更具有安全性。

  合纵连横,同舟共济

  由此可见,作为网络运营者来讲,大家都乐于承担网络安全责任,但不得不承认,网络安全所面临的威胁不止三五百亿的规模,依靠每家企业自身的能力孤身奋战恐难以与黑产相抗衡,那如果想要有效的承担起网络安全责任,网络运营者之间的合作就相当重要,那谈到合作几位大佬又将有着怎样的看法呢?

合纵连横 业界大佬共话互联网安全责任

  Tony Lee认为,相比反病毒行业的协作共享来讲,其他行业的合作还有着很大的提升空间,尤其在国内,无论是网络安全还是互联网其他行业,更多的是利用开源的技术根据自身的特点做相应的改进,而不是从技术角度去创造更多的开源。这就从一个方面阻碍了企业之间的相互协作。此外,Tony Lee还谈到:“很多安全工作者很难接触到最新的技术,所以企业应该有责任把自己最好的东西拿出来分享,让大家有机会在你的东西上做一些安全的工作,这个我觉得也是其中一个责任。”

  针对该问题,弓峰敏也做了相关作答,他提到在情报共享方面,滴滴出行的SRC是最为基本的层面。此外他希望诸如“什么数据是可以共享的?什么数据是要进行脱敏的?到什么程度?等这些问题可以达成一定的共识。而在安全实践方面,弓峰敏认为漏洞挖掘、补洞也是非常重要的一个层面,他希望未来在i春秋平台上面可以开展更多的合作。

  杜跃进认为在大的情况大家都能够达到共识,但这个问题并没有得到很好的解决。因为大的情况所有人都共同认同的一件事情,没有任何一家企业能够独善其身,任何一个国家也没有办法来应对整个网络框架的安全威胁。但现实中,合作方面做得并不是很好,杜跃进认为如果想要形成良好的合作关系,必不可少的是网络运营者要有大的格局。而后杜跃进强调,合作一定要是真的合作,比如SRC之间的合作、一定情况下的情报共享等,都是具体的合作点。

  潘柱廷对此观点也相当认可,他认为只有大格局,才可能合作,谈自己、谈合作、谈生态,当视角到了生态,才有可能合作。通过合纵连横,各个公司之间都会成为很奇妙的纽带。

  而作为百度来讲,沈鹏飞认为有几个方面的合作,首先是和华为以及中国通信研究院发起的联盟,能够将自己的技术进行分享、开源,百度希望联盟里的所有企业,能够把这种能力和安全服务产品赋能给他们,大家共同构建联盟生态。同时沈鹏飞呼吁大家,无论各自加入了哪些联盟组织,企业间都能互联互通。此外在运营商层面,百度和运营商进行合作,并和手机厂商进行合作联合。而和政府之间的合作百度也从未停止,百度与各个公安机关进行紧密合作,通过技术和能力结合信息和数据,有效的溯源,追踪到黑产信息,与个行业均完成通力合作。

  合作在网络安全领域是一个永恒的话题,俗话说“众人拾柴火焰高”,网络运营者之间的合纵连横通力合作不仅仅是某个组织、某个发起人的责任,而是所有网络运营者的责任。

  不忘初心,培育信息时代安全感

  正如i春秋校长蔡晶晶所说:“欢迎更多人参与到互联网安全责任峰会中来,共同构建起一个漏洞补完的世界。让更多人、物接入进来到互联网世界中来,共同拥抱网络空间命运共同体。”蔡校长表示i春秋将继续扮演好纽带的角色,构建互联网的安全责任三角形,为网络安全运营者提供更多安全人才和安全服务,践行责任之路;为教育者提供更多资源,耕耘责任的土壤;为技术英雄提供成长的平台,陪伴责任的成长。回到初心,用有温度的技术培育信息时代的安全感。

0
相关文章