11月9日,由騰訊聯(lián)合各方共同打造的第二屆主題為“智慧安全 連接賦能”的中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(Cyber Security Summit,簡稱CSS安全領(lǐng)袖峰會)在北京正式拉開帷幕。本屆CSS安全領(lǐng)袖峰會上,騰訊安全聯(lián)合實驗室、中國電子技術(shù)標(biāo)準化研究院和騰訊網(wǎng)絡(luò)空間研究中心共同發(fā)布了《“互聯(lián)網(wǎng)+”企業(yè)網(wǎng)絡(luò)安全生態(tài)研究報告》,首次提出“輕足跡”安全管理理念。基于該報告,大會還舉辦主題為“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價值”的圓桌論壇,由來自騰訊、滴滴、京東和綠盟科技、啟明星辰等互聯(lián)網(wǎng)巨頭公司的權(quán)威安全專家從信息安全威脅升級、安全生態(tài)對企業(yè)信息安全的賦能作用、共建企業(yè)安全生態(tài)三個維度展開討論。
(圖:《“互聯(lián)網(wǎng)+”企業(yè)網(wǎng)絡(luò)安全生態(tài)研究報告》發(fā)布)
本報告在權(quán)威性、參考性、理論性和實戰(zhàn)性上都有較大的意義。權(quán)威性在于報告本身由中國互聯(lián)網(wǎng)巨頭騰訊和中國電子技術(shù)標(biāo)準化研究院共同完成,并在CSS安全領(lǐng)袖峰會上聯(lián)合發(fā)布;參考性在于報告是基于對國內(nèi)1000家主流企業(yè)在信息安全領(lǐng)域的投入狀況的摸底得出的數(shù)據(jù),每年一期實時更新,對行業(yè)進行及時準確深度把脈;理論性在于報告本身不僅發(fā)現(xiàn)問題,還高屋建瓴提出“輕足跡”的安全發(fā)展觀對行業(yè)發(fā)展方向和趨勢做出精準判斷;實戰(zhàn)性在于報告本身除了發(fā)現(xiàn)問題,還建設(shè)性地提出了如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全新生態(tài)的具體實施舉措,而且大會還組織滴滴、京東等一線互聯(lián)網(wǎng)公司的安全專家基于自身從業(yè)經(jīng)驗對報告進行深入探討,并形成構(gòu)建企業(yè)安全生態(tài)需要各行業(yè)深度連接廣泛合作的共識。
報告劍指問題核心:輕處理+安全生態(tài)應(yīng)對安全威脅升級
報告結(jié)合當(dāng)前網(wǎng)絡(luò)環(huán)境,重點分析了“互聯(lián)網(wǎng)+”時代企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn),提出“輕足跡”的安全發(fā)展理念,并對如何加速構(gòu)建網(wǎng)絡(luò)安全新生態(tài)提出建設(shè)性意見。該報告不僅為國家的網(wǎng)絡(luò)安全戰(zhàn)略提供重要的價值參考,給網(wǎng)絡(luò)安全企業(yè)帶來詳實可靠的數(shù)據(jù)支撐,同時也增加了互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)安全憂患意識,為加快企業(yè)網(wǎng)絡(luò)安全新生態(tài)建設(shè)提供重要指引。
互聯(lián)網(wǎng)與各行業(yè)產(chǎn)生神奇“化學(xué)反應(yīng)”帶來產(chǎn)業(yè)轉(zhuǎn)型升級的同時也形成隱憂。隨著云計算、大數(shù)據(jù)等技術(shù)的運用,基于網(wǎng)絡(luò)安全的問題也越來越突出,而且相比傳統(tǒng)變得更加復(fù)雜,呈現(xiàn)出“VUCA”四大新特性(即易變性、不確定性、復(fù)雜性和模糊性)。分區(qū)分域的防護理念因為模糊的邊界而不再有效,安全威脅與安全事件的后果充滿不確定性,后果和威脅更加嚴重。
這背后的原因,除了企業(yè)網(wǎng)絡(luò)安全外部生態(tài)的先天不足和自身生態(tài)的不健全,還有新技術(shù)新應(yīng)用帶來的新安全挑戰(zhàn)。自身生態(tài)的不健全,主要體現(xiàn)在自身網(wǎng)絡(luò)安全意識有待提升、體系急需完善、培養(yǎng)網(wǎng)絡(luò)安全人才等;外部生態(tài)的先天不足,則是法律法規(guī)不完善、資源與技術(shù)落后,尤其是關(guān)鍵信息技術(shù)產(chǎn)品嚴重依賴國外等。與此同時,以云計算、大數(shù)據(jù)為代表的新技術(shù)新應(yīng)用也增加了網(wǎng)絡(luò)安全的復(fù)雜性和挑戰(zhàn)性。
針對當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境,構(gòu)建企業(yè)網(wǎng)絡(luò)安全新生態(tài)顯得尤為重要。報告提出“互聯(lián)網(wǎng)+”時代企業(yè)網(wǎng)絡(luò)安全生態(tài)的愿景:在“互聯(lián)網(wǎng)+”時代中,好的企業(yè)網(wǎng)絡(luò)安全生態(tài)環(huán)境本質(zhì)上就是要保障“線上和線下高效、持續(xù)、安全的服務(wù)”。想達到這一目標(biāo),報告提出科學(xué)的“游戲規(guī)則”、明晰的企業(yè)生態(tài)位、開放的共同進化體和閉環(huán)的生態(tài)平衡系統(tǒng)四大基本要求。保障網(wǎng)絡(luò)安全對于保障公民、企業(yè)網(wǎng)絡(luò)空間權(quán)益、保證國家安全和社會穩(wěn)定至關(guān)重要,需要協(xié)同各界力量共同抵御。
基于此,報告首次建設(shè)性提出“輕足跡”的安全管理理念。該理念特色主要體現(xiàn)在四個方面:防護手段模塊化、應(yīng)急管理扁平化、防御機制協(xié)同化以及處理過程快速化。防護手段模塊化可降低網(wǎng)絡(luò)防御手段和技術(shù)之間的依賴性,根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施;應(yīng)急管理扁平化則做到第一時間獲取終端的網(wǎng)絡(luò)資源使用情況和安全狀態(tài);防御機制協(xié)同化可以實現(xiàn)對全網(wǎng)的協(xié)同防御、關(guān)聯(lián)分析、信息共享;處理過程快速化則是利用云計算、大數(shù)據(jù)的平臺,迅速有效地解決安全問題。四方面入手,高效靈活地應(yīng)對出現(xiàn)的新型網(wǎng)絡(luò)安全難題,加快構(gòu)建網(wǎng)絡(luò)安全新生態(tài)。
除了理論建設(shè),報告在實踐層面也給出了建樹性的舉措。為了協(xié)同作戰(zhàn)提高效率,加快構(gòu)建“互聯(lián)網(wǎng)+”時代企業(yè)網(wǎng)絡(luò)安全生態(tài),報告認為應(yīng)從以下五方面著手:加強法規(guī)政策建設(shè),完善網(wǎng)絡(luò)安全生態(tài)頂層設(shè)計;健全網(wǎng)絡(luò)安全產(chǎn)業(yè)標(biāo)準體系,構(gòu)建統(tǒng)一協(xié)調(diào)的發(fā)展模式;借助熱點加速全產(chǎn)業(yè)鏈融合,提高生態(tài)綜合防御能力;打造健康開放共享交互平臺,建立可信可控高效保障機制;鼓勵不同領(lǐng)域技術(shù)碰撞,加快技術(shù)帶動生態(tài)安全升級速度。
行業(yè)領(lǐng)袖把脈企業(yè)安全:深度連接與生態(tài)“賦能”勢在必行
報告是基于大量的事實調(diào)研得出的理念結(jié)晶,不僅對中國企業(yè)信息安全的狀況做出了全面診斷,為各行業(yè)企業(yè)深入快速了解中國安全網(wǎng)絡(luò)環(huán)境提供索引,在本屆CSS安全領(lǐng)袖峰會上,也成為大會議程設(shè)置中圓桌會議討論的重點。
(圖:“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價值”圓桌論壇環(huán)節(jié))
在報告發(fā)布當(dāng)天,主辦方特別舉辦了主題為“信息安全之于現(xiàn)代企業(yè)的戰(zhàn)略價值”的圓桌論壇。來自滴滴出行信息安全戰(zhàn)略副總裁弓峰敏、京東首席信息安全專家Tony Lee、綠盟科技高級副總裁葉曉虎三位知名一線企業(yè)大咖以及騰訊安全玄武實驗室負責(zé)人于旸、騰訊安全科恩實驗室總監(jiān)呂一平兩位騰訊安全專家,針對報告結(jié)論從信息安全威脅升級、安全生態(tài)對企業(yè)信息安全的賦能作用以及共建安全生態(tài)三個維度進行了更深入的討論。
作為業(yè)界領(lǐng)先的互聯(lián)網(wǎng)安全從業(yè)者,騰訊對新時期的網(wǎng)絡(luò)安全趨勢有著深刻的理解。今年9月,騰訊安全科恩實驗室宣布以“遠程無物理接觸”的方式成功入侵了特斯拉汽車,這在全球尚屬首次,這既是白帽黑客在推動企業(yè)修復(fù)安全漏洞方面的典型案例,也讓我們看到企業(yè)網(wǎng)絡(luò)威脅升級的端倪。呂一平表示,隨著新技術(shù)新應(yīng)用的出現(xiàn),網(wǎng)絡(luò)安全也不斷呈現(xiàn)出新形態(tài),不確定性和復(fù)雜性都在升高。作為全球頂級白帽黑客現(xiàn)在騰訊安全玄武實驗室負責(zé)人,于旸認為要改變“被動防守”地位,需要迅速建立起快速、透明、有效的響應(yīng)機制。綠盟科技作為領(lǐng)先的安全產(chǎn)品和解決方案提供商對此也深有感觸,葉曉虎表示,移動互聯(lián)網(wǎng)安全問題、APT攻擊、云安全問題、以及應(yīng)用軟件漏洞問題,正成為“互聯(lián)網(wǎng)+”時代企業(yè)安全問題的焦點。
除了專業(yè)的網(wǎng)絡(luò)安全廠商,互聯(lián)網(wǎng)公司對遭受到網(wǎng)絡(luò)安全威脅和攻擊的感受也越來越強烈,他們迫切希望借助大平臺和安全生態(tài)體系來實現(xiàn)對企業(yè)的“賦能”。滴滴作為中國最大的出行平臺,掌握了海量的用戶信息和資源。弓峰敏表示,新技術(shù)導(dǎo)致網(wǎng)絡(luò)安全對抗不斷升級,對滴滴而言,除了自建網(wǎng)絡(luò)安全體系,還需要與有實力的安全實驗室深度連接與合作。作為中國第二大電商平臺,京東平臺聚攏眾多中小商家, Tony Lee表示,新時代的網(wǎng)絡(luò)安全攻防,不僅需要安全廠商、運營商深度連接,還需要政府的高度參與和賦能;此外,加強與國際大廠商的技術(shù)交流和合作,引進相關(guān)的技術(shù)人才也是一大著力點。以“開放”為起點,構(gòu)建橫向跨越企業(yè)、行業(yè)邊界與國界,縱向跨越人、企業(yè)、機構(gòu)、產(chǎn)業(yè)、政府的全連接已經(jīng)成為行業(yè)共識。
報告長效價值:方向指引,加速企業(yè)安全生態(tài)構(gòu)建
除了成為大會看點和為大會提供理論支撐,《報告》還具有深刻的政策指導(dǎo)意義和行業(yè)影響力,在網(wǎng)絡(luò)安全決策層面具有重要的戰(zhàn)略指導(dǎo)價值。報告是基于對國內(nèi)1000家主流企業(yè)在信息安全領(lǐng)域的深入研究得出的結(jié)論和數(shù)據(jù),來源于一線的鮮活數(shù)據(jù)和實例,報告的結(jié)論和趨勢探討不僅讓現(xiàn)場與會的全球500家企業(yè)受益匪淺,更對整個網(wǎng)絡(luò)安全行業(yè)企業(yè)在未來的方向聚焦和施力點上提供重要的坐標(biāo)指引。同時,報告本身也增加傳統(tǒng)企業(yè)轉(zhuǎn)型互聯(lián)網(wǎng)的憂患意識,強化網(wǎng)絡(luò)安全問題刻不容緩的行業(yè)認知,為加速推動企業(yè)網(wǎng)絡(luò)安全新生態(tài)提供理論依據(jù)。
此外,作為CSS安全領(lǐng)袖峰會的重要理論依據(jù),每年的安全生態(tài)報告已經(jīng)成為全行業(yè)的一大期待。在2015年首屆CSS安全領(lǐng)袖峰會上,騰訊安全團隊發(fā)布了《2015網(wǎng)絡(luò)生態(tài)安全報告》,報告顯示了同年網(wǎng)絡(luò)詐騙呈高發(fā)態(tài)勢,網(wǎng)絡(luò)犯罪呈現(xiàn)趨利化、產(chǎn)業(yè)化、移動化趨勢,并開始走從線上到線下蔓延的“O2O”模式。針對報告內(nèi)容,騰訊副總裁丁珂倡導(dǎo)全球行業(yè)打破壁壘,“連接”在一起,構(gòu)建安全新生態(tài)。
本屆CSS安全領(lǐng)袖峰會,基于《報告》對動態(tài)發(fā)展的網(wǎng)絡(luò)安全環(huán)境變遷進行深度探討。除了與全球頂尖科技企業(yè)達成共建安全生態(tài)的共識,還明確了安全生態(tài)需具備深度連接、人工智能協(xié)作、智慧防御三大基因。并提出深化連接,打破合作壁壘;建立常態(tài)化的互聯(lián)網(wǎng)安全國際合作機制;建立人才與技術(shù)的標(biāo)準化等國際安全新秩序的三大實現(xiàn)路徑。全球化問題必然需要全球化應(yīng)對,在報告的參考指導(dǎo)下,一個無邊界全連接的企業(yè)網(wǎng)絡(luò)安全新生態(tài)也正在加速成型。