划重点:2018互联网安全责任峰会上,安全大佬们都说了啥?

广告位广告位广告位点此查看详情

年前最后一场技术盛宴 | 1.27与京东、日志易、借贷宝技术大咖畅聊智能化运维发展趋势!


【51CTO.com原创稿件】在互联网飞速发展的今天,网络安全、信息安全逐渐受到社会各界的重视与关注。为了帮助企业提高自身网络安全能力,让更广大的居民能够更安全、更便捷的享受互联网技术变革带来的便利,作为知名的网络安全教育者身份,以及互联网企业、网络安全教育者与白帽子三方的纽带,i春秋于近日发起了2018首届互联网安全责任峰会。

会上,i春秋学院校长蔡晶晶做了题为“从野蛮生长到责任担当”的开场致辞,他以普罗米修斯的盗火作比喻,把互联网粗放发展的过去比作奥林匹斯的众神时代,而一个个网络空间的漏洞则是众神的火种,拥有毁灭和建设的力量。每一个网络安全的先行者都应该终日乾乾而有所担当,才可以勾勒欣欣向荣的富饶人间。

在上午的企业座谈会上,京东首席信息安全专家Tony Lee,滴滴出行信息安全部战略副总裁弓峰敏,阿里巴巴集团技术副总裁、首席安全专家杜跃进,百度安全副总经理沈鹏飞,五位国内顶级互联网公司的安全掌门人,以互联网支撑者的身份共同探讨了互联网安全责任是什么,要如何承担这份责任。

会上,这些安全大佬究竟都说了些什么?今天,51CTO记者给你划重点,带你来看看。

划重点:2018互联网安全责任峰会上,安全大佬们都说了啥?

作为网络运营者,有哪些重要的安全责任?

京东Tony Lee表示,我们不仅是网络运营者,我们还是数据运营者,这个点很关键。安全工作的最核心的、最本质的驱动力在于:责任感和正义感,它们是驱动安全从业者前行的关键。

从京东的角度来说,在网络安全的责任主要体现在两点:一方面,当发现攻击并获取到相关的信息,能够做好及时的通报与处理。比如京东前段时间在做数据源分析的时候发现,攻击者的目录中包含大大小小十几家公司,当他实施攻击时将可能利用木马向这些公司发起。作为网络运营者,京东的责任就是将情况及时通报这些公司。另一方面,是对未来的网络安全责任。未来,我们的责任将不仅仅是找漏洞,或者做安全机制等工作,而是为将来铺路,护航AI、IoT等新技术的发展,这也是责任感的一种体现。基于京东智能家居、人工智能等重要业务的发展,做好AI、IoT安全就是京东的网络安全责任。

弓峰敏表示,对于任何一个服务提供商,说到安全最先考虑的就是用户数据、隐私保护。尽管滴滴是服务型的公司,但是在滴滴公司内部的理念是:安全第一,体验第二,效率第三。安全是服务的一部分,不只是网络安全,还有出行安全,最终为用户提供优质的服务体验。

对于网络运营者的安全责任,杜跃进认为主要体现在三层:一是,安全是发展的一个非常重要的保障,所以任何一家企业,一个网络运营者的安全部门,首先要保证业务能够按照预期设想的发展。二是,网络运营者的安全责任不仅仅在于保护自家产品的安全,还在于保护使用产品的用户的安全。网络安全不仅仅是自己的事儿,也是别人的事儿。三是,网络运营者也要重视生态或者行业发展,这也是责任之一。消费者对行业有信心,相信这个行业的安全防护实力,整个行业才能健康发展。

由此可见,作为网络运营者来讲,大家都乐于承担网络安全责任。

合纵连横,责任共担

然而,日益猖獗的网络安全威胁面前,仅仅依靠每家企业自身的能力孤身奋战,恐难以与之抗衡。想要有效的承担起网络安全责任,网络运营者之间的合作无疑就变得相当重要。那么对于如何责任共担,几位大佬又将有着怎样的看法呢?

Tony Lee认为,相比反病毒行业的协作共享来讲,其他行业的合作还有着很大的提升空间,尤其在国内,无论是网络安全还是互联网其他行业,更多的是利用开源的技术根据自身的特点做相应的改进,而不是从技术角度去创造更多的开源。这就从一个方面阻碍了企业之间的相互协作。此外,Tony Lee还谈到:“很多安全工作者很难接触到最新的技术,所以企业应该有责任把自己最好的东西拿出来分享,让大家有机会在你的东西上做一些安全的工作,这个我觉得也是其中一个责任。”

针对企业如何与其他网络运营者展开合作这一问题,弓峰敏提到,在情报共享方面,滴滴出行的SRC是最为基本的层面。此外他希望诸如“什么数据是可以共享的?什么数据是要进行脱敏的?到什么程度?等这些问题可以达成一定的共识。而在安全实践方面,弓峰敏认为漏洞挖掘、补洞也是非常重要的一个层面,他希望未来在i春秋平台上面可以开展更多的合作。

杜跃进认为,在大的情况大家都能够达到共识,但这个问题并没有得到很好的解决。因为大的情况所有人都共同认同的一件事情,没有任何一家企业能够独善其身,任何一个国家也没有办法来应对整个网络框架的安全威胁。但现实中,合作方面做得并不是很好,杜跃进认为如果想要形成良好的合作关系,必不可少的是网络运营者要有大的格局。

此外,杜跃进强调:“网络运营者之间的业务竞争与网络安全不能放在一起,网络运营者应该树立大格局,建立真合作。网络安全不是互相攻击的手段,安全的最终目的是保护用户、维护发展,必须有这样的大格局才能维护好企业的发展,减少安全风险,促进整个行业的健康发展。”

潘柱廷对此观点也相当认可,他认为只有大格局,才可能合作,谈自己、谈合作、谈生态,当视角到了生态,才有可能合作。通过合纵连横,各个公司之间都会成为很奇妙的纽带。

而作为百度来讲,沈鹏飞认为有几个方面的合作,首先是和华为以及中国通信研究院发起的联盟,能够将自己的技术进行分享、开源,百度希望联盟里的所有企业,能够把这种能力和安全服务产品赋能给他们,大家共同构建联盟生态。同时沈鹏飞呼吁大家,无论各自加入了哪些联盟组织,企业间都能互联互通。此外在运营商层面,百度和运营商进行合作,并和手机厂商进行合作联合。而和政府之间的合作百度也从未停止,百度与各个公安机关进行紧密合作,通过技术和能力结合信息和数据,有效的溯源,追踪到黑产信息,与个行业均完成通力合作。

合作在网络安全领域是一个永恒的话题,俗话说“众人拾柴火焰高”,网络运营者之间的合纵连横通力合作不仅仅是某个组织、某个发起人的责任,而是所有网络运营者的责任。

拥抱安全技术英雄,培养安全技术人才

对网络运营者在承担网络安全责任上,如何与白帽子技术英雄深度合作的问题,Tony Lee认为:“白帽子与企业之间的关系不应该是甲乙方的关系,甚至也不是技术竞赛,而更应该是正义联盟、互相合作。对网络运营者而言,应该通过有法律保护的有偿漏洞发现,扶持、鼓励白帽子的成长,携手白帽子共同维护网络安全生态的健康发展。”

对此,弓峰敏表示,一方面,通过SRC的机制,尤其SRC之间的合作,不但是让白帽子的天才和能力去服务发挥更大效果,同时SRC平台可以去帮白帽,控制法律风险,所以网络运营商可以帮助白帽去承担这样的一个角色。另一方面,从人才角度来看,能够看到的确实是相应的蓝军的培养。从安全保障的角度,白帽子的能力很不错。甲方需要大批的安全人才,通过i春秋这样的平台,无论是从长期还是短期来看,可以与企业一起培养安全人才。

谈及网络运营者对安全技术人才需求的话题,百度安全副总经理沈鹏飞发表了自己的见解:“大学生毕业后进入企业常常面临,课堂上所学的知识能力无法应用到企业的现象。这其实直接反映的问题就是,教育界、学术界的象牙塔位置正在遭遇企业对应用人才需求的冲击,与社会所割裂的环境已不再适应当前安全行业的需求。互联网厂商既是安全人才的培养者,也是安全人才的需求方。提高信息安全学生的实践能力,提前适应当前企业的需求,更加符合网络运营者对安全人才的期待。”

回归初心,用有温度的技术培育信息时代的安全感

在峰会闭幕式上,蔡晶晶表示:“欢迎更多人参与到互联网安全责任峰会中来,共同构建起一个漏洞补完的世界。让更多人、物接入进来到互联网世界中来,共同拥抱网络空间命运共同体。i春秋将继续扮演好纽带的角色,构建互联网的安全责任三角形,为网络安全运营者提供更多安全人才和安全服务,践行责任之路;为教育者提供更多资源,耕耘责任的土壤;为技术英雄提供成长的平台,陪伴责任的成长。回到初心,用有温度的技术培育信息时代的安全感。”

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【编辑推荐】

    i春秋:"千星计划"点亮网络安全世界的星空

    如何吸引更多的女性从业者进入网络安全领域?

文章为网络摘录,欢迎转载首席安全官频道的文章!
上一篇:回望“一带一路”峰会网安保障 海事局携手亚信安全智斗“永恒之蓝”
下一篇:像黑客一样思考:应对安全问题所需的心理模型