近日“比特幣勒索病毒”WannaCry導致全球超過20萬用戶中招，直接損失預計超過80億美元，這把信息安全又推到了風口浪尖。但對于在安全領域摸爬滾打25年的老兵，現任樂視云安全中心總經理的萬濤看來，這次安全事件是對很多傳統企業，尤其是局域網的環境里，看似與外界互聯網不相連的地方，對他們的安全管理水平、風險意識的重要警示。

“傳統安全領域有一句話叫‘三分技術，七分管理’，這次WannaCry的爆發主要集中在內網，甚至與互聯網不相連的地方，這件事說明很多企業管理上已經出現了很大問題，而互聯網公司就沒有出現這樣的大面積中招。像445這樣的共享端口我們早就封掉了。微軟在三月也公布了補丁，而‘打補丁’這樣的管理工作對我們這些互聯網公司的運維來講本身就是一個常態化的事情。我們一直處于與黑產對抗的一線。然而要做好安全，‘防得住’還不夠，還的‘管的住’，更要有創新的模式。” 樂視云安全中心總經理萬濤接受企業網D1net記者采訪時這樣表示。

(樂視云安全中心總經理萬濤)

安全要化被動為主動

萬濤表示“通常安全有四種導向，首先是事件導向，出了安全事件去解決問題。第二是技術導向，要跟蹤技術趨勢，大家搞什么我就搞什么。第三是流程導向。跟著合規、經驗走。最后是風險導向，就是不斷降低風險，最后使殘余的風險可以被接受。”

以事件為導向的安全總是被動。“安全不能僅以事件為導向，出了事了才去解決問題，前提是能找到漏洞根源，還能夠解決減少重犯。而樂視還做到了自查黑產。由于樂視有非常好的資源，難免會有黑產試圖收買我們的員工，用這些資源去做黑產的事。作為云計算企業，大家都在關心別人打我時我是否能防得住。但如果利用云資源來打別人呢?比如租戶的虛機被黑了，由于他的安全水平有限，被利用來攻擊別人，這時我們的云計算廠商能發現么?安全問題通常是受害者舉報才能發現，因此樂視花了很大力量研發抗DDos攻擊，以及與相關的聯盟合作，履行自己的社會責任，避免攻擊從我這或者由我的租戶發起。保證出了問題樂視自己能先發現。”

從云到端的安全，利用金融做安全創新

“樂視云是個視頻云，戰略定位是引領視頻生態。首先服務于樂視生態本身，包括上市和非上市的樂視體系都跑在樂視云上。第二是商業服務，像流媒體、以及想做視頻的像廣電這樣的傳統客戶，還有其他的商業客戶像熊貓TV，我們自己做視頻過程中積累了很多經驗和資源。我們把資源和經驗復制給他們，再加上我們的創新，為他們進行服務。第三，創新嘗試，包括但不限于云安全市場第三方合作等。

在樂視安全的歷史沿革方面，樂視安全早期在樂視網，樂視云創立后，把安全落到了樂視云中，服務于整個樂視生態體系。萬濤表示：“樂視擁有業界寶貴的云+端的資源池。基于樂視云本身的資源優勢，樂視云在全球擁有750個CDN節點，帶寬超過30Tbps，作為視頻云來說，擁有獨特的資源優勢，所以我們考慮把樂視云的資源優勢用到安全的服務模式上。比如在防御DDos攻擊上進行云清洗。但安全很大程度上需要做協同，安全僅依靠一家是解決不了的。因此我們加入了由電信、華為云、京東云等30多家云計算關聯企業組成的云清聯盟，把樂視在端上、帶寬、以及CDN上的資源和優勢發揮出來加以復用，服務于我們自己的安全的同時對外輸出，同時與業界形成合作形成協同。”

在安全在商業模式創新上，萬濤表示：“樂視擁有在資源、金融、生態方面的優勢，要把這些優勢結合起來進行創新。為整個安全行業的生態貢獻出一些力量。未來將采用金融保險的方式向用戶提供安全服務，以很合適的價格向提供給用戶。當用戶出問題的時候，首先，我們第一時間告知他，第二，幫他快速解決。如果有此產生的一些損失，我們通過金融的方式幫他覆蓋掉，這樣來幫他解決問題。”

防護是常態 兩條路徑求發展

萬濤介紹：“樂視安全本身就有一個專業團隊，在安全漏洞的掃描、WAF(網站應用級入侵防御系統，Web Application Firewall，簡稱： WAF)、蜜罐等方面都在做相關研發。我們每天掃描的設備超過10萬臺，我們會把每天的掃描結果通知到資產所有人。比如發現漏或者應急事件，我們會馬上響應加入腳本，進行修補。”

“首先，我們通過內部的這個安全中心把資產接管起來。其次，我們所有的應用上線，不僅是樂視云，還包括商城以及其他用戶的，這些APP都要進行安全檢測，我們有專門針對安卓、IOS的審計平臺進行檢查。第三，我們有一套應急響應的機制，我們還會參與到他們的業務安全中去。過去，大家在云層面只做了基礎設施的安全保障，或者是應用的檢查層面，但是還沒有到業務中去。而現在完全要跟業務結合——從樂視大屏、商城、車聯網這些業務安全我們都會參與。在研發階段、規劃、架構設計時就參與其中，并結合流程、業務風控。在安全合規方面，樂視已經通過了ISO27001，并正在積極開展C-STAR、ISO27017、ISO27018、等保等認證，這樣就構成了樂視的安全體系。”

對于樂視云安全的未來，萬濤定義了提升風險管理、提高業務增值水平兩條發展路徑。萬濤表示“首先是風險管理水平，就是提升整個樂視網的安全風險管理。第二是業務增值水平。這也是很多企業所忽略的。安全不是僅在業務連續性的層面，還要從業務角度解決大家對云的信賴，絕對的安全是不存在的，但要有一個基本的信任。樂視安全的使命是為安全賦能、賦值。賦能就是能力，它不是指安全團隊的能力有多強，而是要在客戶服務、研發、設計層面都要賦能，這些環節都要加入安全因素。賦值就是在云上，如果安全能做得好，對用戶來說是可見、可信的，用戶就會為你的云賦值，云服務商不是在單純的拼價格，而是再看最后的業務保障水平。”