“傳統依靠一兩家安全企業提供服務的模式早已不適用新時期的安全保障需求了,產業鏈安全生態建設既要有法律規則約束,又要建立真正融合共享的開放平臺。”在11月3日的中國互聯網安全領袖峰會上,騰訊副總裁丁珂這樣說。
這一天,互聯網三巨頭BAT主管安全的“掌門人”騰訊副總裁馬斌、阿里巴巴安全部副總裁杜躍進、百度首席安全科學家及百度安全實驗室負責人韋韜同時出現在圓桌論壇中,對話網絡安全,并發出了“建立產業鏈安全協同機制”、“共建安全新生態”的行業呼吁,成為一大看點。
過去,安全企業以抵御猛烈攻擊、查殺海量病毒木馬為豪。但現在,單一環節的防御能力已經無法保障整個鏈條安全。這也是互聯網+時代所面臨的新的安全形勢:哪怕單一企業規模再大,經濟和技術實力再強,仍沒有辦法100%地規避“安全事故”,因為企業只能防御針對自己的攻擊,沒有辦法靠一己之力守護與自己連接起來的整個上、下游鏈條。
小微金融企業成最大風險點
在此前不久的極客大賽上,無人機、智能手機、智能家居、移動支付等數十款智能設備均被攻破,引發了行業對網絡安全的新一輪關注。
11月3日發布的《CTO企業信息安全調查報告》顯示,“互聯網+”推動了產業鏈和生態級互聯互通,給企業帶來了更大的能量,與此同時更大的脆弱也隨之產生。
數據顯示,超過45%的企業在過去三年曾發生過不同量級的信息安全事故,甚至不乏知名企業;大型企業(規模超500人)與電信行業尤其是重災區,分別有超過57%和64%的企業發生過信息安全事故;這些安全事故直指商業機密、用戶信息等核心信息資產。
其中小微企業尤其是小微金融企業成為信息安全的最大風險點,接近40%的小微企業(100人以下)無信息安全團隊和資金投入,而超過50%的金融企業沒有任何安全方面的投入。與之相對的,互聯網與電信行業在信息安全建設方面則已有較好基礎,這些企業超過76%已有信息安全方面的專項投入。
但目前僅有15%的企業認為自己的安全措施可以完全防范風險,仍然只有25%的企業擁有“客戶端/服務器/網關/郵件/網絡層防毒系統”多層面的防護系統。
企業在發生事故后,安全團隊組建的比例和資金投入都遠高于尚未發生過安全事故的企業,分別比未發生事故的企業高出近13%和15%,然而亡羊補牢不僅無法挽回事故所帶來的損失,團隊也承擔著巨大壓力。
對于企業安全事故,盡管有接近75%的威脅都被認為來自企業外部,但有80%的公司管理層認為事故責任應由安全團隊承擔,其中有20%的管理層甚至直接歸咎于企業CTO。
事實上,面對廣泛認知的病毒、木馬、網絡入侵、系統攻擊等安全威脅,雖然70%企業在信息安全方面已有所投入,但參差不齊,目前有57%以上的安全從業者并未參加過相關的培訓或者沙龍。
如何搭建安全生態
“事實上,在萬物互聯的移動互聯網時代,產業鏈安全問題早已不是個案。此前的XcodeGhost病毒、某郵箱泄露等安全事件所體現的,也不只是單一的端級安全問題,互聯網服務鏈條中任意一個小的安全隱患都有可能釀成大禍。”騰訊副總裁丁珂在接受包括《第一財經日報》在內的媒體采訪時說。
而這也意味著互聯網安全形勢已經發生改變——安全技術不再孤立,需要更多產業融合;安全廠商不再孤立,需要更多開放合作,共建統一的標準和服務;安全數據不再孤立,需要開放共享,建立可視化立體網絡,驅動信息安全。
基于此,創造“智慧互聯,PC、手機、Pad、車聯網、智能家居、智能穿戴設備的全場景安全”和“求同存異,打破不同企業、行業的邊界,形成跨界融合”,才能更加有效地推進整個行業安全生態的建設。
而這也需要以開放、共享、融合的理念搭建平臺,聯合政府、行業機構、科研院所、互聯網產業、安全產品提供商、上下游服務企業各方的力量,形成合力。
事實上,騰訊、百度早在2012年9月就攜手組建了中國互聯網安全聯盟,旨在探討共建網絡安全新秩序。2013年,騰訊發起天下無賊反信息詐騙聯盟,建立行業統一標準的信息詐騙數據庫,而這一平臺的重要參與者中,也有百度和阿里巴巴。
其中,安全云庫的黑名單共享到百度搜索平臺,實現對網民的實時保護;阿里旗下的天貓和淘寶則與安全云庫“URL白名單”實現共享機制,共同打擊交易詐騙;騰訊則開放騰訊玄武實驗室、反病毒實驗室和移動安全實驗室的安全技術,并將其騰訊安全云庫大數據與合作伙伴共享打造一個立體的“天網”。
除了BAT發出“建立產業鏈安全協同機制”的呼吁外,啟明星辰首席戰略官潘柱廷、京東集團首席技術顧問翁志也表示積極響應,未來幾家公司將在安全威脅共享、應急響應等方面進一步加大協作。