“传统依靠一两家安全企业提供服务的模式早已不适用新时期的安全保障需求了,产业链安全生态建设既要有法律规则约束,又要建立真正融合共享的开放平台。”在11月3日的中国互联网安全领袖峰会上,腾讯副总裁丁珂这样说。
这一天,互联网三巨头BAT主管安全的“掌门人” 腾讯副总裁马斌、阿里巴巴安全部副总裁杜跃进、百度首席安全科学家及百度安全实验室负责人韦韬同时出现在圆桌论坛中,对话网络安全,并发出了“建立产业链安全协同机制”、“共建安全新生态”的行业呼吁,成为一大看点。
过去,安全企业以抵御猛烈攻击、查杀海量病毒木马为豪。但现在,单一环节的防御能力已经无法保障整个链条安全。这也是互联网+时代所面临的新的安全形势:哪怕单一企业规模再大,经济和技术实力再强,仍没有办法100%地规避“安全事故”,因为企业只能防御针对自己的攻击,没有办法靠一己之力守护与自己连接起来的整个上、下游链条。
小微金融企业成最大风险点
在此前不久的极客大赛上,无人机、智能手机、智能家居、移动支付等数十款智能设备均被攻破,引发了行业对网络安全的新一轮关注。
在11月3日发布的《CTO企业信息安全调查报告》显示,“互联网+”推动了产业链和生态级互联互通,给企业带来了更大的能量,与此同时更大的脆弱也随之产生。
数据显示,超过45%的企业在过去三年曾发生过不同量级的信息安全事故,甚至不乏知名企业; 大型企业(规模超500人)与电信行业尤其是重灾区,分别有超过57%和64%的企业发生过信息安全事故;这些安全事故直指商业机密、用户信息等核心信息资产。
其中小微企业尤其是小微金融企业成为信息安全的最大风险点,接近40%的小微企业(100人以下)无信息安全团队和资金投入,而超过50%的金融企业没有任何安全方面的投入。与之相对的,互联网与电信行业在信息安全建设方面则已有较好基础,这些企业超过76%已有信息安全方面的专项投入。
但目前仅有15%的企业认为自己的安全措施可以完全防范风险,仍然只有25%的企业拥有“客户端/服务器/网关/邮件/网络层防毒系统”多层面的防护系统。
企业在发生事故后,安全团队组建的比例和资金投入都远高于尚未发生过安全事故的企业,分别比未发生事故的企业高出近13%和15%,然而亡羊补牢不仅无法挽回事故所带来的损失,团队也承担着巨大压力。
对于企业安全事故,尽管有接近75%的威胁都被认为来自企业外部,但有80%的公司管理层认为事故责任应由安全团队承担,其中有20%的管理层甚至直接归咎于企业CTO。
事实上,面对广泛认知的病毒、木马、网络入侵、系统攻击等安全威胁,虽然70%企业在信息安全方面已有所投入,但参差不齐,目前有57%以上的安全从业者并未参加过相关的培训或者沙龙。
如何搭建安全生态
“事实上,在万物互联的移动互联网时代,产业链安全问题早已不是个案。此前的XcodeGhost病毒、某邮箱泄漏等安全事件所体现的,也不只是单一的端级安全问题,互联网服务链条中任意一个小的安全隐患都有可能酿成大祸。” 腾讯副总裁丁珂在接受包括《第一财经日报》在内的媒体采访时说。
而这也意味着互联网安全形势已经发生改变——安全技术不再孤立,需要更多产业融合 ;安全厂商不再孤立,需要更多开放合作,共建统一的标准和服务;安全数据不再孤立,需要开放共享,建立可视化立体网络,驱动信息安全。
基于此,创造“ 智慧互联,PC、手机、Pad、车联网、智能家居、智能穿戴设备的全场景安全”和“求同存异,打破不同企业、行业的边界,形成跨界融合”,才能更加有效地推进整个行业安全生态的建设 。
而这也需要以开放、共享、融合的理念搭建平台,联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方的力量,形成合力。
事实上,腾讯、百度早在2012年9月就携手组建了中国互联网安全联盟,旨在探讨共建网络安全新秩序。2013年,腾讯发起天下无贼反信息诈骗联盟,建立行业统一标准的信息诈骗数据库,而这一平台的重要参与者中,也有百度和阿里巴巴。
其中,安全云库的黑名单共享到百度搜索平台,实现对网民的实时保护;阿里旗下的天猫和淘宝则与安全云库“URL白名单”实现共享机制,共同打击交易诈骗;腾讯则开放腾讯玄武实验室、反病毒实验室和移动安全实验室的安全技术,并将其腾讯安全云库大数据与合作伙伴共享打造一个立体的“天网”。
除了BAT发出“建立产业链安全协同机制”的呼吁外,启明星辰首席战略官潘柱廷、京东集团首席技术顾问翁志也表示积极响应,未来几家公司将在安全威胁共享、应急响应等方面进一步加大协作。