范渊:安全的责任 作者:安恒信息总裁 范渊

QQ图片20170717155959.png

责任重于泰山

任何一个行业都有自己的责任,但安全的责任无疑有着特殊的分量和含义。如果让我用一个词来概括安恒十年的发展,那就是责任。

十多年前我在硅谷做应用安全和数据安全研究。我意识到:第一,数据是企业最核心的资产,并且在未来会更加重要; 第二,整个Web应用架构和互联网体系会给风险和威胁带来很大的改变。当时美国一些500强企业表示要购买我的研究成果,我认为在中国更需要这样的成果。带着这颗简单的初心,我选择了回国创业。

令我意外的是,这种责任一直与国家重大安保活动紧密联系在一起。从2008奥运安保到G20杭州峰会安保,我们马不停蹄,一次次地投身其中。安恒的十年毫不夸张地说也是安保的十年。这十年给了我们很多的触动、感慨和鞭策。它不仅让我们明白了企业需要不断地与时俱进,也明白了什么是责任。我们亲身经历了很多重要的历史时刻,伴随着国家信息化和网络安全发展,见证并有幸参与其中。

这十年来,从最初网站漏洞扫描到Web应用防火墙到数据库审计,我们提出了事前、事中和事后的概念,到结合云端安全,大数据和威胁情报,应急响应能力、中心平台能力,应该说形成了一个立体化、纵深式的安全体系。网络安全是非常现实和残酷的,所以我们的很多产品都是在实战和锤炼中完善。这在三届世界互联网大会攻防实践中有着明确的体现:第一年还是以扫描为主,第二年攻击形势发生了很大的变迁,除了防御各种Web攻击以外,在洪水攻击方面也和阿里云一起做了很多的努力。到了第三届,开始出现精准攻击,它知道你的弱点在哪里,并且拥有速度更快的攻击能力。如果说世界互联网大会还是基于互联网应用、内部网络、酒店、信息系统,到G20时又进了一层,从互联网发展到物联网和工控系统,站位于一个整体的城市视角,不管叫智慧城市安全也好,叫爱因斯坦计划、导弹防御计划也好,都是一个整体安全的理念。其实,G20反映的数据可能只是一小部分,大家可以看到全球物联网安防和工控安全的情况也是一样的,在公网暴露的安防和摄像头设备大量采用弱口令,每三台里面就有一台可以随时被控制。对我们而言,安全的版图越来越大,为履行安全的责任,对于安全研发的投入也越来越多。

我们再看一下最近暴发的勒索病毒,其实已经出现过很多种,包括过去一年我们在APT和邮件系统中发现了很多。这次事件是网络武器结合勒索,一个小的跨界和创新,带来的攻击效果却极强,扩散性极快。NSA武器库泄露的同时,我们就快速实施了超级引擎计划,实时进行控制态势统计,一小时内把全球所有IP地址地毯式轰炸一遍。而在若干年前,业内最快的速度差不多要20天以上,最近的速度应该也在100个小时以上,现在我们能做到1小时内。这样的引擎,可以用于全网。我们控制的速度,应该说比任何一个国家都要好。我们可以清晰地看到SMB端口开放的情况,被网络武器库攻击,被植入后门的情况,大家会看到美国被植入后门的比例比中国还要高。这表明,任何的管理,最终必须和技术有一个很好地结合,这是我们态势感知体系的一部分,这个数据的统计分析对各个行业,对国家监管部门都是非常有意义的,没有任何东西比数据来得更精准,更直观。由此我们认为,责任必须要有技术能力来支撑。

谈到技术,有一个问题一直在我脑海里萦回,就是核心技术的突破,它体现的不仅仅是企业责任,也和国家安全密切相关。

我认为,核心技术里面除了突破关键技术点,在实践中最重要的是知己知彼。去年在4·19前的准备中,我也提出了这个观点。勒索病毒事件发生之后,重温习总书记的讲话,感受更为深刻。知己知彼,就是对于风险的深度感知能力和防控能力,包括总书记后面讲的“聪者听于无声,明者见于未形”。在我理解就是如何通过大数据和机器学习去发现未知威胁的能力。但是,真正做到知己知彼不是一件容易的事情。我们一直在努力,还会继续下去。从用户角度看,对未知威胁的发现,和对所有资产风险的实时动态掌控、分析和应对,具备这样的能力也非常关键。网络安全同样是用户自己的责任,甚至是每一个人的责任。如果我们都能把这种责任担当起来,我们的网络安全就会强大起来。

最近我的另一个思考就是第三方安全的责任。这一年来,我常常跟大家讲钉钉密盾的例子。大家知道,钉钉对政府、企业来说,确实是一次移动办公的革命。但是后来,很多用户反馈,担心数据会被钉钉拿去,他们对数据安全的顾虑和担心,会成为阻碍钉钉发展的重要因素。所以,后来我和研究院一起用6个月时间,推出了全球第一个第三方安全模块,来确保第三方的数据,让钉钉实现了更大的价值。后来钉钉密盾经历了G20安保的考验,很多的行业客户都给了很好的评价,这是一个非常典型的第三方安全责任的例子。当然将来它的用途绝对不仅是对钉钉,对于云的安全,会有更多的地方应用。第三方安全+的意义,可能会赋予未来安全和发展以新的含义。我个人觉得,三权分立,是未来的趋势之一。过去很多政务云主动找我们,希望在使用云的过程中我们能肩负第三方安全的职责。除了第三方安全的独立责任之外,我们也一直尝试在力所能及的情况下,做一些有意义的事情。大数据、云计算是国家重要战略之一,最近,我们和公安部、网络事件预警与防控技术国家工程实验室一起推出了中小网站的免费安全防护平台,让中小微企业能够放心地使用云。

使命决定存废

这十年来一直在忙碌,没有太多机会停下来思考。当静下心来思考的时候,有一句话变得越来越清晰,那就是安恒的使命:让政府企业放心地拥抱互联网、云计算、大数据,让一切放心在线。后面这句话,是针对物联网体系来说的。未来,这个使命对我们会越来越清晰,也会伴随我们长期走下去。

四年前我们成立了安恒网络安全学院,培养和聚集安全人才。去年习总书记4·19讲话的一个重点就是网络安全的人才培养,不拘一格降人才。在这方面我们也做了很多的努力,尝试着做了一些有益的探索,包括和九所国内顶级高校联合进行实训基地建设,也包括推出了一系列认证培训体系。在安恒发展的今天,我们会以公益或者半公益的心态来推动网络安全人才培养。

去年年底,我很荣幸成为浙江省第一个非事业和公务员体系的兼职科协副主席。未来,我们会联合科协、“E安全”推出一系列针对老百姓的网络安全公益性普及教育活动。无论是对国家的责任、对监管机构的责任、还是对企业、用户以及老百姓的责任,我们都会全力以赴,在践行安全的责任上尽微薄之力。

对安全的未来,我认为会有三点变化:一,网络安全法及相应的行业细则的出台,会给网络安全的产业以及整个社会带来很多质的变化;二,安全将会最终成为一个基本属性,它无处不在,无时不在,又不会让你刻意感受到它的存在;三,大数据和人工智能会给中国带来弯道超车的机遇。当然,未来不止如此。

最后,我想说的话汇成一个词还是:责任。网络安全与信息化建设,人人有责,包括国家的责任,政府的责任,企业的责任,公民的责任。网络安全本来就是社会责任和企业责任完美融合的行业,只有具备社会责任的企业,才能走得更远,飞得更高,网信事业才能发展得更好。


2017-07-17 16:04
来源:中国信息安全杂志(2017.06)
热门推荐更多
热点新闻更多