【原】產(chǎn)業(yè)互聯(lián)網(wǎng)時代的安全空白��,誰來填補����?
 消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)沉寂許久的互聯(lián)網(wǎng)安全問題,正以前所未有的急迫感浮出水面����。這跟很多普通人對于互聯(lián)網(wǎng)安全的感知完全是背道而馳的。在PC互聯(lián)網(wǎng)時代��,安全是一個用戶痛點極為突出的領域����,以至于個人安全業(yè)務一直是一個關注度相當高的領域。當年的數(shù)據(jù)表明��,幾乎90%的電腦用戶都安裝了至少一種以上的安全軟件��。然而�,進入移動互聯(lián)網(wǎng)時代后��,就普通人的感受而言�,似乎安全問題變的不是那么突出了�。“其實并不是移動互聯(lián)網(wǎng)時代變得安全了,而是安全問題被前置性的解決了一部分�����。由于移動互聯(lián)網(wǎng)的安全問題是圍繞著系統(tǒng)權(quán)限而來的�����,所以大部分的廠商都會在深度定制系統(tǒng)的過程中進行安全防護方面的考慮���,這就讓一些c端的安全服務不再那么顯得有必要性�����?����!?/span>一位資深安全大佬表示:“從另一個角度說���,移動互聯(lián)網(wǎng)時代的應用分發(fā)渠道也有了極大變化��,ios系統(tǒng)的分發(fā)是全封閉的��,安卓系統(tǒng)的分發(fā)逐漸集中到有限的幾個超級分發(fā)市場中����,這和PC互聯(lián)網(wǎng)時代大家滿網(wǎng)下載軟件的情況也有了極大的變化。所以從一般人感覺而言,安全問題不重要了�。然而,真正的安全問題從來沒有消弭�,反而更嚴重了?�!?/span>公開資料顯示���,當前�����,通過國家互聯(lián)網(wǎng)應急中心自主捕獲和廠商交換獲得的移動互聯(lián)網(wǎng)惡意程序數(shù)量達253萬余個��,同比增長23.4%�。其中�����,排名前三的分別為流氓行為類、惡意扣費類和資費消耗類�。此外,安全漏洞問題也不容忽視����。近年來國家信息安全漏洞共享平臺所收錄的安全漏洞數(shù)量持續(xù)走高。監(jiān)測數(shù)據(jù)顯示�����,自2013年以來��,安全漏洞數(shù)量年平均增長率為21.6%���,但從2017年起�����,這一數(shù)字開始猛增為近50%���,此后連續(xù)突破歷史新高。然而�,以上數(shù)據(jù)其實主要描繪的還是消費互聯(lián)網(wǎng)領域有關的安全圖景�����,對于正在日益變得重要的產(chǎn)業(yè)互聯(lián)網(wǎng)來說����,安全問題更顯得突出����。產(chǎn)業(yè)互聯(lián)網(wǎng)方面的安全問題,正在前所未有的受到重視����。就在本文寫作前不久�,6月30日,在中國軟件產(chǎn)業(yè)發(fā)展情況新聞發(fā)布會上�����,《國家網(wǎng)絡安全產(chǎn)業(yè)發(fā)展規(guī)劃》正式發(fā)布���。
據(jù)規(guī)劃�,到2025年����,要建成我國網(wǎng)絡安全產(chǎn)業(yè)“五個基地”:一是國家安全戰(zhàn)略支撐基地�����。以國家安全��、網(wǎng)絡空間安全等重大戰(zhàn)略需求為核心驅(qū)動力����,超前部署�、加速推進一批網(wǎng)絡安全關鍵共性技術(shù)研究。二是國際領先的網(wǎng)絡安全研發(fā)基地�����。搭建面向全球的協(xié)同研發(fā)平臺���,匯聚全球創(chuàng)新資源���,推動網(wǎng)絡安全核心技術(shù)創(chuàng)新和科研成果轉(zhuǎn)化。 “網(wǎng)絡安全問題正在向傳統(tǒng)行業(yè)延伸���,數(shù)據(jù)安全和漏洞管理亟待加強���。與此同時����,人工智能和網(wǎng)絡安全的結(jié)合也將帶來顛覆性��、變革性影響�,網(wǎng)絡空間安全需要全社會的共同維護?�!眹一ヂ?lián)網(wǎng)應急中心副主任兼總工程師云曉春在分析我國網(wǎng)絡安全形勢時說�。我們的產(chǎn)業(yè)互聯(lián)網(wǎng)做好準備了么?產(chǎn)業(yè)互聯(lián)網(wǎng)的安全問題要了解產(chǎn)業(yè)互聯(lián)網(wǎng)的安全問題�,首先要了解產(chǎn)業(yè)互聯(lián)網(wǎng)的本質(zhì)。產(chǎn)業(yè)互聯(lián)網(wǎng)(Industrial Internet)是從消費互聯(lián)網(wǎng)引申出的概念�����,是指傳統(tǒng)產(chǎn)業(yè)借力Ai���、大數(shù)據(jù)、云計算�����、智能終端以及網(wǎng)絡優(yōu)勢,提升內(nèi)部效率和對外服務能力��,是傳統(tǒng)機構(gòu)和傳統(tǒng)產(chǎn)業(yè)通過“互聯(lián)網(wǎng)+”實現(xiàn)轉(zhuǎn)型升級的重要路徑之一��。圍繞產(chǎn)業(yè)互聯(lián)網(wǎng)�����,此前有很多的提法�����,比如toB市場���、企業(yè)服務市場�、行業(yè)互聯(lián)網(wǎng)�,還有工業(yè)互聯(lián)網(wǎng)等分支概念等等,但近年來隨著騰訊等行業(yè)領導者的不斷提倡�,產(chǎn)業(yè)互聯(lián)網(wǎng)的概念逐漸清晰。簡單來說�����,產(chǎn)業(yè)互聯(lián)網(wǎng)不僅能把企業(yè)和企業(yè)、把產(chǎn)業(yè)的上下游連接起來����,更重要的是連接了兩側(cè)企業(yè)內(nèi)部的個體和數(shù)據(jù),能重構(gòu)傳統(tǒng)產(chǎn)業(yè)的業(yè)務鏈和產(chǎn)業(yè)鏈���。某種意義上說��,產(chǎn)業(yè)互聯(lián)網(wǎng)就是消費互聯(lián)網(wǎng)結(jié)合了新技術(shù)����,將數(shù)字創(chuàng)新下沉到各個垂直領域的生產(chǎn)制造��、供應鏈等核心地帶����,最終與傳統(tǒng)產(chǎn)業(yè)實現(xiàn)深度融合的產(chǎn)物。這種理念和實踐的勃興�,讓人們第一次面臨巨大的時代變革的同時,也面臨巨大的安全挑戰(zhàn)��。產(chǎn)業(yè)互聯(lián)網(wǎng)的最基礎路徑之一�����,就是整個社會資產(chǎn)的數(shù)字化��、在線化和可智能配置化����,這也意味著產(chǎn)業(yè)互聯(lián)網(wǎng)開始實施的基礎,是整個社會的數(shù)字資產(chǎn)從線下向線上的大遷移��。——從云計算和大數(shù)據(jù)的角度來看��,現(xiàn)在幾乎100%的創(chuàng)業(yè)企業(yè)都不再需要龐大的IT部門���,計算�����、存儲和傳輸全部可以由少數(shù)的幾家超級巨頭提供的企業(yè)服務平臺來實現(xiàn)�����,由于這將帶來創(chuàng)業(yè)創(chuàng)新巨大的便利��,所以這種趨勢已經(jīng)不可逆轉(zhuǎn)�。但這也帶來了一個問題����,即越來越多的數(shù)據(jù)�����、資產(chǎn)�����、業(yè)務都跑在云上����,集中程度前所未有的增加���,所以安全問題變得格外的突出�����,一旦出現(xiàn)安全問題不再是個人�、單個企業(yè)遭到損失的問題�,是整個社會財富受到重大損失,社會運行節(jié)奏被打斷的問題�����。——從工業(yè)和制造業(yè)的角度來看�,由于物聯(lián)網(wǎng)、機器人主導的智能制造將在未來改變整個生活的生產(chǎn)方式��,導致大量的工業(yè)控制系統(tǒng)和設備大量暴露在互聯(lián)網(wǎng)上����,也已成為各國工業(yè)信息安全的重要威脅和軟肋。根據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測�����,全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設備超過10萬個�����。——萬物互聯(lián)的根本是移動互聯(lián)網(wǎng)��,5G時代將使得更多的數(shù)據(jù)通過無線傳輸�,然而IP的開放性和無線傳輸?shù)奶匦裕拱踩蔀槠浣尤刖W(wǎng)和核心網(wǎng)面臨的關鍵問題之一�����,受現(xiàn)有技術(shù)能力的限制��。產(chǎn)業(yè)互聯(lián)網(wǎng)面臨缺乏識別和限制隱藏在傳輸信息中的惡意攻擊的能力,根據(jù)攻擊方式�,產(chǎn)業(yè)互聯(lián)網(wǎng)面臨著竊聽的威脅、偽裝��、破壞完整性���、拒絕服務���、未授權(quán)訪問服務、拒絕使用/提供����、資源耗盡等等。由于產(chǎn)業(yè)互聯(lián)網(wǎng)幾乎包括了一切的人類數(shù)字資產(chǎn)�����,所以安全問題永遠沒有可以徹底安枕的一天�����,反而是不斷加劇���,根據(jù)Verizon發(fā)布的2018數(shù)據(jù)泄露報告���,2017年全球發(fā)生接近53,000件網(wǎng)絡安全事件����,2018年網(wǎng)絡安全事件保持同等水平�。2017年5月�����,WannaCry勒索病毒爆發(fā)�����,全球150多個國家���,20到萬臺電腦受到影響��,累計損失高達數(shù)十億美元�。2018年8月����,繼荷蘭三大銀行在1月遭受DDoS攻擊后,西班牙央行也遭受DDoS攻擊致使網(wǎng)站和業(yè)務癱瘓��。伴隨大數(shù)據(jù)、人工智能等新技術(shù)的應用��,網(wǎng)絡攻擊向智能化���、自動化���、武器化趨勢蔓延。誰來填補產(chǎn)業(yè)互聯(lián)網(wǎng)安全的巨大空白�����,是一個責任問題��,也是重要的產(chǎn)業(yè)機會�。產(chǎn)業(yè)互聯(lián)網(wǎng)的倡導者的安全擔當是什么?如前所述����,產(chǎn)業(yè)互聯(lián)網(wǎng)的安全問題是一個系統(tǒng)級的問題,它涉及到突發(fā)性��、復雜性和很強的破壞性等多個方面����。從責任來說�����,政府�����、機構(gòu)、企業(yè)都對其擔負有某種程度的責任和義務���。同樣��,客觀的來講�����,我們還是要寄希望以企業(yè)為主體來實施前沿的產(chǎn)業(yè)互聯(lián)網(wǎng)安全問題的探索解決��。因為��,事實證明��,當安全問題不僅是責任也是產(chǎn)業(yè)的時候�,它的發(fā)展速度是最快的。首先����,擔負有重要責任的當然是BAT和TMD這樣的企業(yè)。不過客觀來說����,BAT進行系統(tǒng)性、基礎性研究的經(jīng)歷和經(jīng)驗在目前都強過TMD�����。在BAT三家中��,也是各有特色���。百度因為總體規(guī)模掉隊�����,所以基本上未來的安全戰(zhàn)略要和其AI策略結(jié)合����,將會是劍走偏鋒但也獨具特色的一家�����,未來發(fā)展較難預料;阿里在云計算領域有優(yōu)勢����,也有綜合布局,但其安全業(yè)務在此前的積累較少��;整體對于產(chǎn)業(yè)互聯(lián)網(wǎng)闡釋最全面����,在責任和能力方面平衡的較好的一個產(chǎn)業(yè)互聯(lián)網(wǎng)倡導者則是騰訊。OK�,如果問筆者為什么有這個推論���,我們不妨來從人才�����、技術(shù)��、生態(tài)三個角度來分析一下騰訊是否有能力擔當產(chǎn)業(yè)安全方面的領頭羊的責任����。首先,從人才積累來講����,絕大多數(shù)產(chǎn)業(yè)互聯(lián)網(wǎng)業(yè)務,其實都是巨頭的內(nèi)部業(yè)務需求催生�����,等到應用逐漸成熟后���,再進行商業(yè)化運作��。坦率的說����,由于產(chǎn)業(yè)互聯(lián)網(wǎng)的安全方興未艾����,在人才上面將面臨一個很長的缺口期,這就需要喚醒全社會對于安全人才的教育��、培養(yǎng)�����,建立一套基于產(chǎn)業(yè)互聯(lián)網(wǎng)安全方向的人才機制。毫無疑問�,對于服務全球超過10億用戶的超大型企業(yè)平臺,騰訊本身就是產(chǎn)業(yè)互聯(lián)網(wǎng)時代的系統(tǒng)性安全實踐樣板����,而安全人才則是騰訊最堅固的基石。據(jù)了解騰訊內(nèi)部的安全相關人員有3500多名��。ToB后����,騰訊的這些安全人才將服務于產(chǎn)業(yè)互聯(lián)網(wǎng),但隨著大產(chǎn)業(yè)互聯(lián)網(wǎng)生態(tài)的建立���,騰訊也認識到�,只依靠自身的安全團隊顯然無法滿足整個行業(yè)的巨大需求���,這就需要整個生態(tài)的各個環(huán)節(jié)都增強自己的安全團隊建設。應當說���,在喚起業(yè)界對培養(yǎng)安全技術(shù)人才的重視上�,騰訊做了很多基礎性的工作����。比如在目前對高校���、科研領域有很大影響的諸多安全賽事上,處處可以看到騰訊閃現(xiàn)的身影�。比如著名的TCTF,這個由騰訊安全聯(lián)合實驗室主辦的信息安全競賽�,連續(xù)三年助力行業(yè)培養(yǎng)安全人才,已經(jīng)成為國內(nèi)安全領域很有影響力的賽事�;又比如在號稱史上最嚴苛的貴州云上安全攻防賽上,騰訊安全戰(zhàn)隊取得了“攻”與“防”的雙料冠軍�����。除了專業(yè)賽事外�����,騰訊近年來也在與一流的信息安全高校合作�,不斷向行業(yè)輸送人才、培養(yǎng)人才���。不過�,在筆者看來�����,騰訊除了要在人才培養(yǎng)端增加投入外,更應該讓行業(yè)認識到在產(chǎn)業(yè)互聯(lián)網(wǎng)方向上存在巨大的創(chuàng)業(yè)機會�,意識到產(chǎn)業(yè)互聯(lián)網(wǎng)是一個很長的鏈條,方方面面都有安全創(chuàng)新的需求�,從而達到利用市場來協(xié)調(diào)人才資源的快速分配的效果。其次��,擔當產(chǎn)業(yè)互聯(lián)網(wǎng)的安全守護著����,需要掌握前沿尖端安全技術(shù)。在安全技術(shù)體系的整體性上��,以及從經(jīng)驗和技術(shù)底蘊來講�����,騰訊首先自己就是全球巨大數(shù)字財富的最大管理者之一���,它提供了世界上規(guī)模最大�、用戶最多的即時通訊基礎設施�����,還有著消費互聯(lián)網(wǎng)領域幾乎最全面的業(yè)務布局����,這使得騰訊有很多安全方面的積累。有一句業(yè)界評論說的很對����,由于擁有全球第一的互聯(lián)網(wǎng)人口,中國任何一個國民級應用的技術(shù)水準都是世界級的����。圖為騰訊副總裁丁珂在2019互聯(lián)網(wǎng)安全領袖峰會上分享除了能力,騰訊的安全觀念也在發(fā)生變化�,騰訊副總裁丁珂說:產(chǎn)業(yè)互聯(lián)網(wǎng)時代的安全形態(tài)已經(jīng)發(fā)生改變,“數(shù)據(jù)資產(chǎn)安全���、身份識別安全��、業(yè)務管理安全”將成為產(chǎn)業(yè)互聯(lián)網(wǎng)的三大核心痛點����,企業(yè)需要扭轉(zhuǎn)被動防御的傳統(tǒng)安全思維�����,從戰(zhàn)略視角切入構(gòu)建“產(chǎn)業(yè)安全戰(zhàn)略觀”。此外�����,從組織機構(gòu)的變革上��,騰訊已經(jīng)成立了安全聯(lián)合實驗室�����,旗下涵蓋反病毒實驗室����、反詐騙實驗室和移動安全實驗室等七大實驗室,安全防范和保障范圍覆蓋了連接�、系統(tǒng)、應用�����、信息��、設備�����、云六大互聯(lián)網(wǎng)關鍵領域����。比如在汽車安全領域有著深入的技術(shù)研究科恩實驗室,連續(xù)獲得寶馬�����、特斯拉等頭部汽車企業(yè)的致謝��,肯定其在智能網(wǎng)聯(lián)汽車方面的研究成果����。而從責任意識來講,騰訊也是較早意識到產(chǎn)業(yè)互聯(lián)網(wǎng)安全問題的國內(nèi)企業(yè)�。比如互聯(lián)網(wǎng)安全領袖峰會(CyberSecurity Summit,簡稱“CSS”)就是由騰訊公司�����、中國電子技術(shù)標準化研究院等企事業(yè)單位共同創(chuàng)辦的��。有心人可以看一下歷史�����,CSS的首次舉辦是在2015年。這距離騰訊宣布allin產(chǎn)業(yè)互聯(lián)網(wǎng)的2018年的“930變革”��,以及云與智慧產(chǎn)業(yè)事業(yè)群(CSIG)的組建���,足足提前了3年多的時間��。這也說明�,騰訊在歷史上第一次集結(jié)tob業(yè)務前的很久很久����,就開始系統(tǒng)的考慮產(chǎn)業(yè)互聯(lián)網(wǎng)的安全問題。最后���,除了人才��、技術(shù)兩個角度外����,如何與需求方合作打造安全樣板�,建立具有示范意義的生態(tài)布局,也是考驗騰訊能否成為行業(yè)領頭羊的重要試題�。所謂生態(tài)就是����,在一切還未形成完整的生態(tài)鏈時�,生態(tài)核心要創(chuàng)造足夠的影響力。所以在筆者看來�����,騰訊搭建安全生態(tài)要有兩個基石——第一是開放自己的數(shù)據(jù)中臺能力�,第二是創(chuàng)造足夠多的安全樣板����。從開放中臺和完善產(chǎn)業(yè)鏈的角度,未來的三到五年����,產(chǎn)業(yè)互聯(lián)網(wǎng)安全市場有望躍升到千億規(guī)模,所以騰訊必須通過情報的共享����、技術(shù)人才的開放,最終實現(xiàn)中臺能力的技術(shù)外化�,甚至孵化一批可以完善充實安全產(chǎn)業(yè)鏈的垂直型企業(yè),實現(xiàn)持續(xù)為產(chǎn)業(yè)互聯(lián)網(wǎng)安全的發(fā)展提供源源不斷的動力和支持���。
從創(chuàng)造行業(yè)示范的角度�,騰訊在金融、交通���、政府方面的安全實踐越來越受到關注�����,目前�����,已經(jīng)有來自互聯(lián)網(wǎng)金融��、智能汽車����、物聯(lián)網(wǎng)��、智能硬件等多個熱門產(chǎn)業(yè)領域的頂尖企業(yè)500余家參與過CSS�。不久前,為了檢驗國內(nèi)大型企業(yè)單位的網(wǎng)絡安全防護能力����,有關部門組織了一場大型的網(wǎng)絡安全演練�����,騰訊也參與其中����,承擔了安全防御的對象是一家大型的金融企業(yè)���,有110多支攻擊隊伍瞄準了這個機構(gòu)��。在21天的攻防對抗中,騰訊協(xié)助該機構(gòu)成功抵御了不間斷的攻擊挑戰(zhàn)�,最終實現(xiàn)零安全事件的通報、零失分的成績��,保護了目標平臺�����、租戶�����、應用系統(tǒng)����,還有主機資產(chǎn)的安全���。在本屆CSS上,中國銀行總行網(wǎng)金部總經(jīng)理郭為民分享了這樣一番感受����,他說:“在我看來,騰訊其實面臨的攻擊比我們還多�����。我們跟騰訊公司合作的網(wǎng)御系統(tǒng)��,它不是某一項技術(shù)��,而是一個安全防控體系�,結(jié)合了大數(shù)據(jù)、人的行為數(shù)據(jù)���、人的時序數(shù)據(jù)���,也結(jié)合了其他數(shù)據(jù)標簽,用多維的方法����、體系化的手段來解決安全防控問題���。因為和騰訊合作運用了這些新技術(shù),我們現(xiàn)在更有信心能夠保證我們客戶的資金安全����、交易安全。所以����,在這里跟大家分享一個我的心得,我覺得與騰訊公司合作以后�����,我晚上睡覺更安穩(wěn)了����?!?/span> 圖為中國銀行總行網(wǎng)金部總經(jīng)理郭為民在2019互聯(lián)網(wǎng)安全領袖峰會上分享筆者認為,騰訊有龐大的產(chǎn)業(yè)互聯(lián)網(wǎng)生態(tài)��,為這個體系進行安全的保駕護航是騰訊的基本責任��。但騰訊一家解決不了所有的問題,所以適當?shù)姆艡?quán)+賦能是必然的��。從17年開始�����,騰訊安全聯(lián)合國內(nèi)安全上市企業(yè)成立P13安全領袖俱樂部����,致力于推動國內(nèi)安全生態(tài)建設,到今年�����,已經(jīng)發(fā)展成為P17�,基本上涵蓋了國內(nèi)最具影響力的安全上市公司。而在CSS中誕生的還有FuturePower50安全新銳公司俱樂部���,這也反映騰訊有目的的培養(yǎng)安全領域的生態(tài)企業(yè)和合作伙伴�,對于這個巨大的機會���,騰訊希望采取自己先示范+合作伙伴來填補產(chǎn)業(yè)鏈條的方式���,為各層級��、各場景的應用����,提供詳細的解決方案���,這其中也有巨大的商機�。更為值得注意的是��,騰訊的高層提出���,在產(chǎn)業(yè)互聯(lián)網(wǎng)時代�����,安全主體從以人為中心到以產(chǎn)業(yè)為中心����、安全形態(tài)從以合規(guī)導向的安全集成到數(shù)字資產(chǎn)的原生安全����、安全思維從被動防御到主動規(guī)劃。從被動到主動�,意味著互聯(lián)網(wǎng)產(chǎn)業(yè)的安全觀念將發(fā)生顛覆性的變化,雖然目前還沒有足夠多的案例�����,但這種方向的轉(zhuǎn)化已經(jīng)足夠值得期待�。100W創(chuàng)業(yè)者及投資人關注
|
