安全公司要合縱連橫？大佬們這么說 | 2018 互聯(lián)網(wǎng)安全責(zé)任峰會

希腊神话中，上神普罗米修斯从太阳神阿波罗那里盗走火种送给人类，为人类带来了光明，但同样，火也会制造危害与困难。

而今天，如果把互联网比作希腊神话中的上神，无数白帽子以及网络安全运营者发现的漏洞便是火种，用的好是希望，用不好是灾难。

能力越大，责任越大，手持火把应如何前行？这是第一个问题。

彼得·蒂尔曾说过，“我们想要一辆会飞的汽车，得到的却是 140个字符。”而在网络安全领域，如何创造一辆“会飞的车”又不仅限于“140个字符”，面对补不完的漏洞，安全公司在过去十几年到底做了些什么又发生了什么改变？这是第二个问题。

以上这两个问题似乎都可以在i春秋主办的 2018 互联网安全责任峰会上得到答案，来自京东首席信息安全专家TonyLee，滴滴出行信息安全部战略副总裁弓峰敏，阿里巴巴集团技术副总裁、首席安全专专家杜跃进，百度安全副总经理沈鹏飞围绕上述问题进行了讨论。主持人潘柱廷，北京永信至诚科技股份有限公司高级副总裁兼首席战略官。

以下为大会实录，宅客频道（微信公众号：letshome）编辑整理。

潘柱廷：作为网络运营者有哪些重要的安全责任？

Tony Lee：事实上我们不仅是网络运营者，也是数据运营者。我们做安全并非为多写一行代码，多赚一块钱，最核心的、最本质的驱动是责任感和正义感。

从京东的角度，我想谈两件事，第一件是我们其实经常遇到一些攻击，不久前我们做溯源分析时候遇到一次攻击，发现攻击者有一个包含几十家公司的攻击目录。也就是说这个人在攻击的时候，其实将木马覆盖了几十个公司。可以看到类似这种威胁并非针对一家公司，而是横扫一片，因为它要争夺计算和网络资源，攻击对象当然越多越好。当时我们把这一信息传达给目录上的这几十家公司，这就是责任感，一旦发现事情要及时通报。

另一件事是京东未来的重要业务，其一是智能家居的协议，其二是AI。

我们经常思考的一个问题是，不管是 AI 还是IoT，安全该怎么做？过去的二三十年出现的众多安全问题，归根到底是没有关注网络协议层面的安全问题。今天所需要众多安全产品也是因为一开始没有设计安全在里面。反之，iPhone为什么不需要安装杀毒软件？

而未来的 IoT 与 AI 无处不在，特别是 IoT设备很难管理，这种情况下该如何做安全？对于京东来说，我们的责任就不仅仅是找漏洞或者是代码安全，而是从整个安全机制，安全协议出发，所做的东西是在为未来铺路，这也是责任感。

弓峰敏：对于任何一个安全服务提供商，最重要也是第一位的是对用户数据、隐私保护。而与这一服务相关的安全，实际上更应该受到关注。对于滴滴来说，尽管它是服务型的公司，但我们的理念是安全第一，体验第二，第三才是效率。安全本身就是服务的一部分。实际上今天我们做的安全，已经把出行安全包含在内，所以我们采取的种种措施，比如怎样监控行程状况，都会影响到客户。

在做安全过程中，我们也意识到，今天做安全必须要有广泛的合作与共享。如果能把信息迅速共享，就能提升整个生态的效率，接下来才是大家做补丁的操作过程。

杜跃进：我觉得责任至少要体现在这样三层，第一层所有人都容易理解，安全是发展的重要保障，所以任何一家企业，任何一个网络运营者的安全部门，首先要保证业务能够按照预期设想前进。但后两个层次我觉得很多人没有理解到位，才会产生某个部门有责任却不修补漏洞甚至指责白帽子发现漏洞。

这是因为对于网络运营者来说，他的安全责任不仅仅在于自己的产品，还在于其用户。在过去的时候，网络运营者多指运营商、网站以及与互联网有连接的，或者说借助互联网提供服务的企业。但今天网络运营者已经变成了一个非常广泛的概念，几乎所有的行业，可能过两年“几乎”两个字也可以去掉了，所有的行业都是网络运营者。因为所有的行业、所有的业务，都在拿互联网做基础设施。

因此，既然企业通过网络运营，那他就会有用户，他自己的安全就会涉及到其用户的安全。网络安全不仅仅是自己的事儿，也是别人的事儿。此时发现漏洞不修当然不可以，因为这不仅仅关系到自己，还关系到别人。

第三个层面，我觉得我们网络运营者也要重视生态或者是行业发展的责任。比如说阿里，我一直在呼吁的是，如果大家对于在网上买东西都失去了信心，大家觉得网上的评价全是假的，或者网上购物会导致信息泄露引来诈骗，认为互联网金融是不安全的。如此一来不仅会影响消费者的信心，企业发展也会受到影响，安全更做不下去了。

所以对于网络运营者来说，大家应该有这样的一个认识，就是我们所做的事情，最大的目标是让消费者相信我们这个行业，尤其是安全，然后才可以让行业健康的发展下去。我觉得这三层都是网络运营者在安全上面的责任。

沈鹏飞 ：昨天我的朋友圈发布了一条信息：2017 年百度内部可以给大家一组数据，我们发现每天新增的恶意网址达到 766.8万条，一年发现的恶意网址大概 202 亿左右。

如何保证网民在上网的过程中不会被钓鱼，并提供相应的号码安全、网址安全，都是我们积极做的事情。另外针对与黑产的对抗，在全网的安全监测、攻击溯源、网络犯罪研究、黑产的追踪上面，我们也做了很大投入。

从整个黑产来讲，最早的 Web 端到手机端，AI 时代已经到来，未来物联网的设备安全、系统安全，都需要我们密切关注。而百度在 AI层面打通系统，打造更开放的平台，更具有活力以及安全性。

潘柱廷：在各位看来，如何与其它网络运营者进行合作？

Tony Lee：我想和大家分享一下反病毒公司间的合作，要知道全世界的反病毒公司都是协作的，你很难想象之前还是竞争者的公司会真的分享病毒样本和情报，当然他们有加密的key，也有几个机制在里边。其互相合作的水平，紧密度是安全行业最高的。

但除了反病毒，我们还没有看到行业中有类似分享，这也是我们需要去提升的空间。特别是国内，没有国外的开源文化环境。目前国内不管是做安全还是整个互联网企业，更多的是拿着开源的技术，根据自身的特点进行改进。

经常会发生的状况是，在一段时间里我们有了一定的基础，以及技术发展之后，却发现国际水平又变化了，此时又得重新做一轮升级。这是我们的困境，从技术角度看，如何做到更多的开源，以及分享十分重要。

另外一个，在这个生态中是有不同角色的，不同角色拥有的数据也不一样，而角色也决定了我们的合作方式不同。而对于一些互联网大国，比如滴滴、百度也好、阿里等，我们要有额外的责任。比如大力发展的AI 技术如何落实到实际应用场景，比如无人门店、无人仓库、无人机、无人卡车等，以及金融科技里的一些 AI 技术、IOT等，我们必须得分享出来。

很多安全工作者很难接触到最新的技术，而我们有责任，把自己最好的东西拿分享，让这些技术工作者有机会在此之上进行安全研究。

弓峰敏：简单从三个维度概括我们所做的事情，第一是情报共享，包括SRC联盟，以及在此基础上的黑产对抗。另一个层面有些技术性的摸索，比如不同的平台提供各种线上服务，不可避免有付费的环节。这里需要考虑，想要做好风控对黑产进行打击，在我们的平台以及一些付费系统中，什么数据是可以共享的？什么数据需要进行脱敏？这需达成共识。从更深的层次安全实践来说，漏洞、挖掘、补洞是很重要的一个层面。如果多数企业对安全实践的基本做法有完整认知的话，会对其安全防御能力大幅提升。

杜跃进：我们所有人都认同的是任何一家企业不能独善其身，任何一个国家也无法应对整个网络框架的安全威胁，这也是为什么我国也提出了人类命运共同体。但现实中，我们合作得并不好。

为什么大家合作不好？是因为我们这些网络运营者者没有有大的格局。至今我依然认为现在的很多甲方企业，不论是愿意还是不愿意，变成了网络运营者之间商业竞争的一个攻击武器。

实际上网络安全运营者之间应该是合作者关系，我们的对手是黑灰产不法分子。我希望整个行业有更多的人能认识到这一点，大格局很重要，安全力量应该被团结起来。

沈鹏飞：百度开展了以下几个方面的合作，第一，与华为和中国信通研究院发起，将自己的技术进行分享、开源给所有的联盟企业。另外从运营商层面，我们与移动和连通，在号码安全、网址安全，包括伪机站方面，进行了合作。还有现在也在与各个公安机关进行合作，通过自己技术和能力，结合一些信息和数据进行有效的溯源，追踪黑产信息，从各个维度形成通力合作。

潘柱廷：各大公司应该怀揣大格局、大视角的心态，不仅看重自身企业业务的发展，也要为现在和未来搭建生态合作，合纵连横，形成各个公司之间的奇妙纽带。