威脅無處不在，安全如何應對？
——共建“互聯網+安全”新生態體系

本刊記者/崔 鵬

威脅無處不在，安全如何應對？
——共建“互聯網+安全”新生態體系

本刊記者/崔 鵬

當今，互聯網面臨更多未知的威脅和漏洞，全新的安全產品才能防御新的安全威脅，專家高峰對話，共建“互聯網+安全”新生態體系，做其中的推動者和參與者。

主持人

黎爭 計世傳媒總裁

嘉賓

王錦炎

中國銀河證券網上交易中心主任Bret Hartman

思科安全首席技術官

Marisa Chancellor

思科安全總監

于盟

工信部電子科學技術情報研究所網絡安全測評中心部長

劉志樂

杭州安恒信息技術有限公司CSO

·黎爭 計世傳媒總裁

01

黎爭：互聯網發展到今天，完成了人與人、人與物之間的聯系，隨著像VR技術的發展，人機連接，預示著真正的數字化來臨，這樣一個來臨究竟給網絡安全帶來哪些新的變化和趨勢？

王錦炎：近幾年網絡安全對金融系統來說是嚴峻的話題，因為數據的安全無處不在，特別是互聯網、物聯網、云計算。我們認為云計算實際上也是一個新型計算機系統，它的特點主要是共享性，它的安全問題比較特殊。物聯網是物物相聯，實際上這是傳統網絡安全的衍生。可以說云上的發展帶來很大的網絡安全不確定性。

Bret Hartman：物聯網面臨的安全威脅非常嚴重。比如說一個醫療設備，或者是水務設備、水務管道等等，它們的安全問題很重要，如果被攻擊將對于我們的生命造成威脅。怎樣來滿足安全方面的要求呢？一方面就是充分的利用現有的一些產品和技術，比如防火墻、加密等系統，這是第一步，這樣還可以降低成本。我們知道技術開發的成本非常高，我們可以提供一些小規模的軟件，從而能夠為客戶提供定制化的安全保護服務，另一方面我們需要新的技術更加有效的保護我們，如一些專有的技術，這兩者之間結合能夠使我們快速的來部署并提高安全有效性。

Marisa Chancellor：關于物聯網，我們需要一個可信的系統和可信的環境。比如手機、臺式機，要確保它是一個可信的設備。我們一方面要進行投資，一方面我們要確保這些技術開發的簡化性，要考慮成本有效性，有時可進行快速創新。另外一點就是現有的流程，怎樣才能對現有的技術設備進行一個有效的管理。

02

·Bret Hartman思科安全首席技術官

黎爭：作為研究工作者，于盟可否給我們介紹一下你們觀察到最新的網絡安全的趨勢？

于盟：從2000年之前，我們就開始跟蹤面對政府、重要的行業，以及現在工控領域的網絡安全的問題。現在大數據以及物聯網的發展對網絡安全帶來最大的兩方面的影響。首先從政府和重要行業來說，就是這種大數據帶來的網絡安全問題，其實網絡安全最本質的應該也是數據安全的問題。因為不管是各種應用還是這種大數據的計算帶來的是一種數據的匯總和集中，這個系統一旦被攻擊，會導致大量數據被泄露，數據被泄露后，又可以被某些人利用大數據的技術進一步進行分析，然后再用作網絡詐騙的行為。這方面我們有典型的案例，這是在大數據方面帶來的最嚴重的一個網絡威脅。

第二個就是關于物聯網，我們在工控領域做了很多研究?，F在電力、水利，包括交通行業等等，很多的工控領域的行業，在所有的工控IP化以后它就把互聯網安全問題帶入了工控，導致了工控領域千瘡百孔，我們相信工控領域的網絡安全將有一個比較快速的發展。

黎爭：當互聯網滲透到工業的生產領域里面的時候，生產的安全是下一波關注的重點。安恒信息劉志樂在前面的演講里已講到社會公眾領域網絡安全已帶來了一些新的挑戰，因為你是在一線，時刻與網絡攻擊打交道，相信您還感受到一些新的趨勢，能否和我們再分享一下？

劉志樂：任何一項技術它都是有雙刃，在帶給人們便利的同時，也會做一些有害的事情。比如說大數據、云計算，帶給人們便利的同時也會被黑客利用?，F在黑客利用云計算分布式計算能力去進行密碼的暴力破解，這在過去是不太容易實現的一件事情；還有的時候黑客利用云計算免費的計算資源去做DDOS的攻擊，這都是新的時代所產生的新問題。

黎爭：企業面對無處不在的黑客攻擊的時候，有什么辦法，俗話說魔高一尺、道高一丈，相信銀河證券有很多的交易時時都在發生，萬一知道我們帳號里面的錢，或者我的股票偷偷被黑客弄走了怎么辦？王總有什么辦法防止他們？

王錦炎：各種黑客都有，有一種是商業黑客，主要是攝取機密為主，一個系統性的潛伏性隱藏性很強，它就根據你的業務流程，你的管理模式里面發現你的漏洞，采取一些網絡的攻擊；還有一些簡單的黑客會竊取你的個人商業數據、密碼和基本情況等；還有一種是破壞性強的黑客，前幾年我們證券所碰到過這樣的黑客，通過鍵盤攻擊，瞬間就產生大量的混亂數據，浪涌到系統中，這是一種破壞性的攻擊。防范黑客攻擊，首先要建立一套預警系統，還有防范性的系統，最后還要做一個應急處理的系統。但黑客從哪里攻擊？什么時間攻擊？我們無從知曉，所以這三個系統防范以外，還會采取一些具體的技術，比如匿名技術、虛擬機技術、密碼技術，還有防范控制之類的數據挖掘來獲取。

黎爭：Bret Hartman，你開玩笑說要離開思科就去做黑客，所以你應該對黑客比較了解了，那有什么辦法能夠去阻止黑客的攻擊？

Bret Hartman：這是一個非常精彩的問題，我還是想做一個好人不想做壞人。目前，黑客越來越產業化了。我們知道黑客的初衷就是掙錢，他們組織良好、信息共享也快速有效。從保護的角度來說，我們在信息保護的方式、信息分享的方式好像還不如黑客，事實上我們應該比他們做的更好，才能夠進行預防。要做一個好人，我們是處于被動的狀態，而對于黑客來說他們是處于暗的地方，他們可以想做什么就可以做什么，這是一個地緣政治的問題，還有一個監管問題，是一種合作的事業，我們要贏得這樣的戰役，就必須要有一個很好的標準和好的技術，我們還需要持續地去推動全世界之間的合作，這是一個世界的問題。

所以我們才坐在這里進行高峰對話，我們要進行合作，盡可能的通過合作來避免各種威脅；另外一點，就是必須要有一個可行性，整體的架構，我們需要有一些數據來進行分享。我們需要有這樣一個臺式機、云平臺等等，要有可見性，這非常重要，通過這種可見性我們才能夠分享這些信息。所以說一方面就是要進行合作，另外一方面要有可見性。

03

黎爭：Bret Hartman精彩的觀點概括而言就是明槍易躲、暗箭難防，對付黑客我們要團結起來。站在女性的視角，Marisa Chancellor是否有更溫柔的方法瓦解黑客，讓他們主動繳械投降？

·Marisa hancellor思科安全總監

Marisa Chancellor：IT公司或者提供服務的提供者，是要分享經驗，怎樣有效的進行防范，我們可以進行分享。不是從一個女性的角度，而是從一個社會工程師的角度來看，我們要進行自我的調整，要主動出擊。針對網絡安全，很多時候大家做的都是一種防御性的事情，但我們應該更加主動的出擊，而不是被動的去防范，知己知彼方能百戰不殆，在這方面我們有很多的機會。

04

黎爭：站在工信部的角度，有沒有一些辦法在政策和法律層面，能夠去抑制黑客組織的壯大，能夠讓他們更收斂？

于盟：在中國的政策層面也是做了這方面的考慮，在做一些相關標準的制定，比如說網絡安全情報分享的標準。關于黑客的攻擊，我認為黑客攻擊和防護是不對等，為什么呢？就好像是一個大廳一樣，這大廳有五個門、十個門，我們作為防護者需要把這十個門都防護好才保證沒有未授權的人進來。但是作為黑客的話只需要發現一個門就OK。這在于攻擊者和防護者不對等，導致了黑客攻擊更簡單了一點。 從國家角度來說，對于黑客攻擊的行為，肯定是要出臺一些制裁的措施政策。但是我們想更多的是要引導。就像現在我們出現了很多漏洞風險的通報平臺，但是我們還是需要去引導，為什么？因為漏洞風險通報平臺，很多時候是無序漏洞信息的紕漏，它有可能對這系統造成進一步的損害。我們現在也是在考慮更好地規范這一過程。保證了這種白帽子，在這一過程中獲取到他的利益，才能保證平臺安全公司在其中獲取到利益，同時在保證漏洞受影響的單位，不再遭受進一步更大的破壞。

·于 盟 工信部電子科學技術情報研究所網絡安全測評中心部長

黎爭：看網絡安全公司，尤其是見到首席安全管理師的時候，我覺得像一個武功高手，感覺就是在網上做活動，所以我想劉志樂你非常有發言權，你是用什么武功秘笈來對付他們？

劉志樂：實際上我們講的大數據態勢感知系統就是理論的實踐，就是要把過去單點的攻擊放到一個大的數據里面，最終能形成一個關聯；然后經過這種數據的融合和技術，當然也包括未來我們國家如果就像于盟講的威脅情報共享機制的時候，這樣的話我們就能有效的應對這種黑客。比如說這個壞人今天在美國撬了一所門，但是這個人進入到中國的時候，就知道這個人身上有一個標簽，“這是一個小偷會開別人家的門”，這時就可以讓他沒有機會到中國再開很多的門。黑客也是這樣，我們如果利用大數據技術，利用情報共享技術，最后能把這些鎖定，又能通過一些實時的防護、云防護技術最后能把這減少到最低。我覺得這是大家為什么，包括世界上、包括中國都在談論的幾個熱的詞。比如說威脅情報，大數據的挖掘，這種軟件定義安全等等都是基于這個來的。

黎爭：講到云的發展，公有云、私有云發展越來越蓬勃，云的安全問題，代表了網絡安全的一大部分，針對云的這種發展所帶來的網絡安全問題，王總給我們分享哪些好的想法？

王錦炎：云計算是這幾年才開始的，屬于探索的階段。我們幾年前就開始做云存儲，前年我們跟阿里云合作，證券網絡的信息流量太大，我們并發用戶一秒鐘都上萬筆，系統的壓力非常大。如果我們全部都建這個平臺的話就會起點太高，所以我們跟阿里云合作，把我們的行情委托給阿里云，把我們的查詢系統也托給阿里云，但我們的客戶基本數據還有交易的核心數據是在我們內部的云里面來運行。所以云服務、云計算極大的降低了企業經營成本，而且瞬間能把我們的流量提高上去。但是我們在阿里云的應用方面，最關心的一個關鍵問題，就是數據的安全。云應用以后，云的數據處理跟存儲也是公共社會，我們企業很難控制，數據的可信、可看還有安全可靠，這個怎么解決。所以這幾點安全問題，還是有賴于在座的服務商、供應商來給我們提供一些很好的解決方案。

05

黎爭：從跟阿里的合作來說，既有公有云也有私有云，在網絡安全方面差異大嗎？哪塊挑戰更大？

王錦炎：現在的話都是一個探索，實際上我們希望公有云、私有云全部打通，打通云與云之間，企業云、個性化云，各種行業的云聯通最好，但這也要一步一步走。所以我們必須要求可控、可靠、安全、可見，這幾個有保證的話，才能保證我的交易數據及整個信息的安全，所以目前我們還不敢往前邁出一步，但是其他的公共服務方面、金融服務、信息服務放在公有云是沒有問題的。

黎爭：核心的交易云，就是私有云跟公有云現階段還無法打通，最大的問題是安全的問題，但是這一步要跨過去恰恰就是安全方案解決商巨大的機會，劉總你能幫他們跨過去嗎？

劉志樂：我相信這一天肯定不久就會到來。我們和行業內的一些公司一起來合作，最終把這事情實現，我有信心。

黎爭：網絡安全應該上升到企業發展戰略角度來思考，也就是說未來企業網絡安全的可靠程度會決定你的業務發展和增長，某種程度上甚至決定你的企業和未來，這觀點在座的嘉賓不知道你怎么看的？理由是什么？

Bret Hartman：毫無疑問，網絡安全越來越多的成為了真正創新的制約因素。您剛才談到了云安全的問題，其實也是一個很好的事例，關鍵看你在哪個市場。事實上只要安全就可以做。如果沒有安全保障，大家不會愿意在這領域創新，這一點上毋庸置疑。不管是世界任何一個地方，業務風險越來越多的是網絡安全方面的風險，當然還有其他的物理安全，比如火災、股災等等各種各樣的問題，但是網絡安全已經越來越威脅到企業的生存，因此我們必須在網絡安全方面抓住創新的市場機遇，這就要求我們之間共同合作，讓我們推動創新，所以談到新技術的時候，物聯網就是一個非常好的例子。如果我們沒有安全保障，我們如何把車聯在一起，如何實現車聯網，所以最終還是網絡安全解決的問題。

黎爭：網絡安全不僅是戰略，同時也關系到企業的生存，關系到企業的創新。Marisa Chancellor您是如何理解的？

Marisa Chancellor：我認為不只是一個公司的生存問題，必須把網絡安全當作企業的關鍵競爭力。如果你現在就投資于安全的話，你們就可以提供客戶信賴的產品服務，這就意味著你可以在競爭中獨占鰲頭。我想繼續用塞車來比喻，塞車它不光要有油門，還要有剎車，事實上正是因為有了剎車，我們才能夠狠狠地踩油門，這就是創新和安全之間的關系。所以企業必須意識到網絡安全是他們致勝的競爭力。

黎爭：臺上五位嘉賓實際上代表三方，有網絡安全解決方案提供商、研究者、應用方，作為研究者于盟您怎么看待這觀點？

于盟：這觀點肯定是沒錯的，但是我們認為作為用戶，他應該在新的網絡關系下面重新對自己的業務進行評估。為什么？因為現在新的網絡環境帶來網絡安全的問題，就導致原來的業務流程有可能就出現了一些問題，帶來了新的風險，需要整個公司業務流程做出對網絡安全方面的評估。把網絡安全的戰略加到整個公司運轉的行業里面。我們研究發現，我們說的就不只是網絡安全公司的生存問題，網絡安全還關乎到國家安全，它是發展的一個保證。

為什么？因為作為IT服務公司，我們本身把網絡安全做好，才能夠給客戶信心，我們之前接觸過類似的案例，就是某一些公司本身出了一些問題，導致他們公司的產品股價大幅度下跌，這是關乎公司的命運。從國家層面來說，像很多國家基礎的地理信息、人口信息，包括一些關鍵的運轉基礎設施，這些設施一旦被攻擊的話，它影響的不僅僅是某一個公司，它影響的是人民群眾的生活，影響整個國家的安全，所以說網絡安全再怎么強調都不為過。

06

黎爭：網絡安全不僅關系到企業未來的發展，也對企業現有的生存提出挑戰，既關乎現在也關乎未來，也關乎整個國家的安全，劉總您的觀點是？

劉志樂：國外，索尼之前發生了入侵，整個股價波動，整個管理層出來給用戶道歉；國內，去年有一個攝像頭廠商發生了一個黑天鵝事件股價下跌，這些事情會影響整個公司的經濟狀況，它也是整個社會的現象?，F在，我個人呼吁網絡立法能更快地推出實施。因為在國內有很多的單位的互聯網信息泄露，對于它來講沒受到多大的損失，這時候可能在安全的投入上就不一定用心，如果說我們有立法來去推動這樣的事情，我相信這樣的事情可能會更小，整個社會將更和諧。

·劉志樂 杭州安恒信息技術有限公司CSO

黎爭：關乎整個戰略的需要，王總您是客戶最有發言權，您是否可以分享一些不一樣的觀點？

王錦炎：金融企業首先要保證我們的客戶資金的安全、交易的安全，個人重要數據關聯的安全。網絡安全是技術安全領域中的一點，但是網絡安全沒有的話我們連開業都開不了，所以這是基本的安全問題。要做好網絡安全，我認為首先是管理要到位，還有規章制度，要建章建治。但這是一個投入問題。就是說你在安全的等級配套的產出投入是多少，每個企業有一個均衡的投入產出，但是安全是均衡的，我不可能因為一年虧損幾百萬就投一千萬去防范安全，這是不值得。所以我們金融行業有提風險準備金，如果賠兩千萬沒有問題，但是投一兩個億就不可取，所以安全是一個永恒的問題。現在的物聯網、云計算技術的廣度和復雜度很大，所以安全的方方面面會有很廣的領域，這里有一個投入產出的問題。