《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 觀點(diǎn) | 騰訊安全于旸:以“眾測”生態(tài)筑牢企業(yè)安全防線

觀點(diǎn) | 騰訊安全于旸:以“眾測”生態(tài)筑牢企業(yè)安全防線

2021-06-02
來源: 中國信息安全
關(guān)鍵詞: 騰訊安全

微信圖片_20210602102253.jpg  

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸5月19日在“今朝安全眾測平臺”啟動運(yùn)行發(fā)布會上發(fā)表演講。

人們對信息技術(shù)、網(wǎng)絡(luò)空間的認(rèn)知,經(jīng)歷了幾個不同的階段。計算機(jī)、網(wǎng)絡(luò)剛誕生的時候,大家覺得計算機(jī)和網(wǎng)絡(luò)就是一個工具, 和人類歷史上發(fā)明的那些工具一樣。后來,隨著信息技術(shù)的不斷發(fā)展,在各行各業(yè)的應(yīng)用不斷加深,人們意識到這個工具和以前的那些機(jī)床、錘子、鉗子不太一樣。雖然信息系統(tǒng)本身只是工具,但是里面的數(shù)據(jù)卻是資產(chǎn)。人們還意識到了網(wǎng)絡(luò)空間可以和物理空間互動,可以對物理空間造成影響。再后來,人們意識到網(wǎng)絡(luò)空間會成為人類生活乃至生存的空間,會和物理空間融為一體,不可分離;意識到網(wǎng)絡(luò)空間里的疆界也是國家疆界的一部分。

  對網(wǎng)絡(luò)、信息技術(shù)有了這樣一個認(rèn)知之后,人們終于明白網(wǎng)絡(luò)安全問題也會變成社會安全問題,甚至是國家安全問題。前段時間就有一個非常典型的案例:美國一家天然氣管道運(yùn)營商由于受到網(wǎng)絡(luò)攻擊,停止運(yùn)營了兩天。也就是說,因?yàn)榫W(wǎng)絡(luò)安全的問題,導(dǎo)致了一個國家的基礎(chǔ)設(shè)施停運(yùn)兩天。

  信息產(chǎn)業(yè)界對網(wǎng)絡(luò)安全的認(rèn)知也有漸進(jìn)的幾個階段。20多年前,信息產(chǎn)業(yè)界對網(wǎng)絡(luò)安全處于一個建立認(rèn)知的階段。這個階段大家還在逐漸去理解網(wǎng)絡(luò)安全是什么,意味著什么。當(dāng)時一些企業(yè)的認(rèn)知還是“被入侵了大不了重裝系統(tǒng)”。但后來,企業(yè)逐漸開始重視并嘗試解決網(wǎng)絡(luò)安全問題,開始從技術(shù)、管理上探索,希望通過安全技術(shù)、安全流程,從內(nèi)部去解決安全問題。這個階段很有成效,出現(xiàn)了很多新的安全技術(shù)和安全管理手段。到了第三個階段,企業(yè)在使用了各種安全技術(shù)和管理手段之后,終于發(fā)現(xiàn)網(wǎng)絡(luò)安全問題不只是技術(shù)和管理的問題,它還是一個生態(tài)的問題。這個生態(tài)包括技術(shù)的生態(tài)和人的生態(tài)。技術(shù)生態(tài)是什么?是很多企業(yè)發(fā)現(xiàn),即使把自身的安全能力做得很強(qiáng)也還是不夠,因?yàn)殡S著信息產(chǎn)業(yè)的發(fā)展,多數(shù)產(chǎn)品都不再是獨(dú)立的。系統(tǒng)中要用到別人的組件、別人的產(chǎn)品、別人的代碼,這里都可能會有安全漏洞。人的生態(tài)是什么?就是企業(yè)如果僅僅依靠自己內(nèi)部的力量,再怎么強(qiáng)也是不夠的,也很難把安全做好,還需要和安全社區(qū)有良好的互動,引入外部視角,建立行業(yè)協(xié)同,避免“燈下黑”。

  眾測這種模式是整個行業(yè)探索了幾十年之后,摸索出來的一種通過生態(tài)的方式來解決網(wǎng)絡(luò)安全問題的有效補(bǔ)充手段。它可以補(bǔ)充企業(yè)內(nèi)部技術(shù)和管理手段的一些不足。

  在一個企業(yè)內(nèi)部,不同角色、崗位和個體之間的認(rèn)識是有差異的。網(wǎng)絡(luò)安全是一個高度專業(yè)性的工作,非從業(yè)人員很難理解這個工作,就像病人無法理解醫(yī)生為什么要開那么多化驗(yàn)單。同時,和企業(yè)的其它投入相比,網(wǎng)絡(luò)安全是純粹的成本投入,不創(chuàng)造利潤。網(wǎng)絡(luò)安全投入的價值在于可能挽回高額的損失。但是,如果網(wǎng)絡(luò)安全工作做得特別好,長期不出事,反而容易讓決策者錯誤地認(rèn)為網(wǎng)絡(luò)安全工作不困難,網(wǎng)絡(luò)安全風(fēng)險不大。這就是“上醫(yī)治未病”和“善戰(zhàn)者無赫赫之功”之間的矛盾。所以,眾測這種模式,除了能夠切實(shí)幫助產(chǎn)品和業(yè)務(wù)去發(fā)現(xiàn)一些問題,還有技術(shù)之外的意義,就是起到“牛虻”的作用,起到一個警醒的作用,幫助整個企業(yè)建立對安全的認(rèn)知。

  我們知道漏洞是動態(tài)變化的,是長期存在的,是挖不完的,所以眾測也需要是一個長期的、持續(xù)性的工作?!敖癯踩姕y平臺”這樣一個國家級眾測平臺的建立,對中國的網(wǎng)絡(luò)安全建設(shè)是非常有意義的事情。作為一個在網(wǎng)絡(luò)安全領(lǐng)域工作了20年的老兵,我在這里也號召中國的網(wǎng)絡(luò)安全研究者們積極地加入到這個眾測平臺里來,為我國網(wǎng)絡(luò)安全事業(yè)做出貢獻(xiàn)。希望大家在幾十年之后,到退休的時候,回首自己的職業(yè)生涯,能有一些值得驕傲的事情,可以和子孫們聊一聊。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。