11月9日,由腾讯联合各方共同打造的第二届主题为“智慧安全 连接赋能”的中国互联网安全领袖峰会(Cyber Security Summit,简称CSS安全领袖峰会)在北京正式拉开帷幕。本届CSS安全领袖峰会上,腾讯安全联合实验室、中国电子技术标准化研究院和腾讯网络空间研究中心共同发布了《“互联网+”企业网络安全生态研究报告》,首次提出“轻足迹”安全管理理念。基于该报告,大会还举办主题为“信息安全之于现代企业的战略价值”的圆桌论坛,由来自腾讯、滴滴、京东和绿盟科技、启明星辰等互联网巨头公司的权威安全专家从信息安全威胁升级、安全生态对企业信息安全的赋能作用、共建企业安全生态三个维度展开讨论。
(图:《“互联网+”企业网络安全生态研究报告》发布)
本报告在权威性、参考性、理论性和实战性上都有较大的意义。权威性在于报告本身由中国互联网巨头腾讯和中国电子技术标准化研究院共同完成,并在CSS安全领袖峰会上联合发布;参考性在于报告是基于对国内1000家主流企业在信息安全领域的投入状况的摸底得出的数据,每年一期实时更新,对行业进行及时准确深度把脉;理论性在于报告本身不仅发现问题,还高屋建瓴提出“轻足迹”的安全发展观对行业发展方向和趋势做出精准判断;实战性在于报告本身除了发现问题,还建设性地提出了如何构建企业网络安全新生态的具体实施举措,而且大会还组织滴滴、京东等一线互联网公司的安全专家基于自身从业经验对报告进行深入探讨,并形成构建企业安全生态需要各行业深度连接广泛合作的共识。
报告剑指问题核心:轻处理+安全生态应对安全威胁升级
报告结合当前网络环境,重点分析了“互联网+”时代企业面临的网络安全挑战,提出“轻足迹”的安全发展理念,并对如何加速构建网络安全新生态提出建设性意见。该报告不仅为国家的网络安全战略提供重要的价值参考,给网络安全企业带来详实可靠的数据支撑,同时也增加了互联网企业的网络安全忧患意识,为加快企业网络安全新生态建设提供重要指引。
互联网与各行业产生神奇“化学反应”带来产业转型升级的同时也形成隐忧。随着云计算、大数据等技术的运用,基于网络安全的问题也越来越突出,而且相比传统变得更加复杂,呈现出“VUCA”四大新特性(即易变性、不确定性、复杂性和模糊性)。分区分域的防护理念因为模糊的边界而不再有效,安全威胁与安全事件的后果充满不确定性,后果和威胁更加严重。
这背后的原因,除了企业网络安全外部生态的先天不足和自身生态的不健全,还有新技术新应用带来的新安全挑战。自身生态的不健全,主要体现在自身网络安全意识有待提升、体系急需完善、培养网络安全人才等;外部生态的先天不足,则是法律法规不完善、资源与技术落后,尤其是关键信息技术产品严重依赖国外等。与此同时,以云计算、大数据为代表的新技术新应用也增加了网络安全的复杂性和挑战性。
针对当前复杂的网络环境,构建企业网络安全新生态显得尤为重要。报告提出“互联网+”时代企业网络安全生态的愿景:在“互联网+”时代中,好的企业网络安全生态环境本质上就是要保障“线上和线下高效、持续、安全的服务”。想达到这一目标,报告提出科学的“游戏规则”、明晰的企业生态位、开放的共同进化体和闭环的生态平衡系统四大基本要求。保障网络安全对于保障公民、企业网络空间权益、保证国家安全和社会稳定至关重要,需要协同各界力量共同抵御。
基于此,报告首次建设性提出“轻足迹”的安全管理理念。该理念特色主要体现在四个方面:防护手段模块化、应急管理扁平化、防御机制协同化以及处理过程快速化。防护手段模块化可降低网络防御手段和技术之间的依赖性,根据网络安全的变化不断调整安全措施;应急管理扁平化则做到第一时间获取终端的网络资源使用情况和安全状态;防御机制协同化可以实现对全网的协同防御、关联分析、信息共享;处理过程快速化则是利用云计算、大数据的平台,迅速有效地解决安全问题。四方面入手,高效灵活地应对出现的新型网络安全难题,加快构建网络安全新生态。
除了理论建设,报告在实践层面也给出了建树性的举措。为了协同作战提高效率,加快构建“互联网+”时代企业网络安全生态,报告认为应从以下五方面着手:加强法规政策建设,完善网络安全生态顶层设计;健全网络安全产业标准体系,构建统一协调的发展模式;借助热点加速全产业链融合,提高生态综合防御能力;打造健康开放共享交互平台,建立可信可控高效保障机制;鼓励不同领域技术碰撞,加快技术带动生态安全升级速度。
行业领袖把脉企业安全:深度连接与生态“赋能”势在必行
报告是基于大量的事实调研得出的理念结晶,不仅对中国企业信息安全的状况做出了全面诊断,为各行业企业深入快速了解中国安全网络环境提供索引,在本届CSS安全领袖峰会上,也成为大会议程设置中圆桌会议讨论的重点。
(图:“信息安全之于现代企业的战略价值”圆桌论坛环节)
在报告发布当天,主办方特别举办了主题为“信息安全之于现代企业的战略价值”的圆桌论坛。来自滴滴出行信息安全战略副总裁弓峰敏、京东首席信息安全专家Tony Lee、绿盟科技高级副总裁叶晓虎三位知名一线企业大咖以及腾讯安全玄武实验室负责人于旸、腾讯安全科恩实验室总监吕一平两位腾讯安全专家,针对报告结论从信息安全威胁升级、安全生态对企业信息安全的赋能作用以及共建安全生态三个维度进行了更深入的讨论。
作为业界领先的互联网安全从业者,腾讯对新时期的网络安全趋势有着深刻的理解。今年9月,腾讯安全科恩实验室宣布以“远程无物理接触”的方式成功入侵了特斯拉汽车,这在全球尚属首次,这既是白帽黑客在推动企业修复安全漏洞方面的典型案例,也让我们看到企业网络威胁升级的端倪。吕一平表示,随着新技术新应用的出现,网络安全也不断呈现出新形态,不确定性和复杂性都在升高。作为全球顶级白帽黑客现在腾讯安全玄武实验室负责人,于旸认为要改变“被动防守”地位,需要迅速建立起快速、透明、有效的响应机制。绿盟科技作为领先的安全产品和解决方案提供商对此也深有感触,叶晓虎表示,移动互联网安全问题、APT攻击、云安全问题、以及应用软件漏洞问题,正成为“互联网+”时代企业安全问题的焦点。
除了专业的网络安全厂商,互联网公司对遭受到网络安全威胁和攻击的感受也越来越强烈,他们迫切希望借助大平台和安全生态体系来实现对企业的“赋能”。滴滴作为中国最大的出行平台,掌握了海量的用户信息和资源。弓峰敏表示,新技术导致网络安全对抗不断升级,对滴滴而言,除了自建网络安全体系,还需要与有实力的安全实验室深度连接与合作。作为中国第二大电商平台,京东平台聚拢众多中小商家, Tony Lee表示,新时代的网络安全攻防,不仅需要安全厂商、运营商深度连接,还需要政府的高度参与和赋能;此外,加强与国际大厂商的技术交流和合作,引进相关的技术人才也是一大着力点。以“开放”为起点,构建横向跨越企业、行业边界与国界,纵向跨越人、企业、机构、产业、政府的全连接已经成为行业共识。
报告长效价值:方向指引,加速企业安全生态构建
除了成为大会看点和为大会提供理论支撑,《报告》还具有深刻的政策指导意义和行业影响力,在网络安全决策层面具有重要的战略指导价值。报告是基于对国内1000家主流企业在信息安全领域的深入研究得出的结论和数据,来源于一线的鲜活数据和实例,报告的结论和趋势探讨不仅让现场与会的全球500家企业受益匪浅,更对整个网络安全行业企业在未来的方向聚焦和施力点上提供重要的坐标指引。同时,报告本身也增加传统企业转型互联网的忧患意识,强化网络安全问题刻不容缓的行业认知,为加速推动企业网络安全新生态提供理论依据。
此外,作为CSS安全领袖峰会的重要理论依据,每年的安全生态报告已经成为全行业的一大期待。在2015年首届CSS安全领袖峰会上,腾讯安全团队发布了《2015网络生态安全报告》,报告显示了同年网络诈骗呈高发态势,网络犯罪呈现趋利化、产业化、移动化趋势,并开始走从线上到线下蔓延的“O2O”模式。针对报告内容,腾讯副总裁丁珂倡导全球行业打破壁垒,“连接”在一起,构建安全新生态。
本届CSS安全领袖峰会,基于《报告》对动态发展的网络安全环境变迁进行深度探讨。除了与全球顶尖科技企业达成共建安全生态的共识,还明确了安全生态需具备深度连接、人工智能协作、智慧防御三大基因。并提出深化连接,打破合作壁垒;建立常态化的互联网安全国际合作机制;建立人才与技术的标准化等国际安全新秩序的三大实现路径。全球化问题必然需要全球化应对,在报告的参考指导下,一个无边界全连接的企业网络安全新生态也正在加速成型。