威胁无处不在，安全如何应对？
——共建“互联网+安全”新生态体系

本刊记者/崔 鹏

威胁无处不在，安全如何应对？
——共建“互联网+安全”新生态体系

本刊记者/崔 鹏

当今，互联网面临更多未知的威胁和漏洞，全新的安全产品才能防御新的安全威胁，专家高峰对话，共建“互联网+安全”新生态体系，做其中的推动者和参与者。

主持人

黎争 计世传媒总裁

嘉宾

王锦炎

中国银河证券网上交易中心主任Bret Hartman

思科安全首席技术官

Marisa Chancellor

思科安全总监

于盟

工信部电子科学技术情报研究所网络安全测评中心部长

刘志乐

杭州安恒信息技术有限公司CSO

·黎争 计世传媒总裁

01

黎争：互联网发展到今天，完成了人与人、人与物之间的联系，随着像VR技术的发展，人机连接，预示着真正的数字化来临，这样一个来临究竟给网络安全带来哪些新的变化和趋势？

王锦炎：近几年网络安全对金融系统来说是严峻的话题，因为数据的安全无处不在，特别是互联网、物联网、云计算。我们认为云计算实际上也是一个新型计算机系统，它的特点主要是共享性，它的安全问题比较特殊。物联网是物物相联，实际上这是传统网络安全的衍生。可以说云上的发展带来很大的网络安全不确定性。

Bret Hartman：物联网面临的安全威胁非常严重。比如说一个医疗设备，或者是水务设备、水务管道等等，它们的安全问题很重要，如果被攻击将对于我们的生命造成威胁。怎样来满足安全方面的要求呢？一方面就是充分的利用现有的一些产品和技术，比如防火墙、加密等系统，这是第一步，这样还可以降低成本。我们知道技术开发的成本非常高，我们可以提供一些小规模的软件，从而能够为客户提供定制化的安全保护服务，另一方面我们需要新的技术更加有效的保护我们，如一些专有的技术，这两者之间结合能够使我们快速的来部署并提高安全有效性。

Marisa Chancellor：关于物联网，我们需要一个可信的系统和可信的环境。比如手机、台式机，要确保它是一个可信的设备。我们一方面要进行投资，一方面我们要确保这些技术开发的简化性，要考虑成本有效性，有时可进行快速创新。另外一点就是现有的流程，怎样才能对现有的技术设备进行一个有效的管理。

02

·Bret Hartman思科安全首席技术官

黎争：作为研究工作者，于盟可否给我们介绍一下你们观察到最新的网络安全的趋势？

于盟：从2000年之前，我们就开始跟踪面对政府、重要的行业，以及现在工控领域的网络安全的问题。现在大数据以及物联网的发展对网络安全带来最大的两方面的影响。首先从政府和重要行业来说，就是这种大数据带来的网络安全问题，其实网络安全最本质的应该也是数据安全的问题。因为不管是各种应用还是这种大数据的计算带来的是一种数据的汇总和集中，这个系统一旦被攻击，会导致大量数据被泄露，数据被泄露后，又可以被某些人利用大数据的技术进一步进行分析，然后再用作网络诈骗的行为。这方面我们有典型的案例，这是在大数据方面带来的最严重的一个网络威胁。

第二个就是关于物联网，我们在工控领域做了很多研究。现在电力、水利，包括交通行业等等，很多的工控领域的行业，在所有的工控IP化以后它就把互联网安全问题带入了工控，导致了工控领域千疮百孔，我们相信工控领域的网络安全将有一个比较快速的发展。

黎争：当互联网渗透到工业的生产领域里面的时候，生产的安全是下一波关注的重点。安恒信息刘志乐在前面的演讲里已讲到社会公众领域网络安全已带来了一些新的挑战，因为你是在一线，时刻与网络攻击打交道，相信您还感受到一些新的趋势，能否和我们再分享一下？

刘志乐：任何一项技术它都是有双刃，在带给人们便利的同时，也会做一些有害的事情。比如说大数据、云计算，带给人们便利的同时也会被黑客利用。现在黑客利用云计算分布式计算能力去进行密码的暴力破解，这在过去是不太容易实现的一件事情；还有的时候黑客利用云计算免费的计算资源去做DDOS的攻击，这都是新的时代所产生的新问题。

黎争：企业面对无处不在的黑客攻击的时候，有什么办法，俗话说魔高一尺、道高一丈，相信银河证券有很多的交易时时都在发生，万一知道我们帐号里面的钱，或者我的股票偷偷被黑客弄走了怎么办？王总有什么办法防止他们？

王锦炎：各种黑客都有，有一种是商业黑客，主要是摄取机密为主，一个系统性的潜伏性隐藏性很强，它就根据你的业务流程，你的管理模式里面发现你的漏洞，采取一些网络的攻击；还有一些简单的黑客会窃取你的个人商业数据、密码和基本情况等；还有一种是破坏性强的黑客，前几年我们证券所碰到过这样的黑客，通过键盘攻击，瞬间就产生大量的混乱数据，浪涌到系统中，这是一种破坏性的攻击。防范黑客攻击，首先要建立一套预警系统，还有防范性的系统，最后还要做一个应急处理的系统。但黑客从哪里攻击？什么时间攻击？我们无从知晓，所以这三个系统防范以外，还会采取一些具体的技术，比如匿名技术、虚拟机技术、密码技术，还有防范控制之类的数据挖掘来获取。

黎争：Bret Hartman，你开玩笑说要离开思科就去做黑客，所以你应该对黑客比较了解了，那有什么办法能够去阻止黑客的攻击？

Bret Hartman：这是一个非常精彩的问题，我还是想做一个好人不想做坏人。目前，黑客越来越产业化了。我们知道黑客的初衷就是挣钱，他们组织良好、信息共享也快速有效。从保护的角度来说，我们在信息保护的方式、信息分享的方式好像还不如黑客，事实上我们应该比他们做的更好，才能够进行预防。要做一个好人，我们是处于被动的状态，而对于黑客来说他们是处于暗的地方，他们可以想做什么就可以做什么，这是一个地缘政治的问题，还有一个监管问题，是一种合作的事业，我们要赢得这样的战役，就必须要有一个很好的标准和好的技术，我们还需要持续地去推动全世界之间的合作，这是一个世界的问题。

所以我们才坐在这里进行高峰对话，我们要进行合作，尽可能的通过合作来避免各种威胁；另外一点，就是必须要有一个可行性，整体的架构，我们需要有一些数据来进行分享。我们需要有这样一个台式机、云平台等等，要有可见性，这非常重要，通过这种可见性我们才能够分享这些信息。所以说一方面就是要进行合作，另外一方面要有可见性。

03

黎争：Bret Hartman精彩的观点概括而言就是明枪易躲、暗箭难防，对付黑客我们要团结起来。站在女性的视角，Marisa Chancellor是否有更温柔的方法瓦解黑客，让他们主动缴械投降？

·Marisa hancellor思科安全总监

Marisa Chancellor：IT公司或者提供服务的提供者，是要分享经验，怎样有效的进行防范，我们可以进行分享。不是从一个女性的角度，而是从一个社会工程师的角度来看，我们要进行自我的调整，要主动出击。针对网络安全，很多时候大家做的都是一种防御性的事情，但我们应该更加主动的出击，而不是被动的去防范，知己知彼方能百战不殆，在这方面我们有很多的机会。

04

黎争：站在工信部的角度，有没有一些办法在政策和法律层面，能够去抑制黑客组织的壮大，能够让他们更收敛？

于盟：在中国的政策层面也是做了这方面的考虑，在做一些相关标准的制定，比如说网络安全情报分享的标准。关于黑客的攻击，我认为黑客攻击和防护是不对等，为什么呢？就好像是一个大厅一样，这大厅有五个门、十个门，我们作为防护者需要把这十个门都防护好才保证没有未授权的人进来。但是作为黑客的话只需要发现一个门就OK。这在于攻击者和防护者不对等，导致了黑客攻击更简单了一点。 从国家角度来说，对于黑客攻击的行为，肯定是要出台一些制裁的措施政策。但是我们想更多的是要引导。就像现在我们出现了很多漏洞风险的通报平台，但是我们还是需要去引导，为什么？因为漏洞风险通报平台，很多时候是无序漏洞信息的纰漏，它有可能对这系统造成进一步的损害。我们现在也是在考虑更好地规范这一过程。保证了这种白帽子，在这一过程中获取到他的利益，才能保证平台安全公司在其中获取到利益，同时在保证漏洞受影响的单位，不再遭受进一步更大的破坏。

·于 盟 工信部电子科学技术情报研究所网络安全测评中心部长

黎争：看网络安全公司，尤其是见到首席安全管理师的时候，我觉得像一个武功高手，感觉就是在网上做活动，所以我想刘志乐你非常有发言权，你是用什么武功秘笈来对付他们？

刘志乐：实际上我们讲的大数据态势感知系统就是理论的实践，就是要把过去单点的攻击放到一个大的数据里面，最终能形成一个关联；然后经过这种数据的融合和技术，当然也包括未来我们国家如果就像于盟讲的威胁情报共享机制的时候，这样的话我们就能有效的应对这种黑客。比如说这个坏人今天在美国撬了一所门，但是这个人进入到中国的时候，就知道这个人身上有一个标签，“这是一个小偷会开别人家的门”，这时就可以让他没有机会到中国再开很多的门。黑客也是这样，我们如果利用大数据技术，利用情报共享技术，最后能把这些锁定，又能通过一些实时的防护、云防护技术最后能把这减少到最低。我觉得这是大家为什么，包括世界上、包括中国都在谈论的几个热的词。比如说威胁情报，大数据的挖掘，这种软件定义安全等等都是基于这个来的。

黎争：讲到云的发展，公有云、私有云发展越来越蓬勃，云的安全问题，代表了网络安全的一大部分，针对云的这种发展所带来的网络安全问题，王总给我们分享哪些好的想法？

王锦炎：云计算是这几年才开始的，属于探索的阶段。我们几年前就开始做云存储，前年我们跟阿里云合作，证券网络的信息流量太大，我们并发用户一秒钟都上万笔，系统的压力非常大。如果我们全部都建这个平台的话就会起点太高，所以我们跟阿里云合作，把我们的行情委托给阿里云，把我们的查询系统也托给阿里云，但我们的客户基本数据还有交易的核心数据是在我们内部的云里面来运行。所以云服务、云计算极大的降低了企业经营成本，而且瞬间能把我们的流量提高上去。但是我们在阿里云的应用方面，最关心的一个关键问题，就是数据的安全。云应用以后，云的数据处理跟存储也是公共社会，我们企业很难控制，数据的可信、可看还有安全可靠，这个怎么解决。所以这几点安全问题，还是有赖于在座的服务商、供应商来给我们提供一些很好的解决方案。

05

黎争：从跟阿里的合作来说，既有公有云也有私有云，在网络安全方面差异大吗？哪块挑战更大？

王锦炎：现在的话都是一个探索，实际上我们希望公有云、私有云全部打通，打通云与云之间，企业云、个性化云，各种行业的云联通最好，但这也要一步一步走。所以我们必须要求可控、可靠、安全、可见，这几个有保证的话，才能保证我的交易数据及整个信息的安全，所以目前我们还不敢往前迈出一步，但是其他的公共服务方面、金融服务、信息服务放在公有云是没有问题的。

黎争：核心的交易云，就是私有云跟公有云现阶段还无法打通，最大的问题是安全的问题，但是这一步要跨过去恰恰就是安全方案解决商巨大的机会，刘总你能帮他们跨过去吗？

刘志乐：我相信这一天肯定不久就会到来。我们和行业内的一些公司一起来合作，最终把这事情实现，我有信心。

黎争：网络安全应该上升到企业发展战略角度来思考，也就是说未来企业网络安全的可靠程度会决定你的业务发展和增长，某种程度上甚至决定你的企业和未来，这观点在座的嘉宾不知道你怎么看的？理由是什么？

Bret Hartman：毫无疑问，网络安全越来越多的成为了真正创新的制约因素。您刚才谈到了云安全的问题，其实也是一个很好的事例，关键看你在哪个市场。事实上只要安全就可以做。如果没有安全保障，大家不会愿意在这领域创新，这一点上毋庸置疑。不管是世界任何一个地方，业务风险越来越多的是网络安全方面的风险，当然还有其他的物理安全，比如火灾、股灾等等各种各样的问题，但是网络安全已经越来越威胁到企业的生存，因此我们必须在网络安全方面抓住创新的市场机遇，这就要求我们之间共同合作，让我们推动创新，所以谈到新技术的时候，物联网就是一个非常好的例子。如果我们没有安全保障，我们如何把车联在一起，如何实现车联网，所以最终还是网络安全解决的问题。

黎争：网络安全不仅是战略，同时也关系到企业的生存，关系到企业的创新。Marisa Chancellor您是如何理解的？

Marisa Chancellor：我认为不只是一个公司的生存问题，必须把网络安全当作企业的关键竞争力。如果你现在就投资于安全的话，你们就可以提供客户信赖的产品服务，这就意味着你可以在竞争中独占鳌头。我想继续用塞车来比喻，塞车它不光要有油门，还要有刹车，事实上正是因为有了刹车，我们才能够狠狠地踩油门，这就是创新和安全之间的关系。所以企业必须意识到网络安全是他们致胜的竞争力。

黎争：台上五位嘉宾实际上代表三方，有网络安全解决方案提供商、研究者、应用方，作为研究者于盟您怎么看待这观点？

于盟：这观点肯定是没错的，但是我们认为作为用户，他应该在新的网络关系下面重新对自己的业务进行评估。为什么？因为现在新的网络环境带来网络安全的问题，就导致原来的业务流程有可能就出现了一些问题，带来了新的风险，需要整个公司业务流程做出对网络安全方面的评估。把网络安全的战略加到整个公司运转的行业里面。我们研究发现，我们说的就不只是网络安全公司的生存问题，网络安全还关乎到国家安全，它是发展的一个保证。

为什么？因为作为IT服务公司，我们本身把网络安全做好，才能够给客户信心，我们之前接触过类似的案例，就是某一些公司本身出了一些问题，导致他们公司的产品股价大幅度下跌，这是关乎公司的命运。从国家层面来说，像很多国家基础的地理信息、人口信息，包括一些关键的运转基础设施，这些设施一旦被攻击的话，它影响的不仅仅是某一个公司，它影响的是人民群众的生活，影响整个国家的安全，所以说网络安全再怎么强调都不为过。

06

黎争：网络安全不仅关系到企业未来的发展，也对企业现有的生存提出挑战，既关乎现在也关乎未来，也关乎整个国家的安全，刘总您的观点是？

刘志乐：国外，索尼之前发生了入侵，整个股价波动，整个管理层出来给用户道歉；国内，去年有一个摄像头厂商发生了一个黑天鹅事件股价下跌，这些事情会影响整个公司的经济状况，它也是整个社会的现象。现在，我个人呼吁网络立法能更快地推出实施。因为在国内有很多的单位的互联网信息泄露，对于它来讲没受到多大的损失，这时候可能在安全的投入上就不一定用心，如果说我们有立法来去推动这样的事情，我相信这样的事情可能会更小，整个社会将更和谐。

·刘志乐 杭州安恒信息技术有限公司CSO

黎争：关乎整个战略的需要，王总您是客户最有发言权，您是否可以分享一些不一样的观点？

王锦炎：金融企业首先要保证我们的客户资金的安全、交易的安全，个人重要数据关联的安全。网络安全是技术安全领域中的一点，但是网络安全没有的话我们连开业都开不了，所以这是基本的安全问题。要做好网络安全，我认为首先是管理要到位，还有规章制度，要建章建治。但这是一个投入问题。就是说你在安全的等级配套的产出投入是多少，每个企业有一个均衡的投入产出，但是安全是均衡的，我不可能因为一年亏损几百万就投一千万去防范安全，这是不值得。所以我们金融行业有提风险准备金，如果赔两千万没有问题，但是投一两个亿就不可取，所以安全是一个永恒的问题。现在的物联网、云计算技术的广度和复杂度很大，所以安全的方方面面会有很广的领域，这里有一个投入产出的问题。