网络运营者共话安全责任
2018-11-09
在希腊神话中,有个普罗米修斯,盗取火种带到人间,给人类带来文明。
在网络安全界也有这么一类人,他们包括网络运营者、技术英雄和教育者,承担起普罗米修斯的责任,带来“火种”,结束人们的“苦难”,也即挖掘漏洞,共同维护互联网的安全稳定。
在由i春秋发起的“2018首届互联网安全责任峰会”上,i春秋校长蔡晶晶以普罗米修斯神话开篇,邀请网络运营者、技术英雄及教育者,聚焦漏洞补完生态,引出各方应承担怎样责任的话题。
那么,作为网络运营者,有哪些重要安全责任?在承担这些安全责任过程中与其他网络运营者是如何合作的?在承担网络安全责任上如何与民间白帽子技术英雄们合作?在安全人才需求上,对网络安全学院寄予怎样的希望?永信至诚高级副总裁潘柱廷作为主持人,向在座网络运营者的专家们(如图1)抛出以上问题。
图1 各安全专家访谈
京东首席信息安全专家Tony Lee:我们不仅是网络运营者,还是数据运营者,安全工作不能仅限于写代码,最终还是要归于责任感,例如我们在做数源分析时发现了针对数十家单位的木马攻击行为,我们不止是做好自身的防护,同时还通报给相关单位,这就是责任感。
在反病毒方面协作与共享程度很高,但在其他领域的协作还很缺乏,因此企业之间应当做出更多多维度立体的合作。比如在开源方面,不能只埋头于自身的开源技术的改进,还应多做分享,否则只会让自己限于被动。安全的工作亦是如此,将不同的资源分享出来也是网络运营者的责任。
这种资源分享也包括技术层面,与白帽子的合作过
程中,一方面将自身的技术分享出来,另一方面通过得到白帽子的力量的支持以发展自身技术。因此,网络运营者与白帽子之间不是甲乙方,而是“正义联盟”。
在某些时候,对于网络人员,包括程序员、产品经理等的安全意识的培养,往往比培养安全人才更加重要。因此,赋能开发人员安全素质是很重要的一环。
滴滴出行信息安全部战略副总裁弓峰敏:对滴滴出行来说,保护用户的数据安全是第一位的,为此滴滴出行成立有滴滴安全应急响应中心来承担保护用户数据安全的责任。
不仅如此,还同其他网络运营者加强合作,通过共享威胁情报,共同维护互联网安全生态的防御能力。对滴滴出行而言,成立有SRC联盟,对于自身的平台系统建设也在不断地与黑产等威胁做斗争。由于不同的数据来源于不同的渠道,如何保证数据质量,这些都需要与其他公司合作。
白帽子是很重要的安全力量,SRC的机制是很好的方式来发挥白帽子的效能,鼓励白帽子的负责任的漏洞纰漏行为。同时扶持对白帽人才的培养,比如像i春秋这样的平台。
业界还应与高校形成互动,取长补短,形成整体的人才培养体系。安全学院要开发全周期的安全保障技能培训课程,在真实的攻防环境中获得能力。
阿里巴巴集团技术副总裁、首席安全专家杜跃进:作为网络运营者,首先是要保证自身的业务安全稳定的运行,但安全不止是自己的事情,还要保障用户的数据安全,把用户的安全作为自己的责任,在更高层面上,网络运营者也要重视生态或行业发展的责任,努力维护整个行业生态的安全。
在与其他网络运营者合作问题上,应当树立大格局,建立真合作。安全的最终目的是保护用户,因此网络运营者们在安全的问题上不是竞争关系,而是合作。而且,安全工作者们的真正对手是安全威胁的制造者,不是竞争对手,也不是甲方企业,因此,只有站在更高的格局上才能形成合作。
网络运营者应当承认白帽子和安全团队的贡献和价值,阿里就非常重视与他们的合作。白帽子不是黑客,与黑客挖掘漏洞进行敲诈勒索不同,不管是民间白帽子还是网络运营者,都应有公正之心,牢记初心,最终目的是更好地服务用户,这样才能更好地合作。
在安全技术人才培养上,应把握务实、创新、灵动三点,面对真实问题和真实需求来进行人才培养。
百度安全副总经理沈鹏飞:网站运营者是保护个人信息安全的第一责任人,这是我们的义务,百度安全有完善的技术保护用户信息安全,尤其在搜索方面,保障用户不受钓鱼网站、恶意网址等的侵害是百度的责任。除此之外,在打击黑产方面百度也是不遗余力,在全网的安全监测、攻击溯源、网络犯罪研究上也做了很大投入,这些都是百度安全作为网络运营者应尽的责任。
在与其他网络运营者合作上,百度安全的态度是同舟共济。百度成立有自己的联盟生态,将自身技术开放给联盟。而且百度也在与运营商合作,包括网址安全和伪基站防护等,同时也包括在打击黑产方面同公安部门的合作。
白帽子活跃在各个社区和SRC平台上,是网络安全攻防的有效武器,百度安全对于白帽子本着合作与培养的方式,构建良性沟通机制,除了通过百度SRC提交漏洞获取奖励外,更是提供了与世界顶级黑客交流的机会。
互联网厂商既是安全人才培养者,也是需求方。百度已与部分高校进行产学研合作,培养应用型安全人才。
永信至诚高级副总裁潘柱廷做出总结,能力越大、责任越大,刚刚互联网企业管理者们共同探讨了信任的重量、责任的重量。但网络安全并不是孤身作战,不管是网络运营者之间还是与白帽子以及人才培养上,i春秋希望搭建一个平台,构建漏洞补完生态,使网络运营者、教育者、技术英雄形成一种连接,以更好地承担网络安全责任。