《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 觀點(diǎn) | 騰訊安全于旸:以“眾測(cè)”生態(tài)筑牢企業(yè)安全防線

觀點(diǎn) | 騰訊安全于旸:以“眾測(cè)”生態(tài)筑牢企業(yè)安全防線

2021-06-02
來(lái)源: 中國(guó)信息安全
關(guān)鍵詞: 騰訊安全

微信圖片_20210602102253.jpg  

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸5月19日在“今朝安全眾測(cè)平臺(tái)”啟動(dòng)運(yùn)行發(fā)布會(huì)上發(fā)表演講。

人們對(duì)信息技術(shù),、網(wǎng)絡(luò)空間的認(rèn)知,,經(jīng)歷了幾個(gè)不同的階段。計(jì)算機(jī),、網(wǎng)絡(luò)剛誕生的時(shí)候,,大家覺(jué)得計(jì)算機(jī)和網(wǎng)絡(luò)就是一個(gè)工具, 和人類歷史上發(fā)明的那些工具一樣,。后來(lái),,隨著信息技術(shù)的不斷發(fā)展,在各行各業(yè)的應(yīng)用不斷加深,,人們意識(shí)到這個(gè)工具和以前的那些機(jī)床,、錘子、鉗子不太一樣,。雖然信息系統(tǒng)本身只是工具,,但是里面的數(shù)據(jù)卻是資產(chǎn)。人們還意識(shí)到了網(wǎng)絡(luò)空間可以和物理空間互動(dòng),,可以對(duì)物理空間造成影響,。再后來(lái),人們意識(shí)到網(wǎng)絡(luò)空間會(huì)成為人類生活乃至生存的空間,,會(huì)和物理空間融為一體,,不可分離;意識(shí)到網(wǎng)絡(luò)空間里的疆界也是國(guó)家疆界的一部分,。

  對(duì)網(wǎng)絡(luò),、信息技術(shù)有了這樣一個(gè)認(rèn)知之后,,人們終于明白網(wǎng)絡(luò)安全問(wèn)題也會(huì)變成社會(huì)安全問(wèn)題,甚至是國(guó)家安全問(wèn)題,。前段時(shí)間就有一個(gè)非常典型的案例:美國(guó)一家天然氣管道運(yùn)營(yíng)商由于受到網(wǎng)絡(luò)攻擊,,停止運(yùn)營(yíng)了兩天。也就是說(shuō),,因?yàn)榫W(wǎng)絡(luò)安全的問(wèn)題,,導(dǎo)致了一個(gè)國(guó)家的基礎(chǔ)設(shè)施停運(yùn)兩天。

  信息產(chǎn)業(yè)界對(duì)網(wǎng)絡(luò)安全的認(rèn)知也有漸進(jìn)的幾個(gè)階段,。20多年前,,信息產(chǎn)業(yè)界對(duì)網(wǎng)絡(luò)安全處于一個(gè)建立認(rèn)知的階段。這個(gè)階段大家還在逐漸去理解網(wǎng)絡(luò)安全是什么,,意味著什么,。當(dāng)時(shí)一些企業(yè)的認(rèn)知還是“被入侵了大不了重裝系統(tǒng)”。但后來(lái),,企業(yè)逐漸開(kāi)始重視并嘗試解決網(wǎng)絡(luò)安全問(wèn)題,,開(kāi)始從技術(shù)、管理上探索,,希望通過(guò)安全技術(shù),、安全流程,從內(nèi)部去解決安全問(wèn)題,。這個(gè)階段很有成效,,出現(xiàn)了很多新的安全技術(shù)和安全管理手段。到了第三個(gè)階段,,企業(yè)在使用了各種安全技術(shù)和管理手段之后,,終于發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題不只是技術(shù)和管理的問(wèn)題,它還是一個(gè)生態(tài)的問(wèn)題,。這個(gè)生態(tài)包括技術(shù)的生態(tài)和人的生態(tài),。技術(shù)生態(tài)是什么?是很多企業(yè)發(fā)現(xiàn),,即使把自身的安全能力做得很強(qiáng)也還是不夠,,因?yàn)殡S著信息產(chǎn)業(yè)的發(fā)展,多數(shù)產(chǎn)品都不再是獨(dú)立的,。系統(tǒng)中要用到別人的組件,、別人的產(chǎn)品、別人的代碼,,這里都可能會(huì)有安全漏洞,。人的生態(tài)是什么?就是企業(yè)如果僅僅依靠自己內(nèi)部的力量,,再怎么強(qiáng)也是不夠的,,也很難把安全做好,,還需要和安全社區(qū)有良好的互動(dòng),引入外部視角,,建立行業(yè)協(xié)同,,避免“燈下黑”。

  眾測(cè)這種模式是整個(gè)行業(yè)探索了幾十年之后,,摸索出來(lái)的一種通過(guò)生態(tài)的方式來(lái)解決網(wǎng)絡(luò)安全問(wèn)題的有效補(bǔ)充手段。它可以補(bǔ)充企業(yè)內(nèi)部技術(shù)和管理手段的一些不足,。

  在一個(gè)企業(yè)內(nèi)部,,不同角色、崗位和個(gè)體之間的認(rèn)識(shí)是有差異的,。網(wǎng)絡(luò)安全是一個(gè)高度專業(yè)性的工作,,非從業(yè)人員很難理解這個(gè)工作,就像病人無(wú)法理解醫(yī)生為什么要開(kāi)那么多化驗(yàn)單,。同時(shí),,和企業(yè)的其它投入相比,網(wǎng)絡(luò)安全是純粹的成本投入,,不創(chuàng)造利潤(rùn),。網(wǎng)絡(luò)安全投入的價(jià)值在于可能挽回高額的損失。但是,,如果網(wǎng)絡(luò)安全工作做得特別好,,長(zhǎng)期不出事,反而容易讓決策者錯(cuò)誤地認(rèn)為網(wǎng)絡(luò)安全工作不困難,,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不大,。這就是“上醫(yī)治未病”和“善戰(zhàn)者無(wú)赫赫之功”之間的矛盾。所以,,眾測(cè)這種模式,,除了能夠切實(shí)幫助產(chǎn)品和業(yè)務(wù)去發(fā)現(xiàn)一些問(wèn)題,還有技術(shù)之外的意義,,就是起到“牛虻”的作用,,起到一個(gè)警醒的作用,幫助整個(gè)企業(yè)建立對(duì)安全的認(rèn)知,。

  我們知道漏洞是動(dòng)態(tài)變化的,,是長(zhǎng)期存在的,是挖不完的,,所以眾測(cè)也需要是一個(gè)長(zhǎng)期的,、持續(xù)性的工作?!敖癯踩姕y(cè)平臺(tái)”這樣一個(gè)國(guó)家級(jí)眾測(cè)平臺(tái)的建立,,對(duì)中國(guó)的網(wǎng)絡(luò)安全建設(shè)是非常有意義的事情,。作為一個(gè)在網(wǎng)絡(luò)安全領(lǐng)域工作了20年的老兵,我在這里也號(hào)召中國(guó)的網(wǎng)絡(luò)安全研究者們積極地加入到這個(gè)眾測(cè)平臺(tái)里來(lái),,為我國(guó)網(wǎng)絡(luò)安全事業(yè)做出貢獻(xiàn),。希望大家在幾十年之后,到退休的時(shí)候,,回首自己的職業(yè)生涯,,能有一些值得驕傲的事情,可以和子孫們聊一聊,。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]