袁子健
为期两天的第五届互联网安全领袖峰会(Cyber Security Summit2019,简称CSS2019)日前在北京举行。腾讯副总裁丁珂表示,产业互联网的发展以及万物互联时代的到来,使得一些传统企业的“上云需求”增加,给安全产业的发展带来很多的增量和市场机遇。
诚然,市场需求的增加给安全产业的发展加了“一把火”,但更值得注意的是,在万物互联时代,企业的网络安全其实也是对于企业自身品牌形象的保障。中国互联网协会理事长、中国工程院院士邬贺铨更是提出“5G是一把双刃剑”的观点,指出5G在促进万物互联中起到突出作用的同时,亦将会给安全带来更多的挑战。
从创建以来,滴滴便一直极具话题热度。滴滴出行改变了国人的打车习惯,在给用户带来便捷的同时,也创造了更多的就业机会。但自从多起恶性事件发生之后,滴滴的品牌形象在消费者心中大打折扣,滴滴急需加强在安全上的建设。但无论是保护司乘安全、防止乘客数据泄露或发展有针对性的信息安全技术,都需要滴滴与多方共同建设。在会上,滴滴出行宣布,滴滴安全产品技术部携手腾讯安全成立互联网安全联合实验室。该实验室将聚焦信息安全、业务安全和前沿安全三大领域,以提升用户数据安全保护能力,并且共同打击网络犯罪。
针对此次与腾讯的合作,滴滴信息安全战略副总裁弓峰敏表示:“腾讯对共建大数据合作生态的投入与滴滴的思路不谋而和。我们双方会在安全准入、交易反欺诈以及智能汽车安全等方面深度合作。”而早在今年4月,滴滴出行便已宣布升级集团安全产品与技术部,赋能各业务线信息安全技术能力,为业务发展提供针对性的信息安全技术支持。今年上半年,滴滴利用安全技术协助警方办理案件12宗,已抓获嫌疑人179人。
滴滴在安全上的新建设说明企业的安全建设在万物互联时代是难以“单打独斗”的。丁珂亦表示,产业互联网安全的未来发展不是单方面切入就可以解决的,关键还需要多方共同发力。
中国网络安全的投入较发达国家仍有较大提升空间。目前的《网络安全法》作为框架性立法,依然难以满足促进中国网络安全产业快速成长的要求。
而从企业层面来看,产业互联网背景下的企业网络安全的实施效率取决于战略层、决策层、实施层全方位的意识影响,任何一层的缺失均有可能阻碍网络安全实施效果。“企业各层级网络安全意识的提升很有必要。”丁珂强调。
但安全产业要想发展还得依靠从事安全产业的企业有所作为。
以“安全战略观”应对产业互联网时代的安全挑战,需要构建实力过硬的人才梯队、掌握自主可控的安全技术以及协同联动的生态体系。处于产业数字化转型期的企业普遍面临人才匮乏、技术短缺、经验不足等痛点,即便投入成本购买传统安全解决方案,也无法满足数字时代“安全原生”的属性和日益复杂的业务场景安全需求。
在丁珂看来,借助成熟的平台和行业经验,无疑是这些企业加速数字化转型的最佳选择。
据悉,目前腾讯与合作伙伴共同打造的安全联合解决方案超过20个,这些联合解决方案占腾讯安全全品类销售量的比例达到26%。在2019年上半年,腾讯安全产品通过渠道伙伴销售的增速达到200%。
5G是近段时间的热议话题。作为互联网领域的深耕者,邬贺铨在关注5G给生活带来便利的同时,也将目光锁定在了5G所带来的新风险上。他表示:“5G是一把双刃剑,它给安全带来的新挑战是前所未有的。”5G为何会带来如此严峻的安全风险,还得从5G的技术上寻根溯源。
在5G的无线和网络技术的底层,有各类终端、无线接入网、大规模天线、超密集组网以及宏微蜂窝混合组网。云是对5G的重要应用。
邬贺铨说:“由4G到5G的突出改变就是网络功能的虚拟化。但正是这种虚拟化使得网络更容易遭到攻击。”在互联网发展初期,因为网络并不那么稳定,常以IP包作为一个单元,通过路由器进行转发。在这样的方式中,较长的视频会被切成很多个IP包再进行传输,效率是比较低的。目前,针对分IP传输效率较低的问题,现有的解决方法是根据不同的需要,提供不同的转发模式予以适配。“这样的方式能够适应不同规模的业务流,带来很大的灵活性,但是网络需要有智能。”邬贺铨表示,网络功能虚拟化以后,由于不同功能都由同一硬件实现,同过去电信专用的设备相比,其更容易遭受攻击。硬件所有功能的选择是依靠网络智能管理系统来操作的。这个最集中的操作系统如若遭遇攻击,将会产生巨大的影响。过去,各个路由器是独立选路的,现在改成了集中选路,网络操作系统会成为被攻击的重点。这对算法的收敛性也提出了比较高的要求,更是蕴含了不小的安全风险。
“应该说,5G的确带来一定的安全风险,但是安全风险可以通过其他的安全措施来解决。”邬贺铨说,解决非授权接入、伪造指令、身份假冒、隐私泄露、APP攻击以及终端漏洞等问题,可在验证环节上进行加密处理,再以客户签名保障安全性。同时,利用大数据建立起更多的漏洞库以及病毒库,可通过多重保障实现整个系统的安全。
除此之外,在5G时代,人工智能技术是实现网络安全的重要技术。人工智能相比起之前的技术,能够更快、更多地发现异常流量,能够通过对企业的异常数据和外部情报的统计进行综合分析,使得企业可以从工控系统的集成商处得到安全服务;从互联网安全企业处得到安全支撑;从电信运营商得到整个网络异常流量的安全数据。这些来自各个方面的安全服务之间是彼此互通的,以实现威胁情报的及时共享。“这样我们可使整个网络的运维更加智能,提高网络抵御威胁的能力,降低运维的成本。”邬贺铨说。
《数据泄露调查报告》显示,截止到2019年,在零售行业的234起调查案例中,有139起案例被确认为数据泄露。而在医疗保健行业,数据泄露问题则更为严重。在466起调查案例中,高达304起案例被确认存在数据泄露问题,且在这304起案例当中,有59%的数据泄露方式是互联网。
腾讯公司云与智慧产业总裁汤道生说:“安全已成为企业的一把手工程,需要企业从经营战略视角进行统一规划。”他表示,安全发展有两大特点,一是產业互联网时代安全威胁突发性更强、破坏性更大,尤其涉及国计民生的产业领域一旦遭遇网络攻击,可能造成极大的社会影响和经济损失;二是产业安全降本增效价值逐步显现,已成为数字时代企业核心竞争力之一,在金融、零售领域更为明显。
汤道生认为,数字化将贯穿企业研发、生产、流通、服务等全过程,安全需要全方位升维,传统独立的网络安全将不复存在,未来的一切新技术、新业务、新场景都包含安全。在这一背景下,产业互联网时代的安全应当成为企业关注的重点,成为企业的一把手工程。
“安全其实并不只是一个企业的防线,安全的发展对于企业运营效率的提升也是很有价值。”汤道生介绍,在腾讯与华夏银行合作中,一款名为“龙商贷”的金融创新产品便是安全在提升企业运营效率方面的例子。“我们以云计算、大数据、AI等前沿科技为基础,为华夏银行搭建了高效的营销、风控和放款体系,在保障用户资金和信息安全的前提下,实现全流程线上化、自动化操作,用户融资成本降低了50%。”汤道生表示,在一年的时间里,龙商贷已累计服务2.3万家小微企业,这无疑成为了普惠金融的一项样板工程。
关于安全对企业而言是否真的越来越重要这一问题,丁珂亦表示:“安全已成为企业数字化转型的原生需求。”当下,安全不只是企业发展的底线,更将成为制约企业发展的天花板。在他看来,布局产业安全需要从经营战略视角规划,借助专业的安全专家团队和平台能力,从情报、攻防、管理、规划四个维度入手,构建产业安全的四维免疫系统。