CSS2017：新秩序下，探尋全行業安全之道

8月15日上午， 第三屆互聯網安全領袖峰會(Cyber Security Summit，簡稱CSS安全領袖峰會)在北京國家會議中心開幕。本屆CSS峰會以「安全新秩序 連接新機遇」為主題，著重探討新形勢下互聯網安全的產業格局和發展機遇，為產業的「數字經濟」轉型獻策。

騰訊首席運營官任宇昕出席活動並致辭。而在其發言中，Wannacry事件又再一次被提起。

今年5月，WannaCry勒索病毒的全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。WannaCry勒索病毒顯然將成為數字經濟時代的標誌性事件，也再一次提醒我們，信息安全對於數字經濟發展的重要性。

數據顯示，2016年共發生1800起數據泄露事件，近14億條記錄外泄；而據估算，2016年，因垃圾簡訊、詐騙信息、資料泄露等原因，造成網民的經濟損失高達915億元。

如今，信息安全已經成為數字經濟發展的神經系統，騰訊首席運營官任宇昕如是說。信息安全的威脅和挑戰，一直在加劇。

其實，新形勢下，信息安全已發生結構性改變。

信息安全的責任主體，已不再只是政府及專業安全公司，所有參與數字經濟的企業，都必須具備這個基礎能力。信息安全也不再是獨立的第三方產業，而是深度融入數字經濟領域、成為數字經濟的神經系統。行業合作機制也面臨改變，技術共享、全球協同將成為新時期信息安全保障機制的重要基礎，人才、技術、體系都將不再孤立存在。

新形勢下，全行業該如何跨過信息安全這道坎呢？

任宇昕認為，應該從社會安全意識、應急響應機制、基礎建設投入、法治保障體系四個層面入手，這也將成為保障數字經濟發展的四條「中樞神經」。

第一，社會安全意識需要轉變，安全問題前置、安全已成為業務流程重要組成。

對全行業來說，安全治未病時代已經到來，頭疼醫頭的「看護式」安全模式，必須向全民健體的「保健式」安全模式轉變。企業要在產品設計之初就具備安全意識和防範能力，如同具備大數據能力、雲計算能力一樣，只有這樣才能有效解決牽一髮而動全身的安全問題。信息安全公司作為一個獨立的產業，邊界將越來越模糊，如同一個健康教練一樣，幫助企業增強網路安全建設能力。

第二，建立協同應急響應機制，人才、技術、數據全面共享，釋放安全「勢能」。

客觀來說，安全人才梯隊和技術創新能力已經全球領先，不斷在眾多全球頂級的黑客大賽中取得領先成績，騰訊自研殺毒引擎在全球評測中連續奪冠；同時，安全產業規模及參與企業數量也位居全球前列。然而，勒索病毒等新攻擊一來，大家還是手足無措，政府、企業、安全公司沒有有效聯動，安全勢能沒有得到有效釋放。

第三，加大安全基礎建設投入。

目前國內信息安全投入不足1%，遠低於美國、日本。目前國內企業在信息安全建設方面的重視和投入都不足，比如像勒索病毒的攻擊到來，在面對的時候還是略顯不足。

第四，提升安全法治保障體系。

6月1日，《網路安全法》落地實施，這是首部網路安全相關立法；同時，國家網信辦會同相關部門起草了《關鍵信息基礎設施安全保護條例》意見稿，保障關鍵信息基礎設施安全。這意味著，國家法治保障體系建設已初具規模，接下來，就需要企業主體的責任和擔當，以確保相關法律法規的落地執行。

而在隨後的圓桌中，騰訊公司副總裁丁珂、聯通信息化部總經理孫世臻、國家電網公司信息通信部主任王繼業、信息安全測評中心總工程師王軍、Visa的副董事長兼首席風險官 Ellen Richey同樣就「新秩序下的安全之道」這一話題進行了深入的交流探討。

《網路安全法》的落地實施，意味著數字經濟將步入有法可依的新秩序階段，企業需要更好貫徹《網路安全法》。與會嘉賓一致認為，新秩序下的互聯網企業面臨巨大挑戰，同時也迎來了前所未有的機遇。那麼，《網路安全法》新的背景下，網路安全領域、信息安全領域到底面臨哪些重要的挑戰和威脅？

就此問題，丁珂指出：新秩序下，網路安全、信息安全領域主要面臨三個方面的挑戰和威脅。第一，用戶的隱私保護正式提上議程，打擊個人信息泄露犯罪有法可依；第二，企業責任更加明確，每個企業都有明確的責任來保護用戶的財產和隱私安全；第三，在有法可依和制度保障上，《網路安全法》會為行業合作提供指導性意義，隨著全行業對網路安全的重視程度提高，對網路安全的投入力度加大，將催生更大空間的網路安全市場和更多合作可能。

此次圓桌嘉賓分別來自四個行業：互聯網、金融、通信、電力，可以說是支撐整個社會國民經濟的四個重要的支柱。那麼，面對威脅，這四個行業分別有何應對方式？這將是大家十分關注的重點。

◆互聯網安全

面對安全新秩序下的挑戰，丁珂表示騰訊將在人才培養、整體安全防護體系構建和大數據、核心技術開放共享三個層面繼續發力。作為CSS安全領袖峰會的發起方，騰訊一直在持續推進和建立開放、協作的安全生態新體系，不斷強化自身安全研發能力及創新能力，向全行業輸出更強的技術實力，在推動建立全產業鏈協作的安全體系上不斷努力。

◆金融安全

在日益嚴峻的安全威脅形勢下，作為全球最大的網路支付企業，Visa是如何保障廣大用戶的權益的?採取了哪些安全措施?

Ellen Richey表示，在消費者保護方面，Visa有「零責任」政策，即消費者使用Visa的支付系統，就會受到相關的保護。從技術層面來說，隨著移動互聯網和物聯網的快速發展，數據脫敏變得非常重要。我們需要建立很好的保護策略和方案，並對自身設備進行全網監測，預測犯罪行為，先行一步發現威脅，然後阻止威脅。此外，為了更好的對抗威脅，Visa選擇與製造商、研究機構等夥伴合作，避免潛在的網路攻擊。

◆通信安全

近兩年，隨著技術的不斷演進，針對電信基礎運營商的網路攻擊不斷在變化或者升級，常見的威脅有：DDoS攻擊，流量截取等。尤其在黑色產業鏈利益的驅使下，利用網路漏洞等手段竊取數據信息的攻擊也在不斷的上升。

針對這些攻擊，孫世臻表示，聯通十分重視這些攻擊的防禦問題，主要實施了三個方面的安全措施：

第一，對攻擊做好跟蹤預警。實時關注國內外的網路信息安全動態，然後及時做出一些預警的反應。

第二，不斷完善防護手段。作為電信運營商，聯通高度重視技術創新，在持續加大研發投入的同時，也與互聯網安全企業緊密合作，及時使用業內最新的安全成果，不斷地豐富和完善防護的手段和能力。

第三，建立完善的應急處理機制和體系。此外，根據形勢的變化、條件的變化，聯通不斷地完善制度體系，主要涵蓋了建設、運營和用戶數據的保護等。

「尤其在《網路安全法》頒布之後，通過這些制度體系進行了全面的修訂，來適應新的監管環境的要求，做好我們的防護。」 孫世臻這樣說。

◆電網安全

電網安全關係公共安全和國計民生,任何時候、任何情況下都不能有絲毫放鬆和懈怠。作為國家電網公司信息通信部主任，王繼業說：「作為一個信息基礎設施，和互聯網安全最大的不同，就是對於電力監控系統這麼一個實時運行的系統，一旦發生被入侵或者管理員帳號被控制的話，有可能引發大面積的停電事故，對於現代社會來講，這是不可忍受的。」

針對新形式下的挑戰，王繼業認為：「在網路安全防護中，第一，注重體系的防護。即從技術體系上、架構上，進行防範;第二，要強化管理。因為任何物理系統都是由人來控制的，如果人員在系統運行中的行為受到一些不正常影響的話，也有可能造成監控系統被入侵;第三，是技術防護。從技術上要建立一整套完整的防禦體系，包括技術監測體系、及時的感知系統，出現問題及時隔離、及時消除故障。」

伴隨著互聯網更深層次的融合與開放，不同領域的企業跨界合作機會增多、程度加深，安全產業與其它行業交互相融，逐漸建立起聯動的生態戰略化體系。而面對新秩序下的機遇與挑戰，更需要政府、各行業、企業建立連接協同合作機制，同時也需要更多有擔當有能力的企業發揮表率作用。

據安在（ID：AnZer_SH）了解，一直以來，騰訊非常重視信息安全建設，持續加大在人才、技術、數據方面的能力建設和開放，積極倡導安全新生態。

人才梯隊及培養閉環方面，騰訊首創騰訊安全聯合實驗室矩陣體系，TCTF與全國高校專業合作「百人計劃」，並傾力打造了GeekPwn等專業的賽事平台。開放了全球最大安全雲庫，覆蓋了99%網民；同時，在漏洞挖掘、反詐騙、車聯網安全等領域，騰訊與谷歌、蘋果、特斯拉等全球巨頭保持良性合作。

產品矩陣方面，騰訊手機管家、電腦管家擁有國內最大體量的用戶群體；騰訊安全聯合實驗室攜手騰訊雲，為客戶構建了「雲、管、端」立體安全防護體系。企業責任方面，騰訊守護者計劃積極攜手公安部、運營商、銀行、合作夥伴打造反電信網路詐騙閉環，積極打擊詐騙犯罪。

開放、共享、合作，已經成為數字經濟時代信息安全產業共識。

在發表最後，任宇昕也說道：「作為CSS安全領袖峰會的發起方，騰訊在開放合作、技術創新和產業融合三方面將不斷發力，為推動建立全產業聯動的安全生態新體系做出切實努力。」

一家企業能力很有限，信息安全發展需要全產業聯動。任宇昕呼籲有能力、有擔當的企業積極承擔責任，積极參与信息安全這一「神經系統」的構建。

撰稿：安在君 編輯：唐學菲

【推薦閱讀】

◎◎◎◎◎