由信息安全引發(fā)的一系列社會問題從未像今天這樣嚴峻,個人信息頻遭竊取、販賣背后是一條龐大的黑色產業(yè)鏈,這條產業(yè)鏈如今已經(jīng)滲透至電商、教育、金融等社會生活的方方面面,由此,信息安全問題也成為一個全民性的問題,甚至已經(jīng)上升到國家戰(zhàn)略等級。那么,安全的本質是什么?這是一個值得深入思考但往往被忽視的問題。
“安全應該是一場對稱的對抗,黑客攻擊我們被動防守這種嚴重不對稱的時代已經(jīng)過去了?!本〇|首席信息安全專家Tony Lee在2016網(wǎng)絡安全技術高峰論壇上如是說。的確,嚴格意義上并沒有絕對的安全,一個安全的網(wǎng)絡環(huán)境僅僅意味著我們在與網(wǎng)絡黑產的對抗中暫時獲得了上風。從被動防守到主動出擊,對于京東而言,這場安全保衛(wèi)戰(zhàn)才剛剛開始。
從“亡羊補牢”到防患于未然
無論是對于一家互聯(lián)網(wǎng)企業(yè)還是網(wǎng)絡安全廠商而言,在與網(wǎng)絡黑產的對抗中最大的挑戰(zhàn)莫過于“威脅是在不斷變化的”,十幾年前就職于微軟時便曾與網(wǎng)絡黑客有過一番交手的Tony Lee對此深有感觸。那時,微軟幾乎是全球黑客的攻擊目標,而在輪番攻擊微軟的過程中黑客所使用的技術手段也不斷變化升級。
那么在面對這樣一個不斷變化的對手時,最好的對抗手段顯然不是毫不作為地等待對手的下次攻擊。然而事實上在過去很長一段時間里,我們所做的只是在被動遭受一次又一次的攻擊之后,填補修復漏洞、更新病毒庫,以此來完善自身的防御體系,繼而等待下一次攻擊。這種“亡羊補牢”式的對抗方式已經(jīng)遠遠無法適應當前日益嚴峻的安全形勢。
正如Tony Lee所說,“安全的本質是一場對稱的對抗”,安全威脅變大,對抗威脅的能力也要有所提升。所謂“對稱”我認為至少包含兩層含義,一是對抗雙方都應有攻有守而不是一方攻擊一方被動防御;二是對抗雙方在實力上不能過于懸殊,起碼勢均力敵,這就要求我們必須跟上黑客手段的升級速度。好在目前許多安全廠商已經(jīng)認識到這兩層含義。
從今年開始許多安全廠商開始頻頻提及大數(shù)據(jù)、人工智能等前沿技術在網(wǎng)絡安全技術上的應用。京東也在多年的大數(shù)據(jù)積累和分析技術基礎上建立了一套自己的風控安全體系。這套安全體系的明顯特征就是能夠在源頭上主動排查規(guī)避潛在的安全風險,同時與合作伙伴執(zhí)法部門合作主動出擊共同打擊黑產。
“安全永遠都是防患于未然”,亡羊補牢式的防御性對抗已經(jīng)無法適應當前的安全形勢。作為電商巨頭,京東具體是如何保障用戶在購物過程中的信息安全的,這是外界十分關心的問題。
京東的安全矩陣與人才儲備體系
假如信息像鎖在保險柜里的秘密文件一樣是非流動的,那么只要保險柜不打開信息就是安全的,但流動恰恰是信息的主要屬性,這對安全工作是一個巨大的挑戰(zhàn)。以京東而言,一款商品從出廠到采購再到倉儲又經(jīng)物流配送至用戶家中,整個流程都需要信息的流動與共享,京東的許多能力要提供給上下游的企業(yè)和商家,這種開放性決定了安全工作的難度。
安全變成了一個無邊界的事情,這就是京東這樣的電商巨頭面臨的安全挑戰(zhàn)。這就要求京東一方面從源頭上降低信息安全風險,另一方面需要建立完善的安全矩陣,針對各個業(yè)務和每個環(huán)節(jié)都要分配專門的安全人員,以排查、解決、記錄、跟蹤相關問題,同時建立相應的安全人才培養(yǎng)和儲備體系。
Tony Lee認為安全應該伴隨整個產品的生命周期,從設計到研發(fā)再到測試上線,安全應該嵌入到產品的核心中,而不是在這個產品上線之后再去進行安全優(yōu)化。京東的產品在初期的設計階段就會有安全專家參與進來,以確保在設計這個產品時就具備足夠的安全性,之后還需要通過多次安全測試才能上線,而在上線之后的整個周期里還要處在安全的監(jiān)控之下。這是從源頭上降低信息安全風險。
京東這套信息安全體系框架是在SDL+(Security Development Lifecycle Plus,安全開發(fā)周期+)下面進行安全產品的開發(fā),為何叫SDL+?是由于京東信息安全專門針對幾個環(huán)節(jié)做了優(yōu)化,包括評估監(jiān)控、無線安全、敏感數(shù)據(jù)等方面。京東的SDL+由培訓、需求、設計、評估、發(fā)布、監(jiān)控、響應、改進等一系列環(huán)節(jié)組成,且每一個環(huán)節(jié)都配備有專門的安全官。而在縝密的安全開發(fā)管理之外,京東更打造了完整的產品安全矩陣,涵蓋菊花臺、安全響應中心、風控分析平臺等八大子產品。
頗有些哲學色彩的是Tony Lee認為建立安全環(huán)境的關鍵在于人的安全意識,邏輯是假如互聯(lián)網(wǎng)產品在構建時就考慮到安全問題,那么安全隱患就會大大降低。所以京東還十分重視對人才安全意識的培養(yǎng),與高校一起設立安全課程,將安全意識注入到早期的計算機科學和技術教育中。這才是問題的根本源頭所在。
打擊黑產需要多方面共同面對
今天我們能夠足不出戶買到陽澄湖的大閘蟹、新西蘭的牛奶、法國的紅酒,對比十幾年前這是一個顛覆性的改變。Tony Lee從百度、微軟、賽門鐵克,到回國創(chuàng)立國內第一款云安全產品安全寶,再到今天出任京東首席信息安全專家,見證了這場巨變的發(fā)生。而這一切能夠發(fā)生的前提則是我們擁有一個安全的網(wǎng)絡環(huán)境。
網(wǎng)絡黑產是一個系統(tǒng)性的錯綜復雜的產業(yè)鏈,它的不斷肆虐是對整個人類社會的巨大挑戰(zhàn),應對這項挑戰(zhàn)已經(jīng)成為常態(tài),也需要拿出系統(tǒng)性的解決方案,這就需要不同企業(yè)、安全廠商以及執(zhí)法部門等多個環(huán)節(jié)的協(xié)作配合,共同打擊黑產讓其無所遁形。
例如,京東與英特爾共同推進先進技術在電商平臺上的落地應用,全力在圖像性能、數(shù)據(jù)庫監(jiān)控、身份認證、網(wǎng)絡安全等方面提升京東的技術水準和用戶體驗;京東和騰訊展開安全方面的合作,就防詐騙等層面共享數(shù)據(jù)信息,聯(lián)防聯(lián)動為用戶提供更安全的保障。此外京東還設立了合規(guī)部聯(lián)合執(zhí)法部門專門打擊網(wǎng)絡黑產。
面對網(wǎng)絡黑產,變被動為主動,這并不是對這種對抗的延伸,而是對對抗形勢的一種扭轉,讓對抗更加具備對稱性。一如京東一樣,由此互聯(lián)網(wǎng)企業(yè)的安全保衛(wèi)戰(zhàn)開始進入一個全新的階段。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準AI機器人
- 微信零錢通新政策:銀行卡轉入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領先技術與深度整合是關鍵
- 英偉達新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關注
- 無人機“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。