網(wǎng)絡(luò)運(yùn)營(yíng)者共話安全責(zé)任

在希臘神話中，有個(gè)普羅米修斯，盜取火種帶到人間，給人類帶來(lái)文明。

在網(wǎng)絡(luò)安全界也有這么一類人，他們包括網(wǎng)絡(luò)運(yùn)營(yíng)者、技術(shù)英雄和教育者，承擔(dān)起普羅米修斯的責(zé)任，帶來(lái)“火種”，結(jié)束人們的“苦難”，也即挖掘漏洞，共同維護(hù)互聯(lián)網(wǎng)的安全穩(wěn)定。

在由i春秋發(fā)起的“2018首屆互聯(lián)網(wǎng)安全責(zé)任峰會(huì)”上，i春秋校長(zhǎng)蔡晶晶以普羅米修斯神話開篇，邀請(qǐng)網(wǎng)絡(luò)運(yùn)營(yíng)者、技術(shù)英雄及教育者，聚焦漏洞補(bǔ)完生態(tài)，引出各方應(yīng)承擔(dān)怎樣責(zé)任的話題。

那么，作為網(wǎng)絡(luò)運(yùn)營(yíng)者，有哪些重要安全責(zé)任？在承擔(dān)這些安全責(zé)任過程中與其他網(wǎng)絡(luò)運(yùn)營(yíng)者是如何合作的？在承擔(dān)網(wǎng)絡(luò)安全責(zé)任上如何與民間白帽子技術(shù)英雄們合作？在安全人才需求上，對(duì)網(wǎng)絡(luò)安全學(xué)院寄予怎樣的希望？永信至誠(chéng)高級(jí)副總裁潘柱廷作為主持人，向在座網(wǎng)絡(luò)運(yùn)營(yíng)者的專家們（如圖1）拋出以上問題。

圖1 各安全專家訪談

京東首席信息安全專家Tony Lee：我們不僅是網(wǎng)絡(luò)運(yùn)營(yíng)者，還是數(shù)據(jù)運(yùn)營(yíng)者，安全工作不能僅限于寫代碼，最終還是要?dú)w于責(zé)任感，例如我們?cè)谧鰯?shù)源分析時(shí)發(fā)現(xiàn)了針對(duì)數(shù)十家單位的木馬攻擊行為，我們不止是做好自身的防護(hù)，同時(shí)還通報(bào)給相關(guān)單位，這就是責(zé)任感。

在反病毒方面協(xié)作與共享程度很高，但在其他領(lǐng)域的協(xié)作還很缺乏，因此企業(yè)之間應(yīng)當(dāng)做出更多多維度立體的合作。比如在開源方面，不能只埋頭于自身的開源技術(shù)的改進(jìn)，還應(yīng)多做分享，否則只會(huì)讓自己限于被動(dòng)。安全的工作亦是如此，將不同的資源分享出來(lái)也是網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任。

這種資源分享也包括技術(shù)層面，與白帽子的合作過

程中，一方面將自身的技術(shù)分享出來(lái)，另一方面通過得到白帽子的力量的支持以發(fā)展自身技術(shù)。因此，網(wǎng)絡(luò)運(yùn)營(yíng)者與白帽子之間不是甲乙方，而是“正義聯(lián)盟”。

在某些時(shí)候，對(duì)于網(wǎng)絡(luò)人員，包括程序員、產(chǎn)品經(jīng)理等的安全意識(shí)的培養(yǎng)，往往比培養(yǎng)安全人才更加重要。因此，賦能開發(fā)人員安全素質(zhì)是很重要的一環(huán)。

滴滴出行信息安全部戰(zhàn)略副總裁弓峰敏：對(duì)滴滴出行來(lái)說，保護(hù)用戶的數(shù)據(jù)安全是第一位的，為此滴滴出行成立有滴滴安全應(yīng)急響應(yīng)中心來(lái)承擔(dān)保護(hù)用戶數(shù)據(jù)安全的責(zé)任。

不僅如此，還同其他網(wǎng)絡(luò)運(yùn)營(yíng)者加強(qiáng)合作，通過共享威脅情報(bào)，共同維護(hù)互聯(lián)網(wǎng)安全生態(tài)的防御能力。對(duì)滴滴出行而言，成立有SRC聯(lián)盟，對(duì)于自身的平臺(tái)系統(tǒng)建設(shè)也在不斷地與黑產(chǎn)等威脅做斗爭(zhēng)。由于不同的數(shù)據(jù)來(lái)源于不同的渠道，如何保證數(shù)據(jù)質(zhì)量，這些都需要與其他公司合作。

白帽子是很重要的安全力量，SRC的機(jī)制是很好的方式來(lái)發(fā)揮白帽子的效能，鼓勵(lì)白帽子的負(fù)責(zé)任的漏洞紕漏行為。同時(shí)扶持對(duì)白帽人才的培養(yǎng)，比如像i春秋這樣的平臺(tái)。

業(yè)界還應(yīng)與高校形成互動(dòng)，取長(zhǎng)補(bǔ)短，形成整體的人才培養(yǎng)體系。安全學(xué)院要開發(fā)全周期的安全保障技能培訓(xùn)課程，在真實(shí)的攻防環(huán)境中獲得能力。

阿里巴巴集團(tuán)技術(shù)副總裁、首席安全專家杜躍進(jìn)：作為網(wǎng)絡(luò)運(yùn)營(yíng)者，首先是要保證自身的業(yè)務(wù)安全穩(wěn)定的運(yùn)行，但安全不止是自己的事情，還要保障用戶的數(shù)據(jù)安全，把用戶的安全作為自己的責(zé)任，在更高層面上，網(wǎng)絡(luò)運(yùn)營(yíng)者也要重視生態(tài)或行業(yè)發(fā)展的責(zé)任，努力維護(hù)整個(gè)行業(yè)生態(tài)的安全。

在與其他網(wǎng)絡(luò)運(yùn)營(yíng)者合作問題上，應(yīng)當(dāng)樹立大格局，建立真合作。安全的最終目的是保護(hù)用戶，因此網(wǎng)絡(luò)運(yùn)營(yíng)者們?cè)诎踩膯栴}上不是競(jìng)爭(zhēng)關(guān)系，而是合作。而且，安全工作者們的真正對(duì)手是安全威脅的制造者，不是競(jìng)爭(zhēng)對(duì)手，也不是甲方企業(yè)，因此，只有站在更高的格局上才能形成合作。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承認(rèn)白帽子和安全團(tuán)隊(duì)的貢獻(xiàn)和價(jià)值，阿里就非常重視與他們的合作。白帽子不是黑客，與黑客挖掘漏洞進(jìn)行敲詐勒索不同，不管是民間白帽子還是網(wǎng)絡(luò)運(yùn)營(yíng)者，都應(yīng)有公正之心，牢記初心，最終目的是更好地服務(wù)用戶，這樣才能更好地合作。

在安全技術(shù)人才培養(yǎng)上，應(yīng)把握務(wù)實(shí)、創(chuàng)新、靈動(dòng)三點(diǎn)，面對(duì)真實(shí)問題和真實(shí)需求來(lái)進(jìn)行人才培養(yǎng)。

百度安全副總經(jīng)理沈鵬飛：網(wǎng)站運(yùn)營(yíng)者是保護(hù)個(gè)人信息安全的第一責(zé)任人，這是我們的義務(wù)，百度安全有完善的技術(shù)保護(hù)用戶信息安全，尤其在搜索方面，保障用戶不受釣魚網(wǎng)站、惡意網(wǎng)址等的侵害是百度的責(zé)任。除此之外，在打擊黑產(chǎn)方面百度也是不遺余力，在全網(wǎng)的安全監(jiān)測(cè)、攻擊溯源、網(wǎng)絡(luò)犯罪研究上也做了很大投入，這些都是百度安全作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)盡的責(zé)任。

在與其他網(wǎng)絡(luò)運(yùn)營(yíng)者合作上，百度安全的態(tài)度是同舟共濟(jì)。百度成立有自己的聯(lián)盟生態(tài)，將自身技術(shù)開放給聯(lián)盟。而且百度也在與運(yùn)營(yíng)商合作，包括網(wǎng)址安全和偽基站防護(hù)等，同時(shí)也包括在打擊黑產(chǎn)方面同公安部門的合作。

白帽子活躍在各個(gè)社區(qū)和SRC平臺(tái)上，是網(wǎng)絡(luò)安全攻防的有效武器，百度安全對(duì)于白帽子本著合作與培養(yǎng)的方式，構(gòu)建良性溝通機(jī)制，除了通過百度SRC提交漏洞獲取獎(jiǎng)勵(lì)外，更是提供了與世界頂級(jí)黑客交流的機(jī)會(huì)。

互聯(lián)網(wǎng)廠商既是安全人才培養(yǎng)者，也是需求方。百度已與部分高校進(jìn)行產(chǎn)學(xué)研合作，培養(yǎng)應(yīng)用型安全人才。

永信至誠(chéng)高級(jí)副總裁潘柱廷做出總結(jié)，能力越大、責(zé)任越大，剛剛互聯(lián)網(wǎng)企業(yè)管理者們共同探討了信任的重量、責(zé)任的重量。但網(wǎng)絡(luò)安全并不是孤身作戰(zhàn)，不管是網(wǎng)絡(luò)運(yùn)營(yíng)者之間還是與白帽子以及人才培養(yǎng)上，i春秋希望搭建一個(gè)平臺(tái)，構(gòu)建漏洞補(bǔ)完生態(tài)，使網(wǎng)絡(luò)運(yùn)營(yíng)者、教育者、技術(shù)英雄形成一種連接，以更好地承擔(dān)網(wǎng)絡(luò)安全責(zé)任。