由信息安全引发的一系列社会问题从未像今天这样严峻,个人信息频遭窃取、贩卖背后是一条庞大的黑色产业链,这条产业链如今已经渗透至电商、教育、金融等社会生活的方方面面,由此,信息安全问题也成为一个全民性的问题,甚至已经上升到国家战略等级。那么,安全的本质是什么?这是一个值得深入思考但往往被忽视的问题。
“安全应该是一场对称的对抗,黑客攻击我们被动防守这种严重不对称的时代已经过去了。”京东首席信息安全专家Tony Lee在2016网络安全技术高峰论坛上如是说。的确,严格意义上并没有绝对的安全,一个安全的网络环境仅仅意味着我们在与网络黑产的对抗中暂时获得了上风。从被动防守到主动出击,对于京东而言,这场安全保卫战才刚刚开始。
从“亡羊补牢”到防患于未然
无论是对于一家互联网企业还是网络安全厂商而言,在与网络黑产的对抗中最大的挑战莫过于“威胁是在不断变化的”,十几年前就职于微软时便曾与网络黑客有过一番交手的Tony Lee对此深有感触。那时,微软几乎是全球黑客的攻击目标,而在轮番攻击微软的过程中黑客所使用的技术手段也不断变化升级。
那么在面对这样一个不断变化的对手时,最好的对抗手段显然不是毫不作为地等待对手的下次攻击。然而事实上在过去很长一段时间里,我们所做的只是在被动遭受一次又一次的攻击之后,填补修复漏洞、更新病毒库,以此来完善自身的防御体系,继而等待下一次攻击。这种“亡羊补牢”式的对抗方式已经远远无法适应当前日益严峻的安全形势。
正如Tony Lee所说,“安全的本质是一场对称的对抗”,安全威胁变大,对抗威胁的能力也要有所提升。所谓“对称”我认为至少包含两层含义,一是对抗双方都应有攻有守而不是一方攻击一方被动防御;二是对抗双方在实力上不能过于悬殊,起码势均力敌,这就要求我们必须跟上黑客手段的升级速度。好在目前许多安全厂商已经认识到这两层含义。
从今年开始许多安全厂商开始频频提及大数据、人工智能等前沿技术在网络安全技术上的应用。京东也在多年的大数据积累和分析技术基础上建立了一套自己的风控安全体系。这套安全体系的明显特征就是能够在源头上主动排查规避潜在的安全风险,同时与合作伙伴执法部门合作主动出击共同打击黑产。
“安全永远都是防患于未然”,亡羊补牢式的防御性对抗已经无法适应当前的安全形势。作为电商巨头,京东具体是如何保障用户在购物过程中的信息安全的,这是外界十分关心的问题。
京东的安全矩阵与人才储备体系
假如信息像锁在保险柜里的秘密文件一样是非流动的,那么只要保险柜不打开信息就是安全的,但流动恰恰是信息的主要属性,这对安全工作是一个巨大的挑战。以京东而言,一款商品从出厂到采购再到仓储又经物流配送至用户家中,整个流程都需要信息的流动与共享,京东的许多能力要提供给上下游的企业和商家,这种开放性决定了安全工作的难度。
安全变成了一个无边界的事情,这就是京东这样的电商巨头面临的安全挑战。这就要求京东一方面从源头上降低信息安全风险,另一方面需要建立完善的安全矩阵,针对各个业务和每个环节都要分配专门的安全人员,以排查、解决、记录、跟踪相关问题,同时建立相应的安全人才培养和储备体系。
Tony Lee认为安全应该伴随整个产品的生命周期,从设计到研发再到测试上线,安全应该嵌入到产品的核心中,而不是在这个产品上线之后再去进行安全优化。京东的产品在初期的设计阶段就会有安全专家参与进来,以确保在设计这个产品时就具备足够的安全性,之后还需要通过多次安全测试才能上线,而在上线之后的整个周期里还要处在安全的监控之下。这是从源头上降低信息安全风险。
京东这套信息安全体系框架是在SDL+(Security Development Lifecycle Plus,安全开发周期+)下面进行安全产品的开发,为何叫SDL+?是由于京东信息安全专门针对几个环节做了优化,包括评估监控、无线安全、敏感数据等方面。京东的SDL+由培训、需求、设计、评估、发布、监控、响应、改进等一系列环节组成,且每一个环节都配备有专门的安全官。而在缜密的安全开发管理之外,京东更打造了完整的产品安全矩阵,涵盖菊花台、安全响应中心、风控分析平台等八大子产品。
颇有些哲学色彩的是Tony Lee认为建立安全环境的关键在于人的安全意识,逻辑是假如互联网产品在构建时就考虑到安全问题,那么安全隐患就会大大降低。所以京东还十分重视对人才安全意识的培养,与高校一起设立安全课程,将安全意识注入到早期的计算机科学和技术教育中。这才是问题的根本源头所在。
打击黑产需要多方面共同面对
今天我们能够足不出户买到阳澄湖的大闸蟹、新西兰的牛奶、法国的红酒,对比十几年前这是一个颠覆性的改变。Tony Lee从百度、微软、赛门铁克,到回国创立国内第一款云安全产品安全宝,再到今天出任京东首席信息安全专家,见证了这场巨变的发生。而这一切能够发生的前提则是我们拥有一个安全的网络环境。
网络黑产是一个系统性的错综复杂的产业链,它的不断肆虐是对整个人类社会的巨大挑战,应对这项挑战已经成为常态,也需要拿出系统性的解决方案,这就需要不同企业、安全厂商以及执法部门等多个环节的协作配合,共同打击黑产让其无所遁形。
例如,京东与英特尔共同推进先进技术在电商平台上的落地应用,全力在图像性能、数据库监控、身份认证、网络安全等方面提升京东的技术水准和用户体验;京东和腾讯展开安全方面的合作,就防诈骗等层面共享数据信息,联防联动为用户提供更安全的保障。此外京东还设立了合规部联合执法部门专门打击网络黑产。
面对网络黑产,变被动为主动,这并不是对这种对抗的延伸,而是对对抗形势的一种扭转,让对抗更加具备对称性。一如京东一样,由此互联网企业的安全保卫战开始进入一个全新的阶段。
