七位安全大咖圆桌煮酒,擦出了怎样的火花——京东安全峰会“聚力安全”篇
安全行业食物链中各自充当什么角色?利益与责任如何兼得?在第五届京东安全峰会中,七位安全界的绝对领袖同桌探讨“安全命运共同体”的构建,为“聚力安全”指引正确方向。
2017年, 互联网 发展依然蓬勃旺盛,不管是“无人值守”新零售场景的逐渐凸显、车联网新型驾驶方式的新兴还是“AI+”对多个行业的效率提升……互联网大行业的发展给安全行业带来了全新的机遇和挑战,我们不仅自问:安全里的每个群体、每个个体该如何明确自身属性,跟上步伐,汇聚力量,发挥优势?
在12月21日举办的第五届京东安全峰会中,京东首席信息安全专家Tony Lee,腾讯玄武实验室负责人TK,清华大学网络与信息安全实验室主任段海新,中国电信云堤负责人刘紫千,知道创宇CSO黑哥,微步在线CEO薛锋坐在一起,就“网络安全命运共同体”,展开了一场精彩而犀利的分享,安在 新媒体 创始人张耀疆主持了本次圆桌,就利益共同体、责任共同体、发展共同体,命运共同体进行深度剖析。
主持人张耀疆
京东安全负责人Tony Lee表示,“做安全的人,很大程度上需要非常大的责任心在里面,没有这种责任心很容易迷失,是正义感、责任感在驱动我们。”共同直面人工智能时代带来的安全挑战并把握机遇,自身生存和发展是首要条件,除此之外,我们看的更远一点、大一点,多贡献一点,就会有共赢的场景在里面。
京东首席信息安全专家 Tony Lee
对于生态和命运共同体的关系,腾讯玄武实验室负责人TK给出的答案是,“通过生态,大家的命运连在一起。抵抗安全威胁,需要齐心合力”。他还表示,安全行业很苦,还会受到中伤和诋毁,作为安全行业一份子要为你的行业发声。
腾讯玄武实验室负责人 TK
“一旦发生网络攻击,产业之间没有办法做到隔岸观火。”清华大学网络与信息安全实验室主任段海新教授表示,学术机构在很多时候充当行业协调者,与各个厂商之间协作,但过程中发现,每个厂商都要考虑自己的 商业 利益,同时要保护用户隐私,造成制定统一标准特别困难。“如果把我们都放在一个命运共同体里面,才有可能成为更好的安全防护者。”
清华大学网络与信息安全实验室主任段海新
中国电信云堤负责人刘紫千认为“安全命运共同体”和“生态”是不同的概念,“命运共同体一定是我们要一起好,肯定不是一起差,而且我们要一起追求我们集体的利益最大化”,并举例说明了为什么我们要成为命运共同体而不仅仅是生态。
中国电信云堤负责人刘紫千
知道创宇CSO黑哥是白帽子群体当之无愧的代言人,他首先表达了对持续构建网络安全命运共同体没有关键抓手的担忧,而白帽子更是命运共同体不可或缺的一部分,无论是岗位、工资的高低以及如何做好本职工作,都与此密切相关。
知道创宇CSO黑哥
作为新一代厂商代表微步在线CEO薛锋认为要辨证地看待“安全共同体”。以情报为例,行业内并没有做到很好的共享,或者说命运共同体没有起到一个正向的作用;而安全设备可以起到互相联动的作用,正在发生和未来的事情可能正是命运共同体的体现。
微步在线CEO薛锋
附圆桌内容摘要:
张耀疆:
命运共同体,把国家层面的战略思考和网络安全结合在一块,去延伸思考,这个非常好,而且比较能够天马行空。我们将共同体分为四个层面,最基础的是利益共同体,往上分别是责任共同体、发展共同体,最高层是命运共同体。请问Tony,作为东道主,为什么在人工智能时代,京东提出了网络安全命运共同体的主题,有什么必然的联系,会产生什么样的变化?
Tony Lee:
AI、IOT、云计算,就是三架马车驱动我们下一代互联网的发展,特别是在中国,我们有很多的场景和数据,很有可能让中国互联网能够第一次超越美国。
而做安全的,分布在不同的行业里面,有运营商、有高校、 创业 公司,也有大甲方。大家做这么多年的安全,其实很难判断目标,很难很快地看出做得好和不好,所以做安全的人,很大程度上需要非常大的责任心在里面,没有这种责任心很容易迷失,是正义感、责任感在驱动我们。
张耀疆:
你还没告诉我,AI对命运共同体的意义,具体可能会呈现在哪些方面?
Tony Lee:
因为京东场景很多,有大量的IOT设备和AI的场景。这些场景下,存在很大的安全挑战。所以高校、运营商、政府、创业公司、甲方,每个方面都需要AI的落地,这也就是这个层面上的命运共同体。
张耀疆:
不仅仅是AI了,可能AI是代表了往前走的方向。“需要社会各界的力量来共同凝聚结合在一起,去创造出一些东西”。这个是东道主给我们命运共同体做一个简单的解释。最近几年也有一个概念叫“生态”,生态和命运共同体,这两个概念之间,看起来好像是有共同之处,但是又有非常微妙的差别。接下来问一下TK,你在腾讯做一些前沿性的研究,前一阵有一个获奖的论文,从应用的基础设施层面上进行彻底的改造,甚至要颠覆掉以前应用的架构,把安全问题能够真正的解决掉。它已经不是简单的应用问题了,它也是一个共同体,因为面非常非常广。你怎么理解这个概念?
TK:
命运共同体和生态之间是有关系的。从生态的角度讲安全,生态有一个上游、有一个下游,生态的核心是生,大家的生存彼此是连在一起的。安全的命运共同体这个概念可能比生态会更大一些。你即使不是在一个生态里面,即使不是一个行业,完全没有关系,但是你只要连在互联网上,只要你还使用信息系统,其实大家真的是处在一个命运共同体里。在面对安全问题,去抵抗安全威胁的角度讲,大家是需要齐心合力的。安全已经很苦了,还会受到中伤和诋毁,你是安全行业的其中一份子,这时候大家应该站出来,为你的行业去发声,我觉得我们是一个命运共同体。
张耀疆:
用一句俗话讲,一条船上的,一根绳上的,你再怎么蹦就是大家一起蹦。命运共同体好像是一个相对比较宏大的概念,或者稍微更高层面上的概念,而生态更针对一种利益群体。我们提到命运共同体是相对宏大,带有更高层面上思考问题的概念,那么段老师,您是高校的代表,一直在关注互联网的发展。听你讲DNS的话题很多次,感觉这个话题并不是单纯从技术上讲这个话题,讲的是网络世界,网络社会,它是一个怎么样治理的局面。从这点来讲也是一种命运共同体,不是这个东西必须是某个国家或者某个区域的问题,它牵扯到是全球,是整个互联网到底怎么往前发展。从这点来讲,你讲一下你自己的体会。
段海新:
说起人类命运共同体,我首先想到的是难民。我们和难民们惟一的共同点就是我们同为人类。从人类社会过渡到虚拟社会里面,那些受害者,或者那些弱势群体,究竟跟我们有什么关系?一旦网络攻击发生,这些产业之间没有办法做到隔岸观火。但是产业之间确实又有一些各自的商业利益,有一些竞争,这也是难免的,至少在中国,以前互联网公司之间有很多的摩擦和冲突,这点在国外也不例外。
每个厂商要考虑自己的商业利益,同时还要保护用户的隐私,把自己的数据拿出来,确实还是比较敏感的,但是也不是完全不可能的。我这几年跟许多的厂商,包括百度、360、华为等,我知道每个公司都有自己负责独特的数据,而且是非常丰富的数据,很多公司在用这些数据保护用户安全,打击黑产,为打击网络犯罪方面做了很大的贡献。但是每个公司所掌握的数据都不是那么全面的。而我们同在一个命运共同体里,我们才可能更好的做出安全防范。
张耀疆:
科技 可以造福人类,科技也有可能放大鸿沟,我们既然提了命运共同体的概念,从上治理,哪怕是生态的某一点上,我们应该有意识去做一些弥补性的工作,这是段老师给我的一个很好的启发。
那么我们怎样从网络基础设施这个层面上去看待网络安全的命运共同体?因为基础设施是普遍性的,在这个过程当中,是大家聚力在做一些事情,还是一种什么样的状态?
刘紫千:
从运营商的角度来说,运营商过去是最喜欢提生态的。生态系统里面,一定是弱肉强食,有的人为了生存,一定有利益受损的。反过来,命运共同体是完全不同的概念,我不觉得它们相同。命运共同体一定是我们要一起好,肯定不是一起差,而且我们要一起追求我们集体的利益最大化,至少在网络安全方面,我们要追求集体利益的最大化。假如京东受网络攻击了,如果运营商要牺牲掉京东,我一定是生态的概念,我就是生态系统,我大平台管不了京东。如果我们是命运共同体的概念,我们一定要想办法去阻止这种行为在网络上的传播,这个其实恰恰是今天想借这个命运共同体的话题去表达的。
张耀疆:
刘紫千刚才的例子,都可以讲述出命运共同体最终所呈现出来的状态,以及我们希望能够达成的目标。这个目标,牵扯到国家层面,要各个领域,各个小的实体,甚至包括个人,要共同去作用,才能够解决这么一个宏大的命运共同体的大命题。而这里面人起决定性的作用,不管我们用什么样的技术,什么样的产品,什么样的架构,从头到尾在它整个生命周期当中都是人至关重要。
网络安全命运共同体的话题从人的角度怎么去看,作为我们技术圈,特别是白帽子群体,大家一致认可的代言人,黑哥是怎么思考这个话题的?
黑哥:
我觉得所谓的命运共同体要看谁提出来的,这是前提。习大大提出来是代表国家,是有国家力量做抓手的。我们在这里提网络安全行业的命运共同体,在我看来是缺少一个抓手。
我们追求的命运是同一个目标吗?实际上没有一个共同命运共性的东西。有可能大家都能挣到钱,这个可能是一个比较好的点。命运共同体对于白帽子来说,一定程度上是高屋建瓴的,但是关联度也很高,无论岗位,无论你的高低,做好你的本职工作,其实就是为了打造这个命运共同体。
张耀疆:
黑哥的话很实在,我们看到随着行业的变化,网络安全整个趋势的变化,人的命运也不断进行跳跃,有些人可以做得很好,但是有些人可能就走入低谷。在一个非常宏大的背景下,对个体来讲,往往意味是千差万别的,不管是大的还是小的,他如果是一个共同体,它的目标是什么,是不是一致,这个可能才是前提。
微步在线是这两年非常突出的创业公司,做的事情很独特,发展非常快,作为典型的一种新一代的厂商,就产业来讲,就安全的厂商互相之间微妙的关系来讲,你怎么去理解这个命运共同体?
薛锋:
首先,我们是有共同的敌人和对手,情报里面本身就有一个很显著的属性就是共享,其实共享和共同体之间有很强的关系。而不管从行业业务层面,还是从同行的层面,其实在这件事情上没有做到很好的共享,或者命运共同体,没有起到正向的一个作用。
第二,我们现在卖给企业的设备,谈不上一个共同体,其实最后就是谁背锅的问题,它们之间是不讲同一种语言的。但是安全设备可以起到互相联动的作用,这是正在发生和未来的事情,这也是我们命运共同体的体现。
张耀疆:
我们走了一圈,把命运共同体看起来很大,很宏伟的话题,经过分析,从不同的维度,不同的层面上,以不同的点上,我们都呈现出一点点端倪,甚至我认为提出来一些问题。
今天的主题是说在AI前沿的带领下我们命运共同体怎么样呈现出来,也许我们的未来AI+安全,应该去考虑哪些方向。当然,之后我们要考虑的是大家怎么联合,怎么样共同努力。Tony,你来做一个小结?
Tony Lee:
任何有规则性的东西都会被绕过了,历史证明了,我们20年安全的发展,基本上都是按规则来,以规则来阻断黑客攻击。但是规则的东西都是被绕过的。你必须用更先进的方法去检测,规则可能搞不定,就得AI,非常非常仔细的检查一些差异,可能就需要AI去判断,这是一个很有意思未来的发展方向。
我们都要生存,首先是要发展,所以每个群体,每个个体,都会想到自己的利益,这是很正常的。除了我们自己的利益之外,再看稍微远一点,大一点,同时再看大一点点,看看有没有一个共赢的场景在里面,我们的努力,包括我们白帽子,给各家做出一些贡献,有没有一点点更加大的利益在里面,也许我们不自觉也在做很大的贡献。也许在这个层面上,大家也是做很有意义的事情,只是我们没有把它放在这么大的一个上下文里面。所以我觉得命运共同体从某程度上,也有这么一个很好的作用。