希臘神話中，上神普羅米修斯從太陽神阿波羅那里盜走火種送給人類，為人類帶來了光明，但同樣，火也會制造危害與困難。

而今天，如果把互聯(lián)網(wǎng)比作希臘神話中的上神，無數(shù)白帽子以及網(wǎng)絡安全運營者發(fā)現(xiàn)的漏洞便是火種，用的好是希望，用不好是災難。

能力越大，責任越大，手持火把應如何前行？這是第一個問題。

彼得·蒂爾曾說過，“我們想要一輛會飛的汽車，得到的卻是 140 個字符?！倍诰W(wǎng)絡安全領(lǐng)域，如何創(chuàng)造一輛“會飛的車”又不僅限于“140個字符”，面對補不完的漏洞，安全公司在過去十幾年到底做了些什么又發(fā)生了什么改變？這是第二個問題。

以上這兩個問題似乎都可以在i春秋主辦的 2018 互聯(lián)網(wǎng)安全責任峰會上得到答案，來自京東首席信息安全專家Tony Lee，滴滴出行信息安全部戰(zhàn)略副總裁弓峰敏，阿里巴巴集團技術(shù)副總裁、首席安全專專家杜躍進，百度安全副總經(jīng)理沈鵬飛圍繞上述問題進行了討論。主持人潘柱廷，北京永信至誠科技股份有限公司高級副總裁兼首席戰(zhàn)略官。

以下為大會實錄，雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）編輯整理。

潘柱廷：作為網(wǎng)絡運營者有哪些重要的安全責任？

Tony Lee：事實上我們不僅是網(wǎng)絡運營者，也是數(shù)據(jù)運營者。我們做安全并非為多寫一行代碼，多賺一塊錢，最核心的、最本質(zhì)的驅(qū)動是責任感和正義感。

從京東的角度，我想談兩件事，第一件是我們其實經(jīng)常遇到一些攻擊，不久前我們做溯源分析時候遇到一次攻擊，發(fā)現(xiàn)攻擊者有一個包含幾十家公司的攻擊目錄。也就是說這個人在攻擊的時候，其實將木馬覆蓋了幾十個公司。可以看到類似這種威脅并非針對一家公司，而是橫掃一片，因為它要爭奪計算和網(wǎng)絡資源，攻擊對象當然越多越好。當時我們把這一信息傳達給目錄上的這幾十家公司，這就是責任感，一旦發(fā)現(xiàn)事情要及時通報。

另一件事是京東未來的重要業(yè)務，其一是智能家居的協(xié)議，其二是AI。

我們經(jīng)常思考的一個問題是，不管是 AI 還是 IoT，安全該怎么做？過去的二三十年出現(xiàn)的眾多安全問題，歸根到底是沒有關(guān)注網(wǎng)絡協(xié)議層面的安全問題。今天所需要眾多安全產(chǎn)品也是因為一開始沒有設計安全在里面。反之，iPhone為什么不需要安裝殺毒軟件？

而未來的 IoT 與 AI 無處不在，特別是 IoT 設備很難管理，這種情況下該如何做安全？對于京東來說，我們的責任就不僅僅是找漏洞或者是代碼安全，而是從整個安全機制，安全協(xié)議出發(fā)，所做的東西是在為未來鋪路，這也是責任感。

弓峰敏：對于任何一個安全服務提供商，最重要也是第一位的是對用戶數(shù)據(jù)、隱私保護。而與這一服務相關(guān)的安全，實際上更應該受到關(guān)注。對于滴滴來說，盡管它是服務型的公司，但我們的理念是安全第一，體驗第二，第三才是效率。安全本身就是服務的一部分。實際上今天我們做的安全，已經(jīng)把出行安全包含在內(nèi)，所以我們采取的種種措施，比如怎樣監(jiān)控行程狀況，都會影響到客戶。

在做安全過程中，我們也意識到，今天做安全必須要有廣泛的合作與共享。如果能把信息迅速共享，就能提升整個生態(tài)的效率，接下來才是大家做補丁的操作過程。

杜躍進：我覺得責任至少要體現(xiàn)在這樣三層，第一層所有人都容易理解，安全是發(fā)展的重要保障，所以任何一家企業(yè)，任何一個網(wǎng)絡運營者的安全部門，首先要保證業(yè)務能夠按照預期設想前進。但后兩個層次我覺得很多人沒有理解到位，才會產(chǎn)生某個部門有責任卻不修補漏洞甚至指責白帽子發(fā)現(xiàn)漏洞。

這是因為對于網(wǎng)絡運營者來說，他的安全責任不僅僅在于自己的產(chǎn)品，還在于其用戶。在過去的時候，網(wǎng)絡運營者多指運營商、網(wǎng)站以及與互聯(lián)網(wǎng)有連接的，或者說借助互聯(lián)網(wǎng)提供服務的企業(yè)。但今天網(wǎng)絡運營者已經(jīng)變成了一個非常廣泛的概念，幾乎所有的行業(yè)，可能過兩年“幾乎”兩個字也可以去掉了，所有的行業(yè)都是網(wǎng)絡運營者。因為所有的行業(yè)、所有的業(yè)務，都在拿互聯(lián)網(wǎng)做基礎設施。

因此，既然企業(yè)通過網(wǎng)絡運營，那他就會有用戶，他自己的安全就會涉及到其用戶的安全。網(wǎng)絡安全不僅僅是自己的事兒，也是別人的事兒。此時發(fā)現(xiàn)漏洞不修當然不可以，因為這不僅僅關(guān)系到自己，還關(guān)系到別人。

第三個層面，我覺得我們網(wǎng)絡運營者也要重視生態(tài)或者是行業(yè)發(fā)展的責任。比如說阿里，我一直在呼吁的是，如果大家對于在網(wǎng)上買東西都失去了信心，大家覺得網(wǎng)上的評價全是假的，或者網(wǎng)上購物會導致信息泄露引來詐騙，認為互聯(lián)網(wǎng)金融是不安全的。如此一來不僅會影響消費者的信心，企業(yè)發(fā)展也會受到影響，安全更做不下去了。

所以對于網(wǎng)絡運營者來說，大家應該有這樣的一個認識，就是我們所做的事情，最大的目標是讓消費者相信我們這個行業(yè)，尤其是安全，然后才可以讓行業(yè)健康的發(fā)展下去。我覺得這三層都是網(wǎng)絡運營者在安全上面的責任。

沈鵬飛：昨天我的朋友圈發(fā)布了一條信息：2017 年百度內(nèi)部可以給大家一組數(shù)據(jù)，我們發(fā)現(xiàn)每天新增的惡意網(wǎng)址達到 766.8 萬條，一年發(fā)現(xiàn)的惡意網(wǎng)址大概 202 億左右。

如何保證網(wǎng)民在上網(wǎng)的過程中不會被釣魚，并提供相應的號碼安全、網(wǎng)址安全，都是我們積極做的事情。另外針對與黑產(chǎn)的對抗，在全網(wǎng)的安全監(jiān)測、攻擊溯源、網(wǎng)絡犯罪研究、黑產(chǎn)的追蹤上面，我們也做了很大投入。

從整個黑產(chǎn)來講，最早的 Web 端到手機端，AI 時代已經(jīng)到來，未來物聯(lián)網(wǎng)的設備安全、系統(tǒng)安全，都需要我們密切關(guān)注。而百度在 AI 層面打通系統(tǒng)，打造更開放的平臺，更具有活力以及安全性。

潘柱廷：在各位看來，如何與其它網(wǎng)絡運營者進行合作？

Tony Lee：我想和大家分享一下反病毒公司間的合作，要知道全世界的反病毒公司都是協(xié)作的，你很難想象之前還是競爭者的公司會真的分享病毒樣本和情報，當然他們有加密的 key，也有幾個機制在里邊。其互相合作的水平，緊密度是安全行業(yè)最高的。

但除了反病毒，我們還沒有看到行業(yè)中有類似分享，這也是我們需要去提升的空間。特別是國內(nèi)，沒有國外的開源文化環(huán)境。目前國內(nèi)不管是做安全還是整個互聯(lián)網(wǎng)企業(yè)，更多的是拿著開源的技術(shù)，根據(jù)自身的特點進行改進。

經(jīng)常會發(fā)生的狀況是，在一段時間里我們有了一定的基礎，以及技術(shù)發(fā)展之后，卻發(fā)現(xiàn)國際水平又變化了，此時又得重新做一輪升級。這是我們的困境，從技術(shù)角度看，如何做到更多的開源，以及分享十分重要。

另外一個，在這個生態(tài)中是有不同角色的，不同角色擁有的數(shù)據(jù)也不一樣，而角色也決定了我們的合作方式不同。而對于一些互聯(lián)網(wǎng)大國，比如滴滴、百度也好、阿里等，我們要有額外的責任。比如大力發(fā)展的 AI 技術(shù)如何落實到實際應用場景，比如無人門店、無人倉庫、無人機、無人卡車等，以及金融科技里的一些 AI 技術(shù)、IOT等，我們必須得分享出來。

很多安全工作者很難接觸到最新的技術(shù)，而我們有責任，把自己最好的東西拿分享，讓這些技術(shù)工作者有機會在此之上進行安全研究。

弓峰敏：簡單從三個維度概括我們所做的事情，第一是情報共享，包括SRC聯(lián)盟，以及在此基礎上的黑產(chǎn)對抗。另一個層面有些技術(shù)性的摸索，比如不同的平臺提供各種線上服務，不可避免有付費的環(huán)節(jié)。這里需要考慮，想要做好風控對黑產(chǎn)進行打擊，在我們的平臺以及一些付費系統(tǒng)中，什么數(shù)據(jù)是可以共享的？什么數(shù)據(jù)需要進行脫敏？這需達成共識。從更深的層次安全實踐來說，漏洞、挖掘、補洞是很重要的一個層面。如果多數(shù)企業(yè)對安全實踐的基本做法有完整認知的話，會對其安全防御能力大幅提升。

杜躍進：我們所有人都認同的是任何一家企業(yè)不能獨善其身，任何一個國家也無法應對整個網(wǎng)絡框架的安全威脅，這也是為什么我國也提出了人類命運共同體。但現(xiàn)實中，我們合作得并不好。

為什么大家合作不好？是因為我們這些網(wǎng)絡運營者者沒有有大的格局。至今我依然認為現(xiàn)在的很多甲方企業(yè)，不論是愿意還是不愿意，變成了網(wǎng)絡運營者之間商業(yè)競爭的一個攻擊武器。

實際上網(wǎng)絡安全運營者之間應該是合作者關(guān)系，我們的對手是黑灰產(chǎn)不法分子。我希望整個行業(yè)有更多的人能認識到這一點，大格局很重要，安全力量應該被團結(jié)起來。

沈鵬飛：百度開展了以下幾個方面的合作，第一，與華為和中國信通研究院發(fā)起，將自己的技術(shù)進行分享、開源給所有的聯(lián)盟企業(yè)。另外從運營商層面，我們與移動和連通，在號碼安全、網(wǎng)址安全，包括偽機站方面，進行了合作。還有現(xiàn)在也在與各個公安機關(guān)進行合作，通過自己技術(shù)和能力，結(jié)合一些信息和數(shù)據(jù)進行有效的溯源，追蹤黑產(chǎn)信息，從各個維度形成通力合作。

潘柱廷：各大公司應該懷揣大格局、大視角的心態(tài)，不僅看重自身企業(yè)業(yè)務的發(fā)展，也要為現(xiàn)在和未來搭建生態(tài)合作，合縱連橫，形成各個公司之間的奇妙紐帶。

文章由雷鋒網(wǎng)宅客頻道編輯，歡迎關(guān)注雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。