如今的互聯(lián)設(shè)備保存了我們大量的重要資訊，從銀行賬戶，個(gè)人資訊到行業(yè)機(jī)密，持續(xù)增長(zhǎng)的互聯(lián)設(shè)備讓網(wǎng)路入侵者看到了新的機(jī)會(huì)，並利用這些潛在安全漏洞牟利，中國(guó)網(wǎng)際網(wǎng)路協(xié)會(huì)發(fā)佈的《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示，從2015年下半年到今年上半年的一年間，我國(guó)網(wǎng)民因垃圾資訊、詐騙資訊、個(gè)人資訊洩露等遭受的經(jīng)濟(jì)損失高達(dá)915億元。

　　我們通常遭到的電信詐騙、網(wǎng)路欺詐、個(gè)人資訊洩露，背後往往都有一個(gè)黑色的影子，在一條地下黑色産業(yè)鏈條上，有人負(fù)責(zé)竊取數(shù)據(jù)，有人專(zhuān)門(mén)從事分銷(xiāo)，尋找目標(biāo)買(mǎi)家或幫買(mǎi)家尋找駭客。有業(yè)內(nèi)人士測(cè)算，中國(guó)網(wǎng)路安全相關(guān)的黑色産業(yè)鏈（簡(jiǎn)稱(chēng)“網(wǎng)路黑産”）從業(yè)人員已經(jīng)超過(guò)150萬(wàn)，黑産市場(chǎng)規(guī)模已經(jīng)達(dá)到千億級(jí)別，這與中國(guó)網(wǎng)際網(wǎng)路協(xié)會(huì)公佈的網(wǎng)民損失數(shù)據(jù)大致相符。但是，目前中國(guó)企業(yè)安全産品的市場(chǎng)規(guī)模僅有300億元左右。

　　資訊安全面臨多重挑戰(zhàn)

　　應(yīng)該説，企業(yè)及個(gè)人資訊洩露所遭受的損失只是整個(gè)網(wǎng)際網(wǎng)路資訊安全的冰山一角，隨著移動(dòng)網(wǎng)際網(wǎng)路大行其道，大數(shù)據(jù)、雲(yún)計(jì)算的大規(guī)模普及，我們面臨的資訊安全面臨著多重挑戰(zhàn)。

　　一方面，資訊安全環(huán)境正在發(fā)生演變，從此前的PC轉(zhuǎn)向APP、數(shù)據(jù)中心和雲(yún)端，來(lái)自阿里巴巴的統(tǒng)計(jì)數(shù)據(jù)顯示，2015年iOS漏洞增長(zhǎng)1.28倍，Android漏洞增長(zhǎng)10倍。比如前兩年爆出的蘋(píng)果iOS系統(tǒng)的APP出現(xiàn)大範(fàn)圍的問(wèn)題，其原因就出在APP製作商為圖方便，使用了非官方下載的蘋(píng)果APP製作軟體，被不法分子有機(jī)可乘。顯然，資訊安全已經(jīng)是一個(gè)系統(tǒng)性的問(wèn)題，一齣問(wèn)題就是“牽一髮而動(dòng)全身”。

　　另一方面，安全問(wèn)題也已成為快速增長(zhǎng)的物聯(lián)網(wǎng)行業(yè)的潛在風(fēng)險(xiǎn)，隨著物聯(lián)網(wǎng)産品和服務(wù)越來(lái)越受歡迎，它們會(huì)成為駭客攻擊的目標(biāo)。惠普的研究表明，最常使用的物聯(lián)網(wǎng)設(shè)備中有70%含有漏洞，到2020年，全球?qū)⒂?60億部互聯(lián)終端，物聯(lián)網(wǎng)帶來(lái)了巨大的機(jī)遇，同時(shí)也暗藏風(fēng)險(xiǎn)。

　　在上個(gè)月剛結(jié)束的上海世界移動(dòng)大會(huì)上，主辦方對(duì)現(xiàn)場(chǎng)觀眾進(jìn)行了一個(gè)調(diào)查，當(dāng)問(wèn)及觀眾是否會(huì)信任一輛完全自動(dòng)駕駛的汽車(chē)時(shí)，僅有16%的人選擇了完全信任，高達(dá)69%的觀眾選擇了可能會(huì)信任，剩餘15%則表示絕不可能信任。這一投票結(jié)果足以顯示出，現(xiàn)在人們對(duì)於自動(dòng)駕駛的信任度還比較低，其中的核心就是網(wǎng)際網(wǎng)路汽車(chē)的安全性問(wèn)題。

　　正因?yàn)榘踩珕?wèn)題如此複雜跟嚴(yán)峻 ，在今年的各大論壇上，資訊安全問(wèn)題都被重點(diǎn)關(guān)注，為此，人民網(wǎng)IT頻道也採(cǎi)訪了相關(guān)的網(wǎng)路安全專(zhuān)家。

　　“五年以前，或者十年以前，那時(shí)候數(shù)據(jù)安全，比現(xiàn)在真好做多了。”阿里巴巴集團(tuán)安全部副總裁杜躍進(jìn)博士在接受人民網(wǎng)IT頻道專(zhuān)訪時(shí)表示，“今天最大的難點(diǎn)是數(shù)據(jù)本身是跟業(yè)務(wù)融在一起的，它跟業(yè)務(wù)不再是分開(kāi)的。”

　　資訊安全的實(shí)質(zhì)是風(fēng)險(xiǎn)可控

　　作為一位資深的安全行業(yè)專(zhuān)家，杜躍進(jìn)博士從1999年開(kāi)始就一直在網(wǎng)路資訊安全的第一線工作，在他看來(lái)，從來(lái)沒(méi)有絕對(duì)的安全。現(xiàn)在大家講的網(wǎng)路資訊安全，是人和人的對(duì)抗，凡是人和人的對(duì)抗，都沒(méi)有絕對(duì)的結(jié)果，這就像體育比賽一樣。

　　“發(fā)展與安全是放到一起來(lái)看的，拆開(kāi)了看是沒(méi)有意義的。”在接受採(cǎi)訪的過(guò)程中，杜躍進(jìn)一直強(qiáng)調(diào)這句話，“你把安全放掉了的話，發(fā)展可能會(huì)一頭掉到懸崖下面去了。而不論發(fā)展只要安全的話，那一定是阻礙進(jìn)步甚至是因噎廢食的，一定會(huì)讓中國(guó)失掉這次彎道超車(chē)的機(jī)會(huì)。”

　　在他看來(lái)，要想發(fā)展，一定是要承受一定的風(fēng)險(xiǎn)。如果是什麼風(fēng)險(xiǎn)都不承受的話，那是一定不可能發(fā)展的。在專(zhuān)業(yè)人士看來(lái)，安全與發(fā)展是一個(gè)硬幣的兩面，那些忽略資訊安全的公司將會(huì)失去消費(fèi)者的信任，並面臨極大的風(fēng)險(xiǎn)。而只有將確保安全放在最首要的位置，才能在抓住移動(dòng)網(wǎng)際網(wǎng)路發(fā)展這一巨大的機(jī)遇。

　　既然沒(méi)有絕對(duì)的安全，需要在風(fēng)險(xiǎn)中求發(fā)展，最終就落在四個(gè)字上面：風(fēng)險(xiǎn)可控。

　　據(jù)了解，目前阿里巴巴（包括螞蟻金服、高德地圖等）體系內(nèi)的資訊安全員工達(dá)到了三四千人的規(guī)模，騰訊、百度的負(fù)責(zé)網(wǎng)路及資訊安全的員工也超過(guò)千人，但大量的中小企業(yè)的安全形勢(shì)不容樂(lè)觀。

　　資訊安全風(fēng)險(xiǎn)可控需要建立標(biāo)準(zhǔn)

　　在2016上海世界移動(dòng)大會(huì)上，GSMA Intelligence研究總監(jiān)Tim Hatt介紹到，金融和專(zhuān)業(yè)服務(wù)是2015年受到網(wǎng)路攻擊最多的兩個(gè)領(lǐng)域，而美國(guó)和中國(guó)則是全球企業(yè)網(wǎng)路攻擊最大的兩個(gè)目標(biāo)。他強(qiáng)調(diào)，強(qiáng)有力的主動(dòng)防護(hù)對(duì)於企業(yè)的資訊安全來(lái)説是至關(guān)重要的。

　　杜躍進(jìn)認(rèn)為，數(shù)據(jù)安全是當(dāng)今最重要的資訊安全風(fēng)險(xiǎn)之一。對(duì)於企業(yè)來(lái)説，要做數(shù)據(jù)安全的風(fēng)險(xiǎn)可控，首先應(yīng)該解決的問(wèn)題是如何建立一套科學(xué)的評(píng)估模型，這也是他近年來(lái)一直努力推動(dòng)的方向。

　　他將這個(gè)企業(yè)數(shù)據(jù)安全能力的評(píng)估模型分解為四個(gè)因子：一是組織內(nèi)部整個(gè)的組織架構(gòu)設(shè)置，是不是適合於企業(yè)的數(shù)據(jù)保護(hù)工作；第二是組織內(nèi)部的體制機(jī)制設(shè)計(jì)，是不是能夠確保相關(guān)的組織和人員發(fā)揮預(yù)期的作用，例如有沒(méi)有獲得相應(yīng)的授權(quán)；第三就是技術(shù)手段，在數(shù)據(jù)的整個(gè)生命週期裏面，是不是有完備的數(shù)據(jù)安全相關(guān)技術(shù)手段；第四個(gè)部分是人員的能力，各個(gè)數(shù)據(jù)安全崗位上的人員是不是符合其崗位所需要的能力要求。

　　“把這四個(gè)因子捏到一起，又可以拆分成幾十個(gè)指標(biāo)項(xiàng)，從而可以用來(lái)衡量一個(gè)組織機(jī)構(gòu)的數(shù)據(jù)安全的能力到什麼程度了。”杜躍進(jìn)説。

　　這個(gè)模型是動(dòng)態(tài)的，什麼叫動(dòng)態(tài)的呢，剛才説的四個(gè)因子，都會(huì)發(fā)生變化，在新的數(shù)據(jù)安全威脅下，形勢(shì)可能不一樣，會(huì)發(fā)現(xiàn)過(guò)去的組織結(jié)構(gòu)跟機(jī)制設(shè)計(jì)不行了，新的攻防技術(shù)越來(lái)越厲害了，技術(shù)産品要升級(jí)了。這些東西都算出來(lái)之後，應(yīng)該是有一個(gè)值出來(lái)，可以用來(lái)衡量一個(gè)機(jī)構(gòu)它的數(shù)據(jù)保護(hù)能力。在杜躍進(jìn)看來(lái)，可以通過(guò)這個(gè)值來(lái)判斷安全能力是好還是不好，但這個(gè)值是永遠(yuǎn)達(dá)不到100分的。

　　據(jù)了解，目前杜躍進(jìn)領(lǐng)導(dǎo)的團(tuán)隊(duì)，提出的這套模型，正在爭(zhēng)取國(guó)家跟國(guó)際標(biāo)準(zhǔn)組織的認(rèn)可。“標(biāo)準(zhǔn)的提出是第一步，我們的第一步總要邁出去，最終我們會(huì)看他有沒(méi)有價(jià)值。”

　　給中小企業(yè)提供安全指南

　　《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示，2016年上半年以來(lái)，我國(guó)網(wǎng)民平均每週收到垃圾郵件18.9封、垃圾短信20.6條、騷擾電話21.3個(gè)，其中騷擾電話是網(wǎng)民最為反感的騷擾來(lái)源；76%的網(wǎng)民曾遇到過(guò)“冒充銀行、網(wǎng)際網(wǎng)路公司、電視臺(tái)等進(jìn)行中獎(jiǎng)詐騙的網(wǎng)站”，冒充公安、社保等部門(mén)進(jìn)行詐騙和社交軟體上進(jìn)行詐騙的情況有增長(zhǎng)趨勢(shì)，37%的網(wǎng)民因收到各類(lèi)網(wǎng)路詐騙而遭受經(jīng)濟(jì)損失。

　　雖然大家都遇到過(guò)個(gè)人資訊洩露的問(wèn)題，但是這些資訊到底是如何洩露的呢？

　　實(shí)際上，從電信運(yùn)營(yíng)商網(wǎng)路信號(hào)發(fā)出的那一刻起，我們的移動(dòng)安全就已經(jīng)開(kāi)始面臨威脅。而隨著雲(yún)計(jì)算及大數(shù)據(jù)的發(fā)展，靜態(tài)數(shù)據(jù)變成了動(dòng)態(tài)數(shù)據(jù)，數(shù)據(jù)與業(yè)務(wù)又高度融合，讓資訊安全變成了一個(gè)系統(tǒng)性的問(wèn)題。由於環(huán)節(jié)太多，一旦發(fā)生資訊洩露問(wèn)題，要抓出元兇都不是一件容易的事情。

　　“過(guò)去的數(shù)據(jù)是靜態(tài)的，現(xiàn)在的數(shù)據(jù)是流動(dòng)的，而且是跟業(yè)務(wù)融在一起流動(dòng)的。這是我們現(xiàn)在做資訊安全的一個(gè)前提，也是很大的挑戰(zhàn)。”杜躍進(jìn)説。

　　以電商平臺(tái)為例，上千萬(wàn)商家背後的軟體是由是獨(dú)立軟體供應(yīng)商提供的，這些軟體很多可能存在漏洞，要解決這個(gè)問(wèn)題，在杜躍進(jìn)看來(lái)，需要用到外部的力量，給獨(dú)立軟體供應(yīng)商提供服務(wù)，解決資訊洩露問(wèn)題。

　　杜躍進(jìn)説：“國(guó)內(nèi)有大量的中小企業(yè)，他們有安全需求，但是他們沒(méi)有安全能力。我們重點(diǎn)幫他們解決資訊洩露的問(wèn)題，這是我們的抓手。”

　　這與國(guó)際組織在物聯(lián)網(wǎng)安全領(lǐng)域正在做得事情不謀而合，目前，GSMA已經(jīng)制定了一套涵蓋多種場(chǎng)景的物聯(lián)完全指南，該指南可以幫助廠商獲得更多安全保障，提供有效建議，指導(dǎo)廠商通過(guò)可信任的計(jì)算庫(kù)為其設(shè)備提供最佳的身份保護(hù)。物聯(lián)網(wǎng)安全指南可以為企業(yè)提供詳細(xì)的流程指導(dǎo)，將廠商的設(shè)備安全地推向市場(chǎng)，並且保證其在整個(gè)生命週期中保持安全。

　　國(guó)內(nèi)有千萬(wàn)家中小企業(yè)，他們有安全需求，但是他們沒(méi)有安全能力，中小企業(yè)正是長(zhǎng)尾的部分，每個(gè)生意都非常小，利潤(rùn)也非常小，但這個(gè)利潤(rùn)如何匯集起來(lái)，就會(huì)變成大生意，顯然，在安全領(lǐng)域也是如此。

　　“這部分市場(chǎng)能不能拿到，取決於我們的安全産業(yè)能不能轉(zhuǎn)型。”在採(cǎi)訪即將結(jié)束時(shí)，作為一位資訊安全領(lǐng)域的老兵，杜躍進(jìn)最後説道。