当前位置:100EC>行业研究>浅析:产业互联网时代的安全空白谁来填补?
浅析:产业互联网时代的安全空白谁来填补?
发布时间:2019年12月06日 10:06:44

(网经社讯)消费互联网到产业互联网

安全需求重新升级

沉寂许久的互联网安全问题,正以前所未有的急迫感浮出水面。

这跟很多普通人对于互联网安全的感知完全是背道而驰的。

在PC互联网时代,安全是一个用户痛点极为突出的领域,以至于个人安全业务一直是一个关注度相当高的领域。当年的数据表明,几乎90%的电脑用户都安装了至少一种以上的安全软件。

然而,进入移动互联网时代后,就普通人的感受而言,似乎安全问题变的不是那么突出了。

“其实并不是移动互联网时代变得安全了,而是安全问题被前置性的解决了一部分。由于移动互联网的安全问题是围绕着系统权限而来的,所以大部分的厂商都会在深度定制系统的过程中进行安全防护方面的考虑,这就让一些c端的安全服务不再那么显得有必要性。”

一位资深安全大佬表示:“从另一个角度说,移动互联网时代的应用分发渠道也有了极大变化,ios系统的分发是全封闭的,安卓系统的分发逐渐集中到有限的几个超级分发市场中,这和PC互联网时代大家满网下载软件的情况也有了极大的变化。所以从一般人感觉而言,安全问题不重要了。然而,真正的安全问题从来没有消弭,反而更严重了。”

公开资料显示,当前,通过国家互联网应急中心自主捕获和厂商交换获得的移动互联网恶意程序数量达253万余个,同比增长23.4%。其中,排名前三的分别为流氓行为类、恶意扣费类和资费消耗类。

此外,安全漏洞问题也不容忽视。近年来国家信息安全漏洞共享平台所收录的安全漏洞数量持续走高。监测数据显示,自2013年以来,安全漏洞数量年平均增长率为21.6%,但从2017年起,这一数字开始猛增为近50%,此后连续突破历史新高。

然而,以上数据其实主要描绘的还是消费互联网领域有关的安全图景,对于正在日益变得重要的产业互联网来说,安全问题更显得突出。

产业互联网方面的安全问题,正在前所未有的受到重视。

就在本文写作前不久,6月30日,在中国软件产业发展情况新闻发布会上,《国家网络安全产业发展规划》正式发布。

据规划,到2025年,要建成我国网络安全产业“五个基地”:

一是国家安全战略支撑基地。以国家安全、网络空间安全等重大战略需求为核心驱动力,超前部署、加速推进一批网络安全关键共性技术研究。二是国际领先的网络安全研发基地。搭建面向全球的协同研发平台,汇聚全球创新资源,推动网络安全核心技术创新和科研成果转化。

“网络安全问题正在向传统行业延伸,数据安全和漏洞管理亟待加强。与此同时,人工智能和网络安全的结合也将带来颠覆性、变革性影响,网络空间安全需要全社会的共同维护。”国家互联网应急中心副主任兼总工程师云晓春在分析我国网络安全形势时说。

我们的产业互联网做好准备了么?

产业互联网的安全问题

事关人类数字财富的安全

要了解产业互联网的安全问题,首先要了解产业互联网的本质。

产业互联网(Industrial Internet)是从消费互联网引申出的概念,是指传统产业借力Ai、大数据云计算、智能终端以及网络优势,提升内部效率和对外服务能力,是传统机构和传统产业通过“互联网+”实现转型升级的重要路径之一。

围绕产业互联网,此前有很多的提法,比如toB市场、企业服务市场、行业互联网,还有工业互联网等分支概念等等,但近年来随着腾讯等行业领导者的不断提倡,产业互联网的概念逐渐清晰。

简单来说,产业互联网不仅能把企业和企业、把产业的上下游连接起来,更重要的是连接了两侧企业内部的个体和数据,能重构传统产业的业务链和产业链。

某种意义上说,产业互联网就是消费互联网结合了新技术,将数字创新下沉到各个垂直领域的生产制造、供应链等核心地带,最终与传统产业实现深度融合的产物。

这种理念和实践的勃兴,让人们第一次面临巨大的时代变革的同时,也面临巨大的安全挑战。

产业互联网的最基础路径之一,就是整个社会资产的数字化、在线化和可智能配置化,这也意味着产业互联网开始实施的基础,是整个社会的数字资产从线下向线上的大迁移。

我们可以看到几个方面:

——从云计算和大数据的角度来看,现在几乎100%的创业企业都不再需要庞大的IT部门,计算、存储和传输全部可以由少数的几家超级巨头提供的企业服务平台来实现,由于这将带来创业创新巨大的便利,所以这种趋势已经不可逆转。

但这也带来了一个问题,即越来越多的数据、资产、业务都跑在云上,集中程度前所未有的增加,所以安全问题变得格外的突出,一旦出现安全问题不再是个人、单个企业遭到损失的问题,是整个社会财富受到重大损失,社会运行节奏被打断的问题。

——从工业和制造业的角度来看,由于物联网、机器人主导的智能制造将在未来改变整个生活的生产方式,导致大量的工业控制系统和设备大量暴露在互联网上,也已成为各国工业信息安全的重要威胁和软肋。

根据国家工业信息安全发展研究中心监测,全球暴露在互联网上的工业控制设备超过10万个。

——万物互联的根本是移动互联网,5G时代将使得更多的数据通过无线传输,然而IP的开放性和无线传输的特性,使安全成为其接入网和核心网面临的关键问题之一,受现有技术能力的限制。

产业互联网面临缺乏识别和限制隐藏在传输信息中的恶意攻击的能力,根据攻击方式,产业互联网面临着窃听的威胁、伪装、破坏完整性、拒绝服务、未授权访问服务、拒绝使用/提供、资源耗尽等等。

由于产业互联网几乎包括了一切的人类数字资产,所以安全问题永远没有可以彻底安枕的一天,反而是不断加剧,根据Verizon发布的2018数据泄露报告,2017年全球发生接近53,000件网络安全事件,2018年网络安全事件保持同等水平。2017年5月,WannaCry勒索病毒爆发,全球150多个国家,20到万台电脑受到影响,累计损失高达数十亿美元。

2018年8月,继荷兰三大银行在1月遭受DDoS攻击后,西班牙央行也遭受DDoS攻击致使网站和业务瘫痪。伴随大数据、人工智能等新技术的应用,网络攻击向智能化、自动化、武器化趋势蔓延。

谁来填补产业互联网安全的巨大空白,是一个责任问题,也是重要的产业机会。

产业互联网的倡导者的安全担当是什么?

如前所述,产业互联网的安全问题是一个系统级的问题,它涉及到突发性、复杂性和很强的破坏性等多个方面。从责任来说,政府、机构、企业都对其担负有某种程度的责任和义务。

同样,客观的来讲,我们还是要寄希望以企业为主体来实施前沿的产业互联网安全问题的探索解决。因为,事实证明,当安全问题不仅是责任也是产业的时候,它的发展速度是最快的。

首先,担负有重要责任的当然是BAT和TMD这样的企业。不过客观来说,BAT进行系统性、基础性研究的经历和经验在目前都强过TMD。

在BAT三家中,也是各有特色。百度因为总体规模掉队,所以基本上未来的安全战略要和其AI策略结合,将会是剑走偏锋但也独具特色的一家,未来发展较难预料;阿里在云计算领域有优势,也有综合布局,但其安全业务在此前的积累较少;整体对于产业互联网阐释最全面,在责任和能力方面平衡的较好的一个产业互联网倡导者则是腾讯。

OK,如果问笔者为什么有这个推论,我们不妨来从人才、技术、生态三个角度来分析一下腾讯是否有能力担当产业安全方面的领头羊的责任。

首先,从人才积累来讲,绝大多数产业互联网业务,其实都是巨头的内部业务需求催生,等到应用逐渐成熟后,再进行商业化运作。

坦率的说,由于产业互联网的安全方兴未艾,在人才上面将面临一个很长的缺口期,这就需要唤醒全社会对于安全人才的教育、培养,建立一套基于产业互联网安全方向的人才机制。

毫无疑问,对于服务全球超过10亿用户的超大型企业平台,腾讯本身就是产业互联网时代的系统性安全实践样板,而安全人才则是腾讯最坚固的基石。据了解腾讯内部的安全相关人员有3500多名。

ToB后,腾讯的这些安全人才将服务于产业互联网,但随着大产业互联网生态的建立,腾讯也认识到,只依靠自身的安全团队显然无法满足整个行业的巨大需求,这就需要整个生态的各个环节都增强自己的安全团队建设。

应当说,在唤起业界对培养安全技术人才的重视上,腾讯做了很多基础性的工作。

比如在目前对高校、科研领域有很大影响的诸多安全赛事上,处处可以看到腾讯闪现的身影。

比如著名的TCTF,这个由腾讯安全联合实验室主办的信息安全竞赛,连续三年助力行业培养安全人才,已经成为国内安全领域很有影响力的赛事;又比如在号称史上最严苛的贵州云上安全攻防赛上,腾讯安全战队取得了“攻”与“防”的双料冠军。

除了专业赛事外,腾讯近年来也在与一流的信息安全高校合作,不断向行业输送人才、培养人才。

不过,在笔者看来,腾讯除了要在人才培养端增加投入外,更应该让行业认识到在产业互联网方向上存在巨大的创业机会,意识到产业互联网是一个很长的链条,方方面面都有安全创新的需求,从而达到利用市场来协调人才资源的快速分配的效果。

其次,担当产业互联网的安全守护着,需要掌握前沿尖端安全技术。

在安全技术体系的整体性上,以及从经验和技术底蕴来讲,腾讯首先自己就是全球巨大数字财富的最大管理者之一,它提供了世界上规模最大、用户最多的即时通讯基础设施,还有着消费互联网领域几乎最全面的业务布局,这使得腾讯有很多安全方面的积累。

有一句业界评论说的很对,由于拥有全球第一的互联网人口,中国任何一个国民级应用的技术水准都是世界级的。

除了能力,腾讯的安全观念也在发生变化,腾讯副总裁丁珂说:产业互联网时代的安全形态已经发生改变,“数据资产安全、身份识别安全、业务管理安全”将成为产业互联网的三大核心痛点,企业需要扭转被动防御的传统安全思维,从战略视角切入构建“产业安全战略观”。

此外,从组织机构的变革上,腾讯已经成立了安全联合实验室,旗下涵盖反病毒实验室、反诈骗实验室和移动安全实验室等七大实验室,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。

比如在汽车安全领域有着深入的技术研究科恩实验室,连续获得宝马、特斯拉等头部汽车企业的致谢,肯定其在智能网联汽车方面的研究成果。

而从责任意识来讲,腾讯也是较早意识到产业互联网安全问题的国内企业。比如互联网安全领袖峰会(CyberSecurity Summit,简称“CSS”)就是由腾讯公司、中国电子技术标准化研究院等企事业单位共同创办的。

有心人可以看一下历史,CSS的首次举办是在2015年。这距离腾讯宣布allin产业互联网的2018年的“930变革”,以及云与智慧产业事业群(CSIG)的组建,足足提前了3年多的时间。这也说明,腾讯在历史上第一次集结tob业务前的很久很久,就开始系统的考虑产业互联网的安全问题。

最后,除了人才、技术两个角度外,如何与需求方合作打造安全样板,建立具有示范意义的生态布局,也是考验腾讯能否成为行业领头羊的重要试题。

所谓生态就是,在一切还未形成完整的生态链时,生态核心要创造足够的影响力。所以在笔者看来,腾讯搭建安全生态要有两个基石——第一是开放自己的数据中台能力,第二是创造足够多的安全样板。

从开放中台和完善产业链的角度,未来的三到五年,产业互联网安全市场有望跃升到千亿规模,所以腾讯必须通过情报的共享、技术人才的开放,最终实现中台能力的技术外化,甚至孵化一批可以完善充实安全产业链的垂直型企业,实现持续为产业互联网安全的发展提供源源不断的动力和支持。

从创造行业示范的角度,腾讯在金融、交通、政府方面的安全实践越来越受到关注,目前,已经有来自互联网金融、智能汽车、物联网、智能硬件等多个热门产业领域的顶尖企业500余家参与过CSS。

不久前,为了检验国内大型企业单位的网络安全防护能力,有关部门组织了一场大型的网络安全演练,腾讯也参与其中,承担了安全防御的对象是一家大型的金融企业,有110多支攻击队伍瞄准了这个机构。

在21天的攻防对抗中,腾讯协助该机构成功抵御了不间断的攻击挑战,最终实现零安全事件的通报、零失分的成绩,保护了目标平台、租户、应用系统,还有主机资产的安全。

在本届CSS上,中国银行总行网金部总经理郭为民分享了这样一番感受,他说:

“在我看来,腾讯其实面临的攻击比我们还多。我们跟腾讯公司合作的网御系统,它不是某一项技术,而是一个安全防控体系,结合了大数据、人的行为数据、人的时序数据,也结合了其他数据标签,用多维的方法、体系化的手段来解决安全防控问题。因为和腾讯合作运用了这些新技术,我们现在更有信心能够保证我们客户的资金安全、交易安全。所以,在这里跟大家分享一个我的心得,我觉得与腾讯公司合作以后,我晚上睡觉更安稳了。“

笔者认为,腾讯有庞大的产业互联网生态,为这个体系进行安全的保驾护航是腾讯的基本责任。但腾讯一家解决不了所有的问题,所以适当的放权+赋能是必然的。

从17年开始,腾讯安全联合国内安全上市企业成立P13安全领袖俱乐部,致力于推动国内安全生态建设,到今年,已经发展成为P17,基本上涵盖了国内最具影响力的安全上市公司。

而在CSS中诞生的还有FuturePower50安全新锐公司俱乐部,这也反映腾讯有目的的培养安全领域的生态企业和合作伙伴,对于这个巨大的机会,腾讯希望采取自己先示范+合作伙伴来填补产业链条的方式,为各层级、各场景的应用,提供详细的解决方案,这其中也有巨大的商机。

更为值得注意的是,腾讯的高层提出,在产业互联网时代,安全主体从以人为中心到以产业为中心、安全形态从以合规导向的安全集成到数字资产的原生安全、安全思维从被动防御到主动规划。

从被动到主动,意味着互联网产业的安全观念将发生颠覆性的变化,虽然目前还没有足够多的案例,但这种方向的转化已经足够值得期待。(来源:创业最前线 文/龙曦 编选:网经社)

网经社致力于打造“中国领先的电商产业链综合服务商”,基于旗下电子商务研究中心、电融宝、电数宝、商学院、电诉宝五大平台,我们推出三大服务体系:(1)平台服务:包括会员、数据、融资、售后顾问、法律等;(2)智库服务:战略顾问、政府智库、报告赞助及定制、图书赞助、专家培训等。(3)媒体服务:包括商业报道、自媒体和社群、电商快评、品牌顾问、IPO服务等 。为各大电商上市公司、独角兽、创业者以及国家和各地政府部门等提供专业服务。

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至law@netsun.com,我们将第一时间核实、处理。

【相关阅读】