初识产业互联网安全——一名新晋安全研究员的CSS参会总结

前言

去年9月的组织架构调整将腾讯安全七大实验室都纳入了云与智慧产业事业群(CSIG)的麾下，而CSIG在腾讯的主要任务之一便是发力产业互联网。作为腾讯安全玄武实验室的一名新晋员工，虽然我的职务是基础安全研究，但是作为CSIG搞安全的一员，我觉得去理解一下产业互联网安全是很有必要的。今年腾讯安全承办的第五届互联网安全领袖峰会（CSS），其主题正好是“产业升级、安全升维”，因此便放下手头的研究工作，去会场听一听大佬们对于产业互联网安全的看法，并作出一些自己的思考和总结。（2333主要是考虑不总结估计过几天全忘了就没啥收获了）

特别声明

本文所述观点仅代表本人个人看法，不代表任何部门和公司立场。本人之前主要专注于二进制安全技术的研究，并没有太多的去接触产业互联网安全、企业安全等领域，其总结必然有不到位甚至错误的地方，希望大佬们多多担待，也非常欢迎大家进行批评指正。

产业互联网安全的重要性

在消费互联网时代，安全问题虽然重要，但是单个消费者被攻击通常不会给企业造成太大的威胁。因此相对于业务发展，网络安全通常不是一个企业所关注的重点。

对于产业互联网，情况就不一样了，今天腾讯CSIG总裁汤总以及腾讯副总裁丁总的发言都对产业互联网安全的重要性进行了详细的介绍。

随着传统的企业，政府都在掀起数字化升级浪潮。信息安全问题相较于消费互联网时代威胁性更大，突发性也变强。如数字化营销如果风控不当很容易会让营销预算被羊毛党洗劫一空，从而无法达到预期的营销效果。服务数字化的企业如果防护不当遭受DOS攻击，将会直接影响企业对外提供服务的能力。企业数据资产如果泄露轻则会给企业品牌形象造成不可挽回损失，重则可能会使得大厦轰然倒塌。之前万豪、facebook等事件依然历历在目。

此外，网络安全更有可能为企业发展提供赋能，安全技术的发展可以更好的平衡风险和客户体验，从而提高其可也的竞争力。安全不再只是企业的底线，更是企业发展的天花板。

因此，越来越多的数字化企业开始重视了网络安全的建设，产业互联网的发展对于安全行业来说也是既是新的机遇和也是新的挑战。

产业互联网的机遇和挑战

产业互联网安全是一个系统化的工程

在传统的消费互联网，我们通常只需要关注端的安全，做好木马病毒的攻防，漏洞的攻防即可防御大多数攻击。但是在产业互联网时代，要防护的对象从普通消费者变成企业，企业安全是一个系统化的工程，而端安全只是这系统中的一小部分。这个系统化工程包括但不限于威胁情报的收集、员工的安全培训和终端防护、SDL、企业的纵深防御体系的建设、企业数据资产的安全管理、以及通过AI等手段建立的风控体系。在大会上，滴滴分享了其在企业安全体系建设所作出的努力，如SDL的平台化、SRC的建设、入侵检测/防病毒/防火墙的部署、以及持续的威胁监控和部署缓解措施等。

产业互联网安全通常很难靠单一企业之力来完成，依赖多平台信息融合、情报共享。

对于系统化的产业互联网安全，其涉及的技术和能力是多维度多方面的，要建设一个安全防护体系，其涉及的面可能包括威胁情报、数据分析、端安全、安全技术研究等多方面的人才，很少有企业能够面面俱到业养一支专业的团队。这也给众多具有安全能力的企业提供了很多输出机会。

如中国银行与腾讯合作这一案例中，中国银行方面介绍了其智能认证方面的成果。中国银行虽为百年老店，但在最前沿的风控攻防领域，其并不占有领先技术。为了积极的谋求发展，中国银行跟腾讯展开了合作，腾讯向其输出了其在风控和认证方面的能力。如通过行为特征（如wifi，用户按键快慢等）、收款账户风险模型等多个因子来自动化的判断一个交易的风险。相较于传统的单一手段（令牌、密码），多因子的新科技不仅能够有效的防范风险，更可以提升用户体验，现在中国银行可以支持在手机银行转最高达500W，这是其他银行所没有办法实现的。从这个案例也可以看出，安全其实也成为了一种新的驱动力，这个驱动力可以帮助企业吸引客户，推动企业的发展。

产业互联网安全需要企业所有人参与，所有环节都要防护，且需要持续化的运营

对于企业来说，每一个生产环节，每一个业务流程都有可能遭受攻击，这需要企业的每一个部门，每一个员工都需要加强对安全的认识，每一个环节都需要进行安全检查。为了降低成本，更需要尽可能将这些安全检查进行自动化。如配置文件的自动化合规检查、网络环境的自动化检查等。这给自动化的安全工具的发展带来了新的机会。另外，由于攻防是动态的，企业的业务也是动态的，数据更是随着业务不断的流动，因此安全也成为了一个需要持续运营的工作，没有一本万利的办法。

顺丰信息安全负责人总结了顺丰在数字化升级后可能面临的挑战

• 数据集中，有批量泄露的风险。
• 互联互通，以前只有物理接触才能获取的数据，现在可以通过互联网进行触碰，从而使得远程攻击获取数据成为了可能性
• 大数据的隐私风险，在数字化转型后，企业通常会通过对数字资产的分析来得到一些想要的结论。然而，在对其进行分析的过程有可能会导致用户隐私的破坏
• 数据安全管理困难，当企业数字化规模变大之后，我们甚至很难知道数据到底在哪里存的，以及数据是如何流动的，给数据的管理带来了极大的挑战。

首先，作为一家快递企业，客户数据安全的重要性不言而喻，但是作为一家拥有40万员工的企业，且相当比例的员工都需要与客户数据打交道，单靠安全部门或者CSO是很难保证这些数据的安全性的。另外，为了尽可能的降低数据泄露的风险，顺丰对客户数据都进行了加密存储，内部数据分析团队在进行大数据分析时也是直接对密文进行分析。最后，作为内部有着500多套数字化系统是公司，为了更好的对数据资产进行管理，顺丰团队也开发了包括数字资产的扫描、敏感数据的识别、动态数据的流转、以及数据脱敏等一体化的系统。

作为一名安全研究员，该怎么做

我认为，安全的研究一方面要深入和扎实的研究一些前沿的安全攻防技术，另一方面也需要尽可能的将这些研究成果进行落地应用。基于这样一个想法，我一直在思考如何在前沿安全研究和研究成果落地方面寻求一个平衡点，由于本人才疏学浅，见识太少，暂时还没有得出我想要的答案。如果有大佬对这一问题有自己的看法也欢迎一起讨论。