在業務發展走向雲端的今天,企業在快速擴張業務的同時,已經越來越認識到安全的重要性,并且在這一領域加強投入。而安全不僅牽涉到業務安全、資金安全和使用者隐私,而且已經影響到企業的全面營運。
4月10日,安全寶攜手世紀互聯和中國移動網際網路大會(cmic)主辦的“網際網路經濟下的金融創新和商業變革——2015網際網路商業影響力論壇”在中關村創業大街3w 咖啡舉辦。在關于“建構安全的雲端業務”的圓桌論壇上,嘉賓們對于安全問題進行了深入探讨。
嘉賓熱烈讨論網際網路經濟下安全的力量
因安全摔倒将一蹶不振
安全正在成為網際網路領域各個行業洗牌、格局變化的重要推動力。2014年,因安全事故造成比特币丢失進而倒閉的比特币企業約有10家,這其中就包括昔日最大的比特币企業mt.gox。2015年第一季度,比特币行業就已經至少有5家因為安全事故導緻企業倒閉。
“比特币行業正在經曆大的洗牌期,但是這洗牌并不是因為市場原因,而是因為安全原因。”火币網聯合創始人杜均表示:“火币網是比特币交易所,80%使用者的比特币用于交易,存儲在交易平台上。一旦交易平台丢失比特币,基本上沒有辦法償還給使用者,是以隻能倒閉。”
沙龍現場爆滿,話題吸引嘉賓認真聆聽
不僅僅是在比特币行業,其他領域亦是如此。作為網際網路基礎設施服務提供商,世紀互聯對安全也感觸頗深,技術總監趙東生表示:“為應對安全事件,我們也絞盡腦汁,不僅要解決自身的安全問題,還需要幫助客戶解決安全問題。”
安全并不一定能夠給企業帶來金錢價值,但卻是業務發展的基礎和保障。正如《中國資訊安全》雜志社副社長兼主編崔光耀所言:“在網際網路經濟裡,如果安全問題解決不好,企業一旦摔倒就可能從此一蹶不振。”
安全寶聯合創始人兼研發副總裁馮景輝給出的資料讓人警醒:“2014年開始,中國每個月都會有1-2次200g左右的ddos攻擊,幾乎沒有哪個單一機房能夠抵擋這麼大的流量。而這些攻擊傷害的不僅僅是目标企業,也包括整個網際網路行業和所有網際網路使用者的利益。”
理想很豐滿,現實卻很骨感。網際網路企業,你該如何保全自己和你的客戶安全?
暗礁險灘遍布
盡管安全的重要性得到企業一緻認同,但是網際網路永遠是暗礁湧動,各種漏洞、攻擊頻發,企業應接不暇,仍然會感覺到手足無措,力不從心。
作為黑客攻擊的主要目标,網際網路金融是時下這波攻擊風暴的漩渦中心。清洗裝置、防火牆、滲透測試服務、多層掃描監控……面臨諸多産品和服務,企業也會感到無所适從。正如愛投資cto谷雲所言:“比較複雜的是投入、産出問題,最大的問題在于你在鑄造安全盾時投入多少錢合适?安全這件事是沒有‘産出’的,但是等你有‘産出’時候再做政策就已經晚了,已經被脫庫或者發生安全洩露。是以企業需要一個平衡點,但是如何平衡企業都難以抉擇。”
即便企業願意投入大量資金用于安全建設政策,也并不意味着安全就唾手可得。網際網路是快速發展、産品快速疊代的行業。随着業務不斷發展,安全架構更新往往滞後。talkingdata coo徐懿表示:“随着資料量不斷增長,我們為滿足業務需要不斷加裝置,但是因為原有的架構已經不适應當下情況,導緻帶寬資源不足。為此,我們希望安全廠商能夠提供架構咨詢方面的服務,伴随着企業的成長,定期幫助我們梳理和改進安全架構,以免到了後期架構不好改動。”
此外,網際網路具有開放合作的屬性,這意味着了安全與否不僅取決于企業自身的安全措施是否完善,還取決于合作夥伴的安全狀況。趙東生就表示:“世紀互聯在網絡層安全政策部署成熟,但是在應用層、網站防護上,由于與營運商合作,是以并不完善。”
讓專業的人做專業的事
安全問題,牽一發而動全身。是以,對于安全,企業應該一直心懷敬畏之心,安全政策做多少都不過分。但問題的關鍵是怎樣做,才能讓防護效果最大化。與會嘉賓觀點一緻地認為,答案是“采購專業第三方的安全服務”。舉例來說,開發一款waf産品,3-5個工程師需要3個月左右的時間,但是對企業來說,不僅沒有時間讓你開發和打磨産品,更重要的是可能根本就沒有專業的安全工程師。
為了更能适應快速變化的産品和業務需求,作為資深的安全專家,馮景輝強調滲透測試的重要性,并且建議企業至少每個季度采購一次滲透測試服務。“網際網路更新疊代很快,每次産品疊代之後都應該進行代碼安全檢測,防止sql注入、xss跨站等資訊滲透型攻擊。因為很多脫庫現象都是源于産品疊代之後新老功能之間的銜接存在問題,存在安全隐患所緻。”
此外,為了應對大型的ddos攻擊,安全寶已經在廣東地區建立了單點防禦能力超過100g的清洗中心。馮景輝表示:“客戶遭到攻擊時隻要将dns切換到安全寶的抗d中心,基本上三到七層的流量攻擊和cc攻擊都可以防禦。而為應對大流量ddos攻擊,除了囤積帶寬做攻防對抗以外,包括大型網際網路公司在内的企業都在研發一些新技術來對抗這些攻擊。我們認為應對這些攻擊,需要整個行業的協作。”
作者:曉憶
來源:51cto