在业务发展走向云端的今天,企业在快速扩张业务的同时,已经越来越认识到安全的重要性,并且在这一领域加强投入。而安全不仅牵涉到业务安全、资金安全和用户隐私,而且已经影响到企业的全面运营。
4月10日,安全宝携手世纪互联和中国移动互联网大会(CMIC)主办的“互联网经济下的金融创新和商业变革——2015互联网商业影响力论坛”在中关村创业大街3W 咖啡举办。在关于“构建安全的云端业务”的圆桌论坛上,嘉宾们对于安全问题进行了深入探讨。
嘉宾热烈讨论互联网经济下安全的力量
因安全摔倒将一蹶不振
安全正在成为互联网领域各个行业洗牌、格局变化的重要推动力。2014年,因安全事故造成比特币丢失进而倒闭的比特币企业约有10家,这其中就包括昔日最大的比特币企业Mt.Gox。2015年第一季度,比特币行业就已经至少有5家因为安全事故导致企业倒闭。
“比特币行业正在经历大的洗牌期,但是这洗牌并不是因为市场原因,而是因为安全原因。”火币网联合创始人杜均表示:“火币网是比特币交易所,80%用户的比特币用于交易,存储在交易平台上。一旦交易平台丢失比特币,基本上没有办法偿还给用户,因此只能倒闭。”
沙龙现场爆满,话题吸引嘉宾认真聆听
不仅仅是在比特币行业,其他领域亦是如此。作为互联网基础设施服务提供商,世纪互联对安全也感触颇深,技术总监赵东生表示:“为应对安全事件,我们也绞尽脑汁,不仅要解决自身的安全问题,还需要帮助客户解决安全问题。”
安全并不一定能够给企业带来金钱价值,但却是业务发展的基础和保障。正如《中国信息安全》杂志社副社长兼主编崔光耀所言:“在互联网经济里,如果安全问题解决不好,企业一旦摔倒就可能从此一蹶不振。”
安全宝联合创始人兼研发副总裁冯景辉给出的数据让人警醒:“2014年开始,中国每个月都会有1-2次200G左右的DDoS攻击,几乎没有哪个单一机房能够抵挡这么大的流量。而这些攻击伤害的不仅仅是目标企业,也包括整个互联网行业和所有互联网用户的利益。”
理想很丰满,现实却很骨感。互联网企业,你该如何保全自己和你的客户安全?
暗礁险滩遍布
尽管安全的重要性得到企业一致认同,但是互联网永远是暗礁涌动,各种漏洞、攻击频发,企业应接不暇,仍然会感觉到手足无措,力不从心。
作为黑客攻击的主要目标,互联网金融是时下这波攻击风暴的漩涡中心。清洗设备、防火墙、渗透测试服务、多层扫描监控……面临诸多产品和服务,企业也会感到无所适从。正如爱投资CTO谷云所言:“比较复杂的是投入、产出问题,最大的问题在于你在铸造安全盾时投入多少钱合适?安全这件事是没有‘产出’的,但是等你有‘产出’时候再做策略就已经晚了,已经被脱库或者发生安全泄露。所以企业需要一个平衡点,但是如何平衡企业都难以抉择。”
即便企业愿意投入大量资金用于安全建设策略,也并不意味着安全就唾手可得。互联网是快速发展、产品快速迭代的行业。随着业务不断发展,安全架构更新往往滞后。TalkingData COO徐懿表示:“随着数据量不断增长,我们为满足业务需要不断加设备,但是因为原有的架构已经不适应当下情况,导致带宽资源不足。为此,我们希望安全厂商能够提供架构咨询方面的服务,伴随着企业的成长,定期帮助我们梳理和改进安全架构,以免到了后期架构不好改动。”
此外,互联网具有开放合作的属性,这意味着了安全与否不仅取决于企业自身的安全措施是否完善,还取决于合作伙伴的安全状况。赵东生就表示:“世纪互联在网络层安全策略部署成熟,但是在应用层、网站防护上,由于与运营商合作,因此并不完善。”
让专业的人做专业的事
安全问题,牵一发而动全身。因此,对于安全,企业应该一直心怀敬畏之心,安全策略做多少都不过分。但问题的关键是怎样做,才能让防护效果最大化。与会嘉宾观点一致地认为,答案是“采购专业第三方的安全服务”。举例来说,开发一款WAF产品,3-5个工程师需要3个月左右的时间,但是对企业来说,不仅没有时间让你开发和打磨产品,更重要的是可能根本就没有专业的安全工程师。
为了更能适应快速变化的产品和业务需求,作为资深的安全专家,冯景辉强调渗透测试的重要性,并且建议企业至少每个季度采购一次渗透测试服务。“互联网更新迭代很快,每次产品迭代之后都应该进行代码安全检测,防止SQL注入、XSS跨站等信息渗透型攻击。因为很多脱库现象都是源于产品迭代之后新老功能之间的衔接存在问题,存在安全隐患所致。”
此外,为了应对大型的DDoS攻击,安全宝已经在广东地区建立了单点防御能力超过100G的清洗中心。冯景辉表示:“客户遭到攻击时只要将DNS切换到安全宝的抗D中心,基本上三到七层的流量攻击和CC攻击都可以防御。而为应对大流量DDoS攻击,除了囤积带宽做攻防对抗以外,包括大型互联网公司在内的企业都在研发一些新技术来对抗这些攻击。我们认为应对这些攻击,需要整个行业的协作。”