北京清冷的秋風瑟瑟，此次峰會舉辦地國家會議中心比鄰奧林比克公園，在那里透過泛黃的銀杏葉，鳥巢和水立方在不遠處仍依稀可見。午飯時分，空氣中不停地回蕩起這首歌：One World One Dream。

不禁讓人聯(lián)想到這次安全領(lǐng)袖峰會似乎也是這個主題：

One World——同處一個網(wǎng)絡(luò)空間，

One Dream——共枕一個安全理想。

當我們再談安全…… 

這次的安全峰會不同以往，不再是純粹的技術(shù)當家。來自政府、企業(yè)、學院、研究機構(gòu)的安全從業(yè)與學者從各自的角度探討了安全行業(yè)的發(fā)展與新思路。下面是給小編留下深刻印象的幾個關(guān)鍵詞。

安全生態(tài)圈

中國互聯(lián)網(wǎng)安全行業(yè)的發(fā)展時間并不算很長，而隨著“互聯(lián)網(wǎng)+”巨浪的襲來，網(wǎng)絡(luò)安全的重要地位逐漸突顯，IT技術(shù)的日新月異也為安全行業(yè)帶來更多挑戰(zhàn)與機遇。從IT時代到DT時代，“沒有人能獨善其身”。 

在3日中午的媒體采訪中，啟明星辰首席戰(zhàn)略官潘柱廷指出：

在技術(shù)領(lǐng)域里面，安全廠商共同的對手是攻擊者是黑產(chǎn)是破壞者，當然在做生意的時候有可能會有一些競爭，其實大家是一個交互的關(guān)系。

騰訊COO任宇昕也認為哪怕單一企業(yè)規(guī)模再大、經(jīng)濟和技術(shù)實力在強，仍沒有辦法100%地規(guī)避“安全事故”。企業(yè)只能防御針對自己的攻擊，沒有辦法靠一己之力守護與自己連接起來的整個上、下游。

此次峰會中BAT安全掌門人的聚首不失為一個好的開端，盡管沒有如大家期待的那樣建立緊密的安全聯(lián)盟，但是我們不難發(fā)現(xiàn)無論是安全廠商、BAT還是其他企業(yè)，都在朝著這一方向而努力。

好的生態(tài)系統(tǒng)更容易孕育出優(yōu)秀的物種。

網(wǎng)絡(luò)安全標準化 

2006年8月9日，Google首席執(zhí)行官埃里克·施密特(Eric Schmidt)在搜索引擎大會(SES San Jose 2006)首次提出“云計算”的概念。由此算來，云計算的出現(xiàn)其實短短不過9年時間，可以它的運用已經(jīng)非常廣，小到每個人可以使用的網(wǎng)盤，大到企業(yè)網(wǎng)站的云服務(wù)器。然而云的安全狀況往往令人堪憂。

網(wǎng)絡(luò)是一個虛擬社會，可是沒有規(guī)矩又怎成方圓?

四川大學教授陳興蜀詳細地解讀了由她主持完成的“云計算服務(wù)安全指南”和“云計算服務(wù)安全能力要求”標準。內(nèi)容當中事無巨細地囊括了從合同的內(nèi)容、數(shù)據(jù)所有權(quán)、安全責任的歸屬等等規(guī)則。由此，無論是云服務(wù)商、安全廠商或是企業(yè)都可以根據(jù)其中的條款履行責任、承擔義務(wù)。

必須承認，這是一幅極具吸引力的美好藍圖。

威脅情報 

情報是基于大數(shù)據(jù)之上。天際友盟CTO楊大路介紹了他們是如何利用威脅情報追查到兩名印尼“匿名者”黑客組織的成員。

威脅情報在未來是一股不容小覷的力量，簡單理解就是“威脅”+“情報”。通過收集可能危及企業(yè)或客戶安全的所有信息和數(shù)據(jù)，經(jīng)過專業(yè)地威脅分析、產(chǎn)生直觀的結(jié)果交由企業(yè)處理，從而避免災(zāi)難的發(fā)生(這里的災(zāi)難指的是網(wǎng)絡(luò)空間中的)。威脅情報讓網(wǎng)絡(luò)安全防御變得不再被動，威脅情報有時還能指引我們找到實施攻擊的幕后黑手。

然而，這一立足于充足數(shù)據(jù)之上的業(yè)務(wù)目前面臨諸多挑戰(zhàn)。

首先，大數(shù)據(jù)的資源較多的集中于BAT或一些各自領(lǐng)域發(fā)展較好的企業(yè)之中。潘柱廷認為整個安全里面威脅情報是最具價值的，需要這些情報的人則要有交易心態(tài)：

“現(xiàn)在擁有大量的威脅情報數(shù)據(jù)，具有情報持續(xù)分析能力的企業(yè)，像BAT都是具有很強的這樣的能力，那需要適當?shù)娜ス蚕?，甚至于免費共享，就是因為在整個安全領(lǐng)域，從崩潰到好之間還是有一個距離的，我希望離崩潰的線遠一點。”

其次，威脅情報的利用也面臨一個信任問題。特別是安全行業(yè)中，我們好像時時處于危險與不安之中，因此信任鏈十分脆弱。雖說“沒有永遠的敵人，只有永遠的利益”，既然如此，誰又真正敢加入到情報共享的行列之中?

供應(yīng)鏈安全

這是一個來自“企業(yè)信息安全閉門交流會”中圓桌討論的一個話題。

今年XcodeGhost后門的爆出堪稱在行業(yè)內(nèi)掀起軒然大波。在此之前，人們即便是不喜歡高冷的蘋果生態(tài)，但是打心底里也會佩服其有驕傲的資本。而Xcode所引發(fā)的尷尬則給我們帶來些許思考：供應(yīng)鏈原來還是個“大坑”。

2012年Gartner就出了一份報告提到：供應(yīng)鏈很可能會出問題。據(jù)TK教主介紹，IT供應(yīng)鏈其實有很多，硬件、軟件、開發(fā)工具供應(yīng)鏈(包括編譯器、第三方開源庫、閉源庫、第三方硬件和driver)等等，所有這些都很有可能成為安全的短板。

由此，基本不設(shè)防的供應(yīng)鏈應(yīng)該得到更多的關(guān)注與重視。正所謂最好的防御也是進攻，此前TK教主在極棒現(xiàn)場演示的“掃二維碼攻擊”便是最好的研究實踐。

CSO的“職業(yè)生涯規(guī)劃”

CSO是首席安全官的縮寫，傳說中薪酬漲幅最高、離職率也不低的那個職位。

對于CSO這一處于風口浪尖的職位，每位大牛都有自己的看法。

CSO需要做到哪些?

大潘：安全是由事件和合規(guī)驅(qū)動的。CSO要抓住事件驅(qū)動的機會，獲得開展供應(yīng)鏈安全的契機。聯(lián)合其他部門工作，搞清企業(yè)自身軟硬件知識產(chǎn)權(quán)的問題(用過的開源軟件之類)，供應(yīng)鏈體系的資產(chǎn)問題等。

騰訊應(yīng)用安全運維中心負責人胡珀認為CSO應(yīng)當將更多人卷入安全當中，而不是自己扛所有的責任。騰訊安全平臺也不是所有的安全項目，業(yè)務(wù)自身的安全還是需要其自身完善，因為他們是最熟悉自身邏輯的。

現(xiàn)場有位來自聯(lián)想的安全從業(yè)者踴躍發(fā)言：很多企業(yè)安全部門之所以難做，是因為他們沒有讓企業(yè)風險體現(xiàn)出來。“既不能死人，也不能不出事。”團隊應(yīng)定期發(fā)布報告，讓boss知道安全現(xiàn)狀，形成持續(xù)壓力。

撞庫

之所以談到這個詞，是因為上述內(nèi)容似乎都不太接地氣。

峰會現(xiàn)場，小編親眼目睹一位熱心觀眾拉住來自騰訊玄武實驗室的TK教主，向教主反應(yīng)QQ盜號的問題。

密碼和每個人都息息相關(guān)，然而越來越多的安全事故開始被扣上“撞庫”的帽子。而實際上，這樣的悲劇是可以避免的，用戶不要使用簡單密碼、通用密碼，定期變更自己的賬戶密碼等等手段，都可以讓撞庫的風險離自己遠一點。

對于普通人來說，安全意識要比安全技術(shù)更為重要。

小結(jié)

安全并不是一個玄學問題，而是一個動態(tài)平衡、更是一種理想狀態(tài)。如同人——大自然中最為復(fù)雜、精致的系統(tǒng)都會生病一樣，外來威脅會與自身BUG并存的時候，我們還是應(yīng)該抱有積極的心態(tài)去迎接挑戰(zhàn)!