专访腾讯信息安全执委会主任杨鹏:标准化是保证安全的有效手段
移动支付网 2019/8/12 10:31:48

7月31日,CSS互联网安全领袖峰会“产业与安全标准化专场”在北京举办,在会议中,来自各方的专家共同探讨了标准对产业发展的影响。腾讯标准化团队在会上发布了《腾讯标准化白皮书(2019版)》(下文称“白皮书”)。

会后,安知讯采访了腾讯信息安全执委会主任杨鹏,从他那里我们对白皮书里面蕴含的价值、背后的工作有了更多的了解。

标准化是保证互联网安全的有效手段

随着互联网技术的革新,大数据、人工智能、区块链等新兴技术的蓬勃发展,越来越多的企业参与到数字化转型当中。企业数字化转型,安全至关重要,杨鹏认为:“标准化是保证互联网安全的有效手段。”

今年7月,日本著名便利店7-Eleven推出移动支付钱包7Pay,一上线就受到了黑灰产攻击,发生了大规模盗刷事件。在短短三天时间内就让7Pay暂停服务,董事长鞠躬道歉,最后更是做出了7Pay彻底结束服务的决定。此次事件对日本的移动支付产业的发展造成了沉重打击。

事情发生之后,日本经产省要求日本所有支付公司签署“安全保证书”,并要求支付公司对类似安全事件作出防范。深究此次事件发生的原因,一方面是7Pay公司在程序设计上出现了巨大的疏漏;另一方面,日本移动支付产业缺乏相关的行业标准。

作为便利店7-Eleven是世界一流的企业,但是7-Eleven没有做移动支付的经验,导致7Pay遭遇了滑铁卢。如果日本参考中国移动支付的发展提前制定出行业标准,7Pay的盗刷案很有可能不会发生。

当前全球黑灰产市场庞大,仅以中国举例,黑产从业人员已超过150万人次,黑产规模高达1000亿人民币,给各行各业的业务安全都带来了巨大威胁。

腾讯旗下众多产品和服务都是黑灰产眼中的唐僧肉,可以说腾讯在互联网安全领域的历史就是一部和黑灰产斗争的历史。在长期与黑灰产的较量中腾讯总结了大量的经验,采用了大量的新技术,在互联网安全领域做了大量的探索。

通过标准化,腾讯可以将这些经验、技术和探索分享给其他公司,使其他公司受益,减少损失,从而使整个行业得以保护、进步。

这就是建设行业标准的价值所在,不仅仅是保护公司的安全,更是保护整个行业的安全。

标准化建设本质是取得行业共识

标准化是行业经过萌芽阶段最终走向成熟的必经之路。目前基于互联网新兴技术很多企业已经开发完成一定数量的应用和系统,取得了一批研究成果,部分系统和应用达到了世界先进水平,但低水平、重复性开发现象依旧存在,这不但造成资源的浪费,也阻碍了信息化发展的进程。

标准化的意义不仅仅是保证产业安全,也可以促进产业发展,通过标准提高系统和应用的兼容性,避免重复开发,加快行业发展。但是行业内企业这么多,大家都是按照自己的需求做产品,如何建设统一的行业标准呢?

杨鹏表示:“在腾讯标准化建设的工作原则中,最重要的一项就是:开放生态。”他解释道:“标准化的重要意义是改进服务的适用性,防止贸易壁垒,促进技术的合作。”

目前业界对产业和安全标准化尚未形成共识,个性化解决方案很多,应用差异化大、技术架构多元、接口不统一,造成产业应用数据流动困难、技术复用难度高,相关应用也无法跨平台使用,造成产业发展受到了一定的限制。

在现实之中这样的案例数不胜数,很多大型企业旗下各子公司、部门都建立了自己的“云”和“大数据”,在这一朵朵云中,各自的接口和数据标准都不一致,甚至于基础的框架都不一致,看似所有的数据都在云上,却在内部无法流动,在打通过程中往往需要消耗大量的精力和资源。

在行业上下游内,各个企业各自建设自己的“云”,严重阻碍了行业内数据流通。在标准建设过程中采取开放的态度,容纳更多的企业和技术人员,才可以解决这个问题。杨鹏认为:“标准建设工作的本质是取得共识。”

毫无疑问,只有在开放生态的环境下才可以取得行业共识。杨鹏表示:“各个企业业务发力的重点领域不一样,在标准的建设过程中采取良性、互相合作的态度才可以完成标准体系建设,让行业更好的发展。”

标准的国际化和背后的愿景

《大数据业务安全风险评估》国际标准的制定工作是白皮书中的重点内容,前文提到黑灰产的巨大威胁,《大数据业务安全风险评估》标准正是针对威胁发起制定的,目前已经顺利通过IEEE的立项申请。

在杨鹏看来,通过IEEE的立项申请是该标准建设的一个入口,通过IEEE可以让更多的专业机构和企业参与到标准的建设过程中,目前腾讯已经通过对外合作来广泛联合政、企、学、研等多方力量。

腾讯除了《大数据业务安全风险评估》国际标准的制定,还牵头组建了IEEE深圳区块链小组,杨鹏透露目前腾讯还在推进关于打击网络电信诈骗的行业标准工作。

标准化是一项任重道远的工作,不同于某项具体的业务,它并不能给公司带来直接的利润,甚至会耗费公司不小的成本和资源,腾讯为什么要做标准建设工作呢?

杨鹏直言:“虽然标准化工作不能带来利润,但是它对于一家企业,对于互联网产业,对于整个社会以至于对于国家而言其价值都是不可估量的。”

对于国家而言,可以将中国企业的技术创新成果纳入国际标准,方便中国企业走出去,提升中国企业的国际竞争力;对社会而言,通过标准化手段,协助解决互联网新技术与政务、民生等业务的有效结合,保障产品和服务的高安全和高质量;对产业而言,通过参与行业标准,实现产品和供应链的互联互通,提高企业的核心竞争力,参与市场,赢得市场。

腾讯副总裁谢呼表示:“腾讯的使命是通过互联网服务提升人类生活品质,腾讯的愿景是成为最受尊敬的互联网企业。”标准化工作正是立足于这两点之上。

最后

标准建设工作不可能一蹴而就,每一项标准的出台都需要长时间的打磨,面对许多困难,但是行业需要标准化才可以更好的发展,因此总要有一些人去做这些事情。我们期待有更多的企业和专业人士与腾讯一起参与到标准化过程中,就像杨鹏说的:“大家一起来推动产业的发展。”


展开全文
相关阅读
资讯查询取消