網絡運營者共話安全責任

在希臘神話中，有個普羅米修斯，盜取火種帶到人間，給人類帶來文明。

在網絡安全界也有這么一類人，他們包括網絡運營者、技術英雄和教育者，承擔起普羅米修斯的責任，帶來“火種”，結束人們的“苦難”，也即挖掘漏洞，共同維護互聯網的安全穩定。

在由i春秋發起的“2018首屆互聯網安全責任峰會”上，i春秋校長蔡晶晶以普羅米修斯神話開篇，邀請網絡運營者、技術英雄及教育者，聚焦漏洞補完生態，引出各方應承擔怎樣責任的話題。

那么，作為網絡運營者，有哪些重要安全責任？在承擔這些安全責任過程中與其他網絡運營者是如何合作的？在承擔網絡安全責任上如何與民間白帽子技術英雄們合作？在安全人才需求上，對網絡安全學院寄予怎樣的希望？永信至誠高級副總裁潘柱廷作為主持人，向在座網絡運營者的專家們（如圖1）拋出以上問題。

圖1 各安全專家訪談

京東首席信息安全專家Tony Lee：我們不僅是網絡運營者，還是數據運營者，安全工作不能僅限于寫代碼，最終還是要歸于責任感，例如我們在做數源分析時發現了針對數十家單位的木馬攻擊行為，我們不止是做好自身的防護，同時還通報給相關單位，這就是責任感。

在反病毒方面協作與共享程度很高，但在其他領域的協作還很缺乏，因此企業之間應當做出更多多維度立體的合作。比如在開源方面，不能只埋頭于自身的開源技術的改進，還應多做分享，否則只會讓自己限于被動。安全的工作亦是如此，將不同的資源分享出來也是網絡運營者的責任。

這種資源分享也包括技術層面，與白帽子的合作過

程中，一方面將自身的技術分享出來，另一方面通過得到白帽子的力量的支持以發展自身技術。因此，網絡運營者與白帽子之間不是甲乙方，而是“正義聯盟”。

在某些時候，對于網絡人員，包括程序員、產品經理等的安全意識的培養，往往比培養安全人才更加重要。因此，賦能開發人員安全素質是很重要的一環。

滴滴出行信息安全部戰略副總裁弓峰敏：對滴滴出行來說，保護用戶的數據安全是第一位的，為此滴滴出行成立有滴滴安全應急響應中心來承擔保護用戶數據安全的責任。

不僅如此，還同其他網絡運營者加強合作，通過共享威脅情報，共同維護互聯網安全生態的防御能力。對滴滴出行而言，成立有SRC聯盟，對于自身的平臺系統建設也在不斷地與黑產等威脅做斗爭。由于不同的數據來源于不同的渠道，如何保證數據質量，這些都需要與其他公司合作。

白帽子是很重要的安全力量，SRC的機制是很好的方式來發揮白帽子的效能，鼓勵白帽子的負責任的漏洞紕漏行為。同時扶持對白帽人才的培養，比如像i春秋這樣的平臺。

業界還應與高校形成互動，取長補短，形成整體的人才培養體系。安全學院要開發全周期的安全保障技能培訓課程，在真實的攻防環境中獲得能力。

阿里巴巴集團技術副總裁、首席安全專家杜躍進：作為網絡運營者，首先是要保證自身的業務安全穩定的運行，但安全不止是自己的事情，還要保障用戶的數據安全，把用戶的安全作為自己的責任，在更高層面上，網絡運營者也要重視生態或行業發展的責任，努力維護整個行業生態的安全。

在與其他網絡運營者合作問題上，應當樹立大格局，建立真合作。安全的最終目的是保護用戶，因此網絡運營者們在安全的問題上不是競爭關系，而是合作。而且，安全工作者們的真正對手是安全威脅的制造者，不是競爭對手，也不是甲方企業，因此，只有站在更高的格局上才能形成合作。

網絡運營者應當承認白帽子和安全團隊的貢獻和價值，阿里就非常重視與他們的合作。白帽子不是黑客，與黑客挖掘漏洞進行敲詐勒索不同，不管是民間白帽子還是網絡運營者，都應有公正之心，牢記初心，最終目的是更好地服務用戶，這樣才能更好地合作。

在安全技術人才培養上，應把握務實、創新、靈動三點，面對真實問題和真實需求來進行人才培養。

百度安全副總經理沈鵬飛：網站運營者是保護個人信息安全的第一責任人，這是我們的義務，百度安全有完善的技術保護用戶信息安全，尤其在搜索方面，保障用戶不受釣魚網站、惡意網址等的侵害是百度的責任。除此之外，在打擊黑產方面百度也是不遺余力，在全網的安全監測、攻擊溯源、網絡犯罪研究上也做了很大投入，這些都是百度安全作為網絡運營者應盡的責任。

在與其他網絡運營者合作上，百度安全的態度是同舟共濟。百度成立有自己的聯盟生態，將自身技術開放給聯盟。而且百度也在與運營商合作，包括網址安全和偽基站防護等，同時也包括在打擊黑產方面同公安部門的合作。

白帽子活躍在各個社區和SRC平臺上，是網絡安全攻防的有效武器，百度安全對于白帽子本著合作與培養的方式，構建良性溝通機制，除了通過百度SRC提交漏洞獲取獎勵外，更是提供了與世界頂級黑客交流的機會。

互聯網廠商既是安全人才培養者，也是需求方。百度已與部分高校進行產學研合作，培養應用型安全人才。

永信至誠高級副總裁潘柱廷做出總結，能力越大、責任越大，剛剛互聯網企業管理者們共同探討了信任的重量、責任的重量。但網絡安全并不是孤身作戰，不管是網絡運營者之間還是與白帽子以及人才培養上，i春秋希望搭建一個平臺，構建漏洞補完生態，使網絡運營者、教育者、技術英雄形成一種連接，以更好地承擔網絡安全責任。