信息化觀察網(wǎng)

網(wǎng)絡安全世界，紅藍攻守就像圍棋的黑白棋子，在不斷復雜化日益兇險的局勢進程中博弈甚至搏殺。作為防守一方，甲方用戶往往能站在業(yè)務角度看安全，以企業(yè)經(jīng)營和風險治理的戰(zhàn)略大局觀見長，而乙方廠商則精于戰(zhàn)術性的局部手筋和深度計算，而只有將大局觀和戰(zhàn)術性技巧融會貫通，意始氣至，才能搶占真正能夠決定棋局走勢的“急所”。安全牛有幸邀請到了在甲方和乙方都有豐富從業(yè)經(jīng)歷和經(jīng)驗的資深網(wǎng)絡安全專業(yè)人士——樂信集團的劉志誠，與讀者獨家分享網(wǎng)絡安全大局觀與“急所”的心得與經(jīng)驗：

甲方乙方視角有何不同？

ICT與互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全市場有何不同？

如何看到隱私和軟件供應鏈這兩大安全“急所”？

樂信集團 劉志誠

樂信集團信息安全中心總監(jiān)，中科院心理研究所管理心理學博士，印第安納大學kelley商學院金融碩士（MF），香港理工大學軟件理學與工商管理（MBA）雙碩士。前中國移動電子認證中心（CMCA）負責人，OWASP廣東區(qū)負責人。關注企業(yè)數(shù)字化過程中網(wǎng)絡空間安全風險治理，對大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術在金融風險治理領域的應用，以及新技術帶來的技術風險治理方面擁有豐富的理論和相關經(jīng)驗。

引言

我在中國移動卓望公司呆了10年后，2018年4月份從深圳只身一人去了廣州，從做信息安全產(chǎn)品的乙方轉(zhuǎn)換身份，成為了做內(nèi)部和產(chǎn)品信息安全治理的甲方，不過通信動環(huán)監(jiān)控起家的上市公司高新興仍然是在我熟悉的通信行業(yè)ICT領域。2019年12月從廣州回深圳進入樂信，又從深耕了近20年的ICT行業(yè)轉(zhuǎn)行到互聯(lián)網(wǎng)金融，不得不說我每次轉(zhuǎn)身的尺度之大，讓人瞠目。人到中年，動不如靜，為什么做出這樣的選擇，我給出的答案是，對新的挑戰(zhàn)總有種時不我待的緊迫感，希望突破自己。

信息安全甲方和乙方有什么不同？

做乙方的時候，往往需要考慮通用性和針對性，針對一個信息安全風險，往往需要考察不同應用場景中共性問題是什么，對風險的治理講究策略的有效性，不希望需求的蔓延把產(chǎn)品變成項目。以中國移動營業(yè)廳無紙化項目中，通過電子簽名服務器實現(xiàn)營業(yè)廳無紙化的解決方案，就是通過營業(yè)廳移動電子簽章一個點，來帶動整個項目的落地。

在運營中國移動數(shù)字證書中心的過程中，對于安全的解決方案，往往是圍繞數(shù)字證書的具體應用，無論是為國家郵政局寄遞實名制落地的全套解決方案，還是為中國質(zhì)量協(xié)會量身定做的供應鏈質(zhì)量追溯平臺，其核心都在于公鑰基礎設施體系在不同應用場景的創(chuàng)新應用。通過密鑰在移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)環(huán)境的傳輸、交換和驗證，創(chuàng)新解決業(yè)務的問題。

當然，做乙方負面作用就是，當你有個錘子，看什么都是釘子，在身份轉(zhuǎn)換為甲方之后，經(jīng)常碰到乙方技術交流過程中，乙方針對甲方提出的一個需求，拿出風馬牛不相及或牽強的產(chǎn)品和方案，這樣的乙方就缺少了創(chuàng)新和靈活性。

甲方往往是關心自己碰到的問題如何解決，考慮的是問題解決的效果和效率，雖然從問題分解的角度來說，也是從點入手，但一個問題往往涉及一個方面，例如，數(shù)據(jù)安全問題，僅從數(shù)據(jù)庫審計一個點切入，顯然距離甲方的視角相距甚遠。

具有乙方的視角來看甲方的問題，單純的深度對問題解決的細節(jié)大有裨益，但如果需要從面上解決問題，這就要求你具有宏觀的視野和足夠深厚的各領域產(chǎn)品的功底。我在卓望10年，做產(chǎn)品帶團隊之余，基本拿齊了國內(nèi)外信息安全的相關資質(zhì)認證，CISSP、CISA、CISM、ISO27001、CISP、CISAW，這也是能夠進入甲方的一個原因吧，現(xiàn)在很多乙方的咨詢顧問很難和甲方對上話，根源往往在于知識面過窄。

當然，乙方的經(jīng)驗會給甲方解決問題帶來產(chǎn)品化的思路和思維，邏輯邊界更清晰，問題解決方案的耦合會更合理?，F(xiàn)在國內(nèi)有些乙方的產(chǎn)品也希望在面上進行突破，但如果缺少甲方的經(jīng)驗，會造成產(chǎn)品耦合帶來的副作用，往往一個點比較強，卻帶著一個薄弱的面，不同的產(chǎn)品之間的功能沖突給甲方帶來困擾，例如在終端的安全管理層面，多個乙方客戶端的功能重疊問題挺令人頭疼。這也是乙方做產(chǎn)品可能的通病，對甲方面的理解不到位，耦合設計不合理，做出來四不像的產(chǎn)品。這點，國外乙方單點突破的產(chǎn)品往往做的比較好。

其實，你會發(fā)現(xiàn)，在甲乙方深入轉(zhuǎn)換過身份的人，無論做甲方還是乙方，天然都會具有思維優(yōu)勢。

ICT和互聯(lián)網(wǎng)行業(yè)有什么異同？

通信和計算機技術（ICT）和互聯(lián)網(wǎng)有什么異同，我的感覺用開發(fā)模型舉例來說，ICT是瀑布模型的陣地戰(zhàn)，互聯(lián)網(wǎng)是敏捷原形迭代的游擊戰(zhàn)，當然，底層的一致性，帶來必然融會貫通的趨勢，不會非此即彼。因此，當互聯(lián)網(wǎng)巨頭阿里和騰訊在2B市場攻城略地，通過云計算和智慧城市的巨型ICT項目單一來源，對傳統(tǒng)ICT行業(yè)而言，苦不堪言之余也是滿嘴苦澀。

卓望公司是2010年王曉初時代的中國移動聯(lián)合HP、沃達豐、美林證券成立的創(chuàng)新技術公司，在2017年左右談及混合所有制時，不得不說當年王曉初的創(chuàng)新意識和魄力。卓望公司頂著中國移動香港無線研發(fā)中心的金字招牌，目標直指移動互聯(lián)網(wǎng)，并通過移動夢網(wǎng)的品牌在短信時代呼風喚雨，其中創(chuàng)始團隊的戰(zhàn)略眼光和視野，同樣讓人欽佩不已。在時代變遷過程中，卓望的業(yè)務屬性逐漸蛻變?yōu)橹螌傩圆⒁驗樗兄仆赓Y成分掣肘而逐漸邊緣化，從互聯(lián)網(wǎng)屬性公司成為ICT公司，令人唏噓之余未免慨嘆。

親身經(jīng)歷卓望變革的十年，同樣在陣痛中收獲滿滿，2010年左右在智能手機尚未普及的年代，卓望公司建立中國移動認證中心，通過RFID分離卡內(nèi)置的密鑰機制，和廣東一起打造的手機支付生態(tài)鏈“手機通寶”，野心勃勃，希望建立線上線下融合的用戶、商戶、運營商的機制，具備銀聯(lián)的支付能力，具備互聯(lián)網(wǎng)的運營能力。近三年時間投資過億，終因體制，技術成熟度，等諸多原因而被雨打風吹去。仍記得在2013年在某地市試點二維碼支付的應用場景，思路是把線下商品的訂單轉(zhuǎn)換為二維碼，智能手機線下掃碼一鍵買單購物，沒記錯的話，應該比阿里和騰訊的二維碼支付還早。

我們是談安全，不能老陷入當年勇的回憶，這件事現(xiàn)在看來，給我兩個深刻的印象，第一，ICT是為別人做嫁衣，缺少業(yè)務的主動性，或者脫離業(yè)務的運營，成功跟你的關系不大，失敗的幾率相當大。第二，安全的價值一定是和業(yè)務密切相關的，手機通寶的核心價值，就在于其中打造的生態(tài)安全體系在線上線下融合支付產(chǎn)業(yè)的應用。

陰差陽錯，十年之后，到了樂信，主營新消費生態(tài)體系的樂信，核心是打造線上線下融合的消費場景，2013年創(chuàng)業(yè)，2017年納斯達克上市，在成立7年之際，遇到百年不遇的新冠疫情，2020年第一季度依然交出雙位數(shù)增長的成績單。當年未能實現(xiàn)的夢想，現(xiàn)在為樂信業(yè)務的安全保駕護航，冥冥之中也許早有注定。

說到這兒，其實也已經(jīng)表明了對ICT和互聯(lián)網(wǎng)的態(tài)度，ICT只有建設，互聯(lián)網(wǎng)卻是以運營為基礎的建設，那么這之間的勝負其實不言自明。

網(wǎng)絡安全兩大急所：隱私生態(tài)鏈保護與技術供應鏈安全

甲方的安全，甚至是互聯(lián)網(wǎng)甲方的安全，大家比較熟悉，就不再多做贅述了，簡單分享下我覺得目前可能重視度不夠的兩個問題，一個是個人信息保護領域的數(shù)據(jù)安全風險治理中共享與合作的難點問題，一個是越來越受重視的軟件開發(fā)安全管理的第三方組件安全的難點問題。

個人信息保護現(xiàn)在是個熱點問題，剛結(jié)束的人大立法計劃中，對《個人信息保護法》，《數(shù)據(jù)保護法》已經(jīng)提上了日程，新修訂的《民法典》也涵蓋到用戶數(shù)據(jù)保護的相關主題，這是對2017年《網(wǎng)絡安全法》的有機延續(xù)和增強，也是對目前因用戶數(shù)據(jù)泄漏導致電信欺詐頻發(fā)社會問題的回應。同時，在全球化時代中，考慮到企業(yè)走向全球的隱私保護數(shù)據(jù)對等條款以及數(shù)據(jù)跨境與海外政策對接，也需要對歐盟《通用數(shù)據(jù)保護條例》等各國立法予以關注和同步。

移動互聯(lián)網(wǎng)業(yè)務為用戶帶來極大的便利性同時，也帶來了個人數(shù)據(jù)泄漏的進一步風險，APP的操作系統(tǒng)權限濫用帶來用戶數(shù)據(jù)采集的混亂也成了眾矢之的，四部委2018年啟動的專項治理，希望通過合規(guī)重拳予以打擊和治理，效果彰顯。互聯(lián)網(wǎng)金融產(chǎn)業(yè)鏈中，以人工智能分析為基礎的大數(shù)據(jù)運營公司，通過輸出用戶信用評價實現(xiàn)商業(yè)價值，其數(shù)據(jù)的獲取、交換因為爬蟲事件也在2019年受到電信詐騙牽連頻受打擊，行業(yè)龍頭遭受重創(chuàng)。2020年初疫情期間，公安部云劍行動通過電信詐騙順藤摸瓜，同樣在通信服務產(chǎn)業(yè)鏈中掀起巨浪，短信服務公司風聲鶴唳，頻受調(diào)查。這其中隱含著一條脈絡，就是隱私保護已經(jīng)脫離了企業(yè)范疇，變成了生態(tài)鏈問題。單純的做好內(nèi)部的信息安全防護，構(gòu)建縱深防御機制，關注攻防對抗，顯然對個人隱私相關的數(shù)據(jù)安全而言，顯得力所不及。

關于隱私保護，IAPP的CIPT認證是個從技術領域看隱私保護的最佳理論與實踐，其中的PbD（pravicy by design）理念值得仔細揣摩，如果單純的從合規(guī)的角度跟著法律和規(guī)范走，始終處于被動和整改的狀態(tài)，對業(yè)務發(fā)展，對技術實現(xiàn)，無論成本還是效益都談不上最佳實踐，而以業(yè)務為中心的產(chǎn)品和技術，往往是走向檢查，整改，檢查循環(huán)的老路，勞民傷財，傷筋動骨。如果從設計隱私的角度入手，以用戶為中心進行隱私保護的設計，提前思考布局，會起到事半功倍的作用。

從生態(tài)鏈角度而言，需要關注合作伙伴的用戶隱私泄漏風險的生命周期管理，在引入合作伙伴階段需要做好安全風險的評估，一般來說，安全能力水平，安全技術保障，服務水平協(xié)議是評估的三個要素，需要做到，能力有第三方評估佐證，技術方案具備攻防思維考驗，服務水平明確相關義務和責任。根據(jù)評估篩選出合格的合作伙伴合作，對于各方面均差強人意的合作伙伴需要敬而遠之。

在合作過程中要具備持續(xù)監(jiān)控的能力，通過相關泄漏指數(shù)的跟蹤和設計，做到對相關風險的及時發(fā)現(xiàn)和預警，對于風險趨勢走高的合作伙伴，通過約談、協(xié)同排查、業(yè)務降比等手段，來降低和規(guī)避相關風險。

出現(xiàn)隱私泄漏相應的事件后，要能及時止損，追溯、確定責任，對風險進行整改，對策略和方案進行調(diào)整和回顧，逐步優(yōu)化。

安全軟件開發(fā)過程管理（SDL）在安全領域的應用，隨著大家攻防的視角從基礎公共系統(tǒng)延伸到業(yè)務系統(tǒng)，治未病的理想狀態(tài)和投入產(chǎn)出比（ROI）的理想分析來看，應用軟件的安全越來越關注到需求和設計階段，代碼審計、模糊測試、滲透測試等關注軟件代碼安全質(zhì)量的漏洞挖掘也越來越受到重視。

從APP到微服務，業(yè)務模塊化使業(yè)務的開發(fā)足夠敏捷，部署足夠靈活，SDK和開源組件的使用從避免重復制造輪子的角度來說，為程序員和架構(gòu)師的效率提升帶來了難以預估的價值。同時，不可避免的引入了軟件的安全風險，Zoom的事件因facebook的SDK帶來的隱私災難險些導致Zoom公司破產(chǎn)，阿里著名開源組件fastjson組件頻發(fā)的漏洞，忙的各大公司網(wǎng)關產(chǎn)品升級改造雞飛狗跳，無不預示著隱藏在應用系統(tǒng)背后的軟件供應鏈安全風險。

當然，軟件供應鏈安全的治理，同樣遵循著PDCA的過程管理，做好引入階段的備案與評估，避免引入高風險的第三方和開源組件。同時，在關注到漏洞與安全的同時，也需要關注組件的可用性與兼容性問題，在中美貿(mào)易戰(zhàn)激烈時刻，已有開源公司軟件變更許可證阻止中國企業(yè)應用，對第三方軟件涉及到知識產(chǎn)權以及許可證的條款足夠清晰，避免侵權以及可用性遭受致命打擊影響業(yè)務，同樣十分關鍵。

在應用階段，注意關注第三方組件的漏洞威脅情報，及時發(fā)現(xiàn)、預警，并做好整改與版本發(fā)布工作，要在受到根本影響時，做到完全切換的替代方案，例如，fastjson被大面積替換為gson，其實也是一種應急預演。

當然，信息安全工作永無止境，需要關注熱點，也不能只跟熱點，做好基礎防護工作同樣至關重要，時間原因，就不再贅述。