烏云網(wǎng)創(chuàng)始人方小頓（劍心）在2015 IT價值峰會上說，互聯(lián)網(wǎng)模式下企業(yè)內(nèi)部IT系統(tǒng)一打開，外面就是一群狼！如果連這些狼是什么都不知道，那么企業(yè)都不知道是怎么死的！

烏云網(wǎng)是一個白帽子黑客（相對于惡意的黑帽子黑客而言）社區(qū)，通過發(fā)現(xiàn)和通報企業(yè)的安全漏洞，督促企業(yè)在信息安全方面改進(jìn)，讓企業(yè)安全防御形成良性循環(huán)。近年來企業(yè)界的多項(xiàng)信息安全事件都由烏云網(wǎng)爆光而引起業(yè)界關(guān)注，包括前幾個月的攜程網(wǎng)癱瘓事件，以及去年酒店行業(yè)影響巨大的客戶信息泄漏事件等。

“互聯(lián)網(wǎng)+”時代，信息安全問題陡生！有黑客說，互聯(lián)網(wǎng)金融就是黑客的提款機(jī)！傳統(tǒng)企業(yè)和社會性功能接口對互聯(lián)網(wǎng)開放，曾經(jīng)的機(jī)密信息、用戶權(quán)限等對外暴露無余，現(xiàn)在已經(jīng)進(jìn)入了網(wǎng)絡(luò)信息安全無邊界的時代！

以下是方小頓在2015 IT價值峰會上的分享內(nèi)容，經(jīng)ITValue整理：

方小頓：首先介紹一下我自己，我是安全團(tuán)隊(duì)80sec創(chuàng)始人，這個團(tuán)隊(duì)曾經(jīng)發(fā)現(xiàn)了谷歌以及很多開源系統(tǒng)的安全問題。后來我到百度成為了百度安全負(fù)責(zé)人，帶領(lǐng)百度的安全團(tuán)隊(duì)從5個人做到30多個人，之后離開百度創(chuàng)建了一個社區(qū)叫做烏云漏洞平臺。當(dāng)然，僅做社區(qū)還是不夠，于是我們有了自己的一個安全產(chǎn)品，這是一個基于SaaS的云安全產(chǎn)品叫唐朝云安全。

1用戶、業(yè)務(wù)與行業(yè)的互聯(lián)網(wǎng)化
現(xiàn)在很多的業(yè)務(wù)本質(zhì)上已經(jīng)因?yàn)榛ヂ?lián)網(wǎng)的介入而發(fā)生了很大的改變。金融行業(yè)出現(xiàn)了P2P公司，雖然此類公司本身在經(jīng)營金融業(yè)務(wù)，但是實(shí)際上所有的業(yè)務(wù)都被強(qiáng)制公開了。如果不注重信息安全，那么包括用戶數(shù)據(jù)以及每天的結(jié)算數(shù)據(jù)在內(nèi)的重要信息都能很輕易地被獲取。

整個互聯(lián)網(wǎng)化是不可逆轉(zhuǎn)的趨勢，當(dāng)每個用戶互聯(lián)網(wǎng)化后，會對產(chǎn)業(yè)上下游產(chǎn)生不可預(yù)測的影響。例如，中國人壽與產(chǎn)業(yè)鏈上下游打通之后，中國人壽的信息安全可能影響到華住酒店，華住酒店的信息安全反過來也會影響到中國人壽。

京東是一個電子商務(wù)的平臺，但它的安全性也會跟技術(shù)社區(qū)的安全性聯(lián)結(jié)在一起的。我們通過一個泄露的數(shù)據(jù)庫做了一個測試，發(fā)現(xiàn)CSDN技術(shù)社區(qū)出現(xiàn)的問題也可以影響到電商的數(shù)據(jù)。電商的數(shù)據(jù)很敏感的，因?yàn)檫@里面包括了交易的數(shù)據(jù)。我們今天核心談的是安全，安全核心的影響是什么？就是數(shù)據(jù)。

2數(shù)據(jù)邊界的消失
用戶、業(yè)務(wù)與行業(yè)的互聯(lián)網(wǎng)化，首先帶來的第一個變革就是已經(jīng)不知道數(shù)據(jù)存放在哪里了。每天早晨起來打開手機(jī)，發(fā)現(xiàn)移動的終端上沒有數(shù)據(jù)了。特別是很多做saas業(yè)務(wù)的人員，他們的手機(jī)上面其實(shí)不存留數(shù)據(jù)。傳統(tǒng)的情況下，把數(shù)據(jù)存儲在家里的電腦上，這個讓人感覺放心。但即使把手機(jī)和電腦鎖在家里，就能說是安全的嗎？

微信上有朋友的數(shù)據(jù)，企業(yè)的SaaS云有工作的數(shù)據(jù)，數(shù)據(jù)邊界正在消失。在這種前提下，安全怎么樣做？傳統(tǒng)的安全很簡單，有針對筆記本電腦的數(shù)據(jù)安全軟件。但現(xiàn)在對于傳統(tǒng)做IT安全的來說，數(shù)據(jù)已經(jīng)不再存儲在自己的服務(wù)器上面了，而是存儲在云端。甚至為了業(yè)務(wù)的發(fā)展，需要把數(shù)據(jù)通過VPN開放給產(chǎn)業(yè)鏈上下游，與不同產(chǎn)業(yè)鏈上的企業(yè)和用戶打通數(shù)據(jù)。那么，當(dāng)企業(yè)主動把數(shù)據(jù)放在云端，防火墻就不再起作用了，安全的邊界就消失了。但是，云計算數(shù)據(jù)中心卻不會把安全措施共享給企業(yè)。

安全邊界消失了之后，責(zé)任邊界也在隨之消失。烏云社區(qū)里可以看到一個典型的例子，阿里云用戶手機(jī)中了木馬，木馬把銀行的錢盜走了，真正受損失的是銀行。銀行、用戶、運(yùn)營商，到底錢是在哪消失的，問題出在哪方身上？因?yàn)楝F(xiàn)在安全的全部鏈條都是連接的，所以安全責(zé)任并不在用戶這里，而是在銀行業(yè)務(wù)這里，這就是責(zé)任邊界的模糊和消失。

3對于互聯(lián)網(wǎng)安全的挑戰(zhàn)
數(shù)據(jù)邊界的消失給互聯(lián)網(wǎng)帶來了極大的安全挑戰(zhàn)。以前的安全措施很簡單，傳統(tǒng)的IT安全只考慮內(nèi)部的業(yè)務(wù)和數(shù)據(jù)，內(nèi)部IT系統(tǒng)天然形成了一堵“墻”，這個“墻”就是傳統(tǒng)IT的邊界。但是現(xiàn)在為了業(yè)務(wù)，這個“墻”要主動拆掉，要與合作伙伴打通。但拆掉這個“墻”帶來的一個根本性的變化，就是要直接面對外部黑色產(chǎn)業(yè)鏈沖擊的威脅，而這個黑色產(chǎn)業(yè)鏈已經(jīng)發(fā)展了七八年左右的時間。

以前有內(nèi)部系統(tǒng)構(gòu)成的“墻”保護(hù)，黑客攻擊的成本高一些，現(xiàn)在這個“墻”拆掉了，攻擊成本也降低了。加上數(shù)據(jù)的云化，以及互聯(lián)網(wǎng)很大的想象空間，企業(yè)面臨著不可預(yù)知的威脅。比如，聽說過一個電商，是一個傳統(tǒng)商場的電商公司，當(dāng)電商業(yè)務(wù)開放第一天，搞了一個成交一單送一袋洗衣粉的活動，結(jié)果那天送了70多萬袋洗衣粉出去。之前企業(yè)沒有考慮做這個事情能帶來什么威脅，因?yàn)槭莾?nèi)部的系統(tǒng)。當(dāng)內(nèi)部系統(tǒng)對外開放后，必須知道將面對外面的一群狼，如果連這些狼都沒有聽說過，那就非常危險了。

現(xiàn)在的現(xiàn)實(shí)是最大的出租車公司Uber沒有一輛汽車，最大的租房子公司沒有一間自己的房子。烏云網(wǎng)實(shí)際上已經(jīng)嘗試類似的模式了，這就是唐朝安全。我們從在座的企業(yè)中選了一家做了一個測試，大概發(fā)現(xiàn)了568個安全問題，這個就是當(dāng)前的安全現(xiàn)狀。所有人都說安全太重要了，但是都不把安全當(dāng)成是最緊急的。這就像大家說健康重要但是今天跑步是不最重要的一樣，這個心態(tài)必須要有所轉(zhuǎn)變！（本文由ITValue記者吳寧川根據(jù)烏云網(wǎng)方小頓在2015IT價值峰會上的演講整理）