Facebook在全球用戶共享信息的基礎上建立了自己的業務，但是保護這些數據卻是一個相當大的責任——而這需要不斷增加透明度。

[[110367]]

周二上午，Facebook首席安全官Joe Sullivan在公司總部的白板討論會上深入探討了公司的安全策略。

Sullivan解釋稱，這個策略是從Facebook內部的安全知識和文化開始。

“你不能期待有完美的安全策略，”因為安全是一個不斷改善的過程。

十年前，Sullivan懷疑大多數網民不能守護自己的安全，而且如果互聯網用戶不能預先采取合適的預警措施是無法建立安全模式的。

現在，Sullivan觀察發現，安全已經從“一些人不想做的事情”轉變為“令大家感到驚喜”的事情——從公司在加州Menlo Park的總部用來當案例的內部攻擊和釣魚郵件開始。

Facebook要求員工打開登陸許可設置，增加安全驗證層級，防止其他人登陸其賬戶，這個要求雖然簡單，但要讓員工習以為常，仍有很長的路要走。

在談到最近一些高端網絡攻擊時，尤其是由敘利亞電子軍執導的攻擊案例，Sullivan認為這類攻擊總是存在人為和社交因素。

他認為，對于Facebook而言，這涉及到每個員工。

“一些公司會在這方面設置專門的安全團隊，”Sullivan稱，Facebook至少有四個不同的團隊，覆蓋了技術安全，安全架構，網站整體性和安全幾個方面。

其中兩組安全團隊直接向Sullivan報告，他承認，這在去年六月NSA事件被披露后，為他管理前端合法進程提供了有用視角。

Facebook是聯邦秘密數據收集項目PRISM棱鏡計劃所利用的九大科技公司之一，棱鏡計劃最初是由斯諾登披露。

Facebook CEO 扎克伯格和其他技術大牛都一直想和NSA劃清界線，指責聯邦政府對侵犯隱私。

但是，Sullivan保持著冷靜的態度，稱他的工作之一就是避免發出不必要的警報。他補充稱，任何專注安全的人都不會被我們所見到的東西感到驚訝。

“我們這些安全人員，有妄想癥，”Sullivan稱。“但是當你真正看到一些部署的鐵證時，你就從妄想癥患者變成了專家。”

加密就是安全領域的一個熱詞，即便在NSA的事件開始前也是，而且它也是周二白板討論會的主題。

但是Sullivan確定，加密不是隨便成為熱議話題的，要談論這個話題，得先回答兩個問題：一是你做的是哪種加密，二是如何部署你的加密措施。

Suvillan強調稱，Facebook在2009年就開始部署HTTP的后防措施，以便用戶在2011年可以啟用。

當時預計，Facebook上三分之一的用戶都可以在功能上線后啟用，Sullivan承認他當時驚呆了，因為用戶對安全的積極性很高，而且了解這種安全加密措施的不同之處。

Sullivan還指出，Facebook的開源存儲加密機制Conceal由一套安卓API組成。應用可以利用Conceal加密數據和保存在公共位置(如SD卡)的大文件。

移動是Facebook優先考慮的東西，該公司的季度財報也表明移動是其向前發展的主要營收來源。因此，保護這個渠道的數據將是重中之重。

談到Facebook在開源方面的持續動作時，Sullivan稱，每個公司都需要用發展的方式部署加密，要隨著標準的演化而演化。

當問及他是否認為斯諾登的行為是在尋求有關透明度的對話時，Sullivan笑了，不過，他口風很緊，表示不愿對此作出評價，但歡迎這類討論。

Sullivan總結稱。“一個人人關心安全和加密等事宜的世界，才充滿希望。”