在数字经济高质量发展的顶层设计牵引下,企业数字化转型成为浪潮,在此过程中,各行业、各机构面临的风险敞口也在持续加大。作为重点互联网企业代表,腾讯经历了中国互联网的全部周期,其如何做好业务安全?对比传统安全厂商,互联网企业的数字化安全实践有何不同?在转战产业互联网的过程中,他们又如何理解国内产业升级过程中企业面临的安全风险与挑战?9月5日至11日,2022年国家网络安全宣传周在全国范围内统一开展,值此期间,南都专访了腾讯安全副总裁黎巍。

业务上线之初就把安全纳入考量

南都:在社交网络业务安全、云计算安全领域,近些年面临的安全威胁和以往相比有什么变化?


(相关资料图)

黎巍社交网络安全这些年发展下来,没有太本质的变化,主要还是依托于整个移动互联网的发展面临的一些威胁,如我们经常遇到的各种网络攻击、欺诈的威胁。云安全领域,也是B端安全这一块,最近几年发展非常快速,而且面临的威胁挑战也比过去遇到的更大。首先,我们看到的网络攻击,无论是从流量还是威胁上看,都更大。其次,新型的安全威胁,比如说这两年勒索病毒、IoT的一些攻击,也会比较多。所以这两个领域相对来讲,可能在B端云安全这一块遇到的威胁和挑战更严峻。

整个腾讯安全,最近几年主要聚焦To B的安全,现在也围绕云安全构建整个安全体系,包括基础安全和业务安全,最近几年都在发力。在基础安全方面,面对国内外的网络攻击,包括防DDoS的一些攻击方面的建设,这几年投入蛮多。在零信任的一些信息安全领域,也在加大投入。我们基于云原生构建的这些安全能力和服务,也是我们这几年重点投入的方向。此外,我们在面向业务场景的安全做了非常多的探索,包括在反欺诈,包括网络和电信安全,各种流量方面的业务安全攻击方面,是我们这几年大力投入和发展的方向。

南都数字经济蓬勃发展如何满足数字经济发展过程中的安全需求?需从哪些方面发力

黎巍数字经济发展和满足安全需求不能分割来看,顶层设计部署也要求统筹发展和安全。数字经济发展过程中的安全是一个系统工程,需要政府、企业主体、安全厂商、行业协会、科研机构等多方责任主体携手共建,形成产学研的良性循环。

从安全投入的角度,明确预算,由于数字经济必然带来全新的业态,势必会诞生全新的风险场景和安全需求,安全防护不能“头疼医头,脚疼医脚”,要在相关业务上线之初就把安全纳入其中考量,不能等事情发生了才补。

从安全实践的角度,升级安全防护理念和策略,立足于实战和极限挑战,不是堆砌一些安全产品就觉得做到了。

南都数字经济强省广东为例,各行各业应对过哪些网络风险?目前有哪些可圈可点的安全实践?

黎巍:网络安全攻击是“高趋利”的,因为发动攻击也需要成本和门槛,这注定了广东这种数字经济发展前列的地区肯定会遭受更多威胁,诸如:网络攻击、勒索病毒、黑产流量攻击、电信与网络欺诈等,这些风险都很常见。

广东在拥抱数字化的过程中很多领域也都走在前列,比如:数字政务、防范电信诈骗等。除此之外,广东地区在应对金融风险方面的实践也摸索出了一套“深圳样本”。

2018年开始,地方金融监管部门纷纷与科技公司合作探索监管科技的运用,深圳市金融办就和腾讯合作,基于人工智能的平台识别和知识图谱的平台风险指数计算,全面监测互联网上活跃的类金融平台。对发现的高风险及时预警,真正实现针对非法金融活动的“打早”和“打小”。

法律规范倒逼安全厂商加强技术创新

南都近年来出台网络安全法》《数据安全法》《个人信息保护法法律法规对安全服务商和各领域企业带来哪些影响?

黎巍:对于安全产业毫无疑问是进一步激发了活力、细化了安全赛道,同时也进一步倒逼安全厂商要加强技术创新,打磨产品和解决方案。尤其对于金融、互联网等数据密集型行业的安全需求而言,如何在合规的基础上最大程度的激发数据价值,就涉及隐私计算、人工智能、区块链等前沿技术的综合运用。

对于企业,法规的出台也进一步强化了安全建设的合规导向,这将越来越多成为很多企业开展安全建设的起点,未来企业要在市场竞争中拔得头筹、赢得用户信赖,安全能力将成为一大核心竞争力。

南都随着数字化转型浪潮加剧,对中小微企业而言,在安全投入方面无论是意识、技术、人才还是资金,有的还处于非常初级的状态,如何解决这一问题?

黎巍:以前很多人常说安全是“奢侈品”,不是切身遭受过安全攻击的企业很难系统地投入安全建设。现在安全对于企业而言是“必需品”,是数字化转型的底座。企业的确可以根据自身发展情况合理选择适合自己的安全策略,但数字化深浅和安全建设的映射关系是战术层面的不是战略层面的,无论处在数字化阶段,企业都应该把安全放在战略高度,具体安全实践时可以“量体裁衣”。

与此同时,伴随数字化技术的发展,安全产业现在也比以前有了很多发展,安全能力可以通过云化的形式高效的交付,大型云厂商的安全能力有专业、常态化的安全团队护航,对于安全根基较弱的企业而言,上云能帮助他们显著的补齐安全短板,迅速提升安全水位。

对于中小企业而言,以往做安全建设确实是一个挑战,特别是自己招募团队,从头做安全建设是一个沉重负担,但近几年随着云计算发展深入产业,中小企业立足云平台发展业务,是比较经济的一个考虑,相对来说会比以往更有优势。

安全产业要进一步加强生态协同

南都目前网络安全服务厂商投入的重点领域和方向有哪些?头部互联网企业做安全与传统安全厂商相比有何特点?整个安全行业存在哪些问题和挑战?

黎巍:网络安全本质属性还是“伴生”的特点,哪里数字化程度高,哪里的数据资产密集,哪里的安全需求就大,例如政务、金融等都是安全厂商的关注重点,除此之外,以腾讯安全为例,也会关注安全能力在对抗电信诈骗、金融欺诈、盗版侵权等社会价值层面应用,致力于践行科技向善。

互联网安全厂商的特点就是原生的数字化企业,自身经历了大量的数字化安全实践。以腾讯为例,经历了中国互联网的全部周期,从而沉淀了20多年的黑灰产对抗能力和经验,能够更好地理解客户的业务场景。

目前而言,安全行业正在迎来新一轮的高速发展期,零信任、智能风控、监管科技、隐私保护等各个赛道都在涌现极具潜力的创新型企业。安全产业在越来越细化的同时也需要越来越凝聚。很多大型安全项目涉及的领域是十分庞杂的,几乎没有一家安全厂商能单独完成,一定要举生态之力携手筑牢安全底座。

那在生态共建的过程中,各个厂商可能还是会奔着一些热点去,比如今天出了勒索病毒,大家都在攻勒索病毒,就整个生态而言,需要兼顾短期还有中长期的方向,而不只是短期目标。各家厂商都有安全能力和产品,这些能力和产品如何协同和形成体系,值得探索。

南都:近几年腾讯投身产业互联网,腾讯安全的业务布局如何与之同步?

黎巍:我们所有的安全业务布局都是面向产业互联网的,不仅仅是腾讯,其实各行各业都在发展产业互联网,现在我们To B的安全其实就是面向整个产业互联网的发展来布局和构建的,因为毕竟要服务于产业互联网,我们有各行各业的客户,这些客户面临的一些问题挑战其实就是腾讯安全需要去解决的。

南都网络安全领域当前工业界和学术界的聚焦点有何异同?安全厂商如何参与人才培养

黎巍:其实工业界和学术界更多情况下是越来越接轨的,网络安全的对抗是人的对抗,攻防对抗、实战永远是安全的本质。尤其是在近十年的发展中,很多安全厂商都和高校通过共建安全实验室的方式,互相输出安全研究和安全经验;与此同时,全国广泛开展的例如CTF的安全竞赛,也通过以赛代练的形式,加深学术界和工业界的联系。

互联网企业相对传统企业而言,会面临更多来自业务逻辑层面的风险,也叫做“业务安全”,例如羊毛党、黄牛党、违规内容、虚假广告等等,因此互联网企业做安全会更加关注业务发展,安全建设不仅仅是企业的底线,更是决定企业发展的天花板。

(文章来源:南方都市报)

推荐内容