CSS峰会圆桌论道丨共享产业数字化升级中的安全探索

发布者:Editor
发布于:2020-09-12 15:13

近年来,随着我国开始在云计算、人工智能、区块链等新一代信息技术上进行布局,各行各业纷纷开启了数字化转型升级的步伐。然而信息技术发展在推动产业数字化转型升级的同时,也衍生出新的安全问题。如何抓住数字化转型升级所带来的发展机遇,有效应对数字化升级过程中的安全问题,保障企业安全、高效的发展?


9月11日,在腾讯全球数字生态大会CSS互联网安全领袖峰会-产业专场中,由腾讯安全副总裁黎巍,烟台张裕葡萄酿酒股份有限公司总经理孙健,天融信战略合作中心总经理刘斯宇,小红书安全业务负责人周达,腾讯企业IT部安全运营中心总监蔡晨,在圆桌讨论环节分享了各自在数字时代中的安全实践,看雪学院创始人段钢主持了本次圆桌对话。









以下为对话实录节选:


段钢:现在到了我们的圆桌环节,我是主持人段钢,来自看雪学院。今天我们探讨的是《产业数字化升级过程中的安全建设》。从前面嘉宾的主题演讲中,不难看出,在数字经济时代,安全是推动产业发展的重要基础,但同时也将面临更多的挑战。新基建催生的新业态、新场景、新需求、新模式,需要全新的产业安全生态加以应对。
在座的嘉宾刚好代表了数字化转型不同阶段的企业。加速拥抱数字化转型的酒类企业、诞生在互联网上的内容社区、以及腾讯这种超大规模的数字化服务提供商,大家对安全的挑战和应对之法应该都有自己的亲身实践。首先问一下孙总,张裕在数字化转型过程中,如何看待安全的价值,以及有哪些得益于安全建设的成功案例?


孙健:以前我们说数字化转型,用的词叫锦上添花,就是你转也行,不转也可以,现在不行了,现在是生死存亡,如果企业不转型或者是转得不到数,可能就是死路一条。我们葡萄酒行业的安全痛点主要体现在流通领域。酒类产品的流通性非常强,如果其中有一些不法分子利用流通环节监管的缺失或是消费者信息的不对称,来制造假冒伪劣商品来以次充好。张裕在溯源和防伪的安全性上,经历了三个阶段:


第一个阶段,是那种很笨的办法,我们每个工厂下线的产品,在产品上打上哪个省的标识,然后发到全国的29个仓库再打上经销商的标识,重新上线就重新打。这个做法是没有数据做基层支撑的。


两年前,我们已经实施了第二个阶段,引入了“一物一码”技术,让葡萄酒从原厂到消费者手上的过程都是有痕迹记录的。按道理应该说,这个做法本身已经足够安全了,但实际上却是“道高一尺,魔高一丈”——葡萄酒的二维码被破坏之后,那你就读取不出来整个的信息流转了。


第三个阶段,我们现在和腾讯合作,把区块链技术应用于溯源和防伪。第一步我们想把400万瓶的我们国内7个酒庄的酒,零售价300多元钱以上的这样的产品来首先导入用区块链技术;第二步,进一步延伸到我们全球旗下大概有14座酒庄,20间工厂,1.8亿瓶的产品全部来部署上这个区块链。区块链技术对比之前我们的“一物一码”技术,最大的好处就是去中心化,这种多方记账完全透明可追溯。有了区块链技术之后,相信我们就彻底解决了防伪和溯源的问题,而这个问题它实际解决的是消费者对你的品牌的信心的问题,这个痛点解决了,可能会对我们的品牌带来极大的提升。


段钢: 感谢孙总的分享,酒类行业和区块链整合确实让人眼前一亮,可以看到张裕在数字化及安全方面的部局 。 作为依托互联网的企业,小红书的安全痛点和张裕应该截然不同。请周总为我们分享下内容社区眼中的安全挑战和成功案例。


周达:小红书作为一家互联网企业,安全和业务结合的会更加地紧密,小红书一直致力于,打造一个真实美好多元向上的社区环境,来创造我们的用户价值。在这个方向上,安全方面,我们会有两个主要大的着力点:


第一、就是我们业界所常说的内容安全,本质上是对于我们用户在平台上发布的视频、图片、文本等内容进行审核,保证其能够符合平台的价值观以及国家的相关规定;第二是比较大的挑战,我们称之为生态安全,生态安全本质上是用于构建我们的发布者、消费者、平台三方的平衡。我们要的不单是和平,我们要的是有尊严的和平。它是一个重点在可持续。


在这两方面呢,我们其实遇到了非常非常大的挑战。以内容安全为例,对于内容安全的规则、策略,其实非常地难以制定,如果我们制定得非常严,可能会对我们的消费者以及内容生产者产生比较大的打击,如果我们制定得非常松,就会导致大量的漏放,最终会触犯到国家的一些相关规定以及我们平台的价值观。如何在中间做一个平衡,就是我们平台需要承担的责任和压力。而在生态安全领域,我们主要的竞争对手是那些企图破坏整个社区生态平衡的那些黑灰产,以及在这些黑灰产背后的商业利益。


在解决这个问题上,我们和腾讯进行了一些深入的合作。以内容安全为例,我们引入了腾讯的AI相关的技术,来帮助我们去做内容的识别,由此审核的人力可以大幅地下降,机器代替了人。另一方面呢,我们审核的时效可以大大地缩短,因为机器对一篇文章,或者对一张图片的处理速度远高于人。在生态安全的方向上,我们会和腾讯去做一些在用户画像上的合作,将一些黑灰产的用户,在进入平台之前,就标识出来,那么就避免了他们对企业内部,或者说对社区平台内部数据的一些干扰,以此保障我们社区的数据安全。


段钢: 刚才孙总和周总是从企业的角度来看待数字化转型过程中面临的安全问题和解决方案。对于腾讯来说又是怎么看待这个问题的?请黎总谈一谈。


黎巍:当企业发展得越好,这个时候被这种黑灰产盯上的概率也是最大的。所以企业在数字化转型早期,面临的痛点可能还不是传统意义上的安全攻击、漏洞攻击之类的,而是它的业务安全挑战,腾讯在这方面感触尤深,也积累了很多经验和能力。最近几年我们看到企业在积极上云和数字化转型,腾讯也希望通过自身的积累去提供助力。


腾讯过往的积累下,从反欺诈到内容风控再到营销风控等等这几条线,我们逐渐从能力中提炼出了一些产品和解决方案,然后服务到各行各业。腾讯过去这二十多年走过的弯路、踩过的一些坑,帮大家争取能先去踩完,大家能够少走一些弯路,通过我们的一些能力和资源,能够去惠及到大家,让大家在数字转型的过程中,更多关注的是高效经营和运营,其它的安全问题都可以交给腾讯。


段钢: 再来问下蔡总,年初的疫情将在线办公推上风口,腾讯会议和企业微信在疫情间帮助很多企业度过了远程办公难关,能撑得起这么多流量,非常难得,安全需求也成几何倍增长,腾讯又是如何应对其中的安全风险?


蔡晨:今年的疫情让很多的企业和员工迅速进入到远程工作的状态,企业的IT部门和安全部门可以说是措手不及。传统的这种企业VPN在面对突发性事情的时候,它本身的扩容性是比较慢的,同时在支持海外网络访问或者中小运营商的这些场景下,它其实是有着访问速度、稳定性较差的痛点,除此之外大规模的员工的远程办公的话,会把企业传统的防护的安全边界给打破,很容易造成黑客的入侵和企业敏感信息泄露。


其实腾讯在2015年开始就已经在着手内部研发设计并且部署了一套基于零信任无边界的一套访问控制系统,代号iOA。这套系统打破了传统基于区域的这种安全授信的管控方式,提供了一个全新的基于可信的员工身份、可信的员工设备状态、可信的员工软件应用,根据这个三要素,进行访问资源的安全授权。通过这套系统的话,腾讯的员工是无论身处何地、何时、用何样的设备都能够安全稳定高效地访问到企业的内部资源。借助这iOA,在整个疫情期间,腾讯的IT部门只用了两天的时间,就完善地搭建了8个业务大的访问通道,给7万多员工提供了和在职场一模一样的这种工作环境。


段钢:  刚才张裕、小红书、腾讯分别分享了他们的安全实践,接下来请刘总帮我们从安全厂商的角度总结下。

刘斯宇:天融信作为一个专业的安全厂商,今年刚好是天融信成立了25年,在这25年期间,我们一直致力于一件事情,就是为客户的网络安全护航。现在安全的变化很大,在深度和广度方面都有很大的变化。


首先从广度上来看,以前安全覆盖的范围没有这么大。从《网络安全法》颁布之后,国家把网络安全上升到了国家安全的高度之后,开始把安全重视到了前所未有的高度,有了《网络安全法》,有了《网络安全等级保护条例》,我们可以看到安全的内容从范围、工作内容、业务范围都发生了很大的变化,以前看似和安全没有关系的业务内容,都开始与安全相互关系,说明现在安全已经开始涉及到了各个行业的各个形态。


在这个过程中,又提出了一些具体的深度方面的要求。从刚才几位嘉宾的分享可以看出,对于安全的要求开始结合到了实际业务本质上的需求,这已经不是法律法规所简单要求的一个覆盖性的范围,而变成由于企业自身安全所转化出来的需求,这个就推动了我们现在安全从被动转成为主动了。


段钢: 刚才听了几位嘉宾的实践分享,都是大家不同场景的安全需求和具体实践。刘总也帮我们做了一个总结,单一的安全产品很难解决数字化时代的安全需求。下面我们拓展一下视角,从行业的角度来观察,未来我们面对安全挑战应该怎么做。 首先还是看看孙总的想法 


孙健:站在行业来看,像张裕作为排在前面的企业,我们更应该做的是,怎么能够带动这个行业一起把蛋糕做大,因为葡萄酒本身自带健康属性国际最流行的饮品,中国消费者随着生活水平的提高,葡萄酒产业大有前景。我们未来的做法还是想在区块链这个技术上再做扩展。


在张裕内部应用区块链技术之外,我们还有和腾讯有个想法,一起我们来做更大的事情,包括我们让各个产区的监管部门参与进来,把他们的信息上链,这样就更多方的认证,我们甚至把国外的厂家也引入进来,因为区块链的好处就是越多的人来玩这个平台越大,我们实际上是要构建一个区块链的联盟平台。


在区块链技术的应用上,我们和腾讯的合作是中国葡萄酒行业的第一家,可能在国际上,也没有别的葡萄酒厂家在应用。我们和腾讯领御团队达成的共识是,我们不仅仅是要做第一家,我们是希望把它做成一个行业的联盟,做成一个全球的典范。


段钢: 谢谢孙总,希望传统企业和互联网企业的融合能成为一种常态,双方共建新生态。

内容社区的建设是持续并且长远的,周总这边的业务与安全紧密关联,也请周总分享下,面对新的环境,如何应对安全上的新挑战。


周达:随着业务的数字化,安全的内涵和外延也在确实不断地扩展。举个最简单的例子,以我们内容社区为例,如果我们把内容社区比作市场经济,那么它的供需关系是什么呢?就是由我们的内容发布者发布他们的内容,内容消费者去消费那些内容,在这个过程当中,平台起到的作用在市场经济中我们称之为invisible hands,我们做到一个市场调节的作用,去把需要的内容推给需要的用户,把需要的用户的反馈反馈给需要的作者。


但是市面上的刷量、炒作、虚假种草等黑灰产非常多,这是我认为一个比较大的挑战。在这样的挑战下,我们其实非常希望与腾讯这样的大型企业去进行合作,因为整个黑产的生态是一个非常大的产业链,很难依靠单家公司或者单家企业去防御,所以我们更多的是希望像腾讯这样的平台来牵头组建一个联防联控的体系或者联盟,把我们的防御阵地往前推,在任何一个点我们只要识别出这拨人是黑产,就可以在整个联盟体系内进行全盘的打击。


还有一点就是我们安全的领域要主动出击,要从以往被动的、耐受式的这种安全防护,要转向成反应式的安全防护,也就是说我们能够和像腾讯这样的企业去联合,然后把整个的证据链进行打通,能够更快地主动出击,去找到这些黑产,并且通过法律的手段,去解决这些存在的违法获利的行为,我相信这对于整个行业会是比较大的提升。


段钢: 面对新基建这个重大的课题,产业在数字化升级过程中未来将不可避免的面临更多的挑战,刘总从安全行业的角度跟我们分析一下,安全厂商应该如何应对。

刘斯宇:从安全企业来看,对我们而言是更多的责任。安全厂商经常提“安全前置”,腾讯也在提到一个叫“安全左移”的理念,这两个概念合到一起,其实在说什么?我们要先找到这个业务怎么去定义,定义它为安全和定义它为异常,只有把正常和异常定义清楚了,然后在这个过程中,我们才能有效地去检测。


安全企业一定要做好自己的定位,在这个定位过程中,我们要清楚一点是,我不是在教这些行业去怎么做业务,业务是每个行业自己的问题,安全在整个生态过程中是一个基石,它用来保障的是我们业务的稳定运行和可靠,所以在这个过程中,做好定位,才是解决新基建所面临的新场景、新问题的解决路径。


段钢: 腾讯企业IT部一直聚焦腾讯内部网络安全建设,蔡总从企业安全管理的角度看看有哪些建议可以分享给行业?

蔡晨:好的,在企业的内部网络安全建设和IT的基础架构方面,我认为未来零信任是一个大的一个趋势,它实行的理念就是从不信任,持续校验。零信任的全链路加密、集中的访问入口管控和审计、所有终端安全的动态持续的检测和跟踪,这都相对于传统企业内部安全防护有一个很大的提升和进步。


除此之外,我们还联合CNCERT、中国移动、公安三所等22家的产业机构一起成立了一个零信任的产业标准工作组。工作组还联合发布了一个基于零信任的实战白皮书,可以对很多典型的安全场景给出解决思路和解决方案。我们希望和欢迎产业中的伙伴,能够关注以及一起加入到这个零信任的工作组去,共同地推进零信任。


段钢: 我们都知道,在数字经济和新基建的推动下,企业上云已经是大势所趋,深受企业欢迎,帮助企业节约了大量人力和物力,那么作为腾讯云安全的负责人,黎总可以谈一谈应对新的形式,云上安全建设应该怎么做?

黎巍:现在不仅是一个中小企业,甚至一些规模很大的大型企业,都在积极拥抱云,我们看到现在有几个趋势,一个是数字化转型,它的一个加速,第二个是企业上云的一个加速;第三个的话,就是企业在数字化转型过程中,它必然会面对的就是安全的挑战。


对待安全大家的重视也都上来了,但是真正要让一个企业去构建一套完整的安全的体系,从它的人才、资源然后各方面的投入,其实是非常庞大的。对国内的很多企业来说,安全其实还是一种奢侈品。所以我们也一直在思考这个问题,怎么样去帮助我们的企业,大家能够更加高效更加便捷,当然也是更加实惠地去享用安全服务。


最近几年腾讯安全主要在致力于几个方面:


第一,按照木桶原理的话,云其实可以帮助大家把最短的那块板首先填起来。例如等保合规,企业上云以后,由于云平台的安全不需要你再重复去做大量的投入。


第二、上到云以后企业其实也会担心云安不安全。我们这几年在做的一个很重要的事就是云自身的合规建设,包括云自有的一个安全体系的建设,让我们的企业能够放心地把它的业务、设施能够交托给一个云厂商。


第三、一个企业无论是在私有云也好,公有云也好,进入到这种场景以后,难道我们还是像在过去一样你需要去买相应的产品你去构建吗?显然这并不是面向未来的方向。我们更希望把安全变成一种服务,企业需要的时候能够很便捷地开通。


我们更希望是最后提供给企业的是一个普惠的安全,把“奢侈品”变成我们最基本的“生活用品”,而不是说大家确实安全很重要,但是落到实处怎么做的时候,一算账很多企业觉得安全是承受不起的。


段钢:我觉得未来一个趋势,最终安全会走向普惠。从自身行业探讨今天的话题,在新基建加速国家数字化转型的浪潮下,未来将会有更多的企业和行业,进行数字化转型,其中,网络安全是整个基石,没有安全,整个数字化转型将不可能成功,数字化新生态的建设,需要传统企业还有互联网企业,以及安全厂商的共同努力,可以预见的是新生态将更加完善。



声明:该文观点仅代表作者本人,转载请注明来自看雪