9月5日-9月6日，以“智啟新機(jī)、云驅(qū)增長”為主題的2024騰訊全球數(shù)字生態(tài)大會(huì)（下稱“生態(tài)大會(huì)”）順利舉辦。在此次生態(tài)大會(huì)上，騰訊以“增長”為核心命題，提出了以智能化、國際化和智能創(chuàng)新來促進(jìn)增長。

在全球經(jīng)濟(jì)下行的當(dāng)下，追求增長是企業(yè)的一致目標(biāo)，但在增長的同時(shí)，如何應(yīng)對(duì)因技術(shù)突破和應(yīng)用創(chuàng)新帶來的安全風(fēng)險(xiǎn)以及因經(jīng)濟(jì)下行帶來的預(yù)算縮減、人才短缺等挑戰(zhàn)也成為企業(yè)需要解決的重要難題。在生態(tài)大會(huì)的數(shù)字安全專場，騰訊安全提出構(gòu)建可感知、可掌控、可增長的主動(dòng)安全建設(shè)框架。安在新媒體受邀參與主峰會(huì)及數(shù)字安全專場。

安全隨處可見

9月5日，筆者踏入了深圳國際會(huì)展中心。進(jìn)入展會(huì)會(huì)場后，諸多展臺(tái)映入眼簾，騰訊在產(chǎn)業(yè)互聯(lián)網(wǎng)布局的眾多產(chǎn)品以及行業(yè)、場景以及合作伙伴的重要技術(shù)成果均有展出。其中，安全成為眾多展臺(tái)重要的宣傳要素。

在“騰訊云出海服務(wù)”展位上，企業(yè)出海合規(guī)作為單獨(dú)一個(gè)板塊加以呈現(xiàn)。

在宣傳屏上顯示，企業(yè)在各類渠道收集的業(yè)務(wù)敏感數(shù)據(jù)，會(huì)在集成后共同上傳至騰訊云對(duì)象存儲(chǔ)COS的存儲(chǔ)桶，通過存儲(chǔ)桶的加密功能，企業(yè)可將這些敏感數(shù)據(jù)進(jìn)行內(nèi)容分發(fā)、數(shù)據(jù)備份等下一步處理。業(yè)務(wù)出海是近幾年企業(yè)業(yè)務(wù)增長的主要方向之一，騰訊云出海服務(wù)關(guān)注到了數(shù)據(jù)出境合規(guī)的各項(xiàng)要求，通過加密等一系列能力提供了數(shù)據(jù)安全保障。

在“騰訊云應(yīng)用開發(fā)與管理”展位中強(qiáng)調(diào)了騰訊云AI代碼助手這一功能。該功能不僅將編碼效率提升40%，還提供了審查代碼質(zhì)量、工程理解精準(zhǔn)問答等能力。

在開發(fā)安全中，代碼安全是開發(fā)安全中的重要一環(huán)，來自開源的代碼很有可能潛藏著安全隱患，通過騰訊云AI代碼助手則可以準(zhǔn)確發(fā)現(xiàn)其中的風(fēng)險(xiǎn)代碼，進(jìn)一步提高應(yīng)用開發(fā)與管理的效率和成果。

在“數(shù)字金融”展臺(tái)中，筆者看到了護(hù)航金融安全這一板塊。該板塊提到，針對(duì)金融安全，騰訊將布控“云防火墻”“Web應(yīng)用防火墻”“主機(jī)安全”和“數(shù)據(jù)安全”這4道防線，一體化提升公有云/私有云安全運(yùn)營效果。據(jù)了解，4道防線是騰訊云安全“4+N”體系的重要組成部分。

展會(huì)現(xiàn)場將安全單獨(dú)呈現(xiàn)的展臺(tái)還有很多，筆者不一一舉例。這些展臺(tái)的呈現(xiàn)一方面反映了騰訊數(shù)字生態(tài)始終關(guān)注安全的作用和價(jià)值，另一方面也印證了今年生態(tài)大會(huì)數(shù)字安全專場的主題：看得見的安全。

“看得見”是安全下一階段的標(biāo)志

9月6日上午，數(shù)字安全專場準(zhǔn)時(shí)召開。來自騰訊、IDC、同程、上汽等安全專家圍繞“看得見的安全”展開了分享。在實(shí)際的企業(yè)環(huán)境中，安全往往是最容易被忽視的領(lǐng)域之一。很多企業(yè)決定建設(shè)安全的起因要么是受到合規(guī)處罰，要么是遭遇安全事件，缺乏主動(dòng)驅(qū)動(dòng)力去建設(shè)和關(guān)注安全。

導(dǎo)致這樣的原因有以下幾點(diǎn)。首先是安全意識(shí)不足。企業(yè)管理層經(jīng)常會(huì)陷入誤區(qū)，將網(wǎng)絡(luò)安全歸類為技術(shù)層面的工作，抑或是認(rèn)為其會(huì)影響業(yè)務(wù)發(fā)展，員工也會(huì)因安全意識(shí)不足而忽略安全的作用。

其次是安全過于復(fù)雜。在數(shù)字化轉(zhuǎn)型的過程中，企業(yè)無法避免地會(huì)接觸到網(wǎng)絡(luò)、云、大數(shù)據(jù)等要素，隨之而來的安全風(fēng)險(xiǎn)五花八門，所需要的安全技術(shù)也復(fù)雜多樣。從市場來看，安全市場領(lǐng)域繁多。據(jù)安在新媒體發(fā)布的“2024中國網(wǎng)絡(luò)安全產(chǎn)品用戶調(diào)查報(bào)告”顯示，網(wǎng)絡(luò)安全產(chǎn)品覆蓋7個(gè)領(lǐng)域，160個(gè)子類（不完全統(tǒng)計(jì)）。這些復(fù)雜的安全產(chǎn)品導(dǎo)致企業(yè)在建設(shè)安全的過程中，不僅需要考量安全技術(shù)的效果，還提升了安全運(yùn)營的難度。很多時(shí)候，企業(yè)只能在損失發(fā)生后，才能意識(shí)到安全的重要性。

最后是成本過高。因安全效果難以量化，企業(yè)很難準(zhǔn)確把握安全的投資回報(bào)比。與此同時(shí)，隨著企業(yè)數(shù)字化進(jìn)程的加深，建設(shè)安全的成本與日俱增。此前，拜登政府公布2025財(cái)年預(yù)算申請(qǐng)，聯(lián)邦政府將投入130億美元用于增強(qiáng)網(wǎng)絡(luò)安全，相對(duì)的，攻擊者的攻擊支出僅需10美元。出于發(fā)展的考量，部分企業(yè)僅將安全維持在合規(guī)紅線，忽視安全的價(jià)值。

然而，在增長成為企業(yè)發(fā)展的主旋律，過去對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)和態(tài)度也要發(fā)生變化。對(duì)此，騰訊集團(tuán)高級(jí)執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示，當(dāng)技術(shù)突破和應(yīng)用創(chuàng)新成為企業(yè)普遍追求的二次增長曲線、當(dāng)數(shù)據(jù)成為貫穿企業(yè)業(yè)務(wù)環(huán)節(jié)的血液，就不能再以被動(dòng)思路來建設(shè)安全，而是應(yīng)當(dāng)建立一套可感知、可掌控、可增長的主動(dòng)安全建設(shè)框架。IDC中國區(qū)總裁霍錦潔也表示，越來越多企業(yè)通過數(shù)字化來引領(lǐng)創(chuàng)新，安全成為企業(yè)持續(xù)增長的前提和基石。

騰訊集團(tuán)高級(jí)執(zhí)行副總裁 云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生

可感知、可掌控、可增長的安全架構(gòu)

想要使安全可以被看見，不僅需要從意識(shí)上提高對(duì)安全的重視，還要從框架上對(duì)安全加以改變。對(duì)此，騰訊安全圍繞可感知、可掌控、可增長提出了一套主動(dòng)安全建設(shè)框架。

可感知指的是建立主動(dòng)、前瞻的安全情報(bào)體系。威脅情報(bào)是企業(yè)實(shí)現(xiàn)主動(dòng)安全的必要元素，通過威脅情報(bào)，企業(yè)可發(fā)現(xiàn)與業(yè)務(wù)相關(guān)的風(fēng)險(xiǎn)類型，并圍繞其建設(shè)針對(duì)性的安全能力，化被動(dòng)為主動(dòng)。

可掌控指的是建立多級(jí)立體的防御體系?？v深防御一直是企業(yè)對(duì)抗網(wǎng)絡(luò)安全威脅的主要防護(hù)策略，然而，隨著內(nèi)部風(fēng)險(xiǎn)的提升以及權(quán)限在網(wǎng)絡(luò)安全對(duì)抗中的重要性，僅依靠縱深防御無法全面、有效地提高企業(yè)安全性。因此，多級(jí)立體的防御體系可以在面對(duì)入侵時(shí)，逐級(jí)降低安全風(fēng)險(xiǎn)，掌握攻防對(duì)抗主動(dòng)權(quán)。

可增長即構(gòu)建基于行業(yè)場景的業(yè)務(wù)安全能力。想要實(shí)現(xiàn)價(jià)值以及更好地保障企業(yè)安全，就需要讓安全與業(yè)務(wù)進(jìn)一步貼合。傳統(tǒng)的、外掛式的安全建設(shè)方法無法更好地貼近業(yè)務(wù)，也就無法平衡安全與增長。在現(xiàn)階段，安全不應(yīng)該僅僅成為“防線”，而是要成為生產(chǎn)力。

那么，如何讓企業(yè)更好地實(shí)現(xiàn)主動(dòng)安全，進(jìn)一步提高安全的“可見性”呢？霍錦潔表示，據(jù)IDC的研究表明，構(gòu)建云原生安全體系可有效抵御網(wǎng)絡(luò)攻擊。因此，騰訊安全在此次分會(huì)上首次公開騰訊云平臺(tái)自身安全建設(shè)框架，并發(fā)布了騰訊云安全“4+N”體系。

騰訊云平臺(tái)自身安全建設(shè)框架

騰訊安全副總裁、騰訊云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)表示，目前，騰訊云在全球維護(hù)超過150萬臺(tái)服務(wù)器、各類云服務(wù)云資產(chǎn)總量超過1.4億。在積累了多年的云安全治理實(shí)踐后，騰訊安全已經(jīng)建立起一套行之有效的云平臺(tái)高安全等級(jí)架構(gòu)。

據(jù)董志強(qiáng)介紹，當(dāng)前企業(yè)所面臨的問題和挑戰(zhàn)主要來自四個(gè)方面。首先是資產(chǎn)與數(shù)據(jù)。海量的數(shù)據(jù)正在源源不斷地匯入企業(yè)，如何處理和保護(hù)好這些資產(chǎn)和數(shù)據(jù)成為企業(yè)需要解決的第一個(gè)挑戰(zhàn)。第二是管理機(jī)制與業(yè)務(wù)關(guān)系，安全與業(yè)務(wù)的關(guān)系在近年來屢屢被提及，既要滿足業(yè)務(wù)發(fā)展，又要覆蓋合規(guī)要求是企業(yè)的第二個(gè)挑戰(zhàn)。第三是新技術(shù)與業(yè)務(wù)架構(gòu)，包括云計(jì)算、AI和大數(shù)據(jù)等技術(shù)正在成為企業(yè)數(shù)字化進(jìn)程的支柱，而新技術(shù)所帶來的新安全威脅則成為企業(yè)需要應(yīng)對(duì)的挑戰(zhàn)之一。此外，受安全左移思想而提出的DevSecOps正在改變企業(yè)的業(yè)務(wù)架構(gòu)，如何在改變的過程中兼顧安全性也成為企業(yè)的安全挑戰(zhàn)。最后是網(wǎng)絡(luò)空間態(tài)勢，隨著AI大模型等技術(shù)的普及，網(wǎng)絡(luò)安全整體態(tài)勢愈發(fā)嚴(yán)峻，持續(xù)攻擊和對(duì)抗成為常態(tài)，建立起對(duì)應(yīng)的安全防護(hù)是企業(yè)安全工作的關(guān)鍵。

董志強(qiáng)表示，網(wǎng)絡(luò)安全已經(jīng)進(jìn)入了下一個(gè)階段。他闡述了過去的理念和誤區(qū)，包括網(wǎng)絡(luò)安全是技術(shù)層面的事情、安全工作影響業(yè)務(wù)發(fā)展、合規(guī)驅(qū)動(dòng)的安全等等，也提出了今天的安全環(huán)境變化，例如網(wǎng)絡(luò)安全是業(yè)務(wù)成長和組織發(fā)展的命脈、安全伴隨業(yè)務(wù)共同成長，創(chuàng)造價(jià)值、合規(guī)驅(qū)動(dòng)、價(jià)值驅(qū)動(dòng)、風(fēng)險(xiǎn)驅(qū)動(dòng)等等。

通過對(duì)比上述的挑戰(zhàn)和變化，騰訊安全總結(jié)了現(xiàn)代云安全的十條基本原則。包括安全與組織戰(zhàn)略一致；與業(yè)務(wù)建立伙伴關(guān)系；可量化的安全ROI和KPI；“全員安全責(zé)任制”；輕量框架、動(dòng)態(tài)流程，伴隨業(yè)務(wù)發(fā)展而迭代；數(shù)據(jù)驅(qū)動(dòng)，指標(biāo)驅(qū)動(dòng)；“零信任”原則，最小權(quán)限，特權(quán)分離；“假設(shè)損失”原則；進(jìn)行實(shí)效性驗(yàn)證，持續(xù)驗(yàn)證、多層驗(yàn)證；默認(rèn)安全、自動(dòng)化、智能化。

董志強(qiáng)表示，“網(wǎng)絡(luò)安全是一個(gè)業(yè)務(wù)和組織發(fā)展的命脈，我們要把安全和組織的命運(yùn)聯(lián)系在一起。以往的觀念認(rèn)為安全建設(shè)要盡善盡美，既然已經(jīng)有所投入了就應(yīng)該有兜底的能力、應(yīng)該不出事，實(shí)際不是這樣的，安全是一場無限戰(zhàn)爭，我們要在有限成本上做假設(shè)損失的原則?！?/p>

在得出這樣的結(jié)論后，董志強(qiáng)披露了騰訊云安全治理架構(gòu)。最上層的CEO等C-Level領(lǐng)導(dǎo)層負(fù)責(zé)安全與戰(zhàn)略對(duì)齊。業(yè)務(wù)負(fù)責(zé)人和安全負(fù)責(zé)人負(fù)責(zé)安全與業(yè)務(wù)的集成和安全策略、流程和文化的制定。架構(gòu)師與技術(shù)Leader則需要提供安全架構(gòu)和保護(hù)框架以及模塊化治理結(jié)構(gòu)?；A(chǔ)的研發(fā)與運(yùn)營團(tuán)隊(duì)需要實(shí)現(xiàn)技術(shù)控制與持續(xù)運(yùn)營流程。

此外，董志強(qiáng)還分享了騰訊云平臺(tái)防護(hù)總體架構(gòu)以及各項(xiàng)高等級(jí)云安全架構(gòu)實(shí)踐工作。他表示，通過騰訊云安全治理架構(gòu)，騰訊云真正實(shí)現(xiàn)了讓安全“看得見”。目前，騰訊云安全團(tuán)隊(duì)每天需要應(yīng)對(duì)超過800起風(fēng)險(xiǎn)事件，每一起的平均檢測研判時(shí)間在4分鐘，45分鐘內(nèi)分析溯源并且完成對(duì)攻擊行為的阻斷遏制，有效地保障了云上百萬用戶的業(yè)務(wù)安全。

騰訊云安全“4+N”體系

在此次分會(huì)上，騰訊安全還提出了騰訊云安全“4+N”體系。上文提到，騰訊在保障金融領(lǐng)域的安全時(shí)，已經(jīng)實(shí)踐了“4+N”體系，并得到了實(shí)際的反饋和效果。對(duì)此，騰訊安全副總裁方斌表示，云是企業(yè)數(shù)字化的核心載體，各行各業(yè)對(duì)于云安全有共性需求。“通過4+N體系及后續(xù)推出的安全價(jià)值評(píng)估模型，可以幫助企業(yè)定量評(píng)估安全建設(shè)投入價(jià)值，讓企業(yè)安全‘看得見’、‘可量化’、‘算得清’?！?/p>

相對(duì)于“看不見”的安全，方斌認(rèn)為風(fēng)險(xiǎn)是直觀可見的。一方面，來自外部的攻擊事件越來越多，據(jù)騰訊安全統(tǒng)計(jì)，2024上半年全網(wǎng)漏洞爆發(fā)2萬+，真實(shí)修復(fù)率低于7%。與此同時(shí)，騰訊云攔截攻擊同比增加71.38%，攔截攻擊者同比增加了13.12%。另一方面，騰訊安全提出外部攻擊強(qiáng)度正在提升，攻防演練正走向常態(tài)化、實(shí)戰(zhàn)化，被突破風(fēng)險(xiǎn)提升。然而，與外部威脅對(duì)比的企業(yè)安全現(xiàn)狀卻岌岌可危。企業(yè)安全意識(shí)薄弱、安全戰(zhàn)略被動(dòng)、安全人才不足都是引發(fā)企業(yè)風(fēng)險(xiǎn)的重要因素。

在看得見的風(fēng)險(xiǎn)下，企業(yè)應(yīng)該如何建設(shè)安全？對(duì)此，方斌表示，安全基礎(chǔ)建設(shè)和數(shù)字化收益就是1和0的關(guān)系，安全就是一串?dāng)?shù)字前面的1，沒有1，無論后面有多少個(gè)0都是無效的。因此，騰訊提出云上安全建設(shè)“4+N”防護(hù)體系，旨在開放基于自身多年實(shí)踐的“騰訊級(jí)”安全能力，幫助各行各業(yè)企業(yè)用戶更有效地打造適配自身需求的數(shù)字安全體系。

“4+N”防護(hù)體系中，4指的是“云防火墻”“Web應(yīng)用防火墻”“主機(jī)安全”和“數(shù)據(jù)安全”。對(duì)此，方斌表示，在企業(yè)云安全建設(shè)中，幾乎所有企業(yè)都會(huì)面對(duì)共性的基礎(chǔ)安全問題，如攻防演練、復(fù)雜攻擊、挖礦勒索、防爬防薅、等保合規(guī)、批量攻擊等。針對(duì)這些共性問題，騰訊提出的4道防線可以解決批量攻擊、合規(guī)、安全運(yùn)營、復(fù)雜攻擊問題。

N則針對(duì)不同行業(yè)所具備的個(gè)性化業(yè)務(wù)場景，如金融行業(yè)的交易信貸反欺詐、電商行業(yè)的營銷流量風(fēng)控、出行領(lǐng)域的車聯(lián)網(wǎng)安全以及零售領(lǐng)域的黃牛防刷及品牌打假等等。用戶可根據(jù)自身的業(yè)務(wù)場景和安全需求，選擇個(gè)性化的解決方案，為業(yè)務(wù)發(fā)展“增”值“提”效。

基于騰訊云安全“4+N”體系，騰訊安全還在4道防線上集成了一些獨(dú)家優(yōu)勢。例如實(shí)現(xiàn)了云安全產(chǎn)品與騰訊云、微信等騰訊系產(chǎn)品聯(lián)動(dòng)，以及基于AI能力實(shí)現(xiàn)風(fēng)險(xiǎn)自動(dòng)化處置等等。目前，騰訊的4+N體系已幫助各行業(yè)多家企業(yè)構(gòu)建起可助力業(yè)務(wù)增長的安全能力。

結(jié)語

一直以來，騰訊安全始終關(guān)注企業(yè)的安全需求和安全的價(jià)值體現(xiàn)。

此前，騰訊安全倡導(dǎo)安全要“化繁為簡”，提出了一鍵式的安全運(yùn)營中心和簡約集成的安全架構(gòu)等等。而現(xiàn)在，騰訊安全則強(qiáng)調(diào)安全要“化虛為實(shí)”，通過增強(qiáng)安全在企業(yè)中的“可見度”來進(jìn)一步提升和優(yōu)化安全能力，確保企業(yè)在數(shù)字化進(jìn)程中能夠平衡發(fā)展與安全。

在經(jīng)濟(jì)下行和惡劣安全環(huán)境的共同壓迫下，讓安全顯形成為企業(yè)提高安全能力的重要舉措。包括騰訊安全在內(nèi)的安全供應(yīng)商們，也應(yīng)該通過各種產(chǎn)品和策略，幫助企業(yè)打出“破隱一擊”，讓安全更具價(jià)值，讓風(fēng)險(xiǎn)無處遁形。