1. 首页
  2. 生活

万字长文解读:腾讯安全的布局、生态、探索与愿景 门字的演变过程图解释

当前,数字经济正以前所未有的速度汹涌而至,网络安全也正以不可遏止的趋势扶摇直上。面对愈发复杂的安全局势,安全生态如何共建?数据安全如何解决?业务安全痼疾如何拔除?云原生安全、隐私计算、零信任等新技术理念如何落地……成为安全领域备受关注的焦点。

当前以及可见的未来,安全问题复杂多端。单打独斗已无法适应安全发展新趋势,因此需要集思广益,群策群力。故而在11月3日于中国光谷科技会展中心举办的2021腾讯数字生态大会上,腾讯安全的相关业务负责人深度解析腾讯安全当前技术研发与思路理念,以期引发众多参会安全业者的思维碰撞,共同推动安全行业美好发展。

在大会演讲环节,腾讯副总裁、腾讯安全总裁丁珂以“安全共建,捍卫美好”为主题,针对数字时代的安全建设新思路、新实践、新使命进行了分享。他指出,安全是数字经济健康可持续发展的基础保障,也是企业迈入数字时代的 “必答题”。

腾讯安全副总裁方斌围绕云原生安全在智慧城市建设中的价值发表演讲,分享了腾讯安全为数字武汉建立城市纵深防御体系的实践。

腾讯安全副总裁黎巍则介绍了腾讯安全首次披露的“业务安全全景图”,通过四大核心AI风控能力和覆盖七大风控场景的解决方案,为企业的数字化转型过程中的业务安全保驾护航。

由此可见,在整个社会踏入数字时代的安全新形势下,腾讯安全正默默发力,潜心研发,为数字经济这座大山打造坚实的基石,也未安全产业建造更美好的生态。

与此同时,我们也不由思考,在新时代的网络安全局势下,实力强大如腾讯安全,都居安思危、积极跟随时代,那么整个安全行业应当构建一种怎样的安全生态,安全企业应当具备怎样的理念与能力,眼下需如何考虑,未来该如何谋划,都是值得审视思考的问题。

在大会专访环节,丁珂、方斌、黎巍均开诚布公,对外系统性披露了腾讯安全在新形势下的使命愿景、战略布局、生态建设以及对于各个热点安全领域的观点和实践,并描述出了腾讯安全“一起,捍卫美好”的远大愿景。

新安全形势下的使命愿景与转向

任何一家企业,都需要对当前宏观和微观局势拥有相对精准的分析与预判,如此方能知道自己的使命与价值,才能更好地服务于客户,服务行业,进而推动安全生态体系的建设和社会的发展。

丁珂说,从2018年开始,腾讯安全和腾讯云一起面向产业互联网,至今已近三年时间,掐指一算约莫1000天左右。在这过程中,腾讯安全把之前的核心能力厚积薄发,尤其是在账户、攻防、威胁情报等方面的能力,做了精深的提炼;在整个生态体系上,把服务落实到产品差异化、服务标准化以及量化方面,也投入甚深。

其间,腾讯安全目前已经服务了18个行业,产品形态上已经能够覆盖到几大类:

第一是强痛点类,比如勒索软件等,在体系化上面有非常好的图谱;

第二是整个系统化综合管理类的产品,比如腾讯安全的SoC;

第三是云原生安全相关的产品;

第四是基于安全衍生出来的业务安全产品,比如流量风控、内容风控等方面的服务。

作为腾讯安全的负责人,丁珂最近也有很多思考,尤其是在新形势下,思考整体安全的使命跟愿景。他最大的感触是,随着社会的进步跟发展,消费互联网到产业互联网的转化,在这个时代和时间点,我们正在经历着一种底层价值观,可以说潜移默化、积累很久、表现形式又很猛烈的一种转换。

丁珂强调,腾讯安全的产品和服务,尤其是把这么多年来积累的能力在产业中落地的过程中,会更多地去关注一些社会责任,从以前把自己产品做好,逐步走向能够帮助行业做更多的价值输入,承担更多的社会责任。

对此,丁珂举了一个例子。今年8月5日,腾讯安全正式对外发布战略新品——腾讯安心平台。该平台基于腾讯在一物一码、区块链等前沿技术领域的积累和探索,结合二十多年的黑灰产对抗经验和安全能力沉淀,致力于帮助企业实现从商品生产过程、流通过程、营销过程的全链路数字化管理,为每一件商品定制专属“身份证”,让商品全流程“来源可追、去向可查”,增溢品牌价值,降低消费者鉴别甄选商品门槛,助力市场监管升级。

丁珂认为,腾讯安全以前更侧重核心能力的体现,即自我价值实现,团队的价值实现,以后将演变成更多的考虑如何向担责、利他的方向发展,这也是腾讯安全这个阶段在服务形态、产品、生态合作等方面重点突破和提升的底层逻辑。

在丁珂的言谈中,“安全共建”频繁提及。那么,有着竞争关系的腾讯安全与其他安全厂商,究竟如何“共建”?

丁珂认为,目前腾讯与许多安全厂商确实有着很多合作。

首先,腾讯安全产品化路径从一出生开始就走了差异化选择,主打云原生产品。腾讯是云厂商,最初是服务公有云安全,最初就没太跟行业竞争。腾讯安全拓展的并不是传统安全市场,而是致力于拓宽安全边界,构建安全生态,与安全厂商一起看到安全市场的增量,自然有着良好的合作基础。很多项目中,因为建设规模大、时间紧、任务重,也正大规模使用合作伙伴的产品,需要共建一起把客户安全做好。

其次,在许多传统产品中,既然有人做了,腾讯安全便没有必要再去做,安全毕竟是一个进化的过程。有一些场景,合作伙伴比腾讯安全更适合去做。腾讯安全会挑战那些最难的、需要长期投入、长期建设的安全技术。

丁珂格外强调称,腾讯安全的愿景是“一起,捍卫美好”。对于这个愿景,腾讯安全内部讨论了很多轮,认为真正打动人心的使命必定是走心的,而不是走脑的。比如把数字生活、智慧智能、高新科技等名词设定一大堆后,很难得到普遍的共识。所以腾讯安全一定找一个走心的方式来讲述自身使命,那会把修饰词减得特别少,那么该删除哪些词汇,选取哪些词呢?

首先选取的是“共建”。在腾讯内部,腾讯安全跟云、微信、IEG、游戏一起;在外部,延展出去跟生态持续的合作。腾讯和其他公司的差异就是“共建”。产业共建面向未来的安全建设,或许是一条必经之路。至于如何走好这条路,可以从“安全厂商与客户共建、企业业务发展与安全共建、安全生态共建”三个层面推进实践。

其次选取的是“捍卫”。觉得用其他词汇,比如守护、守卫等,不能显示腾讯安全实力之强。同时“捍卫”也表达了一些理工钢铁直男的性格,蕴含了腾讯安全人的理想、信念、执着等情绪。

最后选取的是“美好”。做安全需要精益求精,腾讯安全聚集了许多顶级安全人才,在聚集的过程中发现,能力越强,责任感或三观要求越高。因为同样的能力,正邪一念之差会带来截然不同的后果,所以安全一定要以美好的愿景来驱动;此外,数字经济追求的是经济高质量可持续性的发展和老百姓的获得感幸福感,所以需要怀有美好的信仰,相信走高质量发展道路,真的有美好未来,才能对抗一些不确定因素。

因此,“一起,捍卫美好”,腾讯安全团队共识了这六个字。但丁珂觉得,腾讯安全和所有其他安全厂商使命最大的差别,反而是最不起眼的“一起”两个字”

腾讯安全新技术新理念解读纵谈

一千天,不长不短,但对于安全行业,却有着风起云涌的变化。

新的技术浪潮,无论是大是小,都必然会带来新的威胁。零信任、区块链、云计算、人工智能、大数据、物联网、生物识别、无人驾驶、智慧城市、元宇宙等概念,不断冲击着安全领域的边界,让安全疆域飞速向外拓展,技术也随之不断迭代更新。

黑客与黑产也正飞快更迭手中的技术手段,一千天的时间,也能让你见识过许多安全技术的诞生与消亡。回头望去,曾经风靡全球的诸多安全技术与理念,都已经丢进了故纸堆里,成为历史的记忆。很多时候,你即将解决一种新的威胁,尴尬的是这威胁本身却即将过时。

由此可见,安全变化往往让人猝不及防。因此,腾讯安全也一直在孜孜不倦地钻研着安全新技术,对安全形势的变化保持着高度的敏锐与预判。当下,腾讯安全致力于哪些方向,攻研哪些技术,丁珂、方斌、黎巍在专访中均给出了详细的答案。

一、当前数字化与数据安全需如何着手?

数字时代,数据已成为国家的战略资源、企业的关键资产与个体的人格表征。

此外,“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”已经成为“第十四个五年规划和2035年远景目标纲要”。今年9月1日起正式施行的《数据安全法》和11月1号正式落地的《个人信息保护法》,更是从国家层面划定了数据安全的红线。

事实上,我国这些年来,各行各业都发展得相当快,各种转型与转换也正剧烈进行。尤其是去年疫情过后,企业机构数字化转型步伐正在加速,因为越来越多的企业机构意识到,数字化是数字时代势在必行的趋势,一定程度上,可以增强企业机构灵活变通、抵御风险的能力。

但是,数字化道路并非平坦大道,涉及到人员的观念转变、工作模式的转换等问题,尤其是核心数据安问题,更是让人望而生畏。并且,企业机构在安全上的投入势必要加大,必然带来一些额外的成本支出等等问题,都成了数字化转型道路上的拦路虎。

在丁珂看来,目前行业的不均衡特别明显,头部行业和腰部客户在信息量或业务打开之后,知道数据化走下去可能会有什么样的投入,也会面临什么样的风险,反而加大对安全上的投入比重,就越来越坚定。

丁珂也接触到像制造业的一些腰部和尾部客户,他们还处于一个认知状态,这个状态还不是那么稳定。尤其是小企业,信息量没有那么强,但总的来说,大趋势是头部企业的解决方案和处理方式,必将成为引领者,必将会在各行各业作为一个标杆,一层一层的引导带动下去。

所以对数字化和上云,丁珂个人判断这是非常正面的一个大趋势。在公有云,像金融行业、政企行业,包括工业、农业在公有云上面,反而安全的比重更高,因为在公有云上,可以把整个基础设施交给云服务商。

在安全投入比重层面,丁珂认为,如果自己的运营团队比较强,安全投入的比重会小一点,大概在5%左右,能有5%-7%之间的投入,就可以有非常好的效果。像有一些专网领域,比如做数字政府,利用公有云技术做一些专有云。在专有云里面,一般各行各业的安全投入,如数字城市、政府类,安全投入是在10%甚至以上的比重,金融行业会稍低一些。

事实上,随着建设周期拉长,比如二期、三期之后,安全建设的侧重点就会发生变化,但它投入的阶段不一样,可能一期更多的是投一些基础性的安全,二期、三期更是面向一些业务性的安全和成长性,数据安全等方向上。

就腾讯安全自身而言,从2018年9月30日到现在,腾讯一路走来都是天然的数字原生状态,从源头上处理好数据安全的问题,拥有丰厚的实践经验与方法论。

如今,各行各业都会碰到安全层级化的问题,单说数据安全问题,丁珂感触特别深,因为数据涵盖的问题和适用场景跨度特别大,对此,丁珂观察了很多客户,提出以数据为驱动,把业务发展和数据安全共建,并总结了一套数据资产价值的五层模型,即数据资产马斯洛模型。

(腾讯安全提出“数据资产马斯洛模型”)

丁珂介绍道,理论上,数字的价值越往上越高,第三层是特别重要的分水岭。下面两层主要面对企业自主可控的生产物资、生产资料和生产流程环节。第三层以上就转变到了与用户行为数据开始强交互,数据一旦跟用户行为相关,就会带来更高的安全要求,面临更大的压力,涉及到企业顶层怎样去建设、怎样去使用的高度决策。

在用户数据流转过程中,需要特别重视价值双赢,重视合规,而且在挖掘价值的同时,需要有一些强技术的支持。数据不落地的场景下,在面临较强约束的情况下,整个产业怎么样能够共同挖掘出面向未来的数字化产品的价值。

目前,行业中关于数据安全处理存在很多流派,有一个流派认为可以把用户的数据全部存储,丁珂认为这绝对不可能。从他的经验来看,大多企业有所为有所不为,不会碰触用户的内容数据。

在很多领域,比如新零售领域和工业领域中,数据多为货物流转和工业传感器数据,每年数据量都翻番,这些是属于生产资料的数据。如果企业数据跟用户行为数据发生联动,比如像一些酒店业、文旅业、汽车、新零售、快消品的线上销售等,都与用户数据高度相关,那便会涉及到《个人信息保护法》定义的范畴。

因此数据架构层面,底层逻辑相当清晰,应是守法合规、有尺度有原则地挖掘行为数据的价值,最小范围回溯。针对敏感数据、隐私数据等,有着严格的识别和判断处理系统,这一层面腾讯安全做得非常成熟。

在这方面,在政府和管理机构以及法律要求的需求下,腾讯安全更多的是提供实践经验和有效工具,可能没那么偏商业化,而是在可执行落地方面的一些尝试,去向产业输出。从产业或者企业的角度而言,腾讯安全特别注重产业安全,尤其是供应链安全风险会带来特别大的问题,在大企业尤其是央企国企领域,会碰到很多与数据安全相关的问题。

所以,腾讯安全现在的数据产品,并不意味着非常完善和代表未来,但是至少现在在起步和在解决自查、合规等方面,已经给外界输出比较多的能够快速上手的一些能力。在此过程中,腾讯安全也会长期把内部的优秀实践,做到可视化、智能化、联动化推向用户市场。丁珂特别强调,如果客户用户不能“一键”用起来的产品,其实都不是好产品。

丁珂看到,数据安全必然也是未来爆发的领域,但会是一个阶段性的爆发过程。他的理解和判断认为会从数据中台类产品、数据合规、数据隐私保护、关键数据识别、数据审计等方向先爆发起来,慢慢才会到真的数据化产品安全怎么做。

二、零信任理念落地有何应对思路?

随着互联网科技和数字经济迅猛发展,数据网络安全问题愈发凸显。为了解决网络安全难题,全球各国均在探索解决方案与技术理念。

其中,“零信任”概念脱颖而出,尤其是自2019年开始,呈爆炸式规模发展。而彼时,即2019年7月12日,美国国防部发布的《国防部数字现代化战略》附录中列出的在国防领域有应用前景的技术中,将零信任安全作为了优先发展的技术之一。

在零信任技术层面,市场上拥有诸多安全厂商的解决方案。腾讯安全同样钻研零信任理念数载,在介绍零信任解决方案上,丁珂选取了供应链安全作为典型案例予以讲述分析。

目前,供应链安全跟产品线对应的为零信任范畴,目前主要提供给央企国企或大产业,共有四个环节。

第一:“接”。比如疫情之后,传统企业VPN管理效率实在太低,多终端在各种网络环境下接入,有大量的远程办公需要。很多客户还要面对分布式的办公需要,小到快递员,大到很多分布式的货场、零售点的接入,都会对企业管理造成很大困扰。对于这块痛点,腾讯安全在零信任范畴里结合身份安全是技术上的一个创新,最近顺丰、华润都有应用腾讯零信任的技术。

第二:“防”。这个环节,主要解决的是员工接进之后,到底怎样授权,怎样判断正常行为和异常行为。

第三:“管”。很多企业终端,例如大型企业动辄一个厂几百万终端接入。传统IT安全防护思路不太能够满足要求。如果有一个漏洞,怎样快速将系统升级?“管”也是一个新课题。

第四:“控”。大安全新形势下,安全永远是动态的,对抗时刻发生,碰到新兴安全问题,则要下发安全策略,腾讯安全的安全策略就是控。

丁珂介绍道,这四段思路即接、防、管、控。不管是在政策层面的应对,还是在未来长期的成长需要都有必要。如今黑产也非常勤奋,有时一个新的法律实施,黑产有各种办法逃避,但企业为了适应法律要求,反而有一段时间会束手束脚。零信任则是一个很好的应对思路。

三、云原生安全一定比传统安全更安全?

近期以来,云原生安全是一个炙手可热的词汇,与智慧城市、企业数字化等息息相关。此外,云原生安全也是腾讯安全的主打安全理念。那么,云原生安全究竟有多安全呢?

腾讯安全副总裁方斌从技术应用层面,认为云原生与传统安全不同之处在于,后者可能在边界物理网络有网络防火墙,有IPS、IDSS设备去做相关内外组合。但是现在云的虚拟化,一个物理主机上都有多个虚拟主机,边界跟过去边界完全不一样,云租户可能都是以虚拟机、容器和微服务去做边界和做细分,云原生必须要解决这些细分带来的场景问题。

对比传统安全,云原生安全拥有四大优势:

第一:易部署。云原生安全部署不需要像以前硬件的部署,可能软件一键开通就部署完毕,而且它跟云结合一个最大的优势就是,它除了不安装部署之外,还有物理上并行,逻辑上串联,一旦在物理上出问题,并不会影响业务正常的运转;

第二:按需弹性。以前买一个盒子,能支持多少带宽和支持多少QBS,现在就是按需购买,可以扩展。比如支撑一个“双十一”,之前就要部署很多硬件,但若业务到不了,很多部署就会浪费。但现在按需扩展,业务到了那个点,在云上根本不需要大规模扩展硬件。比如央视做直播时只是直播量上来了,直接弹性即可扩展开来。云安全也一样,弹性资产和流量可以纳入腾讯安全的安全范围保护之内,这是弹性安全。

第三:一站式运营优势。因为云原生产品可以从端点到网络,再到安全管理去打通一体化运营。比如发现外网异常连接,云原生一体化运营即可快速定位到可能是哪个CVM虚拟主机里面引起。如果安全设备都由不同厂商提供,这种关联动作实现的门槛会更高许多。所以由一家提供的原生性接口,会让安全产品联动更方便,同时还可以应用到云平台的优势。比如发现受到云攻击,可以用云平台主机管理的方式,而不是传统安全的方式来去解决风险问题。所以一站式运营,横向是安全产品,纵向是安全和平台之间一站式运营的优势。

第四:提升安全敏捷性与智能性。云原生的DevOps的模型,会让整个安全的敏捷性或智能性会比以前更好。

而在丁珂看来,云原生安全是被环境逼出来的。传统企业安全有内网和外网建设的概念,但企业一旦把自己封在这个体系中,往往就会不堪一击。腾讯安全在实践上有诸多案例,客户也都很配合,在金融、航空、能源体系、房地产等领域最顶级的企业,在进入腾讯安全的沙盘前,都有健全的安全防御体系,但经过沙盘推演之后,还是能发现一些安全隐患。

故而,丁珂强调,真正的安全不是像鸵鸟把头埋进沙子里,关着门的安全不是真正的安全。真正的安全,一定是在最残酷的环境里面历练出来的,一定是跟着客户的需求直面黑暗。腾讯云原生安全正是如此,在血雨腥风中存活了下来。

四、如何全方位解决业务安全痼疾?

业务安全的概念其实已存在多年,传统看来,一般主要分为账号安全、内容安全、运营活动安全等。近十年来,业务安全越发受到企业重视,关注度也与日俱增。

黎巍认为,数字经济的大时代下,产业数字化和数字产业化的不断深化演进,业务安全的风险种类和场景难以穷尽,集中表现在金融欺诈、数字营销风险、数字内容风险和身份欺诈风险等四大类型。

在金融领域,大量泄露的个人信息往往会成为黑灰产套取金融机构信贷的工具。有数据显示,如果金融机构的风险控制策略没有保持与时俱进,迭代升级,至少会出现20%以上的信贷资金被骗取。

在数字营销欺诈层面,腾讯安全天御监测发现,有20%-30%的广告曝光流量为虚假流量,这些行为大部分都来源于自动化的脚本程序、被黑客操纵的“设备牧场”、肉鸡,甚至可能是来自具有不良动机的真人行为。

在数字内容层面,不良违规内容会通过音频、视频、图片、文字传播,对国家网络的安定、用户的身心都带来严重的威胁,也给平台运营带来巨大压力和挑战。

在元宇宙、数字孪生等趋势下,数字身份的安全将备受关注。时下,互联网用户认证和企业员工身份认证等环节中存在巨大的安全风险,甚至有专门的“过脸工作室”进行电子人脸建模绕过人脸认证。

在黎巍看来,企业在业务扩张的同时也面临着无数的安全挑战。在企业加速拥抱数字化的过程中,数据连接着用户和经营系统,风控成为企业经营的最大风险和不确定性,一旦业务风控出现漏洞,将给企业经营带来不可估量的损失。

针对业务安全,腾讯安全其实打造了一整套安全能力。黎巍介绍了在大会期间腾讯安全首次披露的“业务安全全景图”。

“全景图”基于底层技术和自研风控能力,形成了覆盖流量、金融、内容、监管、私域、品牌溯源、数字身份等七大风控场景的解决方案。腾讯安全综合应用多种AI技术的基础上,打造“风险识别、感知、决策、运营”四大AI风控能力,对风险的嗅觉不仅更敏锐和精准,还便于企业客户接入——一天之内就能适应客户的行业场景,实现把“腾讯级”的风控能力“搬回家”。

黎巍举例称,在金融领域,腾讯安全打造了“获客+风控”一体化的星云零售信贷解决方案,最快三分钟线上放款,累计为上千亿的信贷资金保驾护航;在助力政府智慧监管方面,腾讯安全打造了一套覆盖事前、事中、事后全链条的监督管理体系,助力主管部门实时感知疑似违规违法市场行为并进行关联处置,目前已经服务上百家监管单位。

黎巍表示,发布腾讯业务安全全景图,一方面方便客户可以针对自身的痛点按图索骥;另一方面也是希望全景呈现业务安全的纵深范围,帮助更多行业客户,尤其是刚刚开始拥抱数字化的企业标明风险,走好企业的数字化转型之路。

在业务安全上,腾讯安全的自信其实源远流长。黎巍称在业务安全领域,腾讯可以说久被攻击而成良医。早在20年前,腾讯就投入了大量的资源用于QQ用户的保护,打击黑灰产,做了许多拓荒性的工作, 沉淀了大量可复用的“反黑”武器和运维经验。当前腾讯为企业级客户提供风控服务、护航产业互联网健康发展的能力,正是基于这些早期能力和经验的积累,

五、隐私计算能否大规模部署应用?

隐私计算是当前在很多安全问题上频繁被提及的一个词汇。何为隐私计算?根据通行概念,隐私计算(Privacy compute)是指在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合。

为解决跨行业数据传输加密和数据隐私保护问题,Facebook、Google Cloud、微软、IBM、英特尔、Arm、AMD、英伟达等多家企业巨头和Linux基金会联合组建了“隐私计算联盟”。去年,由中国信通院联合近50家单位共同发起的“隐私计算联盟”也宣告正式成立。

由此可见,隐私计算与大数据、隐私保护、数据安全、合规等息息相关,确实具备大有可为的潜力,或将成为安全不可忽视的一项重要技术。对于隐私计算的问题,腾讯安全又是如何看待和对待的呢?

丁珂认为,总体而言,隐私计算目前还是一个概念性产品,路线发展尚不明细。此外,隐私计算在目前阶段能否大规模使用,主要是考虑成本效益。因为现在隐私技术还处在实验室模型阶段,个别的高端模型在落地应用上完全没问题,但如果想让普通行业,甚至行业头部都用上隐私计算技术,还有一个漫长的过程,并且还要在成本收益上达到动态平衡。

目前,与隐私计算相关的技术流派非常多,比如迁移学习、多方计算等,腾讯安全内部也在普适性地看待这类技术。但若真在云上大规模开一个区,做隐私计算产品化让客户来购买使用,首先价钱会非常高昂,其次即使真有客户购买,目前也只是小规模使用,距离大规模商业化为时尚早。

其实,腾讯安全一向具有朝前应用新技术的传统,就隐私计算上,现在做的几个联合性的项目都是头部金融机构,也算是采用合作共建的方法,但其他行业暂时还不敢触碰这个领域。另外,腾讯安全内部也在探索和使用隐私计算技术,发现不同流派各有各的优点,在成本和效益上也各有侧重,但到底哪一个流派方案能形成动态平衡,目前尚未可知。

但是,丁珂又点明,当下隐私计算虽处于探索阶段,不代表未来没有用武之地。尤其是11月1日《个人信息保护法》实行之后,隐私保护成了一个必选项,隐私计算有了更广阔的发展空间。但与此同时,更多隐私保护的技术流派也会竞相争发,未来哪个技术流派会脱颖而出,取决于技术产品完成度以及行业实际需要。

六、如何为数字政务安全提供技术支撑?

当前,大量政务服务已从线下搬到线上,方便民众,提升效率。通观全国各地,“数字政务”建设也正大规模展开。

但是,“数字政务”的前景虽然美好,但过程中也是存在诸多安全问题。譬如政务协同平台承载了大量的政务敏感数据和关键业务应用,其安全性至关重要。然而由于政务服务关键业务环节,往往比较依赖线下场景,而政务服务涉及面广、实际应用场景复杂,导致各部门之间因使用平台软件不统一,而容易出现“数据孤岛”、“安全缺口”等问题,严重影响了政务协同平台的系统安全和正常使用。

在“数字政务”安全层面,腾讯安全这些年来始终精耕细作,积累了大量的安全能力和产品经验。

对此,丁珂举例道,过去三年,从数字广东开始,腾讯安全做了大概有近20个省市级的项目,要么是省级平台,要么就是省会城市项目,几乎每个项目安全都占了比较重要的地位。现在都运转得比较好,数据量不断上升。比如最近疫情又在反复,健康码又成了人人必备数据,一方面,这对整个数据的量和敏感数据的调用非常大,另一方面,对安全性的保障要求很高。

三年来,丁珂感触很多,他们最早把传统边界安全跟私有云、混合云的安全结合在一起,软件定义安全,与应用安全结合在一起,逐步发展到城市治理方面的关键数据安全、业务安全以及用户的账号安全,基于小程序的账号安全需求越来越强烈。

最新一批项目是与西南一些省份沟通,项目建设中,首先是保证安全,安全能够得到确保,数据量才能够长期增长。那再去谈对内的政府办公、对外的服务构架怎么做,其实现在用到的安全技术,越来越是以云原生为主,结合账号和数据流安全为辅的流态在走。

丁珂总结道,安全共有两个趋势,一是从传统安全往新兴的面向应用和用户服务的安全演变,这是三年智慧城市安全建设的一大趋势;二是智慧城市的数字化改造,安全基本上变成了它的先决条件。

一旦智慧城市启动,数据量的增长每年至少要翻番。围绕数据扩容、隐私保护,以及数据基于安全的多次使用,数据价值再提升,变成了政府领导特别关注的惠民经济链的重点。所以每期项目建设中,安全甚至提升到10%甚至15%以上的比重。

丁珂介绍称,腾讯的内部变化,主要是从保护消费互联网到保护产业互联网。从内部产品中直接提炼出安全能力,变成安全工具、安全服务或系统性保护,这个过程短时间内完成得不错,大概不到三年的时间,应用覆盖了18个行业,头部行业有很多很经典的客户和案例,很多行业中重大的挑战型项目,腾讯都是积极参与其中,而且获得了非常好的用户口碑。

此外,本次生态大会上,腾讯安全也发布了全新腾讯数字身份管控平台(IDAM)。目前,腾讯数字身份管控平台以跨安全区域API发布、用户访问安全准入控制、API网关高级能力,以及分区管理、分级部署、国产化支持等优势,已率先应用于各类政府服务平台项目。实现近200个项目应用,累计支撑10亿+用户访问,并成功打造了第七次全国人口普查、国务院小程序、战疫健康码等全国性的标杆案例。

尾声:安全专业化、产业化是时代趋势

如今已经进入到了产业互联网时代,网络安全和数字化是一体双翼。安全边界越发扩大,黑产也进入到了组织化、规模化、产业化的阶段,单靠某个安全厂商闭门造车、单打独斗,必然无法应对未来千变万化的网络安全局势。

故而,安全不但需要专业化,更需要产业化,尤其是构建生态、产业共建,将会是安全发展的大势所趋。或许会有人疑惑,何出此言?

丁珂看到,数字化带来的收益切实可见,但可持续的长期发展,不但要保证自身的健康,还需要承担企业责任,甚至是要发展数字未来利他的价值观。产业链条变长,数据的纵深极大。腾讯的实践发现,或许产业共建面向未来的安全建设,是一个必经之路。

共建的第一层是升级传统的供需关系,安全厂商和客户共同以结果为导向,共同担当、共同建设、共同成长;第二层是以数据为驱动,把业务发展和数据安全共建;第三层是安全生态的联动。大家拿出最好的技术和产品,为数字经济构建稳固的基础设施,提供最充沛的动能。

目前,腾讯安全也制定了共建的生态方案,腾讯安全也愿意尽己所能,为客户生态合作伙伴共建数字时代的安全底座,依靠腾讯安全长期的积累的安全经验,共同为民众创造更加美好的生活。恰如腾讯安全的新使命——“一起捍卫美好未来”。

原创文章,作者:手帕网,如若转载,请注明出处:https://www.esp-4u.com/shenghuo/2094335.html