腾讯丁珂:开放安全中台能力,让产业安全举重若轻

2019-07-30 墨羽 联商网
浏览

随着各行各业的数字化程度不断加深,产业互联网时代的安全威胁,更加隐蔽、复杂,也更具破坏性,安全能力的缺失将为企业带来难以承受的损失。寻求产业转型升级的企业要如何应对产业互联网下的安全挑战,实现高质量发展,是亟待解决的问题。

在7月30日开幕的第五届互联网安全领袖峰会(CSS2019)上,腾讯副总裁丁珂在主题演讲中给出了腾讯的答案。他表示,产业互联网时代,安全已成为企业数字化转型的原生需求,既是企业发展的底线,也是制约企业发展的天花板,需要系统性构建。腾讯愿做产业互联网安全战略官,开放安全中台能力,降低企业客户的安全建设门槛,让产业安全举重若轻,护航产业互联网的安全发展。

丁珂表示,通过腾讯产业互联网的实践发现,在安全层面,对处于产业数字化转型期的企业而言,正面临两大普遍困惑:第一,不知如何评估安全构建投入的成效,尤其对于一个成长型企业而言,从无到有建安全团队、研发技术,显然是一个过重的负担。第二,这些转型期的企业普遍缺乏相关经验,而产业数字时代的市场竞争瞬息万变,安全建设的滞后性显然已经成为企业数字化发展的掣肘。

他认为,借助成熟的平台和行业经验,是这些企业加速数字化转型的最佳选择。“腾讯作为产业互联网的引领者,有能力、有义务把我们积累的顶尖的安全能力拿出来,通过开放安全中台,做好产业安全战略官,降低企业客户的安全门槛,帮助企业客户构建系统化的安全能力,同时满足企业客户成本和效率两方面的平衡,让产业互联网时代的安全举重若轻,护航产业互联网的安全发展。”

在丁珂看来,腾讯基础安全和平台业务能力开放就像流水线生产出的“商品”,并通过腾讯安全中台能力的开放,为客户打造了摆满商品“货架”,以及更进一步的“配送服务”和全程的质保。

此外,丁珂还坦陈,企业客户对安全的需求各有不同,安全行业的合作伙伴也各有所长,整个产业互联网安全能力的构建,不可能由任何一家公司独自完成。“与合作伙伴共建生态将成为长期工程,腾讯将继续以生态资源共享、能力互补、生态共建的方式,携手安全产业链合作伙伴,用安全生产力护航产业的数字化升级,这也是对腾讯科技向善使命的践行。”

以下为丁珂演讲全文:

刚刚汤道生总裁提到,产业互联网时代,安全变得更加重要。安全不只是企业发展的底线,更将成为制约企业发展的天花板,这里面有两个动因:

其一,安全是生存问题。我们可以看到,产业互联网的发展加速了各行各业的数字化进程,数字资产成为企业核心资产之一,安全性将成为企业数字化的核心考量。产业互联网时代的安全威胁,更加复杂,也更具破坏性,安全能力的缺失,将给企业带来巨大威胁,甚至让一家企业大厦瞬间崩塌。这样的例子在过去并不鲜见,甚至有初创公司因黑产的攻击直接倒闭,一些大型平台也出现过因勒索及刷单、遭受巨额损失的“事故”。

其二,安全也是发展问题。产业数字化的一个典型特征,就是打破了很多行业边界,加速了产业间的融合创新,这也将成为很多成长型企业弯道超车的机会,安全已经逐渐成为企业的核心竞争力之一。比如网约车模式的创新为用户带来了更加便利、舒适的出行体验,但其背后也要考虑平台数据安全、司乘安全等诸多安全问题,安全显然已经成为制约平台发展的前提条件。

在产业互联网时代,企业要生存、要发展,就必须将安全提升到企业经营的战略高度。各行各业的信息化程度不断提升,IT架构在变化,黑客技术在升级,网络攻击更是千变万化;以“不变心态”应“万变威胁”,既要有正确的安全认识,又要有可靠的安全保障。

正确的安全认识,就是充分理解产业互联网安全的原生属性,在数字化转型的初期架构设计中,就充分考虑信息安全的因素和影响,从经营战略视角规划安全,我们认为这是做好产业安全的基础。

借助专业的安全专家团队和平台能力,是加固产业安全的保障。产业互联网的安全将融合到每一步业务流程中,是一项系统工程;解决产业互联网时代的安全难题,需要构建产业安全战略观,要从情报-攻防-管理-规划四个维度入手,我们称之为,产业互联网时代的四维安全免疫系统,也是对抗安全威胁的战略武器。

这里举一个例子。开盖扫码赢红包,是快消品牌常用的营销手段,整个营销链路贯穿产品设计、生产制造、营销推广、用户运营等全流程,其中必然涉及营销风控和数据安全问题。如果在整个流程设计中不做好安全管理,企业的营销预算往往就会落入黑产口袋,企业蒙受损失同时,也达不到预期的推广效果。据不完全统计,我国每年有超过千亿资金落入黑产口袋。

那么问题来了,这样的产业安全问题,应该如何解决?

在过去的安全实践中,腾讯拥有超过500个业务场景,积累了黑产大数据样本、每天数百P的数据运算能力,这些是我们对抗黑产攻防的武器;但仅仅靠这些,显然是远远不够的;为拿到可靠的威胁情报,我们的安全团队从线上“追”到线下的废品回收站,甚至从环卫工人口中探听线索,摸清整个营销欺诈黑产团伙的利益链条,帮助客户一起优化设计营销链路,最终取得了不错的效果。在东鹏特饮、蒙牛等客户的营销活动中,我们就依靠这套“反黑”能力,为其节约了数千万的营销资金。这个案例中的安全输出,就不只是情报和攻防等基础能力,还涉及到系统性的安全规划和管理咨询服务。

我经常会收到很多客户的请求,你要保护我数据的安全,你要保护我账户的安全,你要保护我业务的安全。这些客户往往对数据安全没有太多概念,但是没关系,他们的业务在腾讯云上非常顺畅的运行着。这就是我想跟大家分享的另外一点:怎么能让安全“举重若轻”。

近年来,随着产业数字化进程加快,以及一些频发的重大安全运营事故的警示作用,我国整体安全意识得到了很大提升,包括我们产业生态中,越来越多的客户、合作伙伴来和腾讯探讨安全建设问题。这个过程中,我们会发现大家存在两个普遍的困惑:

第一个,是大家越来越意识到安全的重要性,可是并不知道如何评估投入的成本;尤其对于一个成长型企业而言,从无到有搭建安全团队、研发技术,显然是一个过重的负担。第二个,这些转型期的企业普遍缺乏相关经验,而产业数字时代的市场竞争瞬息万变,安全建设的滞后性显然已经成为企业数字化发展的掣肘。

我们认为,借助成熟的平台和行业经验,无疑是这些企业加速数字化转型的最佳选择。在消费互联网时代,我们致力于为用户提供可靠的安全产品和服务,做用户安全的守护者;在产业互联网安全时代,我们定位为产业安全战略官,致力于帮助我们的企业客户,在数字化转型的过程中系统化的构建安全能力,同时满足成本和效率两方面的平衡。

腾讯是产业互联网的引领者,有能力、有义务把我们积累的顶尖的安全能力拿出来,降低企业客户的安全门槛,护航产业互联网的安全发展,让产业互联网时代的安全举重若轻。

腾讯作为全球最大的互联网科技公司之一,拥有海量业务场景、10亿用户服务经验;在过去20余年的发展中,我们积累了丰富的安全大数据及AI能力,自主可控的安全技术,以及云管端一体化的安全运营体系。在底层安全能力方面,我们开放了基础安全能力和平台业务能力,以帮助企业应对转型过程中不断出现的新业务和新场景安全需求。我们推出的灵鲲、星云、天御等几大业务安全解决方案,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用,也取得了不错的成效。

如果说能力开放是流水线生产出的“商品”的话,我们还为客户打造了摆满商品的“货架”,更进一步提供“配送服务”和全程的质保。我们通过安全中台打造了一个可对外复用的动态安全模型,为企业客户提供模块式、可迭代的安全服务。既可以为小企业提供情报、攻防、规划、管理的模块能力,也可以帮助大中型企业构建属于自己的安全中台,将腾讯的安全中台能力与范式输出,进而服务于客户具体的前台业务场景。

在某智慧政务项目中,我们几大核心基础安全产品都有应用。在数据隐私保护方面,我们的“数盾”,提供全生命周期数字资产管理服务。SOC,通过构建企业一体化安全运营中心,帮助政府实现全时全域的威胁情报平台和攻防能力。在终端管理和数据加密方面,我们的UEM和KMS,能够保障终端设备、应用程序及移动数据的安全。

我们还引入了安全专家服务,以及超过10家腾讯安全生态伙伴的能力,为政府搭建了完整的政务云立体安全中台体系。这套系统,在去年中央主管部门组织的50余家测评机构测评中,获得了零失分成绩,经受住了专项测评的严苛考验。系统从上线至今,在每天近五十万用户访问的压力下,我们保证了零安全事故运行,有效保障了云上数千台虚拟机、数百个政务系统的安全运行。

我们的客户各有所需,我们的同行各有所长。整个产业互联网安全能力的构建,不可能由任何一家公司独自完成。所以,在腾讯安全服务的背后,有我们安全产业链合作伙伴强大生态的支撑,大家优势互补,打造真正适合各行各业的安全解决方案。我们发起的P17安全领袖俱乐部、FP50安全新锐力量俱乐部,几乎汇聚了国内安全领域的中坚力量。与此同时,我们还在探索与客户共建联合安全实验室的合作模式,并与国内一流高校开展了产学研一体化深度合作。

最后,作为产业互联网时代的安全战略官,我们不但要与合作伙伴共同推动安全市场的繁荣发展,更要通过保障各行各业的安全发展,降低企业客户的安全门槛,让产业互联网时代的安全举重若轻,并以生态资源共享、能力互补、生态共建的方式,用安全生产力护航产业的数字化升级。这是我们安全人的使命与荣光,科技向善,安全向好。

谢谢大家。