企业需要什么样的安全?安全的价值如何外显感知?在2024腾讯全球数字生态大会上,腾讯安全举办以“看得见的安全”为主题的数字安全专场,联动IDC共同研判行业发展态势,邀请文旅、车辆制造、金融、物流等行业领导企业,聚焦“Security Inside”理念落地,共同修炼企业云上增长的“稳健内功”,探寻安全价值的实践路径。
构建可感知、可掌控、可增长
主动安全建设框架
当前,企业应用都在线上,生产与运营都依赖数据驱动,交易与支付都需要实时更新库存与账单,数字化对千行百业的渗透已经进入深水区。而创新带来安全挑战,机遇和风险是永恒共存的双生子。
腾讯集团高级执行副总裁、腾讯云与智慧产业事业群CEO汤道生表示,当技术突破和应用创新成为企业普遍追求的二次增长曲线、当数据成为贯穿企业业务环节的血液,就不能再以被动思路来建设安全,而是应当建立一套可感知、可掌控、可增长的主动安全建设框架。
腾讯集团高级执行副总裁、腾讯云与智慧产业事业群CEO汤道生
可感知,即建立主动、前瞻的安全情报体系,让安全风险“看得见”,让企业把握主动优势;
可掌控,即建立多级立体的防御体系,面对入侵可逐级降低安全风险,掌握攻防对抗主动权;
可增长,即构建基于行业场景的业务安全能力,平衡安全与增长,让安全成为生产力。
腾讯安全始终在思考、实践离产业最近的安全建设,不断探索安全与增长协同的新路径。在基础防线外部,腾讯安全建立了百亿级的威胁情报体系,覆盖情报收集、分析和处置,并集成于全系安全产品中,打造“感知型”防御体系。在云上场景,腾讯提供由数据安全、主机安全、WAF和防火墙四道动态防线构成的产品组合,满足企业90%安全基线需求,以云原生、一体化的弹性架构,极大强化企业在云端的防控力。落地到具体业务场景,从安全能力提炼出的风控能力,结合场景特点打造行业解决方案,可以在金融、营销、内容等多重维度为企业提质增效,助力产业数字化增长。
以腾讯云自身经验
推动云平台安全治理
在提效和增长的目标驱动下,中国企业的数字化转型投入持续增加,主要体现在云计算和人工智能等方面。IDC的研究数据表明,2024年,中国数字化转型支出增长将达到经济增长的4倍,因为市场需求迫使公司发展数字化商业模式并加强数字化能力。
我们正处于从移动互联网时代向智能时代发展的关键时刻。IDC中国区总裁霍锦洁表示,越来越多企业通过数字化来引领创新,也因此,安全成为企业持续增长的前提和基石,企业对IT安全的期望,与生成式人工智能的发展并进。与此同时,IDC的研究表明,构建云原生安全体系可有效抵御网络攻击。
IDC中国区总裁霍锦洁
对此,腾讯安全副总裁、腾讯云鼎实验室负责人董志强首次公开腾讯云平台自身的高等级云安全架构实践。“在有限的成本之下,面对不断变化的业务环境,我们必须建立一种新的安全思维,即持续性对抗的安全思维、‘假设被攻击’‘假设受损失’的安全思维。”董志强表示。
腾讯安全副总裁、腾讯云鼎实验室负责人董志强
在这种新的安全思维下,腾讯云平台安全遵循几个治理准则,即首先必须保证安全工作的方向与组织战略一致,其次是建立合理的分工协作,建立全员默认安全的文化意识,建立和业务紧密协同的流程体系,第三是“假设受损”思维下的安全技术原则。
经过长期实践,腾讯云自下而上为云业务自身和租户安全构建了纵深防御的体系,形成了一套具备可复制性的高安全等级架构。目前,腾讯云在全球维护超过150万台服务器,各类云服务云资产总量超过1.4亿,获得了400+合规资质的认可。
腾讯安全副总裁方斌进一步介绍了腾讯安全以产品形式向客户开放的安全能力沉淀,并重磅发布了腾讯云安全“4+N”体系。方斌表示,通过4+N体系及后续将推出的安全价值评估模型,可以帮助企业定量评估安全建设投入价值,让企业安全“看得见”、“摸得着”、“算得清”。
腾讯安全副总裁方斌
腾讯云安全“4+N”体系,通过数据安全、主机安全、Web应用防火墙、云防火墙这4道防线解决云上安全的“基础设施建设”问题;通过游戏反外挂、营销疯狂、借贷反欺诈、文旅反黄牛等N种行业安全解决方案,帮助企业应对不同的安全需求,为业务发展增值提效。
践行“Security Inside”
共议增长与安全平衡之道
过去,不少企业对安全建设存在一些误区,认为网络安全是技术层面的事情、安全投入掣肘业务发展、安全建设就是要万无一失……随着数字业务升级、安全边界扩展,对安全价值的认知也发生变化。
与会专家共同认为,安全和业务相伴而生,相伴而成,安全应是业务增长和组织发展的命脉。复杂的内外部环境、海量资产、有限的成本投入,安全建设必须价值最大化,企业需要实现“Security Inside”,使安全与增长协同、平衡。
基于不同行业应用场景实践,与会嘉宾进行了精彩分享。同程旅行公共业务研发部总监谭英杰展示了同程旅行的风控实践道路。他表示:黑产擅长隐藏,AI技术的发展也让对抗难度进一步提升,依托AI+大数据,同程旅行构建了全链路风控防线,分层次精准识别对抗黑灰产。在腾讯全栈式风控引擎RCE的助力下,同程风控体系实现风险覆盖能力提升,资损率极速下降,降本效果同比增长200%,并通过资源保护能力的提升,促进业务高增长,助力业务增收价值达到千万级。
同程旅行公共业务研发部总监谭英杰
而在智能网联汽车领域,伴随着汽车智能网联持续进化,针对汽车的网络安全攻击越来越多。上汽零束安全实验室负责人王君锋表示,智能汽车安全是多维一体的大安全,大安全是行业健康发展的基石,是智能汽车市场持续增长的信心。零束科技作为智能车新赛道的领跑者,非常注重建设端到端的智能网联汽车的网络安全跟数据安全的融合的研发体系,并在网络安全层面沉淀落地一个以ISO/SAE21434为实践指南的最佳实践、纵深防御体系及测试运营体系结合两大关键安全体系,以及TARA、安全开发、安全测试三个核心安全能力。
上汽零束安全实验室负责人王君锋
近年来,AIGC等创新技术飞速发展,已经成为攻击者加强对抗的新手段,作为防守者的企业也必须升级部署新的安全工具,才能及时应对这些新威胁。汤道生表示,腾讯愿与产业伙伴一起,不断探索安全与增长的新路径,为产业数字化提供坚实基础和有力支撑。