在疫情和新基建的双重刺激下,大量企业加速了数字化转型步伐。疫情期间,不少企业展现出了较强的韧性,从战疫中突围。但在此过程中,面对突然提速的发展频率,企业的安全建设是否做好了准备?以及,迈进产业互联网,企业需要搭载什么样的安全体系,才能更从容地迎接挑战?日前,腾讯副总裁丁珂接受了《南方日报》的专访,给出了腾讯安全的思考。
来源:南方日报
撰文:叶丹
以下为采访全文:
随着国家大力推进新基建,在5G、云计算、大数据、物联网、人工智能等新技术带动下,产业互联网也步入了一个高速发展期。今年全国两会,人大代表马化腾在议案中建议把产业互联网放在新一轮科技革命和产业变革的历史大潮中来谋划,从国家战略的高度重点推进。
腾讯副总裁丁珂在接受采访时就表示,产业互联网的繁荣一方面会为中国数字经济提供强劲驱动力,另一方面也给网络安全带来新的挑战:数据将成为产业互联网时代的全新生产要素。数据在产业链中的采集、挖掘和使用,关系到国家安全、企业商业利益和个人信息保护,一旦出现安全问题,将造成极大损失。同时,新基建推动新技术广泛的创新应用,也会带来全新的安全风险和安全问题。如5G和工业互联网带来“触网”终端数量与种类爆发式增长,原来以被动防御为主导的安全理念已无法满足需要;数据的无限流动,也会给安全防护带来巨大挑战。
IDC今年3月发布的《全球网络安全支出指南》显示,虽然中国网络安全投资在整体IT投资中的占比日益提升,但相较于全球仍存在较大差距。“我们必须要认识到,新基建将加速产业互联网发展,而网络安全是新基建发展的根基。”丁珂认为,建立契合产业互联网的新型安全体系,已经成了迫在眉睫的议题。
产业互联网下 安全缺位动摇企业生存根基
丁珂在谈到产业互联网与网络安全的关系时就表示:“腾讯安全是网络安全的先行者,我们见证和亲历了中国互联网产业的发展,从PC互联网到移动互联网,再到产业互联网的发展演进,这个过程中信息安全本身也在发生重大变化。过去我们认为安全是企业发展的‘底线’,‘没有消息就是好消息’的安全认知,也体现了过去‘被动防御’的安全理念;产业互联网时代,我们需要扭转这个观念:安全不仅是企业发展底线,同时也是决定企业发展高度的‘天花板’。”
针对今年的疫情,丁珂认为,企业的数字安全布局也凸显了重要性。“以这次疫情为例,我们发现那些数字化做得比较好的行业,往往能通过远程协同、在线开展业务等各种数字化手段最大限度降低疫情冲击,而在数字化抗疫的过程中,企业的数字安全布局,成为其线上业务得以顺利开展的基本保障。以对信息安全特别审慎的银行业为例,因为过去几年金融科技的发展以及人脸识别、大数据风控、身份认证、远程授信等安全方案的引入,银行常规业务基本上已经实现数字化,用户足不出户也能远程办理业务;今年疫情给实体行业造成了比较大的影响,但我们也看到一些提前部署的银行企业可以通过无接触数字化技术保障了业务正常开展。很多‘触网’较早的零售、餐饮企业,也通过直播、电商、线上业务等多种数字化手段降低疫情的冲击,展现出了很强的抗风险能力。”
丁珂表示,过去很长一段时间内,很多企业基本上处于业务发展先行、信息安全补课的状态,市场主体缺乏安全意识,更舍不得在信息安全建设上投入预算。由于过往相关法律法规不够健全,一些企业主体即便发生信息安全事故,造成用户个人隐私及企业声誉受到影响,也不会有致命性损失;但在产业互联网时代,由于数字化贯穿到了产业发展的各个链条——采购、研发、生产、交付、流通、售后,数据是企业核心资产,因此安全缺位动摇的是整个企业的生存根基,甚至波及产业上下游链条的参与方,其影响更加深远。不仅如此,在金融、零售、汽车出行等产业领域,信息安全的缺位还会成为企业数字化转型发展的一大阻碍,成为企业发展的“天花板”。
产业安全需纳入企业数字化转型的顶层设计
产业互联网正在对生产关系进行重构,数据成为产业互联网时代的核心生产要素。丁珂就认为,需要建立以产业为中心的数字原生安全体系,转变安全思维,构建积极主动的安全防御体系,将产业安全纳入企业数字化转型的顶层设计。“首先要改变观念,把安全提升到战略地位,真正变成CEO关注的‘一把手工程’。”在具体实施中,以下几个方面的内容是丁珂认为需要重点投入的:
➤第一,云已经成为数字化的基础设施,因此需要对云上安全展开全面、前瞻性的研究,提供全业务场景、全生命周期的安全产品和解决方案,提供适用于云上需求、与云的快速发展相匹配、能够实时弹性调用的云原生安全能力,整体提升企业数字化的安全基准线,降低企业的安全准入门槛。
➤第二,推进基于零信任的无边界访问控制系统和相应的数据保护技术和密钥技术的建设。随着各个实体产业“上云”,内外部访问数据的物理边界和时间边界会不复存在,原先存储在特定场景的数据会进入传输和流通环节,如何保证自动化发现、丰富的脱敏算法,以及对于不便于脱敏的数据如何进行通过水印技术进行溯源追责,是需要重点投入的领域。
➤第三,建设全流程的、可复用的安全管理体系和安全事故的问责体系。除了对越来越丰富的联网设备的安全管理,包括更新设备固件、排查漏洞、设备安全防护,对于失效设备的及时“断网”等等,还需要对业务链条上所有参与者的行为检测和管理,即时发现异常行为,排除安全风险。
丁珂表示,企业需要从经营的战略视角对信息安全建设进行前置规划,提升信息安全意识,根据自身业务发展需求,引入与之匹配、专业化、体系化的信息安全解决方案,构建可知、可见、可控的信息安全网络。
对处于产业数字化转型期的企业和大量通过上云寻找机遇的中小企业来说,从无到有建立安全团队、研发技术可能是一个很重的负担,加上产业数字时代的市场竞争瞬息万变,这些转型期的企业普遍缺少网络安全的意识、经验和能力积累,这也是包括腾讯安全在内的网络安全服务商努力解决的问题。据丁珂透露,目前,腾讯开放了基础安全能力和业务安全能力,一方面通过通用的安全中台为企业供模块式、可迭代的安全服务,另一方面也和行业客户一起探索业务场景下的安全,提出解决方案,目前在泛金融、泛互联网、智慧零售等领域都取得了不错的成效。
夯实安全地基 提升数字经济实力
“建设适应于产业互联网发展的网络安全体系,总体还处于起步阶段,单纯依靠某一家安全企业无法解决所有问题。”丁珂认为,建立安全生态圈、不同主体之间的协同越来越成为行业发展的一个共识,建立政府部门、行业组织、市场主体共同参与的安全生态,也将成为安全产业发展的重要基础。
丁珂在接受采访时强调,头部安全厂商应该充分发挥研发主体、创新主体、产业主体的作用,通过开放的方式促进生态伙伴之间开展合作。据介绍,在2017年互联网安全领袖峰会上,腾讯联合天融信、卫士通、启明星辰、绿盟科技等国内13家上市安全企业发起成立了安全领袖俱乐部,旨在共同探索产业合作与发展,2019年已经扩大到17家,持续加深了开放、互通、共享的协作机制,通过安全生态链的协同共建,打造贴近真实业务场景的安全解决方案,降低企业客户的安全门槛,保障各行各业的安全发展,共担守护产业互联网安全的职责。除此之外,腾讯安全也在探索更多促进产业合作的机制。
据中国信息通信研究院2019年发布的白皮书显示,2018年我国产业数字化规模超过24.9万亿元,占GDP比重27.6%,数字经济增速显著高于宏观经济指数,成为拉动经济增长的重要引擎。丁珂表示:“随着新基建的稳步推进、产业互联网的纵深发展,数字化未来仍将为中国经济转型提供持续的动力。网络安全和信息化是一体双翼,夯实安全地基,有助于提升中国数字经济硬实力,在国际竞合中占据更多主动权。”