2015年，微软公司CEO萨提亚·纳德拉(Satya Nadella)作出了一个令全世界震惊的承诺——每年将投入超过10亿美元用以安全的研究和开发。 

经过5年的发展，微软安全解决方案不仅在5个Gartner魔力象限中取得“领导者象限”的排名，全球范围内微软云用户超过1.6亿，并且超过90%的全球500强企业也已经成为微软安全的用户。 

就在今年的11月18日，微软宣布与AMD、英特尔和高通签约推出全新的安全处理器，从而加强Windows平台和用户的安全性，对抗日益严峻的网络威胁和攻击。可以肯定的是，微软近年来在安全的布局和发展上取得了巨大的成果。 

不过相较于“实干”上的不断前进，微软安全在宣传方面似乎一直都略显低调。为了更好地让业界了解微软安全近年来的布局，对未来安全的想法，同时促进安全行业的交流与联动，12月1日，由微软主办、安在新媒体协办、20多位各界企业CSO参加的“微软企业信息安全沙龙”，在北京微软大楼举行。

活动开场，微软安全解决方案负责人万琛发表致辞。她表示非常高兴与安全圈的同仁共聚一堂，一同探讨微软近年来在安全上的布局。同时面向当前的网络安全局势，传递微软的解决方案的想法，以期为业界提供新的思路和解法。

安在新媒体创始人张耀疆担任本次沙龙的主持人。张耀疆说在过去几年里，鲜少看到微软安全的影子。但今天非常高兴可以与微软“重新连接”，重新认识微软，并学习微软安全当前的发展情况。他也希望可以通过此次沙龙，碰撞出新的火花。

随后，微软全球黑带唐浩、数世咨询创始人李少鹏以及小米集团首席信息安全官陈洋三位专家，分别以《数字时代的安全解决方案》、《数字时代安全产业格局和市场趋势》和《AIoT 安全——从创新理念到实践落地》为主题进行了分享。

主题一：数字时代的安全解决方案

微软全球黑带 唐浩

进入数字化时代以后，传统意义上的网络安全边界已经不复存在。从全球网络安全市场来看，有3大趋势持续走高。

首先，信息空间是新的战场。随着数字化的发展，传统的交易市场开始变得更加的复杂和多样化。除传统攻击手段以外，新的攻击模式不断演化迭代，黑客的攻击水平也在不断提高。

第二，企业最大的困境是安全技能和人才的短缺。由于安全人才缺口巨大，企业难以找到合适的人才；而安全大咖们逐渐向头部企业集中，使得其他企业更加难以进行适配和应对。

最后，数字化和万物互联时代，任何终端都将成为网络攻击的入口。IT与OT人员之间网络安全技术和意识的不对称，难以在大环境的冲击下给用户带来安全的保障。

从5年前微软公司CEO萨提亚·纳德拉第一次对外宣布将每年不少于10亿美金的安全投入开始，微软就积极布局终端安全运营；而随着市场的不断演化，微软希望可以将自身安全能力对外输出，并入局安全厂商领域。

微软将安全合规产品整合到了5个大的方面，分别是身份、终端、用户数据、云应用和基础设施。

数字化时代，身份是唯一可控的维度，而终端则是微软可以授权、管理并访问的东西。除了Windows以外，微软还可以将解决方案扩展到不同的移动终端装置上，确保企业内部数据在保证安全可控的前提下，满足不同应用之间的流转协同需求。

这个过程中，及时地入侵检测进行对抗，并在受到一次攻击后立刻亡羊补牢防止后续的持续性攻击非常重要。所以就需要一套从基础架构、身份管理、信息保护、对外威胁防护以及安全合规管理5个维度完整的安全解决方案。

微软通过智能安全的图谱，基于云计算的大数据处理能力，可以快速捕获攻击信号，并且在攻防过程中保护好用户的资产。作为全球最大的数据中心运营商之一，微软每天都在面对各类网络攻击挑战，也沉淀了大量的IT技术和运营策略，能够更好地保护客户安全，为其数字化转型护航。

德意志银行曾在2019年1月的内部测评报告中预估，微软的股价会在未来的52周内从101美元增长到130美元。原因在于微软入局了安全的体系，并且有资本和资源可以把安全做得更好。

事实上仅过了20周不到的时间微软的股价就超过了150美元，这个数字在今天已经达到了210。这当中安全扮演了非常重要的角色，成为了微软股价持续增长的强大助力。同时也显示了微软近年来在安全领域取得的巨大成功。

主题二：数字时代安全产业格局和市场趋势

数世咨询创始人 李少鹏

首先从产业简史来看，李少鹏认为网络安全最早起源于二战，通过对通讯信号的加解密，保护国家安全。1994年第一个计算机方面条例发布以后，我国进入了计算机安全的时代。2003年国家首次提出将信息安全作为国家战略的方针，信息安全时代正式开启，实际上我们现在所有的网络安全框架，其实就是在信息安全时代形成的。

2014年习近平总书记指出“没有网络安全就没有国家安全”，标志着我国正式迈入了网络安全时代。从2014年到2019年，短短5年内我国网络安全产业规模从150亿增长到523亿，网络安全实现了高速发展。

李少鹏定义的网络安全概念，是“基于或面向网络与信息系统展开的对抗过程”。这当中有三个明显的本质特征，分别是伴生、服务和区域化。

首先，因为有了计算环境的出现所以才有了网络安全，网络安全与保护对象始终是伴生的关系，这也是网络安全之所以很难独立的原因。

其次，网络安全应该是服务而不是产品。就像医院一样，一家医院真正优势的地方应该在于医生高超的医术和有效的处方，而不是所谓先进的仪器。网络安全是一个持续对抗的过程，机器是永远落后于人的，所以网络安全的本质是服务，而服务的核心应该是人。

最后，由于我国信息化普及较晚，导致企业和员工网络安全意识的薄弱，因此评价一家公司网络安全建设的水平，一定要综合考虑其信息技术水平。除此以外，包括定制化和文化等方面，也都是形成我国网络安全区域化特征的原因。

对于网络安全技术发展的趋势，他总结了10个方向，分别是云主机安全、开发安全、零信任架构、网络资产测绘、蜜罐诱捕、网络靶场、威胁检测与响应、云原生安全、大数据交换、工控安全，其中有超过一半都已经是微软安全的强项。

主题三：AIoT 安全——从创新理念到实践落地

小米集团首席信息安全官 陈洋

什么是安全？对于用户来说，公开透明、不侵犯数据的安全感；对于业务来说，简单可执行的成熟方案和代码工具包；对于监管来说，可监督的标准、规范 、认证。

那么如何让一款产品同时符合用户、业务以及监管三个维度的安全要求？答案就是默认安全。但是有人的地方就有漏洞，完美的默认安全是无法实现的，为了接近这个目标，就要尽可能地无限缩小攻击面。

小米通过统一技术架构来降低攻击面，包括统一安全芯片、统一通信模组、统一安全SDK和统一的云服务接入平台。开发人员只需要负责业务逻辑，集成统一硬件和软件后即可获得智能联网能力，同时还兼具了安全性。

针对IoT产品，小米形成了一套安全基线，根据产品的不同安全等级匹配不同安全防护要求，以公开标准的形式给到开发团队，帮助他们定义产品的安全性。在产品上线前，通过自动化检测来确保产品满足基线要求，保障产品和用户信息安全。

IoT产品安全生命周期不仅需要强大的安全能力，还需要科学的评估体系。最后将测试与评估结果生成评估报告，既作为产品的安全符合证明，也可以给到监管部门和用户进行监督。

议题分享完毕后，本次沙龙活动进入了圆桌环节。微软全球黑带唐浩、微软（中国）资深标准专家王劲松、数世咨询创始人李少鹏、小米集团首席安全官陈洋以及安言咨询总经理秦峰五位专家齐聚，一同探讨我国网络安全的前世、今生与未来。

Q：微软在过去几年里经历了怎样自我“刷新”的过程？

唐浩：在我刚加入微软的时候，微软刚刚错过了移动互联网和智能手机的浪潮，被业界评价为一家“老朽的公司”。

现任CEO萨提亚·纳德拉说我们应该不破不立，一心一意做一些新的尝试。既然微软判断云计算是未来的趋势，所以我们就投入大量的资源对云计算进行押宝。事实证明，这一次的突破是成功的。

2014年iPhone6问世，发布会现场微软CEO萨提亚·纳德拉也进行了演讲。他拿出一部iPhone6并且向全世界宣布：“Office 365以后可以在iPhone上完美运行，我们希望能有更多的苹果用户在iPhone上使用微软的应用。”这简短的一句话代表了微软拥抱开源和变化的决心，同时也是微软真正自我“刷新”的开始。

萨提亚说，我们身处科技类行业，科技类行业只拥抱创新不拥抱传统。所以，在网络攻击日益复杂的今天，只有创新才能够与之持续对抗。微软之所以近年来不断加重安全的投入，就是为了和生态合作伙伴一起，服务于我们共同的客户，帮助他们完成数字化转型。

Q：微软如何看待安全合规？

王劲松：首先，微软目前并不是安全专用产品厂商，所以国内许多安全专用产品合规的要求并不适用于微软。但我们在研发产品和业务的过程中形成了很多内生安全，所以我们会从产品侧面支持对业务安全的合规。

因为我们有很多在国内做云业务的合作伙伴，我们需要支撑他们的业务，这个过程中我们就会面临等保合规的要求。等保是针对系统而不是针对产品的，这当中也融合了信息系统安全管理，在等保2.0中得到了很好的体现。

同时，微软也是一家在标准上具有极强实力的公司。我们认为许多标准是统一的技术规范，应该尽可能做到一致性。我们建议国内标准向全球的信息安全技术标准进行借鉴，再针对国内特定需求制定专门的对策。这也是之所以微软关注等保标准的原因。

Q：小米是如何开展IoT安全建设的？

陈洋：5年前，小米作为一家互联网公司的安全建设参照标准的安全体系，重点在服务器安全、应用安全等方面，没有明确的IoT安全概念。

随着小米IoT产品的发布，我们开始思考IoT的安全问题，同时，开始成立专门的IoT安全团队进行研究。不久，行业内IoT产品漏洞被利用的事件越来越多，也验证了我们布局IoT安全的意义，更加坚定了小米在IoT安全上的持续投入。

Q：站在咨询公司的角度，如何看待过去中国的网络安全市场？

秦峰：我认为网络安全行业的目标群体正在逐渐向下走。我们一直以来认为，网络安全是随信息化技术伴生需求产生的，所以它的投资门槛很高，人才技术门槛也很高。但中国的产业中还有大量的中小型客户，他们的网络安全同样需要保护。

所以我认为安全应当成为企业的必需品，产业也应该思考如何改变过去高投资、高门槛、高成本的特点，这才是我们下一步需要真正对用户在商业服务上去推进的。

Q：微软安全生态的现状是怎么样的？

唐浩：生态是近年来一个热词，微软也一直在积极地打造生态。在我看来，一个好的生态，要保证合作伙伴之间的良性互动。当前在全球范围内有很多合作伙伴始终与微软保持着亲密的互动，其原因之一正是因为微软非常笃定的在中国市场的持续投入。

在微软的生态中，海外的合作伙伴可以借由微软共同开拓中国市场的商机，而国内的合作伙伴则可以通过与微软的合作一起在全球市场上开疆拓土。我们希望可以继续扎根中国本土市场，与合作伙伴紧密配合将业务精耕细作。

Q：国内的合规和海外相比处于什么样的发展位置？有什么差异性？

王劲松：首先，发达国家目前在网络安全方面并没有像等保这样普遍的强制性的合规要求；其次，国内的合规技术要求不会明显高于ISO/IEC 27001。

对于国内的中小型企业来说，我认为等保给了他们一个非常好的参考。根据等保的等级划分，可以非常清楚地知道自己需要哪些安全控制措施，走多少流程，进行怎样的测试。因此在我看来等保的意义不在于提高国内合规的要求，而是给企业一个快速的指导和抓手。基本上只要企业通过了27001，等保就不会有太大的压力。

Q：国内网络安全会在未来两到三年内呈现怎样的格局？

李少鹏：我的判断是没有寡头只有诸侯。不管是行业，地方，还是细分领域，诸侯割据将会成为主流的格局。

我认为安全现在到了一个需要破局的时候，当中有三个点。一是信息基础技术，国内必须要有一家像微软这样的软件巨头；二是国家经济一定要蓬勃发展，有钱才有驱动力；三是网络安全一定要以数字经济作为驱动力还不是合规政策。除了这三点以外，如果未来数字世界的发展带来了超乎预估的需求，那么也有可能给网络安全带来破局的机会。

现在很多企业都在讲生态，都在争论谁是真正的生态。我认为生态没有真假，只有好坏。好的生态就是任何一家生态伙伴都可以从中受益并繁荣发展；而坏的生态就是低价竞标、高价竞人。

Q：这两年国内网络安全有没有眼前一亮的地方？

秦峰：其实我一直有一个比较特殊的看法，就是相对于企业用户因为业务目标而引入的一些数字化变革技术，企业是否真的需要盲目进行数字化？同时安全一定要上高精尖的产品和技术吗？我对这个问题持中立的态度，因为我认为用户需要的是稳健，稳健对于安全来说比创新更重要。

中国的信息化技术就像微软如此笃定的一样，还有很大的发展空间。但是对于安全而言，不要盲目采用新型的技术，这将会带来新的风险。我们在陪伴用户的过程中也没有太多历史经验可以告诉我们将要承担的风险。此外，用户在关注自身安全的同时，一定要更加关注由业务所带来的供应链安全。

Q：微软安全会在未来表现出怎样的气质？

唐浩：安全技术在未来是会不断演化迭代的，除了技术外，人员的安全意识也有赖于行业共同推进。安全就是聊的越多了解的越多，我们携手努力让所有的岗位都养成安全的意识，同时有些流程也需要再造和重塑。

微软一直被市场认可为一家生产力和平台化的公司，在追求效率和安全之间的平衡。我们不希望因为效率而损失安全，同时也不希望因为强化安全而导致用户体验下降。微软作为一家安全的厂商，可以通过内建的安全功能，服务于更多的客户。

Q：什么样的契机才可以让网络安全万亿市场到来？

李少鹏：第一，我们要把安全从伴生需求变成基础需求。现在安全的需求是技术性的，所以会带有强制性的特点，我们要把安全变成基础需求，讲共生，共生就是生态。

第二，对网络安全的认识要从威胁事件驱动变成风险驱动。比如我们平时会因为某一疾病的蔓延而做好预防工作，这就是威胁事件驱动；但如果我们一直注意保健养生，那就是风险驱动，保险也是一样的道理。只有预置，才会爆发。

第三，要有韧性，我们要能够做到在遭受打击时部分地保证基础运行。只有实现这三点要求，万亿市场才会有到来的契机。

齐心抗疫 与你同在