「产业安全观智库访谈」栏目简介:在中国产业互联网发展联盟的指导下,腾讯安全联合安在新媒体共同启动了「产业安全观智库访谈」。围绕产业安全的发展趋势,结合当前实事热点,诚邀业界专家、学者及意见领袖倾情分享。希望借此启发思考、引导讨论、催生行动,为中国产业互联网及产业安全在新形势下的应变和发展寻求思路。
2003年的“非典”疫情掀起了中国电子商务的第一波发展热潮。在线购物、在线支付和现代化物流快速普及,腾讯、阿里、百度、京东等巨头企业迅猛发展,消费互联网由此启蒙。
“非典”的危机无疑加速了中国互联网发展,在此后的17年间,国内互联网产业逐步升级成为新的基础设施,并为中国经济的增长提供了重要动力。但随着“人口红利”的消退,云计算、人工智能、大数据等技术的融合应用,“产业互联网”成为了互联网产业第二次大发展的全新标识。
在这个关键的窗口期,“新冠”疫情的突然出现使传统产业受到巨大冲击:大量工厂和制造停工、春节假期和全民抗疫严重影响终端触达、餐饮娱乐等线下服务全面停滞……为了能够“活下去”,大量传统行业将线下业务转至线上,开启了数字化升级的道路。与此同时,包括远程办公、远程教育、社区管理等应用需求的暴增,无疑在疫情期间按下了“产业互联网”发展的加速键。产业互联网需求的爆发式增长,既对作为底层技术保障的信息安全提出了更大挑战,同时也为安全产业发展带来了全新机遇。比如在线上办公的过程中,如何确保账号由本人登录,且不会窃取泄密企业敏感数据,就对账号安全和数据安全提出了极高的要求;而大量传统企业在网络安全建设零基础的情况下开展线上业务,业务安全和隐私保护就将面临黑产的巨大威胁。基于此,安全产业或将迎来前所未有的发展机遇,产业互联网的新场景、新需求、规模化,必然会将安全产业的发展推向全新的高度。尤其是随着“新基建”国家政策的出台,工业和信息化部印发《关于推动工业互联网加快发展通知》,已经明确将“加快健全安全保障体系”作为重要指导方向,安全产业发展的政策窗口已至。如何在加速推进产业互联网的同时,通过产业安全的全面部署与推进,为中国的全面数字化提供防御力量?这是我国网络安全产业乃至整个互联网产业当前需要团结一致共同思考的命题。为此,本文特邀普华永道中国区信息安全与隐私保护合伙人万彬与中国电信研究院应用安全研究所所长何国锋两位专家,共寻疫情当下,产业安全面临的机遇与挑战。据不完全统计,现阶段国内已有超过3亿人通过远程协同软件开展了在线办公和教育,用户使用习惯在潜移默化中发生改变,这是产业互联网加速发展的一个直接表现。与此同时,大量的传统企业将业务转至线上,在加速了数字化升级的同时,极大地推动了以云计算为主等新技术的应用,由此对产业互联及产业安全衍生出更深远的影响。Q:新冠肺炎疫情给产业互联网带来哪些深刻的影响?是机会还是挑战?疫情的冲击使得国人在工作和生活上的习惯发生了一定的改变,这对于SaaS、云计算等服务提供商来说,无疑是一次革命性的契机。包括企业微信、腾讯会议、钉钉等在内的远程协作办公产品,不仅在国内取得了惊人的用户数量增长,同时也已经走出国门,这就是增长点的显现。过去一个月里,“活下去”成为了众多行业的核心命题。许多企业在短时间内将业务迁移到线上,但无一例外的是,这些方式都一定会和产业互联网紧密相关。云计算、大数据、人工智能等就成了产业互联网下的最大受益者。现在,疫情的发展极大地推动了线上业务的开展,加速了企业数字化转型的进程,无疑是将国内产业互联网的发展前景更好地放大。对于每个企业家,以及CIO和CTO来说,我们要做的就是站在企业的角度思考如何更好地拥抱产业互联网,让企业的数字化进程走得稳定、扎实。接下来我们需要注意的,就是在当办公环境、地点和时间发生改变的时候,发挥产业互联网当中安全的作用和功能,在维持业务连续性的前提下,保障网络安全。在本次疫情过程中,ToB的产业互联网蓬勃发展,改变了很多用户习惯,比如远程视频会议、网络教学、协同办公、线上签约、数字政务甚至数字医疗等。随着使用习惯的形成及产业链上下游互动,产业互联网需求必然会进一步快速发展。即便疫情结束,用户对线上协同的认知也会进一步延续。但需要注意的是,当原来集中办公的模式更改为分布式网络协作的时候,就对安全提出了更高的要求。因为原来内外网隔离模式保障安全的形态遭到了改变,也就意味着我们需要新的技术形态来保障网络安全,包括基于零信任理念的SDP等、移动网络VPDN、终端可信管理等,从而为接下来国内产业互联网的升级提供强有力的支撑。据相关数据统计,目前我国产业数字化规模约为25万亿元人民币,占数字经济比重的80%,占GDP 比重约28%,远远低于美英徳等第一梯队国家,产业互联网市场呈现出巨大的发展前景。因此,疫情对线上业务的推动以及产业数字化升级的加速,无疑进一步放大了国内产业互联网发展的前景。
诚如两位专家所说,企业想要在数字化过程中走得扎实,就必须更好地拥抱产业互联网;而拥抱产业互联网的前提,就是必须正视产业安全。当产业互联网随着疫情的延续而逐渐提速的时候,安全问题就将从各个方面显现出来。届时,只有强大的产业安全生态,才能够从挑战中抓住机遇,进而为产业升级提供强有力的保障。
新的业务场景和新的应用形态必然会带来新的安全问题,尤其在大批传统企业在零安全基础的情况下开展线上业务,必然会与业务安全、数据安全和个人隐私之间产生激烈碰撞。Q:在疫情期间,密集出现大量创新的互联网解决方案,是否对安全提出了更高的要求?应当如何建设相应的安全能力?一直以来国内企业更习惯于让业务先行,安全的建设相对滞后,即便发生安全事故,也更愿意“打落牙齿往肚子里吞”,安全问题根本没有得到解决。尤其在疫情冲击下,许多传统企业被迫将业务转到线上,但包括基础安全建设、员工安全意识教育等在内的数字化转型内功都还处于零的阶段。这就会带来新的安全问题,在我看来,无论是医疗健康、远程办公、在线教育还是传统零售等各个行业,这些新场景都是中国互联网向荣发展的体现,也无一例外都会与业务安全、数据安全以及合规安全紧密相关,用户的个人数据,企业的重要数据,企业业务的连续性等都是不容有失,需要持续保障的;同时,如何给予企业和社会以可信任的安全,真正营造出安全诚信,这些都是需要格外关注的重点。安全不是免费的,安全很贵。希望更多的企业,更多的人可以意识到安全的重要性与价值,愿意花费金钱、时间与人力去打造企业自身的安全,打造互信的安全。在机会来临之前,苦练内功打造自身的品牌和实力,建立生态,形成合力,共同探索细分市场下网络安全的发展方向,并配合政策和监管的驱动,让安全产业的规模得到扩大。产业互联网所呈现的一大特点是生态的融合,保护产业互联网的安全意味着对这个产业生态做到全链路、全生命周期的安全防护,这便是区别于传统网络安全,“产业安全”的意义和价值。因此,站在产业互联网的角度来看,产业安全同样需要建立生态,以生态的力量共同回答产业生态的庞大命题。简以腾讯为例,通过腾讯安全自身的技术积累,以及生态伙伴的合力,打造办公协同、数字政务等产业互联网场景的原生安全能力,让用户在业务正常开展的同时,享受基于账号、数据、内容等全方位的安全防护。疫情当前,密集出现的大量互联网解决方案显然存在安全的巨大短板;而安全产业在这些解决方案上能力的赋予和集成,无疑是产业安全生态建立的最佳时机。
疫情期间,无论是医疗健康、远程办公还是在线教育等的开展,云计算作为基础计算资源都扮演着至关重要的角色。但在后疫情时代,云计算在各行各业的加速融合,又会给云安全带来巨大挑战。Q:云计算在我国的发展非常迅猛,疫情对其影响如何?如何判断安全对云计算产业的价值?通过此次疫情,国内的用户将进一步认识到云计算的重要性,认识到云计算所具有的独特优势,包括弹性、应变能力、安全、体系、机制以及基础设施等。而当用户更好地受益于云计算以后,就会使其步入新一轮高速增长的过程。目前,有相当一部分的互联网头部企业将自己未来五年内的现金流重点聚焦在了云计算上,这充分说明云计算迎来了很好的发展契机,但这也同时意味着必将伴随着激烈的竞争和淘汰。在我看来,无论是云计算基础服务提供商还是云安全厂商,品牌都是第一位的。知名度的高低,可信赖的程度,资质上的差异,会很大程度决定云厂商生存的空间。品牌之后,我认为厂商间的协同亦非常重要,建立完善的生态圈能够有力的推动发展。云服务厂商无法做完整个云平台的所有事情,需要的是和生态圈内企业之间的协同与配合,通过第三方的技术对云服务做好补充。就拿云安全来说,各类云安全厂商的第三方安全能力的补充,安全咨询服务,合规保证,安全硬件产品等,这些配套的完善度和协同能力将会影响企业对于云计算提供商的选择术业有专攻,从产业互联网的角度出发,这就是一个从上游到下游贯穿全部的过程。谁能够补充得更好,就可以走得更远。对于B端用户,“安全性”是检验云平台的重要指标,可信任的安全厂商是选择的基础,只有具备相关的安全资质、证明,才能够给用户建立相应的信任度和安全感。普华永道长期与腾讯开展合作,帮助云厂商合规相应的安全资质,但我认为在这之上还有更大的空间,还需要云厂商与云安全之间更好地协同补充,通过集成云安全为用户提供更安全的云服务,才可以应对当前产业互联网升级提出的挑战。值得肯定的是,中国的云计算行业已经达到了全球领先的水准,接下来需要做的,就是改善用户拥抱云计算的态度,浇灌好云计算的土壤。这不是某一家企业可以独自完成的事情,我希望云计算领域可以形成健康的生态,通过行业内每一个参与者的共同努力,提升云服务商、云安全厂商及其解决方案的能力和水平,从而更好地保障云计算在推动产业互联网升级和数字化转型中发挥的重要作用。作为云厂商,更需要发挥核心地位的优势将产业上下游打通,在提供用户云服务的同时,集成安全的能力。只有这样,用户才能够安全地上云,上安全地云,才能够真正拥抱云计算。单从行业发展和技术突破来说,我国云计算的确已经达到了较强的水平;但与发展势头相悖的,却是大量传统产业用户对于云计算的拥抱态度还不够。笔者认为,用户与云计算之间存在着“信任”的鸿沟——对于用户,冲击的是习惯;对于云厂商,拷问的是安全。
借由此次疫情,用户的习惯发生了极大的改变,这一改变将会随之延续。因此对于拥抱云计算,用户群体率先迈出了一步,接下来就该轮到云厂商证明自己的安全性和成熟度。需要站在生态的高度上,形成可持续的云产业生态,通过生态伙伴之间的相互串联合作,打造更安全的产业云。
产业互联网在此次疫情期间机会的放大,很大程度上取决于行业间的生态联动的积累。对于产业互联网来说,必须重视云计算的重要作用。而通过建立生态,共同打造“更安全的产业云”的方式,则可以更好地助力产业互利网发展。Q:目前网络安全技术的提升是否满足需要?通过生态的手段能否解决现存的痛点?目前来说,网络安全总体上还属于成长阶段,没有绝对的成熟方案。并且道高一尺魔高一丈,安全没有终点。单一的企业力量非常有限,并且安全的跨度较大,不可能依靠某一家安全企业解决所有问题。因此,形成产业生态是必然,也是必要。这将能够更好地促进安全产业发展,为产业互联网升级提供强有力的保障。就我个人而言,我希望产业生态的方式能够一直延续。因为这种全链路的合作形式是非常好、值得推荐且应该持续的;而整个安全产业乃至互联网产业共同合作将蛋糕做大,是一件非常必要的事情。在我看来,TOP级的企业在生态建设的过程中需要扮演重要的角色,起到牵头和表率作用,通过更加开放的方式,让生态伙伴之间能够公平合理地开展合作,形成良性合作竞争的氛围,让这个产业的规模越做越大。随着中国“人口红利”的减少,抄袭复制的模式不可能持续发展,要有自己的东西,只有扎实苦练做好内功,拿出真正优秀的自有品牌和服务,才能够把生态做好,才能够携手生态一起输出更多的能量。正如两位专家所说,单一的力量非常有限,无法依靠一家企业解决所有的安全问题;且生态的建立,可以更好地将安全产业持续做大;安全能力的提升,则可以在产业云最好的机遇面前,填补拥抱用户的最后一道鸿沟。实际上,生态协同越来越成为行业发展的一个共识,也将成为安全产业发展的重要基础。面对越来越复杂的产业互联网场景需求,已经没有任何一家安全厂商可以独立提出完备的解决方案,而能力互补、合作共建,已经成为行业大势所趋。早在2017年CSS互联网安全领袖峰会,腾讯便联合天融信、卫士通、启明星辰、绿盟科技等国内13家上市安全企业发起安全领袖俱乐部,旨在共同探索产业合作与发展,而在2019年这一组织已经扩大到17家。
从2018年5月正式施行至今,欧洲数据保护当局已开出了与GDPR有关的200多张罚单。包括数据安全厂商SECURITI.ai和BigID先后夺得RSA2020创新沙盒冠军,在全世界范围内,政策驱动对于产业安全的发展至关重要。
Q:网络安全技术基因和发展空间来自于互联网,但自身又表现出非常强的政策监管特征,这对安全产业的发展是利是弊?首先必须要认识到的一点是,监管政策的驱动对任何行业的发展都非常重要。就像企业KPI对部门考核一样,监管政策就是一根指挥棒。因为安全的一个重要的目标就是合规,围绕等保合规开展的相关咨询、服务是当前网络安全的热点之一。随着近年来网络安全上升到国家安全的战略地位,关键基础设施网络安全保护基本要求和攻防演练非常需要关注。当前,远程办公安全、移动安全接入、互联安全等随着移动办公的普及、产业互联网兴起成为了刚需驱动;而由此产生的数据合规隐私保护更是政策渠道的重中之重。除此以外,像DDoS防护、网站防护等也在产业化的驱动下演变成刚需热点;而以安全前置或左移为驱动力,包括政策合规要求也是安全前置,下阶段代码安全、DevSecOps等也将成为发展方向。作为互联网平台,需要改变原有通过获取个人隐私而获利的商业模式;而作为网络安全企业,则需要关注以下三点:3. 关注产业核心需求,不要为了概念而概念,比如态势感知、大数据分析、人工智能、区块链等。拿着锤子找钉子的模式成功概率较低,而是要从企业核心需求出发打造核心能力。未来一段时间需要安全行业注意的相关政策法规主要有三方面,一是“关键基础设施网络安全保护基本要求”,二是“隐私保护和GPDR”,三是“等保2.0”。当前对于云计算的应用得到了极大的开展和普及,而由线上业务和云计算所带来的数据安全、隐私保护都需要赋予极高的重视,因此这些法规对互联网从业者都有极大的影响。我相信,随着互联网应用、产业互联网发展,会有更多相关的法规出台,保护公民权益、保障国家安全。网络和信息安全越来越成为每个企业发展的最关注的内容,对安全产业的发展是利好。从2015年的互联网+、2017年的数字经济到2018年的网络强国战略,国家及政策利好使得互联网产业的发展有了更清晰明确的规划和更加坚实的后盾。故而产生出一个重要的认识:政策驱动对行业发展起到了决定性作用。如果说疫情按下了产业互联网的发展“加速键”,那么产业互联网的加速无疑为产业安全开辟了一条新的高速通道。笔者认为,此次疫情期间所衍生出的新的安全问题,一定会在未来一段时间加速相关安全政策的落地。产业安全如何应对挑战成功抓住机遇?小到安全公司,需要苦练内功提升竞争力;大到安全产业,需要立足于生态,配合监管和政策的驱动,进一步扩大产业安全的规模。
随着数字化升级的不断推进以及云计算等新技术的深度应用,产业互联网迎来了最好的发展时机;而由此产生的包括数据、业务、账号和隐私保护等安全问题,将会使产业安全在2020年迎来爆发。这是时代的机遇,是安全产业能够进一步体现自己作为互联网发展支柱价值的历史性拐点,如何抓住机遇乘上产业互联网飞速发展的快车,就成了安全产业乃至整个互联网产业共同思考的问题。但是,产业安全的内涵会随着时代的发展不断完善和丰富,并与时代的主导经济形态和社会泛在需求相适应、相匹配。很显然,随着产业互联网的加速发展,产业安全的边界也将进一步拓展到企业、行业、产业乃至全社会维度,从宏观生态的视角看待。因此,我们需要建立完整的产业安全能力。在去年7月举行的第五届互联网安全领袖峰会(CSS 2019)上,腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生表示,数字化已经贯穿企业研发、生产、流通、服务等全过程,这其中无不涉及安全需求。要解决数字化的安全问题,就需要站在战略的高度上部署安全,将安全真正变成CEO的一把手工程。这显然不是某一个行业和某一家企业能够独自完成的革命性课题。立足于生态,进而从整体上实现能力的进化,充分打通上下游形成串联,围绕产业互联网中的各个形态将安全得以集成,才能够建立完整的产业安全能力,迎接机遇的到来。很显然,产业的发展已经为安全打开了前进的大门,政策的相继出台也会进一步为安全的发展提供强有力的驱动。我们要做的,就是站在生态的高度上,通过生态间的开放资源和优势互补,让安全行业在分享产业红利的同时,实现自我增益。更好地发挥安全在产业互联网中的重要价值,打造出更强大的产业安全生态,为产业互联网的爆发添一把火。国家市场监督管理总局 | 深圳宝安区政府 | 公安部交科所 | 深圳金融办 | 信通院 | 深圳公安局 | 招商局集团 ……中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……如祺出行 | 祥鹏航空 | 电科航电 | 蔚来 | 深圳地铁 | 国铁吉讯 | 广汽集团 | 上汽集团 | 滴滴出行 ……贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 宝洁 ……同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | YY直播 | 快手 | 知乎 | 熊猫直播 | 京东 | 顺丰 | 蘑菇街 ……