在数字经济高质量发展的顶层设计牵引下，企业数字化转型成为浪潮，在此过程中，各行业、各机构面临的风险敞口也在持续加大。作为重点互联网企业代表，腾讯经历了中国互联网的全部周期，其如何做好业务安全？对比传统安全厂商，互联网企业的数字化安全实践有何不同？在转战产业互联网的过程中，他们又如何理解国内产业升级过程中企业面临的安全风险与挑战？9月5日至11日，2022年国家网络安全宣传周在全国范围内统一开展，值此期间，南都专访了腾讯安全副总裁黎巍。

业务上线之初就要把安全纳入考量

南都：在社交网络业务安全、云计算安全领域，近些年面临的安全威胁和以往相比有什么变化？

(相关资料图)

黎巍：社交网络安全这些年发展下来，没有太本质的变化，主要还是依托于整个移动互联网的发展面临的一些威胁，如我们经常遇到的各种网络攻击、欺诈的威胁。云安全领域，也是B端安全这一块，最近几年发展非常快速，而且面临的威胁挑战也比过去遇到的更大。首先，我们看到的网络攻击，无论是从流量还是威胁上看，都更大。其次，新型的安全威胁，比如说这两年勒索病毒、IoT的一些攻击，也会比较多。所以这两个领域相对来讲，可能在B端云安全这一块遇到的威胁和挑战更严峻。

整个腾讯安全，最近几年主要聚焦To B的安全，现在也围绕云安全构建整个安全体系，包括基础安全和业务安全，最近几年都在发力。在基础安全方面，面对国内外的网络攻击，包括防DDoS的一些攻击方面的建设，这几年投入蛮多。在零信任的一些信息安全领域，也在加大投入。我们基于云原生构建的这些安全能力和服务，也是我们这几年重点投入的方向。此外，我们在面向业务场景的安全做了非常多的探索，包括在反欺诈，包括网络和电信安全，各种流量方面的业务安全攻击方面，是我们这几年大力投入和发展的方向。

南都：数字经济蓬勃发展，如何满足数字经济发展过程中的安全需求？需从哪些方面发力？

黎巍：数字经济发展和满足安全需求不能分割来看，顶层设计部署也要求统筹发展和安全。数字经济发展过程中的安全是一个系统工程，需要政府、企业主体、安全厂商、行业协会、科研机构等多方责任主体携手共建，形成产学研的良性循环。

从安全投入的角度，明确预算，由于数字经济必然带来全新的业态，势必会诞生全新的风险场景和安全需求，安全防护不能“头疼医头，脚疼医脚”，要在相关业务上线之初就把安全纳入其中考量，不能等事情发生了才补。

从安全实践的角度，升级安全防护理念和策略，立足于实战和极限挑战，不是堆砌一些安全产品就觉得做到了。

南都：以数字经济强省广东为例，各行各业应对过哪些网络风险？目前有哪些可圈可点的安全实践？

黎巍：网络安全攻击是“高趋利”的，因为发动攻击也需要成本和门槛，这注定了广东这种数字经济发展前列的地区肯定会遭受更多威胁，诸如：网络攻击、勒索病毒、黑产流量攻击、电信与网络欺诈等，这些风险都很常见。

广东在拥抱数字化的过程中很多领域也都走在前列，比如：数字政务、防范电信诈骗等。除此之外，广东地区在应对金融风险方面的实践也摸索出了一套“深圳样本”。

2018年开始，地方金融监管部门纷纷与科技公司合作探索监管科技的运用，深圳市金融办就和腾讯合作，基于人工智能的平台识别和知识图谱的平台风险指数计算，全面监测互联网上活跃的类金融平台。对发现的高风险及时预警，真正实现针对非法金融活动的“打早”和“打小”。

法律规范倒逼安全厂商加强技术创新

南都：近年来出台的《网络安全法》《数据安全法》《个人信息保护法》等法律法规对安全服务商和各领域企业带来哪些影响？

黎巍：对于安全产业毫无疑问是进一步激发了活力、细化了安全赛道，同时也进一步倒逼安全厂商要加强技术创新，打磨产品和解决方案。尤其对于金融、互联网等数据密集型行业的安全需求而言，如何在合规的基础上最大程度的激发数据价值，就涉及隐私计算、人工智能、区块链等前沿技术的综合运用。

对于企业，法规的出台也进一步强化了安全建设的合规导向，这将越来越多成为很多企业开展安全建设的起点，未来企业要在市场竞争中拔得头筹、赢得用户信赖，安全能力将成为一大核心竞争力。

南都：随着数字化转型浪潮加剧，对中小微企业而言，在安全投入方面，无论是意识、技术、人才还是资金，有的还处于非常初级的状态，如何解决这一问题？

黎巍：以前很多人常说安全是“奢侈品”，不是切身遭受过安全攻击的企业很难系统地投入安全建设。现在安全对于企业而言是“必需品”，是数字化转型的底座。企业的确可以根据自身发展情况合理选择适合自己的安全策略，但数字化深浅和安全建设的映射关系是战术层面的不是战略层面的，无论处在数字化阶段，企业都应该把安全放在战略高度，具体安全实践时可以“量体裁衣”。

与此同时，伴随数字化技术的发展，安全产业现在也比以前有了很多发展，安全能力可以通过云化的形式高效的交付，大型云厂商的安全能力有专业、常态化的安全团队护航，对于安全根基较弱的企业而言，上云能帮助他们显著的补齐安全短板，迅速提升安全水位。

对于中小企业而言，以往做安全建设确实是一个挑战，特别是自己招募团队，从头做安全建设是一个沉重负担，但近几年随着云计算发展深入产业，中小企业立足云平台发展业务，是比较经济的一个考虑，相对来说会比以往更有优势。

安全产业要进一步加强生态协同

南都：目前网络安全服务厂商投入的重点领域和方向有哪些？头部互联网企业做安全与传统安全厂商相比有何特点？整个安全行业存在哪些问题和挑战？

黎巍：网络安全本质属性还是“伴生”的特点，哪里数字化程度高，哪里的数据资产密集，哪里的安全需求就大，例如政务、金融等都是安全厂商的关注重点，除此之外，以腾讯安全为例，也会关注安全能力在对抗电信诈骗、金融欺诈、盗版侵权等社会价值层面应用，致力于践行科技向善。

互联网安全厂商的特点就是原生的数字化企业，自身经历了大量的数字化安全实践。以腾讯为例，经历了中国互联网的全部周期，从而沉淀了20多年的黑灰产对抗能力和经验，能够更好地理解客户的业务场景。

目前而言，安全行业正在迎来新一轮的高速发展期，零信任、智能风控、监管科技、隐私保护等各个赛道都在涌现极具潜力的创新型企业。安全产业在越来越细化的同时也需要越来越凝聚。很多大型安全项目涉及的领域是十分庞杂的，几乎没有一家安全厂商能单独完成，一定要举生态之力携手筑牢安全底座。

那在生态共建的过程中，各个厂商可能还是会奔着一些热点去，比如今天出了勒索病毒，大家都在攻勒索病毒，就整个生态而言，需要兼顾短期还有中长期的方向，而不只是短期目标。各家厂商都有安全能力和产品，这些能力和产品如何协同和形成体系，值得探索。

南都：近几年腾讯投身产业互联网，腾讯安全的业务布局如何与之同步？

黎巍：我们所有的安全业务布局都是面向产业互联网的，不仅仅是腾讯，其实各行各业都在发展产业互联网，现在我们To B的安全其实就是面向整个产业互联网的发展来布局和构建的，因为毕竟要服务于产业互联网，我们有各行各业的客户，这些客户面临的一些问题挑战其实就是腾讯安全需要去解决的。

南都：在网络安全领域，当前工业界和学术界的聚焦点有何异同？安全厂商如何参与人才培养？

黎巍：其实工业界和学术界更多情况下是越来越接轨的，网络安全的对抗是人的对抗，攻防对抗、实战永远是安全的本质。尤其是在近十年的发展中，很多安全厂商都和高校通过共建安全实验室的方式，互相输出安全研究和安全经验；与此同时，全国广泛开展的例如CTF的安全竞赛，也通过以赛代练的形式，加深学术界和工业界的联系。

互联网企业相对传统企业而言，会面临更多来自业务逻辑层面的风险，也叫做“业务安全”，例如羊毛党、黄牛党、违规内容、虚假广告等等，因此互联网企业做安全会更加关注业务发展，安全建设不仅仅是企业的底线，更是决定企业发展的天花板。

（文章来源：南方都市报）