作者：腾讯副总裁 马斌

今年1月以来，新冠肺炎疫情对我国的社会运转、经济发展、企业经营、个人生活造成了巨大的影响。随着大量企业和居民的活动转到线上，线上教育、远程医疗、在线协同办公的用户数量迎来了爆发式增长，“人”的因素迅速成为当前这一特殊阶段应对安全风险的最明显特征。近日，某云服务商SaaS生产环境及数据遭到员工破坏，严重影响客户业务运营的案例就给我们敲响了警钟。

就在我国即将迎来战胜疫情曙光的关键阶段，2月24日-28日，全球信息安全领域风向标RSAC在旧金山召开。无独有偶，今年大会主题为“人是安全要素——关注信息安全社区中人的价值”，这反映出 “人”对安全建设的影响已然成为未来的安全趋势。

在“网络安全为人民，网络安全依靠人民” 理念指导下，“以人为本”已成为我国各行各业信息安全建设的共识。下面，笔者将通过一些管理和实战经验，与大家分享如何通过激发“人”的价值，在企业中系统地建立安全能力矩阵，兼顾疫情防控和复工复产的需求，筑牢产业互联网新时代的企业安全防线。

一、“上医治未病”——让安全意识渗透到到每一个人

在产业互联网的驱动下，数字化已经成为未来每一个企业，包括数字中国的建设的必经之路。与新冠肺炎病毒对人体的损害相似，黑客、黑产等网络威胁就是整个社会信息化运转中的“病毒”。

在与“病毒”的博弈中，如果企业不建立充分的防范意识，不进行前置的安全投入，就一定是输家。安全是整个行业基础设施最底层的保障，安全的基础性保护就如同我们看中医一样，“防未病，不得病”。

在数字化的进程中，还有很多个人甚至企业主把安全当做成本意识，然而在当今的安全形势下，一旦发生安全事故，带给企业的损失是不可估量的。一方面我们要通过攻防对正在发生破坏作用的病毒予以对症治疗，另一方面我们也需要建立有效的预防、情报与管理规划体系，并让安全意识渗透到每一个人，通过强化人的安全能力与安全意识，实现“上医治未病”。

二、从CEO到员工——将安全作为企业的战略关注

企业的管理者，尤其是一把手的战略前瞻能力，与企业的生存和发展直接相关。要解决数字化时代的安全问题，需要企业从经营战略视角进行统一规划，建立系统性的安全防御机制。与此同时，安全在企业中是否受到足够多管理者及员工的重视也是“以人为本”安全理念落地的关键一环。

根据CIO网站调查数据，25%的受访企业拥有CISO，11%拥有CSO，17%拥有另一位头衔不同的高层安全管理人员——这意味着近一半的企业还没有为安全团队任命任何高层管理人员。伴随着数字化贯穿于企业研发、生产、流通和服务的全流程，企业的所有环节都需要安全保障，所有人都要具备足够的安全意识与安全工具。体现在企业的管理责任上，企业需要将安全置于最高等级的战略高度，就是需要企业CEO亲自抓。正如腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生在第五届CSS互联网安全领袖峰会提出的：“安全不再只是CTO、CIO们的工作范畴，也需要CEO的战略关注，产业互联网时代，安全正成为CEO的一把手工程。”

在RSAC大会今年收到的2400份发言申请中，众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是数据安全方面，大量数据显示企业员工有意或无意的行为，是致使企业数据资产泄露的罪魁祸首，除CEO之外，企业全员也必须建立起充分的安全意识。以文章开头提到的某云服务商SaaS生产环境及数据遭到员工破坏的案例来说，技术上双向备份或数据操作双重多级审核机制都可以避免类似事件的发生，但再完善的手段也解决不了恶意破坏的问题，归根结底还是企业从高层到员工安全风险意识不够。

三、核心安全驱动力——组建超前的安全团队

企业中数据生产后就会进入传输、存储、处理、分析、访问与服务应用等各环节，且周而复始如同流淌的血液，而这些环节涉及到研发运维人员、最终用户、服务器、办公终端、内外网络、大数据分析平台、云平台等各个部分，组建一支“召之即来、来之能战、战之必胜”的安全队伍至关重要。这里分享一下腾讯在安全人才培养和能力建设方面的一些思考与成效：

一是要充分预判不断升级的安全需求，对安全队伍的打造和能力培养提供长期充分的支持。

安全本质上是人与人之间的对抗，扎实的安全人才体系是开展安全工作的基础。腾讯在过去20余年的发展中，面临着各种业界最复杂的安全挑战，这就倒逼腾讯在信息安全建设方面的持续投入。腾讯建立了超过3500人的服务团队，腾讯七大安全实验室吸纳了TK、吴石、yuange等安全行业Top级白帽黑客，专注安全技术研究及安全攻防体系搭建，支撑起安全服务的“前台、中台、后台”，构建了一张涵盖安全攻防、威胁情报等多个领域的安全防护网。

二是要赋予安全团队充分的信任与授权，尤其是鼓励安全团队培养超前的技术与能力储备。目前云计算在国内发展迅猛，随之而来的是云端数据和业务的安全防护难度的提升和需求的增长，这就要求企业在上云过程中，针对云安全进行充分的安全能力储备，同时在企业各个层面打通安全团队与业务团队之间的障碍。以腾讯为例，七大安全实验室与安全平台部超过300人协作成立“云全栈安全研究工作组”，对云安全展开全面、前瞻性的研究，将安全服务内置到云中,致力于打造让客户放心的云平台。

三是要确保安全团队的成长性，不断提升实战能力。报告显示，2019年勒索病毒、挖矿木马持续传播，高危漏洞频繁爆出、信息泄漏事件频发。随着安全对抗不断升级，网络攻击将进一步加剧，尤其是随着云计算的发展及5G的普及，越来越多的企业将业务转移到云上，攻击面的增加将使企业面临的环境更加复杂。企业安全团队面临的对手越来越有技术含量，破坏性也越来越大，这就要求企业在建设安全团队的时候必须采取“动态”思维关注其成长性，通过实战提升团队的监测、响应、防护能力。

腾讯安全团队通过“以赛代练”取得了很好的效果。2018年，腾讯在四大网络安全国赛包揽三项冠军，夺得贵阳大数据及网络安全攻防演练中攻与防的双料冠军。在某国家级重保行动中，阻断TCP攻击近20亿次，阻断WEB攻击近300万次，封禁IP6.8万，实现0事件通报、0失分。红蓝对抗“打自己”也是腾讯安全团队的常态。不定期举行内部安全攻防实战对抗，联合众多安全团队，在合规授权的前提下站在“攻方”视角寻找业务漏洞，通过模拟真实情况下的攻防，检验实战对抗、漏洞挖掘、入侵检测等方面的安全防护水平。

四、借助平台与生态的力量——提升安全能力建设的“性价比”

目前，我国企业超过3000万家，这些企业从所属行业、规模、发展阶段等等各种维度来说千差万别，很难用一个通用的“安全公式”去套用。在产业互联网的实践中我们发现，在安全层面，对处于产业数字化转型期的企业而言，正面临两大普遍困惑：第一，不知如何评估安全构建投入的成效，尤其对于一个成长型企业而言，从无到有建安全团队、研发技术，显然是一个过重的负担。第二，这些转型期的企业普遍缺乏相关经验，而产业数字时代的市场竞争瞬息万变，安全建设的滞后性显然已经成为企业数字化发展的掣肘。

对于广大正在进行数字化转型的企业来说，安全建设不是“是”与“否”的选择题，而是必须投入但又必须量入为出的“投入产出比”问题。借助成熟的平台和行业经验，是这些企业加速数字化转型的最佳选择。

2018年，蒙牛成为FIFA世界杯全球赞助商，拨出了2亿元现金红包与消费者互动，也因此成为"羊毛党"觊觎的目标。作为一家零售企业，蒙牛既无法在一夜之间建立能够抗衡150万羊毛党的安全防护体系，也不可能因为安全能力的缺失错失市场营销的重大机遇。腾讯云天御团队为蒙牛提供的精准识别、实时判断和分级处理的营销风控，为蒙牛节约至少10%、约千万量级的营销资金，避免了恶意数据对后续营销效果分析的干扰。

在全民抗击新冠疫情期间，小程序发挥了不可替代的作用。疫情查询、疫情防治、口罩购买、物资捐赠、线上买菜、在线教育、云会议……小程序不仅承载着守护公共卫生的安全，也成为企业复工的最佳拍档。然而，海量的小程序普遍需要在5-10天的极限时间完成上线，并快速进行服务功能的迭代和升级，需要满足极其严苛的安全标准。尤其是政务、医疗等公共服务类小程序还涉及到海量用户的个人隐私信息，更是不容有失。除此之外，超大规模的小程序还面临着网络复杂跨网交换、超出平时数倍的运营压力，安全风险非常高，大量的小程序开发企业，无法在短时间内建立相应的安全防护屏障。针对这一背景，腾讯安全推出了“微应急”安全防护方案，包含T-Sec应用级智能网关、测试服务WeTest、T-Sec安全运营中心和T-Sec网络资产风险监测系统组成的安全运营体系、云基础安全产品体系以及独具特色的腾讯安全专家服务等产品矩阵，为小程序提供身份认证、终端安全、数据安全、网络安全、威胁感知、安全运营等保障，从小程序开发阶段就嵌入安全基因，保障小程序从上线到运营的全生命周期和全体系的安全。

即便是自身具备极强安全实力的厂商，安全平台和生态依然极具价值。

从2017年1月至2018年2月期间, 腾讯安全针对不同宝马车型进行了全面测试,总计发现并配合修复了14个安全问题。宝马集团评价,这是迄今为止对宝马集团车辆进行的最全面、最复杂的测试,并由此授予腾讯安全全球首个“宝马集团数字化及IT研发技术奖”。

2019年3月，科恩实验室发现了特斯拉Model S轿车的自动驾驶系统存在三大漏洞，包括可以在外部激活车辆的雨刷、使用无线游戏手柄控制Model S的转向系统，另外在道路上设置标记会欺骗Model S的自动驾驶系统。这些漏洞被特斯拉第一时间修复，避免了安全隐患。

腾讯安全目前已形成了覆盖身份安全、网络安全、终端安全、应用安全、数据安全、业务安全、安全管理、安全服务等八大领域的全栈安全产品体系，以及面向政务、金融、零售电商、交通出行、医疗、游戏等行业的系统解决方案，全方位满足企业复杂多样的安全需求。

五、“以人为本”——筑牢产业互联网新时代的企业安全防线

我国经济发展正处于一个关键的历史阶段，消费互联网到产业互联网的演进正在推动金融、政务、交通、零售、工业等行业加速与互联网、AI、大数据、云计算、物联网、IoT等新兴技术结合，国民经济正处于思维碰撞、模式更迭、技术探索、产业链重塑的重大转折期。

无论是疫情带来的短期压力与挑战还是长期时代变革中出现的新发展、新机遇，安全都是至关重要的命题，安全问题既是底线，也是制约企业发展的天花板。在产业互联网时代，企业的安全能力建设，是一项贯穿企业全生命周期，涉及全部业务、单位与人员的持久战。和任何战争相同的是，无论技术如何演变，攻防角色如何变化，“人”都是其中最为关键的要素，谁能够真正做到“以人为本”，谁就能够在这场持久战中取得最终的胜利。