freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业上云如何享受普惠安全红利?
2020-11-17 11:51:37

当今现代社会每一个人都享受到社会的公共资源的各种普惠红利,比如说水、电、煤,以及IT信息基础设施。伴随着数字化进程不断提速,安全已然成为产业发展的底座,普惠安全正在成为供需双方都要思考的命题。

为了进一步厘清普惠安全的内涵与价值,推动普惠安全落地的进程,由中国产业互联网发展联盟及安全专业委员会指导、腾讯安全联合数世咨询发起的「产业安全观智库访谈」栏目汇聚业内专家带来了一场关于「普惠安全」的诚意对话。

数世咨询创始人李少鹏、中电科太极股份数字安全事业部总经理郭峰、801网络空间安全研究院执行院长文珠穆、工信部网安产业中心副主任李新社以及腾讯副总裁马斌纵论普惠安全,结合政府、行业评测机构以及行业头部企业、安全服务商等多视角的宝贵经验,从科研分析、行业前瞻、企业实践等多个维度,探讨普惠安全落地过程中的各个环节和价值,助力推进业内各领域核心安全能力的集成。

01普惠安全的核心价值是什么?‍

网络安全基础设施

文珠穆:在这个时代,如果数字经济没有网络安全保驾护航,它就像在沙滩上的城堡,它是没有根基的。

我们今天讨论的普惠安全,是由国家统一建设,这个经济基础是网络安全的经济基础,我们有关键设施的经济基础,但是它把网络安全单独提炼出来,叫网络安全基础设施,类似于传统的水、电、气。各个社会、单位、使用者就是遵循这个接口,享用这个服务,降低企业和个人使用的门槛和建设门槛。

新基建+安全?新基建本身包含安全

李新社:新时代的安全应该在建设的时候,就融入在了建设基础里面,不是建成之后为了安全再加一个什么东西。过去盖房子的时候要打地基,盖楼的时候首先要想好抗震性、楼的安全性等,这就是新盖大楼时要考虑的基础的东西。

我个人认为在谈到新基建、新时代的时候,安全已经在这个中间是不可或缺的东西了,如果有人说新基建加+安全,我认为这是不对的,因为新基建本身就含了安全,如果再加安全就相当于贴膏药,买了计算机再买防火墙,买了什么东西再买什么东西,这一套系统来了它就是安全的,或者说是基本安全的。

这也是普惠安全的一个核心价值,安全是内生的,老百姓在用它的时候,他就会觉得我用它就是安全的,最后不知不觉地享受安全。

02在推动普惠安全的过程中,都有哪些角色?‍

推动社会认知转变

李新社:现在相关的政府机构、单位做的第一件事是转变认识,不是转变政府的认识,而是转变全社会的认识,我们过去谈网络安全好像是厂商的事情,不是这样的,政府在这个中间起到的作用是:

第一,告诉大家在新时代数字化这么普及的情况下,安全是所有人必须关注的事情,我们不能光享受安全,不为安全付出什么是不行的。对于国家来讲,我引导了什么安全的方向,比如说基础安全、云安全,引导让大家在这个中间,就像听说的内生安全也好,原生安全也好,产生的时候就是安全的,为什么是这样的呢?你过去为什么不这么做呢?因为你的思想要转变,所以今天你再建云也好,建基础设施也好,如果你只谈过去的老建设的概念,不谈安全的本质机制,这个事肯定是不行的。所以,政府现在要做的第一件事是要转变认识,转变全社会对安全的认识,这是第一个大问题。

第二,转变这个认识之后,它的产业如何跟着这个转变,以及跟着新时代的要求,在这个中间,在你的底层也好,在底层之上也好,在更上面也好,如何形成它的经济活动,这个地方要保障,比如我们的产业大范围要做什么,传统的就不能怎么怎么,就是这样的。

所有的企业、政府和一般的普通老百姓,在享受这个安全的过程中间,你也要遵守新规则,我说的这个新规则不是老概念,你在数字化的情况,什么信息你能够用,什么信息不能用,这是有新规则的,过去没有这个东西,所以你要遵守新规则、新法律,你自己的思想也得转变,而不能一方面一味的要求政府做什么,也不能说企业必须做什么,因为所有的东西都是新的,没有谁在之前见过这个时代,为此我们要探索这个时代新的特点,转变认识,探索到一定程度的时候,你有经验、想法了,它的基础也好了,在这个之上你搞好自己的经济活动,再进一步的探索,应该是这样的一个过程。

网络安全人人有责

李少鹏:我们不仅要享受普惠安全,作为它的享受者,其实我们也是它的维护者,如同环境是干净的,空气是好的,我们也不能污染空气,也不能随手扔垃圾,对于安全也是这样,我们不是光躺着想安全,网络安全人人有责。

而且一个新时代最重要的一个转变不是你看到某些技术、产品、应用的出现,真真正正一个新时代转变成功的标志是人们对这个新时代的认知。

核心是价值不是价格

郭峰:我们其实一直在服务党政军和国防这个领域,这完全是一个观念的转变,2014年我接受到最大冲击的观念转变就是上云和不上云,开始好像云来了,大家对于上云的价值和安全有一个把握,这是一个非常直接的冲击。

2018年的时候,所谓的物理世界和数字孪生世界,这两个本质性的改变,刚才谈普惠安全这件事,谁来付费呢?国家要对国家的关键信息基础设施,尤其是公共的信息基础设施,要提供国家级的保护可能是由国家来付费,人民来享受。但是里面有一个问题,比如未来的数字世界用“三个万”代表。

第一个万是“万种场景”,尤其是5G来了,这个场景化会更多,不管是工作,还是娱乐、生活,谁享受这种万种场景的便利化,理论上应该是付费,但是对于国家级的这种,应该由国家来做,对于个人来讲,应该个人付费,比如很多个人的移动终端,到他访问到的公共资源的平台,例如不用再去办公大厅,就可以在网上办事

第二个万是“万云时代”,我经常说国外的云是两朵、三朵云,国内的云是千朵万朵云,所以2014年看到现在这个趋势来讲,万云时代已经是承载数字社会的基石。

第三个万是“万物互联”,等5G来了以后工业化。

那我们进入第二个场景,就是普惠安全,国家安全、公共安全、企业安全、组织安全、群体安全,个人数据形成群体都在云的平台。那么谁来享受这个普惠?其实大家都在享受,但是谁来付费、谁来供应,供需双方是谁?这是经济学的角度。谁买单,普惠免费还是收费,取决于我的价值和我愿意不愿意给你买单,你只要提供有价值的东西我就一定会用。所以,普惠安全也好,我认为都是相对的,不是一个绝对的概念。

03普惠安全如何更好的在云上实现?‍

云原生解决效率和体验

马斌:数字化已经变成基因。我们说这个人成长起来,有了这个基因开始,他长成成人的话,他自然就带了这样的体系,而不是给他贴一个膏药上去。我们今天做的所有上云的工作,走数字化的进程,包括云原生概念的提取,实际上都是走向了数字化、智能化,未来以后这就是这个时代的基因。你重不重都得必须踩准这个时代核心的基因。

所以,在这个底层的背景下,上云的这个概念其实就是一个解决了数字化里面最主要的地方,互联网和数字化解决的就是这两个词:第一,效率。第二,体验。

所以,种下什么因就会产下什么果,我们今天的安全就是要种下什么样原生的因就会产生什么样的果。刚才我觉得要改变认知,因为我们今天每一天都要做决策,我是采用这朵云还是这个平台,这些理念当中我是不是要加这些产品,你是加不加防火墙,我怎么做好这个安全。

这些过程是从认知开始,你所有的决策是根据你自己的认知,可是我们的认知都是停留在PC阶段、移动互联网阶段,可能2020年所有的行业全部上云,今年疫情让我们所有的行业GBC,你上不上都得上。

当这个时代全部要走向数字化、云化的过程当中,你的认知还停留在过去的PC阶段、移动互联网阶段,你觉得你能符合未来的发展潮流吗?

所以,改变认知才能做出正确的决策,在这一点决策上一定要符合大趋势,在这里面找到什么样的是核心的基因,核心的要素,我们在这个基础上,我几个要素就是非常重要的。

所以,把效率做完之后第二个就是体验。我必须要把我的体验做好,我的体验是什么体验?就像刚刚讲的,我把我的个人信息拿出来了,可是我再填表、提交,我这个过程多么的复杂,能不能让我一键式的完成。

反正我都已经给你了,我能不能用微信这样的体系就直接完成了?腾讯之所以走到今天,2C在这个时代成功了,就做了一件事儿,我把帐号打通,我其实不需要你再多次的认证,我帮你把认证的功能完成。所以,在这个角度来讲,像我们看到政府做得粤省事,在广东粤省事,其中666项一次都不用跑,用户把信息直接在一款APP或者小程序后台,提交完之后他再办理政府的事情什么都不用跑。

这个就是政府在使用这么多委办局把政府做好数据交换,按照刚刚峰总所讲的,我怎么样做好确认、主责,我在这个里面当中谁能够做好确权,我才能做交互,但是交互的同时我主要是从用户那端,因为我无论是对政府还是对企业,很多的工作最终结果还是2C。就是我们今天做的企业上云最终的核心目标,本质就是为了让使用最终的终端用户C端用户最快速的体验、最好的体验,又解决了效率又解决了体验,核心的本质就是这个。

如果从本质上出发,我们今天企业上云走向数字化,这个云原生所有的核心架构你必须顺应这个时代发展真正的潮流,我们才能真正的符合未来下一个10年,站在第四次工业革命的时间节点上,才能走到正确的阶段。

为了安全牺牲效率和体验是伪命题

李新社:我一直认为这个中间安全和效率之间的关系从来不矛盾,你如果没有安全的东西在里面,虽然效率特别快,但是这个事情漏洞百出,你还得补回来,反而又出问题了,如果这个事情是很安全的,你把这个事办完了就好了,效率就提高了,所以这两件事不矛盾,是在数字阶段和新时代,我们真的不能拿移动时代或者PC时代的思维看待事情。

当我们进入新时代的时候,我们的思想不会随着时代的到来马上发生翻天覆地的变化,它是逐渐变化的过程,这个过程的认识一旦到了,我们说认识决定行动,你到了就干出来了,你不认识这个事怎么说都没有用,所以我想一个方面我们要让所有人享受当前社会红利,国家给的基础设施、安全等等,另一方面也得让他慢慢的清楚这个社会在让你享受的时候,你自己要付出一些东西,同时我们也必须认识到这个社会的发展、人的发展、企业的发展是不平衡的,不是说到了第四次工业革命大家都到这个程度了,不是这样的,东西部也好,南北也好都不一样,因为社会是复杂的群体,这个群体中间有跑的特别快的,有跑不动的。

我们的安全机制、我们的认识能够让每一个人都认识到这个事情,也是一个长期的过程,一旦这个过程到了,今天所有人认为冷兵器能打赢战争吗?没有人,但是你往前推多少年的时候,他就不这么想了。

04举生态之力是构建普惠安全的必然路径‍

云原生是安全生态的“土壤、水、空气”

马斌:其实整个社会数字化和智能化解决的问题在哪里?你产生这么多数据一定要处理好,还有这么多接入的点,所以从网络侧来说,无论是基础设施,一直到应用侧,用户这一端不会管你哪家厂商,我只要好用,能最快速的找到这个体验,对于所有的厂商来说,要求就是让他无感知的用好我的产品和服务,这是最高理想,最高理想当中安全就是底层,就像我们过去讲晚上睡觉的时候不用关门,核心逻辑就是大家感受这个环境真正安全,最安全的最高境界就是感受不到不安全,全是安全的。

为了打造这样的一个境界,你种下这个基因就朝着这个路径在走,从种了因就要结这个果,在这个过程中,上云数字化的进程已经在这个路径上了,安全的底层一直和云这端一起成长起来,是这样一个真正的云原生的过程,就是一个基因的过程,如同总书记讲绿水青山就是金山银山,就是呼吸最新鲜的空气、最结晶的水源,这些看起来都不值钱,但是都是生命中最需要的,安全看似和大家没有关系,一旦没有了,就是巨大的损失,包括经济、社会,这个的损失是无法估量的,假设未来这些数据全部被黑产泄露,哪怕我们自己的安全,比如人脸识别,我们自己最唯一的ID被黑客获取,就人人自危。哪有社会安全,我们自己都没有安全了。

所以过程当中云原生核心的底层就是什么呢?在这个目标上,走这个路径过程当中,底层架构就要做好,做好这个架构,在这个体系下,腾讯云整个构建的地方,遵循腾讯整个的理念,就是做好生态的概念。所以找到最合适的团队,找到最专业的人去做专业的事,把腾讯的平台,把我们所有的能力分发就好了,我只做好连接器,我做好微信、QQ、小程序、小工具箱就可以了,我把我公众号各种云的架构、安全的架构全部开放给生态合作伙伴就好了,所以腾讯到目前为止有7000个合作伙伴,投出几百家公司,我们投的这些公司几乎没有控股,都是在这里面只占了一部分,为了更好的把我们的体系给他们。

还有一些企业没有控股,没有股份关系,我们仍然和它一起搭建一个新的生态,其实这个是本着腾讯最终的使命、愿景、价值观,就像我们今天做了科学探索大奖,投10个亿,并不是说腾讯是所参与的生命科学领域里,还有一些基础的物理、化学领域,都投进去,给这些优秀的科学家,为了社会进步。

所以在我们生态体系里构建的理念就是真正围绕着科技向善和用户至上的核心的使命、愿景、价值观,你真正为这个生态体系的构建,才能让社会不断的进步,在这个体系下我们把这个能力贡献出来,打造一个生态共生。

生态要具备包容性和迭代性

李新社:生态的概念是一个大东西,你这个基础做完之后,要把这个生态做强大,谁要在这个上面?首先你要保证自己是安全的,我在你这个上面做的基础又是安全的,整个就是安全的。

可以有弱安全和强安全,因为有的一攻就破,我把它叫弱安全,有的攻半天攻不破,这是强安全,当前也得允许弱安全做的不太好的,有强的做的很厉害,都在这个上面。

随着这个生态的发展,上面的应用越来越多,你愿意用什么?我知道这个东西花一毛钱最安全,用那个东西不用花钱是不安全的,那你自己定,这就变成另外一个问题,就是生态体系你要循环起来,花钱买安全的东西,或者不花钱,我享受一个什么东西,你可能要在别的地方失去,是这么一种大循环,这样的话可以让大家觉得我把我的东西放上去,我要简单的放一个东西,还是放一个复杂一点的安全的东西上去。

所以,这个新时代的基因拿出来就是这样的,拿出来以后形成大的东西上面,每个人贡献的东西都是安全的,一步一步提高,你可能刚开始贡献的东西不安全,另外一个人贡献的东西比你这个安全,那就迭代过去了,到了一定程度这个生态说你上来的东西没有安全,你别上来,因为没有人用,你就慢慢提高了,它也是一个过程。

国家级生态孵化多样性土壤

文珠穆:很高兴听到马总代表腾讯的分享,未来可能会有一个平台,而且是开放思想,不一定控股,不一定参股,一定会有一批围绕这个平台很自然的融合,但是可能不是唯一的,可能还有其它若干个平台,甚至包括国家的平台,比如说郭总这边,可能国家的平台会国家来建,但是有可能有一批专门为国家提供服务的安全生态,会围绕这样一个国家平台下面,形成了不同的土壤,可能五大洲,每个洲的气候不一样,但是有不同的生态,而且得循环起来,原来我们这些安全厂商可能直接对客户,现在可能围绕平台,平台相当于土壤,必须种在土壤上面才能成长,原来可能自己在沙漠中成长起来。

我还在思考一个问题,一个是平台和平台之间的联通,整个形成地球村,而不能是五个洲相互隔离;另外是标准的问题,因为我们有接口,要循环,尤其是普惠。

传统安全需要新生态激发活力

郭峰:2014年万云时代刚刚开始,大家觉得云来了,当时我们把云来了以后究竟会带来社会多大的变革做了研讨,也访谈了几家准备大规模进入云的互联网企业,我们都去过,给我最大的感受就是我当时坚决不会上云,因为他们谈云的过程当中没有谈安全的事情,这是我最大的感触。

进入今天这个时代以后,尤其是今天我看到腾讯这样的互联网企业把安全作为主题,有高级别的副总裁出来谈这件事,我认为特别好。我相信腾讯一开始做QQ就意识到安全的问题,只是没有拿出来说,但是这个基因一直在,我始终认为安全应该是收费的,不应该是免费的,因为你享受免费的过程当中不会珍惜。这个过程当中大家都在考虑当时云上的测评怎么测,什么叫合规云、不合规云,到现在他们已经开始把云是否通过安全作为首选的标题了,这就是平台性的要素。

中国总共有500-1000家做安全的公司可能确实这个能力有好的,也有正在发展中的,也有普罗大众的,你不能说它不好。放在这个里面以后,有人愿意花高价钱买好的,有人愿意花8毛钱买韭菜,有人愿意花8块钱买韭菜,但是安全得付费,在整个云原生的状态下,你能不能让大家愿意在你这个平台当中把生态扎在你这里,你说我要去给大家免费普惠,那是你的事,就像很多安全公司的收入是广告,不是安全产业,但是它确实是做安全做的不错的。

所以我们在做安全能力者联盟的时候,就把这个事情做了,首先你验证它的时候,它是不是API接口给你开放了,我们把国内做到了11种领域、40多个安全能力,70多个安全能力,我们现在为党政军服务的,口碑最好的,我们先集成进来,放到同一个平台上,这就是我们刚才说的土壤。

所以真正中国挑出来的400多家安全能力当中,偏顶级一点的,也就是四五十家,我和李少鹏有深度的沟通,而且哪四五十家,说白了就是未来可能中国的安全产业就这四五十家能撑得住,剩下的东西我们看得到什么呢?几百家正在从土壤上萌芽,有萌芽以后,你要扶它一把它就长了,反之它就死了。

我们一直在做一个活动,就是让大家在这个萌芽当中活下来,这是我们一直做的事情,如果仅仅用强的生态,不用弱的,我们就没有创新、没有迭代,中间用的这一批,现在我们说传统安全没用了,不是这样的,不代表它不行,只是活力不行。

安全从业者和医生一样

马斌:其实我们今天为谁买单呢?我们得把这个逻辑讲清楚,今天假设一个产业收费和付费,核心的逻辑是为认知买单。

安全有一个特种行业,这个特种行业我在讲的第二个例子,他是谁的例子呢?他是医生。今天医生做手术,手术贵吗?大家觉得医疗资源错配,最贵的是开药,医生说白了更多靠开药养活自己。其实在这个过程当中,很多医生一天做几十台手术,最危险的手术都在他们身上,他们其实是最辛苦的,可是我们整个生态体系为他们买单了吗?

所以,安全就属于这两者,这两个最典型的案例是非常好的写照,我们的安全做了这么多底层,因为云原生、云基因是无感的,我上来以后,你就应该给我提供这个服务,我干嘛还多付这个钱,上来第一反应是我过去做安全,我为什么放在硬件上,因为硬件的时候你看得见、摸得着,我花钱了,不知道服务就和医生做的手术一样,那才是核心。

为多贵的价值买单都得买,你说它怎么定价就应该怎么定价,因为当它泄露的时候,你基本上没有机会,如同生命一样,你说你为生命买多少单,你怎么去买单,我们今天为什么云原生讲这个过程?就是产业上云千万条,安全先行第一条,可是这个第一条和我们免疫系统一样,我们只有累到最后不行的时候才觉得自己免疫力不行了,我应该养身体了,可是已经来不及了,这就是我们自己的认知,这就是中国社会自己的认知。

所以你刚才讲的产业付费问题,收费和付费从我们的角度来讲,中国互联网是因为免费的路径,形成了一个大钟,所以做安全厂商的这些公司也很难,难在于无法把我的价值和你的认知完全正向挂钩,而且很难去解释软件知识产权能够有这么大的价值,因为我们的生长环境就是这样的。

本文作者:, 转载请注明来自FreeBuf.COM

# 产业安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑