独家对话腾讯安全吕一平：要以产业安全构建数字化发展的“四梁八柱”

随着全国两会的顺利举行，我国未来五年的发展蓝图已经徐徐展开。综观政府工作报告和“十四五”规划，安全成为贯穿多个领域的高频词，激活数据要素潜能、加快数字化发展成为我国现代化建设的一项主要目标任务。

在“十四五”规划指引下，如何在数字化实践中理顺发展和安全的关系？在技术日新月异的环境下，产业安全理念该如何与时俱进？近日，深圳特区报记者与腾讯安全产业安全运营部总经理吕一平就上述问题做了深入交流。

深圳特区报记者：在我国未来的经济发展中，数字化将起到哪些作用？如何理解数字化与实体经济和实体产业之间的关系？

吕一平：实体经济发展和数字化不是非此即彼的关系，而是完全可以相互促进、相辅相成。“十三五”期间，在云计算、大数据、人工智能、物联网等新技术的带动下，我国的数实融合取得了较大进步，产业数字化对于实体经济的提质增效作用已经得到充分展现。去年抗击疫情时，数字技术在助力疫情防控、远程办公、在线教学等多个方面起到了突出作用，得到了社会广泛认可。我们相信，在我国推进产业基础高级化、产业链现代化的进程中，数字化仍将扮演不可或缺的关键作用。

深圳特区报记者：在我国的产业数字化实践中，安全应该如何定位？

吕一平：就像一栋大厦在开工建设之前，需要先打地基、设计承重结构。产业安全，应该是我国数字化发展的“地基”和“四梁八柱”。

在消费互联网时代，安全的重要性已经被反复证明。当数据成为企业的核心资产，对数据的运用成为企业价值创造的主要过程，数据的安全就成为企业价值很多个“0”前面的那个“1”。当我们跨入产业数字化时代，安全的重要性有增无减，安全的内涵也在不断延展。

我们相信，产业数字化会给企业提供新的增长引擎，也将成为我国产业升级的重要推动力。与此同时，产业发展范式的演变，迫切需要我们提高安全站位，寻找最优的产业安全建设路径。

深圳特区报记者：与过去相比，产业数字化过程中的安全风险有哪些不同？

吕一平：首先，产业数字化时代的安全风险更加致命。过去网络攻击导致的损失，很大程度上还局限在数字世界里的虚拟资产。当数实融合渐趋深入，来自比特世界的攻击将开始全面影响我们所生活的这个真实世界，人们的物理资产、甚至生命安全都将会受到影响。

以医疗卫生产业为例。随着医疗产业与数字技术的快速融合，医院管理全面线上化，各类数字化的新型医疗设备逐渐普及。数字化在提升医疗效率、服务医患的同时，也给网络安全防护、医疗数据管理带来了新的挑战。就在今年2月，法国两所医院先后遭遇了大规模网络攻击，两所医院的整个信息系统几乎都处于瘫痪状态，甚至连手术都无法正常进行。事实上，我国医疗体系近年来也多次遭遇过勒索病毒、钓鱼邮件的攻击，安全形势同样严峻。医疗卫生产业关系到国计民生，如果发生安全风险，带来的潜在损失将难以估量。

正在迈向智能化、网联化的汽车产业，安全风险同样不容忽视。随着车联网的持续普及，汽车不仅要抵御物理连接带来的攻击风险，还需要面对越来越多的远程无线攻击风险。攻击者可以利用汽车软件的安全漏洞控制汽车总线系统，进而窃取信息、破坏系统以及对汽车进行远程操控。一旦发生安全事故，将对消费者的人身安全、资产安全造成重大风险，也必将对整个汽车产业的数字化进程造成负面影响。可以说，没有网络安全，汽车产业的数字化就无从谈起。

第二，产业数字化时代的安全风险更容易外溢。当越来越多的商业软件、开源项目被集成到企业的IT基础设施中，潜在的攻击面也被放大。黑客发起攻击时，只要企业与被攻击目标存在网络或业务关联，就会成为攻击对象。另一方面，为了追求更高的效率提升，很多企业的数字化已经走出了内部业务链条的局限，向上下游、整个产业链延伸。像航空、汽车、手机等精密制造业，供应链上动辄数万家企业相互连接，这样的供应链一旦被攻破，很容易遭遇“火烧连营”。

近年来，供应链攻击已成为全球面临的主要网络威胁之一。这种攻击利用企业对软件供应商的信任，在软件安装、升级过程中进行恶意植入，具有“突破一点、打击一片”的特征。近期发生的软件供应商Accellion被黑事件，导致飞机制造商庞巴迪、新加坡电信公司Singtel等数百家企业受到影响。去年去年12月发生的SolarWinds供应链攻击事件，影响到超过1.8万家机构和企业。面对这些破坏性巨大的攻击事件，每一位数字化建设者和使用者都应保持警醒。

深圳特区报记者：当前企业面临的安全环境日趋复杂，是否能为企业的安全建设提供一些思路？

吕一平：首先，企业应注重“安全左移”。安全应该是每个企业的一把手工程，必须从顶层予以规划。在产业数字化程度越来越高、安全风险越来越致命的环境下，企业必须主动出击，在业务流程中将安全环节前置。同时，可以依靠基于大数据、人工智能等新兴技术的威胁情报系统，提前预判安全风险，推动安全防线前移。

第二，企业应构建“零信任”机制。传统的安全机制以内外网边界作为信任条件，默认内网访问或通过边界安全审查的外部访问是安全的。但过去发生的重大数据泄露事故表明，上述假设过于乐观。以供应链攻击这种新兴威胁为例，这种攻击试图从外部撕开企业安全防护的“城墙口”，对传统的安全边界构成了较大挑战。因此，在新的安全形势倒逼下，以“永不信任，持续验证”为核心理念的零信任安全架构需要更多地走向前台，构建产业数字化新的安全堡垒。

第三，上云是产业安全的最优解。我国4000多万企业中，有95%左右都属于中小企业，产业数字化不能没有中小企业参与。但与大型企业相比，中小企业在资金、技术等各个方面都存在不小的短板，能投入安全的资源非常有限。在成本可负担的前提下，提升我国产业安全的整体水位、扩大网络安全覆盖面，是产业数字化的必然要求，也是安全产业应该去探寻的方向。

在当前环境下，上云是兼顾安全与成本的最优解。相比传统安全方案，云原生安全解决方案拥有开箱即用、弹性、自适应、全生命周期防护等一系列优势。云原生安全能力能够伴随业务的变化而弹性增长，既能在业务高速增长期扛住高强度攻击，也能在安全风险的平稳期释放多余的计算能力，减少企业部署成本。云原生安全的这种特性，尤其有利于中小企业快速捕捉商机，提高数字化生存能力。

深圳特区报记者：对于我国安全产业的发展，腾讯有哪些思考和实践？

吕一平：产业数字化是我国的宏大事业，其中蕴含的巨大增量安全需求，需要整个安全产业携手共进。近年来，腾讯安全通过以赛代练、吸纳顶尖专家等多种形式，持续挖掘、培养安全人才。同时，腾讯还与17家上市公司携手合作，共同搭建开放的安全产业生态。

作为网络安全从业者，我们高兴地看到，加强网络安全保护，这次也写入了“十四五”规划，这必将进一步促进安全产业的健康发展。我们相信，随着安全产业生态的不断进步，“护航”能力也会持续增强，我国的产业数字化也将行稳致远。

编辑 董雯静 审读 刘春生 审核 王雯 李怡天