当普通用户惊讶于最新的GPT-4o和Gemini 1.5 Pro多模态AI助手的强大能力时。

嗅觉灵敏的黑客们也已经借助生成式AI开启了新的“狂欢”。

今年初，黑客攻击了一个美国的AI基础设施平台，并将GPU用于挖比特币获益。

“黑客已经慢慢增加或转移攻击目标，除了传统资产，保护企业的资产演进为保护企业的AI中心。”亚信安全高级副总裁陈奋同时提醒，“个人和家庭安全，也从原来的终端演进为保护包括智能家居和智能网联汽车在内的家庭AI中心。”

网络安全的攻防已经从人和人之间的对抗，升级为AI和AI的对抗，只有AI驱动的网络安全防护检测技术才能识别AI驱动的黑客攻击技术。

安全大模型应运而生。

近期举办的以“安全AI未来”为主题的C3安全大会·2024上，亚信安全发布了网络安全行业领域自研大模型——信立方，能够用于网络安全行业的精准问答、复杂的告警日志解读、深度的网络安全事件分析等专用场景。

未来网络安全公司和黑客的AI攻防赛将会如何？ 

黑客用AI攻击，效率高，基础设施成新目标

ChatGPT发布后，全球的黑客们的网络攻击和网络犯罪也随之升级。

过去，一个黑客生产一个攻击病毒需要数月时间。现在，通过生成式AI的工具，可能几个小时，甚至几分钟就能生成一个攻击病毒，效率大幅提升。

陈奋同时发现，“大模型对于编程语言的理解也非常强，攻击者可以利用大模型迅速发现软件的漏洞，漏洞是黑客攻击系统的核武器。”

那些“商业嗅觉”灵敏的黑客，已经用AI攻击获利。

比如，有黑客利用AI算法，快速在视频中做人脸的深度伪造，新型的网络诈骗犯罪随之涌现。

还有，黑客的攻击目标除了传统资产，还盯上了高价值的以GPU为基础的AI算力基础设施和大模型，这是网络安全领域出现的新变化。

“去年短短一年时间，针对大模型的攻击手段已经涌现出数十种不同的类型。”陈奋表示。

针对大模型的攻击，影响巨大。

陈奋和团队在实验室中搭建了Llama2的环境，模拟去年发现的海绵样本攻击，大致原理是通过向大模型发布特殊的样本，让大模型的算力消耗急剧上升，原来短时间能做出响应的需求，现在可能需要大量时间去计算。

让原来几秒就可以返回结果的大模型，受到攻击后60秒以上才能返回结果，慢了20倍以上。

“如果未来核心应用都是大模型驱动的AI原生应用，基本上就会瘫痪。”陈奋同时说，“这只是一个相对比较基础的攻击事例，针对大模型的攻击很快会到来。”

整个网络安全行业增在革新，全球安全公司都在行动。

微软在今年5月份正式商用了Security Copilot，并声称在未来要投入千亿美金。谷歌去年发布了网络安全专有大模型，已经应用到云安全能力中心中。 

如何用AI对抗AI？

亚信安全没有抢着第一时间发布安全大模型，近期才发布了信立方。

“没有第一时间发布，是因为我们在思考大模型能否变成我们产品的原生能力。我们希望把底层通用框架建设好，MaaS服务平台，模型级服务平台，再叠加上层的智能体框架。”陈奋分享，“我们发布的信立方更多是从原生的角度思考如何与各个产业整合，而不是简单去做运维效率的提升或者运维的解析。”

“随着信立方的发布，这个目标已经基本达成，MaaS服务和多智能体应用已经向亚信安全全线产品进行开放，所有的安全产品能够快速集成大模型的能力，构建网络安全智能体应用。”陈奋进一步表示。

亚信安全的MaaS服务平台提供了丰富的API接口和Agent框架，集成了数十种的场景，包括安全日志告警分析，安全态势的智能分析，安全运营数字人小信同学等。

信立方大模型发布的同时，亚信安全也提出了“信计划”（XPLAN）暨安全为AI（Security for AI）和AI为安全（AI for Security）。

“安全为AI”包含了全新研发的保护算力云基础设施安全、大模型应用安全防护、大模型红蓝对抗测试等服务；“AI为安全”聚焦网络安全行业垂直大模型的研发及运行于其上的智能体和安全应用。

雷峰网了解到，信计划分为两大部分：

第一部分是专注给算力基础设施，给大模型提供安全解决方案。

陈奋透露，“针对AI算力基础设施的安全，目前落地了东数西算成都的节点，以及算力云的安全保护。我们还在跟进国家东数西算算力节点安全项目。”

第二部分，是和大模型生态公司合作，为他们提供大模型安全的红队测试、大模型安全防护的产品。

红队测试指的是在大模型上线前，红队专家通过提示安全、应用安全测试、Agent安全、MaaS服务平台安全等八个方向，对大模型进行红队安全检查。

OpenAI每次发布全新版本大模型前，都会找顶尖红队进行测试，帮他发现大模型安全风险。

那AI到底如何保护包括云基础设施在内的AI算力基础设施安全？

针对AI基础设施的攻击原理和传统的攻击类似，会用到一些算力算法的漏洞。

“防护的难度没有出现指数级增加，只是需要我们在防护规则上能够适配这一场景，能够识别出威胁。”陈奋对雷峰网表示，“有些检测算法用传统的模型，有些算法需要安全大模型，所以我们采用混合调度架构更加灵活。”

面向AI基础设施安全，亚信安全也推出了全栈一体化解决方案。

陈奋介绍，AI算力基础设施的底层硬件是GPU服务器，不能用传统虚拟化技术做算力资源池，大部分算力平台是基于K8S云原生化的平台把算力放到云原生资源池里面进行调度，亚信安全今年推出全栈一体化云安全覆盖的范围。

亚信安全的算力云安全保护整体解决方案，在适配算力云特点的基础上，覆盖了从云底层安全、云工作负载安全到云原生应用安全等全栈一体化云安全能力。

AI时代的安全更需要产业链合作

C3安全大会·2024上，美的集团首席信息安全官兼软件工程院院长刘向阳透露，“我们做安全运营时，安全日志每天80亿条，仅告警就有20万条，很难用人力处理。引入安全大模型后，把安全告警需要人工研判的数量从20万条降到了100~200条，这就是人工能够处理的程度了。”

看到安全大模型显著效果的同时，也要意识到只做大模型的安全，解决不了大模型安全的问题。

“之前我们做云安全就有体会，整个供应链，包括数据方面，很多企业都不愿意将数据放到公共算力上。到大模型时代也一样，仅仅把大模型安全做好没用。”亚信安全高级副总裁兼CDO吴湘宁说，“现在大家都还在探索大模型生态安全的建设，可以明确的是整个生态链打开后，很多技术使用场景都会发生改变。”

亚信安全会从4个层面和生态合作伙伴合作，打造更具竞争力的AI安全解决方案。

大模型算法层面，“我们认为在行业场景，闭源大模型的能力比开源模型更好，我们坚持闭源和开源两条相合作路线。”陈奋说，“亚信安全做了一层专家混合模式调度模式，可以根据用户的需求场景和预算灵活选择用开源还是闭源模型。”

算力生态层面，亚信安全和算力公司合作，租用算力节点。反过来云计算提供商也可以买亚信安全的算力云安全解决方案。

“我们还和清华大学和中科院深度合作，亚信安全&清华大学智能产业研究院联合研发行动升级计划也在C3安全大会上发布。”陈奋指出，企业在应用场景做得更好，比较深度算法的优化，需要发挥科研者的力量。

在国际合作方面，亚信安全也会发挥优势，把国际一流的技术引入国内。

“安全最终保护的是网络和操作系统，大模型本质上就是未来的操作系统。”吴湘宁说，“亚信会持续在这两个领域方向重点投入。”

雷峰网独家获悉，360集团副总裁、首席安全官杜跃进（CSO）将于近期离职。

杜跃进博士是北派安全圈子的标杆代表人物，曾担任过阿里巴巴集团技术副总裁和首席安全专家。2019年，他从阿里加入360集团，担任集团首席安全官，向集团CEO周鸿祎汇报，同时担任未来安全研究院负责人，负责安全前沿研究、公司智库建设等。

2020年开始，国内经济受到疫情影响，安全的成本属性凸显出来，作为安全乙方公司，收益和成本很难平衡。因此，国内的安全公司均出现了不同程度的业务收缩，360集团也不例外。当时有媒体报道称，360集团旗下的“360政企安全集团”大量裁员，从3500人直接裁撤至1500人规模

然而，收缩和聚焦后，安全板块的营收并未随着疫情解封而回暖。作为360首席安全官的杜跃进也就没有太多施展空间。或许正是这些原因促成了他离职的想法。

目前，尚不清楚杜跃进博士下一站将去往哪里。据接触过他的人士透露，不排除杜博士未来会自己创业。

本文作者长期关注互联网大厂的人事及业务变动，欢迎各位读者添加微信LW_PLUS交流。

雷峰网雷峰网

作者丨李扬霞

编辑丨陈彩娴

卷渠道、卷客户、卷项目、卷技术，网络安全行业的“卷”已经不是什么秘密了。

有人说网络安全行业是IT行业最后的朝阳产业；也有人说安全行业市场盘子就这么大，谁都想分一块蛋糕，还有新的厂商加入进来，已经快卷死了。安全项目的无限内卷和低价就体现了内卷暗黑的一面。

一位做众测的业内人士曾告诉AI科技评论，有的大客户，会拉来好几家安全公司一起竞争，大家打的头破血流，最后还是价低者得，但服务质量却不敢苟同。另一方面，我们也看到安全各种新概念、新理论、新场景不断被提出，新产品、新方案、新应用也不断被实践，但最后结果就是产品同质化严重，都没有激起足以让行业眼前一亮的水花。

随着今年GhatGPT的爆火，大家认为所有行业都值得用GPT重塑一遍。那么安全行业也值得用GPT重塑一遍吗？GPT之于安全到底能干什么？这又对行业带来什么影响？会不会对安全产业造成颠覆性的影响？

安全行业已经沉寂很长一段时间，安全GPT是否是激起安全行业水花的那一块石头？

1

  为什么安全行业亟需要

抓住GPT这个“救星”前段时间，一则思科（CSCO）宣布收购网络安全软件公司Splunk的新闻刷屏安全圈，总价约280亿美元（2047亿元人民币），这是思科公司有史以来最大一笔收购，同时也是IT行业2023年规模最大的收购案。

而对于Splunk，只做了一个产品的公司，就能收获这么高的价值，这是国内安全行业无论如何都不敢想象的。

为什么这则消息让国内一众安全厂商都为之一振。我们可以从中国网络安全产业营业额看到一些端倪，目前整个网络安全市场的营业额也不超过千亿。另外，从A股各大上市安全公司来看，整个市值加起来不到2000亿人民币，而亏损更成了共性问题。

根据数说安全CSRadar平台估算，近五年网络安全项目量持续增长，但增速逐年下降。

安全行业亟需来一剂强心针。

当GhatGPT以迅雷不及掩耳之势冲到大众眼前的时候，多位业内人士都表示受到了很大冲击。

那么问题来了，安全行业也值得用GPT来重塑一遍吗？

有一部分人认为，安全GPT只是追热点没有意义，还是换汤不换药，没有新技术。而另一部分人则认为这是足以颠覆行业的技术。

AI科技评论拜访了安恒信息高级副总裁兼研究院院长王欣以及奇安信集团副总裁 Q-GPT安全机器人负责人张卓、360数字安全集团安全GPT产品负责人杨玉奇，他们几乎一致地认为GPT是一项影响世界、影响行业的新技术，但同时也提出了他们的担忧。

王欣认为大模型是会改变安全行业未来的格局的，他认为如果一些安全厂商只是拿安全GPT蹭个热点投点广告费将是没有任何意义的，因为最终将回归到价值本质。那些只认为安全GPT是一个蹭热点的机会的企业，核心是是否真正领悟到大模型技术将给行业带来的革命性的变化。

王欣对AI科技评论表示，现在安恒信息在实践大模型的同时，更重点关注并实践以大模型为核心的Ai Agents（AI智能体）。我们认为智能体将实现更加贴合安全行业的人机协同，一方面大模型有更良好自然语言的交互能力、泛化能力、推理能力，但在一定程度上如幻觉等问题也是客观存在的，另外一方面在安全工作中，除了善思考，还需要通过“手”、“脚”处理具体的工作任务。而以大模型为核心的 AI Agents（AI智能体），包含了规划的能力、记忆的能力以及使用工具的能力，可以很好地解决大模型当前存在的一些客观问题，同时也更符合安全工作的业务需求场景。

奇安信集团副总裁、Q-GPT安全机器人负责人张卓也认为，安全大模型要形成改变行业的生产力，就不能仅仅停留在类ChatGPT的问答对话框形式，而应该是一个聪明的机器人，即“虚拟安全专家”，成为真正的工业级大模型。

张卓对AI科技评论表示，大模型的第一个层级叫做对话式交流式的层级，这种方式是通过问答方式来把我们的知识进行传播、分享、联系和生成的；第二级是工业级，能够在具体业务领域、行业领域我们能够自动的去执行和完成特定的和领域相关的任务。目前奇安信推出了Q-GPT安全机器人，就是帮助安全专家执行复杂任务，能全天候地工作。未来第三级是全面级，比如说生成下一代的天眼、下一代的天擎等等，目前第三级距离我们还有一些距离。

同时他也担心开放式的安全大模型，可能存在重要安全数据泄露的问题。

数据显示，在使用ChatGPT的员工中大多数会泄露数据，其中11%的数据为企业敏感数据。数据是企业的核心资产，给GPT等大模型投喂数据，泄露只是风险之一。

360数字安全集团安全GPT产品负责人杨玉奇表示，安全行业肯定值得用GPT重塑一遍，现在GPT给我带来的感受已经从当时的震撼回归到理性了，这是一个新的范式，能做到以前做不到的事情，根据这些能力本身我们就应该尝试重塑各行各业。但是这里面唯一的风险就是，未来能走多远取决于大模型到底有多大能力。目前大模型整体表现出的能力还没有达到“惊艳”的程度。

虽然关于大模型的担忧和关注，都是不可忽视的。但是随着这场关于大模型的“竞赛”愈演愈烈，越来越多的行业开始部署GPT大模型。而垂直领域（行业）人工智能也将迎来大发展，比如医疗、教育、投资、警务、安全等等。

大模型已经走向了千行百业，安全行业也必须抓住这次新技术的机遇，从而提振行业。

2
  用好AI技术，能颠覆安全产业吗？

谈论如何用好AI技术之前，我们不妨讨论一下，网络安全能用大模型做什么？

大模型最大的优势在于自然语言的处理能力上，在网络安全领域，AI大模型可以在增强网络安全分析、检测、策略制定等方面极大的提升智能化的能力。

比如：通过AI大模型不仅可以分析海量非结构化文本，发现网络安全威胁的迹象；还可通过机器学习快速发现未知的网络攻击模式并建立检测模型；同时可以借助强化学习进行的红蓝对抗找出安全漏洞；通过上下文关联进行更有效的网络安全决策、风险评估、资源分配和制定安全策略；自然语言交互方式，可以降低对运营人员的专业要求，提高运营效率，帮助企业实现降本增效等。

据AI科技评论了解，目前微软、360、深信服、安恒信息、启明星辰、绿盟、奇安信、长亭科技、美亚柏科等都已经发布了自己的安全大模型。但各家安全大模型的侧重点都有所不同。

举例来说，安恒恒脑·安全垂域大模型通过增量预训练、微调等多种方式让大模型掌握各安全领域内生知识，利用大模型调度小模型、知识图谱、安全能力插件实现安全运营专家、安全渗透专家、安全培训导师等安全角色。在安恒信息研究院院长王欣看来，因为人工智能是一个拟人化学科，所以对它（安全大模型）赋予的意义也偏向于人。目前，该平台以智能辅助形式已运用于刚刚结束的成都大运会及杭州亚运会，安全运营成效提升70%以上。

而360则是依托安全大模型打造了一套智能中枢系统，同时给智能中枢系统配备了“手眼”和“工具”，手和眼主要是指API接口，分别负责操控工具和反馈结果，工具主要是指各类安全产品和系统。通过自然语言指挥各类安全产品和系统完成运营任务。目前，依托360安全大模型的智能中枢系统通过扮演“安全问答专家”和“安全运营专家”两大角色来辅助企业安全运营。

奇安信认为，作为垂直领域的大模型，安全大模型不能依托于公开的通用型数据，而是需要依托强大的安全专家团队，海量非公开的安全领域知识、专业经验，包括安全日志、文档、知识库、情报类数据，以及丰富的实战攻防和重保经验等，再结合大模型持续训练，才能深入对应安全的应用场景中，发挥出强大的智能分析和高效的自动研判能力，辅助甚至替代专家完成智能研判、智能溯源、智能处置等工作，从而提升安全运营效率。

在安全大模型训练的路线选择上，有的厂商选择微调，而另一部分选择做预训练。王欣表示：“安全行业的大模型不一定要从0开始训练，但需要通过“精”和“专”的安全领域知识数据进行增量预训练。一些企业仅通过微调来打造“安全大模型”，虽然投入的成本很低，但是无法达成很好的效果。”

杨玉奇认为走的快的不一定就走的远，如果开始的太早，没有选择对路线，那么也会面临时间和算力全都浪费掉的风险，有时候做微调可能更符合现实场景。

那么到底怎么样才算是用好AI技术呢？在杨玉奇看来，大模型有三点长处：第一点是语言理解做的很好，改变了交互方式，但是这个东西并不足以改变世界；第二点是处理形式化的语言，所有的编程语言都是形式化语言，所以在辅助人分析程序的能力方面表现很不错，比如研判安全告警里面的脚本语言；第三点是思维链，这是大模型“涌现”的典型例子，就是“似乎”真的可以像人一样思考了，例如大模型可以自己拆解任务，有逻辑关系的思考步骤，形成一整个思考过程。

杨玉奇表示在安全领域，AI未来两三年可以实现以下三个方面：第一，替人分析告警，很快就可以分析出来和人相同结论的告警、能溯源出同样结论的溯源结果。第二，发现人都发现不了的未知的攻击。第三，做到全自动化值守，就像人一样将告警拆解成单个任务，并调用不同的工具去获取结果，同时根据结果去做处置。

虽然GPT技术在安全领域的应用已经取得了一定的成果，但也存在一定的局限性，就像杨玉奇所说还没有达到“惊艳时刻”，这中间还是有一个过程的。

例如，GPT模型可能会受到对抗性攻击的影响。攻击者可以通过生成具有误导性的文本，来欺骗GPT模型，从而影响其判断。还有，GPT模型在处理敏感信息时，可能会泄露用户的隐私。或者在处理复杂安全问题时，可能无法达到人类专家的水平。此外，GPT技术在处理大量数据时，可能会遇到计算资源和时间的限制。

网络安全行业是一个涉及到众多方面的复杂领域。除了安全技术之外，还包括政策、管理、人员等多个方面。因此，GPT虽然可以在某些技术应用上发挥作用，但无法替代安全领域中许多其他领域的专业知识和技能。

因此，尽管GPT技术在安全领域具有一定的应用价值，但要完全颠覆安全行业仍需时日，GPT技术在安全领域的应用仍需进一步优化和完善。

从卷渠道、卷客户、卷项目、卷技术到如今的卷安全大模型，AI科技评论认为真正的卷应该是正向的意识形态，意味着无论自身还是同行都能越卷越向上，如果“内卷”就相当于“烧钱”、“推出越来越同质化的产品”以及“无用的精益求精”，那么这些内卷，只会让行业进入“停滞不前的漩涡”。（雷峰网雷峰网）

作为杭州亚运会官方网络安全服务合作伙伴，安恒信息交上了一份网络安全“零事故”的满分成绩单，其中内容值得关注。

产生超800亿条日志

杭州亚运会赛事期间，成绩发布类系统每天实时处理30余场比赛分项，近400场比赛的数据，并实现100%上云；亚运村里，“亚运村大脑”接入了20多组系统数据、约440个数据指标，融合六大领域实时运营数据，单日最高流量达50亿条日志量，安全调度指挥平台的流量压力也是安恒信息曾参与的历届赛事中最大的一次。

据统计，在杭州亚运会赛事期间，共产生超800亿条安全日志。在网络安全工作中，发现攻击只是网络隐患的冰山一角，这一刻攻击者可能已经渗透进了网络。安恒信息的其中一项重要工作就是对日志进行取证分析，以帮助及早发现网络是如何受到破坏的。一旦发现攻击痕迹，就可以采取措施，防止该漏洞再次被利用。

监测拦截2600万+网络攻击

在智能化的办赛理念指导下，杭州亚运会奉上了一场精彩纷呈的科技盛宴。在5G、物联网、大数据、人工智能等技术的支持下，展示了许多全新的数字化与智能化应用场景。而由此带来的网络安全挑战也是空前的。

在对87个竞赛和非竞赛场馆的网络安全保障工作中，安恒信息的网络安保团队共摸排场馆存活资产数量超17万个，发现系统及场馆风险超过7.2万个，并对其进行有效优化及加固。

每一个数据背后的疏忽，都可能给网络攻击者制造机会，损失不可估量。比如，2020年东京奥运会期间，东京奥运会官网等多个网站被迫瘫痪1小时。开幕式前一天，门票购买者的登录ID和密码已在网上泄露。

而这一幕在杭州亚运会上并未发生。赛事期间，安恒信息网络安保团队共监测并拦截到超过2600万次网络攻击，并最终实现了零事故的满分结果。

投入超35000人天

满分成绩单背后，是全力的投入。在杭州亚运会期间，安恒信息投入超过35000人天，董事长范渊亲自挂帅，公司高层管理者纷纷走上一线，在各个场馆驻守。

范渊认为，网络安全保障“零事故”的背后，依靠的是“技术的可靠+人的可靠”，“团队的责任感、代际传承，是这支队伍能够实现15年重保零事故的关键所在”。他说。

据介绍，从承接杭州亚运会网络安保任务开始，安恒信息就进行了周密的部署，形成了长达70万字的亚运网络安全总体规划，做了多轮以院士为组长的专家评审。在赛事期间，安恒信息调集来自全国的网络安保专家、产品专家、技术专家进入一线场馆，共计上千人投入到杭州亚运会网络安保工作中来，7*24小时保障每一个场馆、每一个设备的网络安全。

除此之外，赛事期间还形成了5500多份报告，投入近1200台设备，组织了赛前的78场亚运测试赛保障工作、22类场景115份安全事件类型应急预案等。（雷峰网）

命运的齿轮总是以一种出人意料的方式转动。

2016年，移动办公逐渐兴起，出于自己远程办公的需要，腾讯开始用当时还只是一个前沿概念的零信任理念改造内网，持续了几年去做各种底层技术的摸索、体验的优化。

当时并没有一个明确的KPI或者节点促使他们做这个事情，但是到后来疫情来袭的时候，之前这些工作都有了用武之地：

腾讯之前移动办公主要使用的是VPN，在疫情期间VPN最痛苦的两点体验，一是慢，程序员上传代码动辄几个G十几个G，容易断掉，效率太低；二是运维，要远程7×24小时维护，这两个问题极大影响工作效率和员工体验。

在全面使用零信任之前腾讯有过纠结：这只是一个概念性技术，突然对外开放大量接入口，如何确保安全？但疫情逼迫大家必须改变，那就上！结果体验非常好，全员“真香了”。

于是在疫情早期，腾讯只用了2天的时间就支持腾讯全球“全尺寸”远程办公——所谓的全尺寸就是员工在家登陆内网的开发、运维和各种业务系统，和在办公室的体验完全一致。整个疫情最严重的时候，全员远程办公，腾讯的业务持续运行，没有受到影响。

如今，腾讯已经使用零信任3年多。也正是这次经历，让腾讯更加意识到：在安全上适度地超前建设，能提升应对不确定性的能力。对于处在在产业变革浪潮中的企业来说，“确定性”弥足珍贵。

也许，是时候转变安全观念了。

1、传统安全的悖论漩涡：被推着走的「安全」

安全，就是收益。

知名经济学者薛兆丰前几天在腾讯全球生态大会上提出这个鲜明的观点。这个观点旨在对另一句潜在的对立观点进行纠偏，即“安全，就是成本”，后者已经是一个根深蒂固的观念。 

做ToB以来，腾讯安全和几乎所有类型的企业客户都打过交道。从接触客户的过程中，腾讯安全发现，对安全存在的问题，同一个公司不同角色对安全的认知和理解都不相同，甚至处于完全割裂的状态。

现在企业的安全大多数是“分管一段”模式，于是：组织架构说我只负责边界，业务说我只负责保护用户的数据。有部分流量有潜伏进来造成破坏？这好像是IT部门的事情。此外，不少行业人员流动性也强，加剧了安全上的管理难题。

这是腾讯在调研了约1500家企业后发现的行业普遍性问题。企业的一把手、CSO、业务主管和一线员工对各自的安全评估差距非常大，侧重点也千奇百怪。这导致不少企业在安全建设投入上，都会把一个简单的事情复杂化，效率低下。看上去颇有规划，但其实没有针对性、系统性。当出现安全事故，感叹“怎么钱花下去还是不停地出事？”

腾讯内部架构师跟销售在讨论客户痛点时，经常会自我诘问：客户真正的问题是什么？怎么对他们进行客观评估？客户是怎么理解的？怎么帮他们判断出建设的优先级？

是否能有一个健康可持续的、门槛更低的、更有效率的安全体系，这个体系至少能延续5~10年，不论企业人员再怎么换，行业落地时都能无缝衔接？

这些困扰安全甲乙双方已久的问题，在疫情期间被成倍放大，终于到了一个不得不变的关口。

“以前腾讯安全的模式更多是做总集，给客户的安全托底，腾讯安全的专家在客户方驻扎，贴身解决客户问题。疫情期间，你根本见不了客户，客户和我们的关键人员都动不了，业务进展处于极限挑战状态。如果这是未来的常态，我们该怎么办？”腾讯副总裁、安全负责人丁珂表示。

即便没有疫情，这种情况也是不可持续的，企业“带宽”有限，服务好了一家，那其他10家、1000家呢？腾讯安全意识到之前的惯性是不对的，安全的能力必须内嵌到客户，变成客户本身第一种免疫能力，将企业拖离无止境的头痛医头、脚痛医脚的泥淖。

在不断的推敲和客户验证过程中，一个不同于传统合规或合作事件驱动的、更适应当下数字环境的安全建设模式逐渐成型。6月，腾讯安全联合IDC在北京正式对外分享了这一模型。

2、提高免疫力，而不是一病就吃药

数字化时代，安全驱动力发生显著变化。

“再过十年，您企业的核心资产、核心价值是哪些？是这栋楼还是你买的那堆设备？从财务的角度来说，无论是办公楼还是高性能的硬件，用不了几年就折旧了。企业家最终会逐步意识到，数据和构建在数据之上的商业模式，才是企业的核心价值。”

这是腾讯在与客户交流中经常提出的问题。正是因为数据已经成为继技术、人才、资本、资源之后，企业又一核心资产和生产要素，企业才更需要破除“安全=管理和控制”的迷思。安全不是紧箍咒，一切的安全工作都应该以保护企业的核心数据、核心业务的稳定运行作为出发点。

不管企业原来是出于什么诉求建设安全——也许是合规、也许是惯性，现在他们需要重新回到最原始的出发点：安全对谁最重要？

答案是企业自己。安全问题是企业的无限责任。当你拥有数据主权，就要承担数据主责。

几十万的安全采购合同，安全厂商承担的仅仅是“有限责任”，解决不了长治久安的问题。

企业今天健康，并不意味明天也健康。免疫力增强靠外力是不可持续的，企业在外力帮助下建立起基础能力后，需要不断迭代和优化，才能持续与外界对抗。

这也正是数字安全免疫力的核心：让企业体系在运行过程中、生产过程中持续具备对抗的能力。

数字安全免疫力模型正是基于企业在数字化时代发展的内在要求，把安全的价值原点重建，并提炼出一个建设框架的思考模型。

3、庖丁解牛：将1个复杂问题拆解成若干简单问题

正如前文所言：网络安全≠安保。

网络安全领域，对抗性是最尖锐的问题，它是绝对动态的、无处不在的，且不断演进的。这意味着企业的应对必然是不断变化升级的。在对抗中成长，不断变革整体的网络安全能力，才能解决问题。

如果说以前的企业是头痛医头脚痛医脚般地买一堆保健品，感冒了买感冒药，发烧了买退烧药，免疫力模型的逻辑则是搭建一套体系，让普通的感冒通过自身免疫能力就能痊愈。

• 安全免疫力模型逻辑

传统安全局限在边界安全和端点安全。买盒子、建防火墙、发现漏洞修漏洞，惯性思维怎么破？

防住了、没防住，都无法证明是否足够安全的胡同，怎么走？

法律法规密集出台，合规和安全事故成本会越来越高。如何从技术角度、成本角度、收益角度分析，聚焦重点板块上做重点投入？

这些问题都在数字安全免疫力模型得到一一解答。围绕最核心的企业资产，模型搭建起三道免疫屏障：

业务+数据，相当于人的内脏和大脑，是企业最核心最有价值的资产，也是所有安全的防御目标；

安全运营与管理，是保护层，从业务top-line视角建设一套以人为核心的“免疫中枢系统”。威胁情报和安全运营管理体系像人体血液里的白血球，可以时刻监测周围情况，做好提前预防、及时处置；

最外层反而是传统安全，端点安全、边界安全和应用开发，设置了安全防御边界，做到“皮肤级别”的安全防护。

层层递进又层层加固，腾讯将其形象地取名为“洋葱模型”。正如其名，它由内到往外，将安全体系逐一拆解：

• 紧贴企业资产的两大堡垒：数据和业务，让企业能够有针对性的建设。

• 变革对抗方式，安全对抗不再单兵作战，而是体系化的对抗。

• 变被动为主动，一旦碰到安全风险问题，体内的免疫机制会自发地把风险排除在体外，或者把入侵伤害控制在很小的范围，并进行及时处理。

免疫力模型最关键的是两个核心价值点。

一是改变安全建设的出发点，从为了做而做，到为了保护核心资产——即数据和业务而做。

二是赋予企业管理者安全上的全局视角，将复杂的安全问题找到了拆解的方法。

对于先天免疫力弱的企业，即业务复杂度、数字系统薄弱，同样可以通过后天建立起免疫力。

“对照数字安全免疫力框架，先解决最严重、紧急层面的问题，再在空档期逐层完成基础建设、业务拆分、管理逻辑的完善。”

丁珂认为，不同企业的发展周期不同，面临的安全问题也不一样，但只要顶层架构战略有决心有担当，拆解方法得当，都会找到有效解决方法。

“有时候我和企业的管理层、董事长交流，我都会发自内心告诉他，如果你同意未来的核心资产是用户数据，最好一开始就有决心去长治久安、常抓不懈。如果缺乏一个安全上的顶层架构，可能即便投入很多人力财力，几年下来也没有积累。”

• 安全自评工具

企业的安全，一时的“0事故”可以靠运气，但长期的“0重大事故”，就要靠自身的安全实力了。人体免疫力很重要的一个价值，是它“在场”，它并不能解决所有的疾病，但它会第一时间感知到问题并发出信号。

因此在应急事件之外，企业也应该有一套日常能评估安全状况的体系。就像人需要定期体检，以此了解身体状况，及时发现健康问题和隐患，并对于体检结果中存在的问题，进行积极治疗。

腾讯的自评工具就是这样一套“体检工具”。

不要小看这套工具，想当初，移动支付一出，人们的生活方式得到颠覆性改变，不仅升级了我们消费体验，也催生出网约车、充电宝等前所未有的经济形态。

支付变革的核心之一，正是极大简化了付款流程和方式。

这套评测工具，也极大简化了流程。此前，企业的安全状况评测需要靠咨询公司，不仅成本高，且周期长。如今，只需要扫描二维码，填写相关信息，就能度量自身安全现状，掌握自身安全投入不足或者局部投入过剩等问题，还能参考行业安全水平较高的企业做法，见贤思齐，改善自身安全水平。

4、「小镇做题家」们的共情：让一部分人先「免疫」起来

安全不只是技术问题，是法律法规问题，更是企业的价值观问题。

“我们统计结果显示——也可能是幸存者偏差——凡是有安全原点思维的企业，即以最核心资产出发建安全的企业，免疫力模型的评分是绝对是领先的。”丁珂笑着说。

顺丰就是其中一个代表。作为物流领域超级巨头，顺丰拥有一个极其庞大、复杂的系统。在安全上，顺丰也曾面临整个物流行业都面临的棘手难题：由于运单号涉及电话、住址等隐私信息，容易被不法分子重点渗透，快递领域在几年前是诈骗重灾区。

顺丰深知安全责任之重，在安全建设上一直心存敬畏且兢兢业业，在管理上要求极高。

顺丰快递系统面临的第一个问题是运单与纯实名对应。第二，人员管理，要系统化控制快递员的权限，比如快递员们的扫码终端有查系统的需求，因此不能不让他们查，但又不能让他们过度查。第三，快递丢失等事件判责，顺丰旗下资产复杂，有众多地面物流、航空公司等，发生快递纠纷，顺丰要能一一追溯、查询。

在和顺丰合作中，腾讯安全充分考虑物流行业体系复杂、上下游生态链漫长的特点，既要处置风险，又不能误伤；还要做到安全与网络、终端、账号、邮件等基础设施联动，做好安全防御体系的开放性和智能化。

最终双方一起构建了完整的零信任安全、全网统一威胁检测与响应的一体化解决方案。 

腾讯走一步看三步的节奏，形成了一种思维惯性，这种思维惯性慢慢渗透到企业的产品、项目等等方面。顺丰之所以敢全面使用腾讯的产品，看中的是腾讯的这种思维与经历：不仅能处理当下的问题，更能预判接下来遇到的问题，并未雨绸缪，适当超前建设。

在丁珂看来，腾讯和顺丰都是“小镇做题家”，一步一个脚印走到现在，即使走出小镇，但在这个飞速发展的时代，他们依然需要面对很多未知的挑战，因此能在合作中产生共情。

数字化时代，行业都将经历一场变革。所以企业都是在摸着石头过河，甚至没有石头摸，但必须要过河，走一步看一步的方式无法应对瞬息万变的外部环境，某种意义上，大家都是小镇做题家，都需要系统性的应对安全上的不确定性。

顺丰是先行建立数字安全免疫力的一批企业之一，可喜的是，数字安全免疫力已经在产业间发生。金融、教育、医疗、制造业等行业，经历过勒索病毒等特征类的千锤百炼，深刻体会到数字安全免疫力的必要性，已经走在系统化建设安全架构的路上。

行业里已经有一部分先建立起数字安全免疫力，从生物免疫力的角度，人人都有免疫力了，才算真正的躯体免疫力。不远的未来，大家会快速跟进，形成趋势。

5、弹性和韧性

其实，目前企业网络安全的核心主要在两个方面：企业安全认识、企业安全预算。

大多数企业领导也许知道安全的重要性，但对不安全造成的损失以及安全未来的价值认知不足，因此安全建设难以落实到具体预算上。

“数字安全免疫力”来得正是时候。

3年疫情，大家对抗疫记忆犹新，对于“健康”的感触更深。对于不懂技术的业务人员，“免疫力”理解门槛低，也表达了不断增强肌体从而变得更健康的过程。

此外，它破除了安全误区，此前一提到安全，联想到的就是管理和控制，但免疫力作为一个软性概念，让企业管理者意识到，数字安全是伴随业务成长，是业务的助力点，而非对立面。

一个好的概念可以改变整个叙事逻辑和信息传达，起到“一句顶一万句”的神奇功效。

企业安全建设，不是只有CIO和CSO才关心的问题，是真正需要企业CEO关注的“一把手工程”。数字安全免疫力，完美地传达了帮助企业自身发展更健康的理念，能让中国企业和管理层真正认识了安全的重要性。

幸运的是，数字安全免疫力模型的精髓不仅仅在于名字，一个好的安全理念，必须动态变化、发展，经过充分实践验证。

无论是什么样的产品，都在腾讯内部经过了充分的应用，经历无数次否定和迭代，才面向客户。

而这套新范式，也与客户进行共同的验证。腾讯覆盖了80%以上的金融行业客户、90%以上的头部能源企业，也为卡塔尔世界杯、北京冬奥会这样的重要时刻，提供赛事直播重保服务。

无论是个人还是企业，想要“长青”，离不开两个东西：弹性和韧性。

弹性是什么？ 外柔内刚，可承受一定的压力、一定的委屈、一定程度的妥协，但也有自己的底线。说起来容易，但其中如何把握好尺度，需要身体力行摸索。

弹性之外，还需要有韧性。韧性，是持续的优化和迭代，是去掉肌肉原始记忆，建立新的肌肉记忆，死磕细节，不断优化能力。它需要能力与勤奋，也需要对细节、目标的坚持。

在同质化严重的网络安全领域，腾讯从未停止过通过先进技术进行行业创新，他们取得如今的成绩，身上一定少不了弹性和韧性。

我们不知道腾讯安全未来到底能到达什么样的高度，可以确定的是，在未来虚拟世界的战场上，它会和中国网安企业一样，位于万千行业幕后，以自身力量使方寸之间的数字世界运行如常。雷峰网雷峰网雷峰网

随着数字化进程的加快，企业对于数字风险防护管理的需求与日俱增，其数字足迹、数字资产，甚至高管的个人形象都可能成为不法分子的攻击目标。保护关键数字资产与数据免受外部威胁，提升在线业务运营稳健性的价值毋庸置疑。

GDN的宗旨是—联合生态力量，抵御数字风险，打击网络犯罪。

GDN能做什么

GDN的成立，可以大大提升数字风险防护的生态协同能力，成员机构的协作流程如下：

Step1.确认数字风险：天际友盟通过自主监控和生态情报，整合并评估数字风险。

Step2.分发GDN网络：天际友盟将数字风险传递至GDN网络成员。

Step3.打击数字风险：GDN合作伙伴依照其内部风险评估机制对风险采取阻断行动。

• 合作伙伴依照其内部风险评估机制对处置中的风险中断服务；

• 合作伙伴对确认的数字风险，进行中断和打击操作（例如阻止对恶意内容的访问）；

• 天际友盟跟踪整个处置过程，以及阻断的效果。

通过以上工作流程协同合作，GDN成员能够快速阻止用户对恶意站点和内容的访问，主动治理数字风险，阻止潜在威胁。同时，成员可以通过共享风险情报和攻击指标协同阻止恶意内容，有效提高用户数字业务安全体验。

GDN的出现协同联动了多方行业生态力量，成员之间专业能力互补互助，以共同保障用户业务数字化旅程的安全。

据了解，8月18日，由亚洲领先的DRP数字风险防护领导者企业天际友盟牵头举办的「GDN·全球数字风险阻断网络」发布会于北京正式召开。

天际友盟基于多年数字风险防护实践，依托全球情报分析和处置能力，携手业界数字基础设施管理平台和行业能力合作伙伴，共同打造了全球数字风险阻断网络·GDN（Global Disruption Network）。

目前加入GDN的成员机构有慢雾科技、长亭科技、派网、斗象科技、网宿科技、华顺信安、腾瑞云等。

发布会上，GDN发起单位天际友盟创始人兼CEO杨大路表示：“GDN全球数字风险阻断网络是天际友盟基于多年数字风险防护实践，依托全球情报分析和处置能力，携手业界数字基础设施管理平台和行业能力合作伙伴，共同打造的全球数字风险阻断网络。希望GDN的出现能够为各方建立起高效、有效的沟通桥梁，及时以最快的速度将数字风险扼杀在萌芽阶段，更好的保障用户业务数字化旅程的安全。”

GDN成员单位北京反侵权假冒联盟副秘书长侯颖表示：“北京反侵权假冒联盟CAASA在‘共治、共建、共享’的基础上，通过多方联动，为会员单位构建了社会共治立体保护体系。在天际友盟的技术支持下，联盟已经为会员单位处理了多起侵权域名下架案例。得到了会员单位非常高的认可与信任。联盟以保护知识产权，打击侵权假冒为核心，很荣幸与天际友盟共同携手，构建知识产权大保护格局，为数字经济发展保驾护航。”

GDN成员单位北京腾瑞云文化科技有限公司副总赵玺媛表示：“目前数字版权侵权形式多、分布广，并且随着网络技术的进步有了更快的扩散速度，应对这一局面，及时阻断侵权内容的传播尤为重要。CPSP版权平台通过数字身份标识、数字水印追踪、数字资产加密做到侵权的“事前防御”；以区块链存存证取证、全网检测、侵权维权做好侵权的“事后保护”。平台还具备多维维度相结合打击的能力，可及时阻断侵权行为，保护数字版权资产价值。”

加入GDN，承担ESG

加入GDN，企业机构能够更好的承担ESG社会责任，为更好的互联网环境和数字风险治理贡献一份力量，并有机会获取天际友盟提供的专有DRP Feed—数字风险防护明文情报！

GDN成员的义务

打击数字风险欺诈—GDN合作伙伴应高效积极打击平台涉及的数字风险内容，强化平台自主管理风险的义务，助力构建和谐网络环境。

阻断数字风险路径—GDN合作伙伴对于在多个平台中流转的数字风险和网络犯罪，应在自由平台上完成链路阻断，严防风险的传播及叠加共振。

消除数字风险误报—对于误报类数字风险，平台应给予绿色通道，高效审核并恢复误报信息。

 （雷峰网）

“但凡人能想象到的事物，必定有人能将它实现。”这是儒勒.凡尔纳的名言，他在《海底两万里》为人们描绘了一个极有趣的科幻世界。

他构造的鹦鹉螺号潜水艇在当时给人们带来极大的冲击，尽管在二十一世纪的今天已不足为奇，但是在凡尔纳的时代，人们还没有发明可以在水下遨游的潜水艇，甚至连电灯都还没有出现。

凡尔纳生活在第二次工业革命时期，他的预言在今天已经实现了大半。

可能是想象的距离带动了科技的进步，抑或是科技的进步拉近了现实与想象的距离。

如今的我们处在第三次工业革命，这个时代的命题就是人工智能。而AI大模型的横空出世使人工智能迈入了下一个“未知”阶段，

对于未知的智能化时代，360创始人周鸿祎也曾不止一次在公开场合表示：“这场赛跑我们一上场就领先了一个身位！”

为何领先？今年3月，360发布了自研认知型通用大模型——360智脑，目前已升级至4.0版本，具备十大核心能力，维度涵盖数百项细分功能，可覆盖大模型全部应用场景。今年四月，周鸿祎在360内部掀起了一场人工智能革命。他在一封名为“三六零人工智能总动员”的内部信中，号召360全体员工、所有产品和业务都要紧跟人工智能的潮流，适应人机协作，重塑产品形态。

他坚信，超级人工智能的时代已经来临，只有抓住趋势的企业才能保持创新活力，立于潮头。

当周鸿祎说要全面拥抱AI的时候，我们就知道他一定会颠覆一些东西。

这些“颠覆”我们也可以从刚刚举办的ISC大会上窥见一斑。ISC 2023第十一届互联网安全大会以“安全即服务，开启人工智能时代数字安全新范式”为主题。打造了全球首场AI数字安全峰会，赋予安全即服务新时代内涵，擘画出一幅数字安全与AI技术融合发展新蓝图。

一、AI数字人成为大模型落地“试验田”

开幕式上，ISC数字主持人“可心”履新上岗，变成了一个有“灵魂”的数字人。

周鸿祎说，在大会开始的时候有人给我发信息，问数字主持人是真的还是假的？是不是按照预先的台词脚本背台词？

为证明没有“剧本”，他现场向可心提了两个问题，一个问题是关于2022年ISC周鸿祎演讲的主题，另一个是帮周鸿祎想10个2023年ISC演讲题目。

可心经过“思考”立马给出了回答，声音标准、口形自然，可以说已经具备了一个主持人的基本技能。最重要的是，在“智脑”的支持下，答案无误且到位。 

有人说“你们的数字人像你的表情一样太过呆板，”当然这是需要改进的地方，但是我最喜欢数字人的地方就是省钱，以后ISC大会再也不用请主持人了，周鸿祎调侃说。

这是全球首个在如此高规格的会议上全程使用数字主持人的大会，也为大模型在数字人领域的应用开创了先河。

有人把这叫创新，有人把这称为折腾。周鸿祎表示，创新本身就是折腾，折腾成功了，就创新成功了。

在会场大厅我们还看到了数字人客服，只要在键盘上敲下问题，就可以看到数字主持人化身的专属客服为我们解答展会问题、呈现观展指引、预告展位亮点等。

这次科技与会展的碰撞，为观众带来了一次全新的参会体验。

二、围观数字小镇，成为虚拟世界的一员

如果给你一个和科技大佬交流的机会，你会问什么问题？

在ISC大会今年创新开设的线上数字小镇，我们可以定制自己的数字人形象，与行业专家、技术大咖、科技巨头创始人进行一场跨越时空的对话。

进入数字小镇，ISC2023会议看板、ISC数字人NEW50、无时区漫谈、行业论坛、技术论坛还有今年开幕式“未来峰会”印入眼帘。

我们通过“会议看板”了解了大会嘉宾议程等信息，有50位知名企业家、学者、技术专家，他们以“AI数字人”的身份在数字小镇的“ISC数字人NEW50”围绕漏洞检测、威胁流量检测、金融安全、网络空间测绘、移动安全加固、攻击面管理、云安全、工业互联网安全、数据安全等热门话题展开了50余场主题演讲。

人们可以选择“挥手”“跳舞”“跳跃”“发言”等互动形式，吸引志同道合的同场观众互换名片，还能与数字人嘉宾直接对话聊天或进行专业咨询。

而在“未来峰会”“技术论坛”“行业论坛”等区域还可以观看ISC 2023线下大会的内容回放。

这还不止，最让人眼前一亮的当属“无时区漫谈”，在无时区漫谈的“暴富屋”中，周鸿祎、扎克伯格等大佬现身畅谈“AI大模型是风口还是泡沫？”“普通人如何利用AIGC赚钱”以及“创业”话题，我们可以以数字人的身份与世界名人对话。

之后我们还可以通过传送门进入“安全屋”和“预言屋”。“安全屋”则由两大世界传奇黑客坐镇，围绕AI安全话题进行犀利对谈，如：AI给安全带来的灾难更多还是帮助更多？世界上有永远安全、零事故的地方吗？“预言屋”则上演时下最火的AI在线算命，观众可以体验月老、财神、福神的AI预言结果。

今年数字小镇和数字人的加入，不仅展示了AI办会的新体验和新模式，也让我们看到了数字人的未来，一个由数字人和真实人共同创造的未来在不久将会来到。

而这背后是360智脑的支持，人工智能应用嵌入到了会场各个角落，打破了虚拟与现实的边界，为我们搭建了一个数实融合、立体多维的线上场景。无论从操作灵活性、画面精美度，还是论坛内容质量，这场沉浸式参会都可谓传统线下会议的重塑和变革。

三、为什么AI数字人是大模型的入口？

去年360构造了一个元宇宙N世界，今年在大模型的驱动下，360又推出了AI数字人，经过训练之后的数字人还拥有了丰富的知识和经验，因此人们可以随意对话，数字人则可以根据对话内容进行智能回应和互动。

以往按照脚本对话的死板场景，今年在大模型加入后，数字人开始拥有了记忆和灵魂。

很多人将ChatGPT当搜索去讨论，其实放眼望去，在当今生成式人工智能时代，除了浏览器和微信这样的人机交互入口？数字人在未来很有可能成为一种无处不在的人机交互方式，在各种场景陪伴人类，给人类提供服务，辅助工作等。

周鸿祎也曾在公开场合表示AI数字人是大模型的入口。他认为，360在大模型上的核心创新在AI数字人，数字人是未来人工智能大模型的最重要的应用入口。区别于传统数字人只能按既定脚本输出内容，360AI数字人的特点在于有记忆、有人设和性格，能够复刻思维方式和人生经历。

人工智能（AI）从单模态走向多模态已是大势所趋。以前，Siri等语音助手只有声音没有脸，搜索只能依靠输入文字，机器看不懂照片的深层含义。 

如今，借助多模态技术，AI实现了图像、视频、音频、语义文本等多维度资源的融合互补，不仅决策更加精准，还在行为和智商上更接近人类。

大模型一定会重新定义数字人行业，数字人将进入有灵魂的“智人时代”。而360打算一方面打算发展有“灵魂”的AI数字人，另一方面用AI数字人加速大模型在消费级和企业级场景落地。

在ISC开幕式后，周鸿祎告诉雷峰网，不是每个企业都需要大模型，很多人只需要二次训练自己的垂直大模型，对于小微企业来说不一定有特别多自己的数据和知识，更多的是把大模型作为一个工具，比如营销工具、做抖音视频，做在线带货脚本撰写，直接用通用大模型可以了。

然而这其中最大的门槛就是使用障碍，他表示这是360需要做的工作，就是降低使用门槛。

大模型有三种用户界面，其中一种就是LUI，也就是用自然语言作为交互界面。周鸿祎说这种是最难用的，比如写一篇什么报告，它可能写不好，还要给他设定为一个专家，说你是一个什么专家，然后喂很多资料才能写出来，写这种 prompt 对于任何一个普通人来说都有很高的门槛。

360做这件事情的其中一种思路就是做数字人。把prompt做包装，跟数字人提要求，数字人会把很多已经被证明很好的prompt指令发给大模型，跟数字人聊天，像一个助理一样。周鸿祎举例说，LUI有点像在外卖平台定餐，给它很多指令进行挑选；而CUI就只需要通过聊天，数字人就可以把工作分解了，360试图做一个简化的流程。 

在周鸿祎看来，现在有些人宣扬LUI，有点走火入魔了。不是每个人都要变成prompt专家，能用程序解决的问题千万不要用自然语言去解决，“不要迷信LUI，未来CUI（对话式用户界面）、GUI（图形用户界面）将成为主流”。

今年的ISC大会已经落幕，而360智脑支持的AI数字人带给我们无限的想象。

乔布斯创建了一家充满革命性和创造力的公司，因为他深知21世纪创造价值的最佳途径就是将创造力与科技结合起来。所以他和他的同事们能够以全新的方式思考：他们开发的并非是针对目标人群的普通产品改进，而是消费者还没有意识到其需求的全新设备和服务。

如今周鸿祎正带着跳跃的想象力和高超的工程技术，开创一个前所未有超级AI应用产品。 

（雷峰网雷峰网）

8月9日，以“安全即服务 开创人工智能时代数字安全新范式”为主题的ISC 2023在北京隆重开幕。当天下午，胡振泉以“以托管运营服务数字化千行百业 护航数字中国开创新时代”为题发表演讲，分享了在数字安全供需不匹配背景下，360帮助企业级用户构建数字安全能力的新思考及新成果。

当前，数字化渗透到国家经济、社会、政府等方方面面。伴随着数字化的高速发展，数字化发展内在的脆弱性不可避免，外部的新型威胁也在不断升级，网络勒索、钓鱼攻击、数据窃取等重大安全事件频发。双重挑战之下，风险将遍布企业数字化所有场景。

“从近些年愈演愈烈的安全事件来看，缺乏数字安全能力的企事业单位，成为新兴网络威胁的重灾区。同时，也是我国数字产业链上最弱的一环。”胡振泉强调，从业务角度来看，企业要解决的安全问题是外防网络攻击、内防数据泄露，而以买设备、买方案、买售后、买驻场的传统运营模式已经疲于应对新型威胁，亟需向为安全效果负责的安全运营解决方案进化。 

在此之下，360把服务全球15亿用户的360安全云进行了云化升级，将360久经实践的“数字安全中国方案”快速复制给企业级客户，把传统安全自建设、自运营、效果差的运营服务模式，升级为云建设、云专家、云运营的协同模式，通过360数字安全托管运营服务帮助客户低成本、高效率构建数字安全能力。

胡振泉表示，真正的安全托管运营服务的基础与关键是数据、探针、平台、实战专家，360正是基于安全云在全网能力、运营平台、轻量探针、专家团队四大要素的优势，以及近20年积累的安全服务能力和攻防实战经验，帮助企业构建集合精准发现、及时响应、快速止损的一体化数字安全运营服务，真正做到为安全效果买单。

其具备独有的五大技术优势：一是面对企业级用户复杂、繁重的安全运营工作，360数字安全托管运营服务形成标准化业务场景方案，以轻量探针、云化全运营平台，帮助用户降低建设成本、减轻部署负担，让用户仅需为安全服务买单；二是依托360独一无二的安全大数据能力以及人工智能技术辅助能力，帮助企业用户快速看见并处置安全风险；三是利用安全托管运营协作平台将360云端数据、专家、能力、探针等建立多维度连接，实现安全事件全程可见、可管、可追溯；四是为了保障业务，360业务融合平台可快速将用户原有的安全建设、业务平台集成到运营协作平台体系下，让安全回归保障业务的初心；五是依托云端4000余名实战安全专家团队，该服务可向用户提供弹性、持续化的安全服务，应对高级威胁。

360数字安全托管运营服务帮助企业级用户实现运营省钱省力、部署配置灵活、快速并精准发现处置威胁的安全价值。可以说，真正做到了核心技术上有突破、客户体验上有创新、商业模式上有颠覆。

最后，胡振泉强调，在“安全免费”的颠覆性理念下，360将全面开放数据能力，依托360数字安全托管运营服务帮助企业构建数字安全能力，全面护航千行百业数字化转型。

（雷峰网）

周鸿祎表示，行业里老有人爱争第一，我们不跟同行比，同行不是我们定位的“对手”，360的对手是国外网军和黑产。数字化时代安全的内外部挑战升级，企业、城市、政府买了很多安全设备，现实效果却不尽如人意，致使客户和厂商陷入相互抱怨的“双输”局面。

周鸿祎认为，安全行业面对传统安全的失效需要反思，安全的核心命脉是“看见攻击、快速处置”，而不是集成思维和卖货思维，忽视运营的结果就是“看不见攻击，安全投入没效果”。

周鸿祎介绍，360从免费杀毒起，背后就是一套云上的运营服务体系，是一家云原生的安全公司。凭借这套体系，360帮助国家抵御境外网络攻击，已独立捕获国家级黑客组织52个，并为上百万企业客户和15亿个人用户提供实时安全服务。

360在安全领域深耕十五年的实践证明，只有靠高级网络安全专家通过平台进行持续运营，才能发现威胁，并进行及时响应。

“企业不是安全投入不够，而是投入没效果，做了很多无用功”周鸿祎表示，

去年ISC期间360公布了数字安全“中国方案”及科技报国成果，应企业级客户要求，将国家级安全能力全面开放，发布新一代安全产品“360安全云”，进一步服务产业数字化，为企业、城市和政府机构筑牢数字安全屏障。

周鸿祎表示，“360安全云”提供的数字安全托管运营服务将全面超越传统安全服务，是真正云化的服务，底气在于360在“云服务”方面沉淀的三大优势，即服务规模和响应速度、算力资源以及专家资源。

据了解，360数字安全托管运营服务模式下，企业的安全成本投入将降至原来的1/3-1/4，针对中小微企业还将提供免费服务，让“数字安全一个都不能少”。

“360不打价格战，而是通过技术和商业模式创新推动行业变革，给客户真正带来安全内生能力，不让用户多花钱，真正实现降本增效。”周鸿祎介绍，360安全托管运营服务实现了技术、体验、商业模式方面的“三大颠覆式创新”，将引领安全行业从系统集成时代步入云化托管服务时代。

“国家需要什么，我们就做什么；行业哪里薄弱，我们就发展哪里；客户痛在哪里，我们就解决哪里。”演讲的最后，周鸿祎再次强调，安全企业不要只想着卖盒子，而是要想能为国家网络安全做什么，能不能抵御住国家级网络攻击，只有这样我们这个行业才能成为受人尊重的行业，才能真正得到国家的认可。

（雷峰网）

Fortinet 创始人、董事长兼首席执行官谢青表示：“作为业内领先的网络安全平台和安全组网厂商，得益于当下对整合型供应商及支持无缝集成单点产品日益高涨的市场需求，Fortinet长期业务增长势头依旧强劲。在SD-WAN 和 OT 安全领域，目前 Fortinet 市场份额遥遥领先。未来，Fortinet将持续深耕安全组网、网络安全架构整合、混合云安全及OT安全四大关键领域市场，并实现长期业务增长，2023年该领域潜在市场规模(TAM)高达1220亿美元。”

不同行业、不同规模的企业逐渐认识到，Fortinet集成式操作系统FortiOS及ASIC自研安全芯片技术等产品优势，可助力全球用户持续降低总体拥有成本，全面提升产品效能和网络安全防护能力。

2023年第二季度财报摘要

• 产品收入4.726亿美金，年同比增长18%

• 服务收入8.202亿美金，年同比增长30%

• 总营收12.9亿美金，年同比增长26%

• 账单收入15.4亿美金，年同比增长18%

• 递延收入51.3亿美金，年同比增长30%

• GAAP营业利润 2.79 亿美金，年同比增长43%

• 非GAAP营业利润 3.481亿美金，年同比增长36%

• GAAP营业利润率为21.6%

• 非GAAP营业利润率26.9%

• GAAP净利润和每股摊薄净收益为0.33美元，年同比增长57%

• 非GAAP净利润和每股摊薄净收益为0.38美元，年同比增长58%

• 经营业务现金流5.151亿美金

• 自由现金流4.383亿美金

（雷峰网）

过去很长一段时间，许多用户采取头痛医头、脚痛医脚的模式，购买一堆“最佳”单品，解决单点安全问题。如今随着数字化转型的深入发展，这种单一的安全防护模式已经不能满足现代化的安全需求。

“网络和安全融合已经成为趋势，预计安全组网市场2026年可以达到2800亿，”Fortinet北亚区总经理陈鸿翔在Fortinet Accelerate·2023中国区巡展最后一站上海站暨 Accelerate Summit致辞中表示。

其实早在七年前，Fortinet 就前瞻性地提出Security Fabric架构，开启了网络和安全能力融合之路。 

Fortinet中国区总经理李宏凯也在会后访谈中谈到：多年前大家认为安全是完全独立的，建完网络再建安全，现在随着越来越多的设备接入互联网，人们意识到安全是随着网络并行发生的，业务运行、个人数据都涉及到安全问题，企业用户对于网络和安全的融合能力越来越重视。

挑战：安全的复杂性减慢了数字化转型的进程和创新

Fortinet 中国区技术总监张略在会上指出，安全的复杂性减慢了数字化转型的进程和创新。

目前企业IT资产安全管理主要面临以下难题：第一，远程办公趋势明显，安全管理难；第二，数字资产存放形式越来越多样化，从硬件到软件需要新的保护形式；第三、安全技能和专业人员短缺；第四、安全服务商众多，难以选择合适可信的服务商。

Fortinet中国区总经理李宏凯告诉雷峰网，随着中国企业对安全的重视逐渐加深，安全投入也逐渐加大，但是原本网络安全设备也投入用了很多年，原有设备如何利用起来，数字化转型过程中最难的就是，最大地发挥数字化资产的效能，减少用户的投资和维护成本，这样才能使安全无缝地融合到网络体系中，而不是分开两部分做。

作为外资企业，一方面看到中国安全市场在变大，另一方面外资企业能做的市场充满挑战，  一个在做加法，另一个在做减法，如何提升竞争力成为Fortinet要思考的问题？ 

Fortinet创新性地开拓出了一条新路子，一方面深化网络和安全融合的能力，另一方面提升平台整合能力。李宏凯表示，我们做安全解决方案，希望把更多能力融合进来，将整个网络架构和安全一体化进行管理和监控，帮助用户减少其在数字化转型的过程中整体的复杂度。

融合与整合：开拓出一片新地图

目前很多企业，在选择安全产品的时候大多不只用一家厂家，这就会造成不同厂家、不同技术、不同产品之间后期维护的问题，相互不兼容、不互通，安全效能大打折扣。

最开始Fortinet做融合的时候，很多人觉得Fortinet做不了，认为Fortinet Security Fabric集成了那么多功能在里面，肯定不工作，最后事实证明都工作，而且在两三年之内就做到了Gartner 防火墙、SD-WAN等领域魔力象限领导者象限。李宏凯说，只要你的产品可用度真正使用户业务能满足的，就会逐渐地得到市场的认可。

网安融合包含“融合”和“整合”两个概念，张略在会后采访中告诉我们，融合指的是网络和安全之间天然相互考虑的，是把安全能力和安全技术融入到每一个网络环节，无论是SD-WAN、局域网还是远程访问在一开始设计网络的时候就一同设计完，是解决方案和落地；整合是将各个不同的方案整合成一个大的SOC，可以统一运维、统一管理的系统。

另外，Fortinet网安融合的关键还有AI驱动的威胁情报，担当网安融合方案的“大脑”，而网安融合方案则是“眼”与“手”，大脑与眼、手配合就能打通感知威胁、应对威胁、处置威胁的通路。

据了解，本届Accelerate大会还宣布扩展Fabric安全架构，构建跨五个关键市场的集成解决方案的统一网络安全平台，以实现跨网络、端点和云的高级威胁防御和协调响应，并发布HMF、端点安全、SOC 自动化、威胁情报、身份和访问以及应用程序安全产品和方案。

在整合方面，Fortinet办的最重要的一件事就是整合供应商。以往一个企业通常会用几十家安全供应商，如今企业也逐渐精简供应商。张略表示，“即便供应商已经精简，用户还需要一个厂商能够帮他们把精简后的四五家厂商整合联动起来。Fortinet接下来要做的事情就是，应该用一些高级可自动化执行的SIEM、SOAR产品和技术，以理解不同厂商所产生的事件、日志，并且能够控制他们的产品来进行自动化响应。”

张略表示，“整合”的过程中，我们认为技术难跨越和组织架构没有准备好的情况是并存的，这两者交叉起来以后，会发现很多比较大的、比较好的宏伟规划，很难100%实现当时规划的成果，因为无论是预算的约束，还是技术上的难处，和组织架构方面的调整、优化都会影响到大的项目落地。

目前在技术上Fortinet SIEM、Fortinet SOAR已经实现了，未来从技术纳管以及组织架构规划层面还需要和甲方一起探讨。

视野：用国际化的视野帮助用户解决难题

安全是一个高度碎片化的市场，大小赛道数不胜数，新概念也不断冒出。

大家觉得网安行业希望很大、市场很大，结果很多人都投入，就出现了每个赛道里繁多的概念。“用户也不容易，用户听到的声音太多了，从Fortinet的角度来说，一定是从全球的视野去看，不管国内的厂家多少，有一点要正视，安全一定是国际化的市场，不存在我们所面临的安全威胁是国内还是国外的，面临的威胁一定是全球化的。”李宏凯说。

李宏凯认为，Security  Fabric安全架构在结构上来说，更符合用户的基础架构和网安融合、数字化转型的大概念。像我们做网络安全公司，公司内部的安全也用了一些小的、外围的第三方小产品，但问题是它只是非常小的边缘，可能只是保护一个很小场景的情况下，比如办公业务或者财务系统用那个小功能。

李宏凯谈到，Fortinet之所以坚持在横跨15个城市做巡展，这里面投入很大，但是坚持做的原因是：

第一，坚信我们的方案是适合用户的。

第二，希望让客户真正认知到我们的产品适合他。

第三，对我们自己的业务有拓展和帮助。

第四，真正让Fortinet国际化的安全技术和视野，能够帮助本地在转型中的企业摆脱困境。

如今许多企业也在跟随潮流，寻求整合单点产品、整合供应商和功能，以提高其安全性的各种手段。李宏凯指出，网安融合不是一个独立的纯粹是某个厂家或者某个机构为了这种方向计算出来的，而是看到了确实市场上出现了这种需求，出现了这种场景，出现了业务的态势，才觉得这是未来的发展方向。就像云技术一样，刚开始有一些行业内的提云技术将成为未来二十年的技术，人们从一开始不相信，到现在改变思维。

所以“整个技术的发展方向最根本的还得有用户场景的支持，业务的需求是根本，你有一个技术和方向，没有业务需求和场景化发展不起来，就算提供了概念也很难落地。”

（雷峰网雷峰网）

盛邦安全专注于网络空间安全领域，主营业务为网络安全产品的研发、生产和销售，并提供相关网络安全服务。自2010年成立以来，盛邦安全倡导“安全有道，治理先行”的发展理念，为用户提供网络安全基础类产品、业务场景安全类产品、网络空间地图类产品以及网络安全服务，现已成为国内领先的网络安全厂商。

盛邦安全是全国十三家国家级网络安全应急服务支撑单位之一，拥有技术能力强、响应速度快且经验丰富的安全服务团队，连续多年参与国家各级网络安全应急响应工作，服务了世界反法西斯战争胜利70周年大阅兵、二十国（G20）集团峰会、新中国成立70周年庆祝活动等70场以上国家重要活动的网络安保工作，为国内重大活动网络安保提供了坚实的护航力量。

多年来，盛邦安全持续秉持精准识别、精确防御、深入业务场景的“两精一深”的研发理念。目前，盛邦安全的漏洞及脆弱性检测、应用安全防御技术已处于行业领先地位，不仅在溯源管理方面是行业的创新者，在网络空间地图技术领域更是行业先行者和代表企业。

2022年，盛邦安全发布首个网络空间地图——网络空间坤舆图，构建了新基建数字安全底图，并入选工信部2022年网络安全技术应用试点示范项目，为构建和完善安全防护体系奠定基础。

此外，盛邦安全网络安全创新技术与典型应用已连续两度入选IDC发布的中国网络空间地图报告，公司也被评为中国网络空间地图市场主要玩家，这是来自全球知名市场调研机构对盛邦安全在网络空间地图领域持续投入、不断创新的重要认可。

据悉，为保证产品创新，盛邦安全始终坚持投入研发相关资源，用于核心技术的开发和升级。招股书显示，盛邦安全近三年研发投入占营业收入的比例分别为16.38%、19.11%和20.20%，呈逐年提升态势。截至2023年3月31日，盛邦安全已获得25项发明专利，参与制定的4项国家标准已发布，另有4项参与起草的国家标准正在申报，其中1项为牵头起草，并承担了十余项科技部、公安部、工信部、国家网信办等国家重大项目。

值得关注的是，盛邦安全此前参与的“关键信息基础设施网络资产发现及威胁监测技术与应用”项目荣获中国通信学会科学技术二等奖，评审委员会一致认为“该项目多项创新成果填补了国内空白，项目具备国际先进水平，取得了良好的经济效益和显著的社会效益。”

招股书显示，盛邦安全本次科创板上市，所募集资金主要用于网络空间地图项目、工业互联网安全项目、数字化营销网络建设项目、研发中心建设项目及补充流动资金。相关募投项目均投入围绕盛邦安全现有主要业务的产品拓展和延伸、技术升级和前沿技术研发等科技创新领域。相关项目的开展将有望增强公司技术实力，提高公司的核心竞争力，保持和扩大技术、服务的领先优势，为盛邦安全提升持续经营能力提供切实保障，对盛邦安全的长远发展和经营业绩将起到较大的促进作用。

盛邦安全表示，公司将以上市为新的起点，继续秉承“让网络空间更有序”的使命。在国家安全战略的指引下，坚定遵循“两精一深、聚焦行业”理念，加大网络信息安全领域的研发投入，以网络空间地图为底座，聚焦行业和场景，开发创新性的安全产品和解决方案，致力于使公司成为一家创新驱动、持续成长、高效运营的新型数字化网络空间安全供应商。

同时，盛邦安全将不断完善市场营销体系，围绕公共安全和行业安全，扩大市场覆盖度和市场渗透率，更好地为国家网络安全事业做出贡献，更好地为国家和人民的安全保驾护航，保障数字世界安全。

奇安信董事长齐向东认为，数智时代，真正迎来了一个万物生长的时代，每个人的个人数据在生长、企业的数据在生长、社会的数据在生长。

数据主要发生三方面的变化：第一个变化是数据从“死”到“活”，在复杂流动中产生更大风险；第二个变化，数据从虚到实，攻击暴露面越来越大；第三个变化，数据从贱到贵，价值越来越高，损失也更难承受。

在7月6日，BCS2023北京网络安全大会上齐向东表示，对于数据发生变化，数据安全防护也出现三大难题：第一个，数据操作行为真假难辨，例如黑客会披着合法的外衣做“坏事”，模拟正常业务，采用“蚂蚁搬家”策略盗取数据；第二，“三员”违规行为难控，数据泄露事件，82%和内部有关，因此管理员、技术员和操作员“三员”难防；第三，软件供应链漏洞、后门难防，例如开源组件引发的安全漏洞，而国产软件对这些开源组件的依赖度是100%。 

由于数据这一变量的出现，已经基本实现攻防力量的平衡被打破，未来易攻难守将成为常态化，单单靠网络安全部门已经解决不了现有难题。

齐向东表示：“一定要用内生安全的方法解决新难题，数智安全要以内生为本，同时内生安全也需要在新的数智时代，不断赋予新的内涵，自我进化，创新应变。”

内生安全是一个从规划、建设、体系运行到实战结果，再用实战结果评估指导新的规划、建设、体系运行的过程，在螺旋式上升的循环中，保卫数智世界的安全。“内生安全就像人的免疫系统一样，每战胜一次病毒，都增强一次病毒抗体，‘吃一堑长一智’、‘经一事识一人’。

所以，齐向东在演讲中表示，解决数智时代的安全问题，必须内生为本，要做好三大转变：

第一个转变是从关注IT转变成关注业务。 

第二个转变，从关注设备转变成关注“人”。

第三个转变，从关注建设转变成关注运营。

谈到ChatGPT对网络安全的影响的时候，齐向东认为这是双刃剑。ChatGPT会影响信息技术革命之后的80年，固有的社会治理模式已经完全变了，所以安全也变了。“我们也要用一些人工智能技术来实现攻防对抗，解决ChatGPT可能会引发的网络攻击和防护产生新的不平衡问题，”齐向东如是说。

对于奇安信未来是否会做自己的ChatGPT这一问题，齐向东表明，奇安信有一个人工智能研究院一直在做这方面的研究，对于ChatGPT的进度上还是比较满意。未来会在适当的时候发布自己的ChatGPT，但是要基于政府和企业的需求，可以直接交付的时候才会发布。

他最后指出，关于人工智能本身的安全问题，奇安信秉持三管一不管：一不管，AI意识形态领域、内容安全领域的问题不管；三管，第一，内部的员工向公共的AI平台投喂数据从而引发的安全问题；企业部署的本地大模型系统安全问题；有关网络安全的ChatGPT大模型人才培养。 

（雷峰网雷峰网雷峰网）

安全本身具有伴生属性，哪里有场景哪里就需要安全。从计算机安全、信息安全、网络安全再到如今的数字安全，当保护场景和保护对象不停的变化，安全防护手段也需要不断变化。 

如今数字经济时代下，企业移动办公以及上云的速度加快，组织内原有的安全边界被打破，各类终端设备成为了新的边界，新场景下，原有终端安全防护体系早已失效，只有推陈出新才能适应时代的变化。

“2009年下一代防火墙的诞生也是顺应时代变化的逻辑，因为当时互联网高速发展，黑客把很多恶意代码隐藏在HTTP流量里，传统的防火墙无法防护，所以只有将IPS、IDS融合到传统的防火墙，这才形成了下一代防火墙。”亚信安全终端安全产品总经理汪晨在C3安全大会·2023新一代终端安全论坛上表示，因为网络环境变了，终端正在成为网络安全新的边界，用户对终端越来越重视，这就是为什么我们需要新一代终端安全。

挑战：现有终端安全防护面临三大挑战

随着企业数字化转型的加快，企业很多业务开始联网，越来越多的终端直接暴露在互联网上，现有安全体系逐渐失效。

汪晨告诉雷峰网目前网络环境确实发生了变化：

第一，加密流量增多了，在网络侧很难看清危险，85%的黑客攻击是潜伏在网络加密流量里面，只有在终端增强之后才能看清和搞定；

第二，企业越来越多终端联网，业务数字化，如果终端产品做不好会影响数字化转型的进程；

所以传统的网络安全理念和手段已经越来越不能满足现在的需求。以前边界上有各种各样的防控设备、产品，可以把终端很好的隔离在内网，现在的办公环境已经不允许完全按照这种方式来进行安全能力的部署。

汪晨指出目前在终端上面临三大痛点：第一，终端被堆满了很多的功能，系统变得卡慢，而且很多也不是一个厂商提供的，追责难；第二，终端数量不断增长，运维变得非常繁杂；第三，目前很多终端安全产品比较割裂，没有有效融合，很多威胁防护无效。

总结来看目前终端安全防护三大最主要的问题：终端安全功能部署臃肿、终端运维繁杂、终端安全防护失效。这就导致企业不知道黑客从哪里攻击进来、不能第一时间发现黑客、也不能第一时间响应，防护效率提升不上去。

另一个方面值得注意的是安全产业正在从合规驱动向业务驱动转变，亚信安全首席研发官 吴湘宁在会后访谈中也指出，整个企业数字化进程加快，业务追求高效快速发展，企业发现合规只是最基本的，还需要保障业务的连续性，主动做安全，因此只有符合企业发展需求的，并且轻量化的部署才能跟上企业业务迭代的速度。

谈及最近爆火的AI人工智能，亚信安全首席安全官徐业礼谈了三点AI与安全的关系：

第一，AI系统越来越庞大，其本身的安全就是一个关键。因为其实涉及到AI投毒，模型被篡改，包括AI系统本身有边界防护端点防护。

第二，AI被用来做坏事，例如数据泄漏。坏人用AI学的更好，包括AI生成一些误导的信息，数据泄露等，这都是非常大的风险和问题。

但是同时AI也可以增强网络安全的能力，AI 1.0时代到AI 2.0时代，一直在进化，功能越来越好，同时用新的生成式AI模仿人，或者能够把安全专家的能力很容易学会复制，从而加速系统的自动化运营。

破局：新理念和实力并存的企业才能破局

目前用户的终端安全需求越来越高，一台机器需要安装十几种终端防护产品，比如终端准入、防病毒、EDR、主机审计、桌面管理、数据防泄漏等。

但现实是，部分厂商研发和运维能力有限，只能提供某一种安全产品及服务。用户如果想构建体系化的安全能力，需要从不同的厂商采购一大堆不同功能的客户端产品，还需要运维人员进行大量的维护工作，不仅采购成本高、人力成本的投入也居高不下。

此时，亟需有技术实力和先进理念的企业破解目前的困境。

据汪晨介绍，终端安全不好做有很多坑、很多雷，需要长期的打磨，亚信安全在终端安全方面有30年的经验，稳定性非常好，终端安全是需要时间积累和沉淀的，和其他软件产品不一样。有些刚进入的厂商经常会导致用户的机器蓝屏、卡顿。

另一方面在2017年WannaCry爆发的时候，亚信安全是唯一一家成功拦截病毒的企业。汪晨带领的团队2015年就提前预判了可能出现的安全威胁，因此早已提前做了部署和防护。

在安全防护方面不仅理念要超前，经验和技术实力也不可或缺。

安全合一：TrustOne定义新一代终端安全

6月29日，针对当前终端安全产品“臃肿、繁杂、无效”的三大痛点，亚信安全推出新一代终端安全品牌——TrustOne，重新定义终端安全，以“极简新”主义为其品牌理念。

谈及为什么叫“TrustOne”？亚信安全表示，TrustOne秉承着安全合一的理念。我们也可以看到此次新一代终端安全TrustOne集产品能力一体化，部署一体化，管理一体化，运维一体化于一身，真正实现了安全合一的“极简新”理念。

据汪晨介绍新一代终端安全TrustOne拥有以下五个方面的能力： 

第一：原子能力化，轻量化融合终端；亚信安全将冗余的代码变成原始能力，极大释放资源，来形成轻量化终端，来解决卡慢问题；

第二：攻击面管理能力；自动持续检测、关联分析辅助运维是两个关键能力，因为终端在变化，网络安全也在变化，所以必须要有攻击面管理能力；

第三：风险治理的数字化；将实时检测和攻击面结合做到风险显性化、量化；

第四：已知和未知攻击响应检测能力，TrustOne融合了各种防护能力，从而及时检测已知和未知威胁，并能实时阻断，从而帮助组织有效提升MTTD&MTTR。

第五：一体化平台化；  

汪晨最后指出：“我们一直有一个梦想，希望能够帮大家从这么卷的生活中释放出来，让我们的运维效能极致提升。所以必须要做到几点，需要有非常强的风险甄别的能力、有快速响应处置的能力、部署安装需要迅捷、员工的工作不能被打扰，只有这样才能释放运维压力，提升运维效率，只有这样才能让企业数字化建设安享丝滑。”

（雷峰网雷峰网）

6月17日，以“风险驱动”为主题的第三届数字安全大会在北京召开，他说这是唯一一个由第三方咨询机构和CIO机构联合举办的顶级安全会议。大会期间《中国数字安全产业年度报告（2023）》发布。报告内容包括数字安全100强、专精特新100、数字安全能力图谱行业版等内容，并阐述了数字安全9大发展态势，并针对广大数字安全企业和整体安全产业提出了既切合实际又着眼于未来的论断：“后疫情时代，对于大多数民营安全企业来说，生存是第一要务。对于整体数字安全产业而言，长期向好，未来可期！”

针对数字安全含义及其未来发展相关问题，雷峰网和数世咨询创始人李少鹏进行了深入的交流。

一、风险驱动是安全产业壮大的催化剂

扁鹊年轻时游历于魏国，魏文王召见扁鹊问道：“先生，寡人听说你们家兄弟三人都精于医术，谁医术最好呢？”

扁鹊回答：“大哥最好，二哥差些，我扁鹊是三人中最差的一个。”

魏文王好奇，扁鹊名气最大却说自己是三人中最差的。扁鹊说，“大哥在病人没觉得自己有病的时候就给调理好了，二哥在病人觉得自己有小病时就治好了，所以只是在乡里少有名气，而我救人于危难之中，都是大动手术，所以名闻天下。”

正所谓下医医大病，可起死回生；中医医治小病，可防微杜渐；上医医未病，可渡人平安。神医都是治未病。

李少鹏以扁鹊的故事阐述了安全行业和治病救人一样，都要防患于未然。他说：“最早安全企业是事件驱动，有病就去看病，出了问题亡羊补牢；到后面是威胁驱动，例如大型攻防演练，为了防止病毒和攻击，企业主动防御，如疫情时候主动戴口罩、打疫苗；未来产业真正要发达起来，能够成为万亿市场一定得是风险驱动。” 

李少鹏在演讲中表示，在2015年之前，网络安全发展这么多年总共才100多亿的市场，2015之后到2022年这一市场已经有将近1000亿的市场了，短短7年就增长了5.5倍。

网络安全其实可以分为三个阶段，第一个阶段是计算机安全阶段，那个时候为了合规就是解决有没有的问题，买了根本没人用起来；第二阶段才是解决了行不行的问题，由于大型攻防演练的推进，企业开始关注安全产品真正的实用性；我国网络安全体系就是从有没有到用没用再到行不行的变化，一步步建设起来的。

但是光有威胁驱动的安全是不行的，即便在大型攻防演练的时候，我们可以做好排兵布阵，但是面对未知的威胁是没办法排兵布阵的，因此这个行业很小，企业投入也很小。

李少鹏告诉雷峰网只有转变思维到风险驱动，行业才能变大变好。就像对待自己的身体，不是感冒发烧了才去喝药，平常就应该注意锻炼身体、做体检、注意饮食等，甚至买健康保险。安全也是这样，在没有安全威胁发生的时候，就要未雨绸缪。

一来企业要意识到提前做安全部署的重要性；二来安全产品和技术也要站在风险的角度进行迭代，提前做预防和研判，对于产生危害的漏洞及时修补。

只有企业和安全产品都在被风险驱动的时候，这个产业才会真正的投入很大。

二、数字安全时代两样东西最重要

去年数世咨询举办了第二届数字安全大会，发布了一个报告，其中一个论断就是数字安全产业处于初级阶段。

李少鹏表示2019年的时候，就公开发布了一篇深度思考安全产业的文章，并首次提出网络安全将走向数字安全的思想。2023年2月，中共中央、国务院印发《数字中国整体布局规划》，其中就提到建设数字中国，一方面要进行数字创新、技术创新；另一方面要筑牢数字安全屏障。

所以现在大家开始逐步认可数字安全这一理念。从计算机安全到信息安全、网络安全再到数字安全，每个阶段关注的安全问题都是不一样的。其实网络安全保障的核心对象就是数据安全，而数字安全的技术内涵就是以网络安全为基础保障手段，以数据安全为核心价值的两者的合体。

但是当前数字安全产业整体还处于一个初期阶段。主要原因有以下几个方面：

第一：整体产业规模太小，不算支撑基础国计民生的产业，到目前为止也才不到1000亿；

第二：标准不统一，网络安全工具不互通互用，不利于共同抵抗网络攻击；

第三：安全行业几乎没有直销，中间商太多，厂商几乎赚不上钱；

第四：合规还是安全产业发展最主要驱动因素，但是随着数字经济的发展，这个天平会往业务安全驱动倾斜；

“数字经济时代，所有行业最重要的两样东西，一是数据安全，二是业务的连续性。”

李少鹏表示，央国企和部委能占到安全行业整个收入的80%以上，所以合规是一方面驱动因素；但是随着数字经济的发展，业务联网化、数字化，保障业务的正常运行也成为了刚需，尤其关基行业，一旦系统停摆，例如水、电等直接影响国计民生。

另一方面就是数据安全，安全不是独善其身，数字安全除了保障自身安全还要为他人安全负责，数字经济时代下，最核心的要素之一就是数据。

三、安全行业没有寡头只有诸侯

“安全行业会永远碎片化、动态化下去。”

安全行业碎片化已经成为行业共识，谈及这一现象的原因，李少鹏指出这是因为安全行业有四个基本属性：

第一：伴生属性。举个例子没有计算机就没有计算机安全、没有网络就没有网络安全，当保护场景和保护对象不停的变化，安全就会碎片化。

第二：技术本质。技术的核心本质就是信任问题，被信任就可以访问数据，不被信任就要动态化检测。

第三：商业本质。商业的本质就是一个服务而不是商品，网络安全本质上就不是一个单纯的产品还要配相应的配套服务，只要是服务肯定就是个性化的，因此也没什么统一的标准。

第四：哲学本质。网络安全说到底就是对抗的事情，没有最坚固的盾，也不会有最锋利的矛。道高一尺，魔高一丈，攻防对抗是持续性的。

古代春秋就是诸侯时代，战国就是寡头时代。春秋时代有140多个诸侯国，而战国时代7个国家就占了95%的比例。李少鹏表示，根据数世咨询统计，安全行业市值亿元网上包括大几千万的企业刚好150个，所以现在网络安全行业是名副其实的春秋时代。

如今到了2023年，5G网络、人工智能、大数据等新兴网络技术的不断发展和应用，安全防护也变了，数字化时代到来，我们必须加强和升级我们企业设备和系统上安全框架和措施等，以抵挡犯罪分子的攻击。

在6月13日，腾讯安全联合IDC等多家机构举办的数字安全免疫力论坛上，腾讯安全总裁丁珂表示，数智化新阶段，发展驱动成为安全建设的普遍共识，企业需从被动安全变为主动防御，以数据资产和业务资产为目标，建设一套全新的安全范式和框架。

一、安全建设应从“惯性”带领转变为发展和变革驱动

在丁珂看来，一段时间以来，数字化已经发展到了从量变到质变的阶段。很多客户的数字化已经非常成熟。作为安全从业者，腾讯安全已经看到了客户在数字化过程每个阶段的痛点，但在企业成长的过程中都有一个共性，就是对如何实现健康和可持续发展比较迷茫。

他认为目前企业面临三大变量：

第一个变量是，企业数字化的过程中，安全问题也在随之变化。一个企业的成长有点像人的不同年龄阶段，发展到不同阶段就会有自己特定的问题。一段时间不生病，只能说运气好，但是真正碰到各种各样问题情况，有没有办法能够更健康，更好地发展？这是需要提前规划的。

第二个变量是，近几年来，国家在数字化、数字安全相关法律法规上面的部署密度和强度空前。一方面，安全相关的法律法规越来越系统化，从国家层面的立法、到各部委的意见、再到各行业的规范，深度、广度方面都是空前的，这促使所有数字化主体学习、成长。另一个方面，数字安全成为企业的主体责任，把数字化和安全建立了硬关联。

“从企业的角度来说，建设和应用数字化工具，增加自己的top line，可以高效地提高效率提高收入。但腾讯的实践证明，发展的过程中同步建设安全，甚至适度的超前建设安全，才能让业务发展的没有后顾之忧，”丁珂如是说。

第三个变量是：系统建设层面。以前IT建设的度量方式是花很多预算买硬件、租带宽。现在企业家已经意识到，真正的核心资产其实是数据，数字时代，企业安全保护的核心对象始终在升级。

面对变量，丁珂给出建议：一方面，企业必须正视变化，这是回避不了的；第二个是掌握变化、理解它；第三是在实践过程中利用现有的技术和能力，思考如何做到用更小投入获得更大成效。而不是被一堆概念、一堆表象性的问题牵引，看似做了一大堆的投入，但是复盘时发现辛苦投入的资金和精力，沉淀的安全能力很少。

“在新的周期里，我们要思考如何才能更好的发展、更好的面对未来，寻找到企业的价值点。我们目前应用的建设方法、人力物力的投入、企业的数字化技术能力，都还是被‘惯性’带领的，而合理的方式应该被发展和变革驱动，”丁珂如是说。

二、十年后的核心资产是什么？

丁珂说，腾讯安全在做企业调研的时候，经常问企业领导，如果再过十年，您企业的核心资产、核心价值是哪些？是这栋楼还是你买的那堆设备？

未来是数字化的时代，企业会逐步意识到，真正的核心资产其实是数据以及建立在数据之上的商业模式。

安全行业保护的对象也始终在升级。

IDC中国副总裁武连峰认为，安全防御新范式的提出和企业数字化转型的驱动力是一致的。 

当下企业面临三大风暴：

一是环境风浪变成颠覆风暴，企业受国际环境影响变大；

二是数字化转型向数字化业务过渡，数字化转型进入深水期，核心业务开始数字化

三是技术大变革时代到来，IT行业每隔10年或15年会有一波大的技术变革，这一两年是技术大变革的开始像AIGC云宇宙等技术的兴起，黑客也在利用AI强化攻击。

因此传统安全防护已经无法满足需求了，企业必须用新范式来应对安全威胁。

三、数字安全免疫力框架新范式给企业提供参考

丁珂告诉雷峰网，安全一定不是“保安”的角色，是伴随业务一起发展的。现在企业遭遇的问题，大多不是别人“破门而入”。企业将来面对的更多风险，都是渗透、潜伏、内部管理不善出了内鬼，内外勾结带出去企业的核心数据等等这类问题。

“从企业的视角来看，未来企业安全建设的优先级一定是数据安全建设，”丁珂如是说。

谈到为什么提出数字安全免疫力主张？丁珂表示，企业有安全上的主体责任，企业的安全必须是自己自带的能力，就像人是自己身体免疫力的第一责任人。

围绕如何构建数字免疫力框架，丁珂进一步指出，模型将企业核心业务、企业数据资产，作为所有安全的防御目标，为安全重建价值原点。在安全运营与管理层，建设一套以人为核心的“免疫中枢系统”，从业务top-line视角去看安全运营与管理工作，让安全因为“人”发挥动态流动的价值，去除安全的边界；在最外层，拆除传统软硬件安全的“篱笆”，运用平台思路和插件思路，让安全工具与安全技术能够按需取用。

在会后采访中，腾讯安全策略发展中心总经理吕一平补充说，首先，免疫模型和范式在帮助大家理清思路，站在自己企业视角、业务视角怎样逐渐把安全能力转换成企业自身的必备能力；其次，免疫力模型框架给企业带来全局视角，针对核心业务数据和资产应该怎样做全局思考，怎么做好安全能力建设；最后，在企业合规成本居高不下的难题下，给企业从技术角度、成本角度、收益角度提供参考，从而让企业更好的聚焦安全防护的重点。

据了解腾讯安全发布数字安全免疫力模型框架，在以腾讯安全腾讯安全AI、威胁情报、攻防对抗三大原子能力的基础上综合为数据安全治理、业务风险控制、安全运营管理、边界安全、端点安全、应用开发安全六大领域提供底层安全动力支撑，并应用在腾讯安全全线安全产品中，助力企业高效建设数字安全免疫力体系。 

丁珂最后表示，数智化新阶段，发展驱动成为安全建设的普遍共识，企业需从被动安全变为主动防御，建设一套全新的安全范式和框架，提升数字安全免疫力，以更积极、主动的安全观，用“治未病”的思路替代“治已病”。（雷峰网）

内因决定外因，但是“进化”，是把外在过程，修炼到自身免疫系统里面去。 

一、“进化”是必然

不发展是最大的不安全。比尔·盖茨曾说“今天你错过了互联网，那么你错过的不是一个机会，而是整整一个时代。”

第一次工业革命蒸汽机取代人力、第二次工业革命电器取代了机器、第三次工业革命计算机等电子信息技术的发明促使人类进入信息时代。纵观每一次产业技术革命都带来生产力的解放。

如今进入二十一世纪，我们正在由信息化迈向数字化智能化阶段。企业数字化转型已不再是“选择题”，而是关乎生存和长远发展的“必修课”。

随着企业数字化转型进程的加快，企业IT架构也要随需而变，才能引领变革保持竞争力，不被时代淘汰。

与此同时，企业也要面临恶意软件入侵、勒索病毒攻击、数据泄露、邮件或者钓鱼网站等软硬件，以及数据篡改和泄露带来的技术风险。

在数字化和智能化叠加而来的竞争时代，企业要强筋壮骨，就必须不断脱胎换骨，才能安全穿越周期。

我们来回顾一下，过去企业安全建设的进化路程。曾经有网络安全行业大佬，给雷峰网划分过企业安全建设划分为系统防护、物理防御、云防御三个阶段。

第一阶段：2000年以前，主要保护计算机系统安全。当时的IT基础设施还非常欠缺，有实力搭建网络的企业少得可怜。而且安全措施也基本体现在对企业内部员工的制度管理层面上，几乎没有针对安全的具体设备和产品。企业所谓的安全措施，几乎都是为了保障单机系统的正常运行、不宕机而建立的。

第二阶段：2000-2014年，也就是PC时代，杀病毒软件、防火墙、入侵检测网络安全老三样风靡市场。由于当时网络设备单一，网络安全很少涉及业务，数据资产比较低，“老三样”基本能满足企业对网络安全的需求。当时，企业仍然有明显的内外网之分，业务只在内网运营，只需要防火墙进行隔离保证安全。大部分企业安全防护都是靠堆盒子、买硬件。

第三阶段：2014年之后，随着大数据和云计算的发展，IT基础设施架构已经由本地转到了云端，云上安全防护成为了企业的主要任务。

而当下，企业安全需求又一次发生了变化。伴随着数字化智能化技术的兴起，以及企业数字化转型的推进，安全边界模糊，以前的网联设备仅PC和服务器，现在扩散到手机、互联网、工业互联网、云基础设施等方方面面，数字安全时代到来。

这样的“质变”带来的首要问题是风险攻击面的扩大，安全防御滞后严重；其次，攻击面扩大后，背后承载的风险也将进一步增加，产生的影响也会扩大。黑客利用云的优势、大数据、人工智能的能力，发动一轮又一轮越来越强、频次越来越高的攻击，传统的安全防御早已失效。

例如2021年，美国最大燃油管道运营商Colonial被攻击，美东部输油“大动脉”被中断；2022年，哥斯达黎加因遭到勒索软件攻击宣布全国进入紧急状态......可见数字化世界的崩溃会给社会生产和生活带来多大的失序。

数字化、网络化程度越高，可被攻击的部位、结点就越多。对数字技术的依赖程度越高，网络破坏造成的后果就越严重。

回顾企业每个阶段的安全建设，几乎都是“头疼医头，脚疼医脚”，从物理安全防御到云安全几乎都是如出一辙。如今，数字化时代，传统的解决单点问题的安全方案已经无法满足数字时代具体业务场景安全需求。

因此对于企业而言，面临数字化带来的风险时，需要学习不同的安全理念，并结合自身的企业业务，进化升级出一套适合自己安全防御体系架构。

就像曾国藩说的那样，我们是‘结硬寨，打呆仗’，我们要把架构搭好，以不变应万变。

未知的风险变化莫测，安全架构也要处于一种动态发展中，而不是一成不变。企业更是在业务设计之初，就要将安全理念融入到业务中，并打造自己的“数字安全免疫框架”，然后不断进化升级，增强抵抗力。

二、对抗AGI时代“大瘟疫”

大型攻击事件的发生就是一次大型的瘟疫事件。

2017年，WannaCry勒索病毒肆虐全球，国内外各高校校园网、政府部门、银行、中石油加油站等网络均遭受不同程度的感染。 

再往前追溯，2010年，“震网”（Stuxnet）蠕虫攻击事件，感染了全球超过20万台电脑，震网病毒看起来对普通电脑没啥危害，但对于Windows操作系统感染性非常强，而且能够潜伏继续感染。 

这些病毒都有一个特点，就是像瘟疫一样不断扩张自己的领地。

2022年底ChatGPT风潮席卷全球，标志着人工智能技术的应用进入快车道，人类开启了通向AGI时代之路。

企业纷纷加入GPT应用大潮，但随之而来的安全问题，也成为企业不容忽视的一部分。

从网络安全的角度来看，这类生成式人工智能首先可以作为攻击武器，例如生成可用于网络攻击的脚本、钓鱼邮件，也能被用来解密一些较易解密的加密数据。大大降低了威胁参与者基于技能的进入成本，扩大了潜在威胁的数量。

其次，目前已经有威胁行为者正在使用 ChatGPT 来开发恶意软件。例如在漏洞披露后的几个小时内即可开发出直接利用漏洞来开展攻击的工具，缩短了开发恶意软件的时间。

再次，泄露隐私，以及被滥用于编造虚假信息，对于内容创作领域造成危害。

所以随着生成式人工智能的不断应用，未来很有可能出现下一个“大瘟疫”事件。

网络安全攻击常常是偶发性事件，但是即便发生一次，对于企业造成的经济损失、用户流失、声誉受损、公信力下降等损失都是无法挽回的。

企业必须不断进化升级安全架构，并利用智能化工具提高防御的自动化水平。

三、免疫：治病于未然

除了“大瘟疫”型的安全事件，对于企业更迫切的需要是防护自己的核心资产：数据。

我们无法彻底规避所有网络攻击，因为攻击者会不断利用新手段新方法进行攻击，因此防护也应该是动态进化的。

尤其在AGI时代，安全的边界被重新定义。因此企业除了修炼自身内功之外，还需要借助外在技术力量提高自身安全免疫能力，完成“新进化”。 

数字化发展到现在已经从量变到质变的阶段，企业数字化的每一阶段安全痛点都有所不同。 

在数字化早期，企业IT边界非常清晰的情况下，数据安全的管控相对容易，企业只需要把数据留在本地就可以。但现在随着AGI、元宇宙、云计算等新技术的发展多云、多分支，多方协作、多元设备的协作特点，传统的安全防护体系早已失效。

另一方面，是主观上企业管理层对于安全重视度不够，仍然是以成本思维在考量安全工作，没有看到一个良好的安全体系对于企业发展的长远增益。企业目前在安全上应用的建设方法、人力物力的投入、数字化技术能力，都还是被“惯性”带领的。腾讯集团副总裁、腾讯安全总裁丁珂在6月13号刚刚结束的“数字安全免疫力研讨论坛”上指出，数字化时代，安全建设驱动力发生了根本变化，企业应该把核心业务、企业数据资产作为所有安全的防御目标，重建安全价值原点。

在雷峰网看来，如今更加需要强调的是业务和安全的协同发展。数字化时代安全与业务应该是一体的已成既定事实。但是安全与业务最大的矛盾是，传统的安全建设方式可能会阻碍业务的发展，所以企业亟需一个新的安全范式来解决安全与业务共生的难题。 

“从企业的角度来说，建设和应用数字化工具增加自己的top line，可以高效地提高效率、提高收入。但腾讯的实践证明，发展的过程中同步建设安全，甚至适度的超前建设安全，才能让业务发展的没有后顾之忧，”丁珂如是说。

丁珂告诉雷峰网，一方面，企业必须正视变化，这是回避不了的；第二个是掌握变化、理解它；第三是在实践过程中利用现有的技术和能力，思考如何做到用更小投入获得更大成效。而不是被一堆概念、一堆表象性的问题牵引，看似做了一大堆的投入，但是复盘时发现辛苦投入的资金和精力，沉淀的安全能力很少。

由于企业是自身的第一责任人，提高自身安全免疫力增强肌体健康，就是对自己的一种负责。

基于在长期服务客户过程中的思考，腾讯安全和IDC一起向行业数十名企业安全负责人、安全专家发起调研，最终形成了一个共识：企业需以免疫的思维应对新时期下安全建设与企业发展难以协同的挑战。

6月13日，“数字安全免疫力研讨论坛”上，IDC和腾讯安全共同发布了数据安全免疫力模型 

IDC中国副总裁武连峰认为，很多企业管理层并非不重视安全，但由于对安全认知不足、对于不安全造成的损失以及安全未来的价值认知不足、对业务创新与安全的相关性认知不足，重视安全无法落实到具体的预算上。当数字化成为企业的发展驱动力，企业管理层也亟需理念革新。 

据腾讯安全&IDC联合发布的《加强数字安全免疫力，促进数字化时代下的韧性发展》白皮书所述，数字安全免疫力更加强调前置投入，将安全要素融入至企业的战略、管理、运营流程中，打通平台、技术、能力等层面的壁垒，强调动态、轻量、实时的反应能力，可以一定程度上实现自主性地容错、纠错和升级。

“上医治未病。”腾讯副总裁、腾讯安全总裁丁珂认为，企业需从被动安全变为主动防御，预先检测安全风险和威胁并预警，像提升人的免疫力一样提升企业自身的“安全免疫力”，就可能拒“病毒”于千里之外，延缓甚至阻断网络安全事件的蔓延，取得事半功倍的效果。

在智能化对抗时代，安全防御没有“银弹”，企业应拥抱新理念，提升自身的“数字安全免疫力”，主动进化，提升安全前置能力，从治已病发展为治未病，才是企业在数字化时代取得更好的发展的长久之计。

如今，随着移动办公、企业上云的加速，组织内原有的安全边界被打破，各类终端设备成为了新的边界，这种转变使得终端面临更加复杂和多样化的安全威胁，终端安全防护亟需一种新的设计框架。

近日，在2023西湖论剑·数字安全大会上，雷峰网有幸拜访到了安恒信息副总裁、终端安全负责人刘思宇。

刘思宇曾在老牌杀毒软件厂商领导相关产品研发推广，他的加入提升了安恒信息终端安全领域能力。他认为，尽管在终端安全领域起步相对较晚，但凭借深厚的安全底蕴积累以及持续投入的创新能力，安恒信息能提供更加全面、更加体系化、更加领先的终端安全产品及解决方案。

作为安全行业的资深从业者，刘思宇认为，在市场、技术及安全事件的驱动下，未来终端安全会朝着体系化、一体化的方向发展，并且这个趋势正在加速到来。

以下为雷峰网与刘思宇的对话：

雷峰网：终端安全从提出发展至今，经历了很大的变化。您认为目前阶段，终端安全发展的困境和特点是什么？

刘思宇：安恒信息的思考与观察主要体现在两个方面：

一方面，随着云计算、大数据以及远程办公等新技术和应用场景的兴起，安全边界变得更加模糊，越来越多的终端直接暴露在互联网上，这对于互联网上的坏人是一种便利。传统的、单一的终端防护手段越来越不能满足现在的需求。以前边界上有各种各样的防控设备、产品，可以把终端很好的隔离在内网，现在的办公环境已经不允许完全按照这种方式来进行安全能力的部署。

另一方面，用户的终端安全需求越来越高，一台机器需要安装十几种终端防护产品，比如终端准入、防病毒、EDR、主机审计、桌面管理、数据防泄漏等。最终造成的结果是：极其占用计算机资源，甚至影响生产效率。究其根本，部分厂商研发和运维能力有限，只能提供某一种安全产品及服务。用户如果想构建体系化的安全能力，需要从不同的厂商采购一大堆不同功能的客户端产品，还需要运维工作人员进行大量的维护工作，不仅采购成本高、人力成本的投入也居高不下。

雷峰网：针对现阶段网络边界模糊，终端安全防护更加脆弱的问题。安恒信息有什么解决方案？

刘思宇：安恒信息的终端安全管理系统从两个不同的角度去解决终端上的安全问题。

首先，在终端设备接入网络之初，就会从安全视角，对组织内需要保护的终端资产进行智能化的识别；其次，给这些资产部署防护产品，形成完整生命周期的保护。

在对资产做深度识别时，会针对包括软件、硬件、外部接入设备、甚至软件中的各类组成成分进行识别和保障，让安全运维人员可以准确掌握自己内网的资产数量和类别。资产清点完毕后，按照相应的策略去部署安全软件，并对这些资产进行全面的体检。这样就能发现存在哪些入侵风险，是否存在安全漏洞，存在什么样的安全漏洞，有没有使用开源的应用。通过打补丁、微隔离等工具智能化的帮助用户拦截端口风险。

安恒信息帮助用户进行终端资产全生命周期监控，通过我们丰富的威胁情报数据支持，对不同的安全事件关联分析，让组织内部的安全事件可视化的展现在安全运维人员面前。这对于制定整个终端体系化的防御策略与整体终端安全态势可视化具有重大意义。

雷峰网：为什么要进行可视化溯源回放？对于用户的意义是什么？

刘思宇：可视化溯源回放有个洋气的名字—“attack movie ”，就是从攻击者的视角全面展示内网中发生的攻击行为的全过程，像放电影一样清晰。比如攻击者是从哪台机器发起的攻击？利用的是什么威胁手段？攻击被拦截的情况如何？

以前企业内部网络出现安全问题，很难第一时间掌握。需要高级的安全分析人员去分析系统内部的日志等信息，可能需要花几个小时，甚至几天才能知道这个病毒是哪里来的、做了什么。通过“attack movie”这个安全能力，普通的安全分析人员一眼就可以看出来“是什么病毒，访问过什么系统文件，造成了哪些影响”，现在我们只需要几分钟，就可以把分析报告提交给用户，大大提升了响应效率，让用户在更短的时间完成风险处置，大大降低安全风险。

雷峰网：安恒信息的入侵检测平台有什么不同？

刘思宇：一、在防御监控准确性更高；二、展示出的行为数据更准确。

第一点，针对于各种各样的安全事件，传统的入侵检测类产品，进行扫描后，报给用户非常多的告警。但是用户结合自己的生产环境，并不了解哪些是真正的风险，哪些信息是有价值的，哪些需要处置，自己到底安全不安全，报告的价值在哪。安恒信息通过近二十年的攻防、国际赛事等经验，总结了一套攻击技战行为防御模型，在防御监控上非常准确，有效解决上述问题。

第二点，通过将攻击行为可视化，让安全分析人员很清晰看到，恶意行为威胁有没有被拦截，客户系统是否安全或者威胁造成了什么危害？

雷峰网：一个EDR平台？能做到如此精准，背后依靠的是那些能力？

刘思宇：一个完整的EDR一定是需要多种安全能力支撑，安恒EDR基于安恒信息16年来在各大重保活动中积累的安全攻防服务经验，数十亿级别的威胁情报数据。依托AI大数据分析技术，可对威胁告警的攻击链进行全面分析，完整展示攻击链路，相对基于流量高噪声的若关联分析，精准度更高、更靠谱。

总结就是，安恒EDR是结合安恒信息16年来在安全服务、安全攻防、入侵检测、威胁情报等各方面积累，并通过新技术、新能力的加持，而研制出的适合用户的“终端威胁检测与响应”产品。

雷峰网：国内因为真假EDR争辩不休，您怎么看？

刘思宇：大家说假EDR，是因为以前很多产品只套用了 EDR 概念，本质上只是一个杀毒软件，无法给用户提供一个合规、安全的终端安全使用环境。伴随行业发展，用户需求从合规变成实战化，这也客观促进各厂商不断提升和完善能力，做出真正的EDR产品。

雷峰网：您觉得企业组织架构复杂，终端数量庞大、终端管理难的问题该如何解决？

刘思宇：未来，安全的发展趋势是终端一体化。现在客户实际需求是多样化的，比如杀毒、数据防泄露、 主机审计与终端准入等。安恒信息现在已经实现了用户按需购买并进行安全能力组合，但只需一个客户端即可。此外，更多的安全能力板块还在持续研发和上线中，我们始终希望把简单留给客户，把复杂留给自己。

雷峰网：您如何看待人工智能在安全行业的应用？

刘思宇：人工智能是一把双刃剑。对于攻击者来说，他们可以仅通过输入一些自然语言，便轻易地生成各种攻击工具，比如勒索病毒等恶意攻击程序。

雷峰网:  那我们应该如何应对呢？

刘思宇：人工智能滥用，未来这个问题有可能会越来越严重。针对勒索防御，需要构建事前、事中、事后全流程检测、监控和防御体系。

安恒终端安全已近打造了一套针对于勒索病毒的攻击技战术，提供勒索行为检测引擎，不论是已知的病毒还是未知的病毒，都可以准确的识别出来，并进行相应的拦截保障，提高了对勒索病毒防护的上限。

安恒信息也是首家提供智能备份引擎的安全厂商。传统情况下，用户需要部署复杂的备份系统，智能备份引擎基于AI机器学习和内核级技术，实现对关键数据的高效识别，并进行及时、低能耗的备份。我们的目标是，即使用户没有做任何防护，或者遭遇了勒索病毒，都会保护住核心数据资产，这也提高了用户终端安全能力的下线。

雷峰网：现在重点推进的或者研发的是哪些技术和产品？

刘思宇：目前，勒索行为检测引擎和智能备份引擎已经完成技术储备，很快能推向市场，大家可以期待一下。

雷峰网：如何平衡大企业和中小企业之间的服务？

刘思宇：针对大型企业，我们提供私有化的部署方式；针对中小企业，我们提供 SaaS 版本产品， SaaS 版本不需要用户再去部署运维繁琐的管理中心，通过云端租户的方式管理自己的资产，成本对于中小企业很友好。

雷峰网：安恒信息选择从EDR切入终端安全市场的缘由是什么？目前在终端安全的领域取得了哪些成绩？

刘思宇：安恒信息是一家综合性的平台厂商，在终端上的策略也是如此，给用户提供终端安全一体化产品和解决方案。而自身在EDR方面的技术沉淀和能力储备都有，从优势点出发，也是为了快速响应对客户高质量终端安全服务的需求。

就公开数据，赛迪顾问去年发布的《中国终端安全检测与响应产品市场研究报告（2022）》，安恒EDR占全国市场份额5%，排名第三。还荣获了2019年最佳创新产品奖、2021年ISC终端安全领域创新100强、2021年、2022年赛可达优秀产品奖、赛可达东方之星、2021年数世咨询EDR安全能力图谱排名前三等荣誉。此外，我们在信创方面也已经和数十个国产软硬件以及操作系统进行了适配和产品互认。

所以总结下来，安恒信息终端安全虽然起步晚，但也正因为此，在产品设计之初就有有一套完整的解决方案—无极架构，避免了通过产品堆砌造成的管理割裂、数据孤岛等问题；再加之安信信息十余年国家级大型赛事、会议的安保支撑工作等实战经验的积累，反而在产品设计、研发、市场需求了解等方面更具优势。

安恒信息终端安全的定位是数字资产守门人，为新时代用户数字资产安全保驾护航。在未来也会持续通过科技创新、优秀的产品架构设计理念来推动终端安全行业不断发展，为用户提供更好、更智能、更简单的终端安全产品。

“一个渔夫在小河边上叉鱼，每天叉十几条鱼非常满意的回家了。但如果要操作万吨级的捕鱼作业，就要靠现代化渔船，再加上卫星定位捞鱼群。”这是一名网安行业创业者对于AI、攻防与威胁的思考。

这名创业者是知道创宇创始人赵伟（IC）。当行业还在普遍关注一种高级持续性威胁APT时，他便前瞻性地开始思考AI、大数据与网络攻防的碰撞，提出了GPT概念——从更高维度的全局视角看待网络攻防。

他认为，网安行业即便用“鱼叉”可以解决温饱，也仍然要思考“现代化”的捕捞方式。而在“现代化”的进程中，创新必不可少，基于大数据的AI便是其中的前沿。

按照赵伟的观察，网安行业大体上经历了四个时代，即手动分析时代、自动分析时代、信息时代、智能时代，每一次过渡到下一个时代，都要经历一次技术革命。

自2015年赵伟提出GPT概念至今，网安行业的需求从“合规”向“实战”升级，GPT概念显示出了超前性，在智能技术快速发展的数字时代，赵伟选择抓住唯一的确定性，即用创新打造实战化防御体系，立足网络攻防战场，在不断变化的网安行业中砥砺前行。

GPT的诞生：从手动分析到自动分析时代，赵伟想有个新想法

赵伟的GPT思想来源于何处？或许是多年互联网、网络安全工作的实践经历；或许是从小阅读大量的科幻著作，让他意识到“赛博”空间是未来的主宰力量，未来的战争会在网络上进行；又或者是大学以后阅读《道德经》等哲学书籍，研究万物的奥秘与联系，能够跳出自己的世界去看问题。

在《创新者的基因》一书中，几位作者通过研究发现，最富有创造力的管理者通常具有五大“探索技能”，它们分别是：联系、提问、观察、实验和交际。其中，联系就好比是DNA双螺旋结构的骨架；而其他四种技能则围绕着联系这根“主心骨”来构思出新的创见。

一个概念从提出到落地要经历一个漫长的过程，从认识、提出、验证、实践到深化，赵伟关于GPT的认识与实践正是“创新者”的写照。

在20世纪90年代到21世纪初，我国信息化刚刚起步，信息化对业务也只起了辅助作用。此时的黑客技术仅仅掌握在少数人手里，影响范围有限。网络安全亦处于探索阶段，行业普遍使用的是手动分析方式，赵伟也称这一时期为黑客实验室时代。

手动分析需要高度的技术能力，并且需要大量的时间和精力。虽然手动分析可以帮助分析人员发现系统中存在的隐患和安全漏洞，但对于一些复杂的系统或者高风险的场景，可能需要采用更加先进的技术手段进行分析和检测。

赵伟自然也经历过这个时代，作为国内最早一批上网的网民之一，赵伟从13 岁开始痴迷计算机，从小就经常在国际技术圈交流，1997 年还在上大学的时候便开始兼职做安全工作，大学毕业后，赵伟的主要工作便是研究网络安全，他总是努力捕捉一个又一个的安全漏洞，许多次之后，赵伟意识到“恶意网站监控”这个领域在中国会有市场，这促使他创立知道创宇。

随后在接下来的十余年，我国开始全面信息化。随着资产数字化，网络犯罪变得有利可图。这一时期，顶尖技术的黑客退居幕后，成为金字塔顶端生产作恶工具的人，而使用工具的人并不需要具备太高端的技术同样可以作恶，这使得网络犯罪更加容易被复制。攻击方也变得更加低门槛、有组织。网络威胁开始升级，网络战概念形成，攻防也进入到了“自动分析时代”。

而此时的防御却略显被动。有着长期一线技术与经验的赵伟总结，传统安全模式是用已知方法防范已知的威胁。但当黑客对这些“已知”方法了如指掌时，屏障反而变成了通道，让攻击者长驱直入。

在自动分析时代，APT攻击的概念被提出，备受网安行业关注。具有极强隐蔽性和针对性的APT攻击，给传统安全带来了极大的冲击、压迫与焦虑。

赵伟这时却提出质疑：为什么相比攻击方防御总是被动？如果防御能够站的更高会改变攻防局势吗？未来的防御应该是怎样的？

赵伟认为光关注到APT还不够，只有站在攻击者的视角再向前一步思考，以攻促防，才能制定出更加“靠谱”的防御措施。“要把眼光放远到GPT上，这样才能减轻我们的心存忐忑。”

于是赵伟开始将GPT这一更高维度的概念贯彻到攻防战中，将其作为制定防御措施的依据。

赵伟认为，高维度模式首先意味着拥有赛博空间上更大的控制和主宰能力，可以洞察表象、洞悉内幕、洞穿攻击与防御。而这种能力，是以超级大数据和AI技术做支撑，通过掌握赛博空间各节点上的数据并分析，让目标无所遁形，同时实施高维度打击或防御。

但是，在很长一段时间内，很多企业把网络安全放在可有可无的地位。“企业网络安全说起来重要，做起来次要，一看预算砍掉……”这句顺口溜是很多公司采购安全产品和服务的真实写照。

这背后主要基于两点原因：一是企业并不了解所涉网络资产，二是没有简单且有效的防御方法。这就导致企业有时候被黑客攻击了，既找不到漏洞，也找不到解决办法。

赵伟提出GPT一方面是希望大家能够意识到高维威胁的可怕，另一方面也希望将更前沿的AI技术、大数据能力融入网络防御，推动安全产业能够真正的快速发展，从而更好地为国家和企业提供安全保障。

赵伟也在不断丰富GPT的内涵，不仅仅关注技术层面的威胁，而是从整体网络防御能力来看待安全威胁，包括大数据安全、风险意识、法律环境等。

赵伟也以实际行动打造GPT防御，对知道创宇进行技术创新和组织创新。一方面通过人才培养与社区民众的力量来进行产品的快速迭代；同时集中力量攻克前沿技术，比如重点发展以AI+大数据驱动的动态防御，用更为全知的视角感知威胁。

创新的代价是巨大的，虽然前路漫漫，但是赵伟因为硬实力能够服务于重要客户，这个过程中也逐步建立起人脉，有机会向其他领域的人才学习，获取不同的视角和思维。

那个时期，知道创宇几乎每隔两个月就发布一款新的产品，并推出了防御CC和DDoS流量攻击的抗D保、智能Web应用防火墙创宇盾等“王牌产品”。

GPT的验证：保持好奇心，保持进取心

《创新者的基因》一书中讲到：“创新者将世界看作一个问号，总是在不断思考。他们在大脑中绘制了针对某个领域的地图，然后不断地修正自己对领域的认识。最优秀的创新者既相信自己的地图是精确的，又怀疑自己的地图是否精确。”

2017年某重保活动期间，赵伟团队配合有关部门开展一些保障工作，为几千家政府的网站提供免费保障服务。他们观测到，政府网站遭受的攻击达到七亿多次。政府网站是犯罪分子和某些势力主要盯着的领域，犯罪分子利用修改政府网站，嵌入一些像博彩之类的信息，提高他们网页搜索的排名。

长期、大量的保障工作，让赵伟能够深入观察攻击者，他认为“未知攻焉知防”，对犯罪分子、黑色产业链的研究要非常到位；要从宏观上对整个国家安全、世界安全进行分析，比犯罪分子更快地走在前面，才能防御他们。

在21世纪的第二个十年，随着数字化转型的开展，信息化和业务深度融合，网络攻防对抗不断演化升级，进入了“信息时代”，网安行业也同步发展为“攻防驱动”。

网络空间战场易攻难守，道高一尺，魔高一丈。如果仅仅是用相同水平或者是更低水平去面对对手，胜算是不大的。“只有意识到这种高级威胁的存在，我们才能更好的研究创新和防御。”

赵伟提出GPT概念之后持续关注行业动向。2016年，方程式小组泄露的源码刚好印证了他的想法。

方程式小组泄露数据分析显示，黑客可以利用手中所掌握的0Day漏洞，将很多设备处于任人宰割的处境。所以当时各大网络设备厂商都在加班加点地做数据分析以及相关的漏洞修复工作。

赵伟进一步表达了自己的担忧与应对之道：“很多黑客手中可能都掌握着社工库，但是设想一下如果掌握了核心路由级的控制权（漏洞），可以拿到的数据可是千倍级的。所以我们不能自满，要清醒认识我们现在所处的这种代差，需要持续努力。”

随着数字化的持续演进，让网络安全形势变得更加复杂。与此同时，随着黑色产业链的萌生和壮大，APT攻击、勒索病毒、挖矿等攻击手段大行其道，让防护压力进一步加大。而利用大数据能力进行的撒网式威胁攻击正在成为新的攻击趋势。

“这就是传统的网络安全设备会频繁失效的根源所在，黑客利用云的优势、大数据的能力，发动一轮又一轮越来越强、频次越来越高的攻击，传统的安全防御早已失效。”赵伟继续延伸说道：“未来黑客的攻击方式会更加复杂，而防御会面对更加宽广的攻击面，这种攻击注定将转到从云端发起，单一设备的定点攻击方式会逐渐消失。”

在这种全新的网络态势下，赵伟表示未来攻防两端的发展趋势一定是“用云攻击云，用云防御云”，攻击者与防御者将上演新一轮的激烈对抗。

知道创宇逐渐确立了以创新能力驱动“实战防御”的发展方向，在2018-2020三年间，发布了约二十款产品。通过产品间的连接、联动，构建起“AI+安全大数据”的底层能力，为客户提供云防御、云监测、云测绘、云智脑产品与服务。

赵伟坚信，如果威胁是复杂的、隐匿的、具有破坏性的，那么防御就应该做到看得见、看得清、防得住。

“扁鹊说人们说我很厉害，因为治好了濒死之人，但我二哥更出色，病人刚一大病的时候就治好了，但大哥才是最厉害的，在病症未出现前，就已经预测病症并拔出隐患。所以，真正的安全，不是救火队员式的安全，而应是预防式的，这样会将损失降到最低。”

GPT的实践：有个安全AI的想法想跟你谈谈

近年来，人工智能因其具备自学习和自适应能力，逐渐成为网络攻防双方所关注的核心关键技术之一。

如今，在AI等技术的推动下，赵伟认为网络攻防已进入“智能时代”，可以实现真正的GPT防御。

作为与攻击方交战多年的“棋手”，赵伟很早就关注到AI技术。2017年，Alpha Go连续打败世界围棋高手，有了一串辉煌战绩，让大家意识到AI的强大。他认为，Alpha Go从技术上来看，仍然没有脱离过去10年、20年前对AI所下的定义。在赵伟眼中，第一个战胜围棋世界冠军的人工智能机器人仍处于弱AI阶段。

不过AI能够从弱AI向强AI乃至于超AI进化，在发展的过程中，润物细无声地影响各行各业。赵伟也开始着手打造自己的安全“Alpha Go”。

理想中的安全“Alpha Go”应该是什么样？赵伟认为它应该是一个可以自我作战的AI，将集推理、扫描、探索、攻击、防御、生存等为一体，可以解决所有开放性问题。

于是，在大力布局漏洞与数据的基础上，赵伟通过人工智能技术的应用为它们注入灵魂。

具体来说，经过长期的积累，通过“安全产生数据、数据驱动安全”的闭环打造安全能力生产线，将大数据与AI有效结合。

比如知道创宇以在云测绘、云监测、云防御方面产生庞大的安全数据为基础，透过AI针对不同的产品场景、业务场景建立不同的安全模型，随后让这些安全模型再通过数据去实现安全能力的生产和进化，最终再反哺到安全产品上去。

云测绘、云监测、云防御既能构建安全大数据生产线，同时也是安全能力生产线。数据是生产线上的生产元素，而AI在这个过程中扮演了一个自动化的加工者身份，最终生产出来的“产品”，则可以体现在很多层面，比如为安全产品赋能，也可以为国家关于网络安全的一些报告提供数据支撑等等。

可以说，AI不仅可以让数据说话，还能真正让数据来驱动网络安全的发展。

当然，作为一名创业者，不能“为技术而技术”，赵伟的发展策略也是源于对客户需求的洞察，“如果客户突然出现紧急安全事件，需要第一时间扑上去，帮助客户解决问题。客户需要的是及时、快速的响应。”但赵伟并不止于此，他认为要敢于否认客户的需求，要敢于提出更好的产品，服务于更未来的需求。

近些年来，数字化贯穿经济社会发展的方方面面。与此同时，在算法增强、数据爆增及算力提升等多种有利因素的共同作用下，AI终于迎来“iPhone时刻”，在ChatGPT的巨大光环下，国内外科技公司争先布局AI赛道。

目前AI已经给网络安全产业的攻击和防护两方面都带来巨大影响。

以最近大火的ChatGPT为例，有观点认为：“ChatGPT降低了网络犯罪的门槛”、“日益复杂的网络能力在危险演化上又向前迈进了一步”。攻击方可在钓鱼邮件、网络钓鱼、社会工程和恶意软件开发等方面应用 ChatGPT 。

在网络安全防护方面，ChatGPT同样有广泛的应用，包括防护编写规则、检测规则编写、代码审计&漏洞挖掘等等，能从多个维度有效的提升安全研究员的效率和能力，作为研究助理完成一些漏洞分析、脆弱性取证、安全事件研判的工作。

虽然目前在网络安全领域，AI仍是辅助手段，无法自主生成更先进的网络安全攻防技术。但从更深远的层面讲，AI会带动网安行业的技术发展，从而改变现有的攻防模式。

在AI的发展过程中，算法、数据与算力是三大核心要素，其中，数据与算法都离不开算力的支撑。而在网安领域，这三要素也同样重要。

比如就安全算力来说，如果把网络攻防比作人体对抗病毒，安全算力就是心脏和全身供血系统，为免疫系统提供养分和能量，充分保证人体基本的生命力和免疫力，即使在局部受到外界侵袭时，也能快速形成抗体，作用全局，实现实时联防。

由安全算力驱动的下一代防御将促进三大升级：被动防护升级到主动防护、静态规则防护升级到AI动态防护、孤岛单点防护升级到全面联动防护，最终形成拥有全知视角的以威胁情报驱动的联防联控防御体系，这也将成为未来安全防护建设的必然趋势。

攻击不息，创新不止，安全需要超前一步

我没有失败过，我只是发现了一万种不管用的方法而已——Tomas Edison.

上学时，当同学们还在迷恋打游戏的趣味时，赵伟却热衷于帮助同学们破解游戏简单通关，也热衷自己编游戏，自己也做了很多实验性的游戏。

创业后，赵伟也在不断尝试各种实验。“创业是个打铁的过程，是对自我的修炼。在创业的过程中，赵伟总结了几个陷阱：机会陷阱、技术陷阱、销售陷阱、资本陷阱。这几个陷阱有些他亲身经历，有些则及时避免。某种程度上，走过的弯路也是前进的必经之路。

相对于其他产业，网络安全的盈利水平较为一般，更需要情怀和理想。赵伟坚信：“网络安全行业的发展是稳步进行的，如果说互联网创业是冲浪，那么网络安全创业就是爬山，有着清晰的目标，一步一步渐行渐远，只要勤奋、努力、坚持，成功就会越来越近。”

从事网络安全行业数十年，赵伟深知固步自封的可怕。他常说，做网络安全一定要具备跳出圈子的眼光，要会“从更高维度、更广视角来思考”。

在2007年创业之初，在大家倾向于使用防火墙等硬件设备的时候，赵伟便发展云技术作防御。如今，云防御技术已经被公认为是最便捷、最高效且最有时效性的防御方案之一，在全球掀起了新技术浪潮，也进一步验证了赵伟在安全技术方面的超前思考。

在知道创宇成立3年时，赵伟意识到，光有防御也只是被动的解决问题，从网络空间对抗的角度出发，强大的感知能力必不可少，这能够从更高的视角俯瞰阵地，让资产与威胁一目了然。因此，赵伟启动了网络空间资产测绘的项目，也就是如今被广泛认可的全球两大网络空间搜索引擎之一的ZoomEye，这也使知道创宇在国内网络空间测绘领域占有一席之地。

如今，赵伟在数字AI时代下进一步发挥云优势。在与攻击者持续交火的云防御平台之外，知道创宇通过ZoomEye网络空间搜索引擎以及基于“AI+安全大数据”的威胁情报生产平台创宇安全智脑，结合向前防御的理念，在数字AI时代下构筑基于大数据联防联控的网络安全实战化防御体系，能够7*24小时持续安全防护，保障企业数字化业务的连续性。

从手动时代、自动分析时代、信息时代再到智能时代，赵伟总在思考下一步。他的思考在当时看或许有些“杞人忧天”，但正是因为如此，他带领的队伍在攻防战场才没有被“降维打击”。

多年来，GPT概念不仅刷新了我国网安行业以往对防御的传统认知，更为我国新时期网络空间安全防御体系的构建，提供了重要的发展思路和理论基础。

“干我们这一行，一定不能就盯着自己眼前的一亩三分地，我们需要提升的空间还很大，有太多技术更高超的力量在时刻盯着我们。”赵伟至今仍然有焦虑感。雷峰网雷峰网

作为深耕安全领域多年的老兵范渊已然看到，GPT将和百行千业深度结合已经成为不争的事实。GPT势必会给行业的竞争格局带来变化，搭不上这班车的企业就会被淘汰。 

范渊认为“AI+安全”这个大幕才刚刚拉开，未来还有更大的可能性。

他表示，一方面，AI和大模型本身会带来网络安全新的挑战，因为他自身就存在安全风险，类ChatGPT技术的应用也会给自动化生成网络安全工具和病毒木马后门带来几百倍效率的提升；另一方面，AI+安全的智能化应用，也会为智能防护和响应带来更大的机遇和成果。

“AI+安全”安恒为什么不是从0开始？

伴随着各行各业的数字化转型，数字经济时代到来，网络安全演变为数字安全。范渊认为，数字经济时代下安全的痛点会更加聚焦到数字化的场景上来。

他总结到数字时代和数字安全的五个关键词是一一相对应的：系统性、一体化、协同化、场景化、数智化。 

• 系统化：数字时代系统化的设计、体系化的方案；

• 一体化：一体化平台，实现服务和资源的集聚；

• 协同化：多跨协同，数字化中很重要的关键词，跨部门、跨系统、跨业务；

• 场景化：用户视角、用户体验、个性化需求，产业数字化体现的越来越明显；

• 数智化：数字化、智能化赋能实体经济和社会发展。

因此随着数字化场景业务的增多，安全也要更加实战化、智能化和协同一体化。数字安全也需要匹配数字化全流程、场景化发展的系统化顶层设计，更好统筹安全和发展。

据范渊介绍，在产业数字化的过程中，安恒也意识到数字安全除了关注内部IT/OT外，还要关注整个数据流转所带来的风险以及场景化的痛点、难点，需要高远、平远、深远的设计。安全构建也不仅仅是产品和功能，而是安全能力和知识的赋能。

目前，企业对于安全的需求也从合规转变为实战化的需求。

而实战化是安恒的基因之一，在多年的护网、重大活动安保当中，安恒练就了以攻促防、攻防相长的实战化模型。

据介绍，“AI+安全大脑”是安恒近两年正在加速投入的一块阵地，AI安全大脑主要覆盖产品、平台和服务3个维度，目前还在进一步通过海量数据和场景进行不断的训练优化。

范渊表示：“在网络战形势下，我们发现网络攻击武器化、持久化、智能化、多样化，威胁越来越大。而‘AI+安全大脑’的价值越来越高了，在这种对抗当中利用AI技术+情报数据链构成更加丰富和多维度的安全能力非常关键，安恒捕获了大量原创漏洞以及APT组织在野利用的0Day漏洞，深度剖析了高级威胁的攻击目标、攻击意图、攻击手法等，不仅增强了产品和平台的威胁检测能力，同时为多个行业客户提供黑灰产生态情报服务，守卫客户的网络设施与数据资产。”

数据安全治理需要下“笨功夫”也需要“智能化”

数据安全治理正在进入一个“深水区”。

范渊指出，世界上有一些事情是繁琐但很重要的，数据分类分级属于这一类。这是数据治理和数据安全治理的相交点，也是数据资产的起步线、数据安全的基准线、主体责任的推进线。

他认为，这是既要下笨功夫，但同时也需要和智能化进行结合。一方面，现在所涉及的都是十几万字段到几十万字段的数据治理的场景，必须要下大功夫、笨功夫去做。但与此同时，又需要很多智能化的加持，全部是人工来做不可想象。

安恒利用自然语言模型通过迁移学习进行训练，快速适配行业特性，从而实现信息整合自动标注相似字段进行强化学习，目前安恒利用模型对不同行业的数据分类分级，使得新的行业效率提升5倍以上，已积累的行业效率提升10倍到20倍以上。

数字化大时代下的数据安全也有“变”与“不变”，不变的是访问主体的风险依然是很大。访问主体一是人；二是应用程序。今后是机器人，因此未来会带来更多挑战和技术的需求。

“其实从 07 年开始，我们就强调应用安全、数据安全，很不容易把一些关键技术，一步一个脚印地走出来。”范渊表示对于数据安全不同的人有不同的视角。

他总结了数据安全治理的“263”。2个视角：内循环、外循环；6个问题：数据资产的底数、人的问题、告警有效性、数据泄露的结果导向等；3个需要，可视、可控、可溯源。另外，数据安全治理体系，也要管理+技术+运营“三维一体”，我们的管理能做到不仅仅是挂在墙上，是因为能够通过技术来进行一定的验证和保障，也就是说未来关键细节决定关键成败。

此外，范渊表示：“数字时代最重要的关键词就是“信任”——数字安全+数字信任，数字中国的建设需要可信、可控的数字安全基础设施，这是数字基础设施很重要的一部分。”目前安恒已经实现大脑+平台+弹性安全资源池+可信的软硬件环境，这样的安全基础设施全栈可信，而且在国产化，在信创这个领域实现百分之百的适配，让安全从源头可信。

云时代下的安全如何数智化？

数据作为关键生产要素和重要的战略资产备受重视，越来越多的企业希望借助更现代化的数据备份、恢复和管理解决方案，实现关键业务变革。

企业上云已是大势所趋，而云上安全也成为企业数字化转型趋势下不可忽视的重要因素。

在2023西湖论剑·数字安全大会后，雷峰网与相关媒体与安恒信息高级副总裁、首席云安全技术官杨勃就数字化时代下，云安全如何发展的话题进行了深入的交流。

近几年安恒在云安全服务方面的市场表现也并不落俗套。杨勃认为数字化的背后是对于数据安全的挑战，没有安全的前提保障，数据的交换以及数据的应用就变得不可行。现在很多单位的运转都是以数字化为底座再做上层应用，绝大多数业务还有运维都承载在云上，因此安全和数字化也要密切结合，这就为什么安恒要提云原生安全能力。

云安全服务本身也要做数字化转型，以往安全服务是外包的，因为需要人来做服务，而现在需要提升服务能力对人员进行高度的提升和复用，因此安恒提出——MSS的云安全托管运营。

杨勃介绍说，过去企业业主自己去招人，自己做保安才觉得放心，现在企业希望可以直接采购专业的物业公司、专业的保安队伍去做巡检，这样业主就能集中更多的精力干自己业务，不需要在安全上花费太多精力。

杨勃告诉雷峰网安恒有能力做云上安全托管运营，主要有以下两点关键能力，若非如此做安全托管运营这件事是很吃力的。

首先，安恒有比较全面的网络安全和数据安全的产品能力构建。因为如果是一个纯服务的厂家没有自己的产品，让别的厂家配合去做产品的改进是非常吃力的。

其次，已经储备专业的服务团队。过去安恒专业的安全服务团队在国内是很领先的，我们再针对人才梯队去做数字化转型，去做产业的升级是很容易的。

“客户买我们的安全托管运营服务，我们就要为客户负责不发生重大安全事故或者把影响降到最低，为客户的安全兜底。”

根据中国信通院的研究报告显示，城市云服务发展指数与数字经济规模成S型曲线，呈现明显正相关关系。城市云服务指数越高，数字经济规模越大。与此同时，国内各大省市在其各自制定的“十四五”规划中，均明确确定了云计算相关的任务目标，大力推动数字经济的发展。总体来讲，我国已经全面进入了云和数字化时代。

4月18日，青藤以“云时代，安全变了”为主题的2023年云安全高峰论坛在北京成功举办。会上，青藤首次提出“业安融合”理念，正式发布先进云安全方案CNAPP！

云和数字化时代面临更加艰巨的安全挑战

进入了云和数字化时代，组织机构面临着更加艰巨的安全挑战。随着企业的数字化转型，其业务也呈现出开放互联、高效运转、结构复杂、快速变化等特点。这些新特点给安全带来了更为艰巨的挑战，包括：暴露面增加导致更易遭到攻击，一旦被攻击风险扩散速度加快，边界模糊导致难以防护等问题。

尤其是企业业务上云后，业务发展更加高效，变化也更快，业务之间的关系也更为复杂，而安全改进却进行得比较缓慢，这也就导致安全很难跟上业务的发展步伐。但在数字化转型的深入发展过程中，越来越多的关键基础设施运行在云端，一旦遭到攻击，对企业造成的打击也更为致命。

云计算的动态、分布式和虚拟特性带来了独特的安全挑战，大多数传统安全工具并不能解决这些挑战。78%的组织机构认为，传统安全解决方案在其云环境中根本不起作用或功能有限。 

在新的数字化浪潮下，传统安全方案主要面临着以下困境：

● 难以适配云和云原生环境：传统安全是基于过去静态的、封闭的IT基础设施设计的，因此，很难适配云和云原生的基础环境。

● 高度碎片化导致效率低下：通常，企业采购了很多安全设备，但各个设备之间缺乏联动。企业安全运营人员需要通过各个设备之间的碎片化信息来获取完整的风险及入侵信息，严重降低了安全运营人员的工作效率。

● 安全能力迭代演进缓慢：在数字化浪潮下，企业采用了新的开发模式和理念来提高业务效率，而安全却没有同步实现数字化发展，使得安全能力迭代演进效率低下。

● 难以融合到业务全生命周期：将安全融入到业务全生命周期意味着企业要打破现有安全产品的条条框框，实现充分API化，增强产品集成能力，这在短时间内是很难实现的。

传统网络安全工具/产品在云环境中的使用效果

青藤首提“业安融合”理念：能力的融合，体系的融合，流程的融合

新时代需要新安全。为了满足企业业务上云后的新安全需求，解决传统安全的困境，新时代的安全体系应该具备以下四个特征：

● 敏捷：能够跟上企业业务和安全威胁的快速变化，具备敏捷发布和部署的能力。

● 高效：在爆炸式海量数据和行为中实时发现并根除风险和威胁，而不是月，不是天。

● 智能：能够基于AI进行智能化分析，提高更好的安全防护效果。

● 连接：能够实现人与人、人与系统、系统与系统的连接。

针对安全与业务发展脱节的这一重大难题，青藤首次提出了“业安融合”理念，将安全与业务深度融合，包括能力的融合、体系的融合、流程的融合，从而实现业务与安全的一体化。首先，在业务方面要做到：

● 风险洞察：将安全洞察融合到风险管理框架和数字发展计划中。

● 业务融合：将业务、IT流程与安全要求、合规要求进行融合。

● 业务弹性：确保组织能够在遭受攻击期间保持运行，并迅速恢复全面运行状态。

其次，在安全方面，要实现：

● 安全治理：持续确认、衡量和管理安全态势，以降低风险并确保合规。

● 安全融合：将安全融合到DevSecOps的流程中，拉齐安全、开发和运营实践。

● 安全运营：检测攻击、做出响应并将业务恢复正常运行，对隐藏威胁进行狩猎，并共享威胁情报。

先进云安全方案CNAPP

鉴于传统安全解决方案在云和数字化浪潮下面临的困境，先进云安全方案应该是云原生的、融合化的、服务化的、智能化的。在本次大会上，青藤提出了先进云安全方案CNAPP。

● 云原生的：云原生安全需要一套集成方法，从开发阶段扩展到运行时阶段，提供完整生命周期的安全保障能力。

● 融合化的：如上文所述，云安全的融合包括能力的融合、体系的融合、流程的融合。为了提高开发运维效率，安全不能作为一个单独的检查项，这会严重降低DevSeOps的交付速度。为此，需要实现安全与人员的融合、与开发工具的融合、以及与流程的融合。

● 服务化的：先进云安全方案的实施需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台。

● 智能化的：生成式人工智能 (Generative AI) 可以在网络安全防御领域发挥重要作用，包括在威胁建模、自动化攻击模拟、自适应安全策略、自适应检测能力、智能安全预测等方面。图计算技术与AI高度耦合，可以实现多机信息的关联，也是未来的一个重要发展方向。

 先进云安全解决方案CNAPP

成立于2014年的青藤云，已经经过了10年沉淀，发展成云安全领域的领军者。未来10年，青藤立志成为中国云安全领域第一品牌。将顺应数字化潮流，针对传统安全面临的困境，为客户提供智能的、先进的、有效的新一代安全方案，为企业的数字化转型、为中国的数字经济发展保驾护航！

（雷峰网）

2020年，美创科技发布零信任2.0数据安全架构，主张从资产、入侵和风险三个视角出发，以零信任、入侵生命周期、风险治理为基础，构建数据安全主动防护能力。

时隔三年，美创带来全新“韧性”体系框架，是基于零信任2.0架构的进化，也是更深入的实践与思考。

4月13日，美创科技数据安全产品架构升级发布会举办，并发布“韧性”数据安全防护体系框架。该数据安全框架，以“资产”为中心-由内而外，以“看见”基石，旨在通过构建“弹性和韧性、可见性、适应性进化”的数据安全防护能力，帮助用户有效应对充斥不确定性的安全风险与挑战。

公安部三所、一所原所长，中国计算机学会计算机安全专业委员会名誉主任严明在会上指出，新时代下，面对新的攻击完全挡住是很困难的，因此企业的承受攻击和打击的能力很重要；“韧性”不是“刚性”也不是“弹性”，韧性是当受到外力破坏攻击的时候，在允许的范围内允许发生变化，但核心点有两个：首先是确保核心数据不被破坏，其次是保障基本设施功能可运行的能力。

“韧性”数据安全防护体系框架，美创定义为：实现复杂系统的可见性，快速的感知、干预和恢复；让数据在遭受威胁的时候能够快速响应以及攻击发生后的快速恢复；同时通过适应性进化来持续保障身份和资产全生命周期的安全。

据美创科技CTO周杰介绍，为了达成“韧性”数据安全防护目标，美创科技结合多年沉淀的各项数据安全、容灾能力和零信任技术积累，以资产为中心，以身份为边界，以风险为界面，以五大支柱、三大跨域能力支撑从而实现“韧性”数据安全保护的目标。

五大支柱

1、 以资产为中心：数据是数据安全的起点，通过资产梳理、分类分级，进行资产治理，定义资产边界，建立资产拓扑，确定资产访问模式，由内而外构建防御堡垒。

2、 多重防护：以网络边界为第一道边界，身份边界为第二道边界，层层纵深防护。每一道边界都可以把攻击反弹到原点。

3、 全域身份：贯穿全链路的身份，身份信息传递到每一层防御中。

4、 持续自适应进化：从资产、身份、资产身份相互作用三个维度动态持续评估，根据动态数据进行策略调整，并且自动化响应。

5、云｜端架构：同一个云，不同的端。业务逻辑从端点剥离，往云中心靠；端点保持轻量级快速适配。

三大跨域能力

1、 安全数字化：历史数据作为安全基线标准，风险通过数字展现，数据驱动安全。

2、 多层级快速响应：从简单响应、条件反射、复杂分析等多个维度建立响应机制。

3、 看见身份、看见资产、看见风险：看见是一切的基础，只有看得见，才能进行治理、防护、响应等安全措施。

最后美创表示，“韧性”，是基于对数据安全的深刻理解以及行业多年深耕，未来挑战依然巨大，作为数据安全的深耕者，如何构建更适应未来发展的数据安全体系，美创科技将继续聚焦，奋楫笃行，让数据更安全，更有价值。（雷峰网）

作者：李扬霞

编辑：林觉民

在互联网世界里，有一群人手握“尚方宝剑”，他们发现漏洞、拆除隐患，修复着一座座赛博大厦的裂隙。他们普通又神秘，他们低调又热血，他们不忍心看到这个世界沉沦，这群人正是“白帽子”。

3月28日下午，天空湛蓝，阳光明媚，微风轻拂。从北新桥地铁出来走几步就到了人民美术文化园，这是庆祝补天漏洞响应平台十周年的活动现场，从全国各地赶来的白帽子们穿戴工整，早早涌进会场，期待着这次盛会的到来。他们中有见证补天库带计划的“平台初代白帽”，也有一直活跃在平台的传奇，还有代表未来的新生代。

他们三五成群站在一起，谈笑风生，交流着彼此的经历和技巧，分享着彼此的近况和想法。新白帽们的眼中充满了好奇和激情，而老白帽们则满怀着经验和智慧。人群中看起来有不少很稚嫩的脸庞，上前攀谈了一番，果然还是在读的大三学生，但是在网络安全的世界里他们没有年龄之分，在互联网世界很厉害的人，可能在现实中只是一个未成年的青少年。

在屏幕背后，他们都是一个个活跃在互联网江湖里的“ID号”，彼此之间大多只是通过网络进行交流，这一天他们从互联网世界里回归现实，相聚在一起。活动现场凳子加了一波又一波，还是抵不住人潮汹涌。

这是补天漏洞响应平台成立十周年，也是疫情之后，一次难得的让白帽子们走出家门，尽情交流释放热情的机会。

一、“库带”到“补天”

2013年，补天漏洞响应平台成立，这里就成了白帽子们聚集的战场之一，他们在这里向企业提交漏洞，守护互联网的安全。

“‘补天’原名叫‘库带计划’，大意是勒紧裤腰带，保护重要部位。”作为现阶段补天平台的负责人，田朋半开玩笑，因为名字实在有点庸俗遂改成“补天”，这才听起来高大上了点。

雷峰网见到这位代号“动物园喝咖啡第一名”的人物时，他首先第一句话就是“喝什么？”“咖啡？”

忍不住点点头......果然互联网人拼的就是谁更能“熬”。这个代号的由来是因为奇安信安全中心的位置在“动物园”附近，因此而得名。

他说自己熬过最长的夜是三天三夜，很多时候晚上才是真正的工作时间，一些安全业务都只能晚上进行停机更新，不能在白天影响正常生产业务。

天有隙，娲补天；软件有漏洞，补天来补救。“补天”成立的时候，国内外各种数据库泄漏严重，有时是由于企业内部的安全漏洞或疏忽，有时是由于黑客的恶意攻击。当时还没有现在各大SRC（漏洞响应平台），甚至鲜有白帽子的说法，所谓的网络安全行业就是一片蛮荒之地。

最开始国内的漏洞平台只有乌云一家，但是乌云模式饱受争议，如果官方来认领就有几个月的修复和公开时间的缓冲，不认领就立马公开，所谓“乱棍打死老师傅”，这让企业很头疼，企业对白帽子们是又恨又怕。“补天”采取完全不同的方式，坚守“一不炒作，二不要挟，三不全网公开”的三不原则，并开创性的用现金悬赏的方式征集开源建站系统漏洞，号召白帽子们帮助厂商发现并修复网站漏洞；承诺永不公开漏洞，漏洞无偿提供给官方，不处理再同步给监管单位。

“补天”的成立一方面肃清了行业风气，缓和了厂商和白帽子们之间剑拔弩张的关系；另一方面推动了国内互联网安全的健康发展。

田朋向雷峰网描述，Carry_your就是前几批在“补天”平台注册的白帽子之一，他一直稳居补天平台总排行榜top3，厂商对他的奖励将近百万，成为众多白帽子心中的榜样。在这之前，他已经深挖了三年的漏洞。最早Carry_your挖掘一个漏洞大约价值80块钱，比现在许多挖洞“菜鸟”还要低，当时他一年在补天平台挖洞的收入大概是两万元左右。

好在他坚持了下来，在2014年向“补天”提交了包括清华、北大、复旦等200多个高校的漏洞后，拿到了进入补天当实习生的门票，后来正式成为了漏洞审核员。虽然呆了两年之后，他并没有在补天继续工作，但是这些年还一直活跃在补天平台，仍然坚持不懈提交漏洞，甚至在补天白帽大会拿到前十的荣誉。

在补天运营小姐姐建立的一个“补天十岁啦”的群聊中，Carry展示了下面这张能够证明他辉煌战绩的荣誉。

田朋评价Carry_your：“生产力非常强悍。”因为很多白帽子从学校走出来，工作之后就越来越忙，没有更多精力钻研技术了，或者是先放一放技术，去搞管理、搞业务。但是Carry_your相当于是两手抓，两手都要硬，一直都没有放。

网络安全本身就是一个小圈子，在过去网安人才的培养大多是自学，要么就是“传帮带”，师傅带徒弟，但是通过这样的方式培养出来的人才数量有限。

而与许多组织团体不同，“白帽子”是个更为松散的群体。“随着技术的发展，网络安全的进步是非常快的，尤其攻防知识的更新速度是非常快的。你不能用去年的方法打败今年的你自己，因此需要不断而且快速的学习。对于刚刚入行的白帽子而言个人的力量是有限的，因此需要更多的人帮助，能够融入一个志同道合的社群，大家共同研究、学习，才能快速的成长和发展。”田朋如是说。

补天为白帽子们搭建了一个可以交流分享的平台。成立10年来，补天已经成为全国影响力最大的漏洞响应平台，同时也是最活跃的网络安全从业者交流平台之一。截止2023年3月，平台注册白帽子已达108000余名，累计为33万多家企业报告的漏洞超过112万个。

在这次十周年的活动中，新老白帽齐聚，有技术分享，也有走心成长分享，互动游戏等环节，这是一个交流最新安全技术的分享会，也是一个白帽子们联络感情，形成良好社区生态和氛围的盛会。在社区中，白帽子们不仅能够获得大咖的技术指导，还能够结交更多志同道合的伙伴，为自己的职业发展和成长打下坚实的基础。

从以前只有几个人的“库带计划”到如今兵强马壮的补天平台，这就像是一个勇士从低级别的小怪物升级到击败强大的Boss。他不断学习新技能，获得更强大的装备，与其他勇士结盟，一起应对更大的挑战。最终，取得了成功。

二、做“难而正确的事情”

“补天”的成长之路跟随着整个网络安全行业发展而前进，而唯一不变的核心只有三件事：维护企业网络安全、降低漏洞被利用的风险、培养网络安全人才。

2013年到2016年是补天的初创阶段也是整个网络安全的初始阶段。彼时移动互联网迅速崛起，移动互联网网民从2亿人迅速增长到10亿人，大量的用户信息被接入了移动互联网，用户呈指数倍增长的背后数据泄漏的风险也成倍增长。恶意攻击者可以通过漏洞，窃取用户信息、篡改页面内容，甚至瘫痪整个网站的服务。

而正在为移动互联网带来便利而狂欢人们，很少关注到这背后的网络安全问题。当时的网络安全行业处于野蛮生长阶段，关于漏洞的问题也没有标准和规范可以参考。因此基本上是 Copy to China，学着美国的方式去公开披露漏洞，但是国家与国家之间的实际情况不同，在互联网上公开披露漏洞的同时，也会让不法分子掌握更多信息，不管是互联网公司、科技公司抑或是一些关键技术设施单位，都会面临巨大的安全风险。

补天漏洞响应平台也在这一环境下摸索着成长，只能说不求有功但求无过。

2015年前后，随着国家顶层规划落地，监管加强，互联网安全的蛮荒时代很快就过去。例如2014年成立中央网信办；2016年信息安全这一学科从选修变成了一级学科；2017年《网络安全法》施行......白帽子们炫技的时代过去了，大家需要在法律的边界内进行工作，以合法合规的方式和手段守护网络世界的安全。这段时间是这一行业成长最快速的一段时间，也是补天平台飞速发展的一段时间。

在这期间，补天陆续推出了补天公益 SRC （白帽子随机发现漏洞，平台发布漏洞招领，企业免费认领漏洞）、企业专属 SRC（企业自助发布漏洞悬赏，白帽子有偿提交、平台协助审核漏洞）、众测服务（面向有一定行业地位的大中企业、机构等，定向服务客户、定向邀请白帽子、众测过程监管、提供专业修复意见）等。并通过奇安信攻防社区、补天白帽大会、“补天杯”破解大赛、补天城市沙龙、补天校园行，搭建安全从业者开放、分享、成长的平台。

在补天漏洞平台，对于有安全需求的企业，可以随时入驻补天。补天一方面对接有需求的企业，另一方面对接民间的白帽子，在一定程度上属于公益性质的众包平台。补天平台的收入来源是众测，为大中型企业提供定制化的漏洞检测服务，但常常入不敷出，因为背靠奇安信，在补天公益 SRC这个项目上也会获得一些资金支持。

在公益 SRC项目中，白帽子们随机发现的漏洞，补天会鼓励提交给平台，平台自己以送周边礼品或积分的方式回馈白帽子，鼓励白帽做了正确的选择；另外一部分是帮助企业在平台建立专属 SRC，企业发布悬赏，目前已经有近100家企业SRC托管在补天平台上。

“虽然奇安信是一家商业公司，但是在补天平台运营这件事情上，老板（齐向东）最主要考虑的事情是动员一切可以动员的力量，减少漏洞泄露的风险，同时为我们国家网络安全人才培养添砖加瓦。”田朋说，即便厂商会给我们一些服务费，我们也全部拿去给白帽子们发奖金，或补到一些线下的公益活动中。

对于当时正处于极速发展期的公司来说并不十分容易，但无比正确。

2016年，补天把传统的渗透测试服务进行创新，升级成了“众测”的服务模式，这种模式相对来说又扩大了白帽子们施展身手的场地。传统的渗透测试服务模式，就是企业雇佣两三个人到现场进行漏洞检测，按天算钱，但是实际检出的效果以及效率并没有那么好。众测模式是模拟攻击者的视角，以大兵团作战的方式，从补天平台10万个白帽子中召集200个人，集众人之力，通过竞争式的漏洞挖掘达到目的。而众测模式，讲究的就是一个“先到先得”，一般只会奖励第一个挖出漏洞白帽子。这种拼手速的模式其实对于白帽子来说是更加平等和友好的。

据田朋介绍，只要进入平台前200名的白帽子，出去面试找工作都会容易很多，因为这是实力的证明，在真实的攻防环境中展现出来的实力。

2013年-2023年，十年来在补天平台奖励计划数量增加 10 多倍、补天发放奖金增长近 200 倍、白帽提交漏洞数量增长 700 多倍、白帽子数量增长 800 多倍。

当问及，十年来补天做对了哪些事情，田朋告诉雷峰网：一来是独家开创了事件性漏洞报送模式，这跟海外报送漏洞的模式不同，例如有些漏洞因为只存在于一个具体的网站或者信息系统，这一点中国当时遇到的网络环境、监管体系、文化背景跟是海外不一样的；二来是推广SRC，把白帽黑客的力量引入到企业安全检测服务里，拓宽了SRC行业；再者就是安全社区的建设，通过一系列公益活动让白帽子们能够有平台交流学习。

其实，总结看来，十年来补天干的一件事，就是为白帽子提供了一个将发现的漏洞报告给企业的途径/平台，这有助于企业及时发现和修复漏洞，提高系统安全性。

田朋认为，之所以做这件事情把白帽子和企业拉在一起，是因为双方有认知偏差：企业对白帽子的猜想是会不会不守规矩干坏事，而不是第一时间关注安全漏洞暴露的风险；而白帽子会觉得企业不认可我的价值，我肝了一晚上挖出一个漏洞被企业找借口忽略。补天这个平台就是为了帮助大家拉齐共识，通过设立奖励计划，给予安全研究者一定的奖金和声誉，以激励他们持续关注网络安全并报告漏洞。即使不赚钱且很困难也要坚持做下去，这是一件有意义的事情。

三、保持热情、责任、自由

为什么补天漏洞平台能聚集这么多的白帽子？白帽子一方面看中平台对漏洞认可；另一方面看中平台对个人价值的认可。

补天漏洞响应平台从成立到现在，一直是漏洞赏金最大方的平台，目前补天平台累计发放漏洞奖金过亿元。补天漏洞响应平台最让白帽子们有安全感的一点是不对外公开披露任何漏洞，这种保护是双向的，对于企业和白帽子们是一种很好的机制，既守护了厂商的系统安全，也让白帽子们减少了和企业产生摩擦的风险。目前“补天”平台要求企业三天内确认完漏洞，30天内给出修复补丁，之后根据企业自己业务节奏和实际情况进行维护打补丁。

很多白帽子因为认可补天的理念而加入进来。

其实白帽子们挖漏洞提交给厂商或者漏洞平台赚钱远比黑产赚钱要难的多也要慢的多。安全行业的人熟知，挖到一个漏洞在正常的厂商和平台这里能换来的价值最多也就是几万块钱，如果卖给黑灰产很可能拿到10倍甚至100倍之多的报酬。

白帽子无时无刻不在面临着利益超出百倍的“诱惑”。相对黑产而言，白帽子是一群弱势群体。“白帽子”的行为必须合法，无论你的动机好坏，行为不合法，那就不是“白帽子”。他们只能种种规则下，尽自己所能守护网络安全。

黑客就像古代的剑客一样，懂得武林绝学，手中握着上古神剑，而使用这把剑，成为忠肝义胆、锄强扶弱的侠客才是白帽子们内心的选择。他们一腔热血、一心向善，身处黑暗却做着守护光明的事情，他们是网络世界白与黑的交集，他们希望利用自己掌握各种“秘密武器”，帮助企业找到漏洞修复问题，对抗黑客，他们是真正的网络世界守卫者。

这个群体是可信任的，他们只是像你我一样的普通人，是大学生、中学生、从事网络安全的相关人员，抑或是一个开民宿的老板，只是无意间发现了平台系统的漏洞变成为了一名白帽子。他们的背景非常简单、干净，但是企业和社会难免对这个群体还是带有一些偏见。

2021年12月16日“冬奥网络安全卫士”招募启动，这对于所有白帽子群体来说是一次巨大的认可。补天漏洞响应平台开创了国内首次公开招募白帽子为奥运保驾护航的先例。

在这次招募中白帽子主要是协助网络安全信息系统排查短板、挖掘相关漏洞以及收集网络安全情报信息等工作，经过层层选拔的冬奥网络安全卫士24小时在线，发起超过2000万次测试请求，测试总时长超过1万小时，成功发现了大量有效系统漏洞和冬奥相关威胁情报，为保障冬奥会网络安全发挥了巨大作用。

田朋认为，白帽子们有一个很典型的优点，他们活跃在互联网上，具备高超的攻击技术，很了解攻击者。补天就想集全国乃至全球白帽之力，为保障冬奥会的网络安全做贡献。

对此，中央网信办冬奥会网络安全专家研判组组长、中国工程院院士方滨兴给予了高度肯定——“白帽子作为冬奥网络安全卫士的突出表现，也证明了白帽子群体是可信任的、可管理的，同时更是有能力的、有水平的。”

他们是幕后英雄。田朋说：“希望白帽子们能一直坚守自己的内心，保持热爱、责任、自由。”

四、理想主义的“补天英雄”

对于一个漏洞平台或者白帽子社区，到底能为白帽子提供什么？奖金、学习成长的环境、道德的引导、未来的职业规划、使命感的形成等。以上这些能力都重要，但更重要的是实战能力的培养。

网络安全实战化时代，高水平的网络安全人才已经成为稀缺资源、抢手资源。在网络安全行业有一句话“安全讲百遍不如打一遍”，实战化能力只有在网络对抗中才能提升。

一个优秀的白帽子，可能从他的初中、高中时期就对网络安全产生了一定的兴趣，因为这是一个综合能力，要了解计算机基础网络安全架构，自己不锚定学习3-5年，根本不可能学出来。田朋说：“由于自学网络安全或者挖漏洞是很困难的，一个深度测试人才或者攻防人才成长最快的一条路就是大家一起交流学习，我们尽可能把行业里边合作伙伴聚集起来，给大家提供更多的福利和便利，让大家能在这条路上坚持下来。”

2021年有一个初中生的小白帽，为了参加补天的线下白帽大会，跟他父母“打保票”，一定好好学习考上衡水中学。如今他已经成为了衡水中学的一名高中生。

像这样的例子还有很多，这些小白帽们还没有对世界形成完整全面的认识，很容易走偏。补天又是怎么引导？为了不让白帽子变黑帽子补天又做了哪些事情？

对于初高中生，他们正是树立世界观的时候，一旦发现漏洞，很容易出现炫技的心理，对漏洞进行公开。补天这个时候鼓励他们把漏洞提交过来，通过平台给他们提供一些积分和周边礼物。只要接触到这些用户，就一定会给他们做一些安全测试规范、法律法规等科普，这些事情是完全公益的。

在培养实战性人才方面，补天还通过提供真实的训练环境，开放实战工具箱和资源，定制专属课程、顶级白帽黑客进行技术教学。在田朋看来，能为白帽子们提供实战化的成长平台，主要由于奇安信有很多客户，如果这些客户有众测的需求，平台的白帽子们就能得到一次实战演练的机会。

对于入选众测项目的200名白帽子，补天一方面会考验其技术能力；另一方面做好背景调查和社会关系认证，防止有真正的黑客混进来。

为了帮助实战化白帽更好地成长和发展，让白帽子们了解自己的实战能力，补天平台还于2021年发布了首份“实战化白帽子能力图谱”。图谱将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力，是国内首个让白帽子们有标准的能力参考体系的图谱。在十周年活动现场，补天又联合联合爱奇艺安全应急响应中心、度小满安全应急响应中心、华为安全应急响应中心、快手安全应急响应中心、美团安全应急响应中心、陌陌安全、OPPO安全应急响应中心、奇安信集团安全应急响应中心、赛博昆仑、腾讯安全应急响应中心、网易安全中心、微博安全、小米安全中心、字节跳动安全响应中心、BOSS直聘安全应急响应中心、斗鱼安全应急响应中心、货拉拉安全应急响应中心、平安安全应急响应中心等18家联合发布《中国实战化网络安全人才能力白皮书》起草，这对于拓宽报告的应用范围、为网络安全人才发展及能力培养提供重要参考和依据发挥了重要作用。

田朋表示：“以前我们自己来写，肯定会有安全公司的局限性，今年把互联网公司拉进来以后，整个报告的知识面和受众范围都会有所拓宽。加上互联网平台会更加开放，也会提供更多的实战环境。”

此外补天还发布全新改版上线专属SRC产品，推出针对个人、团队的专项奖励活动，激励个人、团队白帽不断深入研究、成长，鼓励白帽人员通过实战和交流提高自己的技术和素质，推动网络安全行业的发展和进步。

当前，培养白帽子等漏洞挖掘人才、做好漏洞资源管理，已成为各国的共同选择和发力方向。未来漏洞响应平台的竞争将是白帽子人才之间的竞争，平台不仅要吸引留住老的白帽子还要培养新的生力军。

有专家曾在一篇文章中说到：“平台不仅要传递正确价值导向，还要能够代表群体发声，只有具有使命感和责任感的平台才能得到大家的支持，笑到最后。大家也在等待新的‘英雄诞生’。”

十年过去了，补天漏洞响应平台已经成为了全球计算机安全行业的佼佼者，拥有了庞大的成员和资源。但不管如何发展，他们始终保持了一份当初的初心，怀揣着理想与责任一步一个脚印，坚守在公益第一线，保护更多人的网络安全和隐私。

补天平台是不是真的“补天英雄”，只能放眼到整个历史的长河留给后人评判。

在此背景下，3月21日，中国产业互联网发展联盟、《中国信息安全》杂志、南方日报、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。报告从宏观态势、产业实践、技术演进三个维度对产业安全的核心议题进行分析研判，给产业互联网健康可持续发展提供指引。

腾讯副总裁丁珂表示：“在数字新时代，当前最重要的任务便是明确安全行业发展趋势，让安全以全新的视角构筑产业数字化底座。2023年，外部欺诈威胁、企业出海合规与安全风险、供应链风险、数据泄露、AIGC隐形危机、多重勒索攻击等诸多安全挑战依然存在，不同发展阶段的企业安全水位也严重不均衡。产业应当以一体化的安全免疫力建设思路，尽快弥补安全短板，筑牢数字化底座。”

雷峰网与部分媒体就产业互联网安全的相关发展现状和趋势与《趋势》两位编委会成员腾讯安全策略发展中心总经理吕一平、知其安创始人兼CEO聂君进行了深入的交流。他们就目前产业互联网面临的诸多安全挑战，以及未来发展进行了分享。 

AI带来新风险，云原生安全为安全行业带来革命性变化 

人工智能是一把双刃剑。报告中提出一个趋势是：ChatGPT 大模型 AI 计算广泛应用安全领域，攻防进入智能化对抗时代。 

聂君认为：一方面，人工智能可用于提高网络安全的效率，带来积极作用，包括自动检测和响应威胁、智能识别漏洞；另一方面，黑客也可将人工智能技术用于网络犯罪活动，这将是对网络安全的真正威胁。另外，ChatGPT也会带来一些数据安全的隐患，它的服务器在国外，大家在使用过程中会把一些代码以及敏感信息输入进去从而带来数据安全风险。再者，ChatGPT并不提供验真或者验伪的作用，如果直接让ChatGPT来确认安全结果，则会带来一些隐患问题。

吕一平补充说：“新技术带来的风险还不止于此。”ChatGPT产生的一些内容，其实没有验真和验伪这个概念，在诈骗、钓鱼的场景下很容易被利用，例如“社工”，意思就是通过聊天诱使你去点击恶意链接，从而达到攻击或者偷窃数据的目的，而ChatGPT可以直接生产剧本，进行针对性的多样化钓鱼攻击诈骗。

报告中提到，云原生安全“一体化”将大幅提升企业安全水位。对于此吕一平解释说，由于上云是大趋势，因为现在国家倡导一个概念叫“集约化建设”，上云能够非常好的契合大趋势，不管是业务需要的算力资源、存储资源、网络带宽资源可以通过上云实现更集中的使用，其实在某种程度上也是一种节约，而云安全也是一个伴随新技术产生的物种。

吕一平指出，现在做云原生安全，其实是把安全做成一种服务，当业务上到云以后，配套腾讯安全就会提供云原生安全的能力。

以前，许多企业都采购单一的云安全产品，来缓解特定场景下的安全问题。但随着全球安全形势日益严峻，攻击和漏洞层出不穷，传统异构设备堆叠式安全体系的弊端开始显现，各安全产品孤岛式分布，缺乏有效联动，导致安全告警量大、威胁处置效率较低。“要想处理好异构问题，更高效做好防护，充分利用好算力、存储和防护这些资源，提供安全保障，这些复杂任务都交给了云厂商，对于企业来讲是简化工作，降低成本一个方式。”吕一平如是说。 

值得一提的是，对于大量中小企业来讲，安全从业人员人力很贵，而安全能力建设其实也需要花比较大的成本，对于他们，投入这么高的成本满足业务需求，其实不是一个很经济的方式。而云原生安全“一体化”的这种服务形式，让中小微企业也能以较低的成本建立起自适应的全视角安全免疫系统。因此对于中小企业来说，从整体上的安全防护上提升了一个水位，安全从“奢侈品”变成“日用品”。

在聂君看来。现在很多安全问题，做的深入之后都是底层架构的问题，因为安全从来不是独立存在，其实是跟整个IT基础设施、研发结构相关的，底层架构基本上限制和制约了问题的解决效率。云原生让整个IT基础结构发生了革命性的变化，在变化的过程当中把安全的能力嵌入到云的环境里面，这也为安全带来革命性的变化。

当问及目前这种云化的、SAAS化的服务在国内的接受程度和发展如何？聂君告诉雷峰网出于服务的数据安全性和隐私保护，一些大B客户还是有些顾虑。例如服务的质量和响应级别是否能够达到原来本地化、私有化安全的响应级别和质量？

面对这些问题，一方面需要甲方客户打开自己；另一方面需要乙方安全厂商提升自我数据安全保护、服务能力连续性、服务能力的水准、本身自我安全的证明。

产业互联网安全建设正在加速演进变化

数据泄露、勒索攻击、供应链攻击等安全事件持续高发，安全已经成为制约企业健康发展的生命线。

随着“互联网+”的推进，众多传统行业逐步数据化、在线化、移动化、远程化，同时更多消费者卷入互联网，产生的数据和信息也呈爆炸式增长。如何保障并提升信息安全，为社会经济健康发展保驾护航，这为信息安全领域提出了新的课题和使命。

但受限于传统企业管理理念和组织架构，“担责无权”的安全部门既要当好企业健康发展的“守门人”，又因在企业内部组织架构中处于“小马拉大车”位置，往往无法真正将安全工作贯彻到实处。

就拿金融行业举例来说，对安全要求是最高的。聂君指出近些年，金融行业在网络安全建设理念上也发生了以下三个变化：

第一：过去几年，包括银行、证券、券商，网络安全组织结构发生的变化最大。以前一个银行可能也就3—5个安全人员，现在都升级为一个安全运营中心，动辄就达到上百人。解决了原来小马拉大车问题。

第二：在安全建设思路，已经从过去买设备的阶段过度到了安全运营的阶段，也就是安全从合规驱动变成了由实战驱动。原来大家做安全的思路都是由事中检测，事后处置，这个方面投入大量的预算。现在大家发现，其实把这方面的安全预算放在事前的时候，可能取得的经济效果会更好一些。

第三：行业内联防联动、行业内的漏洞情报共享等机制多了起来，从单打独斗变化为聚合能量形成对抗攻击者的能力。

吕一平补充说，以前做安全更多是处于应急响应的事件驱动，现在安全变成了常态化，作为安全从业人员就要思考怎么安全怎么和业务结合。安全技术的能力跟业务进行紧密结合以后，对客户的成本和利润都是有正向的帮助。这是更显性地体现安全价值。腾讯安全目前在金融反欺诈也已经给出了一个很好的方案。

面对加速演进变化的产业互联网，我们不仅要从过往的安全事件中吸取教训，更要对产业互联网可能遇到的安全威胁进行预判。《产业互联网安全十大趋势》已连续三年发布，以腾讯安全、腾讯研究院等为代表的各类机构持续聚焦产业安全，创新驱动了行业不断探索使用新技术、新思路、新方法和新路径，一起为产业互联网的安全发展贡献了力量。

以下是报告中提到的产业互联网安全十大趋势：

趋势一：产业安全建设将成为企业数字化实践的“前置条件”

趋势二：立法监管趋严，企业安全“巡检”常态化

趋势三：安全将成为企业治理水平的重要度量

趋势四：从“奢侈品”到“日用品”，构建安全免疫力成为新共识

趋势五：反欺诈风控策略由“体验优先”向“动态治理”转变

趋势六：安全合规成为企业出海的核心关注

趋势七：云原生安全“一体化”将大幅提升企业安全水位

趋势八：数据风险挑战供应链安全，数据安全中心持续推进安全治理

趋势九：ChatGPT大模型AI计算广泛应用安全领域，攻防进入智能化对抗时代

趋势十：多重勒索成为常态，勒索攻击对产业安全威胁有增无减

在过去十多年里，端点安全仅仅指的是杀毒软件一种产品，而从产品形态讲：在端点是杀毒软件，在网络边界侧则是防火墙。业内主要的厂商产品基本上都是沿着这两条线来发展的。 

谈到终端安全，那么终端安全的关键究竟是什么？业内人人追捧的EDR究竟有多大能力？行业内又给出什么样的解决方案？真正具有实战能力的终端安全产品是什么样？微步一个以威胁情报起家的安全公司，为什么又跑到终端安全领域？ 

雷峰网与微步在线创始人兼CEO薛锋、技术合伙人黄雅芳进行了深入的交流。

微步在线创始人兼CEO薛锋

微步品牌升级后第一枪打向终端安全市场

提到微步有些人可能很陌生、有些人也比较熟悉。但很多人一定认识一个名为 x.threatbook.cn 的情报社区，就是下面这个搜索界面。微步在线这个社区每天生产的威胁情报就像是“电”一样，源源不断保障用户的网络安全。因此微步在线给外界的印象一直是“威胁情报的专家”。

去年，微步在线进行品牌，企业定位、标识、口号等全部焕然一新。微步曾表示未来将以数字时代网络威胁应对专家的新定位，致力于实现“让安全没有边界”的愿景与使命。

在今年2月23日，微步终端安全管理平台OneSEC发布会上，薛锋表明：“大家好奇我们slogan为什么叫“让安全没有边界”，因为随着云、人工智能、5G等技术的发展，基础设施剧烈变化，网络早已没有了边界，我们希望通过没有边界的安全能力帮助大家，和大家一起守护数字世界的安全，跟医务人员一样做后疫情时代、做数字时代最可爱的人。”

微步从早期产品——情报社区、API开始，后面又有很好的商业化产品NDR流量检测产品、DNS和其他产品，那么为什么还要做终端安全产品呢？

薛锋解释说，这其中有两个原因：第一，微步作为一家以客户为中心的企业，在平时接触到的成千上万家企业，大量企业装了杀毒软件，买了很多安全产品，但依然会被钓鱼、被勒索，很多用户说国内找不到一个可靠的、靠谱的终端EDR产品，国外最好的威胁情报厂商做了全世界最好的EDR，微步为什么不考虑做EDR呢？所以，从微步的视角来说，听到客户的大量需求和呼唤，所以决定做。第二，微步在听到需求后，先看看自己有没有能力，在情报和检测能力上，微步有优势，而且有近10年的攻防演练实战经验，每年200多家演练单位，微步支持单位超过150家，积累了非常深厚的技术优势，用户需求和微步擅长的非常契合。

说到EDR，它是一个终端威胁检测与响应的产品，在新的网络安全威胁爆发式增长的时代下，企业对已知安全威胁的防御已经相当成熟，但对于未知威胁的防范却成了很多企业的一大心病，很多在安全防护中不能及时发现威胁，即便是发现威胁也无法得知病毒来源于哪，因此EDR 的概念逐渐浮现在大家面前。

据介绍，微步三年前就开始做EDR类的产品，三年磨一剑，而且过去12个月有数十家用户已经正式使用微步EDR产品，包括了基金公司、汽车、期货公司，用户给了一些很好功能反馈和正面反馈，所以今天有更多信心推终端安全EDR产品。

微步在线技术合伙人黄雅芳

当问及，相比于市面上其他EDR厂商，微步的核心竞争力是什么？

微步在线技术合伙人黄雅芳介绍说，市场上做EDR厂商主要可分为三类：一是综合厂商，有杀毒、桌面管理、漏洞补丁等模块，在终端市场上占较大份额，切入市场会有新威胁导致产品技术盲区，需要增加EDR模块，也就是说，在传统终端安全新增加EDR模块；二是以EDR概念包装但还是传统杀毒技术部分，只是增加少量EDR，核心还是杀毒的部分；三是纯粹做EDR方向厂商，市面上前两者较多一些，而微步在线就是第三个方向。

“相比于不同类型的厂商，我们在EDR方向上的核心竞争力，一是实战化能力更强，从投入上、时间维度上、团队规模上、精力资源上都会更大一些；二是从实战效果看，真正放在网络里去检测，我们的产品能做到‘别人看不见的威胁被我们看见，别人看得见的威胁我们看得更全’；三是兼容性更好，不管是以杀毒包装的方式切进EDR市场，还是原来终端安全想做EDR新增的部分，目标希望占据终端的市场，我们只要做到兼容效果好，补齐终端安全缺的部分，而不是占领整个市场。”黄雅芳如是说。 

新威胁形势下，“发现”威胁的能力更重要

随着5G、IoT、云等技术的发展，以及疫情带来远程办公、混合办公，办公场所的移动化等基础设施的变化，给安全带来了新的挑战。

薛锋指出，首先在监管侧，从以前的等保合规要求，已经变成面向结果、面向效果的要求；其次，在攻击侧，新型攻击方式层出不穷，一些高端攻击技术越来越平民化，企业收到威胁勒索的形势更加严峻；再次，从需求侧，用户需求更注重效果、发现、运营和实战。供给侧需求的变化带来网络安全技术的变化，从以前依靠规则特征码的匹配去发现威胁，到现在的发现威胁数据化、交付方式云化、服务模式SaaS化的订阅模式、也更加注重安全效果。

在攻击侧需求变化的同时，终端安全也面临新的威胁挑战，因为现在服务器的注入和攻击没有像过去那么容易了，针对终端的攻击越来越多。

薛锋谈及其中的原因，一方面是大型政企如果通过互联网能够访问到的服务器、网站通常只有几个或者几十个，但在PC终端却有成千上万个，因此攻击者能找到的入口也就多了几十倍甚至几百倍；另一方面，如果攻击服务，对抗的是开发人员、IT安全人员对抗，但是攻击终端，就是和普通员工对抗，例如财务人员、HR、普通员工、不太懂电脑技术的领导。“攻击者要攻击终端只存在想不想，不存在能不能，只要想就一定能攻陷，这是很明显的趋势。”薛锋如是说。 

据薛锋介绍，目前市场上终端安全产品主要有杀毒软件、流量检测类产品以及日志审计类产品。但是这三类产品都有各自的盲区。他举例说，如果要保护的单位像工厂一样是由一个个房间、一个个业务单元组成的话，部署流量和日志类产品，就像部署在大楼的出口或者楼道里面监控探头，看见的是南北向和东西向的流量，看见的是楼层和楼层之间和进出这栋楼的流量。但黑客和坏人不总是从大楼的正门和楼道进入，有可能从后门、窗户、通风管道进去，也有可能是以快递的形式带来威胁。因此传统基于流量检测的产品不能解决所有问题。

而EDR则相当于在工厂内每一个房间都安装了一个特别轻的传感器、摄像头，用户能够清晰地看见这一个房间里发生所有的行为，EDR采集完送入云端或者本地服务器做分析，可以和NDR流量检测产品相互补充，从而更好的发现威胁。

薛锋认为，好的终端安全，必须是是轻、准、稳、全，即用户使用时无感知占用CPU内存小、稳定性好、精准追溯攻击过程的分析能力、采集数据类型和上下文的丰富性。

在会后的采访中，薛锋表示：“我一直比较相信安全和医疗之间的映射关系，在医疗领域早发现问题很重要，但这只是一半，如何治疗是更加重要。但在网络安全领域，除了勒索软件攻击治不好之外，剩下百分之八十左右的问题一旦发现很容易解决，因此‘发现’能力很重要，也是安全厂商长期发展的路径，目前微步产品沿着发现核心能力做了闭环。我们专注于解决的是一类问题就是‘检测发现’，通过提供一些技术和产品帮助一些重点单位和关键基础设施做好防护。”

集成EDR模块的OneSEC有什么魔力？

听说好？卖的好？用的好？完全是不一样的概念，那么微步集成EDR模块的OneSEC到底有什么魔力？ 

大多数企业想要EDR功能确实不假，但是一些客户部署了一堆威胁检测盒子，告警量一天达到千万级以上，无法有效的识别有价值的告警；而且，告警量的增加势必需要投入更多的人员进行安全运营，无形中增加了安全的成本。其次，大多数EDR，其实都是一个个孤岛，没有数据积累，采什么样的数据？怎么采？其实是很难的一件事情。

做好EDR的关键一方面需要更加精准的检测，另一方面还需要协同联动；同时还得轻便，不能占用太多电脑资源。

据介绍，OneSEC的EDR模块利用安装在终端上的轻量级Agent，实时收集终端上的全量行为日志数据并上传云端，利用云端强大的计算资源进行IOA行为特征检测。同时，EDR模块还集成了包括威胁情报IOC、攻击行为IOA、云端百亿级样本库与图关联检测等检测方式，从多个维度交叉检测，综合评判，可全面、精准发现各类威胁事件。经过VB100的评测，OneSEC的检出率可达99.94%。

此外，OneSEC采用云端订阅模式交付，无需采购硬件，企业只需申请一个账号，即可将分散在全国的办公终端纳入统一管理，并可随企业终端数量增加而随需采购。可以实现轻量化的终端管理，开箱即用。

而SaaS化部署安全的模式，微步一直走在行业的前列，老客户续费率超过100%，大客户超过120%，相比于美国同行这个指标也算是优秀的了。

据黄雅芳介绍，SaaS模式本身对于腰部客户来说或者中小客户更友好，不需要买高昂软件，或者放专人去运维和运营，只要一个账号，用户就知道管哪些人，推一个小工具上去就不用管到底用两台服务器还是四台服务器，因为SaaS化交付的模式就是减去了大家关注业务本身底层IT运维的部分，用户只用关心安全业务就好了，更具有普适性、普惠性。另外，在功能全面性上，补齐了中小客户希望一体化解决日常终端安全轻量性产品需求。

最后就是端网联动能力，OneSEC能从网络和终端两个维度保证办公终端安全。如OneDNS通过将云端威胁情报与DNS相结合，可从网络流量侧检测威胁，通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护企业终端安全；EDR模块则利用IOA行为检测、图检测等技术对终端行为日志进行检测分析，提供包括隔离进程、文件、网络乃至终端等多种处置策略。通过将终端行为与网络流量相结合，OneSEC可以对终端威胁进行更全面威胁覆盖，处置策略更丰富、更灵活，随时随地为终端提供全面、精准、高效的安全防护能力。

在谈及微步在线未来还会在哪方面发力？薛锋表示：“威胁情报是微步的底层能力，这是最基础的。但是流量、终端和网关还是网络安全的主阵地，虽然在这三个位置已经有大量的产品，但是我们也会围绕这三个方面布局，做一些创新性的产品，还是以轻量化、云化为主，我们更多定位在战斗核心位置，用新的方式解决没有解决的问题，这是未来长期的发展规划方向。”

（雷峰网雷峰网）

作者 | 李扬霞

编辑 | 林觉民

新时代大门开启的时候，蜂拥而上的大都是勇士。

在马泽明的记忆中，那是2015年3月的一个下午。

深圳正处于闷热潮湿的春夏交替时节。

他和搭档——负责微信公众号运营的小韩，两个人对好当天的内容后，发送了出去。

一瞬间，后台就涌入了60多个试用申请，猝不及防的他兴奋地把截图发到产品大群里，那个下午，办公室的气氛变得热烈。

谁也没有想到，市场对国产虚拟化软件的热情如此高涨。

这条公众号推送，是深信服的服务器虚拟化软件产品第一次亮相，也是深信服大力迈进云计算领域的第一步。

关于深信服，雷峰网曾听过两种行业人士的声音：

第一种是“我们那时候做产品，都是直接买一堆深信服的东西回来，所有产品经理和技术扑上去研究。不得不说，深信服在安全大公司里，创新能力是最强的。”

第二种是“深信服现在搞的托管云不就是替客户代管服务器嘛，这也能叫创新吗？”

在雷峰网看来，这正好反映了行业对深信服的两种认知：

一面是技术创新能力很强；另一面是托管云还让人看不懂。

其实，这是一种认知偏差。

行业人士对深信服的认知有一种“障”挡在眼前，他们总觉得深信服做云应该“一下子玩个大”的，要做出有颠覆行业的东西才叫创新。

克里斯坦森在《创新者的窘境》一书中说：“商业创新有两种模式，一是把昂贵的变便宜；二是把复杂的变简单。”

从深信服发展来看，这才是它常用的路数——1.在时代中寻找顺势；2.独立自主做技术产品创新；3.先从个性市场切入；4.通过优质服务，苟住一个原来大企业看不上的市场，然后让更多用户慢慢进来，让很多不是用户的人认识这个市场，最后慢慢蚕食，成为冠军。

深信服做云，就是这个路子。他们其实并未在一开始的时候就能预料到在超融合，桌面云等细分赛道可以做到市场前列；也并没有在10年前就想着创新发明一个“托管云”的品类，更没有一开始就规划着云计算会有两三千人的团队，且投入逐年都在不断加大；深信服坚持的是，既然选了，就必须要做好。

一、谋时而动,顺势而为

深信服是国内第一家向云转型的安全公司，深信服的VPN、全网行为管理、下一代防火墙等安全产品在业内久负盛名。

据说，全国各大城市绝大多数办公楼里都能找到几台带深信服LOGO的安全设备在跑。

可以想象深信服的安全业务做的多么成功。

既然安全做的这么突出，为什么还要“云转型”呢？

回溯到2010年，那会上云还不是主流声音。彼时，阿里云刚成立2年，华为刚发布了自己的云计算平台，而各路大佬还在为云“激辩”不休。

依托强大的渠道体系在IT市场快速崛起的深信服在服务过程中发现，客户的数据中心在逐渐走向云和虚拟化，单一的安全不再能满足云上业务的安全需求。

在云环境下，传统信息系统中的硬件、网络、系统、应用等都被云上的虚拟化产品所替代。云上用户的设备与系统等都是动态变化的，因此传统的系统安全、边界安全等概念在云安全中不再适用。

深信服意识到，未来安全的能力将成为计算、存储、网络之外的第四大基础设施，并全部融入到云基础设施中，变成一种内置在基础设施里的默认能力，有统一安全产品和服务，安全管理和运营不再是一种负担。而深信服后来把这种能力叫做“内建安全”，信服云将20多年的安全能力全部集成到超融合、EDS、桌面云、托管云等各种产品和解决方案中。

在那个云计算局势还不明朗的时代，深信服可谓是胆大心雄，主动求变，做第一个吃螃蟹的人。深信服凭借多年对市场理解，敏锐地察觉到，硬件安全防护设备未来一定会被替代的趋势，并坚定的走向“云化转型”。

但深信服想要在竞争激烈的“云计算”舞台上，挣得一份“关键位置”，却不那么容易。

《爆裂鼓手（Whiplash）》中，主人公内曼梦想着成为一个顶尖的爵士鼓手，可起初他只是一个替补。于是，他长时间努力练习、虎口被鼓槌磨出了血，即便，殷红的鲜血从内曼紧握鼓槌的拳头中滴落到鼓面上，他贴上创可贴仍然继续练习。越努力越幸运，他最终为自己挣得了替代核心上场的机会。

想要在云计算市场挣得机会，深信服就要像内曼一样，不疯魔不成活。想要追求极致，必须要付出代价。

向云转型，深信服要面对两个问题：一是对云不够了解，就是意识上的问题；二是，敢不敢投入，也就是胆量的问题。

过去很长一段时间，云厂商“卷生卷死”，砸人力砸资源，“为大而大”，你提供的功能我也必须有，想方设法铺摊子，这种不计成本的比拼极其消耗成本。

云计算市场俨然已经是一片红海，安全领域也不遑多让。对于深信服来说，它的对手，既有云厂商，也有安全厂商。前者包括阿里云、腾讯云、华为云、新华三等，后者包括奇安信、启明星辰、知道创宇、安恒、绿盟、亚信安全及一众老牌安全公司。

深信服不仅要有胆量走这一步，走出一步正确的“云转型”之路，还要在左右夹击中找到自己的核心竞争力和差异性。要不然就会被“凶猛”的时代潮流淹没。

据深信服副总裁、研发体系副总经理张建华所述，深信服找到了一条属于自己的路子。

深信服定了三大战略：一做安全的云；二做极致的性能；三做好贴心的服务。

以云为剑，以安全为盾，再合适不过。

套用一句经典台词“没有安全的云就像一盘散沙,不用风吹,走两步就散了”

深信服绝对把这点看的很透彻。数字经济时代，越来越多的企业的IT基础设施正在迁移上云，云是企业数字化转型的“刀剑”，也是深信服开辟新战场的一把“利刃”。

做一个安全的云，就是深信服云转型的一个重要抓手，也是深信服差异化战略的一部分。

在张建华看来，做安全的云是需要开启上帝视角的，要求能看透最底层的资源，很多云公司为了赚钱，没有把安全这个事情做在前面。

深信服想了一个路子，那就是“内建安全”，这样一来，一方面客户不用再花额外的开支去购买各种各样的安全设备；另一方面，出现了安全问题有人帮解决。

也就是说可以实现上线即安全、数据保护、威胁处置更便捷，最重要的是相对传统的按照终端数量的授权方式，信服云采用符合虚拟化场景的“按核收费”更灵活,支持超配,实现了高性价比。

“组网能力”和“安全能力”是深信服强项，但深信服的“云转型”之路远远不止这么简单，不是定个战略就能实现的。

要破茧成蝶，还需要突破技术上的难关。

二、咬定自研“云技术”

深信服对于技术不仅是做了，而且是坚持自研战略，牢牢掌握主动权。

在升级成信服云之前，深信服已经攒了至少10年的云技术累积。

提到“云计算”，不得不提虚拟化，过去10年，云计算几乎全从虚拟化起家，VMware就是全球最具代表的厂商之一。

云计算1.0时代解决的是，如何把主机进行虚拟化，形成资源池；2.0时代是底层技术和行业解决方案的成熟阶段，这一阶段主要做的是对存储与网络设备实现了虚拟化，通过多种技术，将计算、存储、网络、安全等硬件资源整合为虚拟资源池。3.0时代是混合云和多云管理的阶段，拼的是服务。

深信服的产品线发展也基本沿着云计算发展的轨迹。

2012年，深信服拉起“云计算”的船帆，成立虚拟化产品线，开启了云计算大航海。

深信服调出了内部最精英的团队，公司创始人亲自下场，邀请国内外知名的虚拟化技术专家加入，这样一个虚拟化的班子就搭好了。据说成立之初，这个班子人数就有100多人。

在技术路线的选择上，当时的深信服赌对了两件事：

第一，拒绝业内普遍选择的OpenStack开源架构，选择自研。当时虚拟化技术如何选型是普遍想进军云计算领域企业必须要思考的问题，2010年OpenStack云管理平台开源，为企业构建公有云和私有云提供了一个基础架构，因其具有开放性、灵活性等特点，可以让企业不用被锁定在某一个供应商，因此受到了当时很多中国企业的追捧。

可以说，现在业内大部分都是“拿来的云”，基于OpenStack等第三方软件搭建的，如腾讯云、华为云。

只有少数厂商选择自研，深信服就是之一。可能做过程序员的都有这种感觉，如果一个大的框架都是自己写的，修改或者重构起来就会变得非常迅速，但在早期建构以及功能开发上会有很大的困难。

深信服产品规划负责人认为，Openstack架构相对来说比较臃肿，后期的运维成本会特别高。选择自研，虽然前期比较困难，但在后期需要修改的时候会很容易。深信服正是得益这套架构，才可以实现“线上线下一朵云”，这是深信服的护城河。

第二，选择了KVM虚拟化技术。当时选择KVM并不是主流，因为同为开源的虚拟化技术，Xen比KVM要早问世四年之久，技术也更加成熟，当时很多人精通Xen的IT技术，企业也更容易获得虚拟化技术资源及人才。

深信服则是反其道而行之，选择了KVM，事实证明深信服赌对了，在之后的几年里KVM确实发展性更好一些，现在一些主流的云平台也都纷纷切到了KVM。

深信服虚拟化的第一个产品，就是开篇提到的服务器虚拟化aSV。

但深信服真正开始在云计算领域突围，还要从桌面云开始谈起。

深信服在做安全的时候，已经做了很长时间的安全桌面，在桌面领域积累也并不比安全少。所以桌面云是云业务最先突破的一个领域。

2014年，深信服正式推出商用的桌面虚拟化产品aDesk，除了后端的服务器虚拟化技术外，在aDesk上，深信服还自研成功了SRAP桌面传输协议，这种协议可以通过高效流压缩、智能数据缓存、动态图像优化等技术，做到不输给国际顶尖服务商的流畅体验。

深信服能把桌面云做到和国际厂商一个水准，这背后并不简单。

在桌面云第一个版本刚出来的时候，居然连视频都跑不动，只能做最基本的文字办公。逼得深信服产品团队不得不暂时下架产品并闭门反思产品的问题究竟在哪里。经过团队多轮的研究和探讨，最后发现更多的问题在于底层的架构。

在修修补补凑合用，和推倒重来之间，他们选择了重写底层架构。这无异于要推翻之前两年的所有技术积累。但是为了用户可以有更好的体验，深信服内部一致都觉得这么做是必要的。

直到到了2015年秋天，经过一遍遍测试后，深信服桌面云的流畅度终于不输给国际顶尖厂商。最关键的一点是，当时这套国产桌面云可以做到比国外产品便宜30%-50%。

IDC数据显示，2017年，深信服桌面云与华为、VMware成为了中国桌面云市场占有率排行前三的服务商。到2021年，深信服桌面云已经成为了中国桌面云市场占有率第一的品牌。

深信服把桌面云作为其“云转型”的第一个“锚点”，并深深的把根扎进了教育、医疗、政企领域。

不仅是虚拟化、桌面云，在超融合上深信服也坚定不移的选择了自研。

最开始，深信服面临两种选择，一种是做分布式存储结合Vmware方案，这种路径是市场见效快的“捷径”；而另一种是坚持计算、存储、网络全自主高投入的全栈路线。结合深信服对市场和用户诉求的深入研究，深信服选择了全栈融合的产品路线。

深信服结合了自有的基于 KVM 的虚拟化平台（aSV）、分布式存储（aSAN）、网络虚拟化（aNET）和安全功能（aSEC），从而为数据中心基础设施提供一站式解决方案。与其他数据中心基础设施（DCI）厂商相比，深信服在硬件上更为中立。

2015年，深信服推出了商用超融合产品。

产品发布后不久，在上海，深信服迎来了证明自己的机会，而他们要面对的正是与超融合“始祖”服务商Nutanix的正面PK。

这是深信服第一次和国际一流技术水平的厂商，在客户测试环节正面交锋。

当时的深信服上海区域主管回忆，那几天紧张地都没有睡好觉，因为云计算被定位为公司未来最关键的战略，这一仗对整个云业务来说都至关重要。

经过漫长的测试对比，结果显示深信服在性能、客户环境的匹配程度上的表现比Nutanix，好得多。

几乎整个办公室都欢呼了起来，这一仗给了深信服很强的信心，让深信服相信自己可以做的比国外的服务商好。

但是，新的问题又出现了。

在用户调研的时候深信服发现，出于对稳定性和性能的担忧，对于国产超融合很多客户只敢用在边缘系统中。深信服的研发团队很头疼，下定决心要做客户的关键应用承载和优化，在稳定性和性能上下足了苦工。

后来，研发团队定了一个规则，就是研发和产品团队全员走出办公室，冲到客户现场解决问题，听取客户的需求和建议，然后快速提升产品能力和质量。

在内部的BBS，研发团队还发起了一个提“bug”得奖励的活动，只要提出的bug和问题对改进产品质量有帮助，就能得到一定金额的奖励。

虽然奖励不多，但是充分调动了全公司“找茬”的热情。

售后技术服务部门的小伙子李斌，光靠在内部BBS上提建议，一个月就能提出20多个问题。

这种积极反馈客户需求和问题的传统，在深信服内部也一直保持了下来。

深信服内部的BBS上累积了几万条产品优化建议，这些建议为超融合性能和稳定性的大幅提升带来很大的帮助。

深信服超融合真正破茧成蝶，承载关键应用还是在和劲霸男装的合作中。

2011年，劲霸男装用的还是第一代云平台，当时采用的是刀片服务器、VMwear、EMC存储整合的后台。2015年，随着业务模式从批发模式向零售模式的转型，云平台要求能够满足O2O模式和新的CRM系统的要求，这意味着，需要和互联网用户发生交互，计算量级就从百、千的变化转变为到万、十万甚至更高量级的变化。这对于云平台性能和可扩展性提出了更高要求。

他们不得不开始建设第二代云平台。为了满足终端的需求，劲霸男装打算用BI系统完整的做一个POC测试，而深信服的超融合架构让业务系统抽取数据时间从原来的10个小时，缩短到了3个小时，这一数据远远高出了预期。

这次测试实实在在给深信服长脸了。

劲霸男装CIO表示：“选择深信服一方面是对其服务和研发能力的信任，另一方面在此前接触深信服的时候，就对他们的企业文化很认同。因此，希望能够保持长久的合作关系。”

2016年，深信服超融合宣布实现Oracle承载能力，这也是国内超融合服务商第一次实现了核心数据承载的能力。

劲霸男装之后，深信服一点点积累了口碑，超融合也一点点打开了市场。

IDC的数据显示，从2016年开始到现在，深信服超融合已经连续六年都是中国超融合市场占有率排名前三的服务商。

正如张建华所说：“在深信服，所有的技术都是服务于战略，深信服最长的坚持就是战略与技术的匹配。”

据透露，深信服目前有3000余名研发人员，占公司员工总数的三分之一，而云计算业务得研发人员就有1000多人。而且深信服每年还会拿出了20%的营收额投入到研发，但是外界不知道的是，这20%并不是被拿去建立数据中心，那么这20%拿来干什么？答案是招聘研发人员，这才是深信服的核心能力。

张建华介绍，深信服目前在全国建立了深圳、北京、长沙、成都、南京五大研发中心，其中深圳研发中心负责信服云整体的规划、运营和组织，并承担云平台、超融合、托管云、边缘计算等产品的研发；北京研发中心负责信服云网络产品的研发，这个研发中心奠定了超融合、托管云业务网络虚拟化的能力；长沙研发中心负责信服云桌面云，以及信服云分布式存储EDS的文件、对象存储能力；成都研发中心负责信服云容灾产品和信服云分布式存储EDS的块存储的研发;南京研发中心负责信服云安全相关业务和产品的研发，托管云“业务上线即安全”的能力就来源于此。

这样的研发规模和投入，无不显示出深信服对云计算这个赛道的决心。

从0到1往往是最难的，能够迎难而上，坚持自研，可谓是拿出了100%的决心做云。

前面也提到了，现在是一个多云融合的时代，而正是因为从底层架构就选择自研，深信服才有机会帮助用户实现线上线下“一朵云”。

这也是信服云最新提出来的战略方向，通过线上线下一朵云的方式，让用户可以在云上和本地部署体验一致的云服务，任意迁移或者组合形成同架构的混合云。

线下很好理解，通过超融合的方式构建私有云数据中心，那线上呢？深信服似乎并不提供公有云产品。

这就得说到本文开头提到的“托管云”。

三、坚持“托管云”服务

2016年，深信服推出了托管云产品——信服云托管云。

托管云是介于公有云和私有云之间的一种上云方式，既可以实现用户对云资产的所有权或控制权，又可以给用户提供相应的云服务托管的业务。相当于是一个托管的私有云。

如果说信服云托管云用一个成语形容的话，那一定是“集腋成裘”，把所有精华的东西集中在了一起。

信服云托管云不仅是之前深信服所有产品的集合，也是解决方案和服务的集合。

产品的话，其实不用多说。回头来看，从VPN、防火墙再到桌面云乃至超融合，深信服几乎每隔一两年，就打造一个爆款产品。信服云托管云不仅集合了这些爆款产品，而且还给每位客户提供了贴身的服务，配备24小时一对一专属管家，以及一整套安全解决方案。

那具体来看信服云深信服托管云是怎么做的呢？

很多上公有云的用户，都有一个烦恼，就是服务响应不及时。信服云托管云服务，除了能随时帮客户解决问题，还能帮助用户从繁杂的IT运维中解放出来。

另外值一提的是“安全服务”，在上云的过程中简单的安全产品堆砌已经不能满足用户的安全需求，深信服则是帮用户制定了一整套安全解决方案，并坚决秉持“责任共担”的理念。

在前期上云阶段帮客户制定策略，包括安全架构、业务架构的调整等；上云之后在运维阶段，一对一解决问题进行服务。

深信服刚刚推出信服云托管云业务的时候，徐冲刚好入职成为了托管云的第一批解决方案经理之一。

徐冲在服务客户的时候发现，虽然市场上已经有了很多标准化云产品，但客户的需求事实上是五花八门的，真正适合客户的产品是什么、怎么用这些产品有时候比产品本身的功能更重要。

为了让客户满意，他不厌其烦地跑到客户现场，拉着客户反复沟通了解需求，客户看他主动，也总是不厌其烦地讲解。

时间长了，每当客户提出需求，徐冲基本都能快速知道客户背后的初衷是什么，懂客户内心真正所想，所以客户总跟他开玩笑说“你是除了我之外最熟悉我们业务的人。”

后来，第一批解决方案经理的服务经验，也逐渐成为了托管云最有特色的“贴身服务”。

雷峰网近期拜访了一位信服云托管云的售前技术专家，看到了很多细节：

他2020年才入职深信服，但是他是接触信服云托管云标杆客户的最多的人，企业的任何微小的需求都逃不过他的眼睛。他说：“托管云有点像专属云的范畴，针对的客户更多是在乎数据主权、数据可控的企业，他们对于大的公有云厂商多少会有些忌惮数据的安全性。”例如，金融相关的审计单位，他们会审计其业务系统部署在哪里，要看到业务系统在哪台物理主机上面，哪个机柜里面。“这些高安全的需求，为托管云业务带来了很多市场机会。”

另外传统行业的用户其实也更偏向于选择像托管云一样的专属云，因为在传统行业技术人才安全人才都非常缺少，能够贴身服务的信服云托管云正好打中了这些企业的痛点。托管云也逐渐应用于更广泛的场景，比如地产、文旅等。

2021下半年，信服云托管云被提到了前所未有的高度，加速完成了产品和解决方案的集合，也完成了服务的集合，开始打造线上（托管云）线下（超融合）“一朵云“。

四、念念不忘，必有回想

技术是云计算赢得客户信任的基础，服务是永续这份信任的前提。政府也好，企业也好，它们真正需要的是技术服务，而非简单的技术。

其实不仅是托管云，原来深信服做虚拟化的时候，也会帮客户满足一些资源的需求，比如把服务器跑在超融合上；后面慢慢发展成了云的需求，比如租户分级权限把控等；现在也会额外增加一些应用中心的中间件、数据库服务。

拿数据库专家团服务举例来说，一个普通经验的DBA专家年薪就达到40—50万左右，如果一个公司要用数据库就必须配备这样的一个数据库专家，防止数据丢失。

深信服基于数据库之上构建了平台化的能力，可以实现快速交付部署，并且帮客户进行运维调优以及故障处理，再配上数据库专家的一些服务，整个形成了一个数据库解决方案的闭环。客户不需要请专业的DBA，就可以达到同样服务效果。

随着数字化场景的不断丰富，IT的管理运维也更加复杂，对于大部分客户，光靠产品组合已经解决不了他们的问题了，他们更需要管家式的服务，包括从上云到后期的运维，帮助他们从繁杂的IT运维中解放出来。

上过公有云的人都知道，公有云的响应服务谈不上及时且靠谱，除非是特别大型的客户。但是如果出了问题，企业自己搞不定，是经不起死等的，不然黄花菜都凉了。

而信服云托管云的强项就是贴身的服务，深信服的内部还特别设立了客户成功部，给客户提供管家式的服务，现在这个团队接近300人。而每个托管云的客户都有专属管家。

从上云前的方案规划到上云后管家式的服务，买了信服云的托管云，相当于雇了一个军师兼保姆。

雷峰网从深信服托管云运维负责人那里了解到，如果客户在用云过程中有问题，比如发现服务器不可用、平台不会操作、有紧急需求要操作等，都可以和托管云服务团队反馈，服务团队接到反馈后5分钟内就会响应。

得益于托管云的研发运维一体化。不论是产品上线，还是后期满足客户客户需求，托管云运维团队都能更贴近客户，保证云的稳定性、快速响应能力、快速部署、快速响应能力等要求。

那么托管之后，有人就问了，安全吗？

信服云在安全方面秉承“安全共担”的理念。

具体的流程大概是这个样子：

管家在提供服务的时候会进入一个安全通道，安全通道是客户授权他的管家进行操作，在整个运维服务的操作过程中，都会全程录屏合作记录的，从而让用户更加放心。

再加上深信服的“内建安全”，可以说即节省了成本，又省心了很多。

深信服能够提供管家式的服务，底层逻辑是其对技术的执着，把技术人员用在刀刃上，在产品上下功夫，这是任何一朵云都学不来的。

曾经有家大厂高薪挖了深信服的技术人员去做远程运维，期望可以在服务上弯道超车。其实在本质上就理解错了，深信服对服务的设计，体现在技术人员对产品的维护上而不是人本身。

值得一提的是，深信服能做好服务，很大一部分原因有渠道的功劳，因为渠道是最接近用户的那一部分人。

目前大云，最缺的就是这一部分的能力。雷峰网曾经听到过这样一句话：“公有云对于行业的了解不够，没有应对各种场景的交付能力。”

而差不多有10年，很多渠道上特别害怕IT，就怕被公有云吃掉。所以很多渠道天然对公有云是不信任的。而公有云深入到具体的各行各业这个过程也是非常难的。

深信服的差异化战略之所以能够行得通，也正是其拥有广泛的渠道商的支持，深信服一直以渠道为中心90%以上的行业项目均与行业SI配合完成。所以说到“贴近用户”恐怕没有人能比深信服做的更好了。

目前，深信服基于其原有的渠道体系，继续把云的部分服务交给渠道。

张建华是这样说的：“一定要做好能力的设计，不让服务渠道的人吃亏，以前原厂的服务让渠道继续做，有所为有所不为，你不能说今天我做云了，所有的服务全是我通吃，我们不能和渠道竞争。”

雷峰网了解到，深信服渠道的服务方式和服务质量都是按照深信服的一套标准体系去控制的。不管是深信服自己服务还是渠道服务，深信服都会对最后的服务质量进行把关。

在深信服的团队，“数字平权”一词频频被人们提及，因为他们认为，中小企业也有权利获得和大型企业一样的数字化转型服务，享受云计算带来的红利。

可以这么理解，大云做的是家乐福，那么深信服做的就是7-11。

“为了客户有更好的体验，深信服可以做到家门口出门左转300米就是你的数据中心。”张建华曾说。

这种多云数据中心的积累是大云所不具备，大云本质上是共享的生意，这就要求他必须建设集中式的数据中心。

而深信服所提倡的是建立“数字化便利店”。截止目前，信服云托管云已经在全国54个城市建设了100+数据中心，深信服在云计算领域厚积薄发的后劲已经逐渐显现。

在数字化转型的大背景下，上云不得不做，尤其一些传统企业为了数据安全可控把数据中心建在本地，但又缺乏专业的IT人才进行管理；有些企业业务辐射范围广，以至于在一些偏远地带，业务出现延迟。

深信服则提出“线上线下一朵云”，用户可以任意选择上云方式，线上线下任意迁移，都能得到统一的管理和体验，同时24小时贴身的服务，也让企业降低了管理难度，放心的托管。

在云计算的下半场，深信服是否能够通过“服务”制胜，尚不得而知。但可以预见的是，公有云的上限即将到顶，大云守住固有的江山，这个进程已经画了一半。

在安全厂商们都还在卖定制化、卖硬件的时候，深信服无疑是开了个新地图。

如果能在未来一段时间内占领住主流用户心智，这事就成了。

《数据安全治理白皮书2.0》创造性地提出了“双维驱动、人机共治”的建设理念。相比于1.0版，本次白皮书的更新迭代可协助企业及组织更科学、更智能、更高效地开展数据安全治理相关工作。

 图注：“双维驱动，人机共治——数据安全治理白皮书2.0发布会”开幕

 山石网科高级副总裁、首席技术专家杨庆华致辞表示，山石网科希望企业用户在面对数据安全建设问题有疑虑的时候，可以参考《数据安全治理白皮书2.0》。目前来看，比较通用的问题有以下三点：

l 企业数据安全建设需要思考的内容多且杂，是一个体系化的建设过程，如何全面科学的构建数据安全能力？

l 业务数据流转复杂，参与部门众多，如何行之有效的把数据安全治理落地？

l 当前主流的数据安全技术有哪些？怎么应用？怎么有效构建数据安全能力？

图注：山石网科高级副总裁、首席技术专家杨庆华致辞 

双维驱动，助力企业数据安全建设

正是基于企业用户在面对数据安全建设时存在的问题，山石网科发布并持续更新数据安全治理白皮书，希望依托这种方式把山石网科自身的技术积累以及项目实践经验更好地分享给企业用户。

山石网科行业规划总监韩冰指出，山石网科数据安全治理体系框架2.0，是在构建网络安全能力基座之上，通过以数据为中心的视角，围绕数据生命周期各个阶段提供相应的保护能力；同时融合零信任的思维理念将应用系统、数据资源、设备、人员身份全部纳入到数据安全防护范围，构建更加完善的数据安全整体防护能力。

同时，韩冰提到山石网科数据安全治理七步法是通过介绍整套方法论，清晰地阐述了体系框架的承接和落地。古语有云：“授人以鱼，不如授之以渔”，山石网科数据安全治理七步法不仅是一套数据安全解决方案，更是在指导企业用户如何构建企业数据安全体系框架，如何将数据安全体系框架通过行之有效的方法进行落地。相信企业用户在厘清了这条主线以后，结合企业自身的规模、组织以及业务特性，可以更加科学有效的构建贴合自身情况的数据安全防护能力。

图注：山石网科行业规划总监韩冰发表演讲

人机共治， 赋能企业可持续安全运营

山石网科数据安全与审计业务群总经理赵胜从业务流转视角带大家了解了山石网科数据安全技术路线及产品能力。从人员、终端接入开始，到应用系统场景、数据库场景以及最后的三方接入，这些用户实际场景遇到的数据流转过程，中间需要非常多的技术防护要点。从中我们可以清楚地了解到数据安全治理永远不是从零开始，以数据为中心的安全建设需要在现有的网络安全防护体系之上， “网络安全能力基座”与“以数据为中心的安全”之间是相互关联、 彼此依赖、共同迭代的。

 图注：从业务流转视角纵览技术路线

接着，赵胜介绍了构筑联防联控机制的安全大脑、AI赋能数据安全治理过程、安全服务保障数据安全建设实施落地等山石网科数据安全治理亮点内容，同时点明了“人机共治”在数据安全治理过程中的重要性。以“AI技术在数据安全领域的应用”为例，AI是为了提升产品对数据的理解，使之像人一样去识别、理解数据的内容，对流转在系统中的数据做到更加精准和智能地研判，进而使“机治”的过程更智能，实现“人机共治”的有机结合。

最后，赵胜通过政企、制造业、医疗等行业案例，来分享数据安全治理实践经验及注意事项，不仅从项目实践的角度进一步验证了“双维驱动、人机共治”建设理念的科学性，而且提供了数据安全治理建设落地新思路、新方案。

图注：山石网科数据安全与审计业务群

总经理赵胜发布《数据安全治理白皮书2.0》

在数字世界，厘清数据安全建设思路，找到数据安全建设的新思路、新方案，是各企业数据安全治理的重中之重。（雷峰网）

数字化有三个特征：一切皆可编程、万物均要互联、大数据驱动业务，其本质是软件定义世界，城市、汽车、网络都将由软件定义。

这也意味着数字化让整个网络安全环境更加脆弱，安全风险更加无处不在，整个世界更易攻击，造成危害也更大。

12月13日，由杭州市人民政府和浙江省商务厅主办的2022首届全球数字生态大会于杭州国际博览中心成功举办。此外，大会同期设置“数字应用与技术”及“数字全球化”两大分论坛。邀请了来自海内外数字领域头部企业的技术专家和数字化项目负责人，全方位、多维度地探讨了数字技术的发展路径和趋势以及落地应用场景，以及数字经济时代下面临的安全问题。

在传统互联网时代，网络攻击的主体是网民，造成的后果基本是电脑蓝屏、文件损坏、恶意弹窗和个人信息被盗。

但在数字经济时代，网络攻击目的是摧毁一座关键信息基础设施，攻陷数据服务器等。当数据和一切实体经济越来越关系紧密时，网络和数据安全问题就会成为牵一发而动全身的关键问题。

一、安全是数字经济发展的底线

没有安全支撑的数字经济，就仿佛一滴血掉进了海洋里，仅凭血腥味就能吸引无数的鲨鱼。

数字经济时代是大数据利用时代，随着互联网发展，数据窃取、网络黑市数据交易等现象层出不穷。这背后反映的是，在进行数字化转型的过程中，我们的企业面临着更加严峻的网络系统攻击、隐私泄露等安全问题。

北美天然气巨头Superior Plus遭勒索、葡萄牙最大的电视台和报纸媒体Impresa遭到勒索软件攻击而瘫痪、欧洲港口石油设施被黑客攻击导致油轮无法靠港、红十字国际委员会（ICRC）遭遇高级网络攻击导致数据泄漏...... 

每年全球企业发生的数据泄漏、勒索攻击安全问题数不胜数。如果企业对于数字化转型后的网络安全工作普遍认识不足，会造成频繁的业务停摆和安全事故。

因此要同步推动数字化发展与安全，数字安全是数字经济发展的前提和根本保障。

云安全联盟（CSA）大中华区副院长贾良玉

在大会现场，云安全联盟（CSA）大中华区副院长贾良玉提出：数字经济包括三层架构五大核心基础。

三大架构包括了底层的和数字货币相关的基础设施；中间层的数字金融、数字资产；最上层则是数字商业、数字产业、数字生活、数字政府和数字社会。

五大核心基础包括了数据、算法、算力、网络、存储。

而数据已经成为除土地、劳动力、资本、技术之外的第五大生产要素。贾良玉指出数据资料变成资产，其核心要解决安全可信的问题，数据要做到保真、确权、合规不是一件容易的事情。要想让数据创造价值，首先要有安全保障，可信的流转才能发挥数据的价值，形成价值网络。

我们先来看一下世界各国是如何保障数据安全的。在欧盟，也是现在世界各国用的较多《通用数据保护条例》（GDPR）,他们强调的是平衡数据的流动和安全；在美国，是以市场为主导，行业监管资质为主，制定了《加州消费者隐私法》(CPPA)满足隐私和数据治理的要求；中国是强监管保障安全，比如发布《数据安全法》《个人隐私保护法》等。

默安科技副总裁沈锡镛

数据安全是一方面，回顾过去，可以发现企业在每个阶段都对安全提出了不同的需求。据默安科技副总裁沈锡镛总结：

第一个阶段：互联网起飞之前，基本上还是以合规驱动；

第二个阶段所有的需求基本上都来自于互联网场景，公司开始自己招聘安全技术人员，保障自己的互联网业务不受损。

第三个阶段，进入产业互联网阶段，各行各业进入数字化转型。互联网技术开始向各行各业蔓延，企业真正意识到纯靠一些防护性的安全产品，没有办法跟上技术迭代所带来的问题。安全要开始紧跟it基础设施跟业务，走向源头走向整个数字生态的全流程。

贾良玉告诉雷峰网：“要想发挥数字经济的巨大作用，要在全球范围内遵循共同的数字安全原则。例如中国提出了《全球数据安全倡议书》，联合国也提出《全球数字契约》，希望大家融合起来一起建设一个多边普惠安全开放、公平合作、自由共享，有序发展的网络空间命运共同体。”

二、安全问题阻碍了数字化转型？

在信息化和数字化的背后，网络安全的概念也几经变化，变成了完全不同范畴的模样。最早的网络安全概念是指network security，也就是网络的安全的意思。近些年我们所提到的网络安全，更多的是指网络空间安全，从认知上它是复杂的，监管者关注的是合规的问题，管理者关注的是责任的问题，对于大部分工程师来说关注的是技术问题。

Gartner在报告中指出，数字业务的发展速度比传统业务要快得多，因此，为实现最大限度的控制而设计的传统安全方法将不再适用于数字创新的新时代需求。

因此近几年兴起云原生安全、零信任安全、供应链安全等。其实没有任何一种安全手段能够100%的保证完全的安全。安全问题仍旧是企业迈向数字化转型途中最令人担忧的问题。 

IDC公司也曾经调查发现，高达71% 的高管认为对网络安全的担忧正在阻碍其组织内的创新。2017年，WannaCry勒索病毒的影响，至今犹如眼前，150个国家，超过50万设备被感染，在全球造成约100亿美元的经济损失。

即便现在，数字化转型项目经常会因为引入安全过晚，或压根没有引入安全等问题而被迫叫停。事实表明：很多企业高管担心他们的数字化转型工作会因安全团队的干预而受到阻碍或限制。

但是随着数据泄露、恶意软件和漏洞数量的急剧增长，让人们意识到缺乏安全的数字化转型将致使企业面临更大的安全风险。 

雷峰网在与许多安全企业管理者对话的过程中发现，目前很多企业在这几年的市场教育下，已经逐渐意识到网络安全问题的重要性。

同时，国家也开始下功夫，重新修订一些法律法规，比如按照《网络安全法》，以前对企业罚款从最高100万，现在提高到5000万或上一年度营业额的5%，对直接负责的主管人员从最高10万元提高到100万元。这迫使企业不得不把安全做在前头。

贾良玉告诉雷峰网，在企业数字化转型的过程中，对于企业来说，第一，要做到合规；第二企业内生的安全需求，也就说业务的安全需求本身。

当意识问题得到解决之后，企业在进行安全建设时候，安全资源不足的问题又被摆出来了。

首先是，大多数企业普遍缺乏安全专业人才；其次，大多数企业运行的仍然是依赖传统安全技术的复杂网络，一来无法防御外部风险，二来，内部员工可以访问工作信息，内鬼泄漏数据的风险增加；另外企业还要平衡业务和安全的关系，在企业发展的不同阶段，对安全的需求也不一样。 

总的来看，企业在数字化转型的过程中，面临的最重要的三大安全问题就是数据篡改，数据泄露以及业务中断。

那么到底怎么解决呢？

三、生态合作是企业安全问题的解药

随着产业数字化与数字产业化所带来的场景和需求日益复杂和深化，即使是巨头型的供应商,也都将无法满足客户全部需求,生态合作是通向未来的唯一选择。

在国家层面，安全体现了自上而下的整体意志。2018年以来，网络安全和数据安全相关的法律法规陆续出台完善，为企业安全合规经营“划出了红线”。守法合规，成为数字化发展前提。

在产业层面，安全是产业数字化发展的大前提。安全风险隐藏在企业内部的业务流，也可能潜伏在供应链企业的每一个敞口。

在企业层面，安全是持续创新和企业责任的基础。数据带来巨大价值的同时，也带来了责任。用户把隐私数据放到平台并给予信任，企业也必须承担起数据保护的责任。

过去网络安全保障的特点是准备好安全能力然后去保护企业。但是现在安全能力跟数字化业务挂钩，逐渐形成了一种相伴相生的关系。沈锡镛告诉雷峰网：“只要有数字化业务的场景，天然的就会从一开始考虑一些安全威胁和风险。”

以软件供应链安全问题举例来说，安全在整个数字生态中牵一发而动全身。就像在文章开头提到的，未来数字化是软件驱动的，这就涉及到很多开源组件的安全问题。

去年11月，全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞，其破坏力惊人，漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。据外媒报道，漏洞发现以来，Steam、苹果的云服务受到了影响，推特和亚马逊也遭受了攻击，元宇宙概念游戏“Minecraft我的世界”数十万用户被入侵。

根据Gartner的相关统计，到 2025年，30%的关键信息基础设施组织将遇到安全漏洞，这将会导致关键信息基础设施运营停止或关键型网络物理系统停止。

沈锡镛表示：“软件供应链跟业务中断强相关，这是以前的网络安全所不曾涉及到的，原来网络安全只有一个场景跟终端相关，就是DDoS，这是为什么软件供应链安全这么重要的原因。” 

举例来说，传统的车企原来不需要考虑数据安全的问题，对着数字化的发展，每辆车都开始记录更多消费者的数据，而黑客也开始惦记这部分数据，但是攻击面并不是来自于数据本身，黑客更多是从软件层面发现漏洞进行攻击。

华云安副总裁马维士

华云安副总裁马维士也告诉雷峰网，传统的网络安全都是一种被动的防御体系，已经不能应对新形势下的安全威胁。现在随着数字化转型的深入，以及一些区块链、云计算的等新技术的发展，隐蔽的攻击越来越多，这就要求安全公司能够针对数字化的特点，帮助企业解决一些隐蔽的安全问题，给企业提供整个安全防护。未来数字化的安全防御体系，一定是主动防御和被动防御相结合，具备基本的攻防能力。 

未来，数字生态仍会飞速发展，加强网络安全建设依然任重道远。

任何一家单独的企业都无法完成整个生态链上的安全建设。那么安全厂商应该如何助力数字生态的建设？

马维士表示：“作为安全厂商，要做好自己的定位，我们是作为一个服务者的角度，真正的服务于企业，服务于用户，保障他们业务能够健康的运行。”

安全实则是整个底层基础架构的一部分，服务于整个数字生态上层的业务，并不会直接参与到某个数字生态很具体的业务里头去，它是服务者的角色，做好安全则会促进整个数字生态的发展。

沈锡镛认为，在生态建设和合作上，应明确企业自身的技术能力边界，有所为而有所不为，不求大而全，而求"专精特新”借助生态的力量，才能更好地服务客户，数字生态才能更健康地可持续发展。

就在两个月前，美国NSA下属的特定入侵行动办公室（TAO）发起的针对我国国防高校西北工业大学的特定高持续性威胁攻击活动被曝光，引爆了全球舆论。

据统计，全球发现的APT组织超过150个，分布在美国、以色列等国。过去几年，有50个其他背景的黑客组织，对中国的国家级网络进行了数千次攻击。他们攻击领域广泛、规模庞大，攻击目标多样，全域覆盖，攻击技术先进，手法复杂。被动的病毒对抗、保密对抗、恶意代码对抗、安全风险对抗，已无法遏制和威慑APT组织的攻击态势。

在这样的背景下，或许下一个WannaCry随时会出现，对于大多数企业来说，依靠现有的安全体系可能真的防不住APT攻击，不少企业面对入侵攻击、勒索病毒毫无招架之力。

一、传统的终端安全策略“防不住”

2014年，赛门铁克高级副总裁布莱恩·戴伊（Brian Dye）提出了“杀毒软件已死”这一观点。这一观点是否严谨，我们先不讨论，但是可以说明一点问题，那就是终端安全光靠“杀毒”防不住了。

在当今互联网时代以及全球疫情影响之下，接入互联网的终端越来越多，笔记本电脑、手机、平板、移动设备、服务器等，任何连接到网络的终端都暴露在风险之下。

正所谓“千里之堤溃于蚁穴”，看似不起眼的终端安全俨然就是整个企业安全“千里大堤”上的蚁穴。

传统的被动病毒检测技术依赖于特征库的方式进行防御，将文件与已知的“恶意”文件数据库进行比较，当找到匹配项时，该文件则被识别为威胁。

但随着互联网和云计算等技术广泛应用于企业中，企业终端管理的复杂程度也随之上升；而多云时代的来临进一步加剧了企业终端的混乱度。毫无疑问，这给企业安全防御带来了巨大的挑战。

这时，EPP的出现一定程度上解决了传统杀毒软件的弱项。不止通过特征库的方式，还通过云端的协同分析，以及威胁情报能力，EPP能够抵御更多的已知威胁。但是，对于高级威胁，比如0day漏洞、无文件攻击，或者有预谋、有计划、有目标地APT攻击，这种针对整个IT环境下多个端点一环接一环的攻击，EPP关联防护能力显然不足。

因此，要想降低病毒的“造访”，我们不仅要时刻“巡逻”端点，预防威胁隐患藏匿其中，还要在威胁来临之前做出快速响应，立即预警，甚至找到攻击源头，通过安全闭环把病毒扼杀在摇篮之中，从根本上保护我们的终端安全。EDR也就应运而生。

EDR，即端点检测和响应，是一种主动式端点安全解决方案，被称为终端安全界新晋网红。为什么EDR能够如此火？

一方面，相比以前传统被动的终端安全防护策略，EDR不仅仅通过“特征”进行“预防”，更依靠“行为”进行“检测”，并且进行“响应”。同时，EDR不再只是着眼于单个终端的防御，而是能够对各个终端上事件的关联分析，还原整个攻击的流程，描绘出攻击事件的全貌，这在当下愈演愈烈的APT攻击中，尤为重要。

另一方面，国家相关的合规政策中也对终端安全提出了更加细致的需求，例如“等保2.0”中对企业各类终端的风险进行预警和防范的要求，以及对分散在各处的终端设备进行集中管理和审计的要求。

不论是针对合规的需求，还是市场的需求，都让EDR成为现阶段企业抵御复杂的恶意软件和防不胜防的零日威胁以及APT攻击的第一道防线。

因此，国内很多安全厂商通过EDR等新产品切入终端安全市场，原有终端安全厂商还有其他综合性的数字安全公司不断利用自身固有优势推出新的EDR产品。面对市场上繁多的EDR产品，企业选择合适的端点保护方案并不容易。

二、17年打磨，EDR 的“先行者”

究竟具备什么样能力的EDR产品方案，才能为用户所需要呢？这也是360一直以来思考的问题。

积攒了17年的技术和能力，360终于打开了潘多拉的魔盒。

我们可以先看一组数据，前不久，业内知名调研机构赛迪顾问发布了《中国终端安全检测与响应产品市场研究报告（2022）》（以下简称“报告”），从市场份额上来看，360数字安全以10.8%的市占率，排名第一位。

360能够在这个“卷生卷死”的数字安全市场突出重围，其实并不意外。在安全行业两个能力最重要，一个就是技术积累，另一个人才。而这两个能力，360都具备。

熟悉360的人都知道，杀毒算是360的“看家本领”。2005年奇虎360公司成立，瞄准杀毒市场，次年推出360安全卫士，2008年又推出360杀毒，并宣布永久免费，一时间声名鹊起，用户过亿，打破杀软市场格局。

可以说，在终端安全的市场，360是一个有着17年终端安全攻防对抗经验的老兵。所以，提到EDR恐怕鲜少有企业比360更早了。而360做EDR的契机还要追溯到2009年开发“360云主防”那段日子。360云主防全称叫做奇虎360基于云计算的智能行为主动防御系统，也就是在360安全卫士右下角托盘右键中可以点出的“木马防火墙”功能，而360杀毒中也整合了360云主防功能。

据360集团副总裁、首席科学家潘剑锋回忆，以前个人端用户去做杀毒扫描，用的是落后的特征库，这种检测是滞后的也是被动的。可能早期也有一些厂家为用户提供主动防御能力，但是效果甚微。当时的技术水平不足以判断一个事件是否是恶意的，所以对于用户来说，早期的主动防御就是弹弹弹......无尽的、难以理解的弹窗。

它的原理是所有终端代理会收集到所有的事件，这些事件向云端进行相应的查询和分析，传统的主防这一步就过了，分析后返回结果，进行一些判定。但360当时多做了一步，把这些脱敏的安全大数据存储下来，又进行了相应的分析，得益于360一套强大的自动化流程和相当数量的安全专家，后期面对B端产品上，在提升产品能力上得到了不小的助力。

360是最早实践“主动防御”这一理念的，这正是360EDR的雏形。这种主动防御利用安全大数据主动去威胁狩猎、追踪溯源的理念，是一种革命性的变化，不过当时还没有EDR这一概念。

基于以上积累的360云主防解决了弹窗干扰用户难题，并能实现早期的主动防御功能要求。同时，还进一步发现了50个APT组织。“我的工作机器上也装了360企业版，在正常情况下它一天几乎没有弹框，”潘剑锋说。“我们是最早去执行这套理念，但是，并没有把它像Gartner那样抽象出来、提炼出来。”

现在，360终端安全产品已经从终端防病毒软件到终端防护平台（EPP），一直过渡到现在的终端安全检测与响应（EDR），360走的每一步可谓是“踏实”。

三、洞察用户需求，成为“领导者”

随着5G、云计算、大数据和人工智能等技术不断发展，数字业务环境日趋复杂，数字安全技术挑战也逐渐升级。

潘剑锋告诉雷峰网：“不同于过往对于已知安全风险的预防和处置，目前客户对于终端安全的需求更多集中于对未知风险、高级威胁的监测与防范，这对安全厂商的安全数据储备、安全技术分析、安全人才建设等综合能力提出了全新挑战。”

而恰恰这是360的强项。其中赛迪顾问发布的《报告》中也提到，360拥有十多年终端安全的实战经验，以核晶引擎、QVM引擎等创新安全技术为基础，精准全面采集近百种安全行为事件以及相关文件安全属性，不仅有效对抗APT绕过攻击，同时提升数据检测能力和安全运营分析效果。同时，360具备数万终端和上亿数据的实时分析能力，结合360发现过的多个APT组织情报和数亿终端防护经验，可快速发现各种攻击痕迹，包括内存攻击、网络攻击、系统攻击、漏洞利用、横向渗透等多个场景。在深厚技术积累的基础之上，充分利用在数据、情报和专家团队方面的优势，360EDR没有墨守成规，而是在参考国际EDR标准、完整覆盖采集、检测、响应、预防四个阶段。并依托360数据安全大脑的情报赋能以及云地一体化架构，向SaaS化和智能化方向演进。

360俨然已经成为终端安全产品的引领者，具体来看360EDR已经具备了以下几种能力：

首先，在安全数据存储及处理能力上。360很早就建立了安全大数据平台，并基于17年实战经验，360已汇集了超300亿程序文件样本，22万亿安全日志、90亿域名信息、2EB 以上的安全大数据，可瞬间调用超过百万颗CPU参与计算、检索和关联多维度威胁数据。360的Netlab 专门对DNS类的情报进行生产因此360 EDR能够实时同步全球威胁，持续增强对APT攻击的检测和感知能力。

其次，具备全面专业的安全分析能力。“看见威胁”是终端防御的前提，而威胁检测能力的高低，直接影响“看见”的能力。360 EDR通过各种检测分析技术，对海量多异构数据进行分析，同时结合全网APT情报，确保了各类威胁全面可视。这种威胁监测的能力是通过服务全国上几亿用户和百万主机得来的，因此360拥有了“运营商”级别的分析能力。

最后是人，也就是安全专家团队。攻防对抗的本质就是人的对抗。至今为止，360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞超3000个，获得微软、谷歌史上最高漏洞奖励，斩获中国首个“Pwnie Awards”黑客奥斯卡奖，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。基于最新漏洞、APT等各种攻击方式，机器学习和大数据自动化关联分析固然必不可少，但对收集到的数据集进行人工分析和解释也十分重要，通过安全专家的经验加持，进行实时和持续的追踪分析，最大化360EDR产品价值。

具备了一系列技术积累和产品能力后，还要有一双善于发现问题的眼睛。

比如，在某大型制造商的一个项目，360洞察到该企业内部的业务服务器，所承载的数据及服务的非常重要，因此成为了网络攻击的核心目标。该公司针对服务器主机的安全防护，采用的是传统防御方式，整体防御效果不足，一方面缺乏安全大数据技术支撑，“看见威胁“的能力严重受限；另一方面无法掌握主机系统的实时安全状态，无法实现完整的攻击溯源；另外还缺少自动化的威胁联动处置能力，难以最大化压缩攻击者的攻击时间。

针对以上问题，360EDR客户端程序分别部署在该企业的下属分支机构的服务器、生产服务器上及公有云服务器上，实时监控主机侧的恶意行为。对于APT攻击在内的高级网络攻击，安全分析人员可以基于360EDR所绘制的攻击链路图以及ATT&CK技战术图谱，结合EDR客户端上报的完整事件日志，可以实现全面威胁狩猎，发现潜在攻击行为。在响应处置方面，360EDR与安全运营平台的SOAR能力结合，基于预案编排实现威胁自动化处置，大大缩短MTTR时间，从而实现对全网主机事件的事前监测、事中评估和事后处理，让安全可见、可知、可控，成功构建面向主机的检测-分析-溯源-响应闭环运营体系。

由此可见360数字安全集团能够在EDR市场上突出重围绝不是偶然，在产品和技术实力，360拥有较为深厚的基础并经过长年的实践检验，能深刻洞察用户需求，并已拥有丰富的成功经验，这是基础。另一方面，基于360多年在安全行业的品牌积累，并多次参与国家级安全事件和分析和防御，还有安全大数据和技术积累，都提高了客户和行业对于360以及旗下产品的认可。最后，在商业模式方面，360拥有相对完善的渠道建设、更多直客资源，对产品销售、市场扩张更为有利，且目前360的轻量级EDR产品已经开始以SaaS化服务形式面向全行业客户输出。

四、从EDR到XDR，360扮演什么角色

目前国内EDR市场还处于起步阶段，终端安全市场仍然以被动防御为主，正在向主动防御阶段过渡。在这一阶段到底什么是真正的EDR，众说纷纭。就在EDR这个故事还没讲完的时候，Gartner在2020年提出了XDR扩展检测响应的概念，而业内确实有不少人也开始做XDR产品。

这里打个不恰当的比喻，比如一个导弹，假设EDR是它的发动机，NDR是它的导航模块，如果发动机好，导航模块好，导弹就能非常精准的集中目标，这才是一个好的XDR。但如果发动机不行，或者是导航模块不行，把它凑在一起，肯定也不行。潘剑锋指出，“XDR需要在EDR的基础上扩展”这种观点我是很赞同的，我认为XDR和EDR不是矛盾或进阶，它可以是EDR的丰富，这是并行进展的两条线。EDR、NDR都发展了，合起来XDR才有更好的效果。

因此，360选择了一条SaaS化和智能化的EDR之路，把EDR做到最好。360认为未来EDR发展的两大关键词是：SaaS化和智能化。通过SaaS化提供云EDR的能力，同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端，实现终端和云端的实时交互。

在Gartner与360联合发布的《数字时代EDR技术发展趋势》白皮书中，也指出整合云端能力和终端资源以 SaaS 化的形式面向不同规模的客户提供服务将成为未来EDR发展的重要方向。并把EDR能力成熟度模型定义为4个等级，初级是EPP、中级是具备有限的EDR、高级是满足Gartner定义的标准化EDR规范要求、特级是SaaS化和智能化的EDR。

潘剑锋表示：“目前360EDR已经进化到特级阶段。”

这种“云端SaaS轻量级”EDR部署模式，天然具备的低成本、高效率、易部署等优势。其次，针对高级威胁的事件检测和溯源能力也将被大幅提升，并且这种能力是持续的，还能进行自我快速修正和迭代。此外，云端能力还可下沉到本地网络，实现自运营的EDR管理能力。因此，SaaS化的EDR也将成为未来终端最有效的防护方式之一。

另外，从国外市场来看，云化EDR逐渐成为主流的趋势。以CrowdStrike为代表的EDR厂商在EDR SaaS上发现了大量的市场需求。EDR SaaS可以借助厂商在云端的能力，得到更多的计算分析能力，同时可以借助云端专家和威胁情报的能力，进一步提升安全分析能力。

这一次，SaaS 化智能化的360EDR走在了前面。360是国内最先开始涉足这个方向的安全厂商，并打造了基于“云地双栈EDR”的整体安全解决方案。

尽管说国内不少企业和机关单位对公有云依然保持怀疑态度，但是行业云的发展可以弥补公有云在这些机构中的乏力。因此，行业云、政务云是EDR SaaS未来的巨大市场。一旦相关的行业云、政务云的供应商意识到了EDR SaaS能够给行业内企业带来的巨大安全价值，EDR SaaS的落地也自然水到渠成。

据介绍，360EDR未来还会整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出，增强内网端点威胁防御以及威胁对抗能力，保障各类生产和办公业务平稳持续运行。

360作为EDR的先行者、领导者，一直踩在终端安全守护的脉搏上，面对当前威胁形势的不断发展，勒索软件和其他高级持续威胁攻击，EDR也不是新瓶装旧酒，只有能真正对抗APT攻击的EDR才能抵御风险，因此企业部署正确的EDR解决方案比以往任何时候都来得重要。（雷峰网）

赵伟13岁开始混迹于国际黑客圈，代号“ICBM”，从事系统漏洞分析工作。2006年他进入世界顶级安全实验室McAfee，从事Web安全技术研究,被奉为信息安全界的武林秘籍《黑客大曝光》就是赵伟所在的小组完成的。

但是赵伟并没有留恋这份月薪8000美金的工作，毅然决然回国创立了知道创宇。在一次XCON大会上赵伟遇到了另外一位知道创宇创始人杨冀龙，知道创宇还有很多牛人包括黑哥（周景平）、潘少华、还有已经离开的余弦等，他们秉承着“为国为民”的宗旨，开启了知道创宇的安全坚守之路。

（知道创宇创始人 CEO：ICBM 赵伟）

想真正保护用户，解决网络安全问题

是我们纵容了“不安全”吗？10多年前的互联网，还属于无序竞争的蛮荒时代，彼时流氓软件横行，网页常被挂马，软件捆绑“全家桶”等。这些到底是谁造成的？是人还是时代？

赵伟告诉雷峰网：“当时父母的电脑桌面上屏幕上满满的各种插件以及工具，根本没法用。”

在赵伟看来，安全是用来保护用户的，而流氓软件的目的是为了挣钱，正是哪些无动于衷的人才导致流氓软件肆虐。

有些公司确实能做些什么，最后为了一些蝇头小利给流氓软件开了道，最后被时代淘汰，或许一点儿也不冤。

赵伟想做的就是真正能够保护用户。2008年，知道创宇推出第一款产品“365门神”，这是联合中国反流氓软件联盟一起做的一款PC客户端安全软件。这款软件在网民浏览网页及使用搜索引擎时能对挂马网站和钓鱼网站给予警告并拦截，获得网友一致好评。

365门神是全球第一个用Python的安全类产品，还采用了当年比较超前的云防御体系，前端插件只负责执行保护措施，采集网页信息—分析安全性—判断并记录病毒、木马样本这一系列工作都由其后端系统完成。为了识别哪些网站被植入木马和恶意代码，知道创宇的这群人把全球的网络都检测一遍，并对照200多个指标给他进行打分排名，因此形成了一个庞大的样本库，这吸引了微软和一波国外安全公司的订单。

赵伟也没想到，前端插件被竞争对手挫骨扬灰，但后端采集的恶意网页和挂马样本却成了互联网安全行业的香饽饽。不可置否知道创宇是幸运的。

在交谈中，赵伟谈到，我们还能活着且欣欣向荣，真是谢天谢地，幸亏我们心态比较好。

虽然365门神没能做下去，但也不算没有收获，至少有了订单让公司活了下来。当时赵伟就想，客户端安全做不下去，那就做web扫描器，面向云服务和SaaS层。因为他们发现云要做起来的话，生产厂商可以自己搞定安全，操作系统厂商也可以自己搞定安全，pass厂商同样也能搞定，但是SaaS层是客户自己开发的，漏洞会很多，所以调转船头做Web扫描，也就是WebSOC ，这一产品可以对网站进行立体监控。

源于想解决网络安全问题的初衷，做了很多任性的事情，比如坚持做公益性的社会活动。

赵伟说，“流氓软件能起来，是因为大家缺少安全能力。”他不想成为那些无动于衷的人。因此牵头成立了“安全联盟”，对抗网络坑蒙拐骗。

安全联盟主要是交换威胁情报，然后再把威胁情报发给大家，大家一起抵制坑蒙拐骗。其中使用这些威胁情报的不乏小米、华为、腾讯、百度等大厂，但安全联盟打击‘黄’‘赌’‘毒’‘坑’‘蒙’‘拐’‘骗’‘偷’，也断了某些人的财路，得罪了黑产。

赵伟感叹：“做公益活动惹黑产，但这就是我们的初衷啊。”

还好正义没有缺席。2018年初，“安全联盟”被CCTV2评为大国重器，而当时被评为“大国重器”的还有导弹以及航空母舰，国家已经把网络安全提到了何等重要的程度。

关于情怀，关于热爱

情怀伴随着热爱，但热爱的目标指向哪里，却通向了完全不同的路径。我们常赞美一个人，“他是一个有情怀的企业家”，也会同时说相反的话“情怀不能当饭吃”，足以看出关于情怀一词的悖论。

“有时候，我们会被自己的理念和想法绑架，但我们确实不想当无动于衷的人，所以就想实打实的把这个理念践行下去，”赵伟如是说。

行业内有理想有情怀的大有人在，真正为了用户需求做事的凤毛麟角，大多都是“拿钱做事”，极少有“做事拿钱”的人。知道创宇算是极少数的一个。

而有些事情做了就做了，比如开源。突破关键技术不是关起门来搞创新，而是要在开放创新中让全球创新资源“为我所用”。

赵伟认为只有我们给开源的安全社区有贡献，别人才会给我们贡献idea。因此，2020年知道创宇404实验室开启一项计划，通过开源或者开放的方式，推进设计安全研究各个领域不同环节的工具化，将立足于不同安全领域、不同安全环节的研究人员链接起来。

其中不仅限于突破安全壁垒的大型工具，也会包括涉及到优化日常使用体验的各种小工具，除了404本身的工具开放以外，也会不断收集安全研究、渗透测试过程中的痛点，以改善安全圈内工具庞杂、水平层次不齐、开源无人维护的多种问题，营造一个更好更开放的安全工具促进与交流的技术氛围。

赵伟说：“我们做事情的目的是解决网络安全的大问题，不只是什么挣钱干什么。”作为一个企业家，他确实做到了。

知道创宇的ZoomEye（钟馗之眼）是中国唯一一个进入世界开源情报（OSINT）检索工具榜单，甚至可以与被称为“互联网上最可怕的搜索引擎”Shodan相媲美，用户通过它可以浏览其数据库以查找连接到互联网的设备，例如路由器、物联网（IoT）设备、监视器等。而一些机构测评出ZoomEye的受欢迎程度甚至一度高过Shodan。

ZoomEye 还拥有两大探测引擎：Xmap 和 Wmap，通过持续性的探测、识别，可有效标识出互联网设备及网站所使用的服务及组件。研究人员可以通过 ZoomEye 方便地了解网络资产分布情况及漏洞的危害范围等信息。比如，以前面对APT攻击，一般的方式是见招拆招，而ZoomEye可以通过对其特征的分析从抓一个“小毛贼”到可以抓一窝“小毛贼”。

赵伟认为安全靠公司不行，得靠整个社区，把人的力量集合起来，才能更好的守护安全。所以知道创宇做了社区，除了上述的社区、工具，有一个比知道创宇成立还早的社区那就是seebug漏洞社区平台，原名Sebug，于2006年就已经上线，是国内最早、最权威的漏洞库之一。

一个企业的气质很大程度上取决于其创始人的气质。

赵伟是一个好奇心极其强的人，且从来不会循规蹈矩。小时候因为问题太多令母亲买了《十万个为什么》，不知出于什么心理竟然全部“背”了下来，别人迷恋打游戏，他却热衷于帮助同学破解游戏简单通关；后来又喜欢计算机，很多书都是“背”的方式读的，甚至将DOS系统的两百多个命令背了下来进行研究，真真是个奇人。

这也就能合理的解释，为什么赵伟大学时期读《道德经》、研究佛教。知道创宇这个名字也因此颇有一番哲学智慧。

《心经》写道：“色不异空，空不异色”，色，是有颜色、有形状态的物质现象，是呈现在我们面前的万事万物；空，是空性，不是什么都没有的一潭死水式的断灭空、顽空，而是指所有事物都是各种因缘和合而生起，不能离开其他事物独立存在的空性。老子说：“阴阳对立统一相互转化”，王阳明说：“知行合一”，赵伟对此深以为然。

“知道”就是脑海中明白这个道理，“创”就是创造，“知道”和“创造”要合二为一，知道创宇这个名字就是由此而来。

赵伟坦言，我们并不想出名，我们只是想把自己的事做好，把客户保护好。

情怀不能当饭吃，如果情怀指向理想自我，风险就会比较大；如果情怀指向需求，是可以当饭吃的。以现在知道创宇的成绩来看，这碗饭捧的还是蛮香的。

“战斗士”赵伟心中的净土

细数网络安全行业发展的这些年，经历的每一次内卷都足以重塑行业格局。第一次内卷，是早期传统安全公司“卷销售”，卖硬件盒子传统老三样，企业买了之后10个有9个落灰，真正的攻击是全方位的光靠盒子根本防不住；第二次内卷，是商业模式的内卷，免费与收费之争，又卷死一波杀毒公司；第三次内卷，互联网大厂下场又把安全卷了一圈，把安全的成本包括人才成本又提高一截。

赵伟也卷不动了，再卷下去迟早都得变成炮灰。2012年，知道创宇接受了腾讯投资。

要说知道创宇一路走来有至暗时刻也有高光时刻，而赵伟就像一个“战斗士”，一路披荆斩棘，不仅要“冲锋陷阵”还要保护队友，就是为了能在卷生卷死的网络安全世界活下来。

一直以来，他都特别拼命，就为了拿到单子，用这些项目养活团队。2009年的时候，公司账户已经分文没有了，他不敢告诉员工，自己四处找朋友借钱，怕招来的技术大牛跑掉，自己多年的心血付之一炬。

赵伟对于安全的看法是超前的，但太超前了就难以被接受。“你只能领先行业半步，领先一步就会死，何况我们当时领先了五步。”

在其他公司招成百上千个销售的时候，知道创宇只有几个销售，现在团队已经发展到1800人，真正的销售也就几十人，软件即服务的SaaS形式，是知道创宇不变的追求。

在网络世界，黑客来自于世界各地不受地域限制，攻击也是全方位的。赵伟认为，只有云管边端全方位的防护，才能保护用户的安全，而这也意味着要不断投入巨资，才能做出一流的产品。所以知道创宇的前几年过的并不容易，但是在赵伟的心中一直都有一方净土或者说梦想。

当人为了生存而拼命向前奔跑的时候，根本无暇顾及心中那埋藏已久的悸动。在很小的时候，赵伟心中就埋下了两颗理想的种子，第一，做自己的漏洞测试平台；第二，做中国人的纯技术的黑客分享大会。

2012年在拿到了腾讯的投资后，赵伟实现了年少时的梦想，举办了第一届 KCon黑客大会，今年正好是十一周年。“其他的安全商业大会，去演讲我们还得给人家交钱，但是 KCon是给别人钱，只要你的方案通过，参会的花销都由知道创宇提供，可以说很任性了”。

KCon至今仍是特别纯粹的技术分享会，细细观察，不难发现， KCon 的 K字，就是赵伟的 ID：ICBM的前俩个字母IC。

KCon就像是IC少年的理想、青年的纯粹、中年的责任， 这片净土是理想也是责任。

尾声

技术人员创业认为技术是天，当然也是对的，技术进步才是社会发展的原动力。很多年前，有人告诫赵伟，SaaS安全虽然用户体验很好，但对创宇来说，这样投入太大了、太重了。

就像云计算基础设施前期需要巨大的投入一样，云安全确实也是一个需要大投入的技术，在赵伟看来，云技术是最适合做安全的一种体系架构，这种SaaS化的云服务，是最好的保障用户的方式。

“我们就想把事情做好，而不是什么轻，只看什么挣钱做什么，我们的梦想是把安全的网络给到用户。”

随着数字经济的发展，让企业所有的数据分别聚集在“云、管、边、端、网”里，不论是资源和业务系统都在云上面，只有用云技术来防护云业务，才是真正的云安全。

然而做云安全、云服务，需要买很多云资源，比如你的流量是100兆，不整1个G怎么防御，别人100兆就打死了，路一定得宽，这就是烧钱的原因。

一位赵伟的朋友说，都快累死了，还给自己背这么大的压力。以往，黑客就像互联网里面神一般的存在，想入侵谁都行，掌握着生杀予夺的权利。大侠当的好好的，非要给人家看家护院。赵伟说，我也没想明白，但是我知道自己不想当无动于衷的人。

“不忘初心，为国为民”，知道创宇有这样一帮人，我更不想辜负他们这群人非常宝贵且脆弱的情怀。如果再来一次，一定还会这样选择......

（雷峰网）

雷峰网获悉，李晨在绿盟工作接近十五年。从刚进入绿盟成为产品经理，33岁被任命为绿盟科技集团产品副总裁，35岁被任命为绿盟科技集团营销副总裁。

据了解，他先后负责漏洞扫描器类产品及云计算安全、大数据分析平台等产品的产品管理工作，之后负责解决方案的创新及推广、全国售前团队管理及全局市场营销工作。在工作中取得了不俗的成绩，可以说既是技术全面手、又是实战派，也担任众多相关社会职务，是网络安全企业中较为全面的中坚力量。

此时安天将李晨纳入麾下，有何用意？

其实，从相关报道来看，安天近两年频繁引入行业知名人才，在2022年又调整组织架构，不难看出，安天是要打造出自己的一套强有力的市场营销体系，这两年安天更加强调对网络安全市场和技术趋势快速产品化的中场能力。

李晨选择在此时入职，且出任负责大中场体系的高级副总裁，定位在有效连接前场与后场，锚定安天原有安全产品和能力的策略，兼顾对行业市场业务的快速落地。

根据资料，虽然近年来经济增长持续低迷，但安天在3年的时间里，已先后完成B轮和C轮融资，总和近19亿人民币，众多国有资本领投，去年在行业第三方调研中排在拟上市企业“领头羊”的位置，在综合厂商中排名20左右。

随着云计算的发展，越来越多的企业开始将业务搬上云端。云时代下，黑客、黑产上云的速度比企业还要快，他们使用先进的技术，这种新型的技术威力更大，破坏更强，因而传统的安全方法正在变得低效。

未来，安全领域博弈的关键点或许就在云安全上。

谈到云安全，那么云上安全防护的究竟关键是什么？面对当前私有云、混合云、公有云等多云融合发展的形势下，云上安全究竟要怎么防护？而应对云环境中云服务器、虚拟主机、网络中等安全威胁，我们行业内能给出什么样解决方案？

在11月8日的腾讯云安全2022年度产品发布会上，腾讯安全重磅发布腾讯云安全中心，三道安全防线——腾讯云防火墙、腾讯云WAF、腾讯云主机安全也带来了重磅升级的功能，为企业打造“ 3+1 ”一体化安全防护体系。

关于此次产品发布会，雷峰网和行业相关媒体与腾讯安全副总经理、云原生安全产品负责人董文辉，腾讯安全副总经理、云原生安全的研发负责人龙海等人进行了深入的交流。 

降低门槛，安全极简

腾讯云安全中心是腾讯云上安全的门户，这次发布会腾讯云安全尤其强调其腾讯云安全中心“一键开启安全防护”的能力。

在董文辉看来，化繁为简，主要是想降低用户理解和使用的门槛。“安全包括八大类，50多个子类，即便是专业安全人员追概念也不见得能跟上，云安全中心就是为了实现给用户“看病”“治病”的能力。”

那么腾讯云安全中心是如何看病治病的？

据介绍，腾讯云安全中心把安全问题简化成三个步骤：

第一看病，查看自身资产情况，风险在哪里？以及的处置。

第二治病，进行风险预防，低成本的实现“治病”，帮助客户建立安全防护体系，进行风险攻击溯源，做好预防。

第三治病后，进行攻击告警，攻击发生后，一站式管理的界面，企业的安全团队不需要做各种复杂的配置和检查，依托云安全中心就可以解决大部分的安全问题，大大提升安全运营的效率。

相当于腾讯安全中心把资产中心、风险中心、告警中心集合于一体，实现一键开启防护、一键实现体检、一键处置告警中心。

据董文辉所述，我们先要做到“看病”，然后再来“治病”。“看病”的能力上，又分为几块：第一块就是在传统的漏洞扫描的能力，其中包含两个部分，一个是外围的网络侧的扫描，和内部的主机安全侧的扫描和容器安全侧的扫描。第二个能力就是云上的安全配置检查，可能还会有一些合规的能力，对于用户来说不需要了解那么多，只要用腾讯云安全中心做体检就好了。

董文辉指出，这款产品面向的不仅是中小客户，大客户同时也会受益，在安全团队做用户调研之后，发现简单轻量化的方案更加适合用户，相比传统安全厂商单一没有联动的解决方案，腾讯安全把安全相关的产品能力做到有机地整合，可能两两之间组成网状的结构，多个产品之间组成门户的结构。

未来，面对中小客户安全人员技术能力不足的问题，腾讯安全还会把托管服务集成在腾讯安全中心，并对腾讯多项安全能力进行整合，例如DevSecOps的能力等。

“三大防线”保障云上安全的关键

在当前，多云融合环境下，安全防护也变得更加复杂。 

当问及在不同的云场景下，腾讯是如何给用户提供安全防护方案的？董文辉告诉雷峰网：“我们的定位很明确，云的用户到哪里，安全就必然会到哪里。”

对于腾讯云的公有云客户，云的租户在哪里，腾讯云安全就在哪里，腾讯云安全的方案主要为腾讯云的客户所设计，这便是云原生安全。 

对于混合云多云架构的客户，一些用户可能一部分业务在腾讯云上面，还有一部分是在传统的IDC里面，在IDC里面腾讯云会布一套机柜进去，同时集合安全能力。尤其一些出海的客户，很多时候都会跨腾讯云、阿里云、华为云，或者AWS等，腾讯的WAF和主机安全，和容器安全则可以做到跨云管理。

面对私有云客户，腾讯在发挥自己本身客群量级大积累经验多的的优势之外，结合生态厂商的交付能力，优势互补。

据介绍，腾讯云安全中心三大关键防线主要是云防火墙、web应用防火墙、主机安全容器安全。

其实也不难理解，为什么这三道防线至关重要，在云上，云服务器、虚拟主机以及网络中安全威胁无处不在。

随着云的边界的不断扩展，专线、混合云、SD-WAN成为接入云的新方式。云防火墙就成了第一道防线。

在发布会上，腾讯安全高级产品经理ericyong介绍称，腾讯云防火墙是一款云原生的SaaS化防火墙，在弹性扩展性能、防护边界方面都进行了重磅升级，实现网络流量在哪里，防火墙边界就拓展到哪里；新增零信任接入和防护能力，从源头减少暴露面；升级蜜罐服务和威胁情报能力，可实现一键处置、快速溯源，将防御化被动为主动，助力企业守好第一道安全防线。

腾讯云安全中心的第二道防线则是腾讯云WAF的升级，随着后疫情时代来临，线上生产生活的变化深度影响着每一个行业。Web应用流量也不再仅限于浏览器，如移动APP、小程序等也成为了新的流量载体。

腾讯安全高级产品经理赵思雨表示，据腾讯安全2022上半年发布的《腾讯安全BOT管理白皮书》显示，BOT流量约占整体互联网流量的60%，其中具有恶意攻击性的BOT流量占到了整个网络流量的46%。此外，因API恶意调用导致用户数据泄露的事件层出不穷。新一代腾讯云WAF在架构、方案、引擎、BOT能力及API能力上实现全面升级，以助力企业筑牢应用安全防线，保护用户免受来自渗透攻击、0day漏洞、恶意BOT、API恶意调用等等这一系列安全问题的困扰。

腾讯云安全中心的第三道防线则是主机安全。在发布会上，腾讯云主机安全发布了重磅升级的新功能。在漏洞防御方面，将发布RASP+“泰石漏洞引擎”，一键主动防御漏洞，为企业带来业务无需重启、无感防护的升级体验；在入侵检测方面，腾讯云主机安全增强200+入侵检测安全能力，同时新增内存马检测功能，对抗日益变化的新型入侵技术，实现精准检测、秒级响应和自动告警能力；在容器安全方面，全面提升镜像安全、配置安全和运行安全等能力，为容器资产提供从构建、部署到运行的全生命周期防护，帮助企业快速提升安全防护水位。

一直以来，腾讯安全都在积极推动以原生的思维构建云上安全建设、部署与应用，实践安全与云计算的深度融合，通过基于云原生安全的“ 3+1 ”一体化防护体系，打通云安全中心和云防火墙、Web应用防火墙、主机安全等产品，助力企业实现云上安全“最优解”。

在此背景下，XDR为何会成为企业安全运营“热门”工具？

10月26日，由国内首个XDR落地厂商未来智安（XDR SEC）主办的2022 XDR网络安全运营新理念峰会（2022 XDR New Vision Summit，简称“XDR Summit 2022”）在北京成功举办。

未来智安（XDR SEC）创始人兼CEO唐伽佳

主办方未来智安创始人兼CEO唐伽佳表示：“两年前我们选择了XDR这个赛道，过程很艰辛，投入巨大。但幸运的是我们得到了一群志同道合的投资人朋友的支持，让我们坚持去做这件难而正确的事儿。”

本次大会以『安全左中右』为主题，基于XDR扩展威胁检测响应（Extended Detection and Response）这一网络安全新兴技术，共同围绕组织的安全运营体系建设、威胁检测与响应实践、攻防安全新趋势等话题进行探讨，旨在诠释XDR的全新技术理念，定义安全运营管理新思路。

XDR新理念——安全左中右，具体是什么？

未来智安联合创始人兼CTO陈毓端指出：“如果把安全看成一场战争的话，打仗需要去熟悉地形，去看战场的环境，去针对关键的位置布防布控，甚至去制定防守反击的策略。把网络空间看成一场战争的话就有攻有守，分为三个阶段，战前、战时、战后。基于安全的战前、战时、战后，就要用安全左中右来落地。”

未来智安（XDR SEC）联合创始人兼CTO陈毓端

他总结道：

‘左’带给客户的价值是通过摸清家底、攻击面梳理、风险管理，看到企业现存的安全问题、风险，最重要的是帮助客户形成标准化的安全度量体系，并且让客户能基于此持续的优化、迭代；

‘中’是覆盖终端和流量的威胁检测，更重要的是站在企业现有安全投入的角度去保护用户的投资，接入现有各种安全设备的数据，同时能将海量的告警做收敛，达到可运营的安全状态；

‘右’提供了核心的安全编排能力，能将现有安全设备数据作自动化流程编排，作各种安全原则能力的接入和整合，最终希望达到的是综合指令的发布，让企业现有安全设备基于安全运营流程和某些特殊事件触发的安全事件，能够自动做风险研判、分析和处置。

陈毓端表示，对于网络安全的现状，未来智安一直在思考和探索:“我们服务了许多金融、能源、运营商行业的客户，我们在思考和探索究竟怎么把安全产品、安全理念，更好的解决方案传递给客户。针对这些问题去思考能不能用一种接地气的方式，抛弃掉复杂的概念，让安全技术回归到本质去解决用户侧的安全问题。”

同时，陈毓端在对未来智安V4.0新版本进行详细阐述后，现场与创始人唐伽佳共同完成了未来智安XDR V4.0新版本的发布。

据了解，自2021年1月未来智安XDR 1.0版本正式发布，至今已完成了4个版本的迭代，为了打磨出真正符合用户场景需求、可落地的XDR产品，2年间，唐伽佳与他的创业伙伴陈毓端走访了105个客户，深入分析、挖掘，由此沉淀出如今的XDR“安全左中右”理念。

唐伽佳表示：“未来智安以‘安全左中右’为理念，非常接地气的场景化落地，完全围绕资产层面、威胁检测层面、响应处置层面，为客户提供精准全面的攻击面管理、网络安全检测、高效自动化的威胁运营能力和产品方案。”基于不断地深耕与实践，未来智安得以在中国信息通信研究院的指导下牵头撰写了国内第一个XDR行业标准，并已立项成功。

最后唐伽佳总结道：“威胁检测和运营的未来是XDR，‘左’要‘摸得清’，‘中’要‘抓得住’，‘右’要‘响应快’，开放+融合是我们的态度，未来智安将继续与大家一起努力构建XDR生态，为客户打造一款真正有价值、能运营的安全检测平台。”（雷峰网）

随着网络技术的快速发展，云计算也日益成熟，企业越来越多的业务需要上云。传统的网络已经难以灵活应对企业组网、数据传输、SaaS加速、混合云架构等需求。SD-WAN（软件定义的广域网）作为一种用于管理WAN（广域网）的自动化程度更高的技术，通过将传输网络虚拟化,提高了网络传输的灵活性和实时性,相比VPN、MPLS专线又为企业降低广域网连接成本，因此受到了企业广泛欢迎。

IDC数据显示，2022上半年中国SD-WAN市场规模为1. 2亿美元。目前全球SD-WAN 市场大约有 70 家供应商，而且依旧不断有新的供应商进入市场。按照目前的发展趋势，SD-WAN赛道在未来几年仍然拥挤。

近期，2022 Gartner 《SD-WAN魔力象限报告》发布，那么SD-WAN的当下及未来是什么样的？Fortinet 亚太区产品市场经理于霁对于报告进行了深入的分析，并与雷峰网在内的数家媒体平台进行了深入的交流。

SD-WAN一路向上

大家为什么看好SD-WAN？难道路由器真的逐渐走下坡路？通过今年的Gartner发布的魔力象限来看，SD-WAN一路向上。

今年SD-WAN魔力象限的变化主要有三点：

第一：名称的变化。Gartner将魔力象限名称，从“广域网边缘基础架构”更新为“SD-WAN”。也就是说以前针对企业广域网边缘的产品，从原来占据主导地位的边缘路由器，切换到了SD-WAN的场景。

第二：安全的要求更高了。2022 Gartner《SD-WAN关键能力报告》评估项目数量从去年的9个增长到11个，主要把评估安全能力拆分为On-Premises Security（Native）,Cloud-Delivered Security（Native）与Partner-Integrated Cloud Security三个不同的评估项。项目拆分的更加细致，这也代表了市场对SD-WAN产品的安全能力的关注度。

第三：市场更加成熟。从上图中可以看出，在领导者象限，原本杂乱无章的六家厂商，在今年出现了分层。不同厂商区分度更加明显，需求更加成熟和标准化，市场逐渐趋于成熟。

虽然SD-WAN一路向好，但是难免会有新的入局者不断出现，比如一些公有云厂商。

于霁预测：“至少三年内当前的竞争格局不会发生较大的变化，未来SD-WAN的市场的格局有机会像防火墙市场一样，领导者象限出现2—3个领导者，大部分厂商在特定领域，一少部分在有远见者和挑战者象限。”虽然云厂商能够提供非常方便的上云方法，比如提供全球骨干网还有服务的集成。但是随着多云趋势的发展，用户很难被一家云绑定，因此可能不会选择某一家云厂商所提供的SD-WAN的解决方案。

所以对于Fortinet来说并不会担心，我们再来看看Fortinet为什么能作为SD-WAN魔力象限的领导者。 

在SD-WAN魔力象限里，横轴考验的是厂商对于市场和客户的理解及前瞻性，纵轴代表的是厂商的执行力，也就产品的真正能力。从图中我们可以看到，Fortinet、VMware、思科三家在纵轴和横轴的表现力都非常强劲；而Palo Alto、Versa Networks、HPE（Aruba）在纵轴执行力上的表现上稍稍不足。

其中在这六家厂商里，只有两家厂商Fortinet和Versa Networks两家厂商是通过自研SD-WAN产品进入领导者象限，剩下的四家厂商SD-WAN产品均通过收购的方式得来，在这当中只有Fortinet通过自主创新自研SD-WAN产品，且坚持网络安全融合策略的安全厂家。

于霁表示，未来网络与安全融合、网络即服务、AI赋能运营将成为重要的趋势。而这正是Fortinet所具备的关键能力。

 Fortinet强势增长

我们把时间拉回三年前，可以看到Fortinet是一个持续向上的过程，不管是在执行力方面，还是愿景方面，都在持续向右上角迈进。另一方面SD-WAN的用户层面，在一年时间里，获得了极高的增长。相对于2021年Fortinet今年获得了19000+个SD-WAN的用户，用户数量增长了90%。

前段时间，Fortinet发布2022年第二季度财报，公司营收10.3亿美元，年同比增长28.6%；账单收入13亿美元，年同比增长35.7%；GAAP净利润和每股摊薄净收益为0.21美元。Fortinet创始人，董事长兼首席执行官谢青（Ken Xie）表示：“第二季度超100万美元的订单交易数量同比增长超50%。”

Fortinet能够强势增长，于霁指出： “主要在产品能力、解决方案能力上面不断创新突破自己。”

首先，在SD-WAN解决方案里融合了零信任网络访问（ZTNA）能力。疫情时代的到来，让混合办公常态化。融合零信任网络访问能够保障线上办公，相比传统VPN更加安全。

其次，针对复杂组网能力的更新。一个产品同时提供SD-WAN和NGFW（下一代防火墙）能力。在解决方案的能力方面，融合了云的能力和本地交付的能力，云交付和本地交付都有统一的数据仓库和大面板管理。

最后，原生集成的安全解决方案，包括了本地部署、SSE等功能。能力交付以网络和安全融合的方式，不再割裂。

作为网络与安全融合的框架，SASE强调的SD-WAN为首的网络能力与FWaaS、SWG、ZTNA等安全能力的融合，所以对于SDWAN来说，天然演进的路线必然就是SASE。那么作为天生具备安全能力的Fortinet SD-WAN解决方案，势必成为SASE落地的重要基石

SASE等于SD-WAN的组网能力加安全能力，简单来说就是，SASE=组网能力+安全能力。而组网能力Gartner今年改名叫SD-WAN。

从Gartner《SD-WAN关键能力报告》的市场预测也不难看出，预测提到：到2025年，50%的SD-WAN将作为集成SASE产品的一部分；40%的企业会认为SD-WAN的部署，将要使用AI赋能降低运营的压力；在未来有50%的SD-WAN的采购会通过SASE的形式进行交付。

目前市场上的SASE目前有三种不同的类型：

第一个类型是Single Vendor（单一供货商）的SASE，更加强调网络和安全能力，并以高度集成化的方式进行交付。利用统一的数据模型和数据湖，借助AI的技术做运营和威胁防御。

第二种类型是Multi -vendor（多供应商）的SASE，往往是网络SD-WAN厂商和 SASE厂商进行集成来提供多厂商的SASE的能力。譬如通过收购的形式获得SD-WAN能力的厂商，即使是在同一品牌下也很难提供集成的形式交付安全能力。

第三种类型是托管式的SASE，通过托管式的服务里去提供近似于Single Vendor SASE体验，因为通过这种托管服务商来屏蔽了不同厂商之间的差异和细节，来给客户一个近似于Single Vendor SASE的概念。

所以“单一供货商”提供的SASE解决方案，未来将成为更多企业的选择。SASE的价值不仅可以改善安全的态势，还能自动化运营改善网络和安全团队的效率，提升用户和管理的体验。

Fortinet是业界第一家，以内生集成的方式在网络边缘交付SD-WAN、NGFW、高级路由、ZTNA等能力的厂商。

Fortinet表示： “SASE不仅是未来的趋势之一，长远来看网络即服务能力也将是重要的趋势，Fortinet一直坚持一个方向，以客户为中心，以需求为中心。”（雷峰网）

2022年10月13日，微软年度技术大会 Ignite 2022 及 Ignite China 中国技术峰会在北京召开。本次大会，微软智能云矩阵发布超过100项新服务和新功能。

作为微软智能云矩阵的Azure、Power Platform、Microsoft 365、Dynamics 365等产品，都进行了不同的更新迭代，在我们把注意力都放在技术、功能、服务创新上的时候，忽略了这些“上层建筑”最大的底盘——安全。

据了解，微软集成了60多项不同品类的安全能力，这些安全能力都融合在了微软的产品里。会后，雷峰网及相关媒体与全渠道事业部首席技术官徐明强博士、微软大中华区企业安全业务高级产品市场经理李亮进行了深入的交流。

李亮表示，安全在微软整个生态里面，被放在一个很特殊的位置，是所有产品的基石，相当于微软从第一行代码开始，安全是一个必备项。可以说，微软给客户提供云服务或产品可以确保业务的合规性、安全性、身份保护、隐私保护。

据介绍，上图中60多项微软不同品类的安全能力，都是融合在微软的Azure、Microsoft 365、Dynamics 365、Power Platform上。

把安全能力集合在云上有两点好处：第一，如果用户在微软云上构建安全体系，对于安全的重复投资会减少；第二，微软本身跨平台、跨第三方，在提供云安全能力的同时，还能确保用户在使用第三方SaaS或者CRM、ERP系统、核心业务应用系统、自研系统，都能集成在一起，减少云上或者安全上的投资，降低成本。

简单来说，微软做的是帮助企业“降本增效”的事情。

当问及，如何看待中国企业当前的安全建设的时候。李亮用“急救思路”和“养生战略”概括当下安全建设现状。

很多客户在面对安全的时候，利用急救思路，出了事赶紧补救、亡羊补牢，但是损失已经产生了。

李亮认为，虽然应急响应能力很重要，但是也要用“养生”的思路建设安全，养生是主动的规划、主动的建设、应对未来可能发现的问题。要提前做好框架和全面的威胁防御体系。

而徐明强博士观察发现，很多企业没有意识到IT环境和物理环境上差别非常大。以微软的数据库管理软件SQL Server为例，在微软位于欧洲的数据中心，技术人员曾尝试对外网打开一个没有数据、空白的Microsoft SQL Server端口进行测试，仅仅一分钟之内，便出现了非常多的密码攻击。

没有好的安全防护的软件，就仿佛一滴血掉进了海洋里，仅是血腥味就能吸引无数的鲨鱼。企业如果没有很好的安全策略来防护的话，是很容易被攻破的，因此企业的安全认知很重要。

在《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》（简称“三法一条例”）等规定颁布之后，企业以及个人信息保护意识有了极大的增强。用户对安全的需求已经从业务驱动、技术驱动，变成了政策和外部攻击驱动。

而从法规到实施中间的鸿沟谁来做、怎么做？

李亮表示：“法律法规推动企业建立健全完善安全平台，关于如何将这件事实现可操作性，微软在其中做了很多思考。微软能够帮助客户用最低的成本、最可行的操作来实现。”

例如，在运营服务的合法合规上，微软智能云在全球12个国家100多项安全和可信云平台合规认证,具备完善的合规认证体系。可以根据用户不同需求选择GDPR、网安法、数安法等合规遵从分数的模板。

徐明强博士也表示：“规避合规风险这件事，需要的不是智商，而是“勤商”，因为制定部门经常修改、更正规定，我们也不断更新，不断要做这样的工作。”

微软把安全能力集成到所有微软产品里，那么企业的担忧之一就是会不会增加成本？

李亮告诉雷峰网：“经过大多数客户投资和收益的实际成本的测算，恰恰相反。”

随着混合云，多云的崛起，如果不断的买安全产品防护不同的设备，那么成本势必增长。但是如果一个产品内生就是安全的，那么就会节省大量成本。

据介绍，微软更加关注整个生态的发展，之后会和合作伙伴一起把微软的工具推向企业。微软关注优先级比较高的场景主要有以下六个：等保安全合规的一站式服务、零信任架构解决方案、企业威胁防御解决方案、云端尤其是混合云安全运维、敏感数据治理以及保护解决方案，企业风险管理解决方案。

微软花了大量的人力、物力、财力激励合作伙伴给客户做安全检查。首先给企业做安全检查，第一个月免费；其次让客户看到真实的危险的 IT环境；之后根据这些安全结果做安全培训、做钓鱼邮件的测试、等保的咨询等等服务。李亮表示，安全这件事不是微软自己可以搞定的，要跟合作伙伴一起帮助客户解决问题。

在上一个财务年度，安全上的收入是150亿美金。而未来5年，微软在安全上的投资还将超过200亿美元。不论事从数据还是从对谈中，可以看出微软在安全上面的重视。

另外，在今年的Ignite大会上，微软特别针对常常被忽视的开发环节，推出了一系列安全措施。

全新推出的Defender for DevOps用来在开发运维过程中，为各类新老代码自动添加完善的保护措施，以防其中的漏洞被攻击者所利用。企业在打造应用程序的过程中，就能直接为程序加入安全保护，杜绝安全漏洞，让程序员安心地调用来自外部的代码，或者是在大规模的开发团队中相互协作。

Power Platform 可以将现有环境变成托管环境。托管环境提供了数据管控、权限管理和自动发送报告等功能，从而更轻松的管理低代码资产，简化 Power Platform 的 IT 管理工作。

新发布的Microsoft Entra身份和访问管理方案能对多云平台的安全访问权限进行管理。Microsoft Entra Identity Governance服务能确保正确的人拥有正确的权限，在正确的时间访问正确的资源。Workload Identities服务则用来控制应用、服务之类的数字工作负载和云资源的访问权限，基于证书的认证体系能够更好防范钓鱼式网络攻击。

微软致力于帮助企业打造面向未来的身份管理体系，对人、组织、应用、智能设备的访问权限控制加以实时管理。

此外，微软宣布多项Azure、Dynamics 365、Power Platform服务落地中国北部三数据中心区域，提升中国市场服务能力。由世纪互联运营的Office 365上的Teams服务，以及由世纪互联运营的Microsoft 365服务，将于2023年上半年正式推出，为中国市场带来更加全面、更加优质的本土化服务体验和技术保障。

2022年，疫情反复、经济下行，但网络攻击者却正在加速。

一方面，针对能源、交通、电信等关键行业的网络攻击事件频发，对社会稳定运行和民众生产生活产生深远影响；另一方面，针对新技术、新场景的网络威胁日益增多。

网络安全无疑成为企业组织必须要面对的关键问题，市场对于网络安全的投资热度依旧有增无减。

有数据显示，截止到6月底，网络安全融资事件共57起，投资额达到41.5亿元。网络安全市场持续扩大，预计未来三年增速仍将保持在15%以上，到2024年市场规模预计将超过1000亿元。

网络安全正面临前所未有的需求和增长，尤其随着全球数字化进程的加速，推动网络安全向数字安全不断外延。在现有安全形势、政策导向、发展需求之下，守好网络安全的“大门”，成为推动数字经济发展的基石。

为应对安全新形势、新挑战，一批网络安全的“守护者”不断变革创新，探索新的技术和方法，为企业安全保驾护航，捍卫网络空间安全。

作为科技行业最顶尖的产业媒体之一，雷峰网于今年8月重磅启动了「产业科技 · 最具商用价值榜」评选计划。

据雷峰网统计数据显示，本次雷峰网「产业科技 · 最具商用价值榜」最终被提名和申请榜单的公司达671家，涵盖雷峰网此前预设的当下最受关注的13大领域，多个垂直维度。经过长达一个月的集中评审，最终评选出61家在投资价值、产品创新以及企业管理等方面最具代表性的企业。

其中，「网络安全」领域，安天、深信服、腾讯安全、奇安信、火绒安全五家企业脱颖而出，分别荣获「安全行业最佳雇主奖」「最佳网络安全渠道影响力奖」「最佳网络安全生态建设突出贡献奖」「2022最佳攻防实验室奖」「最佳终端安全解决方案奖」。

安全行业最佳雇主奖：安天

安天是引领威胁检测与防御能力发展的网络安全国家队，一直致力于全面提升客户的网络安全防御能力，有效应对安全威胁。作为中国自主先进的能力企业代表，在国内外都有较高的影响力。目前，通过20余年自主研发积累，安天形成了威胁检测引擎、高级威胁对抗、大规模威胁自动化分析等方面的技术领先优势。

在系统安全层面：打造了面向服务器、云、虚拟化、容器和传统办公节点等提供全防御能力覆盖的智甲安全产品家族，满足用户对于包括终端杀毒、终端防护（EPP）、终端检测与响应（EDR）、云工作安全防护（CWPP）等系统安全层面需求；

在威胁情报方面：整合强化包括ATID威胁情报门户、追影沙箱和捕风蜜罐等产品在内的威胁情报板块产品，有效提升客户情报赋能和自主情报生产能力；

在网络威胁检测与响应方面：基于流量产品探海有效应对客户对于网络威胁检测与响应（NDR）和网络流量分析（NTA）的安全需求，相关产品可以实现交叉联动，统一管理，形成面向从勒索软件到高级威胁（APT）的纵深安全防线；

同时，安天打造了威胁对抗、威胁猎杀、威胁巡检服务三款主打安全服务，以运营模式有效支撑应对综合威胁对抗能力升级。

目前，安天的威胁检测引擎为全球超过一百万台网络设备和网络安全设备、超过三十亿部智能终端设备提供了安全检测能力，已经成为“国民级”引擎。

最佳网络安全渠道影响力奖：深信服

深信服科技股份有限公司，于2000年12月25日成立，是专注于企业级网络安全、云计算、IT基础设施及物联网的产品和服务供应商，拥有深信服智安全和信服云两大业务品牌，致力于承载各行业用户数字化转型的基石性工作，从而让每个用户的数字化更简单、更安全。

目前，深信服员工规模逾9000名，在全球有50余个分支机构，公司先后被评为国家级高新技术企业、下一代互联网信息安全技术国家地方联合工程实验室等。

深信服坚持以持续创新的理念为用户打造省心便捷的产品，获得了市场广泛认可。在研发方面，有超过20%的营业收入投入研发、研发人员比例占40%；在用户创新方面，每月研发人员拜访用户超过300人次以上、每年收集有效需求超过万条迅速转化为新产品新版本、为年度最佳创新贡献的员工颁发百万奖励，另外还成立“下一代互联网信息安全技术国家地方联合工程实验室” 创建“博士后科研工作站”等。

据统计，超过10万家用户正在使用深信服的产品。根据IDC数据，深信服VPN、全网行为管理连续超过10年保持中国市场占有率第一，下一代防火墙、桌面云、超融合、EDR也均为中国市占率前三。

最佳网络安全生态建设突出贡献奖：腾讯安全

腾讯安全作为互联网安全领先品牌，依托20余年的业务安全运营和黑灰产对抗经验，为企业提供紧贴客户业务需要的最佳实践方案，守护政府和企业的数据、系统、业务安全，为产业数字化升级保驾护航。

腾讯安全携手合作伙伴构建开放、共享的安全生态，为安全生态发展注入动能。在资源整合上，优化合作伙伴政策，实现更专业更高效的管理；在产品结构上，与合作伙伴优势互补；持续加大生态投入，对合作伙伴在业务和技术上协作共生。

2022最佳攻防实验室奖：奇安信

奇安信科技集团股份有限公司（以下简称奇安信，股票代码688561）成立于2014年，专注于网络空间安全市场，向政府、企业用户提供新一代企业级网络安全产品和服务，在人员规模、收入规模和产品覆盖度上均位居行业第一。

2019年5月，中国电子以37.31亿元战略入股奇安信，奇安信正式成为网络安全国家队。2019年12月，奇安信成为北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。2020年7月22日，奇安信在科创板挂牌上市。2021年，奇安信在“中国网安产业竞争力50强”榜单中排名第一，并被评为北京市第一批“隐形冠军”企业。

2022年3月13日，奇安信圆满完成了北京冬奥会和冬残奥会网络安全保障工作，兑现了北京冬奥网络安全“零事故”的承诺,为我国关键信息基础设施和重大活动的网络安全保障提供示范样本和有益经验。

目前，奇安信在终端安全、云安全、威胁情报、态势感知等领域的技术先进性及市场占有率排名持续领先。

最佳终端安全解决方案奖：火绒安全

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。

公司拥有终端安全防护产品“火绒安全软件”和“火绒终端安全管理系统”。

火绒安全软件凭借“干净、轻巧、强大”的特点收获良好的用户口碑与大众推荐，拥有超千万的个人用户。“

火绒终端安全管理系统”深度适配Windows、Linux、macOS等多种操作系统，可部署在统信、银河麒麟、龙芯、飞腾等国产操作系统与CPU上。拥有清晰的可视化中心、便捷的终端管理功能，已成功服务上万家政府机关、制造业、医疗、金融、互联网、科技等行业客户。

未来，火绒安全将始终秉持“情报驱动安全”的理念，用扎实的产品技术，服务用户，赋能伙伴，维护更广大用户的终端安全。

在此背景下，企业如何应对更加有组织、有预谋的勒索攻击？面对勒索病毒企业应该具有哪些关键能力？

9月20日，亚信安全召开「全面勒索治理即方舟计划」发布会，具体阐述了该计划在勒索攻击事前、事中以及事后如何帮助用户避免攻击、降低损失。

针对亚信安全「方舟」计划的相关内容，雷峰网及相关媒体与亚信安全首席研发官吴湘宁、亚信安全副总裁徐业礼、亚信安全副总裁刘政平进行了深入的交流。

对于勒索攻击，「方舟」起到什么作用？

数字经济时代下，企业安全面临着勒索攻击、数据泄露、资产被控制三大挑战。而勒索正处于传统勒索病毒和现代勒索攻击并存的这一个时代。

徐业礼表示，目前现代勒索攻击主要有三个特点：

第一，勒索即服务RaaS（Ransomware-as-a-Service）的兴起使得勒索的作战模式从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战，其造成的勒索攻击覆盖面更广，危害程度显著增加；

第二，对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键信息基础设施、各类企业的定向攻击；

第三，从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式，演化为同时开展双重勒索，甚至三重勒索。

面对更加严峻的勒索威胁形式，发布会上，亚信安全着重介绍了其如何通过‘产品+平台+服务’整体防御体系，对抗勒索攻击。

亚信安全总裁陆光明表示：“发展与安全，是数字化时代的一体两面。亚信安全提出了以安全平台为抓手，打造‘产品+平台+服务’完整闭环的发展战略，真正做到为客户建立整体性防御体系，提升客户安全防御能力。‘平台为先’的原则不仅可以让碎片化的安全能力融入一体，变成系统性、可全局联动的原生免疫系统，更能将复杂的管理问题，化解成极简与智能的威胁治理运营平台。”

据悉，方舟计划主要包括三大核心能力：

勒索体检中心：亚信安全运营团队通过部署端点及网络探针，对勒索攻击进行全面排查分析，帮助客户防范在前，早发现、早预警、早研判、早处置。利用最新的勒索威胁情报进行数据碰撞，确认企业环境中是否存在勒索行为，将勒索攻击爆发风险降至最低。

全流程处置机制：亚信安全「方舟」覆盖了勒索病毒攻击治理响应的全流程，依照攻击发生的状态，协助用户建立勒索防护策略、勒索攻击事前防护、勒索攻击识别阻断方法，以及勒索攻击应急响应。

现代勒索治理解决方案：基于亚信安全成熟的XDR技术，现代勒索治理方案可全面覆盖勒索病毒的攻击链，通过“事前预防、事中处理、事后扫雷”三大手段，构建立体化、平台级的运营防护能力。

其中“勒索体检中心”是「方舟」计划的前沿阵地，并且已经上线，企业可以通过扫描二维码进行网络安全健康检查。据了解，目前已经有行业用户通过亚信安全勒索体检中心对IT环境进行安全测评，针对潜藏勒索威胁风险获得了针对性的安全治理规划和建议。

此外，亚信安全副总裁刘政平表示：“勒索病毒攻击分为6个阶段，包含初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索，而单一防御安全体系很难对这种有别于传统病毒的‘杀伤链’发挥作用。”

而以XDR技术为核心的现代勒索病毒治理解决方案，可以通过终端、云端、网络、边界、身份、数据的检测与响应（目前引擎可洞察72个勒索攻击的检测点），以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析，在勒索病毒治理的“事前、事中、事后”，提供全流程的应急响应与处置支撑。

亚信安全首席研发官吴湘宁认为：“由于勒索攻击深度结合APT攻击技术手段，要解决各种来源的威胁情报杂乱无章，安全团队缺乏完整的威胁可见性、应急响应流程 ‘纸上谈兵’等问题，势必需要XDR这样的联动方案，从威胁的检测、控制，再到威胁狩猎、调查、归因等整体联动防御，方能产生更好的效果。”

（勒索病毒治理联动全景图）

企业做好勒索病毒治理需要哪些关键能力？

在新一轮科技产业革命与新冠肺炎疫情风险交织叠加之际，数字化转型已经成为企业的必答题。数字化转型过程中，网络安全成为推动经济发展的基石。如何平衡好业务和安全投入，成为每个企业必须思考的问题？

对此，刘政平表示：“对于大型行业用户，他们非常重视网络安全，不断加强自己面对数字化世界的能力，因此安全投入也越来越大；对于传统的制造业，一旦爆发勒索和网络瘫痪更是影响巨大，因此CIO势必非常重视安全的投入。”

刘政平建议，企业做好勒索病毒治理需要具备三个关键能力：

首先，企业领导者的意识，包括董事会、CEO、CIO。APT攻击需要提前防御，其中人员的安全意识教育尤为重要。只有观念意识转变，才会把预算更多投入在安全上，让行业健康发展。

其次，要做好打持久战的准备。勒索攻击不是一个简单的安全事件，它实际上是一个长期的。因为黑客组织，也在不断更新他们攻击目标的名单，并且会持续攻击，所以需要进行体系化建设，这才能做好打持久战的准备。

最后，管理团队跟得上。三分技术七分管理，而管理本质是人，专门的安全专家团队必不可少。

据了解，目前亚信安全配备了覆盖全国 31个省市服务网络，通过安全服务工程师等构成的本地团队，以及云端安全运营专家、病毒样本专家、威胁情报专家的总部团队，7×24小时贴身服务，协助企业确认环境中是否有勒索行为，将勒索攻击爆发风险降至最低。

勒索病毒攻防的矛盾博弈日益激烈，守好安全的“大门”是长期且有价值的事情。

9月16日，以“共筑AI安全 安享智能未来”为主题的AISC首届人工智能安全大赛圆满落幕。本次比赛共决出人脸识别安全、自动驾驶安全、深度伪造安全三大核心赛道冠军。据了解，本次大赛由国家工业信息安全发展研究中心、清华大学人工智能研究院和北京瑞莱智慧科技有限公司等单位联合主办，系首个全国性人工智能安全赛事。

AI安全风险已非未来挑战，而是眼前威胁

 试想一下，有人将一张“神奇的贴纸”放置在面部，就可以使人脸识别门禁系统误认为是你，从而轻而易举打开大门；同样是这张“神奇的贴纸”，把它放置在眼镜上，就可以1秒解锁你的手机人脸识别，探取你的隐私如入无人之境。这并非科幻大片的想象，而是首届人工智能安全大赛颁奖典礼现场展示的真实攻防场景。

 大赛工作人员演示对抗样本攻击人脸识别门禁系统

北京瑞莱智慧科技有限公司首席执行官田天认为，人工智能技术风险发生的范围正随着应用场景的日趋广泛而逐步扩大，风险发生的可能性也随着其应用频次的增长而持续提高。在他看来，人工智能当前的安全风险主要可以从“人”与“系统”这两个视角来剖析。

从人的视角来评估AI的安全问题，首当其冲就是技术的两面性问题，存在AI滥用甚至“武器化”的问题。具体到人工智能的应用中来看，最为典型的代表就是深度伪造技术，它的负向应用风险持续加剧且已产生实质危害。

而现场的人脸识别破解演示，所揭示的正是系统的风险，它来自于深度学习算法本身的脆弱性。以深度学习算法为核心的第二代人工智能是个“黑盒子”，具有不可解释性，意味着系统存在结构性的漏洞，可能受到不可预知的风险，典型的就比如现场演示的“神奇贴纸”，其实就是“对抗样本攻击”，通过在输入数据中添加扰动，使得系统作出错误判断。

这一漏洞在自动驾驶感知系统同样存在，瑞莱智慧演示了用对抗样本攻击自动驾驶汽车。正常情况下，在识别到路障、指示牌、行人等目标后，自动驾驶车辆就会立即停车，但在目标物体上添加干扰图案后，车辆的感知系统就会出错，径直撞上去。

结合具体赛题来看，自动驾驶安全赛题和人脸识别安全赛题从攻击视角出发，通过让选手攻击目标模型挖掘算法漏洞，旨在发现更加稳定的攻击算法，以更好的实现准确评估模型的安全性。深度伪造安全赛题则通过分析伪造音视频的相似性，来溯源不同伪造内容是否来自同一种或同一类生物特征生成软件，以促进对深度伪造检测技术的发展，具有重要的现实意义。

瑞莱智慧首席执行官田天

安全的本质在于对抗升级，构建安全需要一个持续攻防演进的过程。田天表示，大赛聚焦人工智能真实应用场景中的典型漏洞及风险，以赛促建、以赛促研，通过考核参赛队伍的漏洞发现、漏洞挖掘等能力，探索新型安全需求场景，推动AI攻防技术创新，为强化人工智能治理体系与安全评估能力建设提供支撑。

构建人工智能的安全生态，一方面需要技术的持续演进，一方面也需要专项技术人才的建设与培养。田天表示，由于人工智能安全研究目前仍属于新兴领域，专项人才较少，缺乏系统性的研究队伍，本次大赛通过实战演练的方式，全方位验证和提升选手实战能力，为培育一批高水平、高层次的人工智能安全新型人才团队提供了“快速通道”。

据了解，自七月开启报名以来，大赛共吸引来自全国范围内70多所高等高校、科研院所、企业机构的超过400支团队，共计600余名选手的踊跃参与。经过三个月的激烈角逐，最终，上海交通大学联合战队“AreYouFake”与北京交通大学战队“BJTU-ADaM”分别摘得深度伪造安全与自动驾驶安全赛道桂冠，北京理工大学战队“DeepDream”与建信金科战队“Tian Quan&LianYi”共同位列人脸识别赛道第一名。 

 深度伪造安全竞赛前三名

 自动驾驶安全竞赛前三名

 人脸识别安全竞赛前三名

此外，活动现场，由国家工业信息安全发展研究中心牵头，联合华为技术有限公司和北京瑞莱智慧科技有限公司共同撰写的《人工智能算力基础设施安全发展白皮书》正式发布。

白皮书围绕人工智能算力基础设施安全发展的意义、内涵与体系架构、安全管理现状、发展建议等方面展开深入研究。白皮书指出，人工智能算力基础设施不同于传统的算力基础设施，既是“基础设施”又是“人工智能算力”也是“公共设施”，具有基建属性、技术属性、公共属性三重属性。相应地，推动人工智能算力基础设施安全发展应从强化自身安全、保障运行安全、助力安全合规三个方面发力，通过强化自身的可靠性、可用性与稳定性，保障算法运行时的机密性与完整性，提升用户的安全管控力、认可度与合规性等八个领域筑牢人工智能安全防线，打造可信、可用、好用的人工智能算力底座，营造安全、健康、合规发展的人工智能产业生态。

现场，中国科学院信息安全国家重点实验室副主任陈恺、北京航空航天大学软件开发环境国家重点实验室副主任刘祥龙、工商银行金融研究院安全攻防实验室主管专家苏建明进行了主题分享。圆桌对话环节，北京交通大学教授、计算机与信息技术学院副院长景丽萍、清华大学人工智能研究院基础理论研究中心主任朱军、北京邮电大学网络空间安全学院副院长邓伟洪、北京科技大学计算机与通信工程学院教授陈健生、华为可信AI安全解决方案专家唐文围绕人工智能安全技术发展、人工智能安全治理等话题展开深入交流。

专家们认为，从长远看，人工智能的安全问题，还需从算法模型的原理上突破，唯有持续加强基础研究，才能破解核心科学问题，同时他们强调，人工智能的未来发展需确保对整个社会、国家发展的有效性和正向促进性，需要政产学研用多方协同共进。（雷峰网）

在2021年北京网络安全大会上，齐向东曾分享了一个观点：人类社会从IT时代进入了DT时代。在数据量爆发式增长的DT时代，数据安全成为网络安全的首要任务，而加密成为数据传输的必选项。工信部最近发布的《数据传输安全白皮书》明确指出，传输的数据不能明文，这是数据传输安全最基本的要求。

Google的报告显示，当前互联网加密流量超过90%。据估计，企业内部80%是加密流量。与之对应的是，加密成为黑客最常用的攻击手段。Gartner统计,在2020年就有超过70%的网络攻击使用加密流量。国外机构的最新调研报告显示，超过95%的企业明确表示遭遇过加密流量攻击。保守估计，加密流量攻击造成的全球损失达到上万亿美元。 

齐向东认为，相对于概率小、不可预测的黑天鹅，灰犀牛事件发生概率大、可预测。加密技术给网络安全带来的风险就是“灰犀牛”，人们往往会掉以轻心，以至于错失最佳处理时机，最终酿成严重后果。在加密流量这只“灰犀牛”面前，解密和编排成了DT时代的安全基石。没有解密和编排，数据保护就如同空中楼阁，部分安全设备形同虚设，安全建设、升级、运维的效果也会大打折扣，运营成本巨大。

齐向东表示，目前我国网络安全建设在解密和部署方面，还存在三方面不足。第一是盲点多，SSL加解密过程会严重消耗CPU的计算性能，导致很多加密流量来不及解密就通过了，而旁路侦听的流量威胁检测设备无法对大部分加密流量进行旁路解密，导致流量盲点普遍存在；第二是效率低，目前安全设备的部署模式，当一个设备对SSL流量进行解密后，下个设备接收的依旧不是明文流量，还要继续解密，造成不必要的资源浪费，业务效率低下。第三是成本高，传统 “糖葫芦串”的安全部署架构，任何一个设备发生故障，都会有可能引起全网故障，损失难以承受。扩展性差、升级维护难，增加了业务中断成本。

为了解决这些问题，奇安信基于鲲鹏平台的高效研发能力，结合北京冬奥网络安全保障实践，打造出了国内首创的解密编排方案，它具备三大亮点。

首先是软硬结合的高性能解密，消除盲点检测更全面。通过和英特尔等芯片硬件厂商的合作，新产品搭载硬件加速卡，并配合自研的异步调用技术，真正实现了软硬合一，理论上可以将解密性能提升10倍以上，让加密流量检测更全面、更准确、更及时。

其次是高性能解密结合智能编排技术，显著提高效率。奇安信首创了智能化服务链编排技术，可实现“一台设备成功解密，多台设备成果共享”，极大降低网络负载和资源消耗，大幅提升加解密效率。

最后是通过安全能力资源池化和服务化，极大降低成本。奇安信重构安全设备的传统部署架构，通过网元组、负载分担、健康监测、流量编排等技术手段，实现了安全设备资源池化，让整个安全设备的部署架构更有弹性，具备动态扩容的能力。安全资源池能兼容各个厂商的安全设备，支持多样化专业的安全组件，实现安全能力快速扩展；还能依靠独特的探测机制保障业务连续性，从而大大降低总体成本。

齐向东表示，奇安信推出的流量解密编排器新品，不仅能解决边界安全问题，更能为整个DT时代夯实网络安全防线，避免“灰犀牛”事件的发生。（雷峰网）

近年来，中国数字经济高速发展，并深刻融入到国民经济的各个领域。相关数据显示，2018年至2025年，预计中国数据总量的年平均增长速度将达到30%，超过全球平均水平；2025年，中国数据圈将增至48.6ZB，占全球数据总量的27.8%，成为世界最大数据圈。随着数据量激增和数据流动日益频繁，有力的数据安全防护和流动监管将成为国家安全的重要保障。

9月6日-7日，2022数据安全技术大会暨中国信息协会信息安全专业委员会年会在北京正式举办。会议聚焦数据安全技术创新、数据安全合规、最佳客户实践、产业发展等方向，主论坛环节，多部门的领导、专家、企业代表就数据安全行业面临的新机遇、新挑战与新思路进行探讨。同时，分论坛聚焦6大行业“赛道”：政务、智能制造、汽车、互联网，法律法规、金融，进一步联合数据安全产业生态力量，推动数字经济安全稳定发展。

赛 道

NO.1

聚焦政务行业——给数据加 “安全锁”

在数字化时代，加强数字政府建设是创新政府治理理念，推进国家治理体系和治理能力现代化的重要举措。当前已进入数字政府建设的新征程，数据安全治理成为保障政务数据安全的必要手段。数字化转型既是数字经济发展的重大机遇，也同时面临非常严峻的挑战。多位领导和专家从政务大数据的现状、面临的困境、数据安全治理体系建设的能力、方案等方面都做了充分阐述。数字经济发展，数字化政府转型已经成为必然趋势。数据要互联互通，但是也要为重要数据“加把锁”。

赛 道

NO.2

聚焦智能制造行业—— 锻造数据防护“铠甲”

在过去十多年间，物联网、5G、人工智能等信息技术的高速发展推动制造业走上智能化发展的快车道。与此同时，数据泄露、钓鱼攻击，供应链攻击，勒索软件攻击等针对智能制造企业的安全威胁层出不穷。新机遇、新时代，数据安全问题怎样应对？如何做到数据共享与隐私保护的平衡？这是智能制造行业可持续发展的一道难题。隐私数据一旦泄露，就会产生“木桶效应”，一个地方被攻破之后，用户的身份、车辆、工作、财务等隐私信息都可能被泄露。诸多专家从行业发展的角度，带来了智能制造行业网络安全管理、数据安全保护、数据安全治理的经验分享与创新实践，携手锻造数据防护“铠甲”。

赛 道

NO.3

聚焦汽车行业——让数据行驶在“安全道”

中国的汽车智能化、网联化进程已经走在了世界的前列。智能网联汽车给我们带来便利的同时，也导致数据泄露规模的加剧。随着驾驶员和汽车之间关联度增强，智能汽车产生了大量的数据，越来越多的汽车数据会被大规模地收集、使用，也引发了数据和隐私保护的问题。智能网联汽车数据安全关系到的不仅是用户安全，而且还关系到了国家安全。面对汽车行业数据面风险的“点、线、面”，数据安全企业和车企要共同努力构建数据安全体系，保障汽车数据始终行驶在“安全道”。

赛 道

NO.4

聚焦互联网行业——做好数据安全的“守门员

我国数字经济发展前景一片光明，大有可为。在互联网行业快速发展的过程中，我们需要进一步调动各方力量，在更广范围、更深层次、更高水平上将互联网经济与实体经济深度融合。互联网数据安全体系的建设，需要从业务、合规、技术、咨询等方面考虑，保障数据流转、使用、存储的安全，对数据权限进行更细粒度的管控，共同构建先进数据安全保障体系。当好数据安全“守门员”，自觉维护数据安全，是我们需要一起努力的方向。

赛 道

NO.5

聚焦法律法规——筑牢数据合规“堤坝”

《数据安全法》、《个人信息保护法》、《数据数据出境安全评估办法》等法律法规的实施，旨在规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。明确数据安全法律法规的具体规定，是促进数字经济健康发展、防范化解数据安全风险的需要，也是保护个人信息权益的需要，更是维护国家安全和社会公共利益的需要。数据安全合规是基线，并不是数据安全的最高目标。我们的目标是通过技术手段保障在数据安全合规的前提下，促进业务的快速发展。

赛 道

NO.6

聚焦金融行业——建立数据安全的“金字塔”

随着金融业迈入数字化时代，数据安全、数据管理成为重要议题。

金融是产生和积累数据量最大、数据类型最丰富的领域之一，当前数据的作用也不断凸显，金融数据由于其蕴含的巨大价值而成为网络攻击的首选目标，数据安全与个人信息保护在新时代也面临新的风险与挑战。如何保障数据安全，促进数据合法、安全，有效流通，充分发挥数据综合价值，是金融行业面临的重要课题。金融行业需要依托于法律法规、数据分类分级技术，以及数据安全治理方案来构建智能数据安全体系，在明确底线的前提下，大力促进数据高效流通与开放融合利用，实现对动态、流动数据的智能安全防护。

《数据安全法》实施一周年，成效显著

国家信息中心副主任周民表示：数据安全法实施一年以来， 我国数据安全治理，取得了一定成效。但仍有较大提升空间。当前，我国数据安全创新能力不足，一些关键核心技术受制于人的局面依然存在，这在一定程度上给数据安全治理带来了挑战。数据安全治理任重道远，需要政府、科研机构、企事业单位、行业组织、个人等多元主体的共同参与，充分发挥各自优势，承担数据安全治理主体责任，共同营造适应数据经济时代要求的协调治理模式。

北京市通信管理局 党组书记、局长苏少林谈到：数据安全威胁治理已经成为推动经济社会稳步发展、维护国家安全的战略需要，只有筑牢数据安全基石，才能护航数字经济高质量发展。本次大会的举办，旨在认真贯彻落实习近平总书记关于总体国家安全观的战略思想，统筹发展和安全，统筹传统安全与非传统安全，推动数据安全技术持续健康快速发展，夯实数字经济底座，这在当下具有特别重要的意义。北京市通信管理局将一如既往支持像天空卫士这样有技术有实力的企业交流合作，推动数据信息安全产业创新进步、协作共赢。

 北京市通信管理局 党组书记、局长 苏少林

北京经济技术开发区管委会 副主任 刘力提到：数据安全是护航数字经济发展引擎的关键，是数字时代构筑新优势、领先新赛道的前提。希望大家通过本次大会论坛深入研讨、充分交流，并以此为契机，发挥龙头企业在技术人才的优势和技术创新的主体作用，促进数据安全领域的交流合作，开展数字安全基础理论创新重大问题研究和核心技术攻关，打造新一代数字安全的生态，助力数字安全技术创新发展，不断为数据安全技术的发展和数字经济高质量发展作出新的贡献。

 北京经济技术开发区管委会 副主任 刘 力

中国信息协会信息安全专业委员会 主任 叶红表示：当前百年变局和世纪疫情交叉叠加，国际形势日趋复杂，网络霸权主义对世界和平和发展构成威胁，全球产业链、控业链遭受冲击，网络空间安全面临的形势复杂多变。随着数字经济的纵深发展，势必衍生出新的风险新的挑战。因此，应进一步树立数字安全底线思维，围绕着数据安全法、个人信息保护法等相关法律法规，健全完善数据安全配套体系建设，理清数据安全责任的边界，强化监管职能，压实主体责任。

 中国信息协会信息安全专业委员会 主任  叶  红

在本次大会上，中国科学院院士 冯登国 给我们带来了《机密计算发展现状与趋势》的主题分享。冯院士表示：机密计算可为破解数据保护与利用之间的矛盾、实现多方信息流通过程中数据的“可用不可见”提供安全解决方案。冯院士在分享中重点介绍了机密计算的基本目标与定义以及其自身的特点,阐述了机密计算发展的技术路线、应用场景和应用实例，分析了机密计算的发展前景和趋势，展望了机密计算的主要技术发展方向。

 中国科学院院士 冯登国

 国家超级计算天津中心 应用研发首席科学家 孟祥飞 为我们带来《以国产信创驱动数据产业发展》的内容分享。孟教授表示：数据与算力驱动的信息技术变革，对创新范式和生产方式的重塑是根本上的和永远的。数据产业发展事关国计民生，要加强计算、数据、智能等自主信创数字底座构建，强化数字经济发展中国产信创与安全的国内大循环。要支持政府可控、社会开放、具有第三方公信力大数据机构和平台建设，推动国家跨区域数据共享流通设施和机制完善，实现数据战略安全和产业价值释放的综合目标。

 国家超级计算天津中心 应用研发首席科学家 孟祥飞

近年来，我国高度重视数据安全工作，相继颁布实施了《数据安全法》、《个人信息保护法》，为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，提供了法律保障。网络安全监管部门 范春玲 发表了 《加强网络和数据安全保护》的主题演讲，对目前等级保护特别是数据安全方面存在的突出问题，分析了现状以及相应的保护措施和对策。

全国信息安全标准化技术委员会 副秘书长 上官晓丽 对我国数据安全标准化工作情况介绍进行了介绍。内容包括：对当前数据安全形势的分析，对近年来我国出台的数据安全相关政策法规的解读、数据安全和个人信息保护国家标准整体情况、标准在支撑《数据安全法》《个人信息保护法》具体条款落地实施方面发挥的重要作用、以及信安标委下一步拟制定的数据安全和个人信息保护方面的重点标准。

 全国信息安全标准化技术委员会 副秘书长 上官晓丽

随着数据要素不断流动，各种新型数据窃取、篡改、滥用等手段推陈出新，给数据安全治理带来了新挑战。当前，亟需一个技术作为抓手，将数据安全体系落地，筑牢数据安全防线。北京天空卫士网络安全技术有限公司 董事、合伙人、高级技术总监 杨明非为大家带来了《数据安全治理技术抓手—多维度数据防泄露（MDLP）》的内容分享。杨总谈到：数据安全治理首先需要对数据做分类分级，即针对不同类别、不同级别的数据采用不同的保护方式。而DLP是分类分级的最佳工具。天空卫士作为国内DLP技术的引领者，解决了数据分类分级过程的难题，将整个分类分级过程化繁为简，极大的降低了DLP部署和使用的难度。而多维度的数据防泄露（MDLP），可以覆盖整个企业的整个IT架构，包括网络、终端、移动端、应用端、云端。

 北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监 杨明非

“六化一管”，数据安全治理自动化体系正式发布

作为本次大会的重磅环节，天空卫士发布了最前沿的数据安全技术——数据安全治理自动化体系（DSAG）。

 北京天空卫士网络安全技术有限公司 创始人、CEO 刘  霖

数据安全治理自动化（DSAG）通过自动化技术识别结构化和非结构化数据，从企业内数据资源发现，到对数据进行分类分级，并以数据分类分级对象为核心，用户行为分析为增强手段，进行数据安全策略的配置和执行，全方位地覆盖数据安全治理周期的每一个环节。DSAG使用合理自动化技术，令人工干预降至最少，在必要的人工环节使用智能辅助，减少人为错误，更高效率及高有效性地提高数据工作的安全性。 

DSAG的亮点可以概况为“六化一管”，分别是数据分类分级自动化、数据安全处理自动化、行为分析智能化、数据脱敏全面化、API数据内容分析细粒化、DSAG编程管理可视化、一把手数据安全管理“一支笔”。

数据安全技术工作部,推动产业繁荣发展

在中国信息协会信息安全专业委员会的领导下，数据安全技术工作部将国内优秀的数据安全企业、人才、技术汇聚在一起，壮大中国数据安全队伍，打造数据安全厂商共同参与和交流的开放平台，促进数据安全技术和人工智能的融合，推动我国数据安全产业的繁荣发展。

数据安全技术工作部的成员单位：

数据安全技术工作部将重点面向我国智能制造、金融、汽车、医疗、互联网等行业用户，根据其数据业务发展需要，提供数据安全治理方案、行业研究和政策咨询等多方面的服务。

数据安全技术工作部成员亮相

该工作部的成立意味着中国数据安全行业向数字智能生态链方向迈出了重要一步。

在《中华人民共和国数据安全法》发布一周年之际，“以全新的技术 推动数据安全治理体系技术落地”的2022首届数据安全技术大会恰逢其时，旨在坚决贯彻落实国家有关数据安全工作的决策部署，通过先进的数据安全技术，保障国家、行业、企业、个人数据的安全有序流动，开放与共享，发挥数据的价值，与行业同仁共同努力探寻数据安全发展的新思路、新机遇、新途径、新趋势，促进数据产业健康高质量发展，筑牢数字经济发展的安全底座，为数据安全保障提供有力支撑，为建设数字中国、智慧社会贡献力量。（雷峰网）

吴云坤表示，作为一个在网络安全行业摸爬滚打了20多年的老兵，见证了中国网络安全跟随信息化发展不断成长和提升的过程，这个新荣誉，是对自己过去20多年坚持和坚守的褒奖，更是对未来更加投入地推动网络安全发展的鞭策和鼓励。

IDC是全球权威咨询机构，中国CSO名人堂（十大人物）是面向CSO群体设立的奖项，这个奖项本身是对中国CSO群体的认同和鼓励，也是对中国网络安全行业发展的认可和激励。

（奇安信集团总裁吴云坤）

网络安全成为底板工程 

随着数字化转型的深入，网络安全成为底板工程，行业得以高速发展，中国的发展速度和发展潜力都处于全球领先水平，CSO全球网络安全峰会落地中国是一个很好的契机，可以更好地凝聚行业共识，集聚行业力量，共同推动中国网络安全建设和产业发展。

吴云坤认为网络安全的发展与信息化发展、与信息化对业务的支撑紧密相关，中国的信息化发展已经与世界同步，无论是信息化水平还是信息产业发展都处于全球领先水平。但中国的网络安全落后于信息化，无论是产业规模还是能力水平，都需要进一步提升。

就全球网络安全产业格局来看，美国网络安全产业在产值规模、技术创新力、企业影响力、资本活跃度都依旧处于领先地位。问及相比于国外的网络安全产业、技术，我国有哪些领先的地方，对于两者之间的差距应该从哪些方面去缩小？吴云坤告诉雷峰网，“相对来说中国在体系化的技术发展、体系化的技术能力建设方面还有不足，在一些细分技术领域的发展上精深程度还不够；另外中国网络安全技术领域的原始创新还很少，基本还是COPY to CHINA，尤其是在一些前沿领域和新技术领域还是以学习和跟随为主。”

但是，通过观察，国内网络安全技术进步很快，在所有网络安全技术领域我们与美国的差距在不断缩小。每年的美国RSA大会被认为是网络安全技术的演武场和风向标，从会议展出和探讨的技术看，我们与美国的差距在不断缩小，我们对比了RSAC的创新沙盒入围企业和BCS安全创客汇的入围企业，发现从技术领域覆盖到技术创新，中国对新技术的跟踪也跟世界保持了同步。

看好数据安全增长市场

近些年来，随着数字技术的发展，数据安全问题带来的危害越发多样化。谈到数据安全和网络空间安全之间的关系，以及国家一方面提倡数字化建设，一方面又对数据安全加强监管之间的联系。

吴云坤表示，我们通常说的网络安全是指网络空间安全（Cyberspace Security），数据安全是网络空间安全的重要组成部分，在国家总体安全观下，网络空间安全是国家安全的重要组成部分，数据安全同样关系国家安全。国家推动数字化的发展，数据成为生产要素，是国家经济社会发展的重要生产资料，国家同时提出要统筹安全与发展，数据安全将是数据要素发挥价值的基础和保障，是数字中国、数字经济、数字社会的底板工程，所以国家必然要加强数据安全监管，尤其是关系国家安全的重要数据和个人信息。

去年我国密集出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》，这三部法律法规与2017年实施的《网络安全法》这“三法一条例”构成了我国数据安全顶层制度框架，今年又连续出台了《网络安全审查办法》《数据出境安全评估办法》《数据安全管理认证实施规则》《网络数据安全管理条例》这些配套的数据安全法规和制度，这些都是实操层面的，目的都是为了加快三法一条例的落地，强化对重要数据和个人信息的安全监管，压实企业主体责任，这些法规出台可以说是立竿见影，推动了数据安全市场的快速增长，对于安全厂商来说是极大利好。

吴云坤同样看好数据安全市场的发展，他认为，数据安全市场增长除了数据安全相关产品、服务和方案市场外，最重要的还是带动了传统基础安全市场的很大的增量。

最近国内多家安全咨询机构发布了相关的数据安全市场分析，他们一致认为2022年数据安全市场规模在100亿左右，2023年在125~130亿之间，市场增长率在30%左右。他说，这些数据还是基于纯粹的数据安全保护市场，没有把传统基础安全的市场增量算进去。

数据安全是数字化的前提 

随着数据成为新的生产要素，数据安全已经成为数字化的前提和基础，没有数据安全，就没有数字化发展。因此国家在大力推动数字中国战略，提出统筹安全与发展。

吴云坤列举了推动数据安全发展的因素主要有以下几个方面：

国际竞争驱动：数据被称为21世纪的石油，也必然成为国家间竞争的重点领域，数据安全因此成为国家安全的重要组成部分。

数字化发展驱动：数字化已经成为驱动经济社会发展的核心驱动力，数据安全是数字化先进生产力的前提和基础。

威胁驱动：以数据为目标的APT攻击、勒索软件攻击愈演愈烈，数据泄露等安全事件层出不穷。

合规驱动：我国的数据安全法律法规体系越来越完善，对数据安全监管也越来越严格。

在问及数据安全从萌芽、到当下、到未来主要经历了哪些不同的阶段？吴云坤答道：数据安全的发展一直跟随数字业务发展、数据及数据应用的发展而变化，根据不同的数据及应用发展基本可以分为三个阶段：

第一阶段是传统数据安全阶段。这一阶段，数据是静态的，业务应用系统是简单的三层结构，数据量小，从防护角度，以静态防护和实体防护为主。

第二阶段是大数据安全阶段。这一阶段，数据是流动的，业务应用系统基于大数据平台，系统架构复杂，从防护角度，一是需要基于数据流转的动态防护；二是传统的数据安全技术需要适配新的大数据环境；三是需要新的防护技术和防护手段来满足扩大的安全范畴需求，比如针对外部攻击的API防护、针对内部违规的行为审计等。

第三阶段是数据多元和多元数据加工和应用阶段。这一阶段，多元数据汇聚到数据中台，通过中台向业务和应用提供数据服务，这一阶段除了以上的防护手段外，必须对数据进行精细化管控，要对数据分类分级，然后进行细颗粒度的管控和精细化防护。

吴云坤表示，据我们观察，关系国计民生的关键信息基础设施、重要行业、政府管理和社会服务机构，以及数字化业务开展比较好的企业、业务涉及个人信息的企业，会更加关注数据安全。不同的政企客户由于数字化和网络安全建设的阶段不同，对数据安全的需求也会有差异。比如银行、电信运营商等数字化程度高、安全建设水平比较高的机构，需要系统治理、体系化规划的数据安全解决方案，他们希望对数据进行系统治理、分类分级，然后进行体系化规划，制定战略目标、设计体系架构、管理体系、技术体系和运营体系。而对于接近85%的国内政企机构还处于数字化的初级阶段，数据安全治理刚刚开始，他们数据安全最紧迫的事情是补短板，把基础防护做好。

新形势下如何保护数据安全？

随着新技术、新威胁、新场景的不断涌现，传统面向数据流转简单、系统结构简单、数据应用和处理简单的静态数据防护技术已经不足以应对新趋势下数据安全威胁。

吴云坤告诉雷峰网，大数据环境下，数据流转复杂、数据应用场景和数据载体也发生了很大变化，数据防泄露、数据脱敏这些传统数据安全技术需要适配新场景和新载体，产品形态和数据应用都会发生改变。目前企业部署的防护产品存在以下问题：

1）安全缺乏体系化建设，有很多的防护漏洞和短板，外部风险防御能力缺失，很容易被攻破，导致数据窃取、拖库等；2）已有防护系统没有人进行有效运营，没有发挥作用，比如购买了防火墙，但防火墙的策略没有有效配置；3）权限控制缺失，导致数据滥用，尤其是特权账号管理薄弱，造成权限滥用，弱口令普遍存在进而导致数据泄露；4）终端管控、上网行为管控缺失，引发数据外泄；5）API资产不清楚，缺乏有效管控；6）缺乏有效的威胁检测和监控手段，发生安全事件却不能第一时间得到告警。

所有这些都是源于没有做到内生安全，安全和信息化和业务系统的融合没有做好。

他提出，大数据下的数据安全防护应有以下几个要点。

1）数据安全靠的不是单点技术，而是能力体系；

2）技术与管理要结合；

3）对数据分类分级，对重要数据在关键环节做到精准防护；

4）结合零信任与数据实体防护，构建数据安全技术防御体系；

5）数据伴随着业务流转，数据安全需要与业务内生，梳理数据脉络，将安全能力和举措深入到应用和业务中，并与信息化各层级全面覆盖和深度结合。

数字经济时代下，要发挥数据要素的价值，必须推动数据安全共享流通。我们应该如何让数据更安全的流通？

针对数据安全共享流通，奇安信推出了数据交易沙箱，针对数据保护与数据价值挖掘之间存在巨大矛盾这一痛点问题，结合各类法律法规对数据安全开放的要求，秉承“数据不动程序动”、“数据可用不可见”的安全理念推出的数据安全开放服务平台。

该平台支持对接多种数据源，具备数据访问权限管控、数据操作留痕审计、用户行为风险分析、输出结果申报审核等功能，实现了数据所有权和使用权分离，确保数据安全可控。帮助企业突破“不敢”、“不愿”、“不能”共享数据的困境，通过数据交易沙箱合法合规安全地对外开放数据，既保证数据安全，又能充分发挥数据的最大价值，助推企业数据业务的快速发展。

最后，吴云坤说：“我认为网络安全是一个长坡厚雪的行业，不是一个赚快钱的行业，在这个行业的人和企业，需要有一点家国情怀，需要耐得住寂寞，需要坚持长期投入，更需要持续的创新和探索。”

会上，《中国数字安全产业统计与分析报告（2022）》发布。报告指出：“2021年数字安全市场规模达到915.8亿元，2022年数字安全市场规模将历史性的步入千亿市场”。

报告涵盖了统计标准、市场、企业、技术和资本等大量统计与分析内容，还推出了“数字安全产业的九大论断”。如，数字安全处于初级阶段、合规永远是基础推动力、数字安全企业的国有化、安全能力原子化的趋势、数字安全将是万亿市场等深度前瞻的洞察。

腾讯副总裁丁珂

本届数字大会的主题为“人机合智”，意指人类智能与人工智能的结合，才能做好安全防御，才是数字安全的未来。大会专家顾问团主席、腾讯副总裁丁珂在致辞中表达了对“人机合智”这一大会主题的高度赞同，同时也阐述了他对未来安全趋势的三点看法。

第一是安全防御的无边界化：“数据全球化以及元宇宙，都将打碎数据存储和流通的边界，传统网络安全产品的战场很快将会消失。这就要求我们设计安全产品的时候，要充分考虑分布式计算、边缘计算和云计算等浪潮，面向分散的终端场景，构建新的技术内核，打造无边界安全防御体系，建立去中心化、弹性可扩展的共识机制。”

第二是安全产品的极简化：“人机合智，不仅要用技术做加法，更要用人的智慧去做减法，用尽可能简单的方式帮客户减少选择题。”

第三是安全服务的场景化：“要以技术为底座，以产品为工具，以服务为交付界面，实现客户视角下的安全服务场景化。”

数世咨询创始兼总经理李少鹏

数世咨询创始兼总经理李少鹏表示，随着习总书记的“筑牢数字安全屏障”理念深入人心，数字安全的概念逐渐取得业内共识。

以计算机安全、信息安全和网络安全的内涵结合网络安全三元论为基础，数世咨询给出数字安全概念的定义：“包含电子设备、通信网络、信息系统及电子数据所构成的虚拟网络空间，正在与现实物理空间融合成一个数字化的空间。此空间存在被干扰、破坏、盗窃和滥用的风险，围绕这些风险而展开的对抗博弈过程，称之为数字安全。

国家电网有限公司副总信息师王继业分享了国电网络安全建设的实践经验。他表示，作为全球最大的公用事业企业，国网结合十四五国家信息化规划的重点要求、落实等级保护的三化六防，将网络安全、人身安全、电网安全、设备安全并列为公司四大安全，构建了完整的安全管理体系和机制，大力推进全场景网络安全防护体系的建设，切实提升网络安全事件处突的能力。

腾讯安全副总裁、玄武实验室负责人于旸以“墨菲定律下的安全左移“为题，从“有出错的可能就一定会出错“的墨菲定律开始，引入近年来的一个CPU级别的漏洞--幽灵。”玄武实验室花了 4 天时间，确认了可以在浏览器中触发幽灵漏洞。并且，使用完全不同的浏览器，完全不同的操作系统，完全不同的 CPU，都可以被同一个网页触发漏洞“。但实际上，触发这个漏洞的用于内存缓冲对象(SharedArrayBuffer)，早已被JavaScript规范设计的专家所想到，但在“禁止”和“通过”之间衡量再三还是将其加到了标准中。通过这个例子，于旸认为，在“禁止”和“通过”之间应该还有其他选择，正确的安全理念应该是“知患于未然，阻患于将然”。

绿盟科技天枢实验室负责人、主任研究员顾杜娟与芯盾时代解决方案总监尹晓东分别以“基于数智融合的新安全“和“业务安全建设与零信任落地”进行了主题分享。

此外，主论坛还为“年度优秀CSO”进行了颁奖，并展开圆桌讨论，就数字化转型的大潮下，企业的信息安全建设困境，以及如何守护数字安全？进行了深入的讨论。

（天融信董事长兼CEO李雪莹）

李雪莹为中国科学院研究生院博士，天融信董事长兼CEO，中国科学技术大学博士生实践导师，多年来致力于安全管理与防护体系构建、安全大数据分析、云安全等网络安全领域研究和实践工作，先后负责十余项科技部、发改委、工信部的相关课题研究工作，所承担的科研和产业化项目涉及下一代网络、国产化、大数据、云安全、安全云服务等多个领域，其个人曾荣获三项省部级科学技术进步奖、两项解放军科学技术进步奖。

李雪莹博士主持过多个国家项目，主要包括2018年工业互联网创新发展工程项目、国家下一代互联网信息安全专项、电子信息产业发展基金招标项目、中关村现代服务业综合试点项目、工业转型升级-工业互联网项目等。

此外，作为项目骨干，参与过国家网络安全保障持续发展计划基金资助项目、国家“973”重点基础研究发展规划基金资助项目、中国科学院知识创新工程基金资助项目，为项目做出重要贡献。

李雪莹博士作为天融信科技集团技术带头人，持续加大新技术领域布局并在核心技术上不断突破，目前天融信已累计获得两项国家科学技术进步奖、五项省部级科学技术进步奖、一项军队科学技术进步奖。

以下为雷峰网与李雪莹的对话内容，雷峰网作了不改变原意的编辑与整理。

雷峰网：首先非常恭喜您荣获中国CSO名人堂十大人物奖项，CSO是全球网络安全领域最有影响力的行业会议之一，您可以谈一下您自己的感想、感言吗？

李雪莹：全球CSO网络安全大会是全球网络安全领域当中最具影响力的行业盛会之一，很高兴IDC今年首次将大会引入中国，尤其第一次就荣获了此奖项，我觉得非常荣幸。这个奖项实际上并不是奖励我个人的，也是对天融信这二十六年来在网络安全领域贡献和努力的认可。

为什么这么讲呢？基于天融信公司的情况，我简单地做一个总结。

第一，天融信是一家不忘初心的公司。天融信是目前网络安全行业上市公司中成立最早的公司。公司于1995年成立，在二十六年间见证了中国网络安全产业的整个发展历程。同时，随着中国网络安全领域需求的不断变化和发展，天融信不断推出创新产品和解决方案，在二十六年里持续深耕行业。

第二，天融信是一家与时俱进的公司。在公司二十六年的发展过程当中，网络安全技术和场景不断发展和变化，天融信作为中国第一台自主研发商业防火墙的缔造者，也已经成为中国领先的网络安全、大数据和云服务提供商。除了基础网络安全外，天融信在云安全、数据安全等领域里面具有全套完整的解决方案，并且在新的应用场景包括工业互联网、车联网、物联网领域方面均有完整的解决方案，为行业领域客户提供完善的服务。

第三，天融信是一个值得信赖的公司。在二十六年的发展过程中，天融信共计服务了超过10万家客户，覆盖了政府、金融、运营商、能源、教育、医疗、交通、制造等诸多行业，在客户的网络安全保障中贡献了力量。

未来天融信将一如既往在整个网络安全领域不断创新，以更好的产品、技术和方案服务于客户，为国家的网络安全保障贡献力量。

雷峰网：当前，世界经济正大跨步迈入以互联网为基础的数字经济时代，数字化转型推动着数字经济发展，而网络安全是数字化转型的重中之重。请您谈一下在此背景下，中国网络安全产业的发展呈现何种发展趋势？

李雪莹：数据经济时代，信息化的发展已经从传统 IT信息化的这种企业级应用向企业数字化转型，而数字化转型也推动了数字经济的快速发展，网络安全则是数字化转型的基石。纵观中国网络安全产业发展的26载，信息化的发展、威胁对抗的变化与国家政策的驱动成为网络安全产业发展的三大核心驱动力。在此背景下，中国网络安全产业从无到有，不断成长，目前已呈现出国产化、行业化、服务化和智能化的“四化”发展趋势。

国产化夯实了网络安全的产业基础，行业化拓展了网络安全的产业边界，服务化提升了网络安全的交付能力，智能化促进了网络安全的能力升级。

第一，国产化——未来网络安全产品和技术的发展将基于国产化的核心技术，包括硬件、软件、核心部件的国产化，是网络安全产业发展的必然趋势；第二，行业化——网络安全已经渗透到整个数字化、信息化的各个方面，网络安全与行业业务需求深度融合，场景化安全解决方案服务于行业细分和发展，应针对工业互联网、车联网、物联网、数据中心、云服务等新的应用场景提供行业化的解决方案；第三，服务化——网络安全的本质是人与人的对抗，产品已经逐渐工具化，整个安全能力的交付向服务化转型，交付服务化有利于提升网络安全效益；第四，智能化——人工智能进入到蓬勃发展的阶段，智能化在数字化和信息化中逐渐发挥作用，技术的发展使网络安全智能化成为可能，人和机器结合的智能化，可以使安全效率得到更大提升。

在此趋势下，“融合”成为网络安全产业发展的关键词。网络安全产业融合创新需要安全能力的融合、安全与应用的融合、网络安全与数据安全的融合，而技术的升级、场景的延展、生态的构建是实现产业高质量发展的路径，涵盖大数据、云计算、人工智能等技术层面融合，工业互联网、车联网、物联网等应用场景融合，以及覆盖产业链上下游的生态融合，相融共创，共同赋能网安产业高质量发展。

雷峰网：做好重大专项网络安全保障工作其实是压力较大的一项工作，您是否同意这个观点。对于减轻这方面压力您有什么建议和意见吗？

李雪莹：是的。在二十六年发展过程当中，尤其是近几年随着国内外形势不断变化，整个网络空间面对的攻击和风险是巨大的。在网络安全重大保障过程当中，所有客户以及厂商，都处于精神高度紧张状态，就像打一场“大仗”。对于重大保障，从天融信角度看，所有的保障工作应该功在平时，在平时做好相应的基础工作：

网络安全要具备体系化建设的思路，而不是期望通过某一个产品、某一项技术、或某一个人，就能解决所有的问题。

在体系化建设过程当中，有几项工作是一定要做到位的：第一，是要把基础安全保障做实，基础的防护、检测、管理、服务要齐全。第二，是有了基础保障之后，在整个安全的运营过程当中要本着持续优化的理念进行整体的安全运营，不断优化和完善整个保障体系。第三，永远没有攻不破的网络，因此还需要构建一套完整的应急保障体系。这套体系不是一个框架或者理论，而是要能够落到实践当中，并且要在实践中持续演练、定期演练，在演练中查缺补漏，持续进行体系完善。

把基础工作都做到了，在重大的安全保障中就有了基本的能力，就能够去应对重大保障过程当中出现各种的问题。但基础工作做好也并不代表一定能解决所有问题，所以每次重大保障中，天融信也会和客户共同去面对和承担相应的任务。

雷峰网：在新技术、新趋势、新威胁下，国家每年对一些科研项目，对重大的专项工作都有一些投入，您认为中国网络安全企业在一些创新战略中有哪些问题，或者是难点需要解决，如何把这些安全能力赋能给用户呢？

李雪莹：这些年整个IT技术产生了巨大的发展，包括云、人工智能、物联网、工业互联网、车联网等方向。这些技术发展的同时也带来了新的威胁和挑战，比如云上的安全问题、数字化转型当中所带来数据安全的问题等。由于这些技术的快速应用，安全问题已经不仅仅存在于以往的基础信息网络，而是已经扩大到包括工业领域里面的工业互联网、和车相关的车联网、和人相关以及各种物相关的物联网等新的场景中。

针对这些安全问题，国家在近些年做了很多重大项目支撑，包括一些关键技术、突破技术方面，比如数据安全、人工智能等方向，以及产业化的专项，包括工业互联网、车联网等方面。在过去的几年中，天融信都参与了这些重点项目，并在参与专项工作中发现，项目难点在于客户迫切需要去解决的痛点，与安全解决方案是否能快速推出、应用并解决相应的安全问题，在某种情况下是一对矛盾。

针对这个问题有几项重点工作：第一，针对客户的痛点，要快速地推出相应的产品和解决方案，即先形成快速的应对手段。第二，在实践方面，能够在典型客户的实际环境当中，针对痛点把这些手段进行实践、落地、验证、完善，即实践和立标杆。第三，有了产品和解决方案，利用天融信面向全行业和全区域的服务支撑体系，能够快速地把方案推广到整个客户群体，尽快地服务于客户，实现产业化。

简单概括为：要有手段，要能够落地实践、立标杆，要能够快速地推广和应用。

此外，所有工作都需要人来完成，人才的培养和建设非常重要，天融信在人才培养和建设方面做了以下几个方向的实践：

第一，对于新鲜血液，即对在校学生的赋能，使在校学生具备快速掌握产品和技术的能力，一旦毕业进入社会能够快速解决问题。因此，校企合作是很有必要的，天融信在校企合作方面开展了很多工作，并针对在校生开展了相应的技能培训。

第二，天融信是行业老兵，一直奋战在一线，面对新技术、新场景，天融信技术人员的能力也随之得到了快速提升，某种程度上也属于天融信技术人员在这些新领域的职业培训。

第三个，在专项培训方面，天融信也有很多的实践。比如数据安全，数据安全是一个很重要且复杂的问题，需要处理人员具备专业知识能力。天融信在过去的几年推出了针对数据安全方向的专项培训，比如天融信是CISP-DSG（注册数据安全治理）专项证书授权运营中心，能够让参与培训的专业人员有能力对数据安全治理发挥作用和价值。另外，当前都倡导企业中设置数据安全官，针对数据安全官，天融信近期还推出了CISP-DPO（注册信息安全专业人员-数据安全官）的专项培训，以满足技术人员的培训需求。

天融信通过对在校学生、在职人员等专项培训来提高人员的能力，使得后续这些专业人员在面对新技术、新场景中能快速地将能力应用起来。

补充：非常感谢IDC这些年对于天融信的支持，天融信是做产品、技术和解决方案的综合网络安全厂商，对行业很多了解来源于客户。但是这些了解明显是不够的，在过去的这些年，IDC针对于全球，针对于中国网络安全市场的发展，也对天融信提供了很多的帮助、意见和建议，对于企业的发展也发挥了很大的作用。所以这一次借此机会也感谢IDC给予我们的帮助。未来，我们要一如既往地把工作做好，更好地服务于客户，服务于国家的网络安全建设。

据了解，大会围绕网络空间安全与技术发展、数字转型与数据安全、云运营与云安全等内容在金融、教育、运营商等多个行业设立专场、专题分论坛，汇聚资深网络安全行业专家，集合产业发展多方力量，分享新技术、新形势与新探索。

当前世界百年变局和世纪疫情交织叠加，新一轮科技革命和产业变革深入推进，推动数字化转型日益成为顺应世界之变、时代之变、发展之变的重要任务。守好网络安全“大门”，数字经济发展才有更多可能性。

绿盟科技集团总裁胡忠华在致辞中表示，绿盟科技Techworld技术嘉年华今年正好是第十年，能在疫情期间欢聚一堂实属不易。从最开始内部的技术研讨会，演变成今天面向全行业，为一群纯技术范儿搭建一个平台，共享新技术、共话新形势，是策划这个活动的初心。这个活动已经成为公司不忘老朋友、认识新朋友的一次聚会。我们把今年大会的主题定为热爱。对技术本身不断的追求，源自真诚的热爱。

纵观绿盟22年来的发展历程，绿盟科技始终本着为客户创造价值的初心，通过自身不断进化的攻防能力为用户赋能，这与“不负热爱的理念，传递核心技术价值”的大会宗旨是一致的。未来，绿盟会一直探索，不断创新，为客户提供更好的服务，为客户创造更多的价值。

绿盟科技集团总裁胡忠华

在云原生时代下，云的安全能力和数据安全能力成为热点话题。会上，绿盟科技集团首席技术官叶晓虎博士就云原生时代安全能力体系的构建分享了他的观点。

叶晓虎表示，数字化创新需要坚实的安全底座，针对绿盟科技2021年提出的智慧安全3.0理念，“全场景、可信任、实战化”的体系化安全建设要求，绿盟科技深刻理解多个新场景，在多个安全方向上取得了很多成果，并通过产品、服务和运营把成果转化为能力，传递给最终用户，形成实战化的检验。在开展安全运营实践过程中，总结了当前客户安全建设的趋势和面临的痛点，客户需要关键时刻用得上“看得见、抓得全、管得住、应得快”的安全。

2022年，绿盟科技在智慧安全3.0基础上提出以云的思路，构建弹性、异构、按需服务的安全能力体系架构，发布了云化战略——T-ONE CLOUD，它整合了绿盟科技最强的产品力和服务能力，创造性实现支持弹性异构的安全运营方案，推出三大新品：安全运营中心、魔力防火墙NF-SSE和手机APP，把所有安全能力转化为服务通过云化方式交付到客户现场。

据介绍，T-ONE CLOUD 采用可信任的连接和访问机制，并通过绿盟科技八大实验室研究实力赋能智慧安全大脑，保障高效检测，持续完善关键观测指标。叶晓虎以两个运营实例讲述了T-ONE CLOUD：第一是，“魔力防火墙的魔力”，为某教育用户形成灵活可扩展的高效运营方案；第二是，“轻量化渗透测试飞起来” ，5天完成某金融用户300+资产的渗透测试应对突发检查。

绿盟科技集团首席技术官叶晓虎

另外，在大会现场国家信息中心首席工程师李新友表示，近年来，我国政府逐步从“政府信息公开”向“政府数据开放”探索前进，各地政务数据向社会公众开放的进程逐步加快。随着新兴技术快速发展、应用场景迅速扩展、安全形势不断变化，在数据成为社会发展关键变量的同时，数据作为重要的生产要素，也面临着安全挑战，因此在促进数据开放与共享的同时，更要高度重视对数据的保护。

国家信息中心首席工程师李新友

“十四五”开局以来，数字经济发展进入“快车道”。数据安全作为产业数字化和数字产业化发展基石，已成为国家顶层规划以及各行业建设的重点内容。

会上，中国信通院与绿盟科技共同成立“数据安全联合实验室”，以推进数据安全研究、技术攻关和成果转化，培育数据安全产业生态，促进数据安全创新发展。双方将在数据安全关键技术研究、数据安全解决方案制定与产品研发、数据安全标准制定等方面展开深入合作，推动产学研协同和成果创新，培养适应未来需要的实践人才。

中国信息通信研究院安全研究所副所长魏薇（图左）

绿盟科技集团首席技术官叶晓虎（图右）

大会还同步举办了三个分论坛包括：“创新派”数据安全治理与防护论坛、“实战派”金融数字化转型论坛、“学院派”产学研创新融合论坛，其中来自政、产、学、研、用各界，以及国家级安全主管部门、产业界的安全大牛、知名高校网络空间安全学院领导等，就数字转型与数据安全、技术创新、产学研协同创新实践等热点话题进行了深入的演讲交流。

十年来，TechWorld技术嘉年华的“朋友圈”越来越广，大会不仅是技术爱好者的狂欢节日，更是见证中国网络安全行业发展的重要平台。披荆斩棘，十年复始。唯有专业坚守，才能见证传奇；唯有执着不懈，才能问鼎未来。

相信绿盟科技站在十年新起点，会继续用技术创新驱动产业升级，为数字化发展筑牢安全基石。（雷峰网）

反过来看，出海企业相当于到了一个新世界，只对中国市场的公有云和安全服务熟悉，但在海外只有欧美的厂商可供选择，“两眼一抹黑”。这对于国内的安全厂商、云厂商、音视频技术解决方案商是一次极其难得的机会，给国内出海企业提供新选项的同时，也可以在国际化的市场上拓宽自己的护城河。

7月29日，腾讯安全面向全球企业级市场发布的首款战略产品——边缘安全加速平台Tencent Cloud EdgeOne。该平台集成DNS解析、四层代理、站点加速、智能加速、DDoS防护、Web防护、Bot防护、负载均衡等十余项功能，为企业提供安全防护、性能加速及相关技术支持等边缘一体化服务。

腾讯云副总裁李郁韬告诉雷峰网，对于出海企业来说最关注的首先是性能；其次是安全能力，例如安全的容量、安全检测能力、安全阻断等；再次是性价比，用最高的性价比去一站式购齐所有产品，这可以给用户带来更好的体验，这也是Tencent Cloud EdgeOne的差异化竞争点。“很少有厂商能够把安全边缘加速平台、音视频以及中心云的产品进行融合，提供一站式的服务，而这是腾讯能够做到的。”

（腾讯云副总裁李郁韬）

打出一张“安全”牌

随着数字经济的发展，中国企业出海的速度加快，我们所熟知的很多APP、音视频平台、电子商务平台，对于计算能力和高速的网络服务需求越来越强烈。云厂家、CDN厂家等都纷纷入局，那么在众多的厂家中，企业应该选择什么样的云服务？

李郁韬认为：“在全球的互联网业务的发展过程当中，安全是一个日益凸显的全球性问题。在当前复杂的局势下，去构建一个能保障客户用云安全以及业务安全的一个产品，其实是一个必不可少的一个事情。”

对于出海企业来说，稳定且低延迟的网络服务固然重要，但是安全问题也不容忽视。

例如电子商务行业经常遭受网络攻击，导致业务被迫中断，影响用户体验。一些互联网视频平台经常遇到恶意刷流量和内容盗版等一系列问题，以往需要多个产品的组合来孤立地解决，产品间缺乏联动，这对于企业安全防护和加速产品是一种考验。

而边缘计算可以为应用开发者和服务提供商在网络的边缘侧提供云服务和IT环境服务，在靠近数据输入或用户的地方提供计算、存储和网络带宽，因此有着更低延时、有效抑制网络拥塞的特点，可以让用户感觉到刷什么内容都特别快。

但在边缘端也更易受到各种网络攻击例如DDoS，而边缘安全就是在这基础之上，让更多的客户就近接入到边缘，用边缘计算力保障业务安全。在李郁韬看来，边缘是中心云的一个延伸，用户的需求更为广泛，不管是中心云厂商、CDN厂商、安全云产商都布局做产品，其实目的也是为了满足更多客户和开发者上云的需求。

李郁韬表示边缘安全有两点优势：

第一：边缘实现了性价比和性能的折中。通过边缘计算上云可以使网络得到加速，但是业务面临被暴露在边缘的威胁，这个时候除了在中心云防火墙和云安全的产品，同时也要在边缘部署基本的CDN、Web防护等能力，一体化的防护和加速可以让用户实现性能和性价比最优。

第二：边缘安全相对于中心安全还有一个巨大的优势，由于节点数众多，应用Tencent Cloud EdgeOne的网络技术之后，可以让边缘的节点能够形成大的防护集群，提供更大容量的DDoS防护带宽，这是很多中心云所不具备防护容量的能力。用这种方式跟中心云去做一些搭配，可以很好的满足不同层级客户的不同需求。

Tencent Cloud EdgeOne可以在L3/4/7（计算机7层模型中的网络层、传输层、应用层）提供加速服务和安全防护，而边缘安全的产品未来还会进一步往更丰富的安全保护维度延展，除了Web防护、CC攻击防护等，还有很多智能安全的产品都可以以轻量化的方式在边缘安全层面上落地。

据了解，因为腾讯二十多年积累的安全能力，所以只用半年的时间，就将安全能力、音视频能力以及加速能力进行了一定的产品化和整合。2021年，腾讯云发布了RT-ONE网络，整合了腾讯云实时通信网络(TRTC)、即时通信网络(IM)以及流媒体分发网络(CDN)三张网络，构建了一个完整的音视频通信PaaS平台构建基座，提供一站式的音视频服务。

如今在RT-ONE网络的基础上注入安全能力，整合升级为Tencent Cloud EdgeOne，将能力下沉至最接近用户的边缘节点，提供全链路安全防护及加速服务。

瞄准海外市场“一体化”能力成关键 

腾讯此次推出的全新产品，显而易见瞄准的是出海客户。目前国内的市场需求已经基本可以满足了，但是随着出海企业的增加，这些企业在海外反而面临更多的难题。

面向音视频、社交娱乐、游戏还有电商等行业用户在出海过程中的需求，安全和加速能力缺一不可，一体化能力成为关键，这也是未来的发展趋势。

对于海内外企业的需求差异，如何用更好的产品形态去满足客户的需求，特别是出海客户的需求，是腾讯思考的问题。过去半年腾讯克服了三方面的挑战：

第一，Tencent Cloud EdgeOne不仅接轨了国际最新技术、产品的规范和要求，同时也兼顾了中国客户原有方案的平滑过渡，便捷高效地为企业打造完善的安全和加速服务。

第二，升级全球部署的2800多个边缘节点架构，让其具备安全防护清洗能力，形成分布式的边缘DDoS防护的集群，这也是最重要的基础建设和技术改造升级；

第三，整合加速、音视频、安全和通讯产品形成一体化的体验，让腾讯云一站式满足用户需求；

李郁韬告诉雷峰网：“国内外的业务对网络安全的诉求基本上还是趋同的，只是海内外的安全厂商提供的方案可能略有不同，海外厂商的安全性服务云化程度更快，海外很多企业安全产品都部署在云上面，而国内还处于一个发展的阶段，国内很多出海企业，一般习惯将加速产品和安全产品分开购买，比如先买一个CDN再买一个动态加速产品，之后再买一个安全防护产品，很多安全产品是以私有云的交付的方式给客户部署。因此，很多时候出海企业在选择方案的时候不得不改造自己的技术框架，重新适应海外供应商提供的方案。”

虽然海内外用户使用习惯不同，但未来对于云厂商亦或是安全厂商，“一体化”能力或成在未来竞争中取得优势的关键。

基于此，腾讯推出Tencent Cloud EdgeOne，提供边缘一体化的安全加速服务，让出海企业可以有更多的选择。但同时也意味着，要直接与海外主流安全厂商竞争，像cloudflare、Zscaler和Fastly等。那么腾讯的底气是什么，为什么敢迎头而上？

据介绍，Tencent Cloud EdgeOne在全球五大洲70多个国家及地区部署了2800多个边缘节点，确保全球各地用户可以实现就近接入。同时，为了保障用户的使用体验，Tencent Cloud EdgeOne全球储备带宽160Tbps+，为数据高效传输和安全防护功能构建了强大的底层资源。此外，自研路径规划算法和自研智能丢包补偿方案，有效提升了全链路性能。经过实际测试，针对图片、视频等内容场景的访问，Tencent Cloud EdgeOne可以提升性能60%+；直接访问远端的数据中心时，性能提升33%。为了满足企业低延迟的需求，Tencent Cloud EdgeOne 还整合了DNS功能，服务容量1亿 QPS，满足大部分业务应用的需求。

一方面，对于出海企业来说基于对原有国内厂商的信任和熟悉，有了更好的选择；另一方面，中国在互联网、云计算上面的发展速度和创新的确在全球是领先的。“我们在国内所积累的网络安全的能力、音视频的能力和加速的能力，放眼全球来看也是比较具备领先优势的，我们也非常有信心把这种一站式的产品做到跟海外市场的一些供应商进行竞争，从而推动这个行业有更好的发展，”李郁韬如是说。

作者：李扬霞

编辑：林觉民

一直以来，海湾战争被认为是信息化战争开始的标志，美军曾在分析总结海湾战争获胜原因时认为“战争中最致命的武器不是导弹和战斗机，也不是战舰和坦克，而是部署在整个战场庞大的侦察预警系统。”

而在如今频繁发生的数字空间网络战中，同样“看见”是防御的首要能力，要知道风险在哪里，是什么样的风险，什么时候的风险，才能进一步处置和应对。

作为攻防双方较量的主战场，终端承担了“看见”的关键。攻击方企图通过对终端的入侵渗透，撕破防御体系，近年来利用0day漏洞、未知恶意软件进行攻击的安全事件层出不穷，给涉事企业带来严重的经济损失。而防守方筑牢内网防线，力争发现并反制攻击行为。

对于安全行业来讲，对已知安全威胁的防御已经相当成熟，但对于未知威胁的防范却成了很多企业的一大心病，传统的安全防护手段\工具，已经难以和全新的网络安全威胁进行正面对抗。想要实现“看见”威胁主动防御，EDR成为了破局之道。

近日，360推出了新一代的终端防护利器——360EDR。在第十届互联网安全大会（简称ISC 2022）上，雷峰网采访到了360集团副总裁、首席科学家潘剑锋，他表示：“EDR的核心思想就是主动式防御，以前的端点安全产品只能应对已知威胁，EDR产品对于未知的攻击能够通过系统和人的配合，捕捉异常行为、分析攻击、及时响应、自动化拦截形成闭环。”EDR 的出现代表了安全理念的一个重要转变：从见我“所见”，到见我“未见”。

安全没有 “银色子弹”，我们无法拦截所有攻击，一味的严防死守、高筑城墙的理念已经不适合当下数字经济时代，只有及时发现异常并且进行处理，将损害限制在可控范围内，才是端点预防攻击最佳理念。

（360集团副总裁、首席科学家潘剑锋）

我们需要什么样的EDR？

EDR最早由Gartner在2013年提出，并连续多年被Gartner列为十大技术之一。最初提出EDR概念是为了弥补传统终端管理系统（EPP）的不足，而现在EDR与EPP相互补充融合，逐渐已成为各大安全厂商主流的终端防护部署方式。

在过去十多年里，终端安全仅仅指的是杀毒软件，后来才升级到EPP。EPP也被称为第三代杀毒软件，拥有杀毒、防火墙以及外设管控等功能，是综合性的终端保护软件。但是对于复杂和有针对性的攻击，例如APT攻击、0day攻击等，EPP也束手无策，而攻击者可以通过定制化的恶意软件成功绕过防御。另外，EPP各个防御工具的告警也相互独立，缺乏对终端的持续监控，安全人员很难定位威胁的来源以及威胁造成的影响。

EDR技术应运而生，EDR是一种主动式的防御。面对更加隐蔽和高级的持续攻击，EDR的原理是把威胁放进来，研究其路径，进行分析和判断，再进行阻断，更侧重于“检测”和“反应”，如果经判断有危害，那么下次再出现类似的攻击就可以直接阻断，从而形成一整个闭环。它保护的并不局限于端点本身，而是以端点为基础，收集更多信息，结合大数据和机器学习的技术，发现潜在的未知威胁，并作出响应。

由于，各厂商对EDR理解不同，其产品也有所差异。因此也有人认为“国内某些“EDR”都不是真正的EDR，是EPP甚至是AV（反病毒软件）换了皮肤，是假的EDR。”那么我们到底需要什么样的EDR？

首先，大多数企业想要EDR功能确实不假，但是一些客户部署了一堆威胁检测盒子，告警量一天达到千万级以上，无法有效的识别有价值的告警；而且，告警量的增加势必需要投入更多的人员进行安全运营，无形中增加了安全的成本。其次，大多数EDR，其实都是一个个孤岛，没有数据积累，采什么样的数据？怎么采？其实是很难的一件事情。

那么问题来了，到底具备什么样的能力才是‘真EDR’？

具体来说，EDR的核心能力应该包括大数据存储、安全事件采集、后台分析追踪溯源能力以及响应能力等。潘剑锋认为：“判断EDR是否具备真能力，最重要的是看实际效果。”他以坦克举例，评判一辆坦克的性能好坏，主要是在战场上真实有效的。如果只是按照概念包装出来，则毫无意义，真正要看到底采集了什么数据？分析能力到底怎样？炮筒是125毫米还是50毫米，威力是完全不一样的。

这里，以360EDR为例，把增强“看见”能力作为核心，包括看见自己、看见自己的资产、看见敌人的攻击和威胁，而最核心的是“看见威胁”，看见威胁之后基本就解决了80%的问题，只有看得见才能意识到威胁的发生并进行预防。如果你都没有看见威胁，这才是最危险的，因为什么都做不了。

360EDR如何“看见”威胁

“能够看见威胁就解决了80%的问题，‘真EDR’是看见威胁的眼睛，能真正看见包括APT等各类威胁，它具备全球视野+AI+实战能力+云端分析能力+高级端点能力，”潘剑锋如是说。

那么，想要实现“看见”威胁，这背后又需要哪些核心能力？潘剑锋指出想要“看见”威胁实现挂图作战，需要具备“云+端+数+人+AI”五方面的能力。

云：云端大数据处理能力、分析的能力和存储能力。EDR核心是要能够存储真正的安全事件，事件汇集起来是非常庞大的数据，因此一定要具备存储能力。其次，能够对数据进行有效分析，要处理来自全球十几亿终端的安全事件，需要具备EB极大数据分析能力、能调用百万颗以上CPU参与运算。360覆盖了全球15亿终端，能够实时感知全球全网安全事件，将安全数据汇聚至云端分析处理，真正实现了数据云端打通和协作。

端：终端上高质量事件的捕获能力。终端上的数据采集和与分析能力，很大程度上直接决定了EDR的检测溯源效果，是EDR看得见能力成败的关键保障。一定要保证事件的精度要高，如果采集的都是低质量的信息，会消耗宝贵的存储和分析资源。另一方面，EDR事件探针的维度，站在高于攻击者的维度。业内部分厂商，可能仅仅是利用微软标准接口来进行威胁信息收集，但标准接口厂商知道自然攻击者也知道，他们站在同一个起跑线上，厂商能做到的，攻击者一样可以。因此，摄像头必须要装在攻击者摸不到的地方，要不然别人进来第一件事就是把摄像头盖住。360 EDR基于冰刃虚拟机的探针可以从高于内核的维度来采集安全事件，是国内唯一默认为上亿用户开启的虚拟机探针，确保了事件的高可信度，”潘剑锋表示。

数：大数据。360有十几亿终端，数据量是最大的，所以见到攻击是最多的。在大数据的赋能下，360可以将个人用户和很多能联网的企业用户打通，将他们的安全事件在后台统一分析，相当于在A厂发现威胁就可以应用到全部客户，打破了终端之间的孤岛。

人：人是实战专家，要看见威胁，需要有丰富的实战能力。目前，360拥有具备顶级漏洞挖掘能力的东半球最强白帽军团。至今为止，360专家已成功挖掘谷歌、微软、苹果等主流厂商CVE漏洞近2000个，包揽三巨头史上最高漏洞奖励，并已成功追踪溯源海莲花、摩诃草、美人鱼、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。在持续与各国高级别黑客较量过程中，淬炼出了一套业界独有的“实战兵法”，并以此赋能指导360EDR实现对各种威胁进行溯源分析及提供相应的解决方案。

AI：AI有一个很重要的点，数据越大，训练结果就越好，而360的数据就足够大。海量的大数据都需要人工智能进行处理分析，能节省绝大部分人工时间。360拥有静态样本检测的QVM，从使用早期支持向量机、随机森林等算法，到使用AI研究院自研算法，是成熟的下一代人工智能反病毒引擎；雷鸟引擎则是针对EDR所采集的时序事件进行分析，既包含经验规则匹配，又利用长短期记忆网络等深度学习方法训练与检测。

归根结底，EDR考验的是前端数据采集能力，后端的安全大数据支撑及分析和策略控制能力，而这正是360 EDR的独特优势所在。360 EDR上述“云、端、数、人、AI”能力，能帮助政企用户消除视觉盲点、认清风险的同时，自动化处置藏匿其中的恶意行为，深度追踪溯源取证攻击源头。

云地双栈，SaaS化部署

随着数字化的深入发展，大量的设备入网、业务和数据上云，对于安全也提出了更高的要求。SaaS化服务模式也掀起一股热潮，譬如国外的EDR厂商CrowdStrike，作为当红炸子鸡市值一度接近500亿美元。

反观国内，其实SaaS化的需求也在逐渐增加。中小企业很多时候没有部署成熟EDR产品的能力或者没有相关的人才技术。潘剑锋指出：对于大型央国企，他们有能力自建队伍培养人才；而对于中小企业来说，SaaS化服务可以很好解决该问题。

事实上，360EDR的SaaS模式远比CrowdStrike更早。

这背后的逻辑是，十几年来，360帮助几亿个人用户、大中小企业、国家解决安全问题，完整存储记录下了360看见的全量安全大数据，在此过程中把最新攻击样本第一时间收集到云端，积累形成总数超300亿的安全样本库，能够解决发现已知攻击问题。为识别未知攻击，360基于上述样本建立了大规模的APT基因库和攻防知识库，包含所有近千种技战术种类，数千种杀伤链模型，数万种漏洞利用和典型攻击的实例，百万攻防知识图谱和百亿实战分析图谱，相当一部云端百科全书。

SaaS化、智能化是360 EDR的未来演进方向。

一方面，360 EDR可以在云端采用SaaS的部署模式，为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力，支撑安全专家随时进行主动的威胁狩猎。另一方面，基于知识图谱和AI技术带来的技术提升，360 EDR也越来越智能化，包括实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等。

此外，360EDR还有一个特点：支持云地双栈部署。面对大型企业隔离网环境， 360EDR可以灵活进行本地化部署。如果想要连云，同时也可以享受更强的SaaS化服务。

总体而言，360 EDR依靠360在数据、情报、专家的赋能，以及云地一体的架构，能够实现SaaS化或本地化部署，兼具智能化功能，为政企用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务，帮助用户大幅度提升安全风险的识别、保护、检测、响应、恢复等各项能力。

可以看出，SaaS化的服务模式，部署易，成本低，大大解放了用户的劳动力，实现了降本增效。

做安全需脚踏实地

在数字化转型过程中，云计算、大数据、物联网、移动互联等技术的业务应用加速落地，原有的网络边界被打破，导致终端成为新的安全边界，终端作为数字化基础节点面临对抗加剧、安全挑战严峻。

传统基于规则的被动防御技术已经无法适应新的威胁环境，网络安全已经进入检测与响应时代。因此，EDR（端点）、NDR（网络））、TDR（威胁）等检测与响应技术纷纷出现。

尤其XDR（扩展的威胁监测响应），Omdia预计：到2026年之前，XDR业务营收的复合年增长率将超过56%。业内一部分人认为XDR集合了NDR和EDR的优势是终端安全的未来，能做到流量端和终端更加全面的检测。因此不论是安全厂商还是创业公司都纷纷加入XDR行列，XDR与EDR究竟是互补还是颠覆？

对于此，潘剑锋抛出一个观点：“安全这个事情实现不了弯道超车，比如以前没做过EPP，现在就想用EDR的概念实现超车，以前没有做过EDR现在就想打着XDR的概念实现弯道超车，这样的理念是完全错误的。”

这里有一个生动比方：假设EDR是摄像头、NDR是温度传感器，如若摄像头不行看东西都是模糊的，温度传感器也感知不到38度和39度的细微差别，那么连在一起XDR就能够抓到小偷了？这当然不可能。

安全行业还需要一步一个脚印稳扎稳打。就终端安全来讲，未来终端安全能力一定会实现一体化。

潘剑锋表示：“360拥有十几年实战经验，我们觉得未来安全发展趋势一定向真实的安全能力，解决安全问题的角度，相信真正能够解决用户问题的安全产品才会受到市场欢迎。”（雷峰网雷峰网）

作者：林觉民  李扬霞

编辑：林海峰

绿盟升起群星，并非偶然。

一、戈壁苦少年赴远游，纵觞饮老沈聚英豪

1997年，scz在计算机软件专业毕业后，作为一名铁道学院电子工程系的高材生，被分配到了宁夏的一个铁路机构工作。

他本来的想法是，做一名在电算中心操作计算机的调度员；

结果，他事实上成了一名在铁路上摘车厢、扒车轨的扳道工。

站点四周为茫茫荒漠，scz去最近的城市银川，算算都有几百公里路程。

化用《尚书·武成》里的话说，他当时的状态堪称“偃文修武，马勒戈壁”。

而且，scz当时的工资是425元，实际到手仅245元。

数月后，香港回归，全国也在进入奔小康的冲刺阶段，他的个人生活却与小康越来越远，只好离职回母校找活干。

在大学的网络中心担任临时工期间，scz挣到了700元的到手月薪，并且成为了水木清华JAVA版的版主，就是这段期间，他在UNIX开发方面积累了很多经验，也认识了刘闻欢（网名：deepin，现深度操作系统创始人）、左磊（linux大神，网名：warning3）、卜峥（网名：Pix，现滴滴信息安全副总裁）。

1999年末，已经北漂的scz接到刘闻欢打来的电话，表示有个圈内的活动可以参加，左磊也在，大家也能见面聊聊。

scz觉得可以，便去找卜峥，希望约他一起去见刘闻欢和左磊。

卜峥最近对雷峰网回忆了当时场景：

他一听说地点是北京重庆饭店，立刻反应过来那是北京东部一间集大使馆、饭店、展览中心于一体的高档消费场所，还问了一句：“干嘛要去那么高级的地方？”

在他当时的认知里，这不过是一次朋友见面，实在没必要如此隆重。

卜峥和scz来到重庆饭店后，两人跟着刘闻欢走进了屋子，发现里面已经有包括袁哥（漏洞之王）、于岗（传奇黑客，网名：小鱼儿）在内的十余人，并且见到了活动的召集人沈继业。

用现在人的视角来看，这简直就是一次黑客界的复仇者联盟。

从众人谈话的气氛中，两人感觉这个活动似乎有什么特别的意义。

就在这时，沈继业开始了总起性发言：“我们这些人有三条出路：一是“进去”，二是洗手不干，三是做正经安全服务。”

(沈继业)

显然，老沈把大家聚起来，肯定不是为了“进去”和“洗手不干”的，所以事实只有一条路。

卜峥和scz才惊讶的发现自己竟然误入了绿盟公司成立的誓师大会，正当他们不好意思的时候，他们更惊讶的发现，自己的名字竟然在这场创业会议的纪要名单中。

回忆这段经历时，卜峥说了一句《大话西游》里的台词：“我牙都还没刷呢。”他当时根本不知道怎么回事。

不久前，刘闻欢对雷峰网解释了事情的原因：“老沈准备创业一个“新公司”，他找的我，我拉来了scz和卜峥。”

注意，这里刘闻欢提到“新公司”一词，那“老公司”是什么呢？

这里我们再补充一下事情的大背景：

上世纪末，国内崛起了四大黑客组织——辰光（创始人谢朝霞）、中国黑客（创始人彭泉，网名PP）、天行（创始人陈伟山）、绿色兵团（创始人龚蔚），中国初代黑客也跟着走进大众视野。

在这顿饭局前数月，它们都经历了一轮公司化改造：

“一网情深”创始人张春晖联合谢朝霞、彭泉、陈伟山三位创始人，将前三个组织整合为知名网络安全公司——安络科技；

清华出身的连续创业者沈继业在这年1月份前往上海，参加了绿色兵团召开的第一次年会，并进行商业化改造，组建了上海绿盟信息技术公司——这也是对应“新公司”的“老公司”。

一年以后，这两家公司就对簿公堂了，据说原因是以龚蔚为首的几名上海绿色兵团老人认为自己才是公司创始人，与沈继业等人产生了冲突。这段公案细节请见《沸腾十五年》127页。

这里只说结果：“老公司”败诉，被判归还拨款。龚蔚等人以绿色兵团的isbase域名低偿债务。

沈继业并不愿意继续用这个域名，而是采用了nsfocus作为“新公司”的新域名。

本文主要故事，也是围绕以nsfocus为域名的新公司——绿盟展开。

时间回到当天饭局，沈继业宣布创业以后，可能是气氛烘托到那了，以至于最后scz和卜峥连股份都没谈，就都跟着加入进去。

scz甚至在回去后第二天，就向原来工作的启明星辰提交了辞职报告，毅然加入绿盟。

那时候，大家都很年轻，还想着改变世界，于是便敢于以“做中国最好的网络安全公司”作为目标，动辄就要做世界最顶尖的产品。

沈继业创办绿盟后，饭局上众人都被委以重任。

刘闻欢担任了首任工程部的负责人。

（刘闻欢）

刘闻欢加入时，23岁，却仍然留着一头飘逸的长发。工作起来就是拼命三郎，熬夜研究更是家常便饭，属于那种沉浸型人格。

后来，他因为牵头创建deepin社区和操作系统名扬海内外，贴吧里有人说他是“嫁给操作系统的男人”，应该是调侃他长期单身，一直到前两年才结婚，卜峥还是伴郎。

其实，刘闻欢本来就迷恋研究操作系统的，他之前在武汉读书时甚至参与发起了【武汉Linux用户协会】，后来到北京工作，一直在亚信负责系统安全服务。

他离开亚信参与创建绿盟后不久，亚信战略投资了一家叫玛赛网络的公司。两年后，由于发展未达到预期，那家公司有一帮人离开，然后就被刘闻欢请到了绿盟，其中就包括陈珂（现绿盟高级副总裁）、吴云坤（现奇安信集团总裁）。

卜峥担任了首任开发部负责人。

（卜峥）

卜峥可能是唯一跟沈继业谈条件的人，他表示现在的商业模式不行，要创业就一定要做产品。

沈继业问他原因。卜峥解释道：“只要10个研发做出产品，就能卖出上千万的收入，而且每年都可以卖这么多。”

卜峥当时没有做过市场调研，但也不是信口开河，他在大学里跟着院士级导师做项目时，亲眼见过一个产品卖2000万这种事，对市场很有信心。

沈继业觉得这个想法很好，便说：“那你来负责搞吧。”

卜峥在这件事上做了两年时间，后来因为家庭原因去了美国，之后李群接掌开发部，而且一接多年。

左磊担任首任研究部负责人。

左磊有一堆外号，tt、warning3、w3这些指的都是他，性格极为沉稳，面对任何变故都能表现得云淡风轻

他负责的研究部又叫非正常人类·研究中心，可以这么说，绿盟后来积攒的各路大神都被塞进了这个部门，其中不少人都成了传奇，比如于旸（外号：TK教主）、汪列军（网名：star），刘业欣（外号：小钻风）……等等，当然这都是后话。

以上，工程部、开发部、研究部就是绿盟初期三大核心部门。

那scz呢？他职位刚开始在研究部，但事实上跟所有人都有关，沈继业有啥难事，就把他往哪里搬。

二、时运难京城人不散，元气复上海又重整

沈继业作为绿盟核心，比其他创始人要年长些，自清华毕业后已经有过两次创业，分别做过网络技术实施和信息咨询，早就掘过第一桶金，可以说是颇有积蓄，不然也不会在重庆饭店搞活动了。

绿盟成立之前，沈继业买过一支名为“华新水泥”的股票，而这一买就被套牢了。

在绿盟成立后，公司有大半年时间非常缺钱，甚至无法给员工发工资，尽管大家甘愿停薪，坚持一起奋斗下去，但公司还是有房租、水电、办公、差旅这些项目需要开支。

每次遇到资金短缺，沈继业就只能卖一部分“华新水泥”这支股票，把钱交给财务，让他去银行取出来应急。

如此多次，在向联想融资之前，沈继业已经借给公司60万元以上。

按照时任会计单勇（后绿盟上市时，首席财务官）的估算，如果沈继业当时没有卖出那些股票，可能会有十几倍涨幅。

炒过股的同学应该都能想象，被迫卖出一支套牢的股票，到底有多肉疼。

那么，绿盟为什么没钱呢？

首先是投资断了。

其实，在公司成立之初，甚至在沈继业去说服绿色兵团之前，他确实得到过一位投资人的支持。

那位投资人名叫姚文彬，他才是真正搞资本运作的人，早年在机械电子工业部工作，后下海创立“中国在线”，并将其卖给“中联在线电子商务公司”，自己也出任了中联的董事和副总裁。

绿盟的正式名称叫“中联绿盟信息技术有限公司”，也是因为姚文彬将自己持有的股份卖给了中联，而中联又投资了绿盟的原因。

但是，姚文彬对绿盟的投资似乎只给了初始资金，后面因为市场变动，并没有持续交付，所以沈继业失去了一笔预期到位的资金，才只好自己填上。

后来，绿盟进入正规，向联想做正式融资后，姚文彬果断退出。

之后，姚文彬拿着这笔钱，进军手机游戏和手机阅读领域，屡屡创造神奇资本并购案例，被称为妖股缔造者，现在为掌趣科技董事长，也是大佬级LP，是高榕资本等多家投资机构的出资人。

除了投资没有到位，绿盟面临的另一个问题是互联网泡沫破灭。

那时候，绿盟还没有研发出产品，投资也没有到位，只能靠到处去给人做渗透测试、给人写报告和做加固培训，按理说大家肉身做了那么多项目，也能养活公司。

但是绿盟刚成立的2000年初，就遇到美国纳斯达克市值一泻千里，直接斩掉三分之二，全球互联网行业都一片灰暗。

比如，绿盟当时刚刚签了一家叫脉搏网的公司，别说让人家打款了，人家第二天就直接倒闭给你看。

再比如，成立不久的腾讯当时找绿盟做安全服务，沈继业安排李路（网名：arrow）去做的执行，结果只收了个首款，后面腾讯根本没钱按期偿付。

李路没有办法，只好请沈继业飞了趟广州。

沈继业虽然去了，也没从马化腾手里要到钱，只能跟小马哥谈了个QQ客户端广告年框，算是抵扣了之前的服务费。绿盟一个做B端服务的公司，竟然也因此在QQ打了一年广告。

后来项目完结，腾讯还试图邀请李路入职，被婉言拒绝。

李路还是要在绿盟奋斗下去。

事实上，不止是李路，袁哥也遇到过挖角。

一家国外安全公司给袁哥开出了副总待遇，几十万薪资的的offer，这可比他在绿盟的7000元月薪高太多了，何况绿盟已经大半年没有发工资——但是他仍然留了下来。

尽管时局非常艰难，但是绝大部分人仍然没有离开。

刘闻欢对雷峰网说：“如果公司真做不下去了，那大家走就走；只要公司一天没倒，那我们就继续干下去。反正年轻，对吧。”

所谓年轻，大抵就是一种不顾一切的状态。

而且，绿盟虽然当时已经非常困难，众人仍然支持了安全焦点办Xcon。

绿盟真正走出困境，已经是2002年的事了。

这一年，联想和香港建联共同向绿盟投资了298万美元，在尽职调查的时候，自然也反复问及了沈继业的出借款事宜。

绿盟第一次正式融资完成，元气恢复，上海分舵的调整与重建也排上日程。

李路被调到上海，担任绿盟分公司总经理，一做多年，后来在这个位置上退休。

前不久，李路还在绿盟的周年纪念微电影上作为主角露面，发型飘逸，颇有任贤齐之感。

（李路）

在北京的时候，李路曾从华泰网安挖来了三名干将——吴鲁加（网名：quack）、许志坤（外号：san、小许）、汪列军（外号：star）。

这仨人也真是神奇，都不是科班出身，之前分别在喇叭厂、交通公司、建筑工地一线干活，也都是后期逆袭，进入网络安全行业后迅速独当一面。

但可惜入局时间不对，互联网泡沫破灭的时候，绿盟没钱，华泰网安也没钱，而且团队气氛也没绿盟好，更过不下去。

李路经常找他们仨吃饭，吴鲁加就跟李路借钱。

李路一边递钱，一边劝他省着点花，因为自己也半年没拿工资了。

后来绿盟恢复元气，李路挖角他们仨时，吴鲁加额外给绿盟带来一位自己的熟人李滨（现腾讯云安全总经理）。

李路去上海后，李滨也去了上海，帮着带起了华东的技术团队。

总的来说，绿盟的前几年，都不算是好年景。

国际大环境不好，而且整个赛道太早，互联网行业还没发展起来呢，他们这些提供网络安全服务的，能驰骋发挥的市场实在有限。

如果不是沈继业扛住了，从先驱到先烈，绿盟有时候就是一步之遥。

三、倾囊授静安立群山，群英会殚精铸宝剑

绿盟真正崛起，还是因为雇主品牌做得太好了，很快就吸引了一堆青年才俊，开创了中国网络安全圈后来脍炙人口的“老三样”产品。

刚开始，绿盟办公室只是一个租赁的两居室，以至于有客户网站负责人过来参观时说：“你们公司这么小，如果签好几年的服务合同，你们倒闭了我找谁去？”

沈继业也反应过来这个问题，于是后来索性把办公室租在了朝阳区的静安中心8楼。——这可是当年北京有名的商务办公楼，极为高大上。

不少老绿盟人来面试时，都感叹过：“嗯嗯——这不愧是中国最优秀的安全企业。”

当然，绿盟最吸引人的一点还是“群山耸立”。

很多绿盟早期技术员工都谈到，他们在绿盟工作期间，发现一眼望去全是“山”。

为什么会有这种感觉呢？

卜峥提到一个原因，可能是因为圈内早期高手都在绿盟，而他们又办了很多分享会。

自创办开始，绿盟的分享会有时候一周一次，有时候则一周好几次，分享人主要是scz、左磊、袁哥、deepin这些初代目。

他们这些讲师往往非常愿意倾囊相授，而且都是事无巨细、不厌其烦地讲，真正做到了毫无保留。

谈到原因，大家有一个很接地气的理由，当时网络安全行业太早，他们自己要做的工作太多了，非常希望能赶紧教会其他人，这样就可以把活交出去，自己赶紧去做更重要的事。

这年4月，scz发了一篇《你尽力了吗？》，文中言辞何止犀利，甚至可以说是严厉，直指很多人做表面功夫，把技术文章留在硬盘上不去阅读，还到处问人如何入门；他几乎是不留情面地揭穿了，一些人依赖社区提问，而不自己主动学习的事实。

该文章后来在技术社群里广泛流传，成了各种技术人鞭策自己的名篇。

前有大神引路，后有氛围鞭策，绿盟因此形成了极致的专研型文化。

网络安全黄埔军校的名头，早已有之，且实至名归。

正是在这种氛围里，绿盟做出了三个当时的杀手型产品。后来国内网络安全领域常说的“老三样”，就是从绿盟开始的。

绿盟做出的第一个产品是冰之眼IDS（入侵检测）。

入侵检测是卜峥一开始最看好的方向，因为这件事的门槛很高，其他家学不了。

头一级门槛是，“未知攻，焉知防”，其他家恐怕不会有绿盟这么多懂攻击的黑客了。

次一级门槛是，做这件事要对网络协议特别熟悉。

当时全世界大部分人都在搞应用，搞底层协议的主要是美国国防部支持的几家公司——因为人家要搞导弹系统网络安全。

但是，绿盟就在研究这个东西。

（Zerg）

无怪乎，卜峥和zer9做冰之眼的时候，zer9会开玩笑说“踏平美帝”——他们对自己的IDS产品名扬世界很有信心。

卜峥离开后，段小华接替了他的职责，继续和zer9搭班，两人合作了十几年，让冰之眼保持了连续7年市占率第一的记录。

绿盟开做的第二个产品是极光远程安全评估系统（就是网络漏洞扫描器）。

如前文所说，卜峥不是想做产品嘛，刘闻欢就发起了这个产品，两人做了很长时间。

他们给极光扫描器找的第一个大客户是中国电信，而面临的最主要竞争对手就是当时全球最好的iss扫描器。

中国电信在选择前对两者进行了测试比较，结果发现用iss全网扫描一次要用几个月时间，而用极光可以在2-3周内完成。

说实话，极光并不是真的全面超越了人家，但在一些设计上确实有创新做得很巧。

比如分权管理。以中国电信为例，它虽然是一张大网，但每个省份都有自己的安全管理员，如果用ISS扫描器的话，可能要买很多个硬件和软件授权；而用极光扫描器，每个省管理员只要登录自己的权限，就可以扫描自己的部分。

再比如自动化的操作系统识别的规则匹配。早年的网络漏洞扫描软件，不管检查对象是什么，所有的漏洞都一股脑的发过去扫描。而极光应该是全球第一个先探测对端系统和应用，再匹配检测对应规则的网络漏洞扫描工具。

2001年卜峥去了美国后，杨冀龙接手了这个项目。杨冀龙对雷峰网回忆了接手那天的场景：

沈继业问杨冀龙：“你估计自己几年能做好？”

杨冀龙答：“一年肯定能做‘好’了呗。”

但是，杨冀龙一直到走那天，都没把扫描器做到自己觉得‘好’的程度。

当然，事实上这时候极光扫描器的能力和市场已经极大提升，占据了70%的市场份额。

除了杨冀龙，极光扫描器还有其他研发骨干，如caoz、cat、cyx、qlh、jbtzhm、hip……

绿盟做出的第三个产品是黑洞ADS。

黑洞是国内第一款抗DDoS攻击产品。DDoS攻击这件事在很多人眼里，算不上什么黑客攻击——不就是用流量狂淹，让网站没法运行嘛，这叫什么黑客手段。

它的门槛如此之低，以至于竟成了网络世界最常见的问题，而且在很长时间内，这件事即便被抓住，也没法定罪。

在国内互联网早期，一个网站只要稍微有点名气，几乎都会被DDoS缠上，被勒索要钱，所以黑洞一经推出就立刻变成了硬通货。

为什么说是硬通货呢？这里补充两个小段子，大家感受下。

其一、腾讯高管来采购时，本来以为黑洞卖价会很高，结果听到报价后，当场就拍板定下了报价，甚至都没有经过内部讨论。绿盟才反应过来定价过低。

其二、吴洪声（外号：奶罩）创办DNSpod时，绿盟是最早的一批投资方，投资的不是钱，而是几台黑洞。

黑洞的负责人是沈继业的清华学弟叶晓虎（现绿盟高级副总裁），其团队成员也都是一时人杰，比如欧怀谷（现奇安信副总裁）、徐祖军（现腾讯安全DDoS防护安全专家）、吴铁军（现绿盟科技伏影实验室负责人）等。

（雷峰网早年拜访叶晓虎博士（被同事称为“虎博”、“虎博士”）摆了两款pose）

其实，绿盟选择自研是走了更难的一条路。

上面这些产品虽然厉害，但其实都是立项很早，研发漫长，盈利更是好几年后的事了。

从商业经营的角度来看，这也是绿盟比较失策的地方。甚至可以说，绿盟的经营太过保守。在启明星辰、天融信等竞品公司都贴牌或代理国外产品，大力抢占市场的时候，他们总是慢人一步。

而且产品没成功之前，为养活自己和开拓市场，绿盟不仅把太多人力，更把太多时间，都消耗在了定制化的安全服务上。

但从技术发展的角度来说，绿盟众人坚持科研，坚持技术理想，也确实是贡献巨大，为国内网络安全产业立了一面旗帜。

在行业起步的岁月里，绿盟众人真的靠一单一单安全服务把产品线养起来的。

四、侠客岛英雄聚如火，风簇浪散作满天星

马后炮来看，绿盟有这么多的人才，但却最终成为了网安黄埔军校，而不是网安巨头，除了经营保守，也与绿盟早年因为经验不足，在融资方面的失策有很大关系。

在与绿盟故旧的聊天过程中，雷峰网不止一次听到叹息：“老沈那时候也是没办法了，不然哪有一开始就拿超出50%的股份去融资的。”

在2002年初次融资后，绿盟很快又进行了第二轮融资，主要对象仍然是联想系的君联资本和瑞典的银瑞达集团，融资结果是君联持有绿盟35.19%股份，银瑞达持有绿盟38.47%股份。

以上两位投资方持股相加已经超过70%，绿盟创业团队持股不到30%，这种持股比例在国内创投史上都绝无仅有。

为什么会有这种结果呢？

这可能仍跟绿盟的首位投资人姚文彬有关。

多年后，南方人物周刊发了一篇关于姚文彬的报道，文中记载了他退出绿盟的经历。他在2002年就将手中的绿盟股份转手，获得了3倍投资回报。他还感慨，自己退的太早了。

如前文所述，2002年初绿盟团队正是最需要钱的时候，之前已经大半年没有发工资，项目收款也非常困难。

一位接近沈继业的人对雷峰网做了推测：当时老沈非常困难，他所面临的问题不仅是融资问题，更重要的在姚文彬退出后，仍然让绿盟保留更多能活下去的现金。

最后，他可能能采取了一个没有办法的办法——在投资金额确定的情况下，出让大比例的股份，获得足够生存的现金。

毕竟在那种时候，沈继业的第一要务是，让绿盟活下去。

但沈的这种选择，也注定会造成一系列的蝴蝶效应，最大的影响莫过于——再没有足够多的股份激励团队成员。

在创业誓师大会那天，在scz、卜峥、刘闻欢等十余人聚集的饭局上，大家讨论了很多未来，唯独没有说清楚股份划分问题。

那时候大家都很年轻、都互相信任，他们相信公司做起来之后，老沈不会亏待自己。

但让他们没有想到的是，老沈确实没有亏待他们，残酷的现实却亏待了绿盟。在绿盟后来上市的财报上，创始团队成员们的股份显示几乎都是1%左右，实在太少了。

创始团队成员都只能拿这点，后面加入的人如杨冀龙、于旸等人已经没得分了。

（杨冀龙）

这也注定了，绿盟是最好的钻研技能与业务上升之地，却并不是最好的收获之所。

从这个角度来看，绿盟培养出很多优秀高管，在其他地方成就事业，获取收益，也是很自然的事。

从绿盟毕业的人大致可以分为以下三拨：

第一波是碰到机遇，然后毕业的人；

时间主要是2008年之前，这时候互联网大甲方们还没做大，他们前往的方向也仍然是网络安全公司；

比如卜峥，他2001年因为老婆要到美国读书，不想夫妻分居，于是索性跟着去了美国，之后在硅谷加入一个名叫Intruvert的创业公司。

两年后，Intruvert被1亿美金卖给了全球最大网安技术公司迈克菲，并被单独组建事业部，卜峥在其中担任威胁研究总监。

刚开始，这个事业部没那么受重视，但正好这时候爆发了震荡波病毒，他的产品大放异彩，很快就开始一年给公司创造上亿美元的收入。

他从此在迈克菲一待十余年。再后来，国内移动互联网发展起来，卜峥又加入滴滴担任安全副总裁、国际化CTO。

除此之外，卜峥曾经多次在世界级安全顶会上发表演讲，应该是最早一批接轨国际市场的中国安全人。

当卜峥在硅谷如鱼得水的时候，他迈克菲的同事赵伟（网名：IC，现知道创宇CEO）却回到国内。

2006年，杨冀龙正因为极光扫描器名声大振时，被回国赵伟一句经典电影《007》台词蛊惑——“世界是邪恶的，但不是因为那些邪恶的人，而是因为那些无动于衷的人。”

他跟着出去拯救世界，然后做了365门神，再然后有了现在的知道创宇，这也是他的机遇。后来，原极光团队的董明武也跟了过来，现在是知道创宇副总裁。知道创宇众人的故事充满奇趣，雷峰网后续文章《Kcon传奇》会详细展开，请持续关注。

在此杨冀龙毕业之前三年，吴鲁加先被严望佳（启明星辰CEO）挖去做了深圳的CTO，之后又被黄鑫（网名：冰河）拉出来创业，这段剧情在《中国黑客关系图》中也有过详情记载。

比较搞笑的是，前几周雷峰网在深圳拜访二位时，两人虽然各自在做自己的公司，但办公室还在一栋楼里。

（吴鲁加）

而且，吴鲁加现在正在戒烟，戒的主要方式是坚决不买烟。然后，黄鑫自己只抽电子烟，却在办公室长期备卷烟——应该是为了支持某人的戒烟行动。

吴鲁加离开几个月后，李滨也走了。

李滨去天融信又待了5年，深感网安圈子与产业圈子隔阂太深，很多技术无法落地，双方甚至陷入一种互相看不起的状态。

（李滨）

怎么理解呢？

有一段时间，网络安全圈子的人站在技术制高点上，经常无法理解产业的各种需求，设计出来的解决方案往往太高高在上，不能适配产业场景，整个网安产业都处于相对低谷。

网安圈子的人看产业群体，觉得对方是“外行指挥内行”。产业圈子的人看网安群体，则觉对方“在小圈子里自嗨”。

李滨为了突破这层困境，于是索性离开网络安全行业，到甲方企业中任职。

李滨对雷峰网的原话是：“我就是想自己坐一下甲方的位置，看看问题到底在哪里？”

再后来，李滨又回到网安方向，先后担任华为中央软件院首席安全架构师、腾讯云安全总经理等职；

2007年，刘闻欢也毕业了，他后来的机遇是操作系统。

事实上，刘闻欢之前就曾经想毕业了，只不过作为事实上的绿盟前几号位，他每次提议都会被沈继业在某个晚上的夜宵上用几个小时拒绝了：

“团队没人接，你不能走啊……”；“公司情况不好，你要走了军心不稳呢……”

直到2007年，绿盟团队完善，营收已经好几亿，已经盈利，各种产品也都上路了，刘闻欢再次提出了毕业申请，沈校长最终批准。

刘闻欢离职后，后来做了以自己网名命名的操作系统linux deepin。老实说，国家支持有关机构搞的国产操作系统已经很多年了，但一直鲜有成果。

没想到，刘闻欢搞得这个民间操作系统deepin，竟然高唱凯歌，全球下载量超过4000万次，迅速打入全球发行榜单前20，在信创市场上占有率做到了第一，是中国目前最成功的操作系统之一。

在谈到过往时，刘闻欢笑道：“其实，如果没有接触到linux，没有研究搞操作系统，我是没机会做安全的；但做安全时间久了，也有了一些成绩，我又想回去做操作系统。”

在为 deepin组建公司的关键时期，刘闻欢得到两笔投资，一笔2000万来自绿盟，另一笔6000万来自360。

为什么360这么有钱？因为它上市了。

这就要说到从绿盟毕业的第二拨人，遇到了时代的人。

2010年前后，因为3Q大战的原因，互联网巨头们突然意识到了网络安全的重要性，于是纷纷向绿盟众人伸出橄榄枝，其中最具代表性的莫过于360和腾讯两家；

比如袁哥，作为黑客界耆老，前文《奥运黑客今何在》中讲过他的故事，他360和腾讯都待过，现在应该是半退休状态；

（袁哥）

（TK于旸）

比如于旸，他已经在绿盟待了12年，后来遇到丁珂来聊（现腾讯安全总裁），现在是玄武实验室负责人；

去年雷峰网拜访他时，他也感叹过，绿盟早期员工可能是收益公司上市最少的，不过这不怪老沈，因为融资波折，老沈自己本来也没剩多少。

相比于网络安全公司，互联网巨头们确实更有钱，也更有成长空间。

绿盟毕业的第三拨人，是遇到了大势的人。

2014年绿盟上市时，国内网安三大公司（绿盟、启明、天融信）加一块市值不超过100亿。

2021年，奇安信刚上市市值就接近千亿人民币。

究其根本，自斯诺登事件以来，这几年中国无论是政府还是民间，都对网络安全的重视上了一个层级，市场规模发生了一次天翻地覆的跃迁。

在这场时代大跃迁中，绿盟不少人都进入战场。

（吴云坤）

比如吴云坤，他在将绿盟送上市后三个月，即投身有互联网公司背景的360，后跟随齐向东创立奇安信，现在已经是奇安信总裁。

后记

绿盟升起群星，并非偶然。

在本世纪初，绿盟创立伊始，沈继业带着11位联合创始人讨论了一个问题：“到底是做小公司还是大公司？”

做小公司，大家投入少，风险小，赚钱平分，收入也可以；

做大公司就要承担大风险，就要摸着石头过河，失败概率很高。

最后大家讨论的结果是：大家在各自岗位上本来就很厉害，既然选择出来做公司，那么就当做事业来做，不但要做大，还要做成伟大，做成中国最好的网络安全公司。

正因为有了这股心气，所以绿盟人当时做什么都直接对标国际上最顶尖的公司，一上来就想做世界最强安全团队，做世界最好的安全产品。

后来，他们即便离开绿盟，但回头张望时，仍然觉得彼此心气没散，便以更高的要求激励自己。

毕竟，群星之所以闪耀动人，是因为他们漫天交相辉映。

中国互联网产业的日趋成熟，信息安全行业随之也进入红利期，但这一切离不开过去20年间信息安全从业者的苦心耕耘。

期待读者，尤其是技术贡献者与我们讨论，本文作者林觉民，微信linjuemin_vx；李扬霞，微信Dec9102

此次全新升级版本，经过了怎样的融合和打磨？又释放出什么样的信号？在360的赋能和产品融合之下，360织语的“变”与“不变”究竟是什么？

带着疑问，雷峰网与360集团副总裁、技术中台、云应用负责人殷宇辉进行了深入的沟通交流。

“变”

经过360两年多的锻造，织语俨然变成了其打通政企用户数字化协作的“秘密武器”。

大型政企具备一定的信息化基础，但系统多、入口多、数据和信息分散的“痛点”普遍存在，这些痛点不仅严重影响内部沟通和协同效率，更是阻碍政企数字化成功转型的绊脚石。

比如在一些企业里面，人力、行政、法务等后台系统需要对应到像打车报销、薪资福利、财税法等业务流程，但各个部门的系统都比较专业，往往由不同的ERP、OA等厂商提供，接口不一样，系统间也都不兼容。“织语要做的事，就是把这些流程、路径给串联起来，并形成统一的工作入口，这也是大型政企数字化转型的关键点之一。”

“从产品自身和客户需求两个维度来看，织语不一样的打法在于，除了在安全可控升维之外，并不会替换客户已有、在用的信息化资产，而是提高系统的利用率。”殷宇辉表示，360织语为党政军/央国企数字化协作实现的价值，比较突出的一点是“利旧”——就是帮助客户去提高他原有系统的利用率，让客户旧系统能够以新的方式去进行工作。

从此次发布会来看，360织语7.0版本主要在三个方面实现了升级，360从“战略+技术+资源”上全面赋能织语。

战略层面：360织语从一款专业的IM与协同平台，升级成为了360集团面向政企数字化安全入口层的重要一环。站在更高的安全战略视角，让这款产品的意义超越了功能层面，站在更高的维度为用户提供更多、更全面的价值。

技术层面：在360整体数字化产品体系和战略中，织语与其它产品例如360政企安全浏览器、360安全云盘、沃通电子证书等应用打通，并融合360小程序、低代码等开发平台等，从集成层、入口层、应用层、高等级安全管控能力等方面整体进行了升级，共创了一系列具有极高应用价值的解决方案，极大提升了织语产品技术发展的可能性，实现了“1+1远大于2”的效果。

资源层面：依托360在政企市场强大的销售渠道网络，让织语触达了更广阔的市场，并落地了一大批政府机构、各地产业园、大型企业项目。360不光提供上述硬性资源，也有包括研发资源在内的其它软性资源，比如产品交互设计、行业领先的安审合规流程等。

殷宇辉强调，不管是在企业、政府还是在军队，工作协同普遍会涉及三个方面——业务、数据和流程，通过360织语去做工作上的“入口”和“连接器”，打通人与人、人与设备、人与系统、人与AI的连接。通过360织语数字协作平台，用户可进行连接、展现、推送、聚合、处理、分析，实现“消息驱动”、“事找人”的工作闭环。

360织语7.0产品，对服务端API进行了38项升级，高管、标签、应用消息、角色等接口，让政企应用能够更加方便地调用平台能力，做更深入的连接和融合。除此之外，对于想要使用CC-SDK来快速补充自身能力的政企用户，7.0产品增加了40余项UI自定义能力，包括头像、会话列表样式、内置浏览器、跳转自定义等，可以和客户自有移动客户端更便捷地融为一体。

可以看出，360织语所做的功能应用更新，每一项都踩在了政企用户的需求点上，织语的定位也更加清晰明确。

“不变”

不变的是360深入政企客户的决心。

往协同办公这个市场上看过去，具备垂直化、场景化的特点，并开始向头部聚焦。殷宇辉告诉雷峰网，织语会一直专注于党政军/央国企这个细分市场，并坚定不移地做好全景化的数字协作平台。

伴随疫情向常态化趋势发展，远程办公逐渐普遍，协同办公市场也因此迎来了发展红利期。而随着各类玩家的入局，竞争也愈发加剧。

目前市场上大致可以分为三类玩家，第一类：流量派，他们以免费、功能全、易用性为特点，更多影响的是中小型企业以及免费用户；第二类：传统派，以传统ERP、OA类厂商为主，以完成项目为导向，却一直面临系统软件更新迭代难、重复建设等问题；第三类：安全厂商，主要面对党政军/央国企这些对安全可控有强需求的细分市场。

面对目前市场的格局状况，殷宇辉表示，在“三法一条例”和数据出境安全评估办法陆续颁布、政策推动之下，大型政企、军队，特别是涉密单位，对于一体化协同办公的要求越来越高，从原有的“可用”到“好用”，从原有的需要项目集成实现多方协同，到现在一个入口就能集成所有的软件、硬件、组件及业务，要求越来越高、安全门槛也越来越高。

可见想要深入政企市场，协同办公的厂家还需要有一定资质以及技术实力。

织语的差异化竞争壁垒在于，结合了360在互联网行业积累的多年产品经验等，织语用做产品的思路深入用户场景，促进产品不断迭代，并在信创生态上与多家厂家进行相互认证，拿到相关资质和准入资格，进而在协同办公细分市场上能够以精准的姿态稳步前行。

雷峰网观察到，党政军、央国企的办公协同融合并不是从无到有，而是一个从有到优的过程，用户所需要的是一个安全可控/全端一体化门户，支撑更高级的办公协同，以满足混合办公的各种需求和门槛。很多业务系统如果打碎重组，会造成业务风险、人事风险，属于资产异常减值。

所以，360织语的“不变”还体现在“利旧”，就是在尽量减少替换业务系统的前提下，提高旧有系统的利用率，让旧有系统能够以新的方式去进行工作，用相对标准化的产品体系，去协同客户一起做它的业务协同运营平台，帮助其提高现有IT管理水平、易用性以及安全性。

“对于客户而言，我们先帮他做诊断，内部到底有多少业务系统，是否做了统一门户、统一认证以及安全保障，再给出对应的解决方案，帮客户重构业务流程，并在多端实现业务流程的一键触达和响应。”殷宇辉介绍说，360织语更希望能让客户看到，旧有系统是怎样通过相对便捷的数字化技术嵌入到统一的多端跨云的协同体系里面去，同时，基于织语平台，又能加入哪些新的可能性。

殷宇辉告诉雷峰网：“在部分重点行业和客户里面，如果只跟谈安全，都是外在的安全，只有深入到它的业务流、信息流里面去，才有可能帮它实现立足于政企自身的安全和保障。这也推动了360在安全之外做数字化布局。”

写在最后

随着数字经济的快速发展，协同办公市场也在飞速前进，前景广阔的同时，竞争也在愈演愈烈。另一方面，随着政企信创国产化进程的不断推进，也给国产协同办公软件带来一定的发展契机。

殷宇辉坦言：“我们不担心跟谁有竞争，织语定位本身是奔着在为党政军/央国企用户在安全合规、安全可控的前提下，解决复杂业务流和信息流的问题，帮助用户提升整个IT系统的易用性。“党政军、央国企数字化转型的速度越来越快，对信创的需求也是越来越大，这一块的空间其实非常大，这一细分市场的比拼，不可能是短期内就能决出高下的。”

对于大型政企而言，平台资质和安全性是选择协同办公平台关注的关键因素。而背靠大型互联网企业生态的协同办公平台在安全技术、服务能力等方面拥有强大支撑，在信创国产化的进程中将获得更大优势。

摘要：只有开源的隐私计算，才足够被信任。

作者：李扬霞

编辑：林觉民

这是蚂蚁在隐私计算领域迈出的崭新一步。7月4日下午，蚂蚁集团宣布面向全球开发者正式开源可信隐私计算框架“隐语”。自2016年起，蚂蚁就开始推进隐私计算技术及其规模化应用，而“隐语”几乎涵盖了当前所有主流隐私计算路线，可满足各场景不同需求。

过去两年，国内大批隐私计算厂家涌入隐私计算领域，而以蚂蚁集团等为代表的“大厂”科技公司因为较早入局，逐渐成为隐私计算市场的主力。此前曾有机构预测，隐私计算是一个百亿级的市场，但根据最新IDC调研发现，从收入形态而言，市场收入主要来源于产品售卖或平台建设方面，大量技术服务商的营收规模仍然处于亿级以下水平。

原本百亿市场规模的隐私计算市场，为何营收过亿的服务商寥寥无几，即便是较早入局的隐私计算厂家也没能取得优势。隐私计算虽然能在不知“富翁”财产的情况下计算出谁更有钱，但应用场景落地难的问题，也成为该领域进一步发展的“界河鸿沟”。

究竟是技术开发使用门槛高、抑或是数据要素行业原本就存在互信难、确权难、监管难、定价难等问题，我们无从辩驳。但有一点可以明确，该技术如果只掌握在少数寡头手里，我们还是实现不了真正的数据流通，而唯有“开源”是降低门槛的一个有效手段。

“隐语”框架负责人、蚂蚁集团隐私智能计算部总经理王磊也告诉雷峰网：“不开源的框架是得不到用户信任的，这也是隐语开源的原因之一。”

1.隐语开源“恰逢其时”

数字经济时代，数据成为新的生产要素，数据只有流通和共享才能发挥更大的价值，那么如何让数据发挥价值的同时又能保护数据的安全和隐私？隐私计算技术（又称：隐私保护计算）就像一个“引弹”，让整个业界开始沸腾。

准确来说，隐私计算不是一种技术，而是多种技术融合的统称，包括TEE（可信执行环境）、MPC（安全多方计算）、联邦学习、同态加密等。也正是因为其技术路线的复杂性以及高昂成本，让众多企业望而却步。

举一个例子 ，在隐私计算技术的开发过程中，开发者需要有一个技术框架，用来基于实际业务场景、以及功能来设计。而实际情况是，如果开发者想使用联邦学习，那么就要使用A框架来做研发；如果想使用多方安全计算，那么又要使用B框架来做研发，如果想使用可信硬件，还要去熟悉所选硬件的架构才能真正开始使用。但现实的业务需求是，经常是需要多个技术一起来使用的，那么这时候就会出现繁琐、重复的开发工作量。

而“隐语”可以让开发者收获“开箱即用”、更加兼容通用的开发体验。同时，提供丰富的联邦学习算法和差分隐私机制，技术能力涵盖了多方安全计算、联邦学习、同态加密、差分隐私、机密计算等，供开发者灵活选择，开发者可以简单、快速上手，大大降低了算法、研发技术人员使用隐私计算技术的门槛。

“隐语”开源恰逢其时。开源一方面可以规避后门风险，破除信任难题；另一方面开放透明人人可以参与，系统的可持续发展性得到保障。

而在王磊看来：首先从技术层面，如果别人看不到我们的代码，就不能确认产品的安全性，那又谈何信任。只有以开源共享的方式，吸引更多优秀的开发者加入，才能凝聚技术合力降低隐私计算开发者和使用者的技术门槛。

其次从产业层面，只有整个隐私计算行业发展好了，我们才能做更多的事情。隐语开源，就是希望能够通过开源共享回馈行业，推动技术产品化、规模化应用落地，构建商业生态，最终推动整个隐私计算行业的发展。

目前，“隐语”已向社区开放了多方安全计算和联邦学习的核心代码。对于算法/模型研发开发者，可以使用隐语提供的编程能力，方便快捷地将更多算法和模型迁移来，并得到隐私保护增强。对于底层安全开发者，可将底层密码/安全研究成果嵌入隐语，完善密态设备的能力、性能和安全，转化实际业务应用。

2.隐语开源的底气

当隐语框架2年前决定开源，就注定踏上了一条不平凡之路。

蚂蚁集团副总裁兼首席技术安全官、隐语开源指导委员会主席韦韬曾表示：“2022年整个数据行业将迈向“数据密态时代。”过去在数据要素行业，数据易复制，而明文流通易导致分发失控。若数据以密态形式流通，可以保障其流转、计算、融合到销毁全链路安全可控；并保证数据要素持有权和使用权分离，进而支持数据要素产业更加安全健康的发展。

迈进数据密态时代，蚂蚁集团看到，隐私计算技术需要进一步升级，“可信隐私计算”是非常重要的方向。而隐语毫无疑问成为了其技术支撑底座。

在经过蚂蚁集团内部大规模业务以及外部金融、医疗等场景的淬炼，可信隐私计算框架“隐语”，拥有了卓越的安全性和性能，可支持大规模数据集。具体来看主要有以下几大优势：

完备性：针对隐私计算技术方向多，且各方向优劣势不同的问题，通过密文计算设备对不同技术进行抽象，使得同一套框架能支持所有主流的隐私计算技术，且可以灵活组装，以适应不同场景的需求；

透明性：针对隐私计算技术底层技术与上层应用耦合性强，导致每种底层技术的更新都重复开发上层应用的问题，通过编译器和IR层的抽象，将底层协议与上层应用分离，上层可以对接传统数据处理的SQL、Pytorch、TF、JAX框架，底层安全协议和技术的更新上层不感知；

开放性：针对当前隐私计算没有可以容纳多方共同参与开发的良好抽象的框架，通过明密文编程范式的抽象，使得非安全背景的开发者也可以开发出安全的隐私计算算法；

联通性：针对多种隐私计算技术无法互通的问题，采用混合协议设计，使得不同隐私计算技术之间的数据也可以相互联通，让组建大型数据网络成为可能。

隐语所做的事情，一方面是将隐私计算所涉及的各主流技术分支分别抽象为加减乘除等具备基础功能的“设备和原语”，基础符号越多意味着组合计算的方式越多；另一方面，是继续向上建设AI & BI 隐私算法层，提供像勾股定理一样的具备特定功能的公式，这些公式开箱即用，可供我们在解决完整的应用题时自由调用。

本次隐语的开源内容如上图中的点亮模块，主要包含以下要点：

1.MPC设备。支持大部分Numpy API，支持自动求导，提供LR和NN相关的demo，支持pade 高精度定点数拟合算法，支持 ABY3、 Cheetah 协议。用户可以采用传统的算法编程模式，在不了解MPC协议的情况下开发出基于MPC协议的AI算法；

2. HE设备。支持Paillier同态加密算法，向上层提供Numpy编程接口，用户可以使用Numpy接口做矩阵加法或者明密文矩阵乘法运算。且实现了与MPC密态设备之间的数据可流转；

3. 差分隐私安全原语。实现了一些差分隐私噪声机制、安全噪声生成器、隐私开销计算器；

4. 明密文混合编程。支持中心化编程模式，使用@device标记构建明文和密文设备混合计算图，基于计算图进行并行、异步任务调度；

5.数据预处理。提供水平场景下的数据标准化、离散化、分箱功能，提供垂直场景下的相关系数矩阵、WOE分箱功能。无缝对接已有的dataframe，提供和sklearn一致的使用体感；

6. AI & BI 隐私算法-多方安全计算。提供水平场景下的XGBoost算法、新增垂直场景下的HESS-LR算法，并结合差分隐私增强了对拆分学习的隐私保护；

7.AI & BI 隐私算法-联邦学习。提供联邦学习模型构建和包括SecureAggregation，MPC Aggregation, PlaintextAggregation在内的多种安全模式的梯度聚合，用户只需要在模型构建时给出参与方list和聚合方法，之后的数据读取，预处理到模型训练的体验和传统明文编程几乎一致。

目前，隐语框架已经制定了后续版本将逐步开源的既有内容；随着隐语开源，更多的需求和建议将被提出，隐语这一社区将探索更大的成长空间。

3.六年规模化应用探索之路

隐私计算目前面临着定制化程度高、没有标准化的产品，难以规模化发展的问题。王磊表示，“很多时候定制化的产品利润率非常薄，未来如果要实现隐私计算大规模应用，除了产品标准化之外，还需要做很多超出隐私计算之外的事情，只有大家群策群力才能助力国家数据要素市场化建设。”

2016年，蚂蚁的隐私计算就开始了规模化应用探索之路，在这期间蚂蚁集团在隐私计算领域逐步推出了摩斯多方安全计算平台，可信隐私计算框架隐语、蚂蚁链数据隐私协作平台FAIR、蚂蚁隐私计算一体机等产品。

据介绍，在众多产品中，蚂蚁隐语主要解决的技术先进性问题，就是底层技术的长期发展。拿摩斯多方安全平台来说，它是一个商业化的产品，所以摩斯跟隐语也可以被认为是上下层的战略模式，摩斯是上层的隐私计算产品，蚂蚁会在其他方面支撑，包括提供蚂蚁链的计算、隐语技术产品升级等。

另外，隐语框架的另一大亮点，就是集合了阿里巴巴双子实验室的Cheetah(猎豹)安全两方计算协议，该框架性能比目前世界最好的计算方案——微软CryptFlow2快5倍以上，通信量少90%。阿里巴巴集团安全部资深安全专家洪橙告诉雷峰网：“隐语团队非常擅长框架能力和机器学习算法，猎豹团队则擅长密码技术相关的能力，两方强强联合，能发挥隐语和猎豹最大的影响力。”

那么，蚂蚁可信隐私计算框架“隐语”能够做什么呢？针对不同的应用场景，蚂蚁可以基于隐语的技术框架构建相应的产品。

目前隐语已经在联合风控、政务数据、联合营销等业务场景中得到了成熟的应用。在金融、医疗等领域也有成功的大规模落地经验、支持了浦发银行跨机构数据流通、浙江某三甲医院医保 DRG（Diagnosis Related Group，疾病诊断相关分组）改革，获得过中国信通院颁发的 “星河案例” 奖，CCF 科学技术奖科技进步优秀奖、中国网络空间安全协会 “数据安全典型实践案例”，入选了工信部 2021 年大数据产业发展试点示范项目名单等。

例如，医保DRGs分组器初始版本，成功实现多家医疗机构数据进行联合训练，在保护患者隐私前提下，增加样本数量、扩大数据规模，通过更为准确的DRG分类模型帮助医疗机构提升预测准确率，对于优化临床路径、规范诊疗行为、提高服务效率有显著的作用。

图：隐私计算框架“隐语”在医保DRGs建模中应用总体框架

4.开源成为应用落地和生态构建的关键

如果一个公司仅仅关注自己的技术而不去关注市场的走向、别人的需求，那么它往往会做出一些很高端的软件，但使用者却少之又少。而蚂蚁集团等科技公司，开源自己的学习框架，在提升行业热度、价值落地和生态构建中发挥着积极的作用。

目前隐语社区已经成立，蚂蚁集团及隐语也将在多个方面与开发者、研究者联动共建隐私计算生态：

其一是围绕隐私计算这一技术核心通过多种渠道以文字、视频等多样的内容，普及这一技术，通过开放的交流探讨增强生态中各界之间的粘度；

其二是在普及之上，联动高校科研等科研机构，形成产业视角与教学视角的结合，打造一套体系化的隐私计算教学材料，助力社会培养会用隐私计算的人才体系；

其三是在会用之上给予实质性的孵化支持，即设立隐私计算科研基金，公开招募、评选、扶持有创新有价值的项目深度发展。

最后，王磊强调：“开源最重要的目标，是能够吸引更多的人进来一起合作，这不是蚂蚁集团一方的事情，而是多方合作的事情，是让隐私计算行业能够得到认可，大家都能够在上面做贡献，这是比较最重要的一点。”