9月5日-9月6日，以“智啟新機、云驅增長”為主題的2024騰訊全球數字生態大會（下稱“生態大會”）順利舉辦。在此次生態大會上，騰訊以“增長”為核心命題，提出了以智能化、國際化和智能創新來促進增長。

在全球經濟下行的當下，追求增長是企業的一致目標，但在增長的同時，如何應對因技術突破和應用創新帶來的安全風險以及因經濟下行帶來的預算縮減、人才短缺等挑戰也成為企業需要解決的重要難題。在生態大會的數字安全專場，騰訊安全提出構建可感知、可掌控、可增長的主動安全建設框架。安在新媒體受邀參與主峰會及數字安全專場。

安全隨處可見

9月5日，筆者踏入了深圳國際會展中心。進入展會會場后，諸多展臺映入眼簾，騰訊在產業互聯網布局的眾多產品以及行業、場景以及合作伙伴的重要技術成果均有展出。其中，安全成為眾多展臺重要的宣傳要素。

在“騰訊云出海服務”展位上，企業出海合規作為單獨一個板塊加以呈現。

在宣傳屏上顯示，企業在各類渠道收集的業務敏感數據，會在集成后共同上傳至騰訊云對象存儲COS的存儲桶，通過存儲桶的加密功能，企業可將這些敏感數據進行內容分發、數據備份等下一步處理。業務出海是近幾年企業業務增長的主要方向之一，騰訊云出海服務關注到了數據出境合規的各項要求，通過加密等一系列能力提供了數據安全保障。

在“騰訊云應用開發與管理”展位中強調了騰訊云AI代碼助手這一功能。該功能不僅將編碼效率提升40%，還提供了審查代碼質量、工程理解精準問答等能力。

在開發安全中，代碼安全是開發安全中的重要一環，來自開源的代碼很有可能潛藏著安全隱患，通過騰訊云AI代碼助手則可以準確發現其中的風險代碼，進一步提高應用開發與管理的效率和成果。

在“數字金融”展臺中，筆者看到了護航金融安全這一板塊。該板塊提到，針對金融安全，騰訊將布控“云防火墻”“Web應用防火墻”“主機安全”和“數據安全”這4道防線，一體化提升公有云/私有云安全運營效果。據了解，4道防線是騰訊云安全“4+N”體系的重要組成部分。

展會現場將安全單獨呈現的展臺還有很多，筆者不一一舉例。這些展臺的呈現一方面反映了騰訊數字生態始終關注安全的作用和價值，另一方面也印證了今年生態大會數字安全專場的主題：看得見的安全。

“看得見”是安全下一階段的標志

9月6日上午，數字安全專場準時召開。來自騰訊、IDC、同程、上汽等安全專家圍繞“看得見的安全”展開了分享。在實際的企業環境中，安全往往是最容易被忽視的領域之一。很多企業決定建設安全的起因要么是受到合規處罰，要么是遭遇安全事件，缺乏主動驅動力去建設和關注安全。

導致這樣的原因有以下幾點。首先是安全意識不足。企業管理層經常會陷入誤區，將網絡安全歸類為技術層面的工作，抑或是認為其會影響業務發展，員工也會因安全意識不足而忽略安全的作用。

其次是安全過于復雜。在數字化轉型的過程中，企業無法避免地會接觸到網絡、云、大數據等要素，隨之而來的安全風險五花八門，所需要的安全技術也復雜多樣。從市場來看，安全市場領域繁多。據安在新媒體發布的“2024中國網絡安全產品用戶調查報告”顯示，網絡安全產品覆蓋7個領域，160個子類（不完全統計）。這些復雜的安全產品導致企業在建設安全的過程中，不僅需要考量安全技術的效果，還提升了安全運營的難度。很多時候，企業只能在損失發生后，才能意識到安全的重要性。

最后是成本過高。因安全效果難以量化，企業很難準確把握安全的投資回報比。與此同時，隨著企業數字化進程的加深，建設安全的成本與日俱增。此前，拜登政府公布2025財年預算申請，聯邦政府將投入130億美元用于增強網絡安全，相對的，攻擊者的攻擊支出僅需10美元。出于發展的考量，部分企業僅將安全維持在合規紅線，忽視安全的價值。

然而，在增長成為企業發展的主旋律，過去對于網絡安全的認識和態度也要發生變化。對此，騰訊集團高級執行副總裁、云與智慧產業事業群CEO湯道生表示，當技術突破和應用創新成為企業普遍追求的二次增長曲線、當數據成為貫穿企業業務環節的血液，就不能再以被動思路來建設安全，而是應當建立一套可感知、可掌控、可增長的主動安全建設框架。IDC中國區總裁霍錦潔也表示，越來越多企業通過數字化來引領創新，安全成為企業持續增長的前提和基石。

騰訊集團高級執行副總裁 云與智慧產業事業群CEO湯道生

可感知、可掌控、可增長的安全架構

想要使安全可以被看見，不僅需要從意識上提高對安全的重視，還要從框架上對安全加以改變。對此，騰訊安全圍繞可感知、可掌控、可增長提出了一套主動安全建設框架。

可感知指的是建立主動、前瞻的安全情報體系。威脅情報是企業實現主動安全的必要元素，通過威脅情報，企業可發現與業務相關的風險類型，并圍繞其建設針對性的安全能力，化被動為主動。

可掌控指的是建立多級立體的防御體系。縱深防御一直是企業對抗網絡安全威脅的主要防護策略，然而，隨著內部風險的提升以及權限在網絡安全對抗中的重要性，僅依靠縱深防御無法全面、有效地提高企業安全性。因此，多級立體的防御體系可以在面對入侵時，逐級降低安全風險，掌握攻防對抗主動權。

可增長即構建基于行業場景的業務安全能力。想要實現價值以及更好地保障企業安全，就需要讓安全與業務進一步貼合。傳統的、外掛式的安全建設方法無法更好地貼近業務，也就無法平衡安全與增長。在現階段，安全不應該僅僅成為“防線”，而是要成為生產力。

那么，如何讓企業更好地實現主動安全，進一步提高安全的“可見性”呢？霍錦潔表示，據IDC的研究表明，構建云原生安全體系可有效抵御網絡攻擊。因此，騰訊安全在此次分會上首次公開騰訊云平臺自身安全建設框架，并發布了騰訊云安全“4+N”體系。

騰訊云平臺自身安全建設框架

騰訊安全副總裁、騰訊云鼎實驗室負責人董志強表示，目前，騰訊云在全球維護超過150萬臺服務器、各類云服務云資產總量超過1.4億。在積累了多年的云安全治理實踐后，騰訊安全已經建立起一套行之有效的云平臺高安全等級架構。

據董志強介紹，當前企業所面臨的問題和挑戰主要來自四個方面。首先是資產與數據。海量的數據正在源源不斷地匯入企業，如何處理和保護好這些資產和數據成為企業需要解決的第一個挑戰。第二是管理機制與業務關系，安全與業務的關系在近年來屢屢被提及，既要滿足業務發展，又要覆蓋合規要求是企業的第二個挑戰。第三是新技術與業務架構，包括云計算、AI和大數據等技術正在成為企業數字化進程的支柱，而新技術所帶來的新安全威脅則成為企業需要應對的挑戰之一。此外，受安全左移思想而提出的DevSecOps正在改變企業的業務架構，如何在改變的過程中兼顧安全性也成為企業的安全挑戰。最后是網絡空間態勢，隨著AI大模型等技術的普及，網絡安全整體態勢愈發嚴峻，持續攻擊和對抗成為常態，建立起對應的安全防護是企業安全工作的關鍵。

董志強表示，網絡安全已經進入了下一個階段。他闡述了過去的理念和誤區，包括網絡安全是技術層面的事情、安全工作影響業務發展、合規驅動的安全等等，也提出了今天的安全環境變化，例如網絡安全是業務成長和組織發展的命脈、安全伴隨業務共同成長，創造價值、合規驅動、價值驅動、風險驅動等等。

通過對比上述的挑戰和變化，騰訊安全總結了現代云安全的十條基本原則。包括安全與組織戰略一致；與業務建立伙伴關系；可量化的安全ROI和KPI；“全員安全責任制”；輕量框架、動態流程，伴隨業務發展而迭代；數據驅動，指標驅動；“零信任”原則，最小權限，特權分離；“假設損失”原則；進行實效性驗證，持續驗證、多層驗證；默認安全、自動化、智能化。

董志強表示，“網絡安全是一個業務和組織發展的命脈，我們要把安全和組織的命運聯系在一起。以往的觀念認為安全建設要盡善盡美，既然已經有所投入了就應該有兜底的能力、應該不出事，實際不是這樣的，安全是一場無限戰爭，我們要在有限成本上做假設損失的原則。”

在得出這樣的結論后，董志強披露了騰訊云安全治理架構。最上層的CEO等C-Level領導層負責安全與戰略對齊。業務負責人和安全負責人負責安全與業務的集成和安全策略、流程和文化的制定。架構師與技術Leader則需要提供安全架構和保護框架以及模塊化治理結構?；A的研發與運營團隊需要實現技術控制與持續運營流程。

此外，董志強還分享了騰訊云平臺防護總體架構以及各項高等級云安全架構實踐工作。他表示，通過騰訊云安全治理架構，騰訊云真正實現了讓安全“看得見”。目前，騰訊云安全團隊每天需要應對超過800起風險事件，每一起的平均檢測研判時間在4分鐘，45分鐘內分析溯源并且完成對攻擊行為的阻斷遏制，有效地保障了云上百萬用戶的業務安全。

騰訊云安全“4+N”體系

在此次分會上，騰訊安全還提出了騰訊云安全“4+N”體系。上文提到，騰訊在保障金融領域的安全時，已經實踐了“4+N”體系，并得到了實際的反饋和效果。對此，騰訊安全副總裁方斌表示，云是企業數字化的核心載體，各行各業對于云安全有共性需求?！巴ㄟ^4+N體系及后續推出的安全價值評估模型，可以幫助企業定量評估安全建設投入價值，讓企業安全‘看得見’、‘可量化’、‘算得清’?！?/p>

相對于“看不見”的安全，方斌認為風險是直觀可見的。一方面，來自外部的攻擊事件越來越多，據騰訊安全統計，2024上半年全網漏洞爆發2萬+，真實修復率低于7%。與此同時，騰訊云攔截攻擊同比增加71.38%，攔截攻擊者同比增加了13.12%。另一方面，騰訊安全提出外部攻擊強度正在提升，攻防演練正走向常態化、實戰化，被突破風險提升。然而，與外部威脅對比的企業安全現狀卻岌岌可危。企業安全意識薄弱、安全戰略被動、安全人才不足都是引發企業風險的重要因素。

在看得見的風險下，企業應該如何建設安全？對此，方斌表示，安全基礎建設和數字化收益就是1和0的關系，安全就是一串數字前面的1，沒有1，無論后面有多少個0都是無效的。因此，騰訊提出云上安全建設“4+N”防護體系，旨在開放基于自身多年實踐的“騰訊級”安全能力，幫助各行各業企業用戶更有效地打造適配自身需求的數字安全體系。

“4+N”防護體系中，4指的是“云防火墻”“Web應用防火墻”“主機安全”和“數據安全”。對此，方斌表示，在企業云安全建設中，幾乎所有企業都會面對共性的基礎安全問題，如攻防演練、復雜攻擊、挖礦勒索、防爬防薅、等保合規、批量攻擊等。針對這些共性問題，騰訊提出的4道防線可以解決批量攻擊、合規、安全運營、復雜攻擊問題。

N則針對不同行業所具備的個性化業務場景，如金融行業的交易信貸反欺詐、電商行業的營銷流量風控、出行領域的車聯網安全以及零售領域的黃牛防刷及品牌打假等等。用戶可根據自身的業務場景和安全需求，選擇個性化的解決方案，為業務發展“增”值“提”效。

基于騰訊云安全“4+N”體系，騰訊安全還在4道防線上集成了一些獨家優勢。例如實現了云安全產品與騰訊云、微信等騰訊系產品聯動，以及基于AI能力實現風險自動化處置等等。目前，騰訊的4+N體系已幫助各行業多家企業構建起可助力業務增長的安全能力。

結語

一直以來，騰訊安全始終關注企業的安全需求和安全的價值體現。

此前，騰訊安全倡導安全要“化繁為簡”，提出了一鍵式的安全運營中心和簡約集成的安全架構等等。而現在，騰訊安全則強調安全要“化虛為實”，通過增強安全在企業中的“可見度”來進一步提升和優化安全能力，確保企業在數字化進程中能夠平衡發展與安全。

在經濟下行和惡劣安全環境的共同壓迫下，讓安全顯形成為企業提高安全能力的重要舉措。包括騰訊安全在內的安全供應商們，也應該通過各種產品和策略，幫助企業打出“破隱一擊”，讓安全更具價值，讓風險無處遁形。