9月5日，筆者踏入了深圳國際會展中心。進入展會會場后，諸多展臺映入眼簾，騰訊在產(chǎn)業(yè)互聯(lián)網(wǎng)布局的眾多產(chǎn)品以及行業(yè)、場景以及合作伙伴的重要技術(shù)成果均有展出。其中，安全成為眾多展臺重要的宣傳要素。

在“騰訊云出海服務(wù)”展位上，企業(yè)出海合規(guī)作為單獨一個板塊加以呈現(xiàn)。

在宣傳屏上顯示，企業(yè)在各類渠道收集的業(yè)務(wù)敏感數(shù)據(jù)，會在集成后共同上傳至騰訊云對象存儲COS的存儲桶，通過存儲桶的加密功能，企業(yè)可將這些敏感數(shù)據(jù)進行內(nèi)容分發(fā)、數(shù)據(jù)備份等下一步處理。業(yè)務(wù)出海是近幾年企業(yè)業(yè)務(wù)增長的主要方向之一，騰訊云出海服務(wù)關(guān)注到了數(shù)據(jù)出境合規(guī)的各項要求，通過加密等一系列能力提供了數(shù)據(jù)安全保障。

在“騰訊云應(yīng)用開發(fā)與管理”展位中強調(diào)了騰訊云AI代碼助手這一功能。該功能不僅將編碼效率提升40%，還提供了審查代碼質(zhì)量、工程理解精準問答等能力。

在開發(fā)安全中，代碼安全是開發(fā)安全中的重要一環(huán)，來自開源的代碼很有可能潛藏著安全隱患，通過騰訊云AI代碼助手則可以準確發(fā)現(xiàn)其中的風險代碼，進一步提高應(yīng)用開發(fā)與管理的效率和成果。

在“數(shù)字金融”展臺中，筆者看到了護航金融安全這一板塊。該板塊提到，針對金融安全，騰訊將布控“云防火墻”“Web應(yīng)用防火墻”“主機安全”和“數(shù)據(jù)安全”這4道防線，一體化提升公有云/私有云安全運營效果。據(jù)了解，4道防線是騰訊云安全“4+N”體系的重要組成部分。

展會現(xiàn)場將安全單獨呈現(xiàn)的展臺還有很多，筆者不一一舉例。這些展臺的呈現(xiàn)一方面反映了騰訊數(shù)字生態(tài)始終關(guān)注安全的作用和價值，另一方面也印證了今年生態(tài)大會數(shù)字安全專場的主題：看得見的安全。

9月6日上午，數(shù)字安全專場準時召開。來自騰訊、IDC、同程、上汽等安全專家圍繞“看得見的安全”展開了分享。在實際的企業(yè)環(huán)境中，安全往往是最容易被忽視的領(lǐng)域之一。很多企業(yè)決定建設(shè)安全的起因要么是受到合規(guī)處罰，要么是遭遇安全事件，缺乏主動驅(qū)動力去建設(shè)和關(guān)注安全。

導致這樣的原因有以下幾點。首先是安全意識不足。企業(yè)管理層經(jīng)常會陷入誤區(qū)，將網(wǎng)絡(luò)安全歸類為技術(shù)層面的工作，抑或是認為其會影響業(yè)務(wù)發(fā)展，員工也會因安全意識不足而忽略安全的作用。

其次是安全過于復雜。在數(shù)字化轉(zhuǎn)型的過程中，企業(yè)無法避免地會接觸到網(wǎng)絡(luò)、云、大數(shù)據(jù)等要素，隨之而來的安全風險五花八門，所需要的安全技術(shù)也復雜多樣。從市場來看，安全市場領(lǐng)域繁多。據(jù)安在新媒體發(fā)布的“2024中國網(wǎng)絡(luò)安全產(chǎn)品用戶調(diào)查報告”顯示，網(wǎng)絡(luò)安全產(chǎn)品覆蓋7個領(lǐng)域，160個子類（不完全統(tǒng)計）。這些復雜的安全產(chǎn)品導致企業(yè)在建設(shè)安全的過程中，不僅需要考量安全技術(shù)的效果，還提升了安全運營的難度。很多時候，企業(yè)只能在損失發(fā)生后，才能意識到安全的重要性。

最后是成本過高。因安全效果難以量化，企業(yè)很難準確把握安全的投資回報比。與此同時，隨著企業(yè)數(shù)字化進程的加深，建設(shè)安全的成本與日俱增。此前，拜登政府公布2025財年預算申請，聯(lián)邦政府將投入130億美元用于增強網(wǎng)絡(luò)安全，相對的，攻擊者的攻擊支出僅需10美元。出于發(fā)展的考量，部分企業(yè)僅將安全維持在合規(guī)紅線，忽視安全的價值。

然而，在增長成為企業(yè)發(fā)展的主旋律，過去對于網(wǎng)絡(luò)安全的認識和態(tài)度也要發(fā)生變化。對此，騰訊集團高級執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO湯道生表示，當技術(shù)突破和應(yīng)用創(chuàng)新成為企業(yè)普遍追求的二次增長曲線、當數(shù)據(jù)成為貫穿企業(yè)業(yè)務(wù)環(huán)節(jié)的血液，就不能再以被動思路來建設(shè)安全，而是應(yīng)當建立一套可感知、可掌控、可增長的主動安全建設(shè)框架。IDC中國區(qū)總裁霍錦潔也表示，越來越多企業(yè)通過數(shù)字化來引領(lǐng)創(chuàng)新，安全成為企業(yè)持續(xù)增長的前提和基石。

想要使安全可以被看見，不僅需要從意識上提高對安全的重視，還要從框架上對安全加以改變。對此，騰訊安全圍繞可感知、可掌控、可增長提出了一套主動安全建設(shè)框架。

可感知指的是建立主動、前瞻的安全情報體系。威脅情報是企業(yè)實現(xiàn)主動安全的必要元素，通過威脅情報，企業(yè)可發(fā)現(xiàn)與業(yè)務(wù)相關(guān)的風險類型，并圍繞其建設(shè)針對性的安全能力，化被動為主動。

可掌控指的是建立多級立體的防御體系。縱深防御一直是企業(yè)對抗網(wǎng)絡(luò)安全威脅的主要防護策略，然而，隨著內(nèi)部風險的提升以及權(quán)限在網(wǎng)絡(luò)安全對抗中的重要性，僅依靠縱深防御無法全面、有效地提高企業(yè)安全性。因此，多級立體的防御體系可以在面對入侵時，逐級降低安全風險，掌握攻防對抗主動權(quán)。

可增長即構(gòu)建基于行業(yè)場景的業(yè)務(wù)安全能力。想要實現(xiàn)價值以及更好地保障企業(yè)安全，就需要讓安全與業(yè)務(wù)進一步貼合。傳統(tǒng)的、外掛式的安全建設(shè)方法無法更好地貼近業(yè)務(wù)，也就無法平衡安全與增長。在現(xiàn)階段，安全不應(yīng)該僅僅成為“防線”，而是要成為生產(chǎn)力。

那么，如何讓企業(yè)更好地實現(xiàn)主動安全，進一步提高安全的“可見性”呢？霍錦潔表示，據(jù)IDC的研究表明，構(gòu)建云原生安全體系可有效抵御網(wǎng)絡(luò)攻擊。因此，騰訊安全在此次分會上首次公開騰訊云平臺自身安全建設(shè)框架，并發(fā)布了騰訊云安全“4+N”體系。

騰訊安全副總裁、騰訊云鼎實驗室負責人董志強表示，目前，騰訊云在全球維護超過150萬臺服務(wù)器、各類云服務(wù)云資產(chǎn)總量超過1.4億。在積累了多年的云安全治理實踐后，騰訊安全已經(jīng)建立起一套行之有效的云平臺高安全等級架構(gòu)。

據(jù)董志強介紹，當前企業(yè)所面臨的問題和挑戰(zhàn)主要來自四個方面。首先是資產(chǎn)與數(shù)據(jù)。海量的數(shù)據(jù)正在源源不斷地匯入企業(yè)，如何處理和保護好這些資產(chǎn)和數(shù)據(jù)成為企業(yè)需要解決的第一個挑戰(zhàn)。第二是管理機制與業(yè)務(wù)關(guān)系，安全與業(yè)務(wù)的關(guān)系在近年來屢屢被提及，既要滿足業(yè)務(wù)發(fā)展，又要覆蓋合規(guī)要求是企業(yè)的第二個挑戰(zhàn)。第三是新技術(shù)與業(yè)務(wù)架構(gòu)，包括云計算、AI和大數(shù)據(jù)等技術(shù)正在成為企業(yè)數(shù)字化進程的支柱，而新技術(shù)所帶來的新安全威脅則成為企業(yè)需要應(yīng)對的挑戰(zhàn)之一。此外，受安全左移思想而提出的DevSecOps正在改變企業(yè)的業(yè)務(wù)架構(gòu)，如何在改變的過程中兼顧安全性也成為企業(yè)的安全挑戰(zhàn)。最后是網(wǎng)絡(luò)空間態(tài)勢，隨著AI大模型等技術(shù)的普及，網(wǎng)絡(luò)安全整體態(tài)勢愈發(fā)嚴峻，持續(xù)攻擊和對抗成為常態(tài)，建立起對應(yīng)的安全防護是企業(yè)安全工作的關(guān)鍵。

董志強表示，網(wǎng)絡(luò)安全已經(jīng)進入了下一個階段。他闡述了過去的理念和誤區(qū)，包括網(wǎng)絡(luò)安全是技術(shù)層面的事情、安全工作影響業(yè)務(wù)發(fā)展、合規(guī)驅(qū)動的安全等等，也提出了今天的安全環(huán)境變化，例如網(wǎng)絡(luò)安全是業(yè)務(wù)成長和組織發(fā)展的命脈、安全伴隨業(yè)務(wù)共同成長，創(chuàng)造價值、合規(guī)驅(qū)動、價值驅(qū)動、風險驅(qū)動等等。

通過對比上述的挑戰(zhàn)和變化，騰訊安全總結(jié)了現(xiàn)代云安全的十條基本原則。包括安全與組織戰(zhàn)略一致；與業(yè)務(wù)建立伙伴關(guān)系；可量化的安全ROI和KPI；“全員安全責任制”；輕量框架、動態(tài)流程，伴隨業(yè)務(wù)發(fā)展而迭代；數(shù)據(jù)驅(qū)動，指標驅(qū)動；“零信任”原則，最小權(quán)限，特權(quán)分離；“假設(shè)損失”原則；進行實效性驗證，持續(xù)驗證、多層驗證；默認安全、自動化、智能化。

董志強表示，“網(wǎng)絡(luò)安全是一個業(yè)務(wù)和組織發(fā)展的命脈，我們要把安全和組織的命運聯(lián)系在一起。以往的觀念認為安全建設(shè)要盡善盡美，既然已經(jīng)有所投入了就應(yīng)該有兜底的能力、應(yīng)該不出事，實際不是這樣的，安全是一場無限戰(zhàn)爭，我們要在有限成本上做假設(shè)損失的原則。”

在得出這樣的結(jié)論后，董志強披露了騰訊云安全治理架構(gòu)。最上層的CEO等C-Level領(lǐng)導層負責安全與戰(zhàn)略對齊。業(yè)務(wù)負責人和安全負責人負責安全與業(yè)務(wù)的集成和安全策略、流程和文化的制定。架構(gòu)師與技術(shù)Leader則需要提供安全架構(gòu)和保護框架以及模塊化治理結(jié)構(gòu)?；A(chǔ)的研發(fā)與運營團隊需要實現(xiàn)技術(shù)控制與持續(xù)運營流程。

此外，董志強還分享了騰訊云平臺防護總體架構(gòu)以及各項高等級云安全架構(gòu)實踐工作。他表示，通過騰訊云安全治理架構(gòu)，騰訊云真正實現(xiàn)了讓安全“看得見”。目前，騰訊云安全團隊每天需要應(yīng)對超過800起風險事件，每一起的平均檢測研判時間在4分鐘，45分鐘內(nèi)分析溯源并且完成對攻擊行為的阻斷遏制，有效地保障了云上百萬用戶的業(yè)務(wù)安全。

在此次分會上，騰訊安全還提出了騰訊云安全“4+N”體系。上文提到，騰訊在保障金融領(lǐng)域的安全時，已經(jīng)實踐了“4+N”體系，并得到了實際的反饋和效果。對此，騰訊安全副總裁方斌表示，云是企業(yè)數(shù)字化的核心載體，各行各業(yè)對于云安全有共性需求。“通過4+N體系及后續(xù)推出的安全價值評估模型，可以幫助企業(yè)定量評估安全建設(shè)投入價值，讓企業(yè)安全‘看得見’、‘可量化’、‘算得清’。”

相對于“看不見”的安全，方斌認為風險是直觀可見的。一方面，來自外部的攻擊事件越來越多，據(jù)騰訊安全統(tǒng)計，2024上半年全網(wǎng)漏洞爆發(fā)2萬+，真實修復率低于7%。與此同時，騰訊云攔截攻擊同比增加71.38%，攔截攻擊者同比增加了13.12%。另一方面，騰訊安全提出外部攻擊強度正在提升，攻防演練正走向常態(tài)化、實戰(zhàn)化，被突破風險提升。然而，與外部威脅對比的企業(yè)安全現(xiàn)狀卻岌岌可危。企業(yè)安全意識薄弱、安全戰(zhàn)略被動、安全人才不足都是引發(fā)企業(yè)風險的重要因素。

在看得見的風險下，企業(yè)應(yīng)該如何建設(shè)安全？對此，方斌表示，安全基礎(chǔ)建設(shè)和數(shù)字化收益就是1和0的關(guān)系，安全就是一串數(shù)字前面的1，沒有1，無論后面有多少個0都是無效的。因此，騰訊提出云上安全建設(shè)“4+N”防護體系，旨在開放基于自身多年實踐的“騰訊級”安全能力，幫助各行各業(yè)企業(yè)用戶更有效地打造適配自身需求的數(shù)字安全體系。

“4+N”防護體系中，4指的是“云防火墻”“Web應(yīng)用防火墻”“主機安全”和“數(shù)據(jù)安全”。對此，方斌表示，在企業(yè)云安全建設(shè)中，幾乎所有企業(yè)都會面對共性的基礎(chǔ)安全問題，如攻防演練、復雜攻擊、挖礦勒索、防爬防薅、等保合規(guī)、批量攻擊等。針對這些共性問題，騰訊提出的4道防線可以解決批量攻擊、合規(guī)、安全運營、復雜攻擊問題。

N則針對不同行業(yè)所具備的個性化業(yè)務(wù)場景，如金融行業(yè)的交易信貸反欺詐、電商行業(yè)的營銷流量風控、出行領(lǐng)域的車聯(lián)網(wǎng)安全以及零售領(lǐng)域的黃牛防刷及品牌打假等等。用戶可根據(jù)自身的業(yè)務(wù)場景和安全需求，選擇個性化的解決方案，為業(yè)務(wù)發(fā)展“增”值“提”效。

基于騰訊云安全“4+N”體系，騰訊安全還在4道防線上集成了一些獨家優(yōu)勢。例如實現(xiàn)了云安全產(chǎn)品與騰訊云、微信等騰訊系產(chǎn)品聯(lián)動，以及基于AI能力實現(xiàn)風險自動化處置等等。目前，騰訊的4+N體系已幫助各行業(yè)多家企業(yè)構(gòu)建起可助力業(yè)務(wù)增長的安全能力。

一直以來，騰訊安全始終關(guān)注企業(yè)的安全需求和安全的價值體現(xiàn)。

此前，騰訊安全倡導安全要“化繁為簡”，提出了一鍵式的安全運營中心和簡約集成的安全架構(gòu)等等。而現(xiàn)在，騰訊安全則強調(diào)安全要“化虛為實”，通過增強安全在企業(yè)中的“可見度”來進一步提升和優(yōu)化安全能力，確保企業(yè)在數(shù)字化進程中能夠平衡發(fā)展與安全。

在經(jīng)濟下行和惡劣安全環(huán)境的共同壓迫下，讓安全顯形成為企業(yè)提高安全能力的重要舉措。包括騰訊安全在內(nèi)的安全供應(yīng)商們，也應(yīng)該通過各種產(chǎn)品和策略，幫助企業(yè)打出“破隱一擊”，讓安全更具價值，讓風險無處遁形。