云安全的發(fā)展經(jīng)歷了三個階段。早期，是對傳統(tǒng)網(wǎng)絡安全模式的借鑒與適應；而后，伴隨容器時代的來臨，云原生安全嶄露頭角，并催生出豐富的外掛式安全技術；如今，產(chǎn)業(yè)開始思考并致力于構建以戰(zhàn)略和價值為引領、架構為核心、機制為支撐的云安全治理體系，標志著云安全已然從單純的技術堆砌邁向了與企業(yè)戰(zhàn)略深度融合的新紀元。

李濱：最初在云尚未定型時，云安全主要借鑒傳統(tǒng)網(wǎng)絡安全的防護思路和理念。進入容器時代后，與云相關的資源力度、運行效率、迭代速度越發(fā)明顯，國際上因此提出了全新的概念—Cloud Native，即云原生。然而，云原生安全與系統(tǒng)的耦合性較差，龐大的資源數(shù)據(jù)逐漸成為安全建設的最大阻礙，顯然“先采用后補安全”的方式已無法適用云安全的需求。需要從全新的理念和架構出發(fā)，規(guī)劃、引導、設計云安全治理體系。

之所以稱為云安全治理體系，是因為它具備幾個層面。首先是戰(zhàn)略和價值，有別于過去純技術角度的思考，在今天這樣外部環(huán)境、經(jīng)濟形勢、業(yè)務發(fā)展方式全然不同的時代下，我們更需要關注安全的價值，即如何使用最大化的投入產(chǎn)出比來提升安全效率，將安全置于企業(yè)整體的戰(zhàn)略和規(guī)劃中。

以此為核心，設計合理的安全架構，最后根據(jù)架構設計出合理的安全機制，比如哪些機制在早期設計時就應該做好內置，并且以更低的成本提供給用戶。最終形成價值決定戰(zhàn)略、戰(zhàn)略決定架構、架構決定技術形態(tài)的分析思路。這也是云安全進入第三階段的主要特征。

沈勇：云安全的蓬勃發(fā)展誕生于2010年。第一個階段主要從基礎架構入手，是計算、存儲、網(wǎng)絡、虛擬化技術成熟后的產(chǎn)物，具備全新的組織形態(tài)。由于基礎架構的變化對整個IT產(chǎn)生了巨大影響，業(yè)界逐漸發(fā)現(xiàn)補丁式的安全思維已經(jīng)跟不上云應用的迭代速度，云安全便因此進入第二個階段，即云原生安全。然而，外界環(huán)境的變化不允許人們長時間停留于“縫縫補補”的狀態(tài)，所以當云原生安全還未被業(yè)內熟知與充分利用，第三階段的云安全便“撲面而來”了。

當前階段的云安全需要更完整的治理體系。首先，從用戶的角度來看，應用永遠都是第一位的，安全本身不是目的，目的是保護有價值的應用；其次，面對不斷發(fā)展的應用，補丁式的安全方案已完全不適用，云原生安全防護思路已經(jīng)到達極限，外掛式的安全方解決方案只會導致安全系統(tǒng)過于復雜且成本巨大，因此，用戶急需一種更好的理念和治理體系，來組織、設計云安全管理。

李濱：企業(yè)需要關注云安全防御體系落地中的幾個注意事項。首先在應用開發(fā)和獲取階段，需要進行網(wǎng)絡安全的同步規(guī)劃和建設。尤其需要注意軟硬件應用服務的外采；其次，通過各個數(shù)據(jù)點的采集指標來形成完整的安全分析和運營系統(tǒng)是重點之一，所以基礎設施安全和安全運營要重點關注；供應鏈安全中包括軟硬件的供應鏈，上下游關系，以及人員和外包服務；而在跨云安全協(xié)同上，需要從底層進行技術支撐，主要體現(xiàn)在身份訪問控制和權限審計等方面；此外，包括數(shù)據(jù)安全、業(yè)務風控等，都是云安全防御體系落地過程中需要重點關注的地方。

沈勇：在構建整體云防護的過程中，首先要有整體性的戰(zhàn)略思維，此思維需要具備頂層設計。因為過去“先用產(chǎn)品后補防護”的理念和方式已經(jīng)完全跟不上時代所需，所以企業(yè)的安全防御體系要從業(yè)務系統(tǒng)的建設初期就同步部署。最終的目標是讓企業(yè)的云安全建設具備基礎的服務能力，具備個性化的安全能力，以及形成總體的指標體系。

騰訊云在構建云平臺安全戰(zhàn)略時，深刻認識到安全不僅是技術層面的保障，更是與多方利益相關者的價值共創(chuàng)與協(xié)同。通過全面審視并界定核心利益相關方，騰訊云確保了安全策略與企業(yè)戰(zhàn)略及外部環(huán)境的緊密對齊。在此基礎上，騰訊云積極探索量化安全價值的新路徑，通過構建一套科學、系統(tǒng)且可度量的安全指標體系，將安全從無形保障轉化為可評估、可優(yōu)化的戰(zhàn)略資產(chǎn)。

李濱：既然是治理，就一定會涉及組織的最高戰(zhàn)略層面，它的內涵是最高層對于治理方向的監(jiān)督指導和評價。通過提供具體的事項和必要的數(shù)據(jù)，讓組織最高層來評估目前的治理階段是否準確，從而得到相應的指導和支持。此外，面對“落地治理框架”這一巨大挑戰(zhàn)，企業(yè)在治理之下還需具備管理能力，通過流程、組織機構、崗位職責的設定來進行落地。最后還需要在技術的支撐下，才能讓治理框架有效實踐。

騰訊云在戰(zhàn)略對齊的層面上，首先思考的是“誰為安全的利益相關方”。作為互聯(lián)網(wǎng)時代下較為全面的平臺，騰訊云界定了五個方向核心利益相關方。第一是騰訊客戶，對企業(yè)而言，客戶的利益是首要的；第二是監(jiān)管方，作為平臺企業(yè)，會涉及國家以及不同地區(qū)法律法規(guī)、行業(yè)標準的約束；第三是社會責任，作為上市公司，廣大的公眾就是利益相關方，即使沒有直接的利益損失，也需要評估和衡量可能對公眾造成的影響；第四，為了保證財務控制的準確性，內部控制也是利益相關方的重要一環(huán)；第五是廣義的風險管理，主要涉及騰訊的客戶、供應鏈上下游等。

綜上所述，騰訊云除了和企業(yè)內部的業(yè)務戰(zhàn)略對齊外，還會評估云安全戰(zhàn)略是否和利益相關方的目標相一致，從而做到安全最終價值的呈現(xiàn)和保障。

李濱：在量化安全價值方面，騰訊云具備了相應的支撐性原則。其一，安全必須可靠、可度量；其二，安全需要形成核心且能覆蓋不同層級的度量指標。比如安全的投入對業(yè)務和戰(zhàn)略的支撐能否量化成具體的數(shù)值？其次，支撐這些參數(shù)所需不同的安全治理模塊有無合適的量化指標？這些指標能否支撐最上層的投入產(chǎn)出比？最終，通過逐層的分解，便能對整個安全治理形成數(shù)據(jù)化、指標化的度量體系。

在騰訊云內部，安全指標分為三層，最核心的是網(wǎng)絡安全ROI；往下是每個安全治理模塊中較為核心的指標，比如事件全流程的溯源覆蓋率，就是安全事件造成風險損失的核心指標之一；再往下還有漏報和誤報，全流程的分析響應時間，以及最終對安全事件的遏制時間等。每個安全治理模塊中都存在幾項核心指標，且缺一不可，因為這是構成最上層數(shù)據(jù)的必要基礎。

通過建立成熟的指標體系，騰訊云可以實現(xiàn)安全上的戰(zhàn)略和價值。同時，通過持續(xù)的優(yōu)化和迭代，最終形成對用戶而言必要的監(jiān)控點。這些監(jiān)控點可回落到系統(tǒng)中，并為用戶完善系統(tǒng)建設指出必須具備核心監(jiān)控指標的環(huán)節(jié)，最終實現(xiàn)保證從系統(tǒng)到架構，再到指標體系的一致性。

在探討云計算環(huán)境下安全價值的呈現(xiàn)與實現(xiàn)路徑時，首先要關注如何構建一個全面且可度量的安全體系，這一體系不僅覆蓋了從工具到流程能力的全方位保障，還深刻影響著業(yè)務價值的提升與成本的優(yōu)化控制。通過實現(xiàn)安全指標與業(yè)務價值的深度綁定，不僅為用戶提供了直觀的安全量化評估，還進一步推動了安全成為業(yè)務發(fā)展的強大驅動力。

李濱：在具體形態(tài)上，騰訊云從工具到流程能力進行了全面覆蓋。而從現(xiàn)實出發(fā)，所有的價值衡量都有一個前提——在成本有限的情況下將能力價值最大化，這也就是為什么必須實現(xiàn)可度量的安全指標，且一定要和業(yè)務價值相互綁定。

假設有兩個產(chǎn)品線，產(chǎn)值分別為1億和10億，此時我們若把安全指標和業(yè)務價值相對齊，就能實現(xiàn)量化。比如對于1億的產(chǎn)品，投入相應的安全人員可為其挖掘100個漏洞，再結合安全事件所造成的停機損失，就能形成該產(chǎn)品線風險成本的總值，對應其產(chǎn)值，就能形成安全的量化值。與之相比，10億的產(chǎn)品線由于其自身業(yè)務實現(xiàn)更好，因而在安全投入的相同的情況下，安全投入比和總體風險成本更低，最終體現(xiàn)出更高的業(yè)務價值。

如此我們就能得到兩個結果：其一，安全的指標和數(shù)據(jù)得到了直接的價值量化，公司經(jīng)營者可清晰辨別安全效果、投入產(chǎn)出比等；其二，安全和業(yè)務價值對齊后，為業(yè)務形成了驅動力，即只有做好安全，業(yè)務指標才能更為優(yōu)良，安全為助力業(yè)務成長提供了價值。

綜上，從戰(zhàn)略到價值對齊，再到可量化的指標，這三點的構成能夠幫助用戶解決“如何呈現(xiàn)安全價值”的問題。

沈勇：只要用戶在云上擁有大量的資產(chǎn)，就一定需要云平臺所提供的評價體系以展現(xiàn)安全的價值，決策者也可以對此進行橫向和縱向的對比。雖然業(yè)內可參考的模型有很多，但真正能方便實行和落地的卻很少，所以云平臺提供方可以通過自身實踐不斷深入，最終能力賦予用戶。像騰訊云這樣既具備細化指標和總體指標，還能用一種方式計算數(shù)據(jù)，并落實到平臺上的評價體系十分難得。即使在自定義方面只能滿足70%-80%的需求，對于用戶也已經(jīng)具備極大的吸引力。

當然，作為用戶，更希望評價體系能具備基礎模板，讓用戶可以進行一些自定義設計。畢竟同一件事情，不同用戶的看待角度、感受也并不相同，所產(chǎn)生的評價以及發(fā)展階段也不一樣，這是用戶最為期待的產(chǎn)品內容。此外，用戶希望在云平臺購買服務時，廠商能配齊基礎的安全能力。比如購買云存儲，用戶希望其中已內嵌發(fā)現(xiàn)敏感數(shù)據(jù)的能力，不需要再單獨配置相關的安全工具。正如“買車無需自己購置安全帶”一樣，這是用戶對于云平臺首要的期望。

安全的數(shù)據(jù)化與指標化是安全價值構建與提升的基石，而AI技術的深度融入則成為推動這一進程的關鍵力量。騰訊云通過一系列前沿實踐，不僅展現(xiàn)了AI高效處理海量數(shù)據(jù)，精準轉化為安全研判關鍵指標的能力，更揭示了AI在云安全領域的廣泛應用與深遠影響。此外，只有強調技術與業(yè)務的深度融合，才能實現(xiàn)安全價值的最大化。

李濱：安全的數(shù)據(jù)化和指標化對于安全價值呈現(xiàn)非常重要。以騰訊云為例，從捕捉到的信號將其轉化成有效數(shù)據(jù)，再到形成研判的一些關鍵指標，最終形成價值衡量，這是一個數(shù)據(jù)逐步過濾的分析過程，而其中所接觸的數(shù)據(jù)是海量的，必須依靠AI才能進行有效處理。

此外，AI作為快速發(fā)展的技術，其本身也會帶來非常多的安全問題和場景。騰訊云每天為用戶自動攔截的攻擊超過1.2億次；過去三年以來，騰訊云每天檢測到的攻擊信號在50億次以上。而這些檢測和攔截都離不開AI的賦能，可以說AI技術已經(jīng)在騰訊云上發(fā)揮了重要作用。

當然，AI工作還包括了內容風控、反欺詐、攻擊事件的協(xié)助分析、數(shù)據(jù)分析等。AI技術早已在騰訊云的各個領域有所應用，并在具體的應用上展現(xiàn)出了足夠的價值，最終形成了一整套有效的工具集。大大降低了騰訊云內部以及用戶的工作量，同時為安全生產(chǎn)效率帶來了極大的提升。

沈勇：AI必然會影響、賦能各行各業(yè)，但AI并不能替代人，而是會讓主動擁抱AI技術的人群具備更強的競爭優(yōu)勢。此外，AI不僅賦能云安全這一個具體的場景，更是極大影響了安全產(chǎn)業(yè)的變革與發(fā)展。由于AI應用帶來了更大的暴露面，因此安全的產(chǎn)值會更大，對安全人員的需求會更多，同時也會讓安全人員的競爭變得更激烈。

李濱：過去30年以來，最有價值的安全技術應用其實是指紋識別，以及由此衍生出的人臉識別等。指紋識別其實是眾多老技術的集成，但就是這么一個小小的改變和拼湊，卻極大地簡化了終端的身份認證，提高了便捷應用的門檻。

如今來看，指紋識別不但簡化了身份認證、手機應用，還進一步帶動了支付鏈條的變化，讓人員愿意通過互聯(lián)網(wǎng)和移動終端進行業(yè)務交易，進而改變了互聯(lián)網(wǎng)電子金融和電子商務的生態(tài)。所以說，指紋識別帶動了不可估量的產(chǎn)業(yè)價值。

因此對云安全而言，未來也會呈現(xiàn)同樣的發(fā)展趨勢。真正的安全技術并不一定要以單獨的產(chǎn)品形態(tài)來呈現(xiàn)，關鍵在于能給業(yè)務帶來怎樣的助力。安全技術的最終目標是要能融入業(yè)務，成為業(yè)務的一部分，這樣用戶才更愿意接受，實現(xiàn)安全價值最大化。

沈勇：用戶而言，最希望看到的是好用的產(chǎn)品，內置安全能力。比如，領導地位的產(chǎn)品內置必需的安全能力。用戶并不會因為某樣產(chǎn)品特別安全而去購買，而是會在產(chǎn)品功能更好的情況下，關注其安全性是否過關。所以可以預測，未來云安全及產(chǎn)品的發(fā)展，或許會是某一個領域中的領導產(chǎn)品將安全作為自己的護城河，作為其內置的原生能力。