線上消費(fèi)的持續(xù)增長有效拉動(dòng)了內(nèi)需���,已成為中國經(jīng)濟(jì)增長的重要驅(qū)動(dòng)力。零售�、電商、O2O的快速發(fā)展離不開近些年來數(shù)字基建的發(fā)展�����,更仰賴于數(shù)字化物流體系的日漸完備����。物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時(shí),也掌握了海量的用戶數(shù)據(jù)�,由于物流鏈條長、接觸數(shù)據(jù)的角色多���,使得物流快遞行業(yè)信息安全治理變得極其重要����。
近年以來�����,各行各業(yè)都在使用AI等新技術(shù)提質(zhì)增效,物流行業(yè)也不例外����,如何建立完備的安全體系,以保障用戶信息安全和企業(yè)的長遠(yuǎn)發(fā)展�����?本期對(duì)談中���,CIO時(shí)代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶圍繞相關(guān)話題�,邀請(qǐng)到了知名物流科技平臺(tái)貨拉拉信息安全部負(fù)責(zé)人黃宇鴻(以下簡稱黃宇鴻),共話數(shù)據(jù)驅(qū)動(dòng)的物流體系下����,貨拉拉如何構(gòu)建安全體系。
采訪嘉賓 | 貨拉拉信息安全部負(fù)責(zé)人 黃宇鴻
訪談主持 | CIO時(shí)代聯(lián)合創(chuàng)始人兼COO
新基建創(chuàng)新研究院秘書長 劉 晶
1
劉晶:從您個(gè)人角色來看���,當(dāng)前物流行業(yè)或貨拉拉在安全方面面臨哪些難點(diǎn)和痛點(diǎn)��?
黃宇鴻:作為一家網(wǎng)絡(luò)貨運(yùn)平臺(tái)���,貨拉拉與其他眾多行業(yè)在面臨安全挑戰(zhàn)時(shí)既有共性也有其獨(dú)特性����。共同點(diǎn)在于我們都是面對(duì)黑產(chǎn)��,物流業(yè)務(wù)需要采集跟實(shí)際用戶相關(guān)的一些個(gè)人的信息���,所以我們和其他行業(yè)一樣都會(huì)面臨敏感數(shù)據(jù)的保護(hù)的挑戰(zhàn)�����。
貨拉拉的獨(dú)特性在于其業(yè)務(wù)的廣泛覆蓋和高度分散性�。公司在全國300多個(gè)城市開展業(yè)務(wù)����,人員也遍布這些城市,這種地理上的廣泛分布使得線上與線下的運(yùn)營場景變得異常復(fù)雜�����。
此外���,貨拉拉還面臨著一些特定的安全挑戰(zhàn)�����,比如在處理司機(jī)與用戶之間的糾紛時(shí)��,客服人員可能需要調(diào)取訂單相關(guān)數(shù)據(jù)來進(jìn)行責(zé)任判定�。這一過程涉及到一些敏感數(shù)據(jù)的使用,要求企業(yè)做好數(shù)據(jù)安全的保護(hù)��。
針對(duì)這種數(shù)據(jù)調(diào)用����,貨拉拉建設(shè)了非常嚴(yán)格的安全屋機(jī)制�����,安全屋是個(gè)物理隔離的區(qū)域���,客服人員在處理涉及隱私的數(shù)據(jù)之前�����,必須遵守嚴(yán)格的規(guī)定���,如不得攜帶手機(jī)入場,有嚴(yán)格身份認(rèn)證、權(quán)限管理����、工作過程中也會(huì)做審計(jì)和監(jiān)控,以確保數(shù)據(jù)處理過程的安全與私密�����,并且所有這些數(shù)據(jù)調(diào)用相關(guān)的活動(dòng)只能在安全屋進(jìn)行�����,從而最大限度地減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)����。
總體上,貨拉拉對(duì)特定的業(yè)務(wù)和相關(guān)的產(chǎn)品做了很多特定的措施去做保障����。
2
劉晶:能否描述一下您加入團(tuán)隊(duì)時(shí)面臨的挑戰(zhàn),您做了哪些工作����?
黃宇鴻:最近這些年,貨拉拉不僅在業(yè)務(wù)上持續(xù)創(chuàng)新�����,更在信息安全領(lǐng)域加大了投入,以應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)�����。從早期的等保合規(guī)要求�����,到后來的數(shù)據(jù)安全和個(gè)人信息保護(hù)法規(guī)的出臺(tái)��,信息安全領(lǐng)域已經(jīng)形成了相對(duì)完善的法律法規(guī)體系���。這一變化使得貨拉拉在應(yīng)對(duì)信息安全挑戰(zhàn)時(shí)���,有了更為明確的法律依據(jù)和更高的標(biāo)準(zhǔn)���。
數(shù)據(jù)安全��、個(gè)人信息保護(hù)這塊�����,不管是從技術(shù)上還是產(chǎn)業(yè)成熟度上面�����,相較于網(wǎng)絡(luò)安全板塊��,挑戰(zhàn)會(huì)更大一些����。此外,由于數(shù)據(jù)安全與業(yè)務(wù)是強(qiáng)耦合的�����,其處理過程需要業(yè)務(wù)部門的緊密配合���,這無疑增加了工作的復(fù)雜性和難度���。
為了有效應(yīng)對(duì)這些挑戰(zhàn),加入貨拉拉以后�,我從組織和管理制度入手,推動(dòng)升級(jí)了公司層面的信息安全委員會(huì)�,信息安全工作提升到了公司層面統(tǒng)一管理,同時(shí)還制定了一系列安全制度和運(yùn)行流程��,并設(shè)立了信息安全的BP(業(yè)務(wù)伙伴)機(jī)制。通過派遣安全BP深入業(yè)務(wù)部門����,有助于更準(zhǔn)確地了解業(yè)務(wù)部門的信息安全需求和問題,保障問題解決和推動(dòng)安全要求真正在業(yè)務(wù)上落地��。
除了制度和機(jī)制建設(shè)外���,貨拉拉還注重技術(shù)創(chuàng)新和應(yīng)用���。近年來,公司緊跟行業(yè)前沿技術(shù)�����,引入了零信任���、攻防云����、切面安全等先進(jìn)的安全理念和最佳實(shí)踐�,進(jìn)一步完善了信息安全體系�。這些技術(shù)的應(yīng)用不僅提高了系統(tǒng)的安全性�����,也為貨拉拉在信息安全領(lǐng)域積累了較好實(shí)踐��。
3
劉晶:貨拉拉在信息安全建設(shè)及應(yīng)用方面的典型場景可否重點(diǎn)分享一下�?
黃宇鴻:最近兩年我們安全這邊重點(diǎn)做了一些和指標(biāo)量化相關(guān)的事情�,可以分享一下。在信息安全方面����,我們始終秉持一個(gè)基本原則:通過數(shù)據(jù)驅(qū)動(dòng)安全建設(shè)。信息安全領(lǐng)域具有明顯的短板效應(yīng)���,企業(yè)的整體安全水平往往并非由最強(qiáng)項(xiàng)決定��,而是受制于最薄弱環(huán)節(jié)����。并且信息安全相對(duì)復(fù)雜��,和企業(yè)生產(chǎn)經(jīng)營各方面都相關(guān)�,為了精準(zhǔn)評(píng)估企業(yè)安全水位,就需要有指標(biāo)體系來反應(yīng)安全水平����,貨拉拉設(shè)立了五大基本安全指標(biāo):
1�、覆蓋率:
覆蓋率是衡量安全能力在企業(yè)各場景中覆蓋水平的重要指標(biāo)���。通過持續(xù)監(jiān)測覆蓋率的變化���,能夠及時(shí)發(fā)現(xiàn)安全能力的薄弱環(huán)節(jié),并采取有效措施予以加強(qiáng)���,從而提升企業(yè)整體的安全防護(hù)水平��。
2�、準(zhǔn)確率
準(zhǔn)確率是評(píng)估安全檢測能力的重要指標(biāo)�����,反映了安全系統(tǒng)在檢測到攻擊時(shí)的準(zhǔn)確性�。
3、召回率
召回率也是評(píng)估安全檢測能力的重要指標(biāo)�,衡量了系統(tǒng)能夠發(fā)現(xiàn)所有潛在攻擊的能力。
4�、MTTD:平均檢測時(shí)長
MTTD(平均檢測時(shí)長)是衡量安全技術(shù)效率和安全運(yùn)營效率的關(guān)鍵指標(biāo)。MTTD反映了從攻擊發(fā)生到被檢測出來的時(shí)間間隔��。
5�、MTTR:平均響應(yīng)時(shí)長
和MTTR(平均響應(yīng)時(shí)長)同樣是衡量安全運(yùn)營效率的關(guān)鍵指標(biāo)。MTTR衡量了從檢測到攻擊到采取有效應(yīng)對(duì)措施的時(shí)間�。
通過建立五個(gè)指標(biāo),安全檢測防御相關(guān)的安全水平就能大致衡量出來能力和響應(yīng)水平�。并且我們推動(dòng)了整個(gè)安全運(yùn)營實(shí)現(xiàn)線上化,這樣指標(biāo)數(shù)據(jù)就能通過工具自動(dòng)統(tǒng)計(jì)出來�。另外我們也通過攻防演練檢驗(yàn)我們的指標(biāo)。我們建立了一個(gè)安全的攻防云環(huán)境�����,將內(nèi)部安全檢測能力做了虛擬化����,然后做攻擊測試,借助一些腳本和BAS產(chǎn)品(入侵和攻擊模擬)����,實(shí)現(xiàn)周期性的攻擊測試以驗(yàn)證各種檢測能力,通過這種方式���,能比較有效得到各個(gè)安全檢測防御能力的召回率指標(biāo)��,提高召回率的準(zhǔn)確性�����。
4
劉晶:我們了解到貨拉拉此前已與騰訊安全展開相關(guān)合作���,可否介紹具體合作在哪些方面�?
黃宇鴻:騰訊安全作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商���,擁有深厚的技術(shù)積累和創(chuàng)新理念��,為我們提供了強(qiáng)有力的支持��。此前�,已引入多款優(yōu)秀的騰訊安全產(chǎn)品與服務(wù)�,以強(qiáng)化我們的安全防護(hù)體系。
個(gè)人認(rèn)為騰訊安全的一大顯著優(yōu)勢�,在于其在移動(dòng)端與終端領(lǐng)域的廣泛裝機(jī)量。龐大的用戶基礎(chǔ)為騰訊在安全威脅情報(bào)分析方面提供了得天獨(dú)厚的條件��。騰訊能接觸到更多的攻擊樣本��,通過長期的數(shù)據(jù)積累與分析���,騰訊安全有能力構(gòu)建了一個(gè)全面且精準(zhǔn)的威脅情報(bào)庫�����。我們也有和騰訊的安全情報(bào)庫合作��,通過合作還是比較顯著提升安全檢測效率與準(zhǔn)確性���,甚至在威脅爆發(fā)前就能做出預(yù)警,有效降低了潛在的安全風(fēng)險(xiǎn)����。
在代碼安全方面,我們同樣與騰訊安全也有合作�����。通過合作和借鑒騰訊的安全經(jīng)驗(yàn)���,來不斷優(yōu)化我們自身的代碼審查與安全管理流程����,力求從源頭上消除安全隱患��,提升軟件安全質(zhì)量。
5
劉晶:現(xiàn)在大家都在談“新質(zhì)生產(chǎn)力”�����,將新技術(shù)應(yīng)用到生產(chǎn)流通環(huán)節(jié)提質(zhì)增效����,可否分享一些貨拉拉在這方面的相關(guān)工作?
黃宇鴻:貨拉拉作為一家深耕于物流領(lǐng)域的互聯(lián)網(wǎng)平臺(tái)���,在數(shù)字化�����、網(wǎng)絡(luò)化方面具有先天優(yōu)勢����。近年來����,隨著人工智能(AI)技術(shù)的迅猛發(fā)展,新質(zhì)生產(chǎn)力已成為推動(dòng)社會(huì)進(jìn)步的重要力量�。在此背景下,貨拉拉緊跟時(shí)代步伐����,從公司戰(zhàn)略層面高度重視AI技術(shù)的跟蹤與應(yīng)用創(chuàng)新��,不僅在業(yè)務(wù)層面積極探索AI的無限可能�,同時(shí)在信息安全領(lǐng)域也積極跟進(jìn)�,以AI為引擎,驅(qū)動(dòng)信息安全防護(hù)的全面升級(jí)�����。
AI的應(yīng)用首先在信息安全運(yùn)營方面�,貨拉拉已經(jīng)建設(shè)了眾多信息安全檢測能力����,每日產(chǎn)生的告警數(shù)量高達(dá)數(shù)萬條。面對(duì)如此龐大的告警量����,傳統(tǒng)的方式是通過規(guī)則進(jìn)行告警壓制,但壓制以后還是有不少告警��。為此���,我們嘗試用AI技術(shù)對(duì)告警做處理���,通過AI對(duì)告警進(jìn)行預(yù)處理和篩選��,目前看效果還比較好�。經(jīng)過初步的技術(shù)優(yōu)化�����,通過AI壓制后告警量在召回率沒下降的情況下比原來減少了三分之二�,這對(duì)安全運(yùn)營效率有明顯的提升。
同時(shí)我們AI能力��,包括大模型也在多個(gè)方向做些嘗試�,在一些攻擊檢測、漏洞檢測����,還有數(shù)據(jù)分類分級(jí),以及面向內(nèi)部員工的一些服務(wù)���,我們都在嘗試通過大模型去提升體驗(yàn)跟效率���。
6
劉晶:今年的騰訊數(shù)字生態(tài)大會(huì)上提出了“看得見的安全”理念,您如何理解這一理念��?
黃宇鴻:安全怎么被看見是個(gè)老生常談的問題,安全最好的狀態(tài)其實(shí)就是不出問題����、默默無聞地在后面做支撐,這也是為什么會(huì)有“看得見”這個(gè)議題����。
“看得見的安全”可以分別從幾個(gè)層面來解讀:
首先,“看得見”指安全能力����。比如此前提到的安全的指標(biāo)化,如果這些安全的威脅沒有被看見��,則沒法做保護(hù)����,從保護(hù)的角度來說����,我們必須先“看到”這些威脅和不足。
其次�����,“看得見”安全價(jià)值。對(duì)企業(yè)而言�����,安全是增強(qiáng)企業(yè)成功的確定性�����,如果安全出了問題���,無論是合規(guī)出問題����,或被攻擊導(dǎo)致業(yè)務(wù)中斷��,其后果可大可小����,或?yàn)闃I(yè)務(wù)帶來極大損失。因此����,安全需要降低此類事件發(fā)生的概率,這是安全在企業(yè)內(nèi)部體現(xiàn)的主要價(jià)值。
最后�,企業(yè)在安全方面的持續(xù)投入也希望能被外部“看見”,使得企業(yè)能贏得用戶和監(jiān)管的認(rèn)可和信任���。有很多安全工作會(huì)最終通過認(rèn)證和測評(píng)的方式來獲得各種證書和資質(zhì)���。這些是企業(yè)在安全能力方面的體現(xiàn),有利于增強(qiáng)用戶對(duì)企業(yè)數(shù)據(jù)保護(hù)方面的信任��。還有一些新業(yè)態(tài)落地過程中�����,監(jiān)管機(jī)構(gòu)需要與頭部企業(yè)共同探討如何落實(shí)安全監(jiān)管�����,該過程中我們可以參與其中�,分享經(jīng)驗(yàn)�、參與標(biāo)準(zhǔn)制定,幫公司在監(jiān)管層面贏得更多支持�����。
7
劉晶:談?wù)勀鷮?duì)于安全行業(yè)未來的預(yù)期如何?
黃宇鴻:信息安全行業(yè)作為現(xiàn)代科技發(fā)展的重要支撐�����,一直受到國家層面的高度重視����。近年來,隨著數(shù)字化轉(zhuǎn)型的加速和網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻��,信息安全人才的需求量急劇增加�����,市場缺口顯著����,進(jìn)一步推動(dòng)了該行業(yè)的發(fā)展活力。
從行業(yè)發(fā)展趨勢來看��,信息安全無疑是一個(gè)充滿潛力且持續(xù)發(fā)展的領(lǐng)域�����。與其他行業(yè)相比���,信息安全的需求具有更強(qiáng)的穩(wěn)定性和持續(xù)性�����。無論經(jīng)濟(jì)環(huán)境如何變化���,信息安全作為保障數(shù)據(jù)安全����、維護(hù)網(wǎng)絡(luò)空間秩序的關(guān)鍵環(huán)節(jié)�,其重要性不言而喻。因此����,即便在短期內(nèi)面臨一些挑戰(zhàn)和困難,信息安全行業(yè)依然展現(xiàn)出強(qiáng)勁的發(fā)展勢頭和廣闊的市場前景����。
我堅(jiān)信,信息安全行業(yè)不僅是一個(gè)具有廣闊發(fā)展空間的賽道��,更是一個(gè)值得長期投入和深耕的領(lǐng)域��。隨著技術(shù)的不斷進(jìn)步和應(yīng)用的不斷深化����,信息安全行業(yè)將持續(xù)迎來新的發(fā)展機(jī)遇和挑戰(zhàn)。
