線上消費(fèi)的持續(xù)增長(zhǎng)有效拉動(dòng)了內(nèi)需,已成為中國經(jīng)濟(jì)增長(zhǎng)的重要驅(qū)動(dòng)力。零售、電商、O2O的快速發(fā)展離不開近些年來數(shù)字基建的發(fā)展,更仰賴于數(shù)字化物流體系的日漸完備。物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時(shí),也掌握了海量的用戶數(shù)據(jù),由于物流鏈條長(zhǎng)、接觸數(shù)據(jù)的角色多,使得物流快遞行業(yè)信息安全治理變得極其重要。
近年以來,各行各業(yè)都在使用AI等新技術(shù)提質(zhì)增效,物流行業(yè)也不例外,如何建立完備的安全體系,以保障用戶信息安全和企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展?本期對(duì)談中,CIO時(shí)代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長(zhǎng)劉晶圍繞相關(guān)話題,邀請(qǐng)到了知名物流科技平臺(tái)貨拉拉信息安全部負(fù)責(zé)人黃宇鴻(以下簡(jiǎn)稱黃宇鴻),共話數(shù)據(jù)驅(qū)動(dòng)的物流體系下,貨拉拉如何構(gòu)建安全體系。
采訪嘉賓 | 貨拉拉信息安全部負(fù)責(zé)人 黃宇鴻
訪談主持 | CIO時(shí)代聯(lián)合創(chuàng)始人兼COO
新基建創(chuàng)新研究院秘書長(zhǎng) 劉 晶
1
劉晶:從您個(gè)人角色來看,當(dāng)前物流行業(yè)或貨拉拉在安全方面面臨哪些難點(diǎn)和痛點(diǎn)?
黃宇鴻:作為一家網(wǎng)絡(luò)貨運(yùn)平臺(tái),貨拉拉與其他眾多行業(yè)在面臨安全挑戰(zhàn)時(shí)既有共性也有其獨(dú)特性。共同點(diǎn)在于我們都是面對(duì)黑產(chǎn),物流業(yè)務(wù)需要采集跟實(shí)際用戶相關(guān)的一些個(gè)人的信息,所以我們和其他行業(yè)一樣都會(huì)面臨敏感數(shù)據(jù)的保護(hù)的挑戰(zhàn)。
貨拉拉的獨(dú)特性在于其業(yè)務(wù)的廣泛覆蓋和高度分散性。公司在全國300多個(gè)城市開展業(yè)務(wù),人員也遍布這些城市,這種地理上的廣泛分布使得線上與線下的運(yùn)營場(chǎng)景變得異常復(fù)雜。
此外,貨拉拉還面臨著一些特定的安全挑戰(zhàn),比如在處理司機(jī)與用戶之間的糾紛時(shí),客服人員可能需要調(diào)取訂單相關(guān)數(shù)據(jù)來進(jìn)行責(zé)任判定。這一過程涉及到一些敏感數(shù)據(jù)的使用,要求企業(yè)做好數(shù)據(jù)安全的保護(hù)。
針對(duì)這種數(shù)據(jù)調(diào)用,貨拉拉建設(shè)了非常嚴(yán)格的安全屋機(jī)制,安全屋是個(gè)物理隔離的區(qū)域,客服人員在處理涉及隱私的數(shù)據(jù)之前,必須遵守嚴(yán)格的規(guī)定,如不得攜帶手機(jī)入場(chǎng),有嚴(yán)格身份認(rèn)證、權(quán)限管理、工作過程中也會(huì)做審計(jì)和監(jiān)控,以確保數(shù)據(jù)處理過程的安全與私密,并且所有這些數(shù)據(jù)調(diào)用相關(guān)的活動(dòng)只能在安全屋進(jìn)行,從而最大限度地減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
總體上,貨拉拉對(duì)特定的業(yè)務(wù)和相關(guān)的產(chǎn)品做了很多特定的措施去做保障。
2
劉晶:能否描述一下您加入團(tuán)隊(duì)時(shí)面臨的挑戰(zhàn),您做了哪些工作?
黃宇鴻:最近這些年,貨拉拉不僅在業(yè)務(wù)上持續(xù)創(chuàng)新,更在信息安全領(lǐng)域加大了投入,以應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。從早期的等保合規(guī)要求,到后來的數(shù)據(jù)安全和個(gè)人信息保護(hù)法規(guī)的出臺(tái),信息安全領(lǐng)域已經(jīng)形成了相對(duì)完善的法律法規(guī)體系。這一變化使得貨拉拉在應(yīng)對(duì)信息安全挑戰(zhàn)時(shí),有了更為明確的法律依據(jù)和更高的標(biāo)準(zhǔn)。
數(shù)據(jù)安全、個(gè)人信息保護(hù)這塊,不管是從技術(shù)上還是產(chǎn)業(yè)成熟度上面,相較于網(wǎng)絡(luò)安全板塊,挑戰(zhàn)會(huì)更大一些。此外,由于數(shù)據(jù)安全與業(yè)務(wù)是強(qiáng)耦合的,其處理過程需要業(yè)務(wù)部門的緊密配合,這無疑增加了工作的復(fù)雜性和難度。
為了有效應(yīng)對(duì)這些挑戰(zhàn),加入貨拉拉以后,我從組織和管理制度入手,推動(dòng)升級(jí)了公司層面的信息安全委員會(huì),信息安全工作提升到了公司層面統(tǒng)一管理,同時(shí)還制定了一系列安全制度和運(yùn)行流程,并設(shè)立了信息安全的BP(業(yè)務(wù)伙伴)機(jī)制。通過派遣安全BP深入業(yè)務(wù)部門,有助于更準(zhǔn)確地了解業(yè)務(wù)部門的信息安全需求和問題,保障問題解決和推動(dòng)安全要求真正在業(yè)務(wù)上落地。
除了制度和機(jī)制建設(shè)外,貨拉拉還注重技術(shù)創(chuàng)新和應(yīng)用。近年來,公司緊跟行業(yè)前沿技術(shù),引入了零信任、攻防云、切面安全等先進(jìn)的安全理念和最佳實(shí)踐,進(jìn)一步完善了信息安全體系。這些技術(shù)的應(yīng)用不僅提高了系統(tǒng)的安全性,也為貨拉拉在信息安全領(lǐng)域積累了較好實(shí)踐。
3
劉晶:貨拉拉在信息安全建設(shè)及應(yīng)用方面的典型場(chǎng)景可否重點(diǎn)分享一下?
黃宇鴻:最近兩年我們安全這邊重點(diǎn)做了一些和指標(biāo)量化相關(guān)的事情,可以分享一下。在信息安全方面,我們始終秉持一個(gè)基本原則:通過數(shù)據(jù)驅(qū)動(dòng)安全建設(shè)。信息安全領(lǐng)域具有明顯的短板效應(yīng),企業(yè)的整體安全水平往往并非由最強(qiáng)項(xiàng)決定,而是受制于最薄弱環(huán)節(jié)。并且信息安全相對(duì)復(fù)雜,和企業(yè)生產(chǎn)經(jīng)營各方面都相關(guān),為了精準(zhǔn)評(píng)估企業(yè)安全水位,就需要有指標(biāo)體系來反應(yīng)安全水平,貨拉拉設(shè)立了五大基本安全指標(biāo):
1、覆蓋率:
覆蓋率是衡量安全能力在企業(yè)各場(chǎng)景中覆蓋水平的重要指標(biāo)。通過持續(xù)監(jiān)測(cè)覆蓋率的變化,能夠及時(shí)發(fā)現(xiàn)安全能力的薄弱環(huán)節(jié),并采取有效措施予以加強(qiáng),從而提升企業(yè)整體的安全防護(hù)水平。
2、準(zhǔn)確率
準(zhǔn)確率是評(píng)估安全檢測(cè)能力的重要指標(biāo),反映了安全系統(tǒng)在檢測(cè)到攻擊時(shí)的準(zhǔn)確性。
3、召回率
召回率也是評(píng)估安全檢測(cè)能力的重要指標(biāo),衡量了系統(tǒng)能夠發(fā)現(xiàn)所有潛在攻擊的能力。
4、MTTD:平均檢測(cè)時(shí)長(zhǎng)
MTTD(平均檢測(cè)時(shí)長(zhǎng))是衡量安全技術(shù)效率和安全運(yùn)營效率的關(guān)鍵指標(biāo)。MTTD反映了從攻擊發(fā)生到被檢測(cè)出來的時(shí)間間隔。
5、MTTR:平均響應(yīng)時(shí)長(zhǎng)
和MTTR(平均響應(yīng)時(shí)長(zhǎng))同樣是衡量安全運(yùn)營效率的關(guān)鍵指標(biāo)。MTTR衡量了從檢測(cè)到攻擊到采取有效應(yīng)對(duì)措施的時(shí)間。
通過建立五個(gè)指標(biāo),安全檢測(cè)防御相關(guān)的安全水平就能大致衡量出來能力和響應(yīng)水平。并且我們推動(dòng)了整個(gè)安全運(yùn)營實(shí)現(xiàn)線上化,這樣指標(biāo)數(shù)據(jù)就能通過工具自動(dòng)統(tǒng)計(jì)出來。另外我們也通過攻防演練檢驗(yàn)我們的指標(biāo)。我們建立了一個(gè)安全的攻防云環(huán)境,將內(nèi)部安全檢測(cè)能力做了虛擬化,然后做攻擊測(cè)試,借助一些腳本和BAS產(chǎn)品(入侵和攻擊模擬),實(shí)現(xiàn)周期性的攻擊測(cè)試以驗(yàn)證各種檢測(cè)能力,通過這種方式,能比較有效得到各個(gè)安全檢測(cè)防御能力的召回率指標(biāo),提高召回率的準(zhǔn)確性。
4
劉晶:我們了解到貨拉拉此前已與騰訊安全展開相關(guān)合作,可否介紹具體合作在哪些方面?
黃宇鴻:騰訊安全作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商,擁有深厚的技術(shù)積累和創(chuàng)新理念,為我們提供了強(qiáng)有力的支持。此前,已引入多款優(yōu)秀的騰訊安全產(chǎn)品與服務(wù),以強(qiáng)化我們的安全防護(hù)體系。
個(gè)人認(rèn)為騰訊安全的一大顯著優(yōu)勢(shì),在于其在移動(dòng)端與終端領(lǐng)域的廣泛裝機(jī)量。龐大的用戶基礎(chǔ)為騰訊在安全威脅情報(bào)分析方面提供了得天獨(dú)厚的條件。騰訊能接觸到更多的攻擊樣本,通過長(zhǎng)期的數(shù)據(jù)積累與分析,騰訊安全有能力構(gòu)建了一個(gè)全面且精準(zhǔn)的威脅情報(bào)庫。我們也有和騰訊的安全情報(bào)庫合作,通過合作還是比較顯著提升安全檢測(cè)效率與準(zhǔn)確性,甚至在威脅爆發(fā)前就能做出預(yù)警,有效降低了潛在的安全風(fēng)險(xiǎn)。
在代碼安全方面,我們同樣與騰訊安全也有合作。通過合作和借鑒騰訊的安全經(jīng)驗(yàn),來不斷優(yōu)化我們自身的代碼審查與安全管理流程,力求從源頭上消除安全隱患,提升軟件安全質(zhì)量。
5
劉晶:現(xiàn)在大家都在談“新質(zhì)生產(chǎn)力”,將新技術(shù)應(yīng)用到生產(chǎn)流通環(huán)節(jié)提質(zhì)增效,可否分享一些貨拉拉在這方面的相關(guān)工作?
黃宇鴻:貨拉拉作為一家深耕于物流領(lǐng)域的互聯(lián)網(wǎng)平臺(tái),在數(shù)字化、網(wǎng)絡(luò)化方面具有先天優(yōu)勢(shì)。近年來,隨著人工智能(AI)技術(shù)的迅猛發(fā)展,新質(zhì)生產(chǎn)力已成為推動(dòng)社會(huì)進(jìn)步的重要力量。在此背景下,貨拉拉緊跟時(shí)代步伐,從公司戰(zhàn)略層面高度重視AI技術(shù)的跟蹤與應(yīng)用創(chuàng)新,不僅在業(yè)務(wù)層面積極探索AI的無限可能,同時(shí)在信息安全領(lǐng)域也積極跟進(jìn),以AI為引擎,驅(qū)動(dòng)信息安全防護(hù)的全面升級(jí)。
AI的應(yīng)用首先在信息安全運(yùn)營方面,貨拉拉已經(jīng)建設(shè)了眾多信息安全檢測(cè)能力,每日產(chǎn)生的告警數(shù)量高達(dá)數(shù)萬條。面對(duì)如此龐大的告警量,傳統(tǒng)的方式是通過規(guī)則進(jìn)行告警壓制,但壓制以后還是有不少告警。為此,我們嘗試用AI技術(shù)對(duì)告警做處理,通過AI對(duì)告警進(jìn)行預(yù)處理和篩選,目前看效果還比較好。經(jīng)過初步的技術(shù)優(yōu)化,通過AI壓制后告警量在召回率沒下降的情況下比原來減少了三分之二,這對(duì)安全運(yùn)營效率有明顯的提升。
同時(shí)我們AI能力,包括大模型也在多個(gè)方向做些嘗試,在一些攻擊檢測(cè)、漏洞檢測(cè),還有數(shù)據(jù)分類分級(jí),以及面向內(nèi)部員工的一些服務(wù),我們都在嘗試通過大模型去提升體驗(yàn)跟效率。
6
劉晶:今年的騰訊數(shù)字生態(tài)大會(huì)上提出了“看得見的安全”理念,您如何理解這一理念?
黃宇鴻:安全怎么被看見是個(gè)老生常談的問題,安全最好的狀態(tài)其實(shí)就是不出問題、默默無聞地在后面做支撐,這也是為什么會(huì)有“看得見”這個(gè)議題。
“看得見的安全”可以分別從幾個(gè)層面來解讀:
首先,“看得見”指安全能力。比如此前提到的安全的指標(biāo)化,如果這些安全的威脅沒有被看見,則沒法做保護(hù),從保護(hù)的角度來說,我們必須先“看到”這些威脅和不足。
其次,“看得見”安全價(jià)值。對(duì)企業(yè)而言,安全是增強(qiáng)企業(yè)成功的確定性,如果安全出了問題,無論是合規(guī)出問題,或被攻擊導(dǎo)致業(yè)務(wù)中斷,其后果可大可小,或?yàn)闃I(yè)務(wù)帶來極大損失。因此,安全需要降低此類事件發(fā)生的概率,這是安全在企業(yè)內(nèi)部體現(xiàn)的主要價(jià)值。
最后,企業(yè)在安全方面的持續(xù)投入也希望能被外部“看見”,使得企業(yè)能贏得用戶和監(jiān)管的認(rèn)可和信任。有很多安全工作會(huì)最終通過認(rèn)證和測(cè)評(píng)的方式來獲得各種證書和資質(zhì)。這些是企業(yè)在安全能力方面的體現(xiàn),有利于增強(qiáng)用戶對(duì)企業(yè)數(shù)據(jù)保護(hù)方面的信任。還有一些新業(yè)態(tài)落地過程中,監(jiān)管機(jī)構(gòu)需要與頭部企業(yè)共同探討如何落實(shí)安全監(jiān)管,該過程中我們可以參與其中,分享經(jīng)驗(yàn)、參與標(biāo)準(zhǔn)制定,幫公司在監(jiān)管層面贏得更多支持。
7
劉晶:談?wù)勀鷮?duì)于安全行業(yè)未來的預(yù)期如何?
黃宇鴻:信息安全行業(yè)作為現(xiàn)代科技發(fā)展的重要支撐,一直受到國家層面的高度重視。近年來,隨著數(shù)字化轉(zhuǎn)型的加速和網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻,信息安全人才的需求量急劇增加,市場(chǎng)缺口顯著,進(jìn)一步推動(dòng)了該行業(yè)的發(fā)展活力。
從行業(yè)發(fā)展趨勢(shì)來看,信息安全無疑是一個(gè)充滿潛力且持續(xù)發(fā)展的領(lǐng)域。與其他行業(yè)相比,信息安全的需求具有更強(qiáng)的穩(wěn)定性和持續(xù)性。無論經(jīng)濟(jì)環(huán)境如何變化,信息安全作為保障數(shù)據(jù)安全、維護(hù)網(wǎng)絡(luò)空間秩序的關(guān)鍵環(huán)節(jié),其重要性不言而喻。因此,即便在短期內(nèi)面臨一些挑戰(zhàn)和困難,信息安全行業(yè)依然展現(xiàn)出強(qiáng)勁的發(fā)展勢(shì)頭和廣闊的市場(chǎng)前景。
我堅(jiān)信,信息安全行業(yè)不僅是一個(gè)具有廣闊發(fā)展空間的賽道,更是一個(gè)值得長(zhǎng)期投入和深耕的領(lǐng)域。隨著技術(shù)的不斷進(jìn)步和應(yīng)用的不斷深化,信息安全行業(yè)將持續(xù)迎來新的發(fā)展機(jī)遇和挑戰(zhàn)。