对话腾讯副总裁丁珂：“共建”是腾讯安全的核心，产业需要更多扶持

导读：“我们腾讯安全会挑战那些最难的，需要长期投入、长期建设的事情，通过共建去推动整个网络安全产业的提升”，腾讯副总裁、腾讯安全总裁丁珂对界面新闻表示。

记者 | 崔鹏

“我们腾讯安全会挑战那些最难的，需要长期投入、长期建设的事情，通过共建去推动整个网络安全产业的提升”，腾讯副总裁、腾讯安全总裁丁珂对界面新闻表示。

今年国家在网络安全方面出台大量法规，包括《数据安全法》、《个人信息保护法》等法规被连续颁布实施，它体现了国家从上而下的整体意志，也给企业的安全合法合规经营“划出红线”。

丁珂对界面新闻表示，在新规之下，行业中掌握数据的企业应该做好充分的合规准备，链条主要有三个：产品做用户采集和存储的时候，需要明确告知用户意图；能反向溯源到个人的数据，需要加密、抽象或者统计化处理；广告、推荐、AI算法之类的使用，要获得用户的授权和同意。

目前丁珂领导着腾讯的安全团队，作为安全领域的头部厂商，腾讯安全在过去一年将内部大量优秀实践和方案，进行可视化、智能化和联动化处理，然后将它们推向用户市场。

他对国内安全产业的发展有清醒认知，“国内现在很多的技术栈跟组合能力，离真正国际化的威胁强度相比，攻击方还处于优势地位”。

“安全这个产业确实很痛苦，门槛太高了，人人都说做安全，但其实真正懂安全的人不多，切身做过攻防有几个？”丁珂呼吁各方对产业加以扶持。

他认为部分被资本热捧的安全厂商有些过度炒作，要达到国际顶尖水平，国内厂商还要在用户体验和聚合性上给客户提供更多便利。

腾讯倡导安全共建。丁珂表示，腾讯安全的主要产品都是云原生，与国内很多厂商选择的路径互不冲突。在部分重大项目比如智慧城市中，腾讯都在大规模使用合作伙伴的产品。

丁珂将安全共建的思路纳入腾讯安全新的愿景“一起捍卫美好”中，在腾讯内部，腾讯安全跟云、微信和IEG等业务一起；在外部，腾讯安全跟生态伙伴持续合作。

2021年，腾讯与上汽集团、华润集团等企业客户共建联合安全实验室，并参与了多个大型数字城市项目建设，同时在行业标准的制定颁布上贡献力量。

“这个愿景中最不起眼的‘一起‘，反而是我们跟其它安全厂商最大的区别”，丁珂告诉界面新闻。

对话腾讯副总裁丁珂的部分内容摘录如下：
Q：11月开始正式实行《个人信息保护法》，企业应该如何应对？

丁珂：最近确实关于安全的法律法规立法实施特别多，是一个“大年”。如《数据安全法》（9月1日实施）、《个保法》（11月1日实施），还有一些金融安全的管理办法，工业安全的管理办法等等，在这中间这么短的时间里面开始实施，体现了国家在网络安全上系统的顶层设计。

对于掌握了大量数据的企业来说，合规的准备链条主要有三个：

第一，相关的产品在做用户采集和存储的时候，用户是不是准确的被告知意图，中间的环节处理用户信息的时候，是不是会把它针对性的做告知。

第二，针对能够反向溯源到个人的该加密就加密，该抽象就抽象，该统计化就统计化。这个工作一定要做好，避免内部的产品，或者跟第三方的合作不小心把数据泄漏出去

第三，使用的场景。《个保法》主要针对广告、推荐、AI算法、数据算法之类的一些用法要获得用户的授权和同意。

类似这样工作量非常大，相关的产品前台后台全部要做。《个保法》之后，执行层面还有一些地方不太好拿捏，这个阶段大家共同建设、共同做到科技向善是一个必经的过程。

Q：今年是一个网络安全保护的大年，我们腾讯安全的B端业务，有哪些针对性调整么？

丁珂：我们也会长期把内部的优秀实践，做到可视化、智能化、联动化推到用户市场。因为有些客户也经常给我们提建议，很多生态伙伴都说腾讯内部的安全做的那么好，在客户那边能不能用起来？我觉得在这个过程中，客户用户不能一键用起来的产品，其实都不是好产品。

但在很多领域里面，比如新零售和工业领域里，他们所谓相关的数据都是自己货物流转和工业传感器数据，这些数据量可能每年都翻番，但其实它们属于生产资料数据。

如果企业的数据跟用户行为数据发生联动，比如像一些酒店业、文旅业、汽车、新零售、快消品的线上销售，那一块就涉及到《个保法》定义的范畴。

实际上在行业里关于数据的安全处理也有很多流派，有一个流派认为可以把用户的数据全部存储，但其实是绝对不可能的。以我们的经验，企业要有所为有所不为，不应该触碰用户的内容数据。

Q：“一起捍卫美好”这个愿景是怎么得出的？

丁珂：我们为了这个愿景，讨论了很多轮，真正打动人心的使命是走心的，而不是走脑的。

你把什么数字生活、智慧、高科技等等的名词堆在一起，很难让大家达成共识，因为你要用脑子思考，只要第一感觉用脑子，那必然不是走心的。

第一个共识我们一定找一个走心的方式讲自己的使命，那会把词减得特别少，反而会走心。

第二，删完了之后哪一个不能删？大家不约而同一起选了这几个词。

首先是“共建”。在腾讯内部，腾讯安全跟云、微信、IEG、游戏一起；在外部，延展出去跟生态持续合作，腾讯和其他公司的差异在这里：“共建”。

“捍卫”有点小任性，觉得用其他词不能显示我们的实力之强，表达了一些理工钢铁直男的性格。

团队共识了6个字，但跟其他安全厂商最大的差别是“一起”，反而是最不起眼的两个字。

Q：那些领域在你们看来是比较典型的？

丁珂：特别典型的像供应链安全，现在跟产品线对应的叫零信任，它其实是4个环节，目前我们提供给央国企或者大产业比较多。

第一个讲的是“接”，比如疫情之后传统的企业VPN管理效率实在太低了，那么多终端在各种网络环境下接入，有大量远程办公需要，很多客户还要面对分布式的办公需要。我们在零信任范畴里面结合身份安全，做技术上的一个刷新，最近顺丰、华润都有应用腾讯零信任的技术。

第二，防。员工接入进来之后到底怎么样授权，到底怎么样判断它的正常行为和异常行为。

第三，管。很多企业终端，比如富士康，动不动一个厂就几百万终端接入。接入之后传统的IT安全防护思路，就不太能够满足要求。如果有一个漏洞，怎么样快速的把系统升级？

第四，控。因为安全永远是动态的，对抗时刻发生，真的碰到新兴的问题，实际上要下发策略，所以我的安全策略就是控。

现在黑产也非常勤奋，有的时候一个新的法律实施的时候，坏人有各种办法逃避，但是企业为了去适应法律要求，在不明确具体规则的时候，反而有一段时间会束手束脚。所以零信任是很好的一个应对思路。

接下来数据安全必然也是未来爆发的领域，但它会是一个阶段性的爆发过程。我们的理解跟判断的话，会从数据中台类的产品，数据合规、数据隐私保护、关键数据识别，数据的审计等等方向先爆发起来，慢慢才会到数据化的产品安全怎么做。

Q：大家认为现在上云是供应链安全最好的解决途径。

丁珂：上云可以相当大一部分的解决，比如像云上的基础设施，会碰到攻防跟渗透的问题，比如像勒索病毒，我们应急响应一定更优秀。

即使发生渗透发生，我们的应急响应是世界顶级的，所以我们的经验也不是一般的行业所能追上的。

第二方面，我们在线下有很多专业工具，帮助企业上云，上云其实它不仅仅是一个设备上云或者服务上云，现在我们最头部的客户是做得研发上云。

在自研上云里面，从代码的生成到业务的上线，在整个业务的流程天然就是面向云的。

传统的甲方招标下单给乙方，系统建完以后请安全厂商来帮助看看哪有问题。一般这么看的话，也就只是看一看，有问题又能怎么样？

坦率的讲我打交道很多制造业的中长尾企业，问题挺严重的，特别严重。

Q：您说的零信任，包括威胁情报这两年都比较火，反映出来这个行业的哪些趋势？

丁珂：中国的市场行业非常特殊，首先国家快速实施的法律法规给了红线，这个大前提要特别强调。

第二，我也经常给安全圈的厂家讲，大家还是要冷静看，我们现在很多的技术栈跟组合能力，离真正国际上的威胁强度相比，攻击方确实还是占优。

有两个地方的差距，借这个机会跟行业呼吁一下：

第一，技术栈特别长，有的时候甚至觉得真正做安全的厂商还是太少，而且市面上冒出来的投资热点，在我看来过于互联网化，不是做真正技术的，做安全的。反而真正沉下心来做安全的人远远不够。

第二，大家做安全一定是开放合作的，因为安全那么长的技术栈，分工在里面很多，每一个都需要做得很深。

我们呼吁各方在产业上加以扶持，接下来我们也有一个创新沙盒扶持安全产业。这个产业确实很痛苦，门槛太高了，人人都说做安全，但其实真正懂安全的人不多，切身做过攻防有几个？

反而这一批被资本热捧的这一批，我觉得还是有点过度炒作。我认为必要达到国际顶尖的水平，还要在在用户体验，聚合性上给客户一键安全的便利，真正解决问题上面还有相当大的差距。

Q：您刚刚提到安全共建，腾讯安全在和其他的安全厂商，也会有合作吗？

丁珂：我们合作非常多。

第一，腾讯安全的产品化路径的选择，从一开始就做了差异化。我们最主要的产品是云原生产品，很多安全生态的厂商，不管做防火墙、端产品还是流量深度分析产品。它是基于边界做的。

因为腾讯是云厂家，所以我们最初是服务公有云的安全，从其实就没有太跟行业竞争，他们跟我们一起看到了增量，所以合作基础非常好。

实际上我们在很多项目里面，比如说智慧城市，大规模在用合作伙伴的产品。因为他们建设规模很大，项目时间紧、任务重，要以共建的思路一起做。

第二，在有些传统的产品里面，既然有人做了，腾讯觉得也没有再去做，我们会在技术战那些挑最难的，需要长期投入、长期建设的事情。

Q：因为最近很多人聊隐私计算的话题，您觉得隐私计算在国内的普及可能会面临什么样的问题？

丁珂：这个阶段大规模使用主要是成本效益上，因为现在技术还处在实验室模型阶段，个别的高端模型在落地应用上完全没问题，但如果想让普通行业，甚至行业的头部要用上，还是有漫长的过程，还是要在成本收益上达到动态平衡。

而且达到动态平衡，而且技术流派非常多，迁移学习、多方计算各种各样的，腾讯内部也在普视性的看。

但真的云上大规模开一个区做产品化让客户来买，首先价钱会非常高，其次即使真的有人买，我也很怀疑，它现在离商业化有点过早。

归根到底还是要看行业需求，看甲方买不买得起的问题，我们现在初步做的几个联合性的项目，主要还是头部金融客户，其他的行业都不敢碰这个领域。

Q：它是未来大家都会走的趋势吗？还是仅为可选方案。

丁珂：如果从法律的要求是必经路径，法律法规的要求没得退。

如果在11月1日《个保法》执行之前，可能是一个可选项。但现在没得选，必经路径。但实际执行的时候是不是会选隐私计算的技术流派，还是要取决于实际需要。