線上消費的持續(xù)增長有效拉動了內(nèi)需，已成為中國經(jīng)濟增長的重要驅(qū)動力。零售、電商、O2O的快速發(fā)展離不開近些年來數(shù)字基建的發(fā)展，更仰賴于數(shù)字化物流體系的日漸完備。物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時，也掌握了海量的用戶數(shù)據(jù)，由于物流鏈條長、接觸數(shù)據(jù)的角色多，使得物流快遞行業(yè)信息安全治理變得極其重要。

近年以來，各行各業(yè)都在使用AI等新技術(shù)提質(zhì)增效，物流行業(yè)也不例外，如何建立完備的安全體系，以保障用戶信息安全和企業(yè)的長遠發(fā)展？本期對談中，CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶圍繞相關(guān)話題，邀請到了知名物流科技平臺貨拉拉信息安全部負責人黃宇鴻，共話數(shù)據(jù)驅(qū)動的物流體系下，貨拉拉如何構(gòu)建安全體系。

采訪嘉賓 | 貨拉拉信息安全部負責人 黃宇鴻 

訪談主持 | CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長 劉晶

劉晶：從您個人來看，當前物流行業(yè)或貨拉拉在安全方面面臨哪些難點和痛點？

黃宇鴻：作為一家網(wǎng)絡貨運平臺，貨拉拉與其他眾多行業(yè)在面臨安全挑戰(zhàn)時既有共性也有其獨特性。

●共同點在于我們都是面對黑產(chǎn)，物流業(yè)務需要采集跟實際用戶相關(guān)的一些個人的信息，所以我們和其他行業(yè)一樣都會面臨敏感數(shù)據(jù)保護的挑戰(zhàn)。

●貨拉拉的獨特性在于其業(yè)務的廣泛覆蓋和高度分散性。公司在全國300多個城市開展業(yè)務，人員也遍布這些城市，這種地理上的廣泛分布使得線上與線下的運營場景變得異常復雜。

●此外，貨拉拉還面臨著一些特定的安全挑戰(zhàn)，比如在處理司機與用戶之間的糾紛時，客服人員可能需要調(diào)取訂單相關(guān)數(shù)據(jù)來進行責任判定。這一過程涉及到一些敏感數(shù)據(jù)的使用，要求企業(yè)做好數(shù)據(jù)安全的保護。

針對這種數(shù)據(jù)調(diào)用，貨拉拉建設了非常嚴格的安全屋機制，安全屋是個物理隔離的區(qū)域，客服人員在處理涉及隱私的數(shù)據(jù)之前，必須遵守嚴格的規(guī)定，如不得攜帶手機入場，有嚴格身份認證、權(quán)限管理,工作過程中也會做審計和監(jiān)控，以確保數(shù)據(jù)處理過程的安全與私密，并且所有這些數(shù)據(jù)調(diào)用相關(guān)的活動只能在安全屋進行，從而最大限度地減少數(shù)據(jù)泄露的風險。

總體上，貨拉拉對特定的業(yè)務和相關(guān)的產(chǎn)品做了很多特定的措施去做保障。

劉晶：能否描述一下您加入團隊時面臨的挑戰(zhàn)，您做了哪些工作？

黃宇鴻：最近的這些年，貨拉拉不僅在業(yè)務上持續(xù)創(chuàng)新，更在信息安全領(lǐng)域加大了投入，以應對日益復雜的安全挑戰(zhàn)。從早期的等保合規(guī)要求，到后來的數(shù)據(jù)安全和個人信息保護法規(guī)的出臺，信息安全領(lǐng)域已經(jīng)形成了相對完善的法律法規(guī)體系。這一變化使得貨拉拉在應對信息安全挑戰(zhàn)時，有了更為明確的法律依據(jù)和更高的標準。

數(shù)據(jù)安全、個人信息保護這塊，不管是從技術(shù)上還是產(chǎn)業(yè)成熟度上面，相較于網(wǎng)絡安全板塊，挑戰(zhàn)會更大一些。此外，由于數(shù)據(jù)安全與業(yè)務是強耦合的，其處理過程需要業(yè)務部門的緊密配合，這無疑增加了工作的復雜性和難度。

為了有效應對這些挑戰(zhàn)，加入貨拉拉以后，我從組織和管理制度入手，推動升級了公司層面的信息安全委員會，信息安全工作提升到了公司層面統(tǒng)一管理，同時還制定了一系列安全制度和運行流程，并設立了信息安全的BP（業(yè)務伙伴）機制。通過派遣安全BP深入業(yè)務部門，有助于更準確地了解業(yè)務部門的信息安全需求和問題，保障問題解決和推動安全要求真正在業(yè)務上落地。

除了制度和機制建設外，貨拉拉還注重技術(shù)創(chuàng)新和應用。近年來，公司緊跟行業(yè)前沿技術(shù)，引入了零信任、攻防云、切面安全等先進的安全理念和最佳實踐，進一步完善了信息安全體系。這些技術(shù)的應用不僅提高了系統(tǒng)的安全性，也為貨拉拉在信息安全領(lǐng)域積累了較好實踐。

劉晶：貨拉拉在信息安全建設及應用方面的典型場景可否重點分享一下？

黃宇鴻：最近兩年我們安全這邊重點做了一些和指標量化相關(guān)的事情，可以分享一下。在信息安全方面，我們始終秉持一個基本原則：通過數(shù)據(jù)驅(qū)動安全建設。信息安全領(lǐng)域具有明顯的短板效應，企業(yè)的整體安全水平往往并非由最強項決定，而是受制于最薄弱環(huán)節(jié)。并且信息安全相對復雜，和企業(yè)生產(chǎn)經(jīng)營各方面都相關(guān)，為了精準評估企業(yè)安全水位，就需要有指標體系來反應安全水平，貨拉拉設立了五大基本安全指標：

●覆蓋率：是衡量安全能力在企業(yè)各場景中覆蓋水平的重要指標。通過持續(xù)監(jiān)測覆蓋率的變化，能夠及時發(fā)現(xiàn)安全能力的薄弱環(huán)節(jié)，并采取有效措施予以加強，從而提升企業(yè)整體的安全防護水平。

●準確率：是評估安全檢測能力的重要指標，反映了安全系統(tǒng)在檢測到攻擊時的準確性。

●召回率：是評估安全檢測能力的重要指標，衡量了系統(tǒng)能夠發(fā)現(xiàn)所有潛在攻擊的能力。

●MTTD：平均檢測時長MTTD（平均檢測時長）是衡量安全技術(shù)效率和安全運營效率的關(guān)鍵指標。MTTD反映了從攻擊發(fā)生到被檢測出來的時間間隔。

●MTTR：平均響應時長MTTR（平均響應時長）同樣是衡量安全運營效率的關(guān)鍵指標。MTTR衡量了從檢測到攻擊到采取有效應對措施的時間。

通過建立五個指標，安全檢測防御相關(guān)的安全水平就能大致衡量出能力和響應水平；并且我們推動了整個安全運營實現(xiàn)線上化，這樣指標數(shù)據(jù)就能通過工具自動統(tǒng)計出來。另外，我們也通過攻防演練檢驗我們的指標。我們建立了一個安全的攻防云環(huán)境，將內(nèi)部安全檢測能力做了虛擬化，然后進行攻擊測試，借助一些腳本和BAS產(chǎn)品（入侵和攻擊模擬），實現(xiàn)周期性的攻擊測試以驗證各種檢測能力。通過這種方式，能比較有效地得到各個安全檢測防御能力的召回率指標，提高召回率的準確性。

劉晶：我們了解到貨拉拉此前已與騰訊安全展開相關(guān)合作，可否介紹具體合作在哪些方面？

黃宇鴻：騰訊安全作為業(yè)界領(lǐng)先的網(wǎng)絡安全解決方案提供商，擁有深厚的技術(shù)積累和創(chuàng)新理念，為我們提供了強有力的支持。此前，已引入其多款優(yōu)秀的產(chǎn)品與服務，以強化我們的安全防護體系。

個人認為騰訊安全的一大顯著優(yōu)勢，在于其在移動端與終端領(lǐng)域的廣泛裝機量。龐大的用戶基礎(chǔ)為騰訊在安全威脅情報分析方面提供了得天獨厚的條件。騰訊能接觸到更多的攻擊樣本，通過長期的數(shù)據(jù)積累與分析，騰訊安全有能力構(gòu)建了一個全面且精準的威脅情報庫。我們也有和騰訊的安全情報庫合作，通過合作還是比較顯著提升安全檢測效率與準確性，甚至在威脅爆發(fā)前就能做出預警，有效降低了潛在的安全風險。

在代碼安全方面，我們同樣與騰訊安全也有合作。通過合作和借鑒騰訊的安全經(jīng)驗，來不斷優(yōu)化我們自身的代碼審查與安全管理流程，力求從源頭上消除安全隱患，提升軟件安全質(zhì)量。

劉晶：現(xiàn)在大家都在談“新質(zhì)生產(chǎn)力”，將新技術(shù)應用到生產(chǎn)流通環(huán)節(jié)提質(zhì)增效，可否分享一些貨拉拉在這方面的相關(guān)工作？

黃宇鴻：貨拉拉作為一家深耕于物流領(lǐng)域的互聯(lián)網(wǎng)平臺，在數(shù)字化、網(wǎng)絡化方面具有先天優(yōu)勢。近年來，隨著人工智能（AI）技術(shù)的迅猛發(fā)展，新質(zhì)生產(chǎn)力已成為推動社會進步的重要力量。在此背景下，貨拉拉緊跟時代步伐，從公司戰(zhàn)略層面高度重視AI技術(shù)的跟蹤與應用創(chuàng)新，不僅在業(yè)務層面積極探索AI的無限可能，同時在信息安全領(lǐng)域也積極跟進，以AI為引擎，驅(qū)動信息安全防護的全面升級。

AI的應用首先在信息安全運營方面，貨拉拉已經(jīng)建設了眾多信息安全檢測能力，每日產(chǎn)生的告警數(shù)量高達數(shù)萬條。面對如此龐大的告警量，傳統(tǒng)的方式是通過規(guī)則進行告警壓制，但壓制以后還是有不少告警。為此，我們嘗試用AI技術(shù)對告警做處理，通過AI對告警進行預處理和篩選，目前看效果還比較好。經(jīng)過初步的技術(shù)優(yōu)化，通過AI壓制后告警量在召回率沒下降的情況下比原來減少了三分之二，這對安全運營效率有明顯的提升。

同時我們的AI能力，包括大模型也在多個方向做嘗試，比如在一些攻擊檢測、漏洞檢測，還有數(shù)據(jù)分類分級，以及面向內(nèi)部員工的一些服務，我們都在嘗試通過大模型去提升體驗跟效率。

劉晶：今年的騰訊數(shù)字生態(tài)大會上提出了“看得見的安全”理念，您如何理解這一理念？

黃宇鴻：安全怎么被看見是個老生常談的問題，安全最好的狀態(tài)其實就是不出問題、默默無聞地在后面做支撐，這也是為什么會有“看得見”這個議題。

“看得見的安全”可以分別從幾個層面來解讀：

●首先，“看得見”安全能力。比如此前提到的安全的指標化，如果這些安全的威脅沒有被看見，則沒法做保護，從保護的角度來說，我們必須先“看到”這些威脅和不足。

●其次，“看得見”安全價值。對企業(yè)而言，安全是增強企業(yè)成功的確定性，如果安全出了問題，無論是合規(guī)出問題，或被攻擊導致業(yè)務中斷，其后果可大可小，或會為業(yè)務帶來極大損失。因此，安全需要降低此類事件發(fā)生的概率，這是安全在企業(yè)內(nèi)部體現(xiàn)的主要價值。

●最后，企業(yè)在安全方面的持續(xù)投入也希望能被外部“看見”，使得企業(yè)能贏得用戶和監(jiān)管的認可和信任。有很多安全工作會最終通過認證和測評的方式來獲得各種證書和資質(zhì)。這些是企業(yè)在安全能力方面的體現(xiàn)，有利于增強用戶對企業(yè)數(shù)據(jù)保護方面的信任。還有一些新業(yè)態(tài)落地過程中，監(jiān)管機構(gòu)需要與頭部企業(yè)共同探討如何落實安全監(jiān)管，該過程中我們可以參與其中，分享經(jīng)驗、參與標準制定，幫公司在監(jiān)管層面贏得更多支持。

劉晶：談談您對于安全行業(yè)未來的預期如何？

黃宇鴻：信息安全行業(yè)作為現(xiàn)代科技發(fā)展的重要支撐，一直受到國家層面的高度重視。近年來，隨著數(shù)字化轉(zhuǎn)型的加速和網(wǎng)絡安全威脅的日益嚴峻，信息安全人才的需求量急劇增加，市場缺口顯著，進一步推動了該行業(yè)的發(fā)展活力。

從行業(yè)發(fā)展趨勢來看，信息安全無疑是一個充滿潛力且持續(xù)發(fā)展的領(lǐng)域。與其他行業(yè)相比，信息安全的需求具有更強的穩(wěn)定性和持續(xù)性。無論經(jīng)濟環(huán)境如何變化，信息安全作為保障數(shù)據(jù)安全、維護網(wǎng)絡空間秩序的關(guān)鍵環(huán)節(jié)，其重要性不言而喻。因此，即便在短期內(nèi)面臨一些挑戰(zhàn)和困難，信息安全行業(yè)依然展現(xiàn)出強勁的發(fā)展勢頭和廣闊的市場前景。

我堅信，信息安全行業(yè)不僅是一個具有廣闊發(fā)展空間的賽道，更是一個值得長期投入和深耕的領(lǐng)域。隨著技術(shù)的不斷進步和應用的不斷深化，信息安全行業(yè)將持續(xù)迎來新的發(fā)展機遇和挑戰(zhàn)。

作為國內(nèi)互聯(lián)網(wǎng)物流領(lǐng)域佼佼者，貨拉拉在安全方面始終秉承著“建設成行業(yè)一流信息安全水平”的使命，在安全技術(shù)能力、安全體系、安全合規(guī)以及安全文化建設等方面不斷發(fā)力，持續(xù)關(guān)注行業(yè)最佳實踐以及新安全技術(shù)、理念的應用。緊握新一代AI技術(shù)變革下的安全領(lǐng)域新機遇，持續(xù)進行安全左移，提高檢測能力，保持安全管控更加前置，構(gòu)建安全防護盾，探索新型物流模式，為物流行業(yè)高質(zhì)量發(fā)展助力。