線上消費的持續(xù)增長有效拉動了內(nèi)需，已成為中國經(jīng)濟增長的重要驅(qū)動力。零售、電商、O2O的快速發(fā)展離不開近些年來數(shù)字基建的發(fā)展，更仰賴于數(shù)字化物流體系的日漸完備。物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時，也掌握了海量的用戶數(shù)據(jù)，由于物流鏈條長、接觸數(shù)據(jù)的角色多，使得物流快遞行業(yè)信息安全治理變得極其重要。

近年以來，各行各業(yè)都在使用AI等新技術(shù)提質(zhì)增效，物流行業(yè)也不例外，如何建立完備的安全體系，以保障用戶信息安全和企業(yè)的長遠發(fā)展？本期對談中，CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長劉晶圍繞相關(guān)話題，邀請到了知名物流科技平臺貨拉拉信息安全部負責(zé)人黃宇鴻，共話數(shù)據(jù)驅(qū)動的物流體系下，貨拉拉如何構(gòu)建安全體系。

采訪嘉賓 | 貨拉拉信息安全部負責(zé)人 黃宇鴻 

訪談主持 | CIO時代聯(lián)合創(chuàng)始人兼COO、新基建創(chuàng)新研究院秘書長 劉晶

劉晶：從您個人來看，當(dāng)前物流行業(yè)或貨拉拉在安全方面面臨哪些難點和痛點？

黃宇鴻：作為一家網(wǎng)絡(luò)貨運平臺，貨拉拉與其他眾多行業(yè)在面臨安全挑戰(zhàn)時既有共性也有其獨特性。

●共同點在于我們都是面對黑產(chǎn)，物流業(yè)務(wù)需要采集跟實際用戶相關(guān)的一些個人的信息，所以我們和其他行業(yè)一樣都會面臨敏感數(shù)據(jù)保護的挑戰(zhàn)。

●貨拉拉的獨特性在于其業(yè)務(wù)的廣泛覆蓋和高度分散性。公司在全國300多個城市開展業(yè)務(wù)，人員也遍布這些城市，這種地理上的廣泛分布使得線上與線下的運營場景變得異常復(fù)雜。

●此外，貨拉拉還面臨著一些特定的安全挑戰(zhàn)，比如在處理司機與用戶之間的糾紛時，客服人員可能需要調(diào)取訂單相關(guān)數(shù)據(jù)來進行責(zé)任判定。這一過程涉及到一些敏感數(shù)據(jù)的使用，要求企業(yè)做好數(shù)據(jù)安全的保護。

針對這種數(shù)據(jù)調(diào)用，貨拉拉建設(shè)了非常嚴(yán)格的安全屋機制，安全屋是個物理隔離的區(qū)域，客服人員在處理涉及隱私的數(shù)據(jù)之前，必須遵守嚴(yán)格的規(guī)定，如不得攜帶手機入場，有嚴(yán)格身份認(rèn)證、權(quán)限管理,工作過程中也會做審計和監(jiān)控，以確保數(shù)據(jù)處理過程的安全與私密，并且所有這些數(shù)據(jù)調(diào)用相關(guān)的活動只能在安全屋進行，從而最大限度地減少數(shù)據(jù)泄露的風(fēng)險。

總體上，貨拉拉對特定的業(yè)務(wù)和相關(guān)的產(chǎn)品做了很多特定的措施去做保障。

劉晶：能否描述一下您加入團隊時面臨的挑戰(zhàn)，您做了哪些工作？

黃宇鴻：最近的這些年，貨拉拉不僅在業(yè)務(wù)上持續(xù)創(chuàng)新，更在信息安全領(lǐng)域加大了投入，以應(yīng)對日益復(fù)雜的安全挑戰(zhàn)。從早期的等保合規(guī)要求，到后來的數(shù)據(jù)安全和個人信息保護法規(guī)的出臺，信息安全領(lǐng)域已經(jīng)形成了相對完善的法律法規(guī)體系。這一變化使得貨拉拉在應(yīng)對信息安全挑戰(zhàn)時，有了更為明確的法律依據(jù)和更高的標(biāo)準(zhǔn)。

數(shù)據(jù)安全、個人信息保護這塊，不管是從技術(shù)上還是產(chǎn)業(yè)成熟度上面，相較于網(wǎng)絡(luò)安全板塊，挑戰(zhàn)會更大一些。此外，由于數(shù)據(jù)安全與業(yè)務(wù)是強耦合的，其處理過程需要業(yè)務(wù)部門的緊密配合，這無疑增加了工作的復(fù)雜性和難度。

為了有效應(yīng)對這些挑戰(zhàn)，加入貨拉拉以后，我從組織和管理制度入手，推動升級了公司層面的信息安全委員會，信息安全工作提升到了公司層面統(tǒng)一管理，同時還制定了一系列安全制度和運行流程，并設(shè)立了信息安全的BP（業(yè)務(wù)伙伴）機制。通過派遣安全BP深入業(yè)務(wù)部門，有助于更準(zhǔn)確地了解業(yè)務(wù)部門的信息安全需求和問題，保障問題解決和推動安全要求真正在業(yè)務(wù)上落地。

除了制度和機制建設(shè)外，貨拉拉還注重技術(shù)創(chuàng)新和應(yīng)用。近年來，公司緊跟行業(yè)前沿技術(shù)，引入了零信任、攻防云、切面安全等先進的安全理念和最佳實踐，進一步完善了信息安全體系。這些技術(shù)的應(yīng)用不僅提高了系統(tǒng)的安全性，也為貨拉拉在信息安全領(lǐng)域積累了較好實踐。

劉晶：貨拉拉在信息安全建設(shè)及應(yīng)用方面的典型場景可否重點分享一下？

黃宇鴻：最近兩年我們安全這邊重點做了一些和指標(biāo)量化相關(guān)的事情，可以分享一下。在信息安全方面，我們始終秉持一個基本原則：通過數(shù)據(jù)驅(qū)動安全建設(shè)。信息安全領(lǐng)域具有明顯的短板效應(yīng)，企業(yè)的整體安全水平往往并非由最強項決定，而是受制于最薄弱環(huán)節(jié)。并且信息安全相對復(fù)雜，和企業(yè)生產(chǎn)經(jīng)營各方面都相關(guān)，為了精準(zhǔn)評估企業(yè)安全水位，就需要有指標(biāo)體系來反應(yīng)安全水平，貨拉拉設(shè)立了五大基本安全指標(biāo)：

●覆蓋率：是衡量安全能力在企業(yè)各場景中覆蓋水平的重要指標(biāo)。通過持續(xù)監(jiān)測覆蓋率的變化，能夠及時發(fā)現(xiàn)安全能力的薄弱環(huán)節(jié)，并采取有效措施予以加強，從而提升企業(yè)整體的安全防護水平。

●準(zhǔn)確率：是評估安全檢測能力的重要指標(biāo)，反映了安全系統(tǒng)在檢測到攻擊時的準(zhǔn)確性。

●召回率：是評估安全檢測能力的重要指標(biāo)，衡量了系統(tǒng)能夠發(fā)現(xiàn)所有潛在攻擊的能力。

●MTTD：平均檢測時長MTTD（平均檢測時長）是衡量安全技術(shù)效率和安全運營效率的關(guān)鍵指標(biāo)。MTTD反映了從攻擊發(fā)生到被檢測出來的時間間隔。

●MTTR：平均響應(yīng)時長MTTR（平均響應(yīng)時長）同樣是衡量安全運營效率的關(guān)鍵指標(biāo)。MTTR衡量了從檢測到攻擊到采取有效應(yīng)對措施的時間。

通過建立五個指標(biāo)，安全檢測防御相關(guān)的安全水平就能大致衡量出能力和響應(yīng)水平；并且我們推動了整個安全運營實現(xiàn)線上化，這樣指標(biāo)數(shù)據(jù)就能通過工具自動統(tǒng)計出來。另外，我們也通過攻防演練檢驗我們的指標(biāo)。我們建立了一個安全的攻防云環(huán)境，將內(nèi)部安全檢測能力做了虛擬化，然后進行攻擊測試，借助一些腳本和BAS產(chǎn)品（入侵和攻擊模擬），實現(xiàn)周期性的攻擊測試以驗證各種檢測能力。通過這種方式，能比較有效地得到各個安全檢測防御能力的召回率指標(biāo)，提高召回率的準(zhǔn)確性。

劉晶：我們了解到貨拉拉此前已與騰訊安全展開相關(guān)合作，可否介紹具體合作在哪些方面？

黃宇鴻：騰訊安全作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商，擁有深厚的技術(shù)積累和創(chuàng)新理念，為我們提供了強有力的支持。此前，已引入其多款優(yōu)秀的產(chǎn)品與服務(wù)，以強化我們的安全防護體系。

個人認(rèn)為騰訊安全的一大顯著優(yōu)勢，在于其在移動端與終端領(lǐng)域的廣泛裝機量。龐大的用戶基礎(chǔ)為騰訊在安全威脅情報分析方面提供了得天獨厚的條件。騰訊能接觸到更多的攻擊樣本，通過長期的數(shù)據(jù)積累與分析，騰訊安全有能力構(gòu)建了一個全面且精準(zhǔn)的威脅情報庫。我們也有和騰訊的安全情報庫合作，通過合作還是比較顯著提升安全檢測效率與準(zhǔn)確性，甚至在威脅爆發(fā)前就能做出預(yù)警，有效降低了潛在的安全風(fēng)險。

在代碼安全方面，我們同樣與騰訊安全也有合作。通過合作和借鑒騰訊的安全經(jīng)驗，來不斷優(yōu)化我們自身的代碼審查與安全管理流程，力求從源頭上消除安全隱患，提升軟件安全質(zhì)量。

劉晶：現(xiàn)在大家都在談“新質(zhì)生產(chǎn)力”，將新技術(shù)應(yīng)用到生產(chǎn)流通環(huán)節(jié)提質(zhì)增效，可否分享一些貨拉拉在這方面的相關(guān)工作？

黃宇鴻：貨拉拉作為一家深耕于物流領(lǐng)域的互聯(lián)網(wǎng)平臺，在數(shù)字化、網(wǎng)絡(luò)化方面具有先天優(yōu)勢。近年來，隨著人工智能（AI）技術(shù)的迅猛發(fā)展，新質(zhì)生產(chǎn)力已成為推動社會進步的重要力量。在此背景下，貨拉拉緊跟時代步伐，從公司戰(zhàn)略層面高度重視AI技術(shù)的跟蹤與應(yīng)用創(chuàng)新，不僅在業(yè)務(wù)層面積極探索AI的無限可能，同時在信息安全領(lǐng)域也積極跟進，以AI為引擎，驅(qū)動信息安全防護的全面升級。

AI的應(yīng)用首先在信息安全運營方面，貨拉拉已經(jīng)建設(shè)了眾多信息安全檢測能力，每日產(chǎn)生的告警數(shù)量高達數(shù)萬條。面對如此龐大的告警量，傳統(tǒng)的方式是通過規(guī)則進行告警壓制，但壓制以后還是有不少告警。為此，我們嘗試用AI技術(shù)對告警做處理，通過AI對告警進行預(yù)處理和篩選，目前看效果還比較好。經(jīng)過初步的技術(shù)優(yōu)化，通過AI壓制后告警量在召回率沒下降的情況下比原來減少了三分之二，這對安全運營效率有明顯的提升。

同時我們的AI能力，包括大模型也在多個方向做嘗試，比如在一些攻擊檢測、漏洞檢測，還有數(shù)據(jù)分類分級，以及面向內(nèi)部員工的一些服務(wù)，我們都在嘗試通過大模型去提升體驗跟效率。

劉晶：今年的騰訊數(shù)字生態(tài)大會上提出了“看得見的安全”理念，您如何理解這一理念？

黃宇鴻：安全怎么被看見是個老生常談的問題，安全最好的狀態(tài)其實就是不出問題、默默無聞地在后面做支撐，這也是為什么會有“看得見”這個議題。

“看得見的安全”可以分別從幾個層面來解讀：

●首先，“看得見”安全能力。比如此前提到的安全的指標(biāo)化，如果這些安全的威脅沒有被看見，則沒法做保護，從保護的角度來說，我們必須先“看到”這些威脅和不足。

●其次，“看得見”安全價值。對企業(yè)而言，安全是增強企業(yè)成功的確定性，如果安全出了問題，無論是合規(guī)出問題，或被攻擊導(dǎo)致業(yè)務(wù)中斷，其后果可大可小，或會為業(yè)務(wù)帶來極大損失。因此，安全需要降低此類事件發(fā)生的概率，這是安全在企業(yè)內(nèi)部體現(xiàn)的主要價值。

●最后，企業(yè)在安全方面的持續(xù)投入也希望能被外部“看見”，使得企業(yè)能贏得用戶和監(jiān)管的認(rèn)可和信任。有很多安全工作會最終通過認(rèn)證和測評的方式來獲得各種證書和資質(zhì)。這些是企業(yè)在安全能力方面的體現(xiàn)，有利于增強用戶對企業(yè)數(shù)據(jù)保護方面的信任。還有一些新業(yè)態(tài)落地過程中，監(jiān)管機構(gòu)需要與頭部企業(yè)共同探討如何落實安全監(jiān)管，該過程中我們可以參與其中，分享經(jīng)驗、參與標(biāo)準(zhǔn)制定，幫公司在監(jiān)管層面贏得更多支持。

劉晶：談?wù)勀鷮τ诎踩�行業(yè)未來的預(yù)期如何？

黃宇鴻：信息安全行業(yè)作為現(xiàn)代科技發(fā)展的重要支撐，一直受到國家層面的高度重視。近年來，隨著數(shù)字化轉(zhuǎn)型的加速和網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻，信息安全人才的需求量急劇增加，市場缺口顯著，進一步推動了該行業(yè)的發(fā)展活力。

從行業(yè)發(fā)展趨勢來看，信息安全無疑是一個充滿潛力且持續(xù)發(fā)展的領(lǐng)域。與其他行業(yè)相比，信息安全的需求具有更強的穩(wěn)定性和持續(xù)性。無論經(jīng)濟環(huán)境如何變化，信息安全作為保障數(shù)據(jù)安全、維護網(wǎng)絡(luò)空間秩序的關(guān)鍵環(huán)節(jié)，其重要性不言而喻。因此，即便在短期內(nèi)面臨一些挑戰(zhàn)和困難，信息安全行業(yè)依然展現(xiàn)出強勁的發(fā)展勢頭和廣闊的市場前景。

我堅信，信息安全行業(yè)不僅是一個具有廣闊發(fā)展空間的賽道，更是一個值得長期投入和深耕的領(lǐng)域。隨著技術(shù)的不斷進步和應(yīng)用的不斷深化，信息安全行業(yè)將持續(xù)迎來新的發(fā)展機遇和挑戰(zhàn)。

作為國內(nèi)互聯(lián)網(wǎng)物流領(lǐng)域佼佼者，貨拉拉在安全方面始終秉承著“建設(shè)成行業(yè)一流信息安全水平”的使命，在安全技術(shù)能力、安全體系、安全合規(guī)以及安全文化建設(shè)等方面不斷發(fā)力，持續(xù)關(guān)注行業(yè)最佳實踐以及新安全技術(shù)、理念的應(yīng)用。緊握新一代AI技術(shù)變革下的安全領(lǐng)域新機遇，持續(xù)進行安全左移，提高檢測能力，保持安全管控更加前置，構(gòu)建安全防護盾，探索新型物流模式，為物流行業(yè)高質(zhì)量發(fā)展助力。