「“安”居乐业 因“地”制宜 」安全地产系列高端客户沙龙原创

大家下午好，欢迎来到安居乐业因地制宜安全地产系列客户沙龙的第一期的直播现场，我是今天的主持人梁静，来自腾讯安全团队啊，那在当前特别是今年以来疫情依然严峻的这种形势下，嗯，各行各业都在积极的进行这种数字化的转型，那在这个过程中，我们，呃，各个企业安全体系的建设是需要被前置的，那就目前我们看到的情况而言，地产企业呢，主要面临以下几点安全问题，那第一点呢，就是外部环境恶劣，导致这个网络攻击的这个量式激增，第二点呢，是我们内部数字化转型，促使我们企业的这个防御面增加。第三点是我们呃这个国家的这个政策，安全监管的政策频繁的出台，对企业本身的这个安全建设的要求也是日益的增高，那在这样的一个情况下，我们是需要呃地产企业与安全与有与这种有安全建设能力的公司一同抱团取暖，来共建这种行业安全文文化和环境，那这个也是我们呃地产安全系列主题直播的这个初衷，所以本期直播我们呃也是我们这个系列直播的第一期，接下来我们可能还会有第23456期，那我们也非常荣幸的邀请到了这个中海地产信息安全总监熊吞先生和腾讯安全地产行业首席专家姚伟老师，今天为大家来分享地产企业的这个安全建设框架以及实践案例和经验，首先欢迎两位老师。

嗯，那今天接下来的这个直播的时间里，我们会首先有请腾讯安全地产行业的首席专家姚卫老师来为我们带来腾讯安全护航地产行业数字化转型的这个主题演讲，那有请杨老师。

哎，好的啊，谢谢主持人。诶，好啊，各位线上的朋友大家下午好啊，我是来自腾讯安全的姚啊，接下来我给大家啊，就腾讯安全在整个地产行业数字化转型方面的一些思考和一些实践给大家做一个分享。啊，今天分享内容主要是分为三个方面啊，正如主持人刚才提到的，实际上现在呃，对于整个地产行业来说，数字化转型可能是大家去共同去探索和实践的一个命题，那在数字化转型过程当中，可能现在我们会感知到现在面临的网络安全方面的风险和一些压力是越来越多了，所以在这个过程当中，究竟数字化转型会带来什么样的一些风险，我会给大家去做一个介绍。那第二部分是啊，腾讯作为一个成熟的呃网络安全的一个服务商，那么从腾讯的视角来看的话，我们能够去给我们的地产行业的一些呃客户带来什么样的一个解决方案，怎么样帮他们去解决现在所面临的一些重大安全风险问题。第三个方面是腾讯，我会去结合腾讯在整个地产行业里面的一个具体的实践案例，给大家去做一个详细的一个分享。

那首先我们来看一下地产行业现在所面临的数据，数据数字化过程当中的一些新的一些风险，其实我们可以从几个方面来看啊，首先从当时20202021年我们可以看，明显感觉到从监管侧发布了一些呃，法律法规相关的一些条文，其实是明显的有增加了的，而且对整个行业，或者是从对整个网络安全领域的一些约束也是越来越细化和明确化。那这些其实在我们整个地产行业数字化那个不断深化的过程当中，我们的信息化水平其实也是逐步去提升的，那和监管侧的这个衔接，包括这个对所承受和感知到这个压力也应该是越来越明确了，或者是越来越多了。另外一个层面，其实我们可以看到，就是随着我们数字化进程的不断的加快，越来越多的新的一些it的技术不断引入到我们整个企业的系统化和业务技术建设过程当中，但是这些新的技术在引用的时候，本身也诞生了一些原生的一些安全风险，那这个其实对于我们企业来说是一些潜在的一些比较大的安全隐患。

再加上现在呃，因为我们要借助一些互联网的一些技术和手段，这样的话，其实把我们一些传统的一些网络边界进行了打破，这样可能也会给我们的一些业务啊，尤其是一些现成的业务带来一些互联网侧的一些独有的一些安全风险和一些一些呃隐患。那另外一个点，其实我们呃一些，尤其是一些大型的一些央国企业的一些地产公司啊，其实明显感应该这两年有参与过咱们这个国家监管才组组织的这个国家级的共防演练的活动，那么国家级的这个攻防演练活动，实际上它是要通过这种实战化的手段来去对于我们整个企业侧的整个安全建设进行一个实战化的检验，那去通过这种实战化的这种这种方式来去检验究竟我们整个安全建设处于一个什么样的水平，它是否能够真正的去抵御黑客的攻击，对于我们的业务去提供真正有效的一些安全方围的一些防护。

那当然，呃，我们从在引入或者说在使用一些新型的一些那个，呃，这些氧化或是it技术过程当中，其实是本身都是伴生的，或者说本身都是因为我们业务层面的一些驱动啊，比方说现在在整个行业里面，其实我们可以感受到一些，包括我个人，呃也也已经也了解到一些，比如说一些在线选，包括现在很多我们的企现在也在探索一新的业务，通过使用一些物联网和一些AI上面的技术来去带提升用户的一些体验，或者说扩展一些新的一些业务渠道等等，但这些新的些业务场景下面，其实就像我前面所提到的，其实它本身也会去带来很多和安全相关的一些方面的一些变化。

那么究竟对于整个房地产行业来说，我们这几年明显感知到的安全风险有哪一些，其实不管说是国内也好，还是国外啊，在整个地产行业这几年，其实啊，我们通过一些数据跟踪和调研了解到，地产行业现在其实被已经被很多这种啊非法攻击者，甚至说一些黑客啊盯上了，因为从从在整个呃，在我们可能在普通大众的这个呃逻辑思维里面，可以一直认为就是地产可能是一个这个资金比较集中的一个一个行业，那从从那个经济的这个角度的考虑的话，可能很多黑客他会优先去选择这些行业来去进行一些攻击，所以我们可以看到，其实从去年我们在行业内发生了也发生了比较影响比较大的这个安全事件，我们我们也有一个有一些这个，呃，地产公司，因为。

安全做的可能不是很到位，然后导致数据被勒，那个数据被加密勒索了，然后也造成了比较大的这个经济损失，当然也还有一些其他的一些啊，呃，地产行业这些客户其实也遭受到了类似的一些一些呃攻击，也是给企业的这个啊经济啊，包括整个品牌形象也都都都造成了一些比较明显的负面的影响。那事实上我们也针对于整个地产行业在整个数字化过程当中的一个呃发展，也对它的整个诉求，或者是对它的整个业务特点去做了一个梳理，同时把每个啊大的业务场景里面所可能面临的一些风险，我们也去进行了一个总结，大体来看的话，我们是把它分为了四个方面。主要包括了从数字营销，协同办公，物业运营和地产大生产之类的，那在数字营销这上面，其实就像我刚才提到的，我们通过一些线上的手段来去做一些拓客拉客，来去更好更容易的去触达我们的用户，去做一些我们的这个呃，产品的一个推销，或者是和用户的一个一个触达，那当是在内部的话，我们为了去提升我们的这个信息办公的这个效率啊，啊一堆的可能很多这种，比如说这种啊，一些OA系统啊等等，或者是一些其他的行政办公系统，可能也逐步的去进行了一个一个投入和使用。

还有现在可能很多这种大型的这些地产公司，其实本身都有伴，伴随伴随自己的这个呃物业这个模那个呃模块或者是业物业的板块，但是其实上在物业板块这一块，其实呃，咱们可以通过一些互联网的渠道也可以了解到，其实几年也发生了很多，比方说基于A或者基于L等技术方面的一些一些呃呃攻击啊，然后其造成了我们一些业主信息的一些泄露等等，然后最后一块呢，是其实是那个地产生产。那大生产这一块本身其实它的这个范畴是比较复杂比较大的，因为地产这一块从从我们整个整个业务链的这个逻辑来看的话，其实涉及的环节非常的多啊，比较典型的其实我们这我们在腾讯安全，在整个这个业务，整个行业的业务在调研过程中，其实也了解到一些点，比如说像智能家居啊，现在我觉得我我看一些头部的地产公司，其实都在这块是有一些业务的一个一个呃，跟进和一个呃。

发展还有一些比方说在整个呃呃，整个这个房子的这个建筑过程当中，也涉及到一些施工人员的一些不合规的一些等等问题啊，那等等以上其实我们可以看到，基本上现在我们现在看到的这四个大的维度方面。呃，都会包含一些，或者说潜潜包含一些潜在的一些网络安全的风险，那这些其实都是我们整个行业在整个数字化的进程过程当中，不可避免的一些一些场景，所以我们可以这样说，其实整个地产整个行业的这个数字化安全，可能是会对我们整个这个数字化的这个最终能够实现的一个效果，起到非常大的一个影响的这个作用，所以我这里也总结了一下，可能对于整个地产行业来说，地产的数字化全是我们业务发展的一个底线，也是我们的一个上限。那对于腾讯公司来说，那我们在整个地在整个地产行业去做了深入的锻炼的这个呃研究和沉淀，那去结合我们自己的一些在安全方面的一些经理解和建呃经验，那我们怎么样去帮助我们的基层客户去解决现在的一些呃，数字化转型过程当中所面临的一些安全风险和问题。

那事实上我们把我们把刚才前面结合业几个业务几个维度的业务场景的这个需求，和我们的专业的这个安全的这个场景去做一个匹配，我们把实际把它总结为四个方面，主要第一个是业务安全方面的一个诉求。那比方打个产比啊，打个比方，其实我们现在在一在做这个数字线上的数字营销的过程当中，实际上我们可能会面临到一些黑灰铲的一些薅羊毛的一些行为，比方说我们的一些优惠券啊，可能被一些呃黑产团队团伙直接啊通过一些技术手段去呃竞争性的这个把抢占啊，把一些呃这个破坏了我们整个线上营销的一个公平性啊。

那还有一些的话，可能我们现在因为要因为包括前面也提到了，现在因为这几年这个一个疫情的影响，我们很多这些业务可能都是需要基于这种远程的方式来去连接到总部来去进行这种啊远程办公，那这个在远整个远程办公的过程中，实际上也会导致一些有一些风险点会被黑客程内利用，然后去对于我们整个业务去造成一些破坏，那另外一个层面是数据安全需求的，其实刚才前面也提到了，那包括我们这几年在整个业内发生的这个基于数据的加密勒索这种攻击啊，其实还有一些，那包括包括说像我们的这些，呃。客户的这个个人的这个购房信息啊，包括他和个人相关的一些影视数据的一些泄露，其实这个都是比较常见的，而且对于整个地产行业来说，因为它本身的这个用户基数相对来说还是比较大的，基本一般都是几十万上百万，甚至有上千万的，那这样的话，这种量级的这种数据规模的泄露，其实对于企业的，呃，一旦一旦发生了这样的事情以后，对于企业造成这个影响其实是也是非常非常严重的。

那当然还有一块是基础安全，那基础安全实际上是我们整个企业的，不管说是啊日常的这个线上办公，还是说整个数字化运营，数字化那个，呃，业务的这个基础的这个，或者说是它的这个基石啊，所以保证我们整个基础或者说基本的整个网络的安全，是我们去做，做好所有这种基于依托，依托于互联网的一些业务的一个基础。那最后一块呢，其实是安全运营，其实地产行业是一个比较特殊的一个行业，它是非常强调一个投入和产出的一个一个行业，这个这一点其实和本身和互联网公司其实是比较像的，所以对于整个行业来说，整个对于安全这个维度，并不能说一味的是去做一些投入，肯定是会去考虑它的一个投入产出的问题，怎么那样怎么来样说去通过最小的投入来去给给我们的企业去带来最大的这个回报，那这样的其实安全运营就是一个比较有效的方式啊，那但这个本身也是我们整个行业现在可能需要去解决的一个，或者是需要去啊啊啊建设的一个能力。

那基于这四个方面的这个这个呃，安全方面的诉求，那我们腾讯其实从互联网视角来看的话，那我们认为要把安全做好，可能需要去，呃，通过什么样的方式来去去做这样一个这个安全的建设和规划。那我们总结出来，对于腾讯来说，我们认为做好安全的这个整体的这个建设，或者说整个规划性的工作的话，我们需要从四个方面来去进行一个考虑，首先第一个是情报，那其实从这两年整个呃基于攻防啊。基于比较，或者说基于这种攻防实战化的这个网络环境来看的话，其实情报在真正真实的这个网络安全对抗过程中，它所起到的价值和作用其实非常明显的，我们有了有效的情报以后，能够就能够更加主动的去针对于外部的一些攻击和威胁，然后提前去做一些防范性的工作，那底层的话，这个其实是依靠的是腾讯的一个安全大数据的一个能力，我们是基于数据驱动来去动态的去调整我们所前端的，或者说我们所部署的一些安全防护的一些策略。

那第二个是攻防，那网络安全本质上其实是人和人的对抗，那我们不管我们部署了再多的所谓网络安全的产品和设备，其实还是需要我们的人来去做一些运营啊，这去做一些策略的这个配置和和调度等等，所以人本身是整个网络安全的基础核心啊，那那人怎么样去发挥它的作用，那这个其实我们把它这个场景，就把它就是那个定义，在这个攻防这个领域，那所有的安全的建设，我们都是需要去经过人的主观。去进行一个验证，比方说去通过红蓝，或者说去参加啊这个监管特组织的这种护网行动等等。只有去通过这种实战化的检验，我们才能真正的对自己的这个安全建设这个水平有一个比较清晰和明确的一个感知，所以这个其实对于腾讯来说，腾讯的安全建设其实本身也是基于这种攻防理念的一个驱动，那腾讯自己每年也会去组织这种内部的红蓝演练，来去对自己的这个常态化的安全建设去进行一个实时的检验。

那最后一块的话，其实是属于业务驱动和技术驱动，那我们其实大家都可能比较对腾讯比较了解，其实腾讯的这个业务相对来说是非常的庞杂和复杂的啊，那怎么腾讯怎么样去在这样一个复杂的体系下面去做好自己这么多啊复杂业务的一个安全的一个那个，呃，建设和管理，其实靠的就是两个，一个提前做好整我们。提前去做好这种呃，高层的高级高级别的这种这个信息安全的这个管理能力体系的一个建设，那同时呢，其实我们在腾讯在自己的这个安全能力，或者是具体的这个安全啊，产品的部署等等也好去，那在这这个具体安全组件，安全能力组件的一个建设过程当中，基本它是严格的去办业务属性的，那一定是业务所面临的相应的这个风险，或者是业务对这个安全能力的诉求，有了明确的这个要求以后，那我们才可能去。

部署或者说配套相应的这个安全范围的这个能力，同时呢，因为腾讯本身作为一个互联网企业，其实它的业务迭代的是非常的快的，所以变化其实是一个非常，对于腾讯来说是一个非常典型的一个特征。因此那我们在做整个安全能力的规划的时候，其实我们会去考虑到它的一个可扩展性，能否去去应对这种未知的一些风险的一个一个感知和一个响应的动作啊。所以我们总结下来看的话，那我们腾讯认为那地产行业做好数字化转型，我们可能也要去把整个呃安全一定要拔高到一个企业的战略视角的这么一个一个呃层面，然后从我们所提到的情报，攻防，管理和规划四个维度来去统筹我们整整体的这个安全能力的建设，那对于对于我们的企业来说，具体来说要怎么去做呢？那我这边也是把。腾讯自己的整个整个安全建设啊，作为一个一个参考的一个呃对象，然后从从我们的技术体系，管理体系以及运维体系来去进行那进行的一个细腻度的一个拆解，那对于我们地产公司来说，如何就像我前面提到的，如何用最小的代价来去构建。

最有效的这个安全防守体系，那最最好的办法可能就是说去借鉴一些成熟的一些一些一些经验或者是一些模型的，那腾讯作为这个互联网公司比较，呃，安全实力还是比较强的这种一个一个代表的话，那所以它本身的这个安全的实践还是具备非常强的这个建立价值和意义的，所以那以腾讯自己的这个安全体系或者安全实践作为参考，那我去设计了整个为地产，整个地产行业设计了这样一个一加一加一加一加N加一这么一个架构。那具体来具体来说的话啊，首先我们是要去给地产行业去构建一个比较有效的一个响应防御体系，或者说我们需要给他去建一个安全的一个底座，那依托这这样一个底座，能够去实时的去对于我们的外部的攻击去进行一个感知和一个处置响应，能够快速的去阻断我们阻断外部的攻击，然后达到一个止损，或者说一个控制风险的一个一个目标。

那另外一个层面上，就是我们具备了能够去阻断了外部攻击的能力，那我就像前面所提到的，其实我们还会面临很多业务侧的一些威胁，还会面临数据，数据层面上的一些威胁，所以接下来就是说，那我们在这个平台的基础之上，我们一定是要去根据自己的业务所需要的一些能力，通过组件化，组件化的方式，不断的去扩展我们的一些安全的一个一个能力，不断去完善我们整个安全的这个技术能力体系。那随着我们不断的去完善自己安全能力体系的时候，我们自己的本身整个企业的这个安全体系也会相对来说变得会更加的这个复杂，因此在这种在这个情况下面，我们需要去不断的去把我们的一些能力，把我们的一些安全处置的一些流程，把它去进行标准化，形成我们自己的一套运营体系，这样的话才可能真正的说去能够去啊形成自己自己企业的这个这个安全这个知识和经验啊，真正的去服务自己的这个呃，企业的这个业务。

那最后一个层面上，就像我前面所提到了，那不管我们做了再多的这些安全上面的投入和建设，那是否我们的投入能够达到我们的一个预期，能够真正到我线上营销的时候，能够去抵御外部的这些威胁和攻击，所以我们建议还是要去进行常态化的安全演练，将管我们将我们这个安全建设的深度和广度进行一个并重啊，对整体的安全来进行一个有效性的一个检验。那具体而言，对于我们从具体的这个呃能力落地过程当中，其实我们也给大家去做了一个比较，呃，可能会更容易理解的一个一个一个呃嗯能力的一个结构，那在首先在底座这一块的话，其实对于腾讯来说，包括腾讯自己啊，自己的这个安全底座，其实靠的就是这种全流量的这种安全分析，然后呃本身平台能够去具备比较开放的这种API的，嗯嗯。

协同联动的这个能力啊，有需要的这个，有需要阻断的这些安全产品都可以实时的通过调用开放的这个API，然后去去实现它的这个阻断的能力，比方说我们可能很多企业里面啊，本身已经部署了，比如包括像一些入侵检测啊，包括一些日职分析啊，甚至说包括一些态势岗这等平台，那这些平台更多的是去发现一些威一些发现一些威胁或者攻击，但是处置和响应更多还是需要依靠其他的这些产品来去实现的，所以我们这个底座本身是把自己这种组装的能力进行一个开放，任何有需要或者说发现了这些啊，安全风险和呃攻击的行为都可以随时调用这个能力，能够实时去做一个快速的这个组装和响应。那在这个基础之上的话，我们可以看到，就像我前面所提到的，我们会去结合业务的所需要的一些场景，不不断的去扩展我们这些能力，当然呃。我们可以看到，其实呃，不管说是我们现在看到的这个身份安全啊，包括我们的这个网络安全，数据安全等等，其实所有上面这些组件或者安全能力都可以和我们这个底座之间去形成一些能力上的一些协同和联动，这两者之间并不是一个简单的割裂，这样的话，其实才能确保我们整个建安全建设的这个，它实际上我们可以看到是把它理解成是一盘棋啊，并不是能力之间并不是一个分割的啊，那在这之下的话，我们建议是建立一个统一的安全运营指挥中心，那这个我们可以在既有的这个啊，可能有一些企业已经建了自己的态势感知啊，或说其他的这个安管平台等等，那在这我们要做的是怎么样去利用既有的这些平台，或说通过新建一些他选择的平台，然后去把我们的这些经验流程把它给标准化啊去啊，这样的话能够去更快的去减少，或者说能够去容易能够去减少房地产企业现在对于一些高水平的一个安全人员的一个依赖啊，通过标准化的一些流程来去处置一些安全事件。

那最后一块的话，就是实战化的一个演练，典型的一些动作就包括了红蓝对抗，包括了一些我后面会给大家去介绍的，比方说通过沙盘推演的方式啊，或者说去参加一些啊，监管机构组织组织的这些，比方说一些防演练的一些活动啊等等。

那接下来的话，我去结合啊，前面所提到的，那我们去所呃腾讯测给大家去建议去去建设的一些能力，那究竟能究竟有一些什么样的一些场景，或者说给我们能带来什么样的这个价值啊，首先我们可以看一下啊，这这是啊，我们的那个腾讯服务过的一个地产厂商的一个一个一个案例啊。首先我其实我们很多地产，地产公司现在整个行业来说，其实整个网络安全建设的水平其实是处于一个相对中等的一个水平，所以整个安全体系建设并不是说并不是太完善，但是一些头部的一些企业，它在一些基础安全能力建设方面，其实也是做了一些投入了的，所以基本上一些基础的安全产品该有的也都有了，但是产品之间的这个协同性非常的差啊，虽然说很有一些企业它是按照我们所谓的这个纵深防御的理念去做了一些安全的一些投入和建设，但是产品因为不同的品牌呀，因为不同的那个类型啊，产品之间的协同性能力是非常差的，那这样的话，其实会导致我们真正在应对威胁，在做响应的时候，我们的响应和效率其实是会受到很大的一个掣肘的，所以那前面所提到的，我们去构建这样一个统一的一个安全底座的话，那这个底座的话，它能够去打通不同产品之间的这个壁垒，能够快速实时的去把。

接受到我们其他的这个产品所那个检测到的一些异常告警，或者是一些异常攻击的行为，能够实时的快速去实施阻断，那当然前面呃我也说了，就是这基于这样一个pass平统一的pass平台，实际上它还能去给我们其他的比方说我们基于的防护啊，比如其实基于一些高级PT的一些攻击行为，甚至说数据安全的一些防护，其实都可以去提供一些底层数据，呃，统一的这个算力算法方面的一些能力支撑。那接下来因为的话，这个可能大家感知会更明确一点，或者说更更深刻一点，那因为这两年我看包括腾讯在内的，其实很多数大多数企业就因为要适应这种疫情这种，呃，大的这种。

影响大多大多数企业其实都经历过了这种远程办公，但是传统的远程办公其实我们在体验上面啊，其实感会会有非常多的这种不好的一些体验啊，比方说我们大多数现在企业可能还是通过使用这种传统的VPN的方式，然后去通过这种拨号方式来去接入企业的网络，但是啊本身VPN其实在这两年的整个那个国家级的互网演练过程当中，VPN其实是攻击队去最长去打的一个点，说白了就是因为VPN本身它就有很多啊漏洞，那包括我们其实在很多在以往的这些一些一些共分演练一些case里面，其实反过来去利用VPN自身的漏洞，然后去啊借力，借助于VPN去进行通讯的一些数据，然后去能够去把它给转发出来，然后去进行一个分析，所以VPN这种安全产品本身反而成为成为了一个比较大的一个漏洞和缺陷。

那另外一个就是可能我们传统的一些，呃，现在如果那个呃呃终端课的一些安全产品啊，其实种类非常的多，我们又要去，因为处于这种啊，企业数据防护的一些需要，又需要去装一些杀毒软件，又需要去装一些数据防泄密的些软件等等，那这样的话，导致我们整个企业侧的，尤其是普通普通PC的或者是移动终端的，它的整个这个负载压力会非常的大，影响我们正常的这个生产和办公的效率，所以其实啊，那我们现在针对于地产行业来啊，提供一个就是我们腾讯自己的这个这个啊，属于零性能组件里面的一套解决方案啊，能够通过这样一套啊，多合一的这样一个安全终端的话，能够去同时的去解决我们企业侧的这个远程的安全接入的问题，能够去解决我们企业侧这个不管说是普通PC端还是移动终端的一个本地化的安全检测的一个能力。同时还能够去去结合腾讯的整个零信任的解决方案啊，当然也可以去和第三方的去进行一个联动啊，然后实时的去结基，基于我们终端测的一个安全风险的或者是安全的一个系数，然后去实时的对于我们接入网络的终端和用户进行一个动态的一个授权，通过这样的方式来最大限度的去保证我们业务联合性的同时，然后去保证我们的安全性。

那再一个就是啊，企业的或者说整个安全运营，其实是很多企业在安全投入，安全建设达到一定阶段以后，必必须要去考虑的一个事情，那么我们只有说去通过一个有效的安全运营，才能够去把我们的这个安全的这些经验去进行一个固化，同时呢，要去保持我们整个安全防护，或者说安全策略的一个有效性啊。所以其实我们也是结合腾讯自己在整个常态化的这个安全运营过程当中所关注到的一些风险点，或者说一些流程方面的一些经验，我们也是把它进行一个产品化提供给我，通过一个MSP的一个服务的平台，给我们的用户去进行一个快速的交付，那这样的话，这个平台本身因为成了腾讯自己在自己对一些重大安全事件处置的流程方面的一些经验，包括一些一些处置方法等等，直接通过这种经验赋能的方式来帮助我们的企业用户，尤其是我们现在一些房地产啊客户。

现在这个大环境不大友好的情况下面，其实很难去啊，通过高新去啊，招聘一些专业的这个安全人才啊，所以通过这样的方式，我们能很好的去做一个经验的一个传递啊，帮助我们的这个房地产企业去解决这个对高水平人才方面，医疗方面的一个一个问题。那当然，呃，前面所提到的，要建成这样一个比较完备的，参考腾讯的这个这个能力体系，去建设这样一套安全啊。嗯，就去建设这样相对来说比较成熟的这个安全体系的话，其实是一个比较啊漫长的一个过程，所以我们其实也不要太心急，我们可以把整个整个建设分阶段的来去进行一个规划和落地，那这里我们也建议说分三个阶段啊，那第一个阶段的话。

主要是能够快速的去啊，比方说那个前面所提到的去构建自己的这个统一的安全响应的平台，能够快速的去对让我们的这个企业能够感知到安全的一个组织，安全防护的一个一个能力啊，做一些基础的一个安全范围的一个投入，那第二部分的话，我们其实我们。整个安全建设其实它也非常多的这种框架，或者或者说一些一些标准来去进行参考，那对多根归根结底其实都是一些体系啊，我们一定安全一定是一个体系化的一个动作，所以那我们在第一个阶段去有针对于一些专项能力去进行建设的时候，其第二阶段的话，我们就得考虑我们整个体系是否去够完善了啊，那第三个阶段的话，那可能有一些头部，尤其是一些行业头部型的企业，它对于因为在业务上面可能会有自己一些独特的地方，那它对应的这安全的诉求可能也会有些差异，可以所以我们建议第三个阶段的时候，那企业根据自己自身的诉求来去做一些专项能力的一个建设就可以了啊，那当然每一个阶段，其实我们具体要做什么事情，或者说要达到一个什么样的效果，其实我们也可以说去在行业内去找一些标杆，然后去，这样的话，我们整个建设或者这个动作会会更加的一个明确。

那最后一部分的话，我快速给大家去做一个行业内部的一个一个一个，呃，实际的一个案例的一个分享。那实际上现在在对于很多房地产企业来说，其实整个安全建设，它其实就是一个呃成本投入的一个过程，那看不呃很难去看到安全对于整个企业，或者说对于业务侧带来的价值，所以其实呃腾讯从安全从去年开始，我们就推出了基于沙盘推演这样一个呃服务的形式，来帮助我们的企业用户，给我们的领导侧去梳理安全究竟会给企业带来什么样的负面影响，或者说安全究竟能给企业提供什么样的安全防护方面的能力，那在去年我们也是啊和国内的一个头部地产公司呢，去进行了这样一个一个实践。

那通过沙盘的方式啊，我们啊通过沙盘这样一个一个服务的形式，我们最终啊协商我们通过沙盘要实现三个目标，第一个就是说，那我们要通过攻击的形式，通过网络攻击的方式来去中断我们的一个呃，那个那个演练客户的这个在线售楼的业务，第二我们要能够去窃取到啊公司内部比较敏感的，包括说像我们的这些，呃，客户的包括一些商业商业数据，相关的一些商品数据，那第三部分的话，我们还能够去通过网络攻击去。啊，利用啊企业课的一些一些一些公开的一些信息发布的渠道，然后发布一些负面的一些社会舆论等等啊，那通过网络，最后我们实际上通过这种演练的方式，同时去结合一些实战化的一些一些呃动作啊，把这三个方面都实现了啊，都做到了啊，那其实背后的逻辑是什么呢？那通过这样一种方式，我们可以看到那。利用网络攻击的方式，我们是能够真正的去对我们的这个这个地产公司的一些业务去进行实际的一个破坏的啊，所以安全它啊不是一不是一个纯纯，呃，或者说它本身确实是一个隐性的一个一个投入，但是它的这个产出，实际上我们是能够去和我们的业务去产生比较强的这个关联性的。

那我们具体来看一下我们做的一些事情啊，首先第一个其实呃，我们对于现在整个行业做了一个初步的评估，像地产公司，因为可能会更多的会注重这个经营和生产方面的一些工作，那企业的招聘的这个人员啊，其实尤其是一些置业顾问，他们在整个安全意识这一块，其实都没有特别好的安全意识，所以那我们利用了人的这个安全意识薄弱这个特点，我们。做了一些社工钓鱼的这种攻击啊，基本上啊，我们不管说是冒充企业内部的it人员也好，还是说冒充这种购房人员，基本上都能够成功的去欺骗到我们这些置业顾问，或者说企业内部的这个工作人员，然后成功的利把他们作为跳板，然后入侵到企业的内部网络，然后去执行一些更多的这个安全啊，攻击和破坏啊，最终基本上都能达到我们想要的一个目标。

那么在整个实实战直接在或者说对于整个地产公司的这个呃呃，网络安全体系进行实战的这个正面对抗的过程当中，其实我们也能够去直接利用一些现有的这个呃应用系统，包括说像VPN，包括像OA的一些存在的一些漏洞，然后也是能够直接去入侵到企业内部的这个生产网络里面，然后而且可以直接去访问到我们比较核心的，比方说售楼系统啊，比如说那个客储系统等等啊，然后都能够去拿下它相应的这个权限，然后去窃取相应的这个数据，或者说去中断相应的这个服务，包括我们也可以直接在入侵内网以后，去释放相应的这个勒索病毒，对全网去造成一个网络的这个破坏啊，所以所所有的这一些，实际上我们都是通过这种实战方式，或者说通过这种啊桌面模拟推演的方式都能够去实现的，所以这反过来其实也验证了，就是说。

呃，地产公司它本身现在在整个安全建设这块，其实呃，面向这种实战化的这种防御能力，其实还是存在一些不足的，这个也是我们需要去改进的一个方面。那最后我们再利用或者说结合这个沙门特演的结果，我们发现了很多方面的问题，然后我们也是按照前面是最开始给大家介绍到了从业务安全，数据安全，基础安全以及我们的安全运营几个维度去做了一些梳理，那最后我们结合每一个维度发现了一些问题，有针对性的去结，去给我们的这个客户去提供下的这个安全建议啊，最终其实呃呃，最终的一个逻辑，其实还是说去怎么样去快速去构建，或者说围绕我们所前面所提到的一加1N加一一的这样的一个架构，就快速构建一个比较有效的一个安全体系啊，那。做了这样一个规划以后，我们怎么来去检验我们这个投入是不是能够去达到一定的这个效果，能够去被公司的这个领导优势，被业务侧所认可，所以我们其实也可以，我们也同步去对我们整个安全建设去提了一些指标性的一些考核，比方说我们能够去保持我们的这个安全水平啊，在整个行业保持一个一个前几的，一个一个保，保持在前几的一个水平，那每年能够处置的这个安全，发生的这个安全事件不能超过多少，然后每年能够发现的这个漏洞数量能够能够达到一个什么样的一个数量等等，那通过这样的方式，然后让我们的整个安全建设能够被企业侧能够更容易去感知。

啊，那我这边的这个分享就到此结束啊，谢谢。好的，谢谢姚老师，非常啊师在非常干货的这个分享，那我这边也大概总结一下姚老师讲到的几个亮点，那首先呢，可能呃，就是就整个地产企业的这个安全建设而言，我们提出了这个idea的这个四个模型，安全能力建设的四个维度，分别是情报、攻防、管理和规划的这四个维度去下手做一些建设，然后第二个呢，是说我们呃整个呃，腾讯安全可以面向地产行业提提供的这个解决方案，有很多的这个场景，包括说这个地产生产的这个安全演练，包括说统一的安全运营指挥中心，包括说这种行业场景化的能力组建，以及说整个地产企业呃这种安全的底座和底层的这种建设，好的，那呃，再次感谢杨老师，杨老师呃，各位在在线的听众，如果说有什么问题的话，我们。

都可以在这个评论区留言，一会儿四点左右的的时间，我们会有这个QA的环节，那到时候我们的两位讲师会在线为大家解答，那接下来呢，我们就有请中海地产信息安全总监熊吞先生，从企业实践的视角来为我们做这个中海地产安全治理分享的主题演讲，有请熊老师。

好的，可以看到屏幕吗？可以的，好的，嗯，感谢主持人啊，感谢呢腾讯安全，嗯，因为刚才姚老师也做了一个精彩的分享，现在呢，我就介绍一下我们中海地产的一个新象实践，然后呢，我这边呢，主要是抛砖引玉啊，然后呢让大家来一起来分享一下我们整个的一些做的一个工作，刚才其实姚老师也说了很多地产方面的一些问题，包括一些建设的一一些思，其实我们呢，从我们整体来看呢，我们也是从一七年开始到现在呢，是大概五年多的时间也在做，一直在做安全建设这一块，我们呢，就是首先呢去分享一下我们这几年建设的一些经验，然后呢，也是说我们真的也是需要，我们呢也要借助外部的一些力量呢，然后共同的把这个安全建设好，首先呢，我们就说，呃，今天我是想分享啊，八个简的妙计吧，然后呢，第一个呢，就是我们是规划要明确，第二个呢，就是我们要获得一个高层的一些支持，哎，那个不好意思，打断一下那个熊老师，您的那个共享屏幕可能有一点问题，可能要重新再共享一下。

哦，好的，我共享一下啊。好的。嗯，可以啊。嗯哎，现在可以了，好您继续谢谢，嗯嗯，因为本身是这样的，就是我们目前呢，就是刚才说的分享八个简的妙计，那我们首先呢，大概来介绍一下呢，就是我们中华地产呢，大概的它是一个统一性开始建设性线下建设，那我们首先说第一个呢，就是我们的一个分享呢，就是说安全建设要有一个顶层的设计，这个呢要有一个统一明确的规划，就是首先是你想好要做什么，第一个就是安卓二级的安全需求，这个呢我们就是首先呢是对公司的高层，然后我们的部门业态也比较多，然后安全团队，那第一个呢，就是知道外部的威胁，然后呢，另外一个就是知道我们内部的一个希望和诉求是什么，第二个呢，要明确一个安全的目标，这个目标呢，一个要合理，也要清晰，要量化，而且那个要区分的中长期这个短期的目标，因为从地产行业其实做安全，其实刚才杨老师也讲了很多，就是我们没有太多的，现在越来越多的就是合规的一个要求，包括我们也参加互网，包括我们从一九年开始参加互网，这种需求还是很多的，然后建设的强度其实也挺大的，但是说你怎么个来。

来逐步的建设，然后呢要与投入资源要达成一致，然后呢安全规划，整体体系建设这一块主要是方向思啊，包括这些高层建设以及高层的支持等等，另外一个就是安全运营，我们这个要持续的一个可量化的，可视化的总结经验，然后这是我们比如说我们整个安全建设要有一个顶层设计，然后呢持续的一个持续的规划，那首先具体讲，我讲我们中海地产的。我们从一七年开始，其实我们跟呃高层做了一个汇报，就是汇报我们整个的一个安全的方针是什么，然后我的目标是什么，首先呢，因为我们有个目信下的目标呢是很明确，就是我们一七年开始进行了大规模的数字化转型，这个是所有地层都在做的，所以我们的目前安全的目标呢，肯定第一个就是为为公司的转型目标提供支撑，就是这么多信息化的一个转型过程中，我们一定要进行一个安全的一个提供一个安全的底座，另外一个呢，就是合规，比如说那个我等保，这个肯定是要要有个底线，就是确保核心数据的安全，自营合规。第三个呢，就是我们的防范，然我们不能够发生一些信件的事故，所以有了这些目标呢，我们就会分阶段，但是我们阶段也分了很多啊，从一七年开始，我们叫筑围墙阶段，那么就是我们的基础的建设阶段，叫快速止学，然后第二个呢，是一八年我们接建堡垒，第三个是一九年进管控，那么经过这个这个阶段之后呢，我们大概的是一九年之后呢，我们一九年之前呢，我们大概是把我们的一个基础的一个网络安全建设了，然后呢，正好呢，到了后二零年之后呢。

我们开始在做一些安全运营的主动防御，它是感知自主开发的这些一些一些这工作，那么这就是我们的从规划层面来说，是我们做的一些工作啊，这是我们我们阶梯性的，而且从今天看到的，我们基本是按照这个规划来一个阶段一个阶段来做啊。

第二个分享的就是我们第一个呢，要有高层，高层的高人援助和支持是关键，因为我们大家在地场要做安全的，他一定要有一个什么呢？就是公司高层要有一个安全观，然后呢有一个支持，因为否则的话，整体的这个是很难推动下去，另外一个呢，就是契合企业自身的业务的整体建设，安全的要有个规划，第三个要有一个专业团队，这些是都是必必不可少的，然后这块呢，我们首先要知道呢，就是说我们要跟高层啊，包括跟全体员工要灌输一下正常的安全观，就是安全的它是相对的，它是动态的，它不是说呃，我就一次性投入，或者是什么样的，然后呢，它需要有持续的，而且持续的之后呢，他还要有一个呢，它不是安全部门的事情，他可能是全公司啊，各个部门都要支持，所以就是说这种理念要把它贯彻下去，这种贯彻下去呢，才能够往后面推很多东西。然后呢，就以我们为例啊，其实这大家可以看到这个屏幕里面，就是左边的呢，是我们的，呃，网络案件之一，八年网络件中的一个，截一个照片啊，这个是这个在签字的是我们的董事长，是其实为什么说我们把这个图片放出来呢，就是说我们在我们的有些高层的高层的一个，呃，我们需要高层的站台，或者需要他们来支持，我们做一很多动作的时候呢，他不需要他们，呃太多的，只需要是比如说我们有一个细细节，比如说我们玩完点之后，这个时间我们就可能只搞了个签到，电子签到的一个环节，那么我们就邀请董事长来进行一个签字，这个也是一个安全周的文化宣传的工作，那右边呢，是我们在2020年，我们内部做了一个攻防演习的一个活动，那这个主持的呢，是我们的数字科技部两位李总。

那因为我们的数字刚才说的我们安全呢，主要是为了数字化转型服务，那我们数字化转型服务其实是一第一把手呢，是我们的李总，那我们首先就是说我们所有的安全工作呢，必须要李总来推动，但是这个推动呢，当时也要讲一些技巧，就比如说我们李总啊，他在我们的职能线，我就是我们的经常的部门例会或者什么的，他会都会把安全感放在第一位来来讲另外一个呢呢，也现在也把高度提到了什么呢？安全是安全生产，信息安全的，他也不是说完全是信息安全，它就是跟安全生产是一样的，因为地产行业有一点呢，就是安全生产是一个很重要的事，就是工地安全，包括工人的这种施工的安全是一个很重要的事，那我们把信息安全也提到，提到了一个安全生产的一个高度的呢，那大家重视度就高了啊，这个时以说我们说是在安全需要领导制的中呢，我们都是啊，在每个环节，每个会议或者是某一些正常逻辑上都需要他们来进行支持。

第三个呢，第三个我们的一个分享就是抓住主要矛盾，每年制定一个目标，逐步推进，因为刚才我们也说了，我们接了新的，就是我们有的时候呢，就不一定完全是说一蹴而就，就是我们能够达到很高的一个目标，然后我们就制定了一些小目标，你比如说一七年的时候，我们刚才说规划的时候也是快速治学，那这个是因为呢，我们本身有很多短板，这个也不是说我们跟金融行业肯定是有差距，我们首先重点抓的是你们账号账号安全。

就是离职成绩，我们当时也发现了很多离职都不关账号的都有，那那我们就做一些装修行动来做这个事情，包括我们的漏洞扫描的常态化，以及网络全周的培训，我们从一七年开始呢，接着开始叫我们叫中海地产的第一届网络安全周。然后一八年我们重点去抓地区公司，嗯，那么每年有一个重点，有个小目标，然后一九年我们主要是做我们的研发的担保安全这块的工作，从二零年开始呢，我们就作为情报的一个联动建设，然后呢，这就是我们的，呃，一个小经验，就是每年都要抓一个重点，然后呢，每年制定小目标。第四个呢，就是以专项行动为抓手促安全，就是安全怎么来做呢？就是有的时候刚才说的就是呃，我们讲一些大口号，或者上一些设备，上一些项目，这个都是可以的，就是比如说我们呃，有的时候呢，我们就揭势，比如说外部的安全事件，或者是说内部的一些呃线下的事件，我们把它的就做推转，用专业行动的方式来以着手来促安全，比如说我们的入口令整改计划，我们是有一次账号的金入事件，而且落的还是有一个新年事件，之后呢，我们推行了一个月的整改，那是在前集团都在进行一个这样的整改，然后周斯顿计划，周顿计划是我们有一次的一个一个项目的一个代号，我们其实是通过安全设备联络的，联络的一个行动，那这个计划呢，我们实施了之后，对我们的安安全也是有很大的提升的，然后呢，地区公司的巡检计划，这个就是季度巡检和专项行动，然后另外一个大家都知道，就是国家的付款行动，或者是攻防演习这一块，这个是重大保障，这个呢目前我们每年都要做一次。

这个行动呢，也是我们的一个专项行动的一个抓手，通过这个行动呢，我们是每年会把这个安全抓起来，然后呢，对前集团也好，对对公司的高层也好，都会有一些汇报总结，或者是一些实施推广的一个工作。

然后呢，第五个呢，就是我们的一个分享的，就是说要重视宣传工作，刚才说的我们就是说连续五年做的王江荆州的宣传活动，这个呃，第一个呢，就是我们宣传工作，你像我们以去年为例啊，我们每年其实都是高层在投入在做这个事情，比如说去年呢，我们就第一个呢，是说我们总裁是这有个致辞，然后呢，我们会开展百城联动共建安全的活动，我们因为中华地产整个的在国内的一个范围呢，大概是接近100多个城市都有，都有分支机构，然后呢，所以我们就开展了这么地区公司的一个宣传，由地区公司自己来组织，然后呢把宣传稿报上来，然后呢，我们对它进行一个相当于是什么呢？就是颁奖评选的这个活动啊，这么个操作。这个呢，就是我们认为宣传工作呢，他一定要做到，就是呃，上面我们最早呢，我们一定要开始总部直接来宣传，然后地区公司是被动接受，那么到了越来越到后面呢，我们总部就不怎么，呃，提供一些素材或者什么的，都是地区公司主动来提，地区公司主动来做一些他们的宣传工作，然后上报到总部来，那这么个动作就是说宣传工作呢，从上到下都贯通了。

然后呢，第六个分享呢，就是我们资产的梳理要细化与业务强结合，那这个的意思就是实际上是说啊，我们整个的做的资产，刚才说的对外的包案面也好，呃，资产的梳理也好，它它最终是要跟业务强结合，那结合呢，就是在我们的我们的板块里面，我们其实数字化底座有很多，然后呢也有中台，然后呢我们又有商业，要有专业的公司，还有一些地产信息化呢，其实从从研发产研啊，产业拿地，采购到工程到营销到客服这些系统，我们把它全归类，归类之后把系统所有的系统都摸清，摸清了之后呢，其实我们就能够做我们的很多的一个暴露面的梳理，然后呢资产的梳理，然后研发的一些审计，包括外部工链面的一些东西都能做啊，这个是我们做的，就是在攻防中呢，包括我们资产梳理要与业务相结合。

另外一个呢，第七个分享，我们是想说以攻促房，这是从对抗中来到到对抗中去啊，这个是这样的，就是我们首先呢，第一个呢，我们常态化的一个公换也行，我们内部的也其实也在做内部的呢，但是因为是呃，刚才也说的就是内部，我们其实从一九年开始参加一些演行，我们从每年会有这么个动作，那去年的时候呢，我们跟腾讯呢，是做了个叫巅峰对决和量对抗的一个上分对演的活动，这个呢，其实大家看到这个图也能看到，就是我们把这个活动呢，当做一个很很高的一个对我们工作中的是一个很重要的一个事情来做它，它不是一个简单的一个呃深度测试，或者叫宏观对抗，他是在宏观对抗上面哈，我们会更更高一层，其实我们看到的在这空间这个图，我们看到我们的全体的，呃，研发的叫it相关的同事呢，是全程旁听，然后呢，把这个工作，我们把这个整个沙盘对应工作呢，我们既是要把它完整整的做下来，另外一个呢，我们要要要用一种啊。

嗯。能够大家都能够听得懂的语言，把这个事情让大家都知道，都知道了之后呢，大家才能够知道，就是说这个事情是跟他们息息相关，然后我们研发同事也是认为呢，呃听完了之后呢，都是认为很受，就是说相对来说，呃得到很大的体一个体验，就是体验感非常强，我们对it的内部来说呢，就是这个上盘推演的这个工作啊，他是是一个真正找到差距整改的事情，因为我们一直在说，你说这有漏洞，那有漏洞，或者是攻防那种事情来说，他们都认为是外部的。你包括说，呃，外面的地产公司有什么信息安全事件，或者外面的金融行业什么信息事陷，可能大家都感觉不是那么深，但通过这种沙盘论演，我们就从it的角度来说呢，像我们it的人员都能看到，这个是真正的有一个差距，但我们这个沙门推演的整个整个的总结活动呢，我们是前集团都播放的啊，前集团都能看到，这个看到呢，就是前集团都能看到，就是说通过一个公司全公司来说，它是个真实事件的一个培训，它这它是线上说法的一个培训，那么就比我们普通的这种，嗯，与史相关的会更好，对公司领导来说，这个公司领导也是全程参与了，像我们李总连听了两两次呢，他他都是全程参与的，这个参与的就是说他整整个的外部视角看全益的安全，他会有一个整体的一个把握，就是整体的感官，对领导来说呢，它也是一个好事，就是说我们就说这块事情呢，就是以工作房要要要经常搞一这种的沙盘推演的这种来来促进我们的人体安全。

那第三第八个分享呢，我们就说接力不能不坚作战，这个是什指什么呢？就是第一个呢，就是我们整个信息安全这个团队啊，在我们地产业其实都是这样的，就是安全毕竟还是一个底座，或者是说一个数字化转型中的不可缺少的部分，但是呢，他需要借助一些外部的力量，借助外部的力量呢，就包括有这么多事情认这力量啊。

第一个我认为这是信息安件事件的驱动，这个就是外面的一个信息事件，这三个是很多的啊，很多就是包括外面的一些落索事件呢，或者是攻击事件啊等等，然后合规的驱动，就是网络减法，数据安全法都出来了，这个种这种这种这种外部的合规驱动呢，它是非常重，非常不适合推动我们安全的做一些事情的，那么在业务侧呢，我们认为要借助呢，人力，行政审计，对我们来说呢，我们会有这样的一些部门联合一切可联用的资源，就是内部来说呢，我们也不不存在是说我们就是这个就是安全部门的事，这可能需要行政啊，行政可能参会发文，或者是推动一些做事情，审计也是，那在研发侧呢，我们更加是这样的，经过我们研发侧，我们我们目前安全和研发呢，实际上还是深度融合的，这个深度融合呢，就是比如说我资产目的，刚才说的我们资产的这个这么多系统，我们接近100多个系统的这个我们资产摸底，漏洞的整改，这个全部需要研发测来来来来来发力的，就是我们不能够完全只是说安全部门，安全部门然后呢。

让你们去做这个事情啊，告诉你也不漏洞了，你赶紧改就完了，这个事情不行，就是应该跟研发做深入的一个结结合，然后供应商侧呢，我们要建立，就是说我们借助外部的厂商力量，像我们跟腾讯为什么合作呢？就是我们包括我们商品推员这块是从刚才说的，从高层到中基层，其实我们都能感受到外部大厂的力量呢，他能够帮你们做一些相关的力量，或者是说一些真正真正案件的一个事实的一个培训呢，让大家有体验感的来获得，知道安全是什么，我们怎么做安全，为什么要做安全这个事情。啊。那这个就是我们分享的一个总结啊，就是我们也是说信息安全是一般工程，就是还是要多多理念灌输，多去汇报信息安全的一个信息化的工作，然后呢，信息安全呢，也是一个全面战争，就是说一定要推多行专项的行动，就是我们跟全集团的说有个有个有个行动，然后呢，另外一个就是我们主主动边被动为主为主动这种方式，这种呢，就是说防卫未然，然后呢，信息安全呢，它还是还有一个呢，就他用它不可能一蹴而就，他永远在上，那我们要注重沟通协调，然后提升服务意度。

啊，我的分享就这些，谢谢大家。好的，感谢呃熊老师的演讲，呃，那熊我觉得熊老师的演讲可以看作是地产行业这个企业安全建设的一个图鉴，哈，的确这个呃，地产企业的安全建设并非是一蹴而就的事情，那从这个呃安全意识观念的这种建设，到安全专项实践的落地，然后到这种嗯真正安全体系的这种建设，是需要我们就是日积月累，由上至下，然后由外至内的去做这种观念的渗透和体系的建设，嗯，那接下来呢，呃就进入到了我们今天的这个QA环节，呃。

呃，我们在线的各位朋友如果说有问题的话，可以在这个留言区提问，然后我们的嘉宾会在现场做解答。然后我们大概稍等一分钟的时间，等我的小助手收集一下这个问题。嗯，好的，我呃我这边有收到一个问题是呃就是想问这个熊总，就是呃中海地产就是在当前这种疫情的环境下，是如何平衡安全建设的这个投入和呃真正就是安全呃这种呃产品或者说建设落地的这个问题。

嗯，是这样，因为疫情其实对整个的安全其实挑战还是挺大的。对吧，就是呃，目前我们来看呢，就是呃，整个的这个疫情下面呢，我们这个远程办公，包括我们的一些协同嘛，这个都发生了的变化，然后然后呢，我们的业务系统的一个开放性也更大了，因为我们很多业务系统其实都开在互联网上，让大家的访问，这个安全的压力也更大了，我们目前呢是这样的，其实也是朝着网络安全和数据安全两条腿在走，然后呢，在在投入方面呢，其实我们觉得爆法没有太多的那个，我们投入一直在增长的，在安全方面投入，然后呢，我不知道您这个问题主要是想关注哪哪几个方面呢？

主任诶好，呃可能可能呃就是这位我这位听众，他可能我认为他可能想关注的是说这个成本，呃就是说可能现在因为大家这个经济形势的问题吧，然后这个成本的这个投入，呃可能是大家面临的一个比较大的一个困难，然后但是这里我觉得就是结合刚刚呃，呃熊总的这个演讲，可能说这种。安全意就是公司内部安全意识上的这种下上传下达可能是比较关键的一个，呃，一件事情，所以就是如果说熊老师在这方面还有一些就是呃，怎样的办法，我觉得可以就是再分享一下。啊，像我理解啊，就是您说的刚才这个问题可能是这个两个方面，就是在降本增效，因为我们降本增效是我们在疫情之后呢，积累一个主流，但降本特效其实我们很多是可以用数字化的手段来来做的，数字方法反手段呢反而是一个降本特效好手段，但数字化呢，它一定要跟安全配合的，比如说我们的远程办公，我们远程办公一定要开放，但这个时候远程办公我们怎么才能够远程办公更安全，其实我们也之前也用了腾讯的联系任的方案在测试，也在用这个方案，其实这个就是整体的，这个呢，我们并不会说因为安全它增加的成本，这个安全网反而会减少我们的很多成本，比如说我们的现在的差旅系统也上线了，我们很多差旅系统的，其实都是线上，之前的差旅呢，可能每年的费用都很高，然后我们现在线上了之后呢，我们反而会降本，降本的之后呢，他必须要靠安全的，相应的要提供一些底座，然后呢在高层公司高层那个这个宣贯方面的，就像上你刚才也说的，就是公司高层的一定他的意识。

他是肯定是本身呢，它是会有一些安全的意识的，然后呢，我们整个的安全工作一定要有一些量化的数据给他汇报，汇报完了之后呢，他们非知道呢，这个通过安全的是要持续的呃介入，像我们从我们的经验来看呢，我们的公司高层呢，他对安全还是很重视，然后呢，他也是经常会看一些安全的数据报表，之后呢，他也会不停的一个投入，它会有一个投入的一个呃思维，就是说因为安全的它虽然是一种成本的投入啊，但是他还是更大可能他能看到一些看不见的一个价值，这样的话呢，就都是数字化转型政过程，他不可缺少的，所以他这种成本是可以接受的，也是会逐步的滚动。

呃，并增加的啊。好的，谢谢熊老师，呃，也希望就是我们熊老师的解答有解答到我们这位听众的问题，呃，然后另外还有一个问题是，呃，这个腾讯安全的姚老师，就是企业，企业在搭建这个安全体系的过程中，最关键的一个动作或者说举措是什么？

喂，可以听到吗？可以的，OKOK，好的，呃，我认为可能就是，呃，第一有几个方面啊，因为这个东西就是要做好安全，它本身其实不是一个点的问题，所以可能就是说至少可能得从几个点来去去考考量和一个统筹啊，首先第一个就是怎么样去做好一个安全的一个顶层的一个一个规划和设计，这个本身就像刚才熊总这边也提到的，一定是有一个自上而下的这么一个传递啊，才能去把这个高，或者说这个顶层这个框架把它去搭建好，然后其次就是说，因为可能安每个行业它对于安全的诉求其实是不一样的。有些行业它会更聚焦于数据安全，有些行业会更聚焦于它的一些技术安全等等，所以其实我们具体的这个安全能力的建设，包括安全组件的一个落地，还是得去结合业务实际的这个诉求，一定要去从实际出发来去做一些安全范围的这个建设和落地，这样才能够去确保到我们这个安全建设是能够它的价值是能够被感知，能够看得见的。

好的，谢谢，谢谢梁老师，嗯，那如果说评论区大家没有其他的问题的话，我们今天的第一期呃，这个安全地产系列的沙龙就到此结束了，那接下来我们会陆续的推出，呃呃可能一共八期的这个，呃地产行业的这个直播，那里面可能会更加拆分这个安全建设的各呃各类场景和各类细项的呃一些方案，那也请大家关注我们这个腾讯智慧，呃智慧地产的这个公众号，包括腾讯安全的这个公众号的动态，我们会在上面去更新我们的直播信息，然然后今天再次感谢我们两位老师线上非常干货非常精彩的分享，也感谢我们各位听众的时间，那我们今天的直播就到此结束了，谢谢大家。