《安全大讲堂》2022产业趋势洞察：网络安全的下一个十年原创

嗯，尊敬的各位老师，各位嘉宾，各位同学，大家好，我是主持人，来自腾讯安全云顶实验室的李斌，在过去的两年里，从2020年到2021年，由腾讯安全出品的安全大讲堂课程到现在已经两岁了。嗯，在过去两年呢，针对行业热点，我们持续的发生，从不同的维度进行相关的技术解读。回想起各位优秀讲师在直播课程时的真知灼见，想必很多的同学还记忆犹新。接下来呢，我们先通过一段视频来回顾一下讲师们为我们带来了哪些精彩的瞬间，好，请导播帮我们切换视频。

谢谢。Ah，今年的疫情嘛，导致产生大量的远程办公的这种需求，更是导致了这个零星的技础，然间就分发出来了，那零星任实际上他的理念是他不信任，然后一直去验证零信任，我前面其实也提到了一些，就是从默认的策略到默认的允许策略的这种理念的改变，第先任就是这种理念的一个落地吧，它实际上就是持续的收集你用户的信息，包括了的一些就说用户的信息，运行环境的信息，地理位信息，行为信息，然后构建一些情境，然后呢它呢，假设你的这个用户已经出问题，这已经被黑掉了，任何东西都是。

不可靠的，然后我就根据你的这些各种各样的这些信息吧，然后不停的来持续的风险的这种监控，持续的认证，实际上它是从网络层开始做，然后包括了网络，包括了系统，包括工作空间，包括了APP服务等等所有的信息，他把这些信息统一的进行收据，来进行一个持续的一个控制。明信人模型这两年也是特别火的一个概念，这个呢，其实是源自于攻击者呢，很大可能会通过后后来的身份来去进行攻击，不管是渗透了某个终端，拿到了某个人的用户名口令，然后呢，他是伪装成这样一个可信的人，可信的设备进入到一个网络中，然后再去做，这个时候呢，就是那你只能推翻这个假设，然这个假设是因为设备是不可靠的，你也可能会被渗透，就等等这样的事情，所以用叫永远不信任时刻去进行验证，有机会能够去发现更多的这个安全的这个功击灵，信任的概念其实非常非趁的一个概念，这这个针对于你如果站在攻防的角度来说，是它是正好站在工具者所要用的这个方法的这个便利面来做的，只是呢零信任其实在。

我不想在实际在变成产品去进行实质的时候，我们就各自有各自的这个路子，我个人的观点，实际上年轻人不是特别适合小型的公司做，它也不适合偏向于硬件的这种网络安全厂商做，实际上它很适合这种，一种是产品线比较长的这种厂商，它什么东西都有，另一部分它也很适合这个有互互联网公司的这种云的基础设施啊，尤其是它有这个用户啊，很多的云端的这种数据，然后可以用于做这个用户的这个风险的分析，那这个我认为还是比较适合大厂和互联网公司来做的，随着我们这个网络空间，数值空间，我们这个触及的范围越来越大。

你会发现我们的这个网络也在被攻击者利用它，并它的攻击目标不是你的网络，但是它利用你的网络去做事情，比如说我们现在公安系统的这个反电诈，就是那那些人，他攻击的其实并不是你的网络系统，那些人犯罪分子他就是利用这个网络来进行敲诈勒索、诈骗等等，那么这就是一个机遇的概念，所以这个机遇和面向两者汇聚起来，我们网络安全的这个概念也在在扩大，非常困难，为什么呢？就是你可以把一些资源准备好，流量给调度好，但是安全设备本身是非常烦的事情，它的部署模式配置很繁琐，这是自身。另外呢，攻击者呢，都可以找到各种各样的方式去绕过你，因为网络攻防是一个开放的空间，难实现标准化、统一化，这这就是为什么安全难做的原因，其实就是说如果从创新和做产品的角度啊，能做的事情其实特别多，很多很多很新的概念，在网络，在以前的一个新的概念，可能要。

五年到十年才会被大家所广泛的接受，而从这几年的情况来看，一个新的概念可能两三年啊就会进入主流市场，比如说呃，我们，然后呃几年前的威胁情报，比如说这个零卸任啊，大家可以看到很快很快的就呃普遍产生了普遍的需求啊，并且产生比较大的一些这个规模了啊，所以网络安全的领域的技术，其实它的更新迭代啊，也是前所未有的快，现实情况呢，其实就像说咱们的这个其他实验室的这样的这种战果一样的，如果水平足够高的高手去进行攻击，这都没有目标拿不下来，非常残酷的一个一个现实，这种你有这个防病毒特征，咱们有各种各样的这个免杀的套件，也有ookie等等这种东西，你有这个签名库，然后呢，我用0J，你到哪去签名去，还有你又防我的墙，OK，那我就找这个，然后呢，发票邮件让你的人自己主动的去，我不是直接打进你的网络，而且访问别的东西的时候呢，OK，我让他叫到陷阱里，还有你用砂箱，砂箱逃逸技术，也就是各种各样的新型的这个攻击手段，除此之外还有很很多很三体的这样的这种。

对吧，如果说以前VM以新拟机为代表的云计算是1.0，那么云先生是呃属于二到2.0的一个时代，因为它本上解决的一个问题，第一个整个行业的对于云的这种关注点，我们从资源层面，我们从传统it对吧，搬迁到云上来，呃，特别是呃，从我们腾讯云这边是应该是深有感知的，我们的浩浩荡荡的这种搬迁工程逐步的已经完成了，就是说我们该上已经上了，上的可能短期内也也不会走的太快啊。第二个就是我们从资源往上走，就要到S向pass转变，对吧，二个是以自从资源然后到应用这样一个转变，这我认为是2.0的这样一个典型的一个代表，能够呃进一步的解耦，比如说我们现在就是说就组建这种组件化，模块化去做封装，而我们能够屏蔽比较底层虚拟化，这种差异就是原生带来的一个价值，那它的普适性。

为了这个云数质融化发展提供了一个重要的这样一个支撑，我们向下对吧，可以作为这个可以有效打通底层的基础设施，而且是一个基础设施，所以呃，对于云约生的新环境的安全对策有几点，一个是安全控制到左移，第二个呢，是说在运行时我们要关注一些不变的东西，但是变化最大不变，但是我们要关注一些不变的持久化的东西。还有呢，呃，一些业务和行为，这些是不变的，就像勒搜软件，虽然说整个文件啊，这种特征会变，但是它其实总会给大量的文件加密，删文件，这个行为是不变的，所以通过行为我可以找到一些异常。最后我们要关注的是业务风险，解决客户的真实问题，而不是一些简单的基础设施问题，不能去搞定业务安全，这是一个非常重要的点。

在这个技术领域里面，它的这个生态是不是完善，是不是健康，我们知道就是原生的生态，不管是国内还是国外，其实它的开源社区的生态，我觉得一直是非常繁荣的，包括包括K8S的啊，这么就是非常的这个成功，甚至说我们原生的方方面面，其实可以看到我们这个云生整个的生态环境是非常良好的，我们做了一个统计啊，就是啊，国内外啊和国内主要应用的一些呃，云生产品和服务，单独统计了一下，我们按照这个去一些分析，原生从底层技术到应编排到原生应用，我们统计了一下国内和国外，然后有一些特别突出的一些国内开源，或者国内主导的一些开源项目，原生应用编排的大概是207个项目，以成存储的技术为51个原生应用33个原生安全技术的是28个，原生监测分析的是32个，可以看到在开源社区里面这样的繁荣度啊，其实我觉得就是对于这个原生未来的一个技术路线的。

签定合规性要求呢，也是一个很重要的点，但然前几年还没有那么明确，但是像去年的云担保，基本上就把云应该去怎么做也写的非常清楚，大家知道这个公安全或者信息安全最大的市场推动力就是合规性，那么云登报出来之后呢，这话应该会往前去推，我当年也参与了阿里他们写这个云登报，这基本上是面向虚拟化去做的，那么现在容器环境，云乐生环境，你怎么去实现登保的，我觉得还是相对来说比较开放的一个问题，那总体来说，我们这个合规性要求应该是赶不上这个技术的一个发展，是非常有意思的一个特点。

其实在国家层面呢，这对于我们整个的这个安全信息化之间的这种关系呢，也做了一个明确的指示，这是法律法规啊，因为其实在做规划的时候啊，还要考虑到很多因素的啊，刚才讲的其实技术方面是一方面，还要考虑要满足国家法律法规的要求，如果你是政府啊，或者央企，他可能还要承接国家的一些战略，整个这些要求呢，也要融入到规划的这个需求当中。为什么探讨这个话题的时候，我们的法律、合规、技术、安全、科技等等小伙伴们大家聚集一谈，有这么多来自不同部门和不同背景的同事在讨论这个问题，而且这个其实对我们各方都提出了一个很高的要求，学法律或者合规的同事可能不得不面临一些技术，一些特殊用语和一些标准的讨论，然后我们做技术做安全的小伙伴也会发现，你所做的已经不是一个纯粹技术，纯粹安全，在你以前非常舒适的领域所从适的工作涉及到这么多的。

法律相关的内容，那么这个要求我们其实必须同时跨越两个语词系统，就是在法律合规和我们的技术安全等等，你一直在这两个领域都必须略知一二。大家好，欢迎大家相约，嗯，安全讲堂开年盛典，我是主持人，来自腾讯安全云顶实验室的李斌，由腾讯安全出品的安全大讲堂课程到今天呢已经是第三个年头了，回想和同学们一起学习的日子历历在目，因为疫情的影响，在这次呢开年盛典活动我们在线上举办，同时呢我们邀约了往期的优秀讲师返场，来帮我们一起分析行业现状，共化安全未来。在我们上万名学员的投票中，我们评选出了2021年度的四位优秀讲师，也是今天的返场大咖，接下来呢，请允许我为大家隆重介绍。

他们分别是。北京爱网CEO曾长飞老师，中国中国信息通讯研究院云大所云计算部副主任陈一丽老师，注氏咨询创始人兼总经理李少鹏老师。北京赛博英杰科技有限公司创始人谭晓生老师。

恭喜四位老师，然后相信细心的小伙伴们已经注意到了，嘉宾中还有一位神秘来宾，他就是来自腾讯安全云顶实验室的负责人董志强KK，嗯，下面呢，有请有请KK老师为我们安全大讲堂致辞，欢迎KK。现在可以了是吧，嗯。大家好，那个我是云顶实验室的董志强，欢迎大家来到安全大讲堂这样一个开年活动中来。

嗯，也特别感谢刚才四位资深的。安全专家给我们带来了呃今天的这样一个知识分享，呃今天的四位嘉宾会围绕着网络安全产业的历史沿革和趋势判断，分享他们的这个安全观点和经验，呃相信大家听完之后啊，会对我们这个行业从哪里来，到哪里去，呃，包括现在处在一个什么样的位置，会有一个呃更清晰的了解和判断。嗯，我们从。二零年开始发起安全大讲堂，其实到目前为止，嗯计邀请了13位行业里面的资深专家来做客嗯开讲他们的一些知知识和经验，然从数据上看呢，到目前为止，差不多有1万名左右的人员参与到了安全大讲堂的历史课程中来，然后比较活跃的也有3000位同学，从过去的这个分享，我们从调研数据上来看呢，普遍还是能获得学员的一致好评，然后呢，安全大讲堂其实在过去是面向腾讯内部的一个分享活动，因为我们团队呃云顶实验室在负责腾讯云的平台安全和租户的这样一个安全体系的建设工作，那么云计算行业其实在早期啊，是有很多国外的案例可以参考的，但是随着产业数字化呢，它慢慢进入到一个深水区域，它慢慢的需求与产业的结合更深，我们也发现了云，云上的安全需求其实呈现了一个多样化。

这么一种特性，无论是需求的还是需求本身，整个行业都面临一些过去没有没有见过的问题。怎么样来解决这些问题，其实是没有特别成熟的案例，需要我们在工作中去思考，去实践和论证的。然后最早发起这个嗯大讲堂，其实也是出于自身的业务发展的诉求，希望可以促成我们内部人员在知识结构、视野上的一些转变。

从实际效果上来说呢，呃，安全大讲堂过去的这13位讲师，确实给我们在安全研究和团队视野上提供了很多帮助，然后我也看到了，其实也影响到了很多腾讯公司内部的这样对安全有兴趣的，这样从业者也好，爱好者也好，包括运维啊这样一些人员，大家都有很多收获，然后呢，现在我希感受到说安全大讲堂已经成长为一个开放性的知识交流平台。所以我们也希望把。它能够向行业开放嘛，为行业提供一个知识交流的平台，这样的话呢，也能为整个行业发展带来一些积极的呃影响。啊，二二年的时候呢，我们将继续以月度为单位，然后呢，持续要求行业里的专家聚焦，聚焦我们前沿的安全技术，分享热点话题。嗯。

从这个技术的趋势和实践的案例上呢，希望给大家带来更多精彩的内容，也最后还是再次感谢今天几位嘉宾，大家也可以持续的关注我们后续的活动。谢谢大家。好的，感谢KK，嗯，正如KK所说呢，相信未来安全大讲堂一定会成为一个开放性的安全知识交流平台，给大家持续带来更多前沿性的热点话题，同时呢，也欢迎大家持续关注我们后续的课程，为了大家更好的进行交流，在本次活动的最后我们设置了一个圆桌问答的环节，所以呢在老师分享老师们分享的过程中，如果同学们有关于任何相关的技术问题和探讨，都可以在直播间进行留言，我们也将抽取几位幸运同学的问题，在最后呢请老师们线上进行解答。嗯，相信大家也已经迫不及待的想听，想开始老师们的分享，接下来我们就首先有请北京拍网软件CEO孙朝辉老师为大家带来本次共话安全未来的第一个议题，网络大数据分析发展趋势，有请孙老师。

啊，大家啊，谢谢斌总和K总的介绍啊，这个讲实话，这个今天请我来，我有点惶恐，因为当初上一次讲的时候，呃，我就跟K总交流过，我说嗯，我们可能更多的是站在网络在看安全，所以并不是在网在在这个安全的本身，所以这个这次那个K总又要求我来这个返场讲这个大数据分析，所以这个题目可能我是这么觉得，就是讲的可能。有点大，这题目起的有点大，而且其实核心的内容在咱们那个呃，大讲堂的上期课程里头，其实都已经讲过了，那我今天就按照那个K总和斌总这个安排呢，我觉得我把这个返场，或者是说我认为当前相对比较重要的这个呃一个点，或者是说当时这个课后有一些同学在那个留言里头给我问了一些问题，我来解释给大家听那。

啊，这个介绍就先过去了，那我我我简单介绍一下我这对这个事儿的一个基本的观点，就为什么说我说我是站在网络来看这个，看这个安全，就是说呃，我们从网络的角度看呢，就是说咱们做安全的公司，或者是说一些这个专家吧，研究流量可能更更多的集中于我目前到的这个红色的这个这个几个类型，比如说像远程控制邮件TP啊，隧道DNS这些协议，但是这些协议呢，在我们其实去观察这个网络厂商，观察这个咱们这个整个的互联网的时候呢，它大概相当于网络当中大概40%左右的流量。在P盛行的下部，这里就是我不能不说在这个业界其实一直有一个概念，就是我看现在提的也比较多了，就是所谓的全流量，那动不动就说我这个设备是全流量的，这个我这个分析方案是全流量的，比如说我们现在也是开始感知平台，那也是全流量的，那呃，我觉得今天既然这个题目叫未来十年嘛，我我我我觉得我在这里切一下这个题，斌总提的这个题，就是说这个题我觉得应该是讲述在未来十年里头，我们真正要关注网络分析的安全部分，应该更多的关注真正的全流量啊，这里我觉得给大家一个提示，呃，在我心目中，也就是说，他不是说光把全流量注入到一台分析设备，或者是一个分析引擎，而确确实实是这个分析设备或者分析引擎要关注这个流量的全部，每一帧，每一个绘画，每一个数据包。

那呃，我在这里呢，我就给大家指示一下，这个当时在这个这个大讲堂的课程里头讲的这个，当时很多人事后问我这个问题，说这个已知中寻找异常和未知中排除正常，到底是怎么回事，那为什么刚才讲到全流量呢？就是在这个已知中寻找异常啊，是咱们这个安全公司或者是安全的解决方案里头特别多的一个部分，比如说呃，我这个ids的告警，比如说我wa的一个告警，或者我扫描器扫到了某一个漏洞，那在这个已知中寻找。

异常做的是特别多的，但是在这个位置中排除正常这步是做的特别少，那为什么为什么这么说呢？就是说因为有特别多的网络流量会被我们的这各种识别引擎所剔除出来，剔除出来之后在这个未知中寻找这个正常的部分，也就是说排除这些。已知的应用对你这个安全的干扰，这个部分我觉得是在我看来，咱们现在所有的这个安全解决方案里头做的特别的少，其实零信任本质上来讲，我觉得它实际上以这种做exception的exception的一个一个逻辑，那在这种位置中排除正常的时候，就特别需要跟这种就是零信任的概念去结合，那这里我觉得我列我当时就列举了三种啊，就是比如说小众协议啊，已知协议的这种漏识别，以及广泛使用的非正常协议，其实昨天我注意到那个C发了一个有关这个，呃，有关这个就是叫叫black，叫black Mo，好像black Mo起名字叫black Mo的这个新的攻击，我就是注意了他的这个对他其中的这个流量的描述，比如说它的下载地址，它的这个正常的这个。

这个这个下载的地址和它c two的地址，但是这些部分呢，我们看了一下我们的这个设备识别，其实它都是已知协议，但是我们在中间确实看到了它跟c two之间的一部分通信，指向了某一个目标IP的时候，它这个流量就被我们的引擎识别为未识别，那如果是按照咱们大讲堂上讲的这个课题当中，就是说如果我们对这个未知数进行正常排除这个逻辑进行充分的。分析的话，其实是可以比较比较快的找出这个black Mo的那个CTO通信的，那这个其实就是我觉得可以结合昨天具体的这一个，就C测的发的这个这个通告，我觉得是讲一下这个位置中排除正常的例子，那我今天呢，我觉得更多的我想就是举一个例子吧，举一个大的例子就是IDC。

I，这个是我们现在做网络安全呢，我觉得比较关注的一个场景，就是我们作为设备厂商，现在有些就说的这个网络设备，比如说像我们find位自己的这种设备，其实现在在网络当中面临的经常就是已经慢慢的无处可接了，为什么呢？因为云变得很强大，端变得很强大，这个我们在日常的跟咱们安全的一些专家交流的时候也发现这个问题，就是说更多的时候我们要去做这个分析的时候，要看你的检测点放在哪。那我们现在就觉得说IDC的这个出口将来是我们做这个分析的重点，所以我在这里举了一个例子，那我们的这个例子呢，刚才一直在说正常和异常，所以我在这里就给大家看了一个，说这个典型的IDC流量模型是什么样子，那下面两条就是业务流向从外到内，下行远远小于上行，这个当然是你看你站在内看外，还是看站在里外看里了，那我这里更多的说的是站在IDC看外面那。

这个时候也就是说我们正常定定义了一个所谓的正常的模型，那我们在看说在观察这一个正常的模型的时候，一个IDC的不同的人员对这件事有多大的。多大的这个多大的这个这个注注重点，那比如说我们IDC的运营人员，他可能关注的是什么呢？比如说IDC当中，比如说我们交交付了腾讯的视频会议业务，交付了腾讯的QQ业务，那业务是哪里呢？比如说我广东那个IDC可能覆覆盖了华南地区，那典型的运营人员还特别关心DNS，说你DNS有没有异常，那安全部门，比如说咱们这个云顶实验室去分析的时候，可能会关注说，哎，你这个业务是不是都是合规的，是不是有这种黄赌毒业务，有没有远程控制异常隧道啊，这些业务那有没有安全风险啊，这是合规，咱们安全部门关注的，那运维人员就是说对这个IDC日常运维人员，他可能关注的是说这个质量差不差，如何定位啊，这个差要不要做分析？

那这是一个正常的情况，那我反过来就开始举，咱们现在最近可能咱们做安全的，呃，这个同事和同学们有很多的这个感受，就是说不停的在被要求去查挖矿，那查挖矿其实这个IDC这个例子里头是非常多的啊，就是我们其实也帮很多IDC去处理，这里头其实就是两点，第一个就是大家常提的，就是在咱们大讲堂里那个，嗯，金祥宇老师那可也提过这个业起报的问题，第二种就是我说的这种全流量识别，那这里头呢，我觉得比如说这个威胁情报的部分，那我们也跟业内的厂家去探讨过，比如说我们可以用DNS的流量，用DNS里内置威胁情报去判断这个虚拟货币，那还有一种就是说，就是我刚才讲的说，我是不是能够从原来我们认为它是正常的流量中去去排除呢？因为这里有一个有一个时间点的问题，就是说我们在没有排查，没有排查，或者说没有这个要求。

大家之前那这个虚拟货币的流量，其实已经被我们大量的认为是正常的流量，而在IDC中存在了，那这个时候突然有一个时刻之后说从今天十点之后，我们所有的货币流量都要拿出来看，那对不起，他可能隐藏了，或者是说呃，采取了某种措施做穿透了，你看不到它，那你过去的这个流量，为什么我一直提这个全流量呢？你过去的日志里头有没有记录下你这个IDC当中有一些IP地址，它曾经出现过这种虚拟货币的流量，那你有没有对这些会话做记录，这个时候其实就是考察的我们一直强调的这个什么，就是全流量的这种全溯源能力的匹配，那如果是你有这个匹配能力，那你是可以非常轻松的在这个IDC出口溯源到这个虚拟货币曾经在你这个IDC的某一些IP地址，某一些主机上做了。通信，那如果没有，他可能已经做了隐藏，你这个时候就看不到，所以这个我觉得是这是一个典型的就是已知中寻找，寻找异常啊。

那第二种，第二种的这种，第二种的这个例子呢，就是说在IDC当中，其实嗯，刚才说的这个虚拟货币，现在有很多人也已经开始做这种隐藏了啊，做这种隐藏，那他们所常用的是在IDC当中做什么呢？就是做这种隧道，做这种隧道，那这种隧道呢，有两种，一种是说，呃，讲讲讲简单，就是两个IDC之间搭一个隐蔽的通信隧道，或者是说甚至有人管它叫多云互联啊，搭一个隧道，比如说典型的IPC那个隧道，LTP的隧道维查啊，甚至是一个私有协议，那这些东西怎么在这里头能够发现出来，而且指出他在这里头是不是对你的安全有威胁啊，比如说现在有很多的这种超算，他会会用FRP啊，这个有很多的这个朋友在让我帮他去查这个FRP的时候，那就是FRP一样的，也其实是一种隐蔽的隧道，那典型的比如说这里给大家图上放的这个就是叫行为分析法，行为分析法是什么呢？就是说它的线索其实非常的简单，就是去往国外。

未置协议，而且经常会使用已知协议的这个伪造的固定域名啊，我就见过这个国际方向上有很多的这个域名，比如说诶我我我我看到他一个客户端到一个服务器端频繁的在在启用什么呢？就是不停的在访问3w.ibm.com但是你其实去DNS上去N一下，你发现他这个目标I任何up d。那这这是典型的什么东西，就是就是这个对技术比较熟悉的同学肯定就知道了，就是就是典型的利用微托瑞平台伪装了一个这个3W协议啊在其中。穿透了这个用用IBM的这个域名做穿透的一个隧道，那这种就是典型的就是未知中排除正常，就是说我我我要找到里面的的这个正常的协议，同时找到里面这个呃，正常的这个流量，那我把我要把它中间的这种异常的隧道从里头找出来，那这个时候其实是需要什么呢？就是对它建模。

啊，就最大建模，然后要要找出来最后的证据，当然这个是不能单独靠，不能单独靠我说的这个说，比如说我光靠这个应用识别来来，就是所谓的网络大数据本身来定论，最后你其实还是要看端上的东西，也就是说拿到它那个IP的主机侧的东西啊，进去进去排查。那判断思路二就是这个叫呃，目的筛选法，目的筛选法，其实这个也简单啊，就是。就是这里给大家举了个例子啊，这个图上的这个，嗯，IP地址我都马赛克过了啊，图上这个这个这个文字中的马马赛克过了，但图上没得及处理，大家就看一下就好了，就是说穿透的最终目的，这个无非就是说一个是说是国外的一些服务器，还有一个就是说比如说我两个内外，就是安全的这个内外，内外不同的防御的region之间，那我这里就举了一个国外的，那就是说比如说去往国外的啊，Top目标，然后非常用端口，这个是我们排除这个东西的时候特别典型的一个筛选方法，这里就给大家举了一个例子，就是我们在这个排查，这个在日常的排查当中曾经发发现过这个事情，就是比如说我内网的一台这个6.236的这个机器，和外网的一个二六点二零的机器。

频繁的做这个1888，这个这个端口的这个通信，而且这个流量呢，我们把它识别为是未知的，就是这个就是未知中排除正常，那那这个1888是不是它是正常流量的，那其实还有一个办法，就是说你看它是不是对国内的更多的更多的IP地址进行了更多的异常通信，更多的异常通信，那这个，而且这个通信呢，就是，呃，这个有有很多同学在那个课程之后私信问我说这里头是不是有什么规律，或者人工智能，刚才说的那个人工智能能不能帮上忙，这里，呃，我自己感觉就是这里头其实是有一些数据嗅觉的问题，就是当有经验的同学看到这个底下这张右下角这张表的时候，他能够从里头秀出来，说这个绘画是不是有问题的，大家可以看，这是比较典型的，就是上行流量特别小，下行流量特别大，而且在不同的绘画上做均一分布，这个东西是是。

就是语言上非常好描述，但是如果是用数学方法去描述的话，其实非常的困难，就非常的困难，那我们这里就举了一个例子啊，举了一个例子。那最终的这个结果呢，就是判定的这个异常隧道的这个判定结果呢，就是什么东西呢？就是其实我们最后是落实了这个服务器的情况呢，它其实是用他自己的一个私有协议，搭了一个跟国外的，跟国外的这种区块链的服务器之间的一个私有的一个一个一个一个区，一个遍布世界的隧道，那最后把这个东西拿出来了，但是这个二六点二零呢，就最早被我们发现的这个二六点二零呢，它是一个呃目标隧道的节点，那目标隧道的节点其实呃，就回到我刚才说为什么要今天举IDC这个例子啊，这两个例子其实我已经讲完了，这两个例子呢，根本的原因就是回到我刚才的那句话，就是正常中寻找异常和异常中排除正常，那这个二六点二零其实是在这些众多的未知当中被我们发现出来的一个非正常的，那我们已经把其他的排除掉了，那比如说p two p的识别特别容易出现这种，你看起来好像是未知，但它其实流量特别短促，不是这种，不是这种搭建的隧道啊，这个是是一个例子。

那我就回到我最早的那个讲题的那个部分，那这个实际上是，呃，是我对这个网络大数据分析，就是今天这个话题叫叫未来十年嘛，那如果是说未来十年的话，我觉得在在在这个十年前前半夜，就是说我们未来的三到四年之间，我觉得还是要更多的重视这个统计中间表，就是各种统计中间表，比如说对这个CNX协议SNP啊，DNSNP啊，啊包括这个，包括这个最近就是像昨天，呃就有就有那个朋友和这个友商来找到我说啊有没有一兴趣一起分析一下这个俄乌之间这个比如说乌克兰方向对我们的这个流量的这个统计，那这些统计其实非常的容易，昨天我们看了一下，就是我我反正是在今天讲之前，我没有看到有有人去去发布这样的信息，说其实在在在在俄罗斯动手的前一个小时到。

到之后的一个小时，一个半小时，两个半小时之中，乌克兰方向对中国所有的扫描全部都停掉了，我们也好奇当时到底发生了什么事情，你我觉得这个就是有两种结果，那一种结果是说，比如说俄罗斯的地道S可能攻击了这个乌克兰的基础设施，让他在这前后一两个小时之内，整个流量对外是阻塞的，那还有一种可能性是说他乌克兰为了为了自己调整自己的网络，自己的网络基础设施发生了变化，但是我们在这边通过这个统计中间表，非常容易的看到了这个现象，说在日常，因为乌克兰那个方向对咱们国内其实是有大量的这种扫描蠕虫存在，那ma skin这种东西在那边部署的非常多，那我们能够看到很多这样的流量，那还有一个表，我觉得像比如说昨天我们跟I pip.ne的那个高春辉讨论这个这个乌克兰方向流量的时候，也说到了这件事情，说呃，我们就发现其中有一些。

特别高的流量，对国内的扫描强度特别大的流量，被很多的IP地址库标识为是乌克兰方向的流量，但是真正的真正的我们去核了一下，发现这些地址都在最近的几个月里头，它的国籍和属性都发生了改变，这个是我让我们觉得特别诧异的说中间有很多的地址，其实在很多的地址库里都标识它，包括胡子里头都标识它是乌克兰方向的流量，但是最近确实他们整断整断的迁出了乌克兰，然后又在别的地方，而且这些地址对全世界在发起扫描，我们其实不太好定性，这个从政治和军事上它是一个什么角色，但是我们从这种统计中间表上会特别明确的看到，说我们这个流量在这个这个时刻，在这个时刻点，前后两个小时之内发生了特别大的变化啊。

啊，那这些东西我觉得本质上是不需要什么人工智能的，就是说我们其实是用确定性的这种规则是可以描述的啊，确定性规则可以描述的，那如果回到我们这个大的题目上，就是说我认为就是说人工智能在这种就是网络大数据处理，不是说这种识别本身啊，网络大数据处理上，我觉得在未来我们看到的三到四年里，可能更多的还是这种各种能够概括网络基本属性的一些统计中间表的建立，而这些这些东西呢，都属于这种多项式的确定性规则，它不是多项式的非确定性规则，所以我觉得这部分人工智能还帮不上什么忙那。就切题一下，原来之前的这个这个这个讲座的内容，就是我觉得在网络里头，在域名，Uri和这个三个方向上是有人工智能的这种这种这种。发挥的这个空间，比如说像左下角那个三维的那个分类，那个无监督的分类图像，这个中间讲到的这个M1M2和M6这三个模型，其实在我在讲课的时候，其实已经很详细的描述了，因为今天时间非常有限，我就不重复了，但是这个部分呢，我觉得是是是我个人啊，这这这个不能说是代表，代表有很高的高度，就是代表我个人说一个啊，从网络看安全的这个这个厂家，或者是说这个这方面的一个老兵吧，呃，跟大家给给大家的一点，这个我个人的观点好吧。

行，我今天返场的部分就讲这么多，谢谢大家啊。呃，感谢朝老师精彩演讲，嗯，同学们如果呢，对老师分享的内容有感兴趣的问题，可以直接在直呃直播间进行留言，后面呢，我们会抽取问题进行解答，下面呢，让我们欢迎中国信通院云大所云计生部副主任陈毅利老师为我们带来云原生安全发展现状与趋势分析。嗯，由于陈老师呢，今天临时有重要的事务外出办公，所以很遗憾没没办法参加我们这次的线上活动，所以呢，他通过录播的形式为我们带来他的分享，请导播帮我们切换陈老师的分享视频。

啊，大家好，我是中国信通院陈伊丽，嗯，非常荣幸参加今天的安全大讲堂，那么今天的分享主题是原生安全状和趋势分析。呃，以上是我的个人介绍吧，然后我本人从事这个云计算相关的研究吧。也是近几年，然后针对这个新的安全形态吧，做了一些相相应的研究。嗯，主要目前呢，主要工作集中在原生这一块，所以我们今天安全的这个。这个话题也是跟原生相关。那首先呢，我们看一下，就是为什么会提出来云原生安全这个话题。

那首先呢，就在这个。呃，目前整个云计算，然后普遍采纳之后呢，原生技术是被企业广泛的接受和认可。嗯，它的一个最大的一个核心价值，其实是加速或者是提升了云计算的这样一个应用效能。么云约生，它本身带来这样的一个极弹性的能力和服务，呃，资质的故障自愈的能力，还有一个大规模的复制能力，能够提升企业的这个基础设施的这个生产力，能大幅提升应用迭代速度。嗯，同时呢，是能够很好的去响应到业务需求。呃，原生技术现在已经广泛进入了生产环境。那从我们的这个调查的这个数据来看，那么原生的技术价值更多体现在比如说对于呃，它的一个开放架构啊，利于系统功能的扩展。

啊，大大简化了运维系统。嗯，还要提升了交付效率，嗯，那么弹用伸缩的效率也是非常明显的一个提升。最重要的是一个降本增效，就是能够降低的啊，节约成本。那么原生技术，呃，现在从容器微服务我们可以看到，就是接近30%的用户啊，都已经在生产环境有应用，那么容器呢，是在呃，超过60%以上的用户，现在生产环境有应用。那么微服务架构作为呃，当前的一个啊，应用的一个主流的这样一个架构形态，那80%已经计划或者已经使用为服务。所以就是原生技术已经成为企业啊，技术架构的一个主流的一个方案吧。那另外一个就是原生技术的一个普及啊，和用的加深啊，其实在这个企业上云中啊，安全是最大的一个顾虑吧。

呃，从呃以往的这个报告里面可以看到有安全的连续从两年成为企业用户的这个最大顾虑，那221年的话是近七成的用户。担心在生态环境中规模用于原始技术的安全性。那么。呃，随后是一些，呃，什么门槛啊，技术门槛啊，还有这个整合能力啊，包括迁移啊。啊，另外一个就是容器和微辅安全。是企业目前来说在原生领域核心的或者是突出的这样的一个安全问题。对于容器的逃逸啊，微服务的API的安全，还有集群的这个入侵，嗯，镜像投毒东西向移动这样的一些安全。呃，我们连连续也是做了相应的这个调查报告。呃，可以看到就是说用户对于云原生啊架构的这种安全还是有非常大的一个顾虑。

那么我们知道就是原生技术架构，它代表一系列的一些新技术，比如说这个容器的编排，微服架构，还有编技础设施，哦，生命是API。啊，包括这个IC啊，CCD。那么云原生的安全风险呢？主要包含就是云原生基础架构自身的一些安全风险，以及呃，上层的进行云化改造，就是新增和扩大的这种安全风险。那比如说就是在这个啊，就是云云原生技术环境里，能在构建部署和运行中产生一些安全的风险啊色的话就是像计算模型和平台有一些新的这种安全威胁。微服务的话，像服务拆分这种度的这种微服务之后呢。东西向的流量的显著增加被引入的应用的风险。呃，还有一个就是devup实像研发运营这些攻击链，我们在研发运营的过程中，呃，也会加入一些新的安全隐患。

另外一个就是在云原生的技术架构里，尤其是以K8S这种。呃，为生态的，呃这样的构建的一个体系吧，那么API是呃，越来越多的，或者说是成几何倍增的这样的一个增加。那么API的爆发式增长也增加了一些滥用的风险，包括一些权限的风险。嗯，首先是从啊，因为原生整个是以容器为底座吧，或者是以容器为基础。呃，容器的这种啊，应用来说也是比较广泛。那从我们构建部署到运行，整个涉及到整个运营的全生命周期来讲，我们认为可能是原生，比如说网络安全的话，就会增加东西向流量的后方。嗯，怎么避开传统的这个南北向的这种网防护，表现在比如说这个。

现在防治啊，访问控制的这个力度，过初网络分离的管控是不合理的。另外一个在编排和编排它组建的这样安全风险就本身自身，呃，在原生领域大量引入了一些，比如说开源的，或者说一些第三方的这样一些组件。啊，它本身的编程工具是分啊，自身是否有漏洞，是否有一些不安全的配置。包括不同安全级别的这种容器混合的部署啊，编排资源的这个设置的啊，使用的不设限，包括一些资源层面或者是控策略的，当都会引来一些新的安全问题。那核心的就是跟容器比较相关的，就是容器运营时的这这个风险那都知道，就是像容器它是采用了这个，呃，共享的一个共享内核的一个机制啊。所以这个提升了啊，是在一定程度上吧，就是提升了这个逃逸风险概率和影响范围。

嗯，另外一个就是在镜像，其实镜像就是作为我们的这个一个，嗯，我们的叫制品库也好，或者说我们的一个就是一个基础的运营环境也好啊，镜像的这个安全可能包含本身软件的漏洞，还有配置的缺陷。然后更可能是这个来源的这个不可信，以及这个资源仓库自身的漏洞。管理的问题，另外一个就是镜像过去的这个通道不安全。呃，另外一个就是在微服务，微服务我们知道从一个呃大型的这样的一个应用系统拆分成不同的这样的一个服务之后呢，它本身这个调用链变得更加复杂，架构也变得更加复杂。呃，这中间的这个，第一个可能导致这个供给面的一个增大，第二个是。

服务之间的这个调用和防控制，会带来一些越权的这样的一个风险，第三个是本身微服务治理框架漏洞会引入风险，那我们现在主流的必须像spring cloud double，或者说是task啊，包括TF这些。啊，都会有一些这样不同的这个技术站，呃，那么引入这样的一个治理框架啊，也会啊，增加一些安全不可预知的这种安全的一些。风险点吧。所以也需要我们针对性的去做一些防护。啊，另外一个的呃，灵活性啊，它是带来了一些模型平台的一些管控的风险。呃，首先我们知道就是更多是以这个bus和BUS2种形态。一个function啊，FUNCTION1种是这样back呃两种，目前我们大呃更多讨论的是function这种形态的本身就是从一个啊应用到再切分到一个这样的一个函数级的，其实它的影响面积呃也也会呃在一定程度上会增加。

嗯，因为呃，所有这个应用打散之后，我们像拼积木一样，对吧，每个模块可能都会带来一定的这样的一些安全问题，它会影响一个就有一个叫雪崩效应。那对于service的安全风险，其实主要包括两点，一个是应用程序本身固有的这个安全风险，因为理顺来讲就是没有就是百分百这个安全的这个代码程序，我们的我们的应用程序都会。呃，有啊，不可预期的这种办，第二个是service本身的模型，然后平台自身的这种安全风险，也会会给用户带来一些不确定性。呃，戴boss啊，我们在提倡就是boss什么就是开发运营一体化啊，那在这个过程中呢。呃，我们认为是一种，主要是过程安全，那么戴老师倡导的理念是追求这个敏捷。

啊快速啊快速迭代，包括他这个就开发和运营之间的协同。第二个是流程风险，咱在这个管理过程中啊，就是哪些环节是在开发侧，哪些环节是在这个测试啊，部署运营侧，都会引入相应的这个风险。第三个就是这个权限的划分，因为他的角色啊，对他的这个权限的这样一个，呃，啊，合理的配置也是非常的关键。第四个呢是devil整个在啊这个工击链中可能会引入相应的公安呃开源组件，呃，还有一些第三方的这种开源组件，嗯，都会，他的一些安全漏洞也是需要我们去重视和关注。那API刚才其实已经也提到了，就是说的这种爆发式的这种增长，那会包括这种调用的异常的频繁，都会带来一些这种比如说道攻击啊，或者为被授权的访问啊，包，甚至包括一些数据泄露的风险。

那从呃，从国内外来看，原生安全的这样一个一个视角来看啊，就是呃，像国外已经像CNCF，它在就是近两年吧，也把这个安全作为一个很重要的一个板块。然后去啊，广泛的吸收了一些啊一些产品和项目。呃，同时呢，新CF也发布了云生安全的白皮书，从这个全生命周期的这个角度提出一个安全防护的思。呃，另外一个就是在在呃政策层面，比如说这个美国的这个MIS，然后发布了这个标准。呃，容器安全指南也是啊，就是阐述了，就是容器相关的这些安全问题，这个。

为这个规划实施和维护容器时解决这些问题提出了一些建议。呃，那同时像美国联邦政府和这个一个管理计划发布了容器漏洞扫描的要求，要求联邦机构全部合规的满足。嗯，第二个呢，就是原生安全的这个国内的一些情况啊，就是呃，现在我们看国内的一些嗯，阵营安全的云，原生安全的一些阵营，主要集中在头部云。部的云服务商，还有一些传统的安全企业，还有新兴的安全企业。嗯嗯。主要这几类吧，然后我我相信随着这个生态的逐步完善吧，越来越多的企业加入进来，第二个是这个用户的，从用户来看，安全能力的建设需求比较旺盛。大部分企业已经认识到运输安全的能建设到一个重要性。

呃，近基层的这个企业计划在未来一年内能够提升自身在原生环境的这个安全能力。嗯，从这个技术产业和标准化来说，那国内可能是，呃，相当于我们信通院做的啊，也做了很多的这样的一些工作吧。呃，从新能源这个，呃牵头的这个云原生产业联盟，我们单独设立了云原生安全的工作组，另外一个就是我们去，呃去年也发布了这个。原生架构安全白皮书，那标准标准这一块的话，我们做了两两个吧，第一个是基于容器的这个安全。第二个是这个生能力程度，单独有一个这样的，就架构安全的这样一个分支啊。嗯。那么本身这个原生安全，我们认为应该遵循的一个设计理念是啊，包括跟现在就是比较呃热的一个几个点啊，第一个就是呃是零信任。那丁信任这个是，呃，它是一个比较，也是比较也是一个理念吧，就是。

是个假设，我们这个环境能随时存在攻击，不能存在任何的这样的隐形的信任，就是我，就是处处校验吧，大概是这样一个理念。啊，第二个是安全主义，就是我们在设计安全的这样的一个规划的同时，我们要把安全的能力就是在提前去做一些。呃，啊考量啊，包括这个安全的如何安全开发啊，安全的这个。供应链还有这个镜像和镜像仓库这一系列的这样一个，呃。防护的一些措施。那第三个是就是我们呃，如何持续的监控和响应，其实这个就是我们的新的一个安全模式，我们要求从原有的这种被动转为主动，呃从静态转为动态，能够持续的去监控人生的各个环节。比如说网络的活动层，还有端端点层，包括系统交互层，然后建立这样的一个相应的一个呃防护机制。

能够快速的做出啊，有效的处理和分析。那第三个是工在第四个是工作负载的可观的性，那么我们也知道就是。嗯，现在就可观性是比较火的一个一个支持，那么通过可视化的工具能够发现和技术记录的我们原生架构里面的这样的一个应用的行为，能够清晰观察到服务之间的这样一个调用关系，呃，可以说是为我们的原生架构提供一个这样的一个诊断的一个一个。能力吧。呃，我们，呃，目前来看，从的一些研究，我们做了这样一个安全的一个防护体系，业界里面的HTCK这样的一个防护模型啊，还是有一些差异，呃，当然就是这个。人生安全整个的防护体系还在不断的成熟和演变，呃，我们也希望能够广泛的和业界一起去啊，开展联合的这样一个研究工作。

那最后呢，是我们整个原生安全城市的一个模型，那么整个模型是分为。啊，五个级别按照c mi的这种模式，然后针对呃，不同的这样的一个系统或者说是平台去提出一些能力上的一些要求。啊，并并能够诊断出来，就是我们现现有的在生安全所处的这样一个位置。啊，它包含了六大项和四个理念啊中就是能够覆盖这个技础设施的安全啊，计算环境的安全，还有研发运行的安全，包括安全数据安全，还有啊安全运维的整个全链全生命周期的。安全防护能力。啊，最后看一下这个整体的一个趋势啊，我们认为从早期的这个原生安全，从早期的容器安全，其实开始向整个原生安全体系化的这样一个扩展啊，我们不仅仅聚焦于呃，容器安全们微服S，甚至这个develop啊，Develops或者说是我们其他的未来还有一些新的这样一些技术形态的出现，我们都要去关注啊，云原生整个体系带来的所有的安全问题。

另外一个就是安全技术的这个主导力量是从单边走向多元合作，怎么理解呢？就是说啊与运输安全啊，作为一个相对来说比较新的这样的安全形态，呃，和传统的这个安全还是有本质上的一个区分的。那么云原生安全需要就是技术和安全啊，云原生技术或者是说是我们的呃，通用技术和安全技术的一个跨界融合，未来可能是完全可能更更多是作为一种服务。嗯，所以呢，我觉得就是说我们未来是云厂商，安全厂商，还有一些呃，创业公司或者是初创企业啊，可能都会就是加入到这个阵营当中。

嗯，第三个是产品形态，从这个粗暴上面转向这个和平台的应用融合，那以前的这个安全形态无非是这个，呃，硬件设备搞一些啊，软硬结合啊，未来安全的产品，我们可能认为它和啊云原生平台或者云平台之间，包括我们的。呃一些呃，云产品云服务都会进一步的融合，这样能够提供一个这样的一个叫什么，就深度的这样一个安全的沉浸式的这种安全的产品。能够实时的去呃把我呃就对我们的应用进行全呃全站式的或者是一体化的这种呃安全防护。那最后呢，是这个生安全开启了这个服务化，轻量化的这样一个设计理念，呃安全整个设计理念是从呃以人为中心转向以服务为中心，那我们原来都是按照角色，按照呃按照这个策略，对吧，我们是安全的防护，按照不同的角色啊，那比如说这个呃按照分工嘛。

啊，去这个做这个相应的这种分工和这种啊及时的想处理，那么未来可能我们是这个安全是以服务为中心的构建起来的，比如说以容器安全防护手段，或者是实时监控的响应模型。可视化平台和一站式的这样的安全运营，那么将成为云原生安全防护的主流方案，另外一个就是安全落地方案会未来走向轻量化，敏捷化，精细化，那随着容器的这样一个啊逐步的采纳就是。那么它本身这个环境本来变得越来越复杂。第二个是。啊，运行的这个啊，周期是越来越短，那么要求我们安全方案的这个，呃，反应是必须足够的啊，就是快速啊。

精准。这样。嗯，说我们及时发现这个容器的这个启动，能够密切跟踪容器的行为，并在发现是。而一场是能够迅速做出处理。另外一个就是这个云生提供的这种服务的力度越来越细，那相应的安全方案的防护力度也需要也需要越来越细啊，比如说我们现在用微服务，或者说我们用麦C啊，可能是我们要呃和这个应用进行深度的这样的一个一个跟踪或者是诊断，能够做出快速的响应。好，我今天的分享就到这里啊，感谢大家。感谢陈一丽老师的精彩分享，下一位为我们分享的是李少鹏老师，由于他的行程问题呢，今天李少鹏老师也没办法来到现场进行现场的交流，但是李老师呢，根据本次活动的这个内容，录制了一份精彩的分享视频，欢迎士咨询创始人兼总经理李少鹏老师为我们的为我们大家带来主题中国网络安全产业发展趋势。

好，请导播帮我切换李少鹏老师的分享。大家好，我是术士咨询创始人李少鹏。腾讯的安全的各位小伙伴们，我们又见面了，那么上次呢，我在我的大讲堂的里面讲了一些网络安全产业的具体的发展呀，它的脉络呀，它的历史，那么今天呢，我来根据这些产业上的内容，讲一些提炼出来的观点。呃，首先呢，我这个演讲是分为四个部分，那么我我对自己做一个简单的介绍，呃，相信大家也好，同学就比较了解我，嗯，术士咨询呢，是一个网络安全行业，或者我们管它叫做一个数字安全这个时代的这样的一个第三方的调研机构，那么它主要的目的就是通过了解这个市场和产业，给我们整个安全的产业模型家底，同时呢，也为用户和和乙方，或者我们称甲方乙方，哎，做好第三方的工作，这里面可能包括了这个写一些标准啦，写一些指南呢，或者是贡献一些智库和咨询顾问方面的一些工作内容，这就是舒适咨询的这样的一个工作定位，那么我呢，是这个舒适咨询的创始人，目前也兼了总经理。

好，那我第一个演讲目录呢，就是。我们会发现网络安全这个产业，它的第一驱动力其实是国家驱动啊，或者极端一点，我们叫合规驱动，政策启动，这是是是怎么来的呢？我们先看这个网络安全它的这个历史的发展规律，从90年代我们提出来计算机安全，我们看左左边的这一栏，九四年公安部写出的这个计算机安全的保护条例，那么一直到了2003年信息安全。

27号文叫做把信息安全上升为国家战略，然后同时零七年也出了这个信息安全等级保护啊，这是我们定义的信息安全时代，然后但到了2014年习总书记挂帅网络安全小组组长定义的这个没有网络安全就没有国家安全的这个理念啊，后来又出了网络安全法，同时登报2.0也变成了网络安全等级保护，不像呃2000年，嗯，那个时代的时候是信息安全等级保护，那么网络安全它这三个时代，计算机安全，信息安全和网络安全，我们再看它的市场的这个份额。二零从90年代一直到2014年的大概25年左右的时间里，这个市场一共才100多亿。啊，100当时统计的是134亿，不到一一百五十亿，那么从一四年底一直到2020年底，这六年的时间里，这个市场就到了770亿，也就是说这六年发展时间的这个这个市场份额是过去20多年的四倍，那你就会看到，不管是公安部出的这个条例，还是这国家，这国务国务委员这个信息化工作小组出的这个27号文，还是习总书记提倡的这个网络安全，就是国家安全的这个这个这个道，它都是国家政策在强烈的驱动这个这个产业，所以呢。

那我就提出来第一个观点啊，我们今天演讲的第一个观点就是合规永远是安全的第一驱动力。这个那这个其实还可以从一个日常生活当中的例子来。呃，来解释一下啊，呃，我举一个特别通俗的，我现在有一个在前门开了一家茶馆，咖啡馆，或者是叫我叫王安小酒馆，嗯，那这个小酒馆它。要开下来这个小酒馆，他必须得办三种证，这三种证都是事关安全的，一个是食品安全。

那这个药食药监证，那这个证怎么着呢？至少我的那个洗手池，洗水池我得是五个，他洗水果的和洗洗洗杯子的都不能是洗杯具的，都不能是一个一个池子，一共有五个池子，那好还有消防安全，消防安全我有五个这个灭火器，那这个灭火器呢，如果我不配备的话。那我是拿不到消防证的，那还我还有七个摄像头，那这是派出所前面大街派出所要求的，就这三个证，其实都是我开这个网安酒馆必必备的，那OK，如果不是因为这三个证的话，我可能就。不是必备的话，那可能我就不会去花钱去做这样的一个一个配备，那这就是合规要求，那为什么它会有这个合规要求，因为它是安全，我们的网络安全也不例外，安全是一个特殊的行业，是一个特种行业，因为当你发生了安全问题，你影响的不仅仅是你自己。我们开车如果不安全的话，我可能创造行人，我的消防安全做的不好的话，不仅仅是我着火是吧，我周围的商家也会受到影响，我的食品要不安全的话，那我没事儿，但是我的顾客会会有危害，那公安也是一样，你有摄像头会抓犯罪啊，去去做一些案件的这样这方面的解决，所以安全是个特殊的行业，那这种特殊的行业一定是国家安全是第一驱动力，当然我们也不能否否认就是我们实际的需求，比如说我就是一个电电子商务电商，那如果我真的呃被低到了，或者是我我我我被薅羊毛了，我的损失会很大，那这也是它的一个真实的需求，但是在安全这个永远国家安全，政治驱动，合规是第一驱动力，就是因为安全的特殊属性啊，这是我提出来的第一个观点。

那么第二个呢，我们就谈刚才讲计算机安全，信息安全和网络安全，那未来呢，我们认为就是一个数字世界的安全，那数字世界的安全我们我们就可以简称为数字安全。

那OK，我们过去是讲可能好多有有呃，有有点这个it经历的人都知道，我们过去看的有一有一本杂志叫做计算机世界，那那到后来呢，我们又有杂志叫做网络世界，那现现在我们开始进入到数字世界的时代，那OK，那数字世界和网络世界它最大的区别是什么呢？我们术士咨询认为，那么数字世界和网络世界最大的区别就是万物互联和大数据的区别，有有些人就会想，哎，网络世界难道没有万物互联吗？就没有数据吗？没有这些结构化非结构化，电子数据嘛，有是有，但是它的地位是不一样的，我们看这个克强总理的这段话，呃，短短的这六七十个字啊，提到了八个数字。那么。数字化的世界。数字中国最能驱动。这个数字中国和数字经济的是谁？是数据，所以国务院把数据定义为第五大生产要素，前四，前四大我们应该耳熟能详了，这是这个世界经济文明发展的一个人类的共识，像资本、科技、人力和土地这四大资源，但是最新的这个，其实全世界的政府都得到共识，说这个数据是第五大生产要素，那好了，那也就是说数字世界里面，它的价值发挥是由数据来释放的。

那这个时候你想，如果我们要想用数据来释放价值，如果我们我们不万物互联，怎么有这些数据呢？啊，所以万物互联是基础。这就是数字世界和网络世界的区别，网络世界里面万物互联，呃，没有万物互联，网络世界世界里面只讲究为了信息化改造，人与人的互联，人与机器的互联，生产工具的互联，那这个数时候产生的数据，它是一种固定资产，或者是珍贵的保贵资产，我们要保护这些资产的时候，就需要在层层的加密啊，紧锁啊，不让别人访问到。但是在数据时代，在数字世界，你数据是要流动释放价值的，所以这个时候数据它带释放的价值是主要的，而网网络的这个连接只是一个基础。

不是主要的，所以呢，在数字世界里，网络连接是基础数据才代表的真正的应用价值，这是与网络世界不同，网络世界主要是之前的网络世界，主要是为了连接，能能与人之间能能交互，能能与生产工工具交互，去控控制生产。好，那我们看数字世界的安全叫数数据数字安全，刚才讲数字世界是万物互联和大数据，那OK，那数字安全呢，就是网络安全加数据安全，我们我们也知道这两部大法都出来，2017年是吧，网络安全法，那么2021年的数数据安全法都出来了，那网络安全和数据安全既是有重叠交叉之处，也有自己不同的各自的领域，那这两个统称起来，我认为它会构造出来一个数字安全的概念，那在今年的九暂的世界互联网大会上。习近平书总书记也发过来贺信，那这贺信里面就明确要求筑牢数字安全屏障，这也是国家第一次在这么高的层面上把数字安全这四个字提提倡出来。

同样啊，11份2021年的11暂网信办也发布了一个提高这个数字素养的这样的一个行动纲要，其中第六条就是要提高数字安全的保护能力啊，这也是呃，网信办首次提数字安全的这个概念。好，讲完这些时代，我们再看看看另外一个，呃，一个一个金句啊，或者是说一个我们数士咨询提出来的一个一个观点，呃，我们认为网络安全行业是没有寡头的啊，只有诸侯这个寡头就是说呃一家不大，二八法则，或者呃两家三家就把这个市场的80%大部分市场就拿到了，但是但是我们看这网络现在市场十亿元以上的有16家，占47%，那么呃一亿元以上的400多家，占11%，所以他就你会看到它是一个明显的碎片化的，我们可以有区域上的巨头，比如说。呃，在在在南方或者在某个某个省份城市啊，华中华南等等这些地区，它会有一一些网络安全公司的比较大啊，占占占用那种，呃。

带有这种特别大的统治地位的这种公司也是有的，但是它只能在某个区域，同样在某个行业，比如说在保密，在公安，在我们大用户等等，可能会有一些大型用户，有一些运营商啊等等这些会有一些做的不错的公司，但是他在整个行业，全行业，全区域，它是做不到这种这种。呃，一家独大的，甚至两家独大也也是几乎是不可能的，那这个其实是有网络安全的，它的那种服务本质，它的这个商业本质，它的对抗本质等等去去决定了这个我在第一次大讲堂呢讲也讲到这些本质了，大家可以看第一次大讲堂的内容，那四个本质其实就决定了网络安全，它就是个碎片化的这样的一个行业，那我们把它精炼一下，就叫做这个市场的格局，就是没有寡头，只有诸侯。啊，但是也有一些不良现象，不良现象是什么呢？有一些大厂，那么他的资源比较丰厚，他为了卡位，为了占先，先把用户粘住，他就会低价竞标，那同样呢，它有庞大的资源，他就会用。

很高的这种薪水去挖人啊，那所以呢，这个这这种他利用资源的这种商业竞争行为，这个也应该是合法的，并不是不合法，但是他客观上就会造成一些中小企业，一些创新企业很难很难出现，或者生存空间有限，这也是我们其实应该值得整个业内警醒的这样的一个事情，就我们是否。我们是不是应该不应该去做一些垄断性的行为，我们去做做一些良性的竞争，共同把网络安全行业去它的创新环境打造好，其实未来的这个发展，我们整个行业都好了，我们大家才能好，大河有水，小河才能不干。好，再看好多人都在提网络安全，说确认确认啊，什么甚至150万的都喊出来了，那么我们术士咨询认为我们网络安全行业确认是个伪命题。

因为什么叫缺人？缺人就是我钱字多的不行，没人来挣。但实际上是我们这个行业市场太小，钱少人不来，而我我们知道这个这个网络安全行业有几个大牛，像TK啊，元哥这也都在我们腾讯安全，都在腾讯那这种年薪都上千万级的这种这种这种人物。首先他没有在没有在安全厂商，第二呢，那这种人在哪个行业也是稀缺的啊，你比如说我们网络安全这种这种招标性的行业，你就夕阳行业，在在落后的传统行业，那种高高端人才永远是稀缺的，不管是在任何行业，嗯，但是在我们网络安全人，我曾经做过这个网络安全人才的这个就业培训，但我发现在网网络网络安全企业输送人才的时候，他们都看不上那些简简单单的就是王伦全毕业的人，他们一定要一定的从业经验，他们不愿意花一一年或者两年这样的时间再去培养一个人，最后才能成为合格的人。因此最后你把人才给他对接的时候，你会发现他还是不需要那些普通的人，他要的还是比较有经验，或者比较水平比较高的人。

呃，这个这个不仅仅是从我观察到的现象，其实我们统计行业里面这些统计数字也可以看出来，我们现在的一年不到800亿的收入，然后12万的从业者，其实每个人的人均年产值也就是65万到70万左右，我们网络全行业的毛利率还是很高的，那刨去按70%来说，刨去70%劳动利率还剩40多万，再刨去人员工资二十来万，再刨去销售成本，运营成本，我们满打满算，一个人纯能挣的钱，能给企业带来的纯利润是5万。要知道在大型这个这个攻防演练的活动期间，嗯。一个人的这个每每天的这个收入都可以都可以给到1万的，如果你一个员工一年才能挣5万，你怎么可能再去招人呢？比如说比如说我们缺150万人了，我们这个行业瞬间C进一万人，谁也养不起了。

因此呢，我觉得网络安全行业还是这个人才的问题，是缺乏高端人才，我们真正这个行业规模还是够太小，水平还是不够，如果它真正的几千亿上万亿这样的一个基础性的国民经济基础支撑行业的话。啊，那那个时候才才能谈到这个啊，我们缺多少人多少人，那现在其实根本远没到这个时候，现在才700多亿12万人啊，就这样的一个现状，我们也知道好多上市公司是亏钱的，为什么呢？就是因为他他他他弄了好多的人，那经营成本不断的在提高，但实际上因为没有钱挣，所以他它利润还很低，甚至是负的啊这所以我认为缺钱才是真相啊，缺人是个伪命题，这个可能这个观点就比较比较犀利直接，可能会受到好多这个人的反对啊，但是这确确实实我们的观点啊，那如果有其他的困点，可以可以联系我，或者公开，或者私下咱们都可以去去商讨这件事情，辩论才会出真知是么，真知的会才会对这个国家，对这个行业呢，有更好的这种正向的作用。

OK，我们再来看看资本，那资本我们也总结了一个九字的这个方针，我管它叫做呃，多赛道，长持有和共成长这样的一个九字方针，那多赛道是什么意思呢？网络安全是个阶梯状的市场，这也是舒适咨询首首次提出来的，我们并不是说非那些高端的那些so啊，攻心，攻击模拟啊等等，攻击面收敛啊，这些新型的这种人工智能技术，我们还缺少的是最基础的防火墙，可能真正的这种呃，杀毒软件，好的杀毒引擎，我们现在好多普通的这种中小企业，机构啊，组织啊都没有配备，所以好多网络安全市场它是个空白的一个市场，因此我们不不仅需要高端的这种信息科技啊，网络安全那种人工智能技术，我们也需要最基础的，我们想老三样，不管是安全网关，防火墙、ids，还是呃防病毒，我们这种意识基础的采购基限都没有到呢。所以对于投资者来说，他不。

并非盯着那种隐私计算高大上的这种这种东西去走，其实完全是可以投入一些，投一些传统型的，所谓传统型的安全安全赛道上的，但是这个其实也有证明啊，我们的统计你看防火墙这种很老的东西，它的它的增长也将近20%的啊，这这种增长也在一个一个这个过百亿几百亿的行业也是比较罕见的，It行业肯定到不了这么多了。好，这是多赛道城市又是什么意思呢？网络安全它是个To B业务，尤其是安全这种，它它的增长是比较缓慢的，一个上市公司可能得至少经历十年左右的时间啊，那那在这样的情况下，如果你的基金今年买，明年初就会为了早点并购，早点上市，这个现想法是不现实的，也是不健康的，所以如果你的基金得有五年以上的持有，持有期啊，这个退出期，这个时候对企业和对这个你的基金本身的健康的运转也是稳定有序的，虽然我们的网络安全。

案子小啊，市场小，然后发展速度很，嗯，很比较缓慢啊，但是实际上我们还是比较稳健的，因为你很少听到说哪个网安企业今天倒闭，明天倒闭了，是吧，这个是非常罕见的，那个你要在互联网行业，可能十家的有九家半倒闭的，九家倒闭的，那那但是你要是在这种To B服务的网络安全企业，你会发现成立一家公司，他一直活着，他可能没有很好的大的发展，但是他还能活着，所以我我就我认为资本应该长持有，共成长是什么意思呢？共成长就是你不要投完钱你你就走，你不是说你投了钱之后回来你割韭菜，虽然资本的这个这个本质有点这样，但实际上我们一定要做好投后，这个投后不仅仅是我在董事会给你出点决策，甚至有的，呃，企业家他是不希望这个资本去过多的参与他的决策的，但是我们可以帮助他，比如说你可以帮他，他缺用户保，帮他找用户，他缺渠道，帮他找缺渠道，他缺乏管理经验，缺乏创业经验，你帮他做做好这些方面的事情，甚至他缺什么人才，我们。

利用我们现有资源去帮助他来共同的完成这个，呃，资本和和这个对投企业的双双赢，管它叫共成长，这也就是我对网络安全的这个九字的这个方针。OK，那我们最最后再看看网络安全的终局会走向什么样子，那我的判断就是走向国有，走向医疗。什么意思呢？呃，我们这样去讲啊，现在有一家医院啊，我们把这个医院就当成是一个网络安全公司，嗯，那么给这个医院提供药品的是药厂给他提供设备的，像CT啊，这个核磁共振呀啊，这个B超啊等等，就是还有什么静脉的这滴管啊等等，这些东西是属于医疗器械和医疗设备的，那这个属于帮络安全厂商，那医师呢，开处方的。呃，给你看病的，问诊的，还有给你做做手术的，这就属于安全人员，分析师，或者是还有运维人员啊，那些做疗养的，做护士啊等等，这是人是做服务的，那医院它会有一个平台，把所有的这些药品啊，检测工具，流程啊打通，让一个人能够完善的看病，那这三三种就是平台，然后工具、药品，再加上这个人，那这三种就合成了我们现在安全运营的概念，那么我认为网络安全未来所所有的这个搞业务的就会形成这种分化，有的是专门药厂生产药的，有的专门医疗医疗工具生产工具的，有的是做平台的，做这个医院平台的，有的就成为一个大的医院，有的是做安抚的，综合起来就是一个这个医疗行业的意思，那么我们我们会看到医院是不是有个很典型的区别，就是国有和民营啊，你看是不是国有医院特别多，私营医院特别少，私营医院特豪华，但是它收费特别贵，人也少。

但是由于医疗健康是关系国计民生的大事情，同样网络安全安全也是关系国计民生的大事情，不管是消防安全啊，还还是交通安全，还是我们的网络安全，那都是关系关系国计民生的，所以我认为未来这种国有化的医院会会出现，那这个国有化医院会是谁呢？你比如说像国资委这些机构啊，什么或者是国企央企，中电子，中电科，甚至是运营商啊，你我们知道。

我们所有的东西都在骨干网上，都在网络，其实没有比运营商更适合做做安全的，只不过他他是用户，他不是这个提供方，因此他会有一些思维上的转变啊，所以呢，我就认为网络安全未来的终局是会医院化，医疗化，哎也那医院同样有专科医院，像阜外啊安贞专门看这种心血管的，心脏血管的，然我们有专门看飞机情报，专门做主机安全的等等这些专科性的医院，专门看流量的，也有综合性的医院，像像这种像起安心，360这种，他们什么东西都都综合起来去做啊，也会有国有院，国有医院我认为是未来啊，现在现在其实这个趋势已经有了，好多上市公司都有国有股份了。

呃，然后呢，还会分重点行业和科技行业，因为重关系国计民生的这些关键信息基础设施，这些行业，他们他们这个实力是非常雄厚的，那么他们为了更好的保护自己，那他也会自己去建立这个意这个这个这个这个网络安全团队，因有点像呃电电力系统它是不是有电力医院，铁道系统是不是有铁路医院，它也有自己的自己的医院，自己的网络安全公司，同样那科技企业啊，大型的像我们腾讯啊，像像华为这种阿里等等这些大型的科技机构，它也会建立自己的安全团队，如果他的安全团队呃做的比较好，然后产品也可以标准，标准化的话，他就不仅仅是可以给自己企业提供安全能力，它也可以向社会输出，那也它也会变成一种业务啊，你就像我们刚才说的铁医院啊，电网电力医院，它也会向社会，呃，面向社会去去做，进行他业务，因此呢，这就是我认为网络安全的终局，会走向国有化，会走向医疗化，那么整个它核心换到网络安全上，它就叫做。

和安全运营，安全运营我们提出来是五要素，中间是人，所有的要素围绕着人，上面是组织管理，底下是流程机制，左面是平台，要一定要有安全管理的平台，然后右面是产品工具，你由这个平台把这些工具对接起来，由人来运营，你合理的通过根据你的应用场景，根据你的业务需求，根你的行业属性来进行进行很好的运营管理，这就是嗯。这个可以简化成一句话嘛，安全运营场景化是未来。OK，这就是我今天的这这次的安全大讲堂的讲座，再次感谢大家的认可，我是舒适咨询李少鹏，谢谢大家。感谢邵老师精彩的分享，接下来呢，我们最后欢迎北京赛博英杰科技有限公司创始人谭晓生老师为我们带来网络安全行业的商业机会。呃，在开始之前呢，最后我们再提醒一下大家，谭老师分享之后呢，我们就会进入这个QA环节，然后如果有想和老师们交流的同学，可以在最后这点时间以内，嗯，发起相关的提问，好，欢迎谭老师开始我们今天的这个分享。

哦，大家好，非常荣幸能够有机会和大家再做一个这样的交流啊，今天我谈的可能会比较务虚一些，是说这个网络行业的商业机会，说在今天这个时代，我们网络安全行业下面的这个机会。呃，这个首先是我自己的一个，呃，简介这个就快速的过了。呃，首先呢，我们是谈一下网络安全的商业逻辑，其次再来讲网络安全的商业机会。这个商业逻辑呢，其实在去年宣城大讲堂上面呢，我的合伙人。来来，讲过他江的是数字安全的创始人。他过去的这么多年就一直在研究网络安全的这个产业，也发过很多产业研究报告。在网络点产业呢，其实我们一直的是有着一个想象中的市场空间和实际的市场空间。

想象的市场空间呢，大家总觉得这个网络安全的这个价值很大呀，我们保护的是这个用户的数字资产，而现在咱们这个社会呢，在做数字化转型，这个数据集是资产，但是我们保护的是多么庞大的一个一个一个资产。呃，这是这个选项的这个用户可能会为愿意为他的付主产来这个付很多的这个安全的这样的这个费用。这种。但是实际的情况呢，其实这个呃。并不是这个样子。而这个用户呢，他如果说。这个出现了广告天事件，他的受害者是谁？然后呢，受害者呢，其实这个往往是这个，他可能是信息的所有者，也可能不是信息的所有。那么他。因为受害者呢，最后他。如果受到了损害，那么最后这个出现安全事故的这样的这个这个企业，他就他会不会受到惩罚呢？其实在过去的很多年不一定。

那这样就造成了一个就在广告台里面呢，呃，有的人呢，他是在安全上投入了很多，但是呢，他就遇到高手的攻击，他还是倒霉，然后最后呢，就是呃产生了一个安全事件，最后呢，呃他可能会被安全处罚，有这种情况。但是也有更多的情况是。啊。安全做的很差，但是呢，也没有黑客去攻击，或者是攻击了他也不知道，最后连这个。最终他的信息被泄露啊，或者等等这样的受损害的这样的受众，就是他也不知道是因为谁的事故造成了他的信泄露，比如在前面这些年各种各样的快递的信息泄露啊，最后造成了受到的各种各样的欺诈电话等等这些事，最终的这个信息泄露渠道到到底是从哪里泄露的，受害者其实也不知道，那么作为这个。出现安全事故的这样的企业呢，它并没有去承担这个相应的责任。这里面呢，其实最终呢，这个企业在为安全去买单的时候，他是他是怎么看他自己。

出现的他要承担的责任，你是不是会有把握，真的？打仗吧。那这个里面呢，就是一个呢，是各种各样的法律法规，还有一个是向公安做执法，这个时候这种呢，其实就造成了这种我们想象中想象中的网络空间。的市场价值和现实的市场价值之间的巨大差异。呃，在去年呢，整个网络年产业的产值大概也有600万个亿。那这远小于这个广场舞大妈的周边等等的小鱼小龙虾的这么这样的一种这种。那这种其实造成了网络安全的市场的驱动力呢，我们说有三大驱动力，第一个呢是合规驱动力，合规驱动力就是法律法规规定你必须要做到的事情，如果你不承担这样的这个义务。或者出了问题，你要承担责任。这样直接有有板子可以打的，这个呢是网络安全市场到今天为止还是最大的驱动，合规驱动。

第二个呢，是有个企业呢，它确实是在业务经营的时候，他如果遇到。网络安全的这个事件。它会承受重大损失。和银行。比如说券商他这种出呢，就是他就会这个直接会兑现，包括呃，今天的货币的这个就各种出资币的交易所。他出的事情也也会直接会会推荐经济损失，包括现在有些呃工业企业，他这个被被勒索，呃医院被勒索，他一旦这个出事故之后，他的正常的业务经营会被中断，对他来说呢，他的损失是多少，他们。每分钟每天损失多少层它都可以计算，这种情况呢，是它的会有这个业务风险驱动情况，这一类的这个驱动力。第三类的是技术驱动。那么我们就下面一个一个来，仔细来来，分别来进行探讨。

从2014年咱们这个中国呃这个网络安全与信息化领导小组成立，然后从呃一七年开始，一直到去年的年底，中国出台了一系列的网络安全相相关的法律法规。尤其是像去年的网络安全法，这个个人信息保护法和关机保护条例的出台，可以说中国网络安全的法律到现在呢是出台的相对来说比较晚足。再往后面的话，可能还会有一些下位法或者一些具体实施的条例的出台。包括这个等保2.0，就是关机保护条例，密码法、数据安全法，个人信息保护法，网络安全审查办法等等，这些什么法出台的话呢，我们就说它是带牙齿。那如果说你没有做到相应，你就可能会直接会受处罚，从这几百万到千万啊，或者有有的业务呢，你就你就没没没没法去进行。这个你拿不到许可证，你的产品就是无法去投标。如果是网络审查办法。

通过的话等等的这些呢，其实都是合规性的这样的这种规定。那么在现在的合规性规定之下，那么什么东西会是一个比较大的市场来看，第一个数据安全。控制安全，这个是因为咱们这个时代在做，整个在做数字化短期。那么这时候数据呢，就变成了生产力，这个重要性大家呢都知道，但是呢，数据安全是一个非常复杂的事情，它和网络安全之间呢，这个其实还是有大部分重叠的这个。两个不同的。他数据安全的有部能其实还不在管广告安全的这个呃领域之内，那么这个将来他的主管的政府机关到底是谁，其实呃还是我们还要这个，再往后还要看是带的。那么在数据安全上呢？这个所涉及到的技术，其实今天在学术界和在场都没有完全的解决。那么今天的这个数据安全，还有就是和用户的业务系统逻辑相关，如何去结耦合，那么数据安全的实施的成本，去保保护数据家的成本，和这个用户能获得的这个收益，或者出了问题之后的损失之间的对价，那么这方面还有个非常大的问题。

这个我个人估计，至少在今后的一二十年里，数据安全都是我们要这个从学术界到产业界，到这个监管，就努力要去解决这个问题，所以呢，这个数据安全会是一个很大的巨大机会，尤其是在现在个人信息保护，在这个数据安全和国家安全密切的关联等等这样的这种大背景之下。肯定会有一系列的政策法律法规，就是说你这个数据安全，如果出问题，然后承担相应的责任等等，这种情况他肯定会逼着这个市场，逼着用户去做保护，从而去逼着这个市场去快速的去发展。场，那这个是数据安全会带来呃，非常大的市场和这个，但是它的成熟是需要时间的，在未来的一两年之内，我们肯定能看到这个。

网络安全产品或者技术服务方面的一个非常大的进展，但是不要指望在未来的一两年之内，我们就有很好的方法来解决数据安全问题。第二个是等级保护。等级保护呢，这个在一七年之前呢，我对我对等级保护呢，其实不是不够重视的，那么当时经历了一些事情，像19大的安保，像快等等这些事情的处置过程中，使我这个比较深刻的这个等级保护的，其实它是一个及格线，但及格线呢，你是让很多人去考及格，他就基本的会具备某种。这个防护手段，比如还有防火墙，就功能安全管控，我遇到事情的时候，我就至少有一个抓手，能够有一个去去使力的地儿，那不是说是这个遇到说要要要封禁一些，呃，网络防防火墙没有，要打个补丁，呃终端安全管管控没有，那这个当时真的是这个叫天天不灵，叫地地不应。

那这种情况呢，就等级保护呢，这肯定还是一个非常重要的，尤其登报2.0之后。啊，等保市场。整改的市场都有比较快速的扩大，这是一个基本，尤其整个2.0里面呢，就扩充了对大数据，对中控，对互联网，对线平台，移动互联网等等各方面的一个要求，跟上现在的一个时代。第三个呢，是关机保护的市场，这个呢，肯定是面向于国家的重要关键基础设设施这样的一个。范围，这个是针对于比如像推进这个俄罗嗦说乌克兰打仗这个网络攻击就先行这样的一系列的就正式。都需要能知道关系统这个非常重要的重要性。这个是前面讲的都是做这个。叫做合规性市场，合规性市场在今后很长一段时间，我觉得都会是网络安全的最主要的驱动。

那么除此之外的这个风险驱动市场都会一些什么样的东西，你看这个里面裂的。这些产品其实基本上在合规的，这个时候呢，它基本不在基本要求范围之内，往往是更高的要求。比如不管是呃网络空间资源测绘呃数字资产管理等等这方面的东西，还是欺骗防御层，蜜罐啊等等这样的这样，或者像漏洞管理，现在就呃，往往就演进到攻击链管理了。还有best这样这种这个探测你的这个安全防线的，或者各种安安全这设施了，这个配置是不是正常，是不是在工作这方面的东西，还有呃，E drr n drr到XDR就等等各种各样的检测和响应。就安全运营的自动化的方面的东西，还有呢，就像开发安全从呃S呃这个软件成分的构成S。还有各种各样的这种软件的测试工具等等这样的工具。

以及最后的一个MSS和MBR等等，这些呢。范畴，它可能本身不在。承保的这个基本的要求范围之内。但是现在讲究。有防御效果的很多企业，他会去购买这样的这种产品。这个是因为这个能彻底解决，能够真正能够去解决它的一部分问题。那这个就对于真正的有这个安全需求的这部分客户，他是能够给他产生价值，这样也会带来的新的结果。这个在2016年开始，S。可以看到就给这类的产品带来了一个市场的机会，这是中国这个在安全市场，在过去这个六年时间里面所产生的一个最大的化，这个但是在这个之前，你想那个合规的那比就就更高，这个就是啊。的一个叫业务风险驱动性的，这样就会带来一些就是对业务的风险控制确实有用的，这些方在这里并没有重组，包括还有对业务安全层面的这样的。

有反薅反薅羊毛的这样的一些东西，这也都是业务风险驱动这种。还有最后一个呢，是讲到这个。技术驱动的一个技术驱动的主要是在现在看到的，主要是基础架构的演变所造成的一些这种市场，你比如是像我们今天遇到的这个基础架构的文化。从过去呢，从用虚机到用这个docker容器，到现在S，那这个其实呢，软件的。这个工作方法都产生了。我们过去就是用边界防御是是可以起作用的，我的用的程序大量的都是跑在一台服务器内部啊，或者说充其量是跑在一个数据中心内部，那但今天这种情况都都都变了，到这个用用虚机的时候呢，一台机器存储的这个存在的周期可能是几天到几个月或者几年。

到用docker的时候呢，它的生存的时间呢，可以最短到分钟。然后呢，到S的话呢，它的生存的周期可能几十毫秒。那这时候它的这个软件的工作方法呢，也留在一一台机器内部，或者一个IDC内部，然后更多的就是下子到的整个的互联网上，我可以是这个在多台服务器之间串行的，可以支持执行一个。逻辑，然后呢，去完成某个某个功能，这个时候呢，这样就对于安全的防御呢，就带来非常大的。那这会这会我这个引起来的原生安全的一系列的这个方案，就包括API安全，包括这个就是我的容器安全等等各各方面，这就是一些新的。安全的这种解决方案，就包括像塞西，因为我的边界的防御已经非常非常的困难了，那我就希望网络的提供商，同样他也能够提供安全服务，那这种就把网络接入和安全能力都变成了一种服务这种形式。

包括零信任，林先任，因为我的边界也是这个越来越越模糊，那么我就是还是要验证一个用户或者设备的这个身份，这样一限制思想，这个这都是由于基础架构的文化所带来的一系列的这种新的商业机会。那么今天的这个技术架构呢，就是肯定会彻底的化，这个是这个就是在。的安全跟相关的这个领域。是有很大的占用。第二个呢是万物互联，万物互联呢，就首先首当其冲的首先是联网，因为它和每个人的这个安安全。生命安全相关，大家首先会关注到的是策略。其实呢，背后呢，是它整个是一个互联网。在这个互联网的在在整个是物联网的。那在物联网的这种情况下，它的整个的安全模型是变了，我们过去叫云，云管端，这个在这个PC和移动互联网的时代就是云管端，那么到现在的时候呢，其实就是云管边端新。

就从芯片安全到固件安全，到这个就是边缘计算，这这个这个短边缘计算本身呢，它安全问题要解决，它本身也是可以变成解三张问题的一个点，那这样呢，就变成了五个要要要关注的一个一个。这是这个万物互联。这个时代的。像新价全等等这些，还有一些和传统安全完全不一样的，这个问题要解决。还有是微信互联网。就这种情况呢，这是这个因为it技术架构的向向前面的引进带来的系列这样的这种机会。那么好，那在总体我们这个回顾一下，这个在未来的这个十年里面，我们依然会看到合规性驱动依然会是网络安全的最主要的动力。除了合规性驱动之外，在在今天这个越来越多的企业，他都在做数字化转型。

它本身呢，对于这个安全呢，已经会。有这个就是自身的诉求，除了合规性之外，它的业务正常运行，它会越来越多的安全的这个需求，那这时候呢，会有超越到合规之外的，对于安全产品的。这些数字前面讲的，那那那那一堆产品，那么还有说就像MSS和MMBR这种服务，这这些呢，是我觉得是从性能价格比上来讲，它能够为用户能够达到数字化转提供高性价比。且安全能力。它用户可能。并不需要再去买那么多的安全产品，他也自己也不需要再养安全人员。我通过比较少的钱，一年几万块钱或者几十万块钱，然后我就可以获得我一个中小企业的一个网络安全的这样这样的一种能力，但对于提供MSS或者MBR服务的这种厂商呢，因为它的客户量本身。

足够大，然后呢，又能够通过。集中的安全运营中心，提高人的这个复用率，那这样的话呢，同样可以获得很好的利润啊，这样这样就就使这个对于业务需求的这种这种这种这个。所带来的这种这个驱动的这样的一个市场，第三个就是说。我们的it基础架构向进一步就是去进产生变化的时候，那今天看到的是云化这个万物互联和微信互联网，在未来的十年可能还会就冒出来新的一些东西，那这时候就是要针对性的去会冒出相应的安全的产品和解决方案，帮户去解决解决问题。这个就是我今天讲的就是网络完成的这个商业机会。谢谢，谢谢大家。好，感谢谭小胜老师带来的分享，相信到这里大家应该已经有非常多的问题想跟老师们进行探讨，我们呢刚才也收集了收集许多同学们的问题，接下来就进入我们的圆桌回答环节，嗯，大家在老师与老师们探讨的过程中呢，也可以扫描我们屏幕辖的二维码进群交流，嗯，然后下面我们开始相关的这个问题应答。首先第一个问题呢，来自腾讯直播号，嗯，腾讯腾讯视频号直播间的提问第一个问题是异常流量可能会伪装成正常流量安全，安全人员有哪些工具或者新的技术手段可以来提高嗯检出率，这个问题呢，是给顺长辉老师的。

呃，这个问题其实不是特别好回答那个，嗯，是这样的，就是这个刚才那个在那个邵鹏老师讲的那个里头，他有提到这个细节，就是说比如说我有这个很多的签名，我有很多的这个什么，但是现在就是这种在在这种战略级的工防，或者说复杂的工防里头，嗯。

基本上都会用动用零，或者是说一些杀的这种root木之类的东西去做这个事情，呃，我我是这么看的，就是在网络流量大数据分析对这个安全的协助这个方面只有一个办法，就是说只能通过他的一些异常的统计规律来做，也是也是我这次大讲堂里头讲的那些数学算法学所起的根本作用，如果是说靠单一的一个绘画，就一个绘画的简出来，直接得出这个结论，我觉得在现实当中，至少目前看来，我觉得这个impossible就是有很多人讲说这个，比如说我要在这个人这个这个安全上要启用人工智能，或者是说比如说用到一些算法，对比如说文件识别，或者是说对这个流量，尤其是流量识别上，采用人工智能的方法去去去解决这个检出率的事情，我觉得这个事情至少到我看来，现在我觉得还是个谎言，嗯，做不到。

好的，感谢孙老师的回答，嗯，然后第二个问题是问陈伊丽老师的是今天呢，在云上面容器数量呈现爆炸式增长，我们面对的资产，接口等异常复杂和庞大，安全运营和管控，怎样才能做到滴水不漏，保障企业上云的安全，然后因为今天陈一乐老师呢，刚好不在线上，但是因为我本人，我跟陈老师在这个问题方面，呃，一直有持续的这个沟通，我们本身我们呢也是呃一直在做腾讯自身的相关的这样的一些那个防护，嗯，所以呢，这里稍微有点经验，所以这里呢，我来代替成老师，嗯，给这位同学做一个应答。嗯，关于这个问题呢，就是在今天呢，其实确实是云上容器的应用越来越广泛，根据我们的观察呢，在过去两年基本上呢，整个都是市场容器都是以每年十倍左右的这个增速在进行增长，而腾讯云呢，其实在今天拥有嗯，世界上最大的这样的一个级别的容器，安全的这样容器的运行的一个集群，嗯，所以呢，我们在过去几年也一直在做相关的这个保障，根据我们的经验呢，我们把它总结其实有四条关键点。

第一点呢，就是嗯实时测绘，实时的资产测绘主被动结合的方式，因为在容器和云原生安全这个领域里面呢，嗯，由于本身资源力度比较细，比如像如果是采用容器计算的话，基本上一个实例建立是在秒这个级别，嗯，然后它生命周期变化呢，是在嗯也是非常快的啊，如果用那个服用的话呢，基本上是在毫秒这样一个级别，所以在这样的一个情况下呢，我们传统的相对长周期静态的一些这个安全检测的机制，比如定期的漏洞扫描等等是不适用的，所以在这里呢，就是第一点，就是实时的这个资产测绘非常关键。而在做资产测绘的这个技术的时候呢，就是嗯，我们采用一个主被动结合的方式，那主嗯被动的这呃这个资产发现，嗯是通过本身微服务治理，API发现，以及结合DNSIP基础库等等这样一些，嗯相当于是确定性的管理机制，嗯来进行这个资产的这个分析和定位，同时呢，就是说我们也考虑到一定有。

在实际的治理过程中呢，嗯，一定可能会有一个时间差板疏漏的缘故，所以这里呢，我们也补充，就是主动的这个资产扫描测绘的方式来实现在资产的这个定位测绘分析方面，一个高精高精确度准失时的这样的一个检测。呃，然后我们当手知道手上有哪些资产之后呢，第二件事情就是非常关键的，那我们传统的这低安全管理机制呢，一般大家采用定期漏洞扫描的机制，是一个事后事后被动的方式，而在今天呢，很明显我们需要一个更主动的方式，那这里呢，我们第二条关键就是嗯情报联动，在这里呢，我们采集了就是说嗯，首先第一步是情报采集，嗯在整个全球范围以内，嗯，各个层次呢，我们建立了数百个这个情报采集的源头，然后呢，以接近准实施的方式，会对这些情报进行分析以及影响的评估，然后呢，会进行如果是有重大影响的这样的一些这个情报和漏洞呢，我们会进行嗯快速的这个响应分析，那就进入第三步，就是当定位到这个呃，有相应的情报或者是安全威胁，并且呢，能够评估出这个威胁影响的范围之后呢，第三步就是进入进行快速的响应，包括通过就是云基础设施的一些安全能力，包括对这个呃补丁漏洞的管理，快速的分析，嗯，然后。

来进行综合性的这样的一个安全响应和防范，然后第四点呢，其是一个基础，其实是在这几点之前的，就是整个的安全左移的这样的一个理念之下，去建立呃云基础设施安全防范的基本能力，去进行云原生内生的安全机制的这个建设，同时呢，把整个的这个产品研发的过程，呃，融入到就安全的过安全的管理机制，融入到产品研发的过程中去，全面的去落地这个理念，来提升产品的基础质量。首先呢，总结针对这个问题，就是在做好基础设施防护的基础之上，去提高研发安全的能力，然后通过基础设施安全和研发安全来保证产品的基本安全，在之上呢，通过准实时的资产社会快速的情报联动和这个快速的应急响应分析啊应那个分析和应急响应来实现这样的一个安全的闭环。

这是我们第二个问题的一些经验吧。嗯，然后还有第三个问题，第三个问题的这位同学呢，是问的谭小生老师，嗯，在2021年以来，国内数嗯快速发布了数据安全法，个人信息保护法，嗯，关键基础设施保护条例等等一系列关于数据安全的相关的法律法规，嗯想问一下谭老师，数据安全领域的技术和生态的发展的态势，目前国内是怎么样的？嗯应对这样的一些法律法规和内外部的威胁，企业用户应该如何应对相关的这个合规要求？啊，这个问题其实这个不太好回答，因为数据安全领域呢，呃，就从这个，比如说呃数据分类分级开始，现在呢，像呃金融，呃运营商和医疗这个它出了相应的分类分级的相应的标准，但是呢，在这个工具的支撑上面呢，还是比较成问题，现在呢，很多的做做这方面的事儿呢，做数据治理这方面的事儿，还是靠做项目。

这种方法来做，但是呢，他只有把数据分类分级之做基础之上，你才能够有有这个能力去做，呃，后面的工作，你比如访问权限的控制啊，比如说做数据的加密啊等等这样的一些东西。还有呢，在这个产业中间呢，在过去的这两年里面有冒出来很多做这个呃，安全都呃，就是做安全计算的这样的这个厂商，你比如说做联邦学习呃，多方安全计算呃，同态加密呃等等这样的这些企业，但是呢，这个它的本身的技术和产品的成熟度还还成问题，这个我们其实担心呢，这方面的创业或者投资，最后呢也会落得一地鸡毛。

还有呢，就比如像这个数据安全呢，它的呃这个比如像呃全职科技，像方兴他们这个提出来了，这个就是呃数据在呃流动的过程中间的安全，这个概念提的是很好的，比如像API安全，其中有一个呃最终落地的方向也是做数据安全。呃，但是这个东西呢，它也是，呃，就最终在落在用户的时候，它是和用户的应用是相关的。那么这个时候这个呃。就是方向是对的，但是最终呢，要大规模的去去实施的时候呢，也是面临的一个成本问题。还有就是像做数据安全的一个最终最根本要解决的一个问题，其实访问权限控制嘛。就做防问控制，防问控制的话呢，传统的呃，I bacr BAC BAC等等这些东西，它都是一个三元组。那么其实呢，在。做数据安全的时候还有上下文。这个时候他你你是为因为什么事要去访问某个数据，那这个事儿的这个如果已经办完了，那么他的这个访问的上下文不存在了，那么这种权限其实就就应该要取消。

那这个访问权限的这个机制的改变，会涉及到对于原有的应用系统的改造，那这个东西如何去结耦合，也都是非常多的挑战。所以在过去呢，我们看到呢，就是在今天啊，在数据安全的市场上面，大家买的大量的还是数据库审计，数据库安全网关之类这种传统的数据安全产品，但新的数据安全产品呢，其实呢，从成熟度到用户的实施的这个成本等等这些东西还有好多问题要解决。这个，所以我就刚才讲的说，这是未来十几20年大家都要去忙活的一些事儿，那针对于这个，如果说你某一个企业它的数据安全呢，我觉得就在现在呢，你如果说你这个企业它的就是这个问题确实非常严重，就是很强的合规性要求卡在这里，你你又有预算，那么你就按照你自己的。

这个业务情况去规划一套自己的针对你当前的业务逻辑的一套防护方案。这个现在想想买通用的产品这个，呃，彻底解决这个问题还是非常难的，那就是现在有有有有一些什么数据脱敏的产品啊等等这样的这个东西都是针对性的解决你的一类问题，自己如果说你真的数据安全问题对你的这个企业是一个大问题的话。还是要自己去针对性的去搞一个数据安全的方案。谢谢。好，感谢谭老师的解答，在这里呢，也再次感谢老师们今天精彩的分享和回答，这次活动呢，由于时间的缘故，我们在这里到了尾声，更多的交流呢，我们可以留在后续的课程中，大家呢也可以扫描屏幕下方的二维码进行交流，接下来我们还有一个闭门圆桌的时间，在这里最后感谢视频号的同学们。