【智話·數字安全免疫力】貨拉拉黃宇鴻：數據驅動，構建“看得見”的安全

發布時間：2024-12-24 14:30 發布者：科技新思路

\線上消費的持續增長有效拉動了內需，已成為中國經濟增長的重要驅動力。零售、電商、O2O的快速發展離不開近些年來數字基建的發展，更仰賴于數字化物流體系的日漸完備。物流快遞行業幫助“新零售”走完“最后一公里”的同時，也掌握了海量的用戶數據，由于物流鏈條長、接觸數據的角色多，使得物流快遞行業信息安全治理變得極其重要。

近年以來，各行各業都在使用AI等新技術提質增效，物流行業也不例外，如何建立完備的安全體系，以保障用戶信息安全和企業的長遠發展？本期對談中，CIO時代聯合創始人兼COO、新基建創新研究院秘書長劉晶圍繞相關話題，邀請到了知名物流科技平臺貨拉拉信息安全部負責人黃宇鴻（以下簡稱黃宇鴻），共話數據驅動的物流體系下，貨拉拉如何構建安全體系。

采訪嘉賓 | 貨拉拉信息安全部負責人黃宇鴻
訪談主持 | CIO時代聯合創始人兼COO新基建創新研究院秘書長劉晶

1、劉晶：從您個人角色來看，當前物流行業或貨拉拉在安全方面面臨哪些難點和痛點？

黃宇鴻：作為一家網絡貨運平臺，貨拉拉與其他眾多行業在面臨安全挑戰時既有共性也有其獨特性。共同點在于我們都是面對黑產，物流業務需要采集跟實際用戶相關的一些個人的信息，所以我們和其他行業一樣都會面臨敏感數據的保護的挑戰。
貨拉拉的獨特性在于其業務的廣泛覆蓋和高度分散性。公司在全國300多個城市開展業務，人員也遍布這些城市，這種地理上的廣泛分布使得線上與線下的運營場景變得異常復雜。

此外，貨拉拉還面臨著一些特定的安全挑戰，比如在處理司機與用戶之間的糾紛時，客服人員可能需要調取訂單相關數據來進行責任判定。這一過程涉及到一些敏感數據的使用，要求企業做好數據安全的保護。

針對這種數據調用，貨拉拉建設了非常嚴格的安全屋機制，安全屋是個物理隔離的區域，客服人員在處理涉及隱私的數據之前，必須遵守嚴格的規定，如不得攜帶手機入場，有嚴格身份認證、權限管理、工作過程中也會做審計和監控，以確保數據處理過程的安全與私密，并且所有這些數據調用相關的活動只能在安全屋進行，從而最大限度地減少數據泄露的風險。

總體上，貨拉拉對特定的業務和相關的產品做了很多特定的措施去做保障。

2、劉晶：能否描述一下您加入團隊時面臨的挑戰，您做了哪些工作？

黃宇鴻：最近這些年，貨拉拉不僅在業務上持續創新，更在信息安全領域加大了投入，以應對日益復雜的安全挑戰。從早期的等保合規要求，到后來的數據安全和個人信息保護法規的出臺，信息安全領域已經形成了相對完善的法律法規體系。這一變化使得貨拉拉在應對信息安全挑戰時，有了更為明確的法律依據和更高的標準。

數據安全、個人信息保護這塊，不管是從技術上還是產業成熟度上面，相較于網絡安全板塊，挑戰會更大一些。此外，由于數據安全與業務是強耦合的，其處理過程需要業務部門的緊密配合，這無疑增加了工作的復雜性和難度。

為了有效應對這些挑戰，加入貨拉拉以后，我從組織和管理制度入手，推動升級了公司層面的信息安全委員會，信息安全工作提升到了公司層面統一管理，同時還制定了一系列安全制度和運行流程，并設立了信息安全的BP（業務伙伴）機制。通過派遣安全BP深入業務部門，有助于更準確地了解業務部門的信息安全需求和問題，保障問題解決和推動安全要求真正在業務上落地。

除了制度和機制建設外，貨拉拉還注重技術創新和應用。近年來，公司緊跟行業前沿技術，引入了零信任、攻防云、切面安全等先進的安全理念和最佳實踐，進一步完善了信息安全體系。這些技術的應用不僅提高了系統的安全性，也為貨拉拉在信息安全領域積累了較好實踐。

3、劉晶：貨拉拉在信息安全建設及應用方面的典型場景可否重點分享一下？

黃宇鴻：最近兩年我們安全這邊重點做了一些和指標量化相關的事情，可以分享一下。在信息安全方面，我們始終秉持一個基本原則：通過數據驅動安全建設。信息安全領域具有明顯的短板效應，企業的整體安全水平往往并非由最強項決定，而是受制于最薄弱環節。并且信息安全相對復雜，和企業生產經營各方面都相關，為了精準評估企業安全水位，就需要有指標體系來反應安全水平，貨拉拉設立了五大基本安全指標：

①、覆蓋率：覆蓋率是衡量安全能力在企業各場景中覆蓋水平的重要指標。通過持續監測覆蓋率的變化，能夠及時發現安全能力的薄弱環節，并采取有效措施予以加強，從而提升企業整體的安全防護水平。

②、準確率準確率是評估安全檢測能力的重要指標，反映了安全系統在檢測到攻擊時的準確性。

③、召回率召回率也是評估安全檢測能力的重要指標，衡量了系統能夠發現所有潛在攻擊的能力。

④、MTTD：平均檢測時長MTTD（平均檢測時長）是衡量安全技術效率和安全運營效率的關鍵指標。MTTD反映了從攻擊發生到被檢測出來的時間間隔。

⑤、MTTR：平均響應時長和MTTR（平均響應時長）同樣是衡量安全運營效率的關鍵指標。MTTR衡量了從檢測到攻擊到采取有效應對措施的時間。

通過建立五個指標，安全檢測防御相關的安全水平就能大致衡量出來能力和響應水平。并且我們推動了整個安全運營實現線上化，這樣指標數據就能通過工具自動統計出來。另外我們也通過攻防演練檢驗我們的指標。我們建立了一個安全的攻防云環境，將內部安全檢測能力做了虛擬化，然后做攻擊測試，借助一些腳本和BAS產品（入侵和攻擊模擬），實現周期性的攻擊測試以驗證各種檢測能力，通過這種方式，能比較有效得到各個安全檢測防御能力的召回率指標，提高召回率的準確性。

4、劉晶：我們了解到貨拉拉此前已與騰訊安全展開相關合作，可否介紹具體合作在哪些方面？

黃宇鴻：騰訊安全作為業界領先的網絡安全解決方案提供商，擁有深厚的技術積累和創新理念，為我們提供了強有力的支持。此前，已引入多款優秀的騰訊安全產品與服務，以強化我們的安全防護體系。

個人認為騰訊安全的一大顯著優勢，在于其在移動端與終端領域的廣泛裝機量。龐大的用戶基礎為騰訊在安全威脅情報分析方面提供了得天獨厚的條件。騰訊能接觸到更多的攻擊樣本，通過長期的數據積累與分析，騰訊安全有能力構建了一個全面且精準的威脅情報庫。我們也有和騰訊的安全情報庫合作，通過合作還是比較顯著提升安全檢測效率與準確性，甚至在威脅爆發前就能做出預警，有效降低了潛在的安全風險。
在代碼安全方面，我們同樣與騰訊安全也有合作。通過合作和借鑒騰訊的安全經驗，來不斷優化我們自身的代碼審查與安全管理流程，力求從源頭上消除安全隱患，提升軟件安全質量。

5、劉晶：現在大家都在談“新質生產力”，將新技術應用到生產流通環節提質增效，可否分享一些貨拉拉在這方面的相關工作？

黃宇鴻：貨拉拉作為一家深耕于物流領域的互聯網平臺，在數字化、網絡化方面具有先天優勢。近年來，隨著人工智能（AI）技術的迅猛發展，新質生產力已成為推動社會進步的重要力量。在此背景下，貨拉拉緊跟時代步伐，從公司戰略層面高度重視AI技術的跟蹤與應用創新，不僅在業務層面積極探索AI的無限可能，同時在信息安全領域也積極跟進，以AI為引擎，驅動信息安全防護的全面升級。

AI的應用首先在信息安全運營方面，貨拉拉已經建設了眾多信息安全檢測能力，每日產生的告警數量高達數萬條。面對如此龐大的告警量，傳統的方式是通過規則進行告警壓制，但壓制以后還是有不少告警。為此，我們嘗試用AI技術對告警做處理，通過AI對告警進行預處理和篩選，目前看效果還比較好。經過初步的技術優化，通過AI壓制后告警量在召回率沒下降的情況下比原來減少了三分之二，這對安全運營效率有明顯的提升。

同時我們AI能力，包括大模型也在多個方向做些嘗試，在一些攻擊檢測、漏洞檢測，還有數據分類分級，以及面向內部員工的一些服務，我們都在嘗試通過大模型去提升體驗跟效率。

6、劉晶：今年的騰訊數字生態大會上提出了“看得見的安全”理念，您如何理解這一理念？

黃宇鴻：安全怎么被看見是個老生常談的問題，安全最好的狀態其實就是不出問題、默默無聞地在后面做支撐，這也是為什么會有“看得見”這個議題。
“看得見的安全”可以分別從幾個層面來解讀：首先，“看得見”指安全能力。比如此前提到的安全的指標化，如果這些安全的威脅沒有被看見，則沒法做保護，從保護的角度來說，我們必須先“看到”這些威脅和不足。

其次，“看得見”安全價值。對企業而言，安全是增強企業成功的確定性，如果安全出了問題，無論是合規出問題，或被攻擊導致業務中斷，其后果可大可小，或為業務帶來極大損失。因此，安全需要降低此類事件發生的概率，這是安全在企業內部體現的主要價值。

最后，企業在安全方面的持續投入也希望能被外部“看見”，使得企業能贏得用戶和監管的認可和信任。有很多安全工作會最終通過認證和測評的方式來獲得各種證書和資質。這些是企業在安全能力方面的體現，有利于增強用戶對企業數據保護方面的信任。還有一些新業態落地過程中，監管機構需要與頭部企業共同探討如何落實安全監管，該過程中我們可以參與其中，分享經驗、參與標準制定，幫公司在監管層面贏得更多支持。

7、劉晶：談談您對于安全行業未來的預期如何？

黃宇鴻：信息安全行業作為現代科技發展的重要支撐，一直受到國家層面的高度重視。近年來，隨著數字化轉型的加速和網絡安全威脅的日益嚴峻，信息安全人才的需求量急劇增加，市場缺口顯著，進一步推動了該行業的發展活力。

從行業發展趨勢來看，信息安全無疑是一個充滿潛力且持續發展的領域。與其他行業相比，信息安全的需求具有更強的穩定性和持續性。無論經濟環境如何變化，信息安全作為保障數據安全、維護網絡空間秩序的關鍵環節，其重要性不言而喻。因此，即便在短期內面臨一些挑戰和困難，信息安全行業依然展現出強勁的發展勢頭和廣闊的市場前景。

我堅信，信息安全行業不僅是一個具有廣闊發展空間的賽道，更是一個值得長期投入和深耕的領域。隨著技術的不斷進步和應用的不斷深化，信息安全行業將持續迎來新的發展機遇和挑戰。

★ 結束語 ★

作為國內互聯網物流領域佼佼者，貨拉拉在安全方面始終秉承著“建設成行業一流信息安全水平”為使命，在安全技術能力、安全體系、安全合規以及安全文化建設等方面不斷發力，持續關注行業最佳實踐以及新安全技術、理念的應用。緊握新一代AI技術變革下的安全領域新機遇，持續進行安全左移，提高檢測能力，保持安全管控更加前置，構建安全防護盾，探索新型物流模式，為物流行業高質量發展助力。

本文地址：http://m.qingdxww.cn/thread-879244-1-1.html 【打印本頁】

本站部分文章為轉載或網友發布，目的在于傳遞和分享信息，并不代表本網贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內容、版權和其它問題，我們將根據著作權人的要求，第一時間更正或刪除。

網友評論

貿澤電子有獎問答視頻，答對領10元微信紅包

廠商推薦

快速回復 返回頂部 返回列表

国产毛片a精品毛-国产毛片黄片-国产毛片久久国产-国产毛片久久精品-青娱乐极品在线-青娱乐精品

【智話·數字安全免疫力】貨拉拉黃宇鴻：數據驅動，構建“看得見”的安全

網友評論

廠商推薦