近年以来，各行各业都在使用AI等新技术提质增效，物流行业也不例外，如何建立完备的安全体系，以保障用户信息安全和企业的长远发展？本期对谈中，CIO时代联合创始人兼COO、新基建创新研究院秘书长刘晶围绕相关话题，邀请到了知名物流科技平台货拉拉信息安全部负责人黄宇鸿（以下简称黄宇鸿），共话数据驱动的物流体系下，货拉拉如何构建安全体系。

黄宇鸿：作为一家网络货运平台，货拉拉与其他众多行业在面临安全挑战时既有共性也有其独特性。共同点在于我们都是面对黑产，物流业务需要采集跟实际用户相关的一些个人的信息，所以我们和其他行业一样都会面临敏感数据的保护的挑战。

货拉拉的独特性在于其业务的广泛覆盖和高度分散性。公司在全国300多个城市开展业务，人员也遍布这些城市，这种地理上的广泛分布使得线上与线下的运营场景变得异常复杂。

此外，货拉拉还面临着一些特定的安全挑战，比如在处理司机与用户之间的纠纷时，客服人员可能需要调取订单相关数据来进行责任判定。这一过程涉及到一些敏感数据的使用，要求企业做好数据安全的保护。

针对这种数据调用，货拉拉建设了非常严格的安全屋机制，安全屋是个物理隔离的区域，客服人员在处理涉及隐私的数据之前，必须遵守严格的规定，如不得携带手机入场，有严格身份认证、权限管理、工作过程中也会做审计和监控，以确保数据处理过程的安全与私密，并且所有这些数据调用相关的活动只能在安全屋进行，从而最大限度地减少数据泄露的风险。

总体上，货拉拉对特定的业务和相关的产品做了很多特定的措施去做保障。

黄宇鸿：最近这些年，货拉拉不仅在业务上持续创新，更在信息安全领域加大了投入，以应对日益复杂的安全挑战。从早期的等保合规要求，到后来的数据安全和个人信息保护法规的出台，信息安全领域已经形成了相对完善的法律法规体系。这一变化使得货拉拉在应对信息安全挑战时，有了更为明确的法律依据和更高的标准。

数据安全、个人信息保护这块，不管是从技术上还是产业成熟度上面，相较于网络安全板块，挑战会更大一些。此外，由于数据安全与业务是强耦合的，其处理过程需要业务部门的紧密配合，这无疑增加了工作的复杂性和难度。

为了有效应对这些挑战，加入货拉拉以后，我从组织和管理制度入手，推动升级了公司层面的信息安全委员会，信息安全工作提升到了公司层面统一管理，同时还制定了一系列安全制度和运行流程，并设立了信息安全的BP（业务伙伴）机制。通过派遣安全BP深入业务部门，有助于更准确地了解业务部门的信息安全需求和问题，保障问题解决和推动安全要求真正在业务上落地。

除了制度和机制建设外，货拉拉还注重技术创新和应用。近年来，公司紧跟行业前沿技术，引入了零信任、攻防云、切面安全等先进的安全理念和最佳实践，进一步完善了信息安全体系。这些技术的应用不仅提高了系统的安全性，也为货拉拉在信息安全领域积累了较好实践。

黄宇鸿：最近两年我们安全这边重点做了一些和指标量化相关的事情，可以分享一下。在信息安全方面，我们始终秉持一个基本原则：通过数据驱动安全建设。信息安全领域具有明显的短板效应，企业的整体安全水平往往并非由最强项决定，而是受制于最薄弱环节。并且信息安全相对复杂，和企业生产经营各方面都相关，为了精准评估企业安全水位，就需要有指标体系来反应安全水平，货拉拉设立了五大基本安全指标：

1、覆盖率：

覆盖率是衡量安全能力在企业各场景中覆盖水平的重要指标。通过持续监测覆盖率的变化，能够及时发现安全能力的薄弱环节，并采取有效措施予以加强，从而提升企业整体的安全防护水平。

2、准确率

准确率是评估安全检测能力的重要指标，反映了安全系统在检测到攻击时的准确性。

3、召回率

召回率也是评估安全检测能力的重要指标，衡量了系统能够发现所有潜在攻击的能力。

4、MTTD：平均检测时长

MTTD（平均检测时长）是衡量安全技术效率和安全运营效率的关键指标。MTTD反映了从攻击发生到被检测出来的时间间隔。

5、MTTR：平均响应时长

和MTTR（平均响应时长）同样是衡量安全运营效率的关键指标。MTTR衡量了从检测到攻击到采取有效应对措施的时间。

通过建立五个指标，安全检测防御相关的安全水平就能大致衡量出来能力和响应水平。并且我们推动了整个安全运营实现线上化，这样指标数据就能通过工具自动统计出来。另外我们也通过攻防演练检验我们的指标。我们建立了一个安全的攻防云环境，将内部安全检测能力做了虚拟化，然后做攻击测试，借助一些脚本和BAS产品（入侵和攻击模拟），实现周期性的攻击测试以验证各种检测能力，通过这种方式，能比较有效得到各个安全检测防御能力的召回率指标，提高召回率的准确性。

黄宇鸿：腾讯安全作为业界领先的网络安全解决方案提供商，拥有深厚的技术积累和创新理念，为我们提供了强有力的支持。此前，已引入多款优秀的腾讯安全产品与服务，以强化我们的安全防护体系。

个人认为腾讯安全的一大显著优势，在于其在移动端与终端领域的广泛装机量。庞大的用户基础为腾讯在安全威胁情报分析方面提供了得天独厚的条件。腾讯能接触到更多的攻击样本，通过长期的数据积累与分析，腾讯安全有能力构建了一个全面且精准的威胁情报库。我们也有和腾讯的安全情报库合作，通过合作还是比较显著提升安全检测效率与准确性，甚至在威胁爆发前就能做出预警，有效降低了潜在的安全风险。

在代码安全方面，我们同样与腾讯安全也有合作。通过合作和借鉴腾讯的安全经验，来不断优化我们自身的代码审查与安全管理流程，力求从源头上消除安全隐患，提升软件安全质量。

黄宇鸿：货拉拉作为一家深耕于物流领域的互联网平台，在数字化、网络化方面具有先天优势。近年来，随着人工智能（AI）技术的迅猛发展，新质生产力已成为推动社会进步的重要力量。在此背景下，货拉拉紧跟时代步伐，从公司战略层面高度重视AI技术的跟踪与应用创新，不仅在业务层面积极探索AI的无限可能，同时在信息安全领域也积极跟进，以AI为引擎，驱动信息安全防护的全面升级。

AI的应用首先在信息安全运营方面，货拉拉已经建设了众多信息安全检测能力，每日产生的告警数量高达数万条。面对如此庞大的告警量，传统的方式是通过规则进行告警压制，但压制以后还是有不少告警。为此，我们尝试用AI技术对告警做处理，通过AI对告警进行预处理和筛选，目前看效果还比较好。经过初步的技术优化，通过AI压制后告警量在召回率没下降的情况下比原来减少了三分之二，这对安全运营效率有明显的提升。

同时我们AI能力，包括大模型也在多个方向做些尝试，在一些攻击检测、漏洞检测，还有数据分类分级，以及面向内部员工的一些服务，我们都在尝试通过大模型去提升体验跟效率。

黄宇鸿：安全怎么被看见是个老生常谈的问题，安全最好的状态其实就是不出问题、默默无闻地在后面做支撑，这也是为什么会有“看得见”这个议题。

“看得见的安全”可以分别从几个层面来解读：

首先，“看得见”指安全能力。比如此前提到的安全的指标化，如果这些安全的威胁没有被看见，则没法做保护，从保护的角度来说，我们必须先“看到”这些威胁和不足。

其次，“看得见”安全价值。对企业而言，安全是增强企业成功的确定性，如果安全出了问题，无论是合规出问题，或被攻击导致业务中断，其后果可大可小，或为业务带来极大损失。因此，安全需要降低此类事件发生的概率，这是安全在企业内部体现的主要价值。

最后，企业在安全方面的持续投入也希望能被外部“看见”，使得企业能赢得用户和监管的认可和信任。有很多安全工作会最终通过认证和测评的方式来获得各种证书和资质。这些是企业在安全能力方面的体现，有利于增强用户对企业数据保护方面的信任。还有一些新业态落地过程中，监管机构需要与头部企业共同探讨如何落实安全监管，该过程中我们可以参与其中，分享经验、参与标准制定，帮公司在监管层面赢得更多支持。

黄宇鸿：信息安全行业作为现代科技发展的重要支撑，一直受到国家层面的高度重视。近年来，随着数字化转型的加速和网络安全威胁的日益严峻，信息安全人才的需求量急剧增加，市场缺口显著，进一步推动了该行业的发展活力。

从行业发展趋势来看，信息安全无疑是一个充满潜力且持续发展的领域。与其他行业相比，信息安全的需求具有更强的稳定性和持续性。无论经济环境如何变化，信息安全作为保障数据安全、维护网络空间秩序的关键环节，其重要性不言而喻。因此，即便在短期内面临一些挑战和困难，信息安全行业依然展现出强劲的发展势头和广阔的市场前景。

我坚信，信息安全行业不仅是一个具有广阔发展空间的赛道，更是一个值得长期投入和深耕的领域。随着技术的不断进步和应用的不断深化，信息安全行业将持续迎来新的发展机遇和挑战。

作为国内互联网物流领域佼佼者，货拉拉在安全方面始终秉承着“建设成行业一流信息安全水平”为使命，在安全技术能力、安全体系、安全合规以及安全文化建设等方面不断发力，持续关注行业最佳实践以及新安全技术、理念的应用。紧握新一代AI技术变革下的安全领域新机遇，持续进行安全左移，提高检测能力，保持安全管控更加前置，构建安全防护盾，探索新型物流模式，为物流行业高质量发展助力。