受访人：徐明强博士，微软全渠道事业部首席技术官

李亮，微软大中华区企业安全业务高级产品市场经理

李亮：我先介绍一下微软在安全上的布局。国内外有大量安全厂商，在过去很长的一段时间，安全有非常细分的领域，有厂商专门做终端、做零信任、做加密，如果单纯拿一个文档加水印都能找到很多公司。微软智能云的矩阵——Azure、Power Platform、Microsoft 365等最大的底盘，是智能云安全、合规、身份、隐私管理。

首先，安全在微软整个生态里面，被放在一个很特殊的位置，是所有的基石。这个基石本身融入到我们云能力开发当中，微软从一开始的代码开始，安全是一个必备项。这是很重要的一点，它确保我们给客户提供这些云服务或产品，是安全的、合规的，具备高的隐私保护能力。

在这张图上，罗列了60多个微软不同品类的安全能力，这些能力都是融合在微软今天的Azure、Microsoft 365、Dynamics 365、Power Platform上。微软所提供的安全理念是，用户使用微软产品，我们的云原生就很安全，同时云提供超过60项不同的安全能力，来确保业务在合规性、安全性、身份保护、隐私保护。今天我们主题是“降本增效”，如果用户在微软云上构建安全体系，一方面微软安全能力的细分交叠，重复投资会变得更少；另一方面，微软本身是跨平台、跨第三方的，不仅提供60多种云安全能力，还能很好地确保用户在使用第三方SaaS或者CRM、ERP系统、核心业务应用系统，甚至自研系统，都可以很好地集成在一起，确保在云上或者在安全上投资成本降低，同时确保现有的投资，能把不同的系统、不同的平台统一纳入到安全的管控平台。    

徐明强：2004年我当时刚加入微软的时候，我负责Windows Server，当时是叫高性能计算服务器安全认证。在微软只有一个部门能阻止一个产品的发布，就是安全部门，为什么有这么大的权力，从微软来说，全世界每个公司都是我们的客户，他们的安全问题就是我们的责任，责无旁贷。

任何一个产品要首先过的检查，就是安全。安全部门员工很多都是原来Unix、LinuX这方面大拿，后来为什么加入微软。他们发现Window Server 2003出来了以后，在安全性、稳定性、覆盖面都达到了相当高的起点，所以他们就非常好奇是怎么做的。微软在设计当中有一个危险建模，现在已经有工具，最早是用Excel工作薄列出来产品当中通信边界是什么、有什么样的弱点、根据这个弱点别人可能如何攻击、如何防护、如何测试攻击这个系统，并且把测试的各项都列得非常清楚，非常细致的表交到安全部门，还有一次问答，顺利通过了我们才给做之后的开发工作。从这点，可以看出来微软对安全非常重视，安全产品设计是一个经典，无论从服务器还是云服务都是按照这一套方法论来做的。

记者：这两年，中国的企业对于网络安全的看法相比前两年有哪些改变？中国企业愿不愿意花更多的钱、更多精力投入其中？      

李亮：从我们观察来讲，最近这两年的时间，客户的安全意识觉醒对我们来讲感触很深，安全这个事大家普遍认为不疼不花钱。今天攻击、网络犯罪或者勒索呈现了勒索即服务的趋势，例如雇佣海外恶意攻击代理，有非常完整的链条，所以变得越来越普遍、成本也越来越低。我们在这个行业里边，几乎每周都会有两到三家客户找到我们，被钓鱼了、被勒索了、被加密了。

另一方面，因为疫情原因，很多企业为了业务会把核心业务暴露出来，这个时候带来的攻击面也会大，随着数字化转型，很多新的业态、新的方式、新的形式呈现出来，所以这个也是给我们带来新的问题。

此外，我们目前看到虽然攻击变得越来越多，勒索威胁是两年前约250% 的增长，但是入侵的手段基本还是传统的，例如钓鱼、恶意软件导致勒索，包括一些零日攻击，我们看到很明显的倾向是，零日攻击被利用的效率、速度变得越来越快，之前没有那么迅速，但是现在基本上一个漏洞被暴露出来数十分钟到数个小时内，就可以把攻击的脚本、代码到处传播。所以这个时候带给很多企业非常巨大的挑战，因为响应一定不是像以前那样，有每个月制定的主动的计划，现在变成7*24的要求，需要安全洞察、响应能力提升。

举一个例子，很多客户在面对安全的时候，利用急救思路，出了事赶紧补救、亡羊补牢，但是损失已经产生了。但是今天希望企业用一种“养生”的思路考虑这件事情，急救这件事情更强调是应急响应能力，养生是主动的规划、主动的建设、应对未来可能发现的问题。因此，在安全建设这件事上，急救能力很重要，养生战略也很重要。还有一点，企业需要非常清楚地知道哪里出现了问题，比如框架还没有完全做实、全面的威胁防御体系还没有构建起来，这些就是要治的病，更多从战术的角度上去做，利用先进的思维、先进的方法、先进的理念构建现代化运营。

徐明强：我从与企业交流观察发现，虽然有这么多的威胁存在，但是企业决策者，很多时候没有认识到在IT环境和物理环境上差别非常大。物理办公室门锁上以后，很少发现突然来了很多小偷试图把门撬开、很多人试着破窗而入。所以很多企业决策者就存在这样的错觉，IT系统可能也是这样，其实正向反。

以微软的数据库管理软件SQL Server为例，在微软位于欧洲的数据中心，技术人员曾尝试对外网打开一个没有数据、空白的Microsoft SQL Server端口进行测试，仅仅一分钟之内，便出现了非常多的密码攻击。仿佛一滴血掉进了海洋里，仅是血腥味就能吸引无数的鲨鱼。企业如果没有很好的安全策略来防护的话，经常是被攻破的。让决策者有一个非常好的安全认知是非常重要的。

记者：去年《个人信息保护法》实施，展示了国家对安全形势的重视，微软在条例公布的阶段，有哪些安全上的思考？安全战略及安全技术有哪些变化？  

李亮：《网安法》、《数安法》、《信息保护法》以及最近网信办发布的新规细化个人信息出境细则等等一系列，对于唤醒数据安全、信息保护的意识是非常有利的促进。作为微软来讲，我们看到客户安全意识不断加强。所以我们经常举例，促成客户建设安全、合规或者数据保护几个关键的诱因，以前更多是业务驱动、技术驱动，建设更高效、更智能的平台，但是现在我们越来越看到是外部攻击诱因、政策加持。

    站在微软的角度，微软是一家全球性的技术公司，微软本身的产品及设计上帮助客户实现安全，是我们一个很重要的纲领，我们确保我们运营的服务首先在当地是合法合规的，微软智能云在全球拥有100多项合规认证,具备完善的合规认证体系。举一个例子，微软平台里边有一个组件叫做合规管理器，打开以后会有一标版，告诉你现在合规或者法律遵从的分数，同时可选择各种各样的模板，比如选GDPR、网安法、数安法的模板，这些模板背后，是微软庞大的安全合规律师团队，把这些具体的法律法规的条款拆解到对应的技术控制点，然后把它以技术化、产品化的方式呈现，帮助客户了解例如GDPR的7.8.3当中的要求，但是还没有做对应的防护或配置，点一下这个马上跳转到页面，帮助完成对应的配置，配置之后再看合规的分数就变高了。在微软产品里特别多这样的细节，帮助实现安全场景化可操作性。

今天很多企业客户面对法律法规最大的障碍，是从法规到实施中间这个鸿沟怎么做，微软能够帮助客户用较低的成本、最可行的操作来实现。总结一下，法律法规推动企业建立健全完善安全平台，关于如何将这件事实现可操作性，微软在其中做了很多思考。

徐明强：微软 Dynamics 365 和 Power Platform 不仅拥有全球 12 个国家的 100 余项安全、可信云平台认证，还通过了众多国家不同行业的核心法规与资质认证，助力企业在海外市场减少合规性风险。我经常说，这需要的不是智商，需要勤商，因为制定部门经常修改、更正规定，我们也不断更新，不断要做这样的工作。

李亮：徐博士讲到这些法律法规不是不变的，每个月数百项的更新，大家也可以访问一下微软的信任中心，在里边我们公布了所有微软拿到一些认证、资质也好，大到等保参考的规范，小到行业里面的约定以及要求，这些东西在微软信任中心都是公开的，而且是动态调整，花大量的精力做这件事情，确保我们业务在全球、在中国合规。

记者：云应用企业无处不在，每个人都是其中一环，移动办公应用非常广泛，手机也好、电脑也好，走到哪儿都在工作，网络的接入也变得无处不在，大家比较关心移动互联网这块的安全，微软有哪些安全策略或者有什么很好的建议？

李亮：在移动办公方面，随着应用场景越来越普遍，攻击面也越来越大，甚至我们看到终端的查询机都可能成为安全防御的一个入口。怎么保证所有的攻击面都有对它的威胁的检测、响应、洞察，这个事情变得非常重要。微软提供Denfender解决方案，包括三十多种不同的功能，有针对终端、邮件、身份、数据库、IoT等等。围绕这样一个检测响应机制，我们可以把生活和工作都能够防御起来，甚至用户在手机上用第三方APP，如微信上有人将非常敏感的东西丢到五百人的大群里，这种情况也是潜在的威胁或者数据泄露的问题。这些东西怎么防？围绕移动终端、电脑，物联网设备、服务器等这些全方位安全工作，这是首先要做的事情。

第二要借助AI。这个也是微软在安全上面很大的竞争力所在。在搭建了完整全面安全架构以后，依赖人处理和判断有很大的问题。而且很多时候，数据泄露往往不是通过数据库的平台，往往通过邮件或者终端的平台，所以这个时候可以让AI在安全上面发挥更多的作用，综合判断每个安全信号、每个安全事件，并把它们关联起来、帮助你分析，告诉你攻击者的路径法如何，帮助减少很多人为的干预，包括人为跨系统的排查。

第三，今天我们越来越强调自动化、智能化的安全运营。在微软看到这么多不同的服务，有大概90%以上的安全信号会关联做分析，分析之后大概70%到80%会自动化地处理和修复，再剩下的根据优先级处理，最后人为干预可能3%到5%，这样的话能够给我们提供现代化的安全运营，这是今天我们所倡导的，帮助企业构建安全的框架。

此外，微软也会有一套更全面的安全运营的逻辑。跨领域、跨平台运营能力非常重要，在这套控制领域里边，不仅微软自身，还有包括其他友商。例如，在生活中，遍布大街小巷有交通传感器、线圈、摄像头，但一定要有一个交通指挥中心，告诉你哪儿发生拥堵，该怎么调配，这是企业级安全构建要考虑的问题。

记者：企业进行安全建设，会不会增加成本？

李亮：这是一个特别好的问题。从我们绝大多数客户实际成本的测算，包括投资和收益的测算来讲，恰恰相反。

   如今安全市场的现状，可以说是一个细分胶合的状态。每家企业都会面对十几种甚至数十种不同的安全厂商，如果说只用微软的终端防护，可能觉得成本并没有什么节省，但是如果考虑一套未来的不管混合云还是多云，还是纯云的状况下，这里边很多能力都是内建的、免费的，反而帮助我们节省大量成本，以前这个逻辑先上一个A，再买个B，去保护A，这种逻辑大家很理解，甚至有ABC，但是有XYZ等等保护这堆东西。如今A本身就很安全，你这个A比你以前那个A成本稍微高那么一点点，其实是这样一个逻辑。

徐明强：当我们在开销的时候一定是一个和另外有一个平衡的。例如，黑客要攻击一个公司的话，发现有该打的安全包补丁没打，一般进去的话是分钟级别就可以进去了，相当于非常熟练的小偷，锁又很一般，轻松就把锁打开了。

很多人没有意识到这个现象，很多人亲自经历被勒索、被攻击以后才意识到，丢失了这些数据以后，要换一个更好的锁。任何一个企业都需要更安全的锁。

数据被偷了以后，多长时间才知道？一般家里物理的东西可能很快就会发现，但真正IT犯罪的黑客是把自己的痕迹擦得干干净净，日志删掉，可能你也看不见什么时候发现自己被攻击了，火灾往往是对面的邻居给你报警，因为看你那个火苗都从房子里穿出来了，IT的情况就是你的公司为什么给我发勒索邮件，别人帮他报警。

合作伙伴方面，微软虽然有非常优秀的工具，但是真正要把这么好的工具推到企业当中，我们需要很多合作伙伴帮我们一起来做。我们关注优先级比较高的六个场景，等保安全合规的一站式服务、零信任架构解决方案、企业威胁防御解决方案、云端尤其是混合云安全运维、敏感数据治理以及保护解决方案，最后是企业风险管理解决方案。我们有这些场景，我们怎么到企业去做呢，首先是安全检查，首月是免费的，让客户看到 IT环境是怎样险恶，之后借着这些安全结果做安全培训、做钓鱼邮件的测试、等保的咨询等等。有了这些以后，我们就可以下面看客户对哪些兴趣，危险防护、云端安全、身份访问、信息，还是终端管理，合规管理，在每项都有一些非常具体的合作伙伴提供服务。

李亮：安全这件事情不是微软自己可以搞定，微软一直强调整个生态对于我们业务发展、帮助客户解决问题非常重要。三四年前，我们加大了对合作伙伴建设力度，首先我们要把合作伙伴的能力带上去，因为安全这件事情还是需要先进的思维；在最近两三年的时间，我们鼓励合作伙伴为客户做安全检查，因为大多数我们的客户都不知道企业出现了什么问题，合作伙伴通过安全检查的方式帮助客户解决很多安全问题，微软花了大量的人力、物力、财力激励这件事情。

全球来看，微软针对合作伙伴的计划，把安全设计理念与安永、普华永道这样的咨询公司、投资公司这种合作，传递给我们的客户，共同构建起既有咨询服务，又有技术实施的能力。微软投资了大量合作伙伴激励计划，在安全上面，合作伙伴真的能把微软的安全投入到客户的市场里，微软会给很多优惠、返利。

分享一个数据，微软在上一个财务年度安全上的收入是150亿美金，未来5年在安全上的投资还将超过200亿美元，微软在研发层面的投入或者在安全上面的投入是重中之重，我们笃定了需要做这件事情。

记者：您怎么看待各方，包括供应商、用户等在安全方面的角色？   

徐明强：我觉得这是一个非常好的问题。多云成为常态，面临重塑安全性的迫切需求，给我们和厂商提供非常重要的机遇。

首先，盲点的可见性和可控性，防御云目的是为了保护云，保护移动IoT资产的身份，以及安全的外围。确实给大家提供了自动化的监控、策略性的监控，甚至有些地方是强制执行的，如果你不执行的话，虚机容易不合规。

第二，敏捷高效的威胁防护，这就是刚才李亮谈到的需要很多自动化、集成化的工具，可以提高响应的速率、效率以及有效性。

第三，是查找并且保护知识产权，以及监管的数据，比如信任中心创建文档，能够帮助自动分类，在数据整个生命周期里实施一致性的数据保护，所以这是所有企业都应该意识到的问题。

困难和挑战是工具不统一，技术也不同，每家都有自己不同的虚拟层，日志分散在不同地方，微软尊重用户在多云上的选择，可部署到不同的云上，最后有统一数据的展现。

看到这些机遇、这些挑战，刚才我也说了，我们分到这六个场景，帮助选取我们的合作伙伴，现在好处在于很多合作伙伴在安全方面已经能力是非常强的，有很多这方面的资质，也有很多服务过这样的客户，我们这个团队是帮助他们更好地了解，首先是我们安全的理念，其次是安全的产品，帮助赋能企业，最终的目标跟我们微软的使命有关，予力全球每个人、每个组织成就不凡。在安全这个情况下，我们认为每个人，每个组织，只要用了我们微软，甚至其他云的这些服务，他们的安全就是我们的责任。  

李亮：在微软和客户日常共建过程中，尤其安全这个事上，“责任共担”更多从技术架构、技术预案上来看大家的安全责任在哪里。但是在安全本身，责任公担还有两点。一是，我们需要IT和非IT线的人有共同的安全意识，安全不只是IT或者技术层面的问题；第二，技术路线的制定者和我们最终被保护的这些人，员工、周边生态、上下游供应链进行一个责任公担，任何一个环境，出现了纰漏都会给整个安全框架带来很大挑战，很多时候做这种责任公担，需要落到最终用户去接纳、去使用。