钛媒体注:9月12日,第五届中国互联网安全大会(isc2017)在北京国家会议中心开幕,本次大会的主题为“万物皆变,人是安全的尺度”。在大会开幕式上,360公司董事长周鸿祎发表了一场题为《网络安全进入大安全时代》的演讲,提出“大安全”概念。
我们正处于一个大安全时代。网络安全已经不仅仅是网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。
在接受媒体采访时,他说明了提出这个概念的缘由,他觉得马云提出新零售的说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩。所以,他在屋里想了好几个月,想了一个‘大安全’,但这个安全是货真价实存在的,能自圆其说的。
“安全还是360的安身立命之本,做到一定程度上不仅是个业务,也是个责任,一个企业除了让员工挣钱,员工买了房子之后,也需要一种成就感,我们在行业里也需要。企业能不能长久,要看能不能做到被人民离不开,政府离不开,社会离不开,你也很有机会。”
在周鸿祎看来,中国互联网安全主要还是两个极端,一个极端,领导非常重视,世界各国首脑没有一个人像中国领导对网络安全给这么高的评价,说没有网络安全就没有国家安全。所以,各家投入也很大。另一方面,网络安全公司产业规模还太小,360属于矮子里拔将军,算是最大,但和其他产业比,像绿盟、启明星辰等公司规模就更小,安全产业也有很多缺口。
周鸿祎还介绍说,目前安全产业没有做起来,安全产业不是360最挣钱的,基本不挣钱。所以,周鸿祎觉得360在安全之外还要做点互联网挣钱的事情,就像腾讯在通信上不挣钱,但还得做点游戏和广告。
尽管安全不挣钱,周鸿祎还是会坚定地把它做好做大,“大安全”的时代,大家对360的理解不能只是免费杀毒拦和截骚扰电话,其实在今天的工业安全、社会安全、国家安全、网络战攻防方面,360都能发挥重要的角色。
“我们为此还成立了企业安全集团,2b这块专门有集团在做。除了2b,我们安全、社会安全和未来新兴的物理安全领域都是巨大的机会,就像我刚才说到了,军民融合是个大的机会,美国最挣钱的是军工产业,一打仗军工产业都挣钱。
过去中国很多企业,中国的500强,中石油、中石化、三峡大坝、中国的核电站,国网电力,他们不需要安全服务吗?他们过去没有这个意识,当大型国企和大型银行需要安全服务,这个产业就起来了。
所以,360今天提出“大安全”,希望对产业以更多的激励,用市场化的观念,更多的投资进来,希望更多优秀的人才投身到这个行业,养更多年轻人进入到网络安全产业,用5年的时间把中国打造成一个安全强国。到时,很多公司可以实现业务和商业模式上的转型,从简单一次性卖硬件到卖服务。
网络安全未来是服务业,以后安全公司不卖任何东西,网络安全从培训和服务业角度,未来这个产业发展也很大。不是去黑别人来搞破坏,就和银行签定协议,每天通过发银行漏洞,银行遭到攻击上门及时帮忙修补。
被问及360借壳上市的传闻,周鸿祎回应称,将严格遵照政府规定,按照中国证券法规正常进行,一旦有消息将会公布,并提醒不要听信市场传言。“有些股票非常流氓,因为带着一个’3’就说我们借其上市。”(钛媒体编辑整理报道)
以下是周鸿祎在大会现场的演讲:
各位朋友大家好!先谢谢patrick paumen先生,但是打死我也不会在身体里植入这些东西。我觉得我们已经够不安全了,如果在体内植入越来越多的设备,那么可能人也会被hack了。
互联网安全大会开了5年,我们会议的规模也越来越大,其实我的理解这个会议并不是说我们要宣传什么,而是它是给我们安全行业的一个年会。每年我们有这么多朋友,这么多同行坐在一起,我们先抛几块砖,来引发大家更多热烈的讨论,使安全产业下一步往哪里走,可以形成更多的共识。
所以在前面的几年里面,每一年我们都试图总结一些,比如说用数据驱动安全,比如说边界的防护是否依然有效。但是当到第5个年头回顾一下,我们发现有了更多的思考,也有了更多的困惑。我今天说的也许并不代表一个正确的结论,而是对这5年来的一个思考和对下一个5年的展望,我希望能提出一些有挑战性的问题,供所有的从业人员来讨论。
实际上 patrick paumen 本身证明的也是一个极端的现象,就是发展到今天,我们觉得一切皆可编程,万物均要互联,整个社会,整个世界,实际上都运转在软件之上。在这样一个情况下,只要是软件,就一定会出错,是软件,就一定会有漏洞。所以安全的问题这几年我的感觉是,越解决越多,不知道大家有没有这样的感受。
前一段有个人写了一篇文章,说人民想念周鸿祎,我也看了看,我跟大家解释一下,为什么我这段说话比较少了,两个原因,一是回顾了作为中国最大的网络安全公司,我们真的感觉到很大的压力和挑战,如何解决今天越来越多的安全威胁和挑战。回到国内,作为一个安全,我们自认为是安全的头号企业,我们觉得要变得稳重一些,要学得稳重一些,所以希望大家理解,我正在学习变得更加的稳重。所以今天的演讲也是严格按照我们的ppt来讲。
还有网络安全的挑战越来越大之后,最近这一段陷入了很长的内省和思考。在过去几年网络安全受重视的程度越来越高,习总书记已经给网络安全做了很高的重视,就是没有网络安全就没有国家安全,很多国家也将网络安全上升到国家安全的高度。中国现在出台了网络安全法,有了立法,也有了国家网络空间安全战略的制定。网络安全产业这几年好像迎来了春天,投资越来越多,网络安全从业人员的工资,这几年顶尖高手至少涨了10倍,整个行业表现出一种欣欣向荣。
但是另外一方面,有人说你这个会年年开,你们天天号称解决了多少问题,但是网络安全的形势确实越来越严峻,网络攻击越来越多,针对国家安全的,带有政治色彩的,针对特定目标的,国家和地区级的网络攻击不断出现,甚至对一些国家的政治安全和社会稳定都提出了挑战。
另外一个方面网络犯罪呈现了爆发式的增长,网络诈骗、敲诈勒索、网络攻击、商业窃秘各种事情增多。国外有个数据,去年全球网络犯罪损失3万亿美金,分析说2021年会达到6万亿美金,实际网络黑色产业链一直比网络安全产业要大10倍,所以顶尖的网络高手,有的会留在网络安全行业,有些人就进入了黑色产业。
网络安全事件,已直接影响到社会正常稳定的运转
最近这两年有三件事情给我们很大的启示,一个就是美国的大选,到今天还在喋喋不休的争论,某国网络黑客的介入,究竟有多大程度改变了美国政治的走向。
第二个,就是在过去两年里面,在乌克兰地区发生了多次对乌克兰电力企业变电站的攻击,导致乌克兰多个地区大面积的断电、停电。乌克兰现在好像成了某些国家黑客的练兵场,他的黑客部队就拿乌克兰的基础设施成为他们演练网络战的一个阵地。
第三个,就是刚才很多嘉宾提到的勒索病毒,勒索病毒这次在全球爆发,应该说在我们国家的病毒危害得到了及时的管控,但是从勒索病毒里面暴露出来了很多的现象,也让我们重新思考,今天我们到底如何重新定义网络安全。勒索病毒因为这次不是一个小病毒,它虽然是一帮小毛贼做的一件很低劣的勒索事情,但是因为他们用美国很成熟的网络武器,这个武器的威力很大,导致很多公共服务业,重要的业务,甚至基础设施无法正常工作。比如说有的加油站不能加油了,英国有的医院不能给病人做手术了,有些地方出入境的签证,比如机动车的牌号登记在一定时间不能正常进行。所以网络安全事件已经可以直接影响到社会的正常稳定的运转。
所以今天的网络经过20年的发展,互联网已经不再是一个行业,互联网跟整个社会融为一体,网络世界和现实世界已经深度连接。马云天天在谈新零售,讲的就是线上线下要结合,在我们做安全的人来看,线上线下的边界已经消失,网络空间的任何安全问题,都会直接映射到现实世界的安全。
刚才方老师谈了很多的定义,我在下面听了觉得作为学者,他定义得非常严谨。但是有一个感觉,我不一定能给出一个严谨的定义,但是感觉今天已经不是当年一个计算机安全的时代,也不再是孤立的谈信息安全时代,今天谈网络安全这几个字,都很难描述这个时代面临的安全挑战。所以安全问题已经泛化,也就是说今天我们进入了一个新的大安全时代,在这个大安全时代,网络安全已经不仅仅是网络本身的安全。网络安全本身实际上是一个安全的集合,它包括了国家安全、社会安全、基础设施安全、城市安全,甚至是人身安全。
全世界已经跨入了网络战的时代
所以今天我们如果再孤立的站在一个信息系统安全,或者网络空间安全的角度谈安全,我觉得我们已经不能够真正的去评估我们在下一个5年到10年,我们所面临的真正的风险和挑战。今天我觉得只有站在一个更大的一个格局,更高的一个高度,所以我们重新定义了一个概念,叫整个世界进入了一个大安全的时代。大安全时代我们有几个观点,还有几个对趋势的判断,说出来大家讨论以下。
第一个,大安全时代,首先是进入了网络战的时代。过去我们看到很多是孤立的网络攻击,但是今天我觉得全世界已经跨入了网络战的时代。我们谈到网络战,我们就必须从战争的角度来看待网络攻击,否则你就会低估网络战对这个时代的影响。所以这次勒索病毒表面上看起来是一个敲诈软件,勒索蠕虫,但是由于它应用的是美国国家安全局泄露的网络武器,所以在这个事件中,尽管损失没有那么大,但是我们必须去深入的反思,我们从这个事件,包括从乌克兰的电站攻击事件,我们来看看到底未来的网络战和传统战争,究竟是什么样的一种关系。
我举几个例子:第一个,你会发现网络战的时间,可能按照一个时间框架,它很有可能是以数年为单位,对一个国家,对一些单位,进行长期的渗透、潜伏和准备,它不像常规战争,常规战争可能有一个宣战的时间点,什么时间突然两个国家打起来了,所以大家有一个清晰的界限。但是网络战很有可能在和平的时期,它就已经在对你进行各种网络战的准备和渗透。就像这一次美国网上泄露了一些网络武器,实际上这些网络武器除了被勒索病毒使用,你会发现在一些重要单位的网络里,我们已经能够看到一些网络武器曾经渗透过的痕迹。所以我们不要觉得今天是和平时期,我们只谈和平,只谈发展,我们不要忽略,网络战本身已经已经在全球都在准备。
网络武器平台化、系统化,甚至是自动化
第二,过去的网络攻击和网络战比起来最大的问题,这次wannacry这个病毒表现出来泄露了这个国家他们已经不再满足于利用漏洞做一次攻击,他们已经具备这种能力,把网络武器平台化、系统化,甚至是自动化,就像1945年美国在日本扔了两颗原子弹,实际上给全球展示了原子武器,从那以后世界进入了核竞争的时代,因为只有一个国家掌握于领先于其他国家的武器,这个世界是不平衡的。所以我们对网络战有一个预言,这次展示网络武器的威力之后,世界各国实际上都会在网络军备竞赛方面进入一个新的高度,就是大家都在思考,如何能够让自己网络进攻的武器能够真正的做到平台化、系统化和自动化,这是一个没有办法的事情,但是它一定是一个趋势。
还有一个,最近大家都在看敦刻尔克,诺兰导演,用三个时间的维度,一个是一周,一个是一天,一个是一小时,你从这个角度看网络战也很有意思,当两个国家发生冲突的时候,如果他们要发生底面冲突,是以周、以月来计,因为你调兵遣将,但是大家知道,陆战的前提是必须要有制空权,所以陆战之前就要有空战,空战是以小时和天来计,才能够得出结果。可是有了网络战之后你会发现,也许在以后的战争里面,空战不是第一次打击力量,网络战会成为第一波打击力量,因为经过前面成年累月的积累之后,网络战的时间是以分钟和秒来计算的,对方如果掌握了网络漏洞,在数秒到数分钟之间瘫痪你的网络,大家问瘫痪网络有什么用?如果我战斗机起飞之前,我把你的电站都给摧毁了,对我的空战是不是有非常有利的支持?所以你会发现在未来的战争里面,我们可以大胆的预言一句,网络战在里面占有了角色,甚至可能是会更加重要。
所以我们提出来这样一个观点,大安全时代,因为今天来的听众里面,我相信也有很多军队的同行,所以大家可以想一想,在大安全时代,我们是把网络战看成只是一个附属的网络手段,还是我们认为网络战将来可能跟传统战争形式会有非常密切的结合。包括在战争过程中,所谓的宣传战、舆论战,在今天的网络时代最终也是通过网络战对信息的操纵和控制来进行。所以我觉得未来的5到10年里面,就像刚才这位美军上将讲到,也许很多国家都会花大量的军费,我不一定投在传统的飞机、...