周鸿祎:要重新定义传统意义上的网络安全

21世纪经济报道 21财经APP 王峰 北京报道
2017-09-13 21:05

在网络里掌握了一个漏洞,就相当于打造了一个网络武器的基本资源。所以从某种角度来说,漏洞和石油,漏洞和很多军用物资一样,应该被视为国家级的重要的战略资源。

9月12日-13日,中国互联网安全大会(ISC 2017)在北京国家会议中心召开。自2013年起,中国互联网安全大会已连续举办了5届,成为业内规格最高、规模最大、最具影响力的安全盛会。

在大会主旨演讲环节,360集团董事长兼CEO周鸿祎强调:“全球网络安全已经进入大安全时代。网络安全不再仅仅局限于网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。”

以下为周鸿祎演讲摘要:

今天,我们觉得一切皆可编程,万物均要互联,整个社会,整个世界,实际上都运转在软件之上。在这样一个情况下,只要是软件,就一定会出错,只要是软件,就一定会有漏洞。所以,这几年我的感觉是,网络安全形势越来越严峻。

一方面,网络攻击越来越多,针对国家安全的,针对特定目标的,国家和地区级的网络攻击不断出现,甚至对一些国家的政治安全和社会稳定都提出了挑战。

另一方面,网络诈骗、敲诈勒索、商业窃秘等网络犯罪呈现了爆发式的增长,国外有个数据:去年全球网络犯罪造成损失3万亿美金,分析说2021年会达到6万亿美金。实际上,网络黑色产业链一直比网络安全产业要大10倍,所以顶尖的网络高手,有的会留在网络安全行业,有些人就进入了黑色产业。

最近这两年,有三件事情给我很大的启示:第一个是美国大选,到今天还在喋喋不休的争论,某国网络黑客的介入,究竟多大程度改变了美国政治的走向。

第二个是在过去两年,发生了多次对乌克兰电力企业的攻击,导致乌克兰多个地区大面积的断电、停电,乌克兰现在好像成了某些国家黑客的练兵场。

第三个是勒索病毒在全球爆发,勒索病毒因为应用了美国很成熟的网络武器,导致很多公共服务业,甚至基础设施无法正常工作。比如说有的加油站不能加油了,英国有的医院不能给病人做手术了,有些地方出入境的签证、机动车的号牌登记在一定时间不能正常进行等。所以网络安全事件已经可以直接影响到社会的正常稳定的运转。

经过20年的发展,互联网已跟整个社会融为一体,网络世界和现实世界已经深度连接。在我们做安全的人看来,线上线下的边界已经消失,网络空间的任何安全问题,都会直接映射到现实世界的安全。

今天,安全问题已经泛化,也就是说,我们进入了一个新的大安全时代。在这个大安全时代,网络安全已经不仅仅是网络本身的安全,实际上是一个安全的集合,它包括了国家安全、社会安全、基础设施安全、城市安全,甚至是人身安全。

大安全时代,首先是进入了网络战的时代。WannaCry病毒事件表明,目前已经具备把网络武器平台化、系统化,甚至是自动化的能力。所以我们对网络战有一个预言,这次展示网络武器的威力之后,世界各国实际上都会在网络军备竞赛方面进入一个新的高度,就是大家都在思考,如何能够让自己的网络武器能够真正的做到平台化、系统化和自动化。这是一个没有办法的事情,但是它一定是一个趋势。

我觉得,网络战的本质就是漏洞。在网络里掌握了一个漏洞,就相当于打造了一个网络武器的基本资源。所以从某种角度来说,漏洞和石油,漏洞和很多军用物资一样,应该被视为国家级的重要的战略资源。

在大安全时代下面,一切皆可编程,所有的东西其实都是软件,但软件是人写的,是人都会犯错误,平均1500行代码就可能有一个错误,这个错误就是漏洞。你现在拿的智能手机里的代码行数,可能是以千万来计,一个稍微复杂的城市地铁系统里面的代码是上亿行,这里面一定充满了无数的漏洞。有漏洞就会被人利用,所以今天我们再次强调一个结论,在大安全时代,要放弃做一个攻不破系统的想法,而是说我们要接受一个事实,就是没有攻不破的网络。

但是很多单位根本不重视漏洞,我们有一个补天平台,每天都会向各种企业和单位报告漏洞,有些单位根本不在乎,有的时候我们报告一个单位有漏洞受到攻击,这个单位就会对我们恼羞成怒,觉得安全公司不给他们面子。

在大安全时代,威胁也在变大,车联网今天已经是一个趋势,当满大街都跑着无人车的时候,我觉得这个无人车一定是黑客最好的工具,因为一旦把它真正劫持之后,这个无人车就变成了僵尸汽车。

最近两年,一个更严峻的趋势发生了,就是工业互联网成为网络战和网络攻击的重要目标。我举两个例子:最重要的就是电力系统,比如说核电站、水电站、变电站;还有一个是地铁的安全,整个地铁都是一个工业控制器组成的网络,一旦这里面的网络受到攻击,包括地铁的供电受到攻击,你可以想像一下这是什么概念。

2015年12月,黑客利用漏洞入侵了乌克兰一家电力公司,远程控制了配电管理系统,导致7台发电站中断了30个小时,导致20万用户停电。2016年12月,还是这个黑客组织又对乌克兰进行了电力攻击,通过数据网络,间接控制了电厂的控制系统,造成了变电站的电厂的运行。

最近一个月之前,美国基础设施委员会发了一个警告,说美国现在的能源企业有可能会遭受其他国家的网络战的攻击,如果一旦发生对能源企业的攻击,很有可能是911之后最严重的事件。所以今年美国军方网络攻防的演习,基本上都是以能源企业作为演习的对象。

在大安全时代要有大的格局,一个很重要的格局,政府国家对民间企业要有协同,军民融合在网络安全产业一定是必然。

网络安全产业和军工产业未来也会融合。和传统战争最大的不一样,网络战很难区分界限,它是两个国家、社会、科研力量之间的冲撞。所以没有军民之间的深度融合,就不可能有真正的网络安全。

在传统战争中,军事目标和民用目标有明确的区分,但是在网络战里面,网络连成一体,今天哪怕对军事目标的网络攻击,往往也是先对一个民用目标,或者一个民间的个人进行攻击,得手之后再以他为跳板,通过网络不断渗透,再渗透到核心目标。所以网络战是一个整体战,任何单位和个人,不管军用、民用都是网络的一部分,一个节点在网上的陷落,有可能导致整个网络的问题。

此外,网络安全需要大数据,目前很多大数据都在互联网公司,在民间,如果不做军民融合,没有了大数据的支持,谈何网络安全?应对网络攻击,还需要很多非常思维的黑客,这些人很有可能在民间公司。

我们需要承认,网络安全其实最终是服务业,你需要提供安全服务的咨询人员,在你系统正常的时候,通过不断模拟攻击来帮你修补漏洞,在真正遇到攻击的时候,帮你最快响应,最快封堵,把损失降到最低,这里需要大量的专业人员。

我访问过美国一些很牛的安全公司,访问之前,我想像的是有一个大电脑,这边数据一输入,那边就告诉你恐怖分子住在哪了。其实不是这样,他们有4000名安全专家在拿电脑分析很粗糙的原始数据。所以我觉得网络安全产业未来5年,会变成一个高质量、高科技的劳动密集型行业,需要大量的专业人员的投入。

我觉得网络安全产业本身,从卖软件、硬件,到变成一个服务,而且还不是出了事才服务,这里面有巨大的产业机会。中国今天安全从业人员的人才是不够的,至少有百万级的缺口,如何把安全人员的培训做好,这本身又是一个更大的机会。

(编辑:何苗)

X

分享成功