【编者按】2018年8月14日-8月16日,由中央网信办指导、国家计算机网络应急技术处理协调中心(CNCERT/CC)主办、中国互联网协会网络与信息安全工作委员会和中国通信学会通信安全技术委员会协办的2018中国网络安全年会在北京国际会议中心隆重举行。会上,360集团董事长兼CEO周鸿祎作了题为“创新驱动安全 产业担当使命”的主题演讲,得到了与会嘉宾的热烈反响。以下为致辞全文,以飨读者。
360集团董事长兼CEO 周鸿祎
各位领导,各位嘉宾:
大家中午好!
这些年,CERT在国家网络安全中发挥了越来越重要的作用,CERT年会也成为我国网络安全界业务交流的盛会。今天上午我听到了很多专家和领导不同角度的真知灼见,这给我很大的启发。我们跟CERT一直有很深入的合作,共同为中国国家网络安全做了一些工作,比如去年WannaCry勒索病毒爆发的时候,我们同CERT一起进行紧急处置,360也是每年给CERT上报漏洞最多的企业。
习总书记在今年全国网信工作会议上阐述了网络强国战略思想,明确地提出要通过自主创新推进网络强国建设。作为中国最大的网络安全企业,我们感到责任重大。深入学习习总书记网络强国战略思想,结合多年的工作实践,我们认为,目前探讨互联网网络安全,不能孤立地看信息安全、电脑安全或者设备安全,而应该看到网络安全已经延展到国家安全、国防安全、社会安全、基础设施安全、金融安全,以至于人身安全。在各个方面,网络安全都带来了新的威胁与挑战。这几年,随着物联网、工业互联网、车联网的发展,给我们带来便利生活的同时,这些网络技术把物理世界和虚拟的网络空间连到了一起,使得在网络空间中的攻击可以造成物理伤害。所以我们认为全球的安全时代已经从信息安全时代进入“大安全时代”。美国总统大选已经过去两年,但关于黑客是否干预了大选,这个问题到现在都在争论。前两年乌克兰电网瘫痪,美国东海岸断网事件,最近台湾台积电的生产线被勒索病毒攻击中招,导致生产上受到了很大的损失,还有新加坡总理李显龙个人治疗疗信息遭到网上盗窃,这一系列事件的发生表明在“大安全时代”,网络安全的形势非常严峻,我们面临着空前的挑战。如何面对“大安全”?我看到新闻的结论:“没有攻不破的网络”,换句话说,一味地靠过去传统意义上的防守,通过装一些软件或者加装防火墙,就想解决今天的网络问题,实际上是不可能的。那么我们也提出了新的解决方案与思路,其中一个观点是:依靠创新驱动,才有可能打赢这场网络安全保卫战。所以网络安全企业应该更主动地担当,争取更大的作为。
下面我来分享一些我们对网络安全形势的思考,抛砖引玉,供大家讨论。
第一,全球网络空间在“大安全时代”进入“超竞争”态势。目前,在网络安全方面处于领先和优势地位的美国,最近动作频繁,采取多种手段,全方位地提升和巩固它的领先地位。在人员方面,美国133支网络部队正式成军,新的情报授权法案再次扩大网络攻防人员规模,同时增加薪酬标准。在资金方面,美国刚刚通过了《2019财年国防授权法案》,将网军网络行动装备采购资金提升三倍多,预计今年美国军方在网络安全的投入将超过300亿美元。在法律方面,最新的国防授权法案明确地授权国防部长开展网络空间军事行动,美国网络司令部随之成立了网络战的特别行动小组,物理上反击其他国家的网络威胁。在技术和装备方面,众所周知,去年4月的WannaCry是利用了美国NSA泄露的“永恒之蓝”网络武器,这件事暴露出美国已经实现网络武器的平台化、系统化、定制化,拥有“永恒之蓝”、“冲击钻”、“水腹蛇”等一大批先进的网络武器,而且美国网军正在打造代号为“网络航母”的最新网络武器统一平台,相信会有更大的威力。从人员、资金、法律、装备到技术,美国的网络空间军事战略不仅具有相当的领先优势,更是在全方位地在强化其优势地位。
还有,今年各国都在争夺网络空间话语权。在今年的瑞士达沃斯论坛上,网络攻击已经被认为是仅次于极端天气和自然灾害的全球第三大威胁。各国都在采取行动应对网络风险,例如:英国已经成立了国家层面的网络安全中心,6月又推出《最低网络安全标准》,要求所有的政府部门必须遵守新的安全标准防范风险;欧盟最近的大事之一就是发布了保护个人信息和数据安全的条例GDPR,任何国家的公司如果违反条例,都有可能受到严厉处罚,该条例可能成为欧洲数字经济重要的自我保护手段。印度将网络安全视为国家战略,6月开始对拥有自主知识产权的本土网络公司和产品给予优先支持。例如,印度最近给苹果下了最后通牒,要求苹果手机必须预装印度本土产的软件,否则将在电信层面封禁苹果手机。日本在7月推出了国家网络安全战略,对能源、电力、机场等重要基础设施进行分类保护。以上几点充分说明,目前全球网络空间竞争呈现“超竞争”态势。我国的网络强国战略,给了我们很多启示,同时也是一个严峻的挑战。
在网络安全方面,习总书记强调,自主创新推进网络强国建设。我认为,网络安全更需要创新的驱动,通过战略创新、战术创新、技术创新来推进“大安全时代”的网络安全建设。其中最重要的思想就是要打造整体的防御体系。过去很多单位各自为战,国家网络、企业网络和个人网络安全分属不同的领域。但网络是一个整体,每个环节的脆弱性都可能成为网络安全的短板。所以一定要有顶层设计,形成整体防御。例如,网络战与传统作战最大的区别在于,传统物理作战区分军用目标和民用目标,网络战不区分军用民用,甚至很多对国家重要基础设施和军用目标的攻击是从对个人的渗透和攻击开始。美国在整体防御方面思想比较领先,今年在旧金山的RSA大会上,美国国土安全部部长尼尔森发表演讲指出:新时代的安全战略是共同安全。新的安全时代不再区分你的企业还是我的企业,不再区分政府和个人。事实上,美国一直都在用整体防御的思想来统筹网络安全的建设。我国的很多单位虽然也花了很多钱,各自购买了路由器、交换机、防火墙或者安全软件,但实际上这些系统都非常的零碎,并没有在数据、管理、威胁情报等方面统筹起来。
美国在网络安全方面可能未来是我们的对手,但也是我们的老师,有很多先进经验值得我们学习。
第一,建立了整体防御的体制。在网络安全方面,国土安全部是除军队以外全国的网络安全牵头单位,不但行使统筹协调职能,更重要的是,它还是国家网络防御体系的建设者,负责对美国国家的网络防御体系进行统一的规划设计和组织建设。
第二,国家统一建设网络安全防护体系。美国从03年开始了“爱因斯坦”计划,对各个政府部门进行统一的防护,国土安全部与电信运营商、互联网公司等私营企业合作,共同对网络攻击进行分析、检测和阻断。例如,希拉里“邮件门”事件之后,美国马上建设了统一的钓鱼邮件过滤系统。所有的安全人员都知道,给特定目标发送钓鱼邮件是网络攻击和社会工程学最常用的手段。美国现在花费十亿美元,将所有政府部门和国防、能源等十三个重要行业的企业接入该系统,可以说将今后国外势力对美国发起钓鱼邮件攻击的难度提升了十倍。
第三,研发一系列的网络安全技术、工具和能力,为其它部门和私营企业提供支持。例如2016年,国土安全部投入十亿美元,将恶意软件分析、行为分析等8项技术转成商业工具,并进行推广应用。
第四,成立国家风险管理中心。7月31日,国土安全部宣布成立国家风险管理中心,统筹安全数据情报共享。
第五,开展跨部门的网络演习。美国连续十多年开展“网络风暴”攻防演习,把过去的静态安全检查变成网络安全部队和黑客的实网攻击,来提升整体的协同能力。
第六,军地部门联合开展防御。美国国防部将部分网军划拨给国土安全部。国土安全部要求帮助确保机场、能源等关键基础设施的安全。
对于整体防御的重要性,我国国家高层也十分重视。总书记强调:网络安全是整体的,不是割裂的。这些年从机构设置到技术力量的配备,我们的网络整体防御也取得了很大的进展。CERT就带有整体防御的一些角色。公安部的“护网2016”和“护网2018”也统筹了全国很多单位和黑客战队来进行攻防演习。应该说我们都看到了之前的成绩。但是从一线的实践来看,还有很多地方亟需加强。比如刚才讲到的整体性不够,各地各部门各单位的安全体系条块分割,安全数据和威胁情报不能相互共享,不能有效地协同。例如,WannaCry在去年5月份开始流行,一两个月之后,疫情在很多国家得到了有效的抑制,但从我们监测的数据来看,在中国大陆,每天还有一千台以上的电脑被WannaCry所感染。因为很多单位没有及时地了解最新的威胁情报,也没有及时地打补丁修复。因此我们有两条建议:一是国家实行从中央到地方网络安全体系的统一规划和建设,一定要建立国家级的网络安全态势感知和应急指挥平台,聚合政府、军队、国企、高校、科研院所和民企等各方力量,打造总体的防御体系。二是建立相关各方的网络安全信息互动共享机制,国家掌握了大量的网络安全数据,但是很多网络安全企业战斗在一线,有丰富的实践经验,是利用安全信息和大数据的主要力量,如果大家能够实现数据的良性共享,才能促进国家安全整体水平的提高。
最近政府人士在很多场合提到,网络强国应该有“杀手锏”的技术,我们大家每天也在思考。网络安全是一个比较复杂的课题,刚才方院士也讲到了三个维度九个空间的复杂性。网络安全确实没有一种“银弹”技术,也不可能靠单个技术确保网络安全。
但我们认为有三个方面的技术(很有前景)。第一个是网络漏洞挖掘。漏洞是网络安全的“命门”,谁拥有一定数量的高价值漏洞,就能扭转攻防不对称的态势,因为今天所有的网络系统能够被人攻击,最主要的原因是攻击者掌握他人未知的漏洞,所以漏洞是网络战重要的军火资源和战略资源。发展漏洞挖掘要做好两件事:一件是要利用好我国的人才优势和红利,目前漏洞挖掘还是靠人工,我国有大量的年轻技术人员,可能有相对优势;另一件是研究利用自动化和人工智能来自动挖掘漏洞的技术,这也是未来的趋势,我们要抓住机遇,加大投入,争取主动权。
第二个是安全大数据。在“大安全时代”,对于未知的攻击,我们没有有效的防御手段,目前能够在攻击发生时感知并溯源的技术主要就是大数据。尽可能通过各种各样的传感技术,尽量多地对网络行为和数据进行记录,从浩如烟海的数据中进行分析和挖掘,快速地发现高级威胁。近年来,我们配合国家有关部门,发现了38起APT攻击、针对我国的情报渗透,以及美国追踪造成东海岸断网事件的Mirai僵尸网络,都是利用了大数据的追踪分析能力。现在,360手里有大数据,运营商手里有大数据,其他网络公司也有大数据。美国网络安全界有“八大金刚”,在美国政府的统一协调下,实际上已经实现了大数据的共享。我们认为,中国在大数据方面实现网络的弯道超车是有可能的。
第三个是人工智能。在网络安全方面,有了大数据之后,我们有了分析的基础,但是面对浩如烟海的数据,靠人力是很难处理的。所以,通过人工智能,提升大数据的处理能力,实现网络威胁自动化、智能化的相应处置。我认为我国在人工智能应用技术方面已经有了很好的发展,我建议在人工智能和网络安全的结合方面,国家能够有相应的政策,加大投入,催生这种超车点的技术。
这次大会的主题里有“安全大脑”,凑巧的是,360正在构建“安全大脑”。我们认为,应对“大安全时代”的新威胁和大挑战,单靠某个单项技术不能解决问题,应该在安全大数据和人工智能分析的基础之上,进一步利用万物互联、云计算、移动通信等技术,构建网络空间的“安全大脑”,实现更加智能、整体化的安全防护。其中,物联网设备作为数据采集的传感器,是“安全大脑”的感知触角,就像人的眼、耳、鼻,采集一切与安全有关的数据,所有一级的传感器持续采集,就获得了最新最全的安全大数据。而移动通信网络就像神经网络一样,把这些数据源源不断地传到云端。云端的“大脑”是由几十万甚至上百万台服务器构成的分布式系统,对这些数据进行存储和计算,再进一步利用人工智能,Deep Learning(深度学习)的算法,实现数据分析,产生威胁情报,并对网络威胁自动进行感知。聚合我们的技术能力,最近发布了“安全大脑”的1.0版本,已经成功用于网络安全态势感知、攻击溯源、威胁情报、通信诈骗识别。未来我们会进一步集中资源和人才,把“安全大脑”打造成网络安全的国之重器。
尽管从上到下都很重视网络安全,但是真要做好网络安全,我认为不仅仅是靠政府单方面的重视,最重要的是把产业做起来。网络安全产业是支撑国家安全事业的基石。没有产业,或者产业赚不到钱,就不可能有最优秀的人才和资金的流入,不可能有最有创造力的企业的投入,就不会在网络安全上有技术和产品的理念优势,也就没有国家安全。美国和以色列的经验表明,产业的强大才能带来网络安全的强大。美国机构发布2018年全球网络安全创新500强,有400家是美国公司,除了赛门铁克、等老牌网络安全公司,雷神、洛克希德·马丁等传统军工企业都通过投资和并购的方式变身成为网络安全企业,这些企业成为美国网络安全的中坚力量。以色列的网络安全产业全球领先,2017年以色列网络安全产业出口38亿美元,有420家网络安全公司,融资规模占全球的16%,仅次于美国。虽然近年来由于领导和政府的重视,我国网络安全产业有了长足的进步,但是离维护网络安全,建设网络强国的要求还有较大的差距。2017年,我国从事网络安全的企业有2600家,但同期我国网络安全市场规模只有439亿人民币,不足美国的七分之一。收入和利润的限制导致网络安全企业的创新投入不足,产品和技术创新度不够,也难以吸引到最优秀的人才。网络安全创新500强中,中国公司仅占6席。有人吐槽360不像网络安全公司,不务正业,收入90%都是网络广告,都快成网络广告公司了。如果看看中国网络安全的同行兄弟们,如果只做安全,做到20亿基本就碰到天花板了,利润也比较微薄。所以我们算是一家比较独特的企业,通过互联网的模式,每年有上百亿的收入,几十亿的利润,我们拿这个再反哺安全的投入,可能只有这样,才使得360在网络安全上持续保持中国第一的投入。未来中国的网络安全企业可能不用像360一样,通过安全本身也能扎扎实实地赚到钱。
所以我们也提了一个建议,现在大家都在搞信息化的建设,无论是智慧城市、智慧政府,很多企业也在大量做安全的投入。但是我国跟美国相比最大的区别是,网络安全投入占整个IT系统投入的比例偏低,因为投入安全不直接产生效益。花钱投入安全,不知道有没有效果。据不完全数据,我国网络安全总投资在信息化建设投入中占比1.04%,远低于美国的11.65%。我国政府单位平均网络安全投入仅为美国的十分之一,企业平均网络安全投入仅为美国的十五分之一。美国对政企单位网络安全投入有一套强制性的规定,例如对于政府,美国有联邦信息安全管理法案,强制要求政府部门网络安全投入占信息化投入比重提高到平均15%,该法案由联邦预算管理办公室负责对落实机关进行监督检查。各级政府部门因此比较容易拿到网络安全投入的财政预算,同时也不敢挪用。对于企业,也有非常严格的监管措施,例如美国对于上市公司的审计,企业必须满足非常苛刻的信息安全的规定。所以美国的几大审计的会计事务所都成了最大的网络安全服务企业。而且还规定公司发生的信息安全事件,必须向公众披露,这使得美国企业在网络安全方面必须进行非常大的投入,才能保证合规。有一个数据,美国某网络安全企业一年在网络安全咨询上的收入就高达200亿人民币,超过了中国专业做网络安全的公司。所以我认为国家不一定参与很多具体的事情,但是国家应该建立网络安全投入的最低标准,对政企单位提出更加严格的要求,对大型企业必须推出网络安全审计制度,并强制要求上市公司网络安全事件必须对公众披露,否则应予以处罚。
还有一个建议,我们希望出台国家网络产业十年振兴计划。最近弯道超车也被认为是投机取巧的负面词汇,就像大家都谈到芯片一样。大家都知道,罗马城非一日建成,网络安全也不能靠投机取巧,我认为必须做长期规划。以色列在发展网络安全方面有一些比较好的做法,在11年就把成为网络安全强国作为发展目标,一系列的产业促进政策使目标圆满实现。我认为我国应当出台为期十年的网络安全产业振兴计划,让这个行业尽快壮大起来,现在大家的关注点都在芯片和5G通信,但是网络安全也非常重要,如果没有网络安全,那么其他产业越发达,最后都像被别人埋了地雷一样。比如台积电,在IC制造上很有经验,能够做7nm的芯片,但是简单的WannaCry病毒就能让它的生产线停工。现在大家在呼吁给芯片行业各种优惠政策,今天我也替——不是360,因为360营收主要是网络游戏和网络广告——整个安全行业的众多公司,众多民营企业,呼吁国家的产业促进政策。时间关系,众多建议我只说一点,最近很多企业家都在谈减税问题,我不敢发表太多意见,但我想能不能十年内对网络安全行业进行免税?因为国家也有大事要做,很多地方用钱,我认为普遍性的减税是不可能的,但是对于涉及国家安全的产业,应该实施税收减免。现在集成电路产业已经可以享受“五免五减半”的企业所得税优惠,就是前五年免除交税,后五年减半交税。我认为网络安全的重要性其实不亚于集成电路,而且网络安全行业规模很小,国内市场规模不到500亿元,只有集成电路产业的十分之一,即使十年免税,对国家收入影响有限,却能带动资本、人才、技术和创新资源的聚集,让网络安全产业获得更快速的发展,让我国国家安全取得更好的保障。不仅给企业免税,网络安全企业的员工也应该减税,我们很多网络安全企业没有能力给出高薪资去吸引人才或者留住人才,不是不想给,实在是收入和利润太低,所以很多高手都被挖到互联网行业,现在BAT也快成网络安全企业了,还有一些被国外公司挖走,在座同行可能都有感受,所以我觉得如果能有个税减免的优惠方案,可以大大增加网络安全行业对于高级人才的吸引力。
360在网络安全行业可能是领头羊,但是生态不是一个企业长大就能解决所有问题,大树之下寸草不生,生态是说有大树,有灌木,也有小草,生物的多样性才能带来生态的不断进化。所以今天我们冒昧地代表整个网络安全行业,很多网络安全创业企业,提出一些建议,希望国家能够有相应的政策把网络安全的产业做强,把生态做强。只要有行业的吸引力,就像今天中国互联网用了十到二十年的发展,今天已经涌现一批可以在全世界名列前茅的企业,我们认为产业的发展能带来人才和资金的流动,我相信未来十年,中国一定能够从网络大国变成网络强国。谢谢大家!
以上内容由本刊记者根据现场录音整理,
未经本人审校。
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
