360董事长周鸿祎给全国警察上课,讲稿在这里(整理版)
来源:小警之家
该文来源于周鸿祎在中国互联网大会上的讲话
内容与本次大讲堂基本一致,请广大公安民警学习
本文由法官那些事公号综合编辑
“大安全时代,如果没有我们这批人,没有了网络安全,人类会怎么样呢?”
文|张弘一
近日,在第五届中国互联网安全大会上,360公司董事长周鸿祎发表了主旨演讲,周鸿祎表示,“我们正处于一个‘大安全’时代。网络安全已经不仅仅是网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。”
对于这个“大安全”的概念,周鸿祎笑称自己想了好几个月,“马云提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。我在屋里想了好几个月,想了一个‘大安全’,但这个安全是货真价实存在的,能自圆其说的。”
值得注意的是,当前正值360私有化成功之后,国内上市之前。在会后的媒体专访环节,当被问及360的上市计划时,周鸿祎还是非常谨慎,表示会按照中国证券法规正常进行,有消息就立刻公布。同时提醒不要相信市场的传言,有些流氓股票会随便造谣。
7月27日,有网友撰写了一篇名为 《人民想念周鸿祎》 的文章,这使得沉寂已久的周鸿祎重新回到了人们的视线中。该文作者称:“中国互联网过去两年越来越无趣了,没人说真话,没人敢说真话。”当时,周鸿祎迅速以一篇《致想念我的人民》回复,他在文中说:“大家也不是想念我,是想念讲真话的人,是想念挑战者,也是想念互联网的炮火声。”
在这次互联网安全大会上,周鸿祎也解释了自己最近沉默的原因和安全有关:“前一段有个人写了一篇文章,说人民想念周鸿祎,我也看了看,我跟大家解释一下,为什么我这段说话比较少了,两个原因,一是回顾了作为中国最大的网络安全公司,我们真的感觉到很大的压力和挑战,如何解决今天越来越多的安全威胁和挑战。回到国内,作为一个安全,我们自认为是安全的头号企业,我们觉得要变得稳重一些,要学得稳重一些,所以希望大家理解,我正在学习变得更加的稳重。”
随着网络安全的挑战越来越大,周鸿祎说自己最近也陷入了很长一段时间的内省和思考。对于360未来安全业务上的布局,周鸿祎表示,安全是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任。并且安全还要做大,“大安全”时代,360不只是免费杀毒,拦截骚扰电话,它在今天的工业安全、社会安全、国家安全、网络战攻防方面都能发挥重要的角色,并且360为此还成立了企业安全集团。
但周鸿祎也强调,未来不会只有安全这一个业务,互联网上,未来还是会把网络安全的基础工具做好,另外是漏洞。“目前我们安全产业没有做起来,安全产业不是我们最挣钱的,安全产业我们也基本不挣钱,所以安全之外还要做点挣钱,互联网的事情,就像腾讯在通信上不挣钱,但还得做点游戏和广告。”360很快也会在短视频上开始发力。
周鸿祎受邀参加电视剧《执行法官》拍摄时的剧照,老周在剧中饰演一名公安部门警官。
对于当下很热的人工智能,周鸿祎表示自己也很关注。埃隆马斯克对人工智能表示非常担忧,而李开复则写了一篇文章批判他,认为对人工智能不要担忧。周鸿祎认为,从搞安全的观点来看,他们说的都不对。首先,马斯克认为,人工智能机器会产生智慧,产生智能的进化,产生自我意识之后,机器就觉得一定要毁掉人类。周鸿祎认为,这是杞人忧天,5年之内机器未必能产生意识。
其次,李开复认为机器不会产生意识,所以人工智能没有风险。对于这个观点,周鸿祎也不认同。他说,人工智能面临最大的两个风险,一个是人工智能让机器和人有了更多的接触的媒介,但今天人类面临的问题是,系统越智能、越复杂、越方便,带来的系统复杂性越大,漏洞越多。周鸿祎指出,随着物联网、车联网和工业互联网的发展,他们开始成为网络攻击的目标,去年10月的美国互联网断网事件就是由恶意软件控制了近百万摄像头组成的僵尸网络,攻击美国的DNS解析服务商造成的。
还有一个问题是,在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术发展无人化的系统,无人值守的汽车、无人飞机、无人值守的武器,这些无人系统一旦被劫持,将带来更多、更严重的安全问题。
虽然存在漏洞,但周鸿祎表示自己对人工智能很向往,并且他认为人工智能并不会带来所谓的失业,无论再怎么发展,对安全从业人员而言,可能带来更多的是从业机会。“所以安全行业越发展,我们对人的依赖会更大。”
“未来人工智能、IOT、智能硬件会和手机紧密结合,未来我认为会聚焦在这几方面,安全为基础,然后内容、搜索也是技术的一部分,我们会把搜索导航继续做好,还有人工智能和智能硬件的结合。”周鸿祎在接受媒体采访时表示。
周鸿祎还举了最近热映的《敦刻尔克》来分析是把网络战看成只是一个附属的网络手段,还是我们认为网络战将来可能跟传统战争形式会有非常密切的结合?他说,未来5到10年,很多国家都会花大量的军费不一定投在传统的飞机、坦克、大炮上,而是要投在智能战争,智能的网络作战、网络军火、网络武器上。
周鸿祎进一步分析称,与传统战争不同,网络战将不再限于军队之间的对决,而是国家和社会之间的整体对决。在传统战争中,军事目标和民用目标有明确的区分,双方所要攻击和保护的目标主要是大坝、电厂等重要军事目标。而网络战不同,网络是一个相互连接的整体,任何单位或个人所使用的终端或者系统都是网络的一部分,任何人或者设备被攻破,整个网络可能就会被攻陷。这意味着军民融合在网络安全领域具有现实的必要性,没有军民之间的深度融合,就不可能有真正的网络安全。
“不管我们是否做好准备,是否愿意接受,大安全时代都已经来了。这个时代带来了更多的不安全和不确定,给人类带来了更多的威胁和挑战,对网络安全行业和从业者来说,带来了更多的责任、压力还有基于,我们要对全人类的安全负责,对世界安全负责。”
以下为演讲全文(略经编辑):
各位朋友:
大家好!互联网安全大会开了5年,我们会议的规模也越来越大,其实这个会议并不是说要宣传什么,而是它是给我们安全行业的一个年会。到第五个年头,回顾一下,我们发现有了更多的思考,也有了更多的困惑。我今天说的也许并不代表一个正确的结论,而是对这五年来的一个思考和对下一个五年的展望,我希望能提出一些有挑战性的问题,供所有的从业人员来讨论。
我们觉得,一切皆可编程,万物均要互联,整个社会,整个世界,实际上都运转在软件之上。在这样一个情况下,只要是软件,就一定会出错,是软件就一定会有漏洞。所以安全的问题,这几年我的感觉是越解决越多。
前一段有个人写了一篇文章,说人民想念周鸿祎,我也看了看,我跟大家解释一下,为什么我这段说话比较少了,两个原因,一是回顾了作为中国最大的网络安全公司,我们真的感觉到很大的压力和挑战,如何解决今天越来越多的安全威胁和挑战。回到国内,作为一个安全,我们自认为是安全的头号企业,我们觉得要变得稳重一些,要学得稳重一些,所以希望大家理解,我正在学习变得更加的稳重。
还有,网络安全的挑战越来越大之后,最近我也陷入了很长这一段时间的内省和思考。过去几年,网络安全受重视的程度越来越高,很多国家也将网络安全上升到国家安全的高度,没有网络安全就没有国家安全。中国现在出台了《网络安全法》,有了立法,也制定了国家网络空间安全战略。网络安全产业这几年好像迎来了春天,投资越来越多,网络安全从业人员的工资,这几年顶尖高手至少涨了10倍,整个行业表现出一派欣欣向荣。
但是,另外一方面,有人说你这个会年年开,你们天天号称解决了多少问题?网络安全的形势确实越来越严峻,网络攻击也越来越多,针对国家安全的、带有政治色彩的、针对特定目标的国家和地区级的网络攻击不断出现,甚至对一些国家的政治安全和社会稳定都提出了挑战。
另外,网络犯罪也呈现了爆发式的增长,网络诈骗、敲诈勒索、网络攻击、商业窃秘也不断增多。国外有数据显示,去年全球网络犯罪损失3万亿美金,分析说2021年会达到6万亿美金,实际上网络黑色产业链一直比网络安全产业要大10倍,所以顶尖的网络高手有些人会留在网络安全行业,有些人就进入了黑色产业。
最近这两年,有三件事给我们很大的启示,一个是美国大选,到今天还存在喋喋不休的争论:某国网络黑客的介入,究竟在多大程度上改变了美国政治的走向?
第二个,过去两年,乌克兰地区发生了多次对乌克兰电力企业变电站的攻击,导致乌克兰多个地区大面积的断电、停电。乌克兰现在好像成了某些国家黑客的练兵场,黑客部队就拿乌克兰的基础设施当作他们演练网络战的一个阵地。
第三个,就是刚才很多嘉宾提到的勒索病毒,勒索病毒这次在全球爆发,我们国家得到了及时的管控,但也让我们重新思考今天到底该如何重新定义网络安全。勒索病毒是因为使用了美国很成熟的网络武器,最终导致很多公共服务甚至基础设施无法正常工作。比如说有的加油站不能加油了,英国有的医院不能给病人做手术了,机动车的牌号登记在一定时间不能正常进行等。所以,网络安全事件已经直接影响到社会的正常运转。
经过20年的发展,如今的互联网已不再是一个行业,互联网与整个社会融为一体,网络世界和现实世界已深度连接。马云天天在谈新零售,讲的是线上线下要结合,在我们做安全的人看来,线上线下的边界已经消失,网络空间的任何安全问题,都会直接映射到现实世界的安全。
今天谈“网络安全”这几个字,很难描述这个时代面临的安全挑战。安全问题已经泛化,也就是说,今天我们已经进入了一个新的大安全时代,在这个大安全时代,网络安全已经不仅仅是网络本身的安全。网络安全本身实际上是一个安全的集合,它包括了国家安全、社会安全、基础设施安全、城市安全,甚至是人身安全。
所以,如果今天我们再孤立地站在一个信息系统安全或者网络空间安全的角度来谈安全,我觉得,我们已经不能够真正地去评估我们在下一个五年到十年所面临的真正的风险和挑战。今天,我们需要站在一个更大的格局和高度,重新定义了一个概念,叫做“整个世界进入了一个大安全的时代。”周鸿祎说。
大安全时代,我们有几个观点,还有几个对趋势的判断:
第一个,大安全时代,首先是进入了网络战的时代。
过去我们看到很多是孤立的网络攻击,但今天我觉得全世界已经跨入了网络战的时代。谈到网络战,我们就必须从战争的角度来看待网络攻击,否则你就会低估网络战对这个时代的影响。所以这次勒索病毒表面上看起来是一个敲诈软件、勒索蠕虫,但由于它应用的是美国国家安全局泄露的网络武器,所以在这个事件中,尽管损失没有那么大,但是我们必须去深入反思,我们从这个事件,包括从乌克兰的电站攻击事件,来看看到底未来的网络战和传统战争,究竟是什么样的一种关系。
举几个例子:第一个,你会发现网络战的时间,可能按照一个时间框架,它很有可能是以数年为单位,对一个国家,对一些单位,进行长期的渗透、潜伏和准备,它不像常规战争,常规战争可能有一个宣战的时间点,什么时间突然两个国家打起来了,所以大家有一个清晰的界限。但网络战很有可能在和平的时期,它就已经在对你进行各种网络战的准备和渗透。就像这一次美国网上泄露了一些网络武器,实际上这些网络武器除了被勒索病毒使用,你会发现在一些重要单位的网络里,我们已经能够看到一些网络武器曾经渗透过的痕迹。所以我们不要觉得今天是和平时期,就只谈和平、只谈发展,我们不要忽略,对于网络战本身,全球已经时刻在准备着应对。
第二,过去的网络攻击和网络战比起来最大的问题是,这次WannaCry这个病毒泄露了这个国家已经不再满足于利用漏洞做一次攻击,他们已经具备将网络武器平台化、系统化,甚至是自动化的能力,就像1945年美国在日本扔了两颗原子弹,实际上给全球展示了原子武器,从那以后,世界进入了核竞争的时代,因为只有一个国家掌握于领先于其他国家的武器,所以这个世界是不平衡的。
我们对网络战有一个预言,这次展示网络武器的威力之后,世界各国实际上都会在网络军备竞赛方面进入一个新的高度,大家都在思考如何能够让自己网络进攻的武器真正做到平台化、系统化和自动化,虽然这是一个还没有办法的事情,但它一定是一个趋势。
还有一个,最近大家都在看《敦刻尔克》,诺兰导演用三个时间的维度,一个是一周,一个是一天,一个是一小时,你从这个角度看网络战也很有意思,当两个国家发生冲突的时候,如果他们要发生地面冲突,是以周、以月来计,因为你调兵遣将,但大家知道,陆战的前提是必须要有制空权,所以陆战之前就要有空战,空战是以小时和天来计,才能够得出结果。可是有了网络战之后你会发现,也许在以后的战争里面,空战不是第一次打击力量,网络战会成为第一波打击力量,因为经过前面成年累月的积累之后,网络战的时间是以分钟和秒来计算的,对方如果掌握了网络漏洞,在数秒到数分钟之间瘫痪你的网络,大家问瘫痪网络有什么用?如果我战斗机起飞之前,我把你的电站都给摧毁了,对我的空战是不是有非常有利的支持?所以,你会发现,在未来的战争里面,我们可以大胆地预言一句,网络战在里面占有了角色,甚至可能是会更加重要。
所以,大安全时代,我们是把网络战看成只是一个附属的网络手段,还是我们认为网络战将来可能跟传统战争形式会有非常密切的结合?包括在战争过程中,所谓的宣传战、舆论战,在今天的网络时代最终也是通过网络战对信息的操纵和控制来进行。我觉得,未来五到十年,就像刚才这位美军上将讲到,也许很多国家都会花大量的军费,不一定投在传统的飞机、坦克、大炮上,而是要投在智能战争,比如智能的网络作战、网络军火、网络武器上,可能这是我们一个比较偏激的观点。
第二个,我们觉得,网络战的本质就是漏洞,漏洞这个词翻译得不好,让很多人觉得漏洞只不过是一个程序的漏洞,是一个软件的小错误。但是,我们所有人都应该明白,你在网络里掌握了一个漏洞,就相当于打造了一个网络武器的基本资源。从某种角度来说,漏洞和石油,就像很多军用物资一样,它们实际上应该被视作国家级的重要战略资源。谁掌握了对方的漏洞,谁就能在对方所谓固若金汤的防线上撕开一个口子。今天当我们面临防守时,如果能找到系统更多的漏洞,就能够延缓敌人进攻的能力。
我们谈一个很有意思的现象,第一个,这次NSA泄露的网络武器里面,每一个网络武器都利用了若干个0day漏洞,这些0day漏洞在使用过程中,他们非常注意它们的保密和使用范围,导致在这些漏洞在很长时间里面并没有被世界其他国家所发现,所以可以让网络武器在相当长一段时间里面,能够保持这种威慑。但并不是每一个国家都能做到这样的一种认知,从维基解密里泄密了很多的文件可以看出,美国对漏洞的挖掘和收集非常重视,它一直致力于各种操作系统、嵌入系统和智能设备的,投入巨资,通过合作或者购买的方式获取漏洞,然后利用这个漏洞批量的打造武器。
另外一方面,美国在防守方面,通过众包特别有奖比赛的方式,举办各种黑客大赛,征集全世界的黑客实际上为他打工,黑客为了奖金就把辛辛苦苦一个高价值的漏洞可能就暴露给了比如说五角大楼。所以,你会发现美国政府,包括五角大楼非常热衷举办一个节目,叫《来黑我吧》。通过这种方式,通过攻防实际的演练,让他的防御系统更加的坚固。
一个很有意思的现象是,尽管我们中国有很多团队,包括我们在内,我们得意洋洋地宣称,在这些世界顶级黑客大赛里面我们得了多少奖的时候,我们是不是应该思考一下,是不是这里面有一些战略资源的流失?我们再观察一个现象,在这些比赛里面,赛到现在,你很少见到北约盟国,包括美国自己的队伍来参赛,难道真的是美国人的攻击水平不行吗?我觉得,这都是值得我们去思考的问题。
在大安全时代下面,既然是一切皆可编程,所有的东西其实都是软件,过去你打车不需要软件,今天需要,过去你定餐不需要软件,今天送餐的公司也基于软件,所以没有什么不基于软件的。下午我们会发布一款安全车,以后网联车、人工智能什么东西,都是基于软件。这里面就有一个结论,软件是人写的,今天人工智能还不能写软件,但是是人都会犯错误,平均1500行代码就可能会有一个错误,这个错误就是漏洞。你现在拿的智能手机里的代码行数,可能也是以千万来计,一个稍微复杂的城市地铁系统里面的代码也是上亿行,这里面一定充满了无数的漏洞。有漏洞就会被人利用,所以今天我们再次强调一个结论,在大安全时代,要放弃我做一个攻不破系统的想法,而是说我们要接受一个事实,就是没有攻不破的网络。2015年亚历山大将军来到这个论坛,他说世界上只有两种网络,两种系统,一种是已知被攻破的,一种是被攻破自己还不知道的。
这一年,要如何系统防御可能要有新的策略。实际上今天对全世界特别是以国家力量作为后盾的这种攻击团队来讲,确实没有攻不破的网络。
再次提到电影《敦刻尔克》,他忘了讲一个前提,为什么英法联军会溃败到敦刻尔克,是因为在第一次世界大战的时候,大家都在战壕战、阵地战,所以法国人就二战前夕就把这套思想带到了第二次世界大战,修建了一个马奇诺防线,认为固若金汤。德国人抛弃了一次大战的指导战略,用坦克装甲、突击力量,绕开你的防线,直接把英法联军打得只好展开一次敦刻尔克大撤退。
同样的思想,今天这样一种漏洞无处不在,在都是陌生攻击的情况下,如果我们各个安全单位还是基于旧时代的作战思想,总是想通过对其更多的软硬件,网络不断的隔离,我们需要建立一个高枕无忧、不会被攻破的系统,这无疑就是在今天这个时代下面,你去建一条马奇诺防线,但是你可能对付不了新的作战思想。今天我们所有建立网络防御的产品、技术和思想,都要基于这个网络一定会被攻破。基于这个前提我们正视现实,在网络一定会被攻破的情况下,我们如何有效快速发展,如何及时封堵。如果我们认为我们的系统高枕无忧,你的系统恰恰就会成为最危险的系统。
这里还有一个价值观,美国每次一个系统被攻破,他们都会大声地叫,因为他可以得到国家的重视,更多的经费和采购,从而加强他的网络安全。同时每次安全事件的暴露,都是给安全公司一个机会,让我们去看到我们的不足。但因为过去我们老是迷信有攻不破的网络,所以我们形成一个价值观,我们很多单位觉得不能出事,我们这个单位一旦被发现网络攻破,我们总是希望息事宁人,我们希望不要让领导知道。所以我特别希望我们很多领导同志能够改变一个观点,网络被攻破有的时候真的不是他的责任,但是他被攻破之后他能说出来,让很多安全公司以此为案例进行溯源,进行分析,可能就能让我们网络变得更加的强壮。所以应该鼓励我们很多单位,如果网络有问题,我觉得应该把它报出来。
但是,我们现在看到的现象是什么?前面讲了,很多单位根本不重视漏洞,我们有一个补天平台每天都会向各种企业和单位报告漏洞,有某些单位根本不在乎,有漏洞就会导致你的系统实际上被人攻破。有的时候我们报告一个单位有漏洞受到攻击,这个单位就会对我们恼羞成怒,觉得安全公司不给他们面子。所以我觉得这都是在新的大安全时代我们的价值观,我们的作战思想,我们的防御思想可能都要去进行改变。
我觉得在大安全时代威胁也在变大,过去几年里面我们谈了IoT、物联网、智能硬件,大家都谈摄像头的攻击、家用电视的攻击,这涉及到个人隐私。实际你发现没有,车联网今天已经是一个趋势,前面有一部电影,叫《速度与激情8》,不知道大家看了这个电影没有,这个电影给了我们一个我认为根本不是幻想,可能三、五年内必然会变成现实,当满大街都跑着无人车时,我觉得这个无人车一定是黑客最好的工具,因为一旦把它真正劫持之后,这个无人车就变成僵尸汽车。
最近两年一个更严峻的趋势发生了,就是工业互联网成为网络战和网络攻击的重要目标。很多人提到工业互联网,总是误解不就是工厂,实际上工业互联网的概念非常的广泛,我举两个例子,最重要的就是电力系统,比如说核电站、水电站、变电站,如果一旦社会电力系统遭到攻击,你想整个社会的秩序就乱了。
还有一个我跟几个城市的公安局长都有过安全上的交流,你知道在今天中国的大城市,这些公共安全的管理者他们最担心的就是地铁的安全,中国的人口众多,地铁每天的人流在全世界的数字都是遥遥领先。但是我也在讲,你除了担心地铁里安检,防止有人把危险品带到地铁通道里,但是一旦整个地铁都是一个工业控制器组成的网络,一旦这里面的网络受到攻击,包括地铁的供电受到攻击,你可以想像一下这是什么概念。
所以,2015年12月,黑客利用漏洞入侵了乌克兰一家电力公司,远程控制了配电管理系统,导致7台发电站中断了30个小时,导致20万用户停电。16年12月,还是这个黑客组织又对乌克兰进行了电力攻击,通过数据网络,间接控制了电厂的控制系统,造成了变电站的电厂的运行。
最近一个月之前,美国基础设施委员会发了一个警告,说美国现在的能源企业有可能会遭受其他国家的网络战的攻击,所以他说这是美国处于911之后,如果一旦发生对能源工业的攻击,很有可能是911之后最严重的事件。所以今年美国无论是五角大楼还是美国军方做了网络攻防的演习,基本上都是以能源企业作为实际演习的对象。所以这里面我们要提出一个问题,过去我们一讲保护网络,往往是保护网上的基础设施,比如说服务器,比如说网络的基础节点,或者交换系统。但是今天我们提到大安全的时候,我们真的要关注社会基础设施的安全,而这个安全是由公安还是军队,还是网络企业?还是大家合作来保护?这既是一个挑战,我觉得也是一个巨大的市场机会。
前一段关于人工智能也有很多争论,好像是埃隆马斯克对人工智能非常担忧,李开复老师也写了一篇文章批判他,觉得对人工智能不要担忧。大家觉得是担忧还是不担忧呢?其实,从我们搞安全的观点来看,他们说的都不对,马斯克认为人工智能机器会产生智慧,产生智能的进化,产生自我意识之后,机器就觉得一定要毁掉人类,这个我觉得他的观点是不对的,我觉得在5年之内机器未必能产生意识。
但是,另外一篇李开复老师他们认为机器不会产生意识,所以人工智能就没有风险,这个观点我觉得也不对。人工智能觉得我们最大的两个风险,一个是人工智能让机器和你有了更多的接触的媒介。现在流行的智能音箱,可以通过人用语音来进行交互,最近SyScan360安全会议有一个黑客技术演讲,应用超声波就能对智能音箱,对智能系统进行攻击,你让人和机器有语言的交互,相当于给黑客提供了新的攻击的途径。今天安全所面临的威胁,就是系统越来越复杂之后,这里面带来了漏洞。
还有一个更为严重的问题,就是人工智能的发展会带来更多的无人值守系统,你可以想像一下,过去一个装甲车,可能只有人抠动扳机才能发动机枪。今天智能武器战,只要人工智能就能够控制扳机,这样的一个系统没有人值守的时候,一旦被黑客攻破,它就可以执行物理的指令。这是工业互联网和物联网带来最大的挑战,让所有的攻击都能够物理化。
大安全时代还有两个巨大的挑战,一个是网络犯罪,一个是网络恐怖主义,这个潘多拉盒子被打开了,未来犯罪一定是网络犯罪为主。今天网络犯罪已经不仅局限于,比如说去年的“徐玉玉案”表现出来的通信欺诈,这次永恒之蓝让大家知道了什么是勒索病毒,勒索病毒在最近3年里面,每年的增长幅度都百分之几百,勒索病毒已经成为了一种商业模式,过去黑客把你的电脑感染了,还不能直接赚钱,只能把你的电脑变成肉鸡,攻击别人的电脑。现在把你的电脑关键数据进行加密,你把病毒杀掉了,你没有密钥,所有的数据就毁于一旦,所以很多人不得不支付赎金,这个本身已经成为一种巨大的非常成熟的黑色产业链的商业模式。
比如说中国网络安全市场,我们所有的从业人员在网络安全上赚的钱,产业规模有一个统计数字说不到400亿人民币,但是中国黑产的产值超过1000亿人民币。有一次跟公安的同事们在交流时,我就开了一个玩笑,我说过去我们公安是有分工的,以后所有的警种都要学会互联网,都要利用互联网可能才能破案。
这次勒索病毒因为它利用了公开的网络武器,所以只有一个很小的犯罪组织却造成了巨大的全世界的影响,我相信也会给全球的恐怖分子带来一个启示。有了这些泄露,自动化、平台化、系统化的网络武器,其实没有太多的专业知识和技能,也可以利用这些泄露的网络武器,对社会,对企业,发起攻击。我觉得未来可能会有越来越多的恐怖分子,会把活动放到网上来进行。
今年在巴塞罗那,去年在法国的尼斯,都出现了孤狼式的攻击,驾驶一辆汽车来撞击无辜的行人。但一旦他们学会网络攻击,来对整个社会进行报复,这个后果我觉得也是不可估量的。
在大安全时代要有大的格局,一个很重要的格局,政府国家对民间企业要有协同,这次我们提出来一个观点,军民融合在网络安全产业一定是必然。网络安全产业和军工产业未来也会融合。和传统战争最大的不一样,网络战很难区分界限,它是两个国家、社会、科研力量之间的冲撞。所以没有军民之间的深度融合,就不可能有真正的网络安全。在传统战争中,军事目标和民用目标是有明确的区分,但是在网络战里面,网络连成一体,今天我们看的哪怕对军事目标的网络攻击,往往先对一个民用目标,或者一个民间的个人进行攻击,得手之后再以他为跳板,通过网络不断渗透,再渗透到核心目标,所以网络战是一个整体战,任何单位和个人,不管军用、民用都是网络的一部分,一个节点在网上的陷落,有可能导致整个网络的问题。
所以从这个角度来讲,军民融合也是网络安全一个非常非常重要的指导性的战略。中国已经把军民融合上升到国家战略高度。比如说国家网络安全,其实需要大数据,目前很多大数据都在互联网公司手里,都在民间,如果不做军民融合,没有了大数据的支持,谈何网络安全。应对网络攻击,我们后面会讲到,其实是人跟人的较量,网络战从某种角度来说,也是超限战。我们国家有个军事专家写过一本书叫《超限战》,今年的网络战也是无所不用,需要很多非常任思维的黑客。但是有很多反常思维的人,他在体制内能够培养吗?他在传统的体制里面能够存活吗?这些人很有可能活在民间,在民间公司。所以如何军民融合,把民间公司的怪才、偏才,像这种疯狂的黑客,能够把他们的力量调动起来,这恐怕不是简单的一句话强制他们都参军就能解决的。
而且我们从网络安全的强国来看,美国是网络安全的强国,我们可以看看美国的例子,美国已经有非常丰富的经验,美国不仅在传统军工领域充分的军民融合,在今天很多网络安全方案的实施,已经是美国传统军工行业开始通过收购网络安全企业,从而实现了传统军工行业和网络安全产业的融合。过去造飞机、造导弹和做网络安全是不同的两波人,今天我们可以看到,这两个产业在逐渐的靠近。
同时,我们也提到,对我们安全行业从业人员来说,军民融合是一个安全产业的巨大机会。这此我们大会的主题讲到人是安全的尺度,我谈谈我的理解,这也是我们共同的一个共识,大安全时代人是最重要的因素。我们前面谈了很多战略,谈了很多技术,也谈了一些战术,但是我也扪心自问,安全里面最脆弱的是什么呢?其实最脆弱的就是人。所有的攻击都是从人开始,攻击者要攻击一个重要目标,要攻击一个领导,一定是开始研究他的亲戚朋友,研究他身边的人。要攻击一个目标单位,目标单位可能是个军事单位,防守森严,就要找他供应链的合作伙伴,以这些最脆弱的人为跳板进行逐级的渗透,最后渗透到目标网络里。
举一个例子,最近我听说希拉里又写了本新书,她一直喋喋不休抱怨她为什么竞选没有成功。我不去评价美国整体的政治,但是我就觉得至少她在网络安全上,我认为从希拉里开始,如果按照她个人就成为整个黑客事件里最大的薄弱环节,她个人完全缺乏安全的意识。
比如说尽管美国有国安局、有中情局,有强大的网络安全保护能力,但是希拉里非要在自己家地下室里偷偷架一个服务器,她相当于在美国政府网络里开了一个口子,当然各国黑客都很愿意到她的服务器上看看有没有什么邮件。而希拉里在竞选中她最信任的一个主管,她跟喜欢看色情图片的老公用一台电脑,这台电脑也成为攻击的对象。甚至她有一个竞选主管收到一封模仿谷歌的钓鱼邮件,说你邮箱的口令被人篡改了需要马上更新,他也相信了。
包括这次勒索病毒让我们不少内网隔离的单位都中招了,我们经常讲内网隔离的想法很好,为什么隔离了还会中招?我们都知道,没有实现真正的隔离,总是有人要违背安全规定,把一些外部的设备拿来用一用,或者自己偷偷让电脑联网,这个过程中也可能这个单位有一万台电脑都很好,但是有一台电脑不遵守规定,把外部的病毒引入,就会迅速在内网引起蔓延。所以这次内网出问题,还是人出了问题。
所以,我们也有一个观点,过去我们做了很多安全的规定,我们也推销了很多安全的产品,后来我发现,再多的规定绕不过人性,如果我们安全的产品不能够从人性出发,让用户愿意用,我们规定如果违背人性的因素,最后这种技术管理手段一定会失效,人一定会成为整个系统中的漏洞。
我前面讲了这么多悲观的观点,大家听了说人不可靠,规定违反人性,不起作用,系统一定会波攻破,漏洞无处不在,我们今天为什么不解散呢?为什么我们大会不立即取消呢?我们还谈什么安全呢?我们还是要去做安全,我们那天问了我们团队一个问题,最后一道防线,安全我们究竟靠什么?答案还是人,是一帮安全专家。因为每一个网络攻击背后都是一群在某个政府、某个组织支持下的高水平、高智商的黑客,你们看看国外的黑客都疯狂到什么程度,都在自己的人体里打东西,所以我们的黑客也要向他们学习。
我们安全公司的安全人员,实际上跟他们做智力的对抗,我们也有一个观点,系统不是靠隔离就安全的,系统也不是采购一大堆不同公司的防火墙、软硬件设备,包括你买了360的东西,也不能高枕无忧。我们刚才讲了系统一定会被攻破,但是如果我们有一支安全团队,可以是我们企业的内部安全力量,我们也可以是外部的顾问公司,他们可以帮助很多企业发现,通过模拟攻击的方式,在发现安全的漏洞,这才是新的时代下,新的做事方式。
我们不要再仅仅简单的采购软硬件,我们需要承认,网络安全其实最终是服务业,你需要提供安全服务咨询人员,在你系统正常的时候,通过不断模拟攻击来帮你修补漏洞,在真正遇到攻击的时候,帮你最快的响应,最快的封堵,把随时降到最低,这里需要大量的专业人员。这个世界之所以还有希望,还是因为我们有很多的安全公司里面,有大量的安全专家。
所以举一个例子,美国有一些很牛的公司,号称给国土安全部合作,说能不能进行反恐。我原来访问之前,我想像的是有一个大电脑,这边数据一输入,那边就告诉你拉登住在哪了。其实不是这样,他们有4000名安全专家在拿电脑分析的系统出来的很粗糙的原始数据,最终还是进行人智力的较量。
过去我们一说劳动密集型大家都不爱听,但是我觉得网络安全产业未来5年,会变成一个高质量、高科技的劳动密集型行业,需要大量的专业人员的投入。我们每一个安全等保单位应该回去思考,我虽然买了大量的设备和软件,但是我有没有培养一支自己的网络安全队伍,我有没有外部的专业的安全顾问服务,我觉得只有把软件、硬件、自己的安全服务队伍和外部的安全专家服务队伍结合在一起,我们才有可能在未来的网络战时代里面变成幸存者。
我觉得网络安全一方面跟军民融合是一个大机会、大产业,我觉得网络安全产业本身从卖软件、硬件,到变成一个服务,而且还不是出了事才服务,保卫局讲了他们在帮银行、帮航空公司、帮机场,在常年提供安全的安保服务。这里面有巨大的产业机会,中国按这个观点来看,我们今天安全从业人员的人才是不够的,至少有百万级的缺口。如何把安全人员的培训做好,这本身又是一个更大的机会。
我觉得,中国之所以成为了互联网大国,当然我们中国有很多优秀的聪明的年轻人,不断的创业和创新,但是你不可否认,我们的人口红利,我们的人口基数决定了我们的市场之大。但是今天当我们要成为一个网络强国,我们每年还有几千万的年轻人要就业,这也是一个巨大的人口红利,在这么一个巨大的人口基数里面,我相信一定能够培养出来更多的优秀的网络安全人员。未来几年,如果我们真的有了百万级的网络安全的人员,各种各样的服务团队,再加上我们的网军,再加上我们的国家队,我觉得中国就能真正的变成一个网络强国。我觉得网络战争未来一定是打一场人民战争。
不管做没做好准备,大安全时代已经来临,我经常在讲,360不会把自己只是定位成一个做网络安全的公司,我觉得我们希望能成为一个大安全公司。所以在这样一个大安全时代,我觉得挑战真的非常大,威胁也很大,但是带来了产业机会,所以对我们整个安全行业的同行来说,我其实觉得好日子才刚刚开始。
当然有了更多的不确定性,有了更多的变化。我觉得我们还是应该有点家国情怀,有点责任感。就像WannaCry病毒发作的时候,很多单位出了问题,我们派了2000多人出门为他们实施解救,在那一瞬间,我们很多员工好像突然都有点明白,我们公司原来做的不仅仅是免费杀毒,我们也不仅仅跟对手撕逼,不仅仅跟别人口水战,我们真的像蜘蛛侠、蝙蝠侠、钢铁侠一样,我们是在拯救社会的安全。
我觉得,今天来的都是安全行业的,包括各个行业跟安全相关的人士,我觉得我们应该有理由为自己骄傲一把,未来我们有更多的责任,我们要对全人类的安全负责,要对世界安全负责。
今天大家都在讨论没有了网络,没有了手机,人们会怎么办?答案是人们会发疯,没有网络人们什么都不能干。但我想说一个问题,大安全时代,如果没有我们这批人,没有了网络安全,人类会怎么样呢?
一周要览
2、公务员(警察)加班,该不该发加班工资?法律是这样规定的!