“你是做安全的,就老是盼著出事。”周鴻祎說,他曾被人如此吐槽,但這次“狼”真的來了。
9月18日,360集團董事長周鴻祎在2017國家網(wǎng)絡安全周高峰論壇上發(fā)表了“萬物皆變,網(wǎng)絡安全進入大安全時代”的演講。
什么是大安全時代?接受南方都市報專訪時,周鴻祎談到,勒索病毒事件打開了“網(wǎng)絡犯罪和網(wǎng)絡恐怖主義”的潘多拉魔盒。今后網(wǎng)絡漏洞會變成如稀土、原油一樣的國家戰(zhàn)略資源,網(wǎng)絡攻擊極可能演變成網(wǎng)絡戰(zhàn),網(wǎng)絡安全急需人才。
談大安全
“網(wǎng)絡攻擊已威脅真實世界”
南都:你這次來參加國家網(wǎng)絡安全周,關注什么話題?
周鴻祎:我關注“大安全”的話題。從過去一兩年全球網(wǎng)絡安全事件,我們能夠感覺到,網(wǎng)絡安全進入了一個新時代,就是“大安全時代”,已經(jīng)不僅是網(wǎng)絡本身的安全。比如今年5月的勒索病毒事件,受影響的不只是一些電腦,還直接影響很多服務機構,英國有的醫(yī)院不能給病人做手術,中國有的加油站不能加油了,社會秩序受到很大影響。
整個社會現(xiàn)在都運行在互聯(lián)網(wǎng)之上,互聯(lián)網(wǎng)已經(jīng)成為基礎設施,和水、電、空氣一樣。加上云計算、人工智能等技術發(fā)展,催生了物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)以及車聯(lián)網(wǎng)等等,把網(wǎng)絡虛擬世界和物理真實世界的界限打破,網(wǎng)絡攻擊已經(jīng)威脅真實世界了。所以,大安全時代的網(wǎng)絡安全就是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。
南都:把虛擬世界和真實世界的界限打破了?
周鴻祎:是的,我們做安全的人不斷嘮叨,很多人可能會反感,覺得我們像喊“狼來了”的小孩一樣,還有人說“你是做安全的,就老是盼望著出事”。但10年前你把互聯(lián)網(wǎng)當作信息高速公路,僅僅是獲取信息,今天你買東西、打個車、定個餐都離不開互聯(lián)網(wǎng),一旦互聯(lián)網(wǎng)的基礎設施和基本服務受到攻擊,整個社會秩序,包括基本生活、飲食起居都會受到影響。在烏克蘭,黑客攻擊變電站導致幾十萬用戶大面積停電,以前要用炸彈攻擊,現(xiàn)在網(wǎng)絡攻擊就可以做到。
南都:這意味著什么?
周鴻祎:我們要關注這樣幾個大趨勢:網(wǎng)絡犯罪、網(wǎng)絡恐怖主義的潘多拉盒子被打開了。勒索病毒是一個標志,我覺得是網(wǎng)絡恐怖主義開始的代表性事件。“永恒之藍”病毒是美國國家安全局武器庫里泄漏出來的武器,被小毛賊用來敲詐勒索,這很可能給其他不法分子啟示,就是網(wǎng)絡犯罪的成本比現(xiàn)實世界更低,但產(chǎn)值可能更高,網(wǎng)上有很多漏洞,以后犯罪會越來越多借助網(wǎng)絡進行,甚至恐怖分子會發(fā)動針對社會的網(wǎng)絡恐怖主義活動,一旦用網(wǎng)絡武器進行攻擊,影響力和破壞力可能更大。
在大安全時代,網(wǎng)絡攻擊涉及國家安全、社會安全等,所以極可能演變成網(wǎng)絡戰(zhàn)。從勒索病毒事件來看,美國在網(wǎng)絡武器打造上實現(xiàn)了平臺化、系統(tǒng)化、自動化,世界已經(jīng)進入網(wǎng)絡戰(zhàn)時代。
與此同時,漏洞成為戰(zhàn)略資源。以前我們把網(wǎng)絡、軟件漏洞當成一種小錯誤,認為修復了就行,但是大安全時代,網(wǎng)絡攻擊演變?yōu)榫W(wǎng)絡戰(zhàn)后,漏洞會變成如稀土、原油一樣的國家戰(zhàn)略資源,因為有一個漏洞就意味著能創(chuàng)造一個網(wǎng)絡武器,知道一個漏洞就可以阻攔一次進攻。美國現(xiàn)在非常注意采集、挖掘漏洞,而其他國家包括我國目前在這方面的意識仍然比較淡薄。
談人才培養(yǎng)
“與東莞理工合作打造首個網(wǎng)絡空間安全產(chǎn)業(yè)學院”
南都:“大安全時代”,我們?nèi)绾蝸矸雷o網(wǎng)絡安全?
周鴻祎:大安全時代,所有東西其實都是基于軟件的,萬物皆可編程,而軟件是人寫的,一定會有漏洞,所以大家要接受一個事實:沒有攻不破的網(wǎng)絡,也沒有絕對的安全。前美國國家安全局局長基思·亞歷山大2015年參加中國互聯(lián)網(wǎng)安全大會的時候曾說,世界上只有兩種網(wǎng)絡、兩種系統(tǒng),一種是已知被攻破的,一種是被攻破自己還不知道的。
過去很多單位總覺得只要把網(wǎng)絡隔離了,只要買了安全的軟硬件,就可以高枕無憂了,這樣的思路已經(jīng)過時了,要基于“網(wǎng)絡一定會被攻破”來建立新的防御思想。網(wǎng)絡安全里最薄弱的環(huán)節(jié)是人,漏洞是人造的,管理問題也是人導致的,但最后解決問題的不是軟硬件和規(guī)定,還是人。所以我認為,未來5年網(wǎng)絡安全行業(yè)會變成一個高智力、勞動密集型的服務行業(yè)。
南都:當前我國網(wǎng)絡安全人才是否缺失?
周鴻祎:黨的十八大以來,國家高度重視網(wǎng)絡安全和信息化工作,但當前我國網(wǎng)絡安全人才培養(yǎng)與發(fā)達國家相比仍存在很大差距。根據(jù)國家網(wǎng)信辦2015年公布的網(wǎng)絡安全人才現(xiàn)狀報告中的數(shù)據(jù),我國網(wǎng)絡安全人才缺口達到70萬,這個缺口還以每年1?.5萬人的速度遞增。
究其原因,是因為我國的網(wǎng)絡安全人才培養(yǎng)機制還比較單一,人才選拔制度的完善體系還沒有建立起來。人才的培養(yǎng)計劃和相應的課程體系,包括學科建設體系,都還不夠完善,網(wǎng)絡安全實踐環(huán)節(jié)也不夠科學、系統(tǒng),這在很大程度上制約了我國網(wǎng)絡安全水平的提升。
南都:360與東莞理工學院合作是出于什么考慮?將以什么方式來培養(yǎng)網(wǎng)絡安全人才?
周鴻祎:這次與東莞理工學院簽約組建的360網(wǎng)絡空間安全產(chǎn)業(yè)學院和360網(wǎng)絡空間安全創(chuàng)新研究院,是在國家網(wǎng)絡安全人才缺口背景下,結合廣東省的人才培養(yǎng)政策和雙方自身優(yōu)勢,探索全新的產(chǎn)業(yè)合作模式。
360網(wǎng)絡空間安全產(chǎn)業(yè)學院計劃打造成全國首個網(wǎng)絡空間安全產(chǎn)業(yè)學院,通過課程設計、培訓、實訓、攻防演練、實習、就業(yè)等完整環(huán)節(jié),建設一整套網(wǎng)絡安全人才培養(yǎng)體系。360網(wǎng)絡空間安全產(chǎn)業(yè)學院一期計劃招生兩個班級,由360公司提供講師、課程、實訓建設和定向人才培養(yǎng)。360網(wǎng)絡安全創(chuàng)新研究院則致力于提升學生實際操作能力,通過與國家央企、金融機構、行業(yè)龍頭企業(yè)合作,為行業(yè)安全人才提供輸送和實習通道。
談隱私保護
“隱私數(shù)據(jù)是用戶個人資產(chǎn)”
南都:科技越發(fā)達個人就會越?jīng)]有隱私嗎?對這個問題你怎么看。
周鴻祎:科技越發(fā)達,我們的工作生活都將越與網(wǎng)絡息息相關,只要使用網(wǎng)絡服務,就一定會產(chǎn)生信息和數(shù)據(jù),這些數(shù)據(jù)都會放置在廠商的服務器上,都是我們的隱私。
但并不能說我們向廠商提供了信息和數(shù)據(jù),就意味著我們沒有隱私。用戶的信息、數(shù)據(jù)和廠商之間,應該遵循平等交換原則。什么叫平等交換?用戶享受服務,廠商獲取信息,但在這個過程中,用戶要有知情權,廠商要得到用戶授權才能使用信息,也就是說,用戶要有選擇權、拒絕權。比如現(xiàn)在共享單車很火,你要用共享單車,不可避免要提供個人身份信息、手機信息等,也可以拒絕不用。
保護用戶隱私另一個原則是安全處理,任何一家互聯(lián)網(wǎng)公司都有責任保護用戶信息安全,要在云端對用戶數(shù)據(jù)進行足夠強度的加密,包括安全存儲和安全傳輸。
另外,我覺得非常重要的一個原則,就是用戶的信息和隱私數(shù)據(jù)是用戶的個人資產(chǎn)。可能有人比較抵制這個觀點,很多互聯(lián)網(wǎng)大公司在用戶協(xié)
議里說:用戶號碼是我給的,所以用戶是我的,用戶的好友列表也是我的,用戶產(chǎn)生的內(nèi)容也是我的,但又發(fā)表一個免責聲明,說用戶產(chǎn)生的任何法律問題都與自己無關。且不說這種自相矛盾的邏輯,我的觀點是,用戶使用廠商服務產(chǎn)生的信息,是屬于用戶自己的個人資產(chǎn),用戶使用各種設備、各種軟件產(chǎn)生的數(shù)據(jù),雖然存儲在廠商的服務器上,但從所有權方面講,應該明確屬于用戶個人。
南都:360在網(wǎng)絡安全和個人隱私保護方面做了哪些工作?
周鴻祎:現(xiàn)在從國家層面到用戶個人層面都對個人信息和隱私保護非常關注,比如今年正式實施的《網(wǎng)絡安全法》,給予用戶信息及隱私保護很大篇幅,我覺得這很好。
360作為一家安全公司,理應幫助國家、政府和民眾個人做好信息和隱私保護工作。在PC端和移動端提供第一道屏障,同時協(xié)助公司、機構做網(wǎng)站防護,提升A?PP的安全性,檢測產(chǎn)品與服務是否有漏洞,因為網(wǎng)站、軟件擁有大量用戶信息,安全水平不一,就可能導致泄露。
當然,我們自己在用戶信息和隱私保護上也做了很多工作,早在2012年就發(fā)布了隱私保護白皮書,將360所有產(chǎn)品的工作原理和信息處理機制公布于眾,并且任命首席隱私官,各產(chǎn)品部門也下設隱私主管,保證產(chǎn)品符合國家相關的法律法規(guī),并進一步提高和完善隱私保護制度。