Top
首页 > 正文

保障数字化安全让数字经济发展行稳致远

数字经济已经成为中国经济的重要组成部分,数字化在国家的“十四五”2035远景规划中成为国家战略,数字化成为未来实现中国梦弯道超车、变道超车的重要抓手。周鸿祎从一个安全专家的角度谈论了如何能够保障数字化的安全,让数字经济和数字化的发展能行稳致远。
发布时间:2021-11-12 15:04        来源:数字经济杂志        作者:周鸿祎 360公司创始人、董事长兼首席执行官

过去提起数字化就容易想到数字化的主角就是互联网公司,实际上这个情况已经发生了巨大的变化,互联网上半场可能主角是互联网公司,立足中国老百姓的吃喝玩乐衣食住行实现了生活方式的数字化。但是互联网的下半场是产业数字化,它的主要场景是新一代智慧城市、工业互联网、车联网、统称为产业互联网,是国家所提的数字产业化。数字产业化的主角会是各级政府和传统企业,周鸿祎认为所有的行业都值得用数字化的技术重新再造一遍。所以未来十年之后可能社会不会再区分什么企业是传统企业,什么企业是数字企业,所有的企业都会成为数字企业。
数字化的好处是自动、先进,周鸿祎总结了数字化技术的三个特征,一切皆可编程,万物均要互联,大数据驱动业务,其本质是软件在重新定义整个世界,但是这带来的安全挑战前所未有。一切皆可编程,意味着所有的基础都是软件,软件里面的漏洞无处不在,不可避免。有漏洞就会被人利用,没有攻不破的网络。万物均要互联就意味着原来虚拟世界的攻击只是影响我们的电脑操作,但未来会变成物理世界的伤害。这几年从乌克兰到委内瑞拉,利用网络攻击导致大面积停电的案例已经屡见不鲜。就在前年360公司发现了奔驰公司17个漏洞,通过奔驰公司的服务器可以把2016年以后出厂的600多万辆车远程启停、远程开关车门、远程熄火,如果这个问题不能得到修复,危害将极其巨大。
而在企业上云方面,工业互联网、车联网、物联网的普及带来网络边界的模糊,传统隔离网络的解决方法已经无效,大数据驱动业务意味着数据安全前所未有的重要,数据变成了和关键基础设施一样被攻击的对象,直接攻击大数据系统可导致业务系统的停摆,因此数据安全的重要性怎么说都不为过。
设想一下当所有的传统行业、政府和老百姓的工作生活方式都数字化以后,整个世界都将架构在软件之上,都被数据驱动。无论是老百姓的吃喝玩乐衣食住行还是政府的治理,城市的运转,包括各工矿企业的运行都将架构在软件之上,安全的脆弱性将前所未有。所以软件安全就变成特别重要的基础,成为数字经济的基座。习近平总书记多年前极具前瞻性地指出没有网络安全就没有国家安全,这句话给在数字化时代如何搞好网络安全提出了一个方向。
数字化也带来了安全环境的巨大变化和网络架构的重塑,将来会有数以百亿计的终端设备直接暴露在互联网攻击范围内。数据走出传统的安全边界,在本地的终端、边缘节中云服务器中间流动,产业链上下游由分工合作向跨界合作改变。动态开放、互联的供应链成为网络安全建设的隐性短板,安全风险遍布了整个数字化的环境,终端安全、物联网安全、通讯安全、云安全、大数据安全、供应链安全等安全挑战层出不穷,网络安全威胁与现实世界交织融合。所以我们今天提起网络安全不可以再简单地把它等同于就是杀毒防火墙定义的传统安全,而是要和国家安全、政治安全、国防安全、社会安全、经济安全、金融安全、基础设施的安全融为一体。因为没有安全发展将无从谈起。
网络安全在过去20年里的传统指导思想已经落后了,过去主要把安全作为信息化和数字化的附庸,所以提供了很多碎片化的产品,没有完整的体系。从今年来看,未来的安全问题日益复杂,会是一个复杂的系统性问题,只是依靠单个产品或者不断地堆砌产品,形不成体系化的作战方案,无法适应在数字化条件下的挑战。所以周鸿祎提出几个观点:
第一,安全首先需要能力,只有能力才能发现未知的威胁,应对未知的挑战,解决未知的问题。产品不等于能力,构建安全的能力需要安全体系,这个体系就是产品运营和安全专家的有机组合,能够通过运营形成不断成长的安全能力。体系需要框架基础设施的支撑,框架是安全体系的整体结构,应该很容易复制拓展到工业互联网、智慧城市等场景,形成面向场景的安全体系。
360做了16年安全网络,投入巨大,收获巨大,说投入巨大是因为360十几年来真金白银的投入了200亿来做安全。说收获巨大,因为360原来做免费安全,所以专注于安全能力的培养,收获了世界一流的安全能力,沉淀形成一套新的战法和新的安全能力框架。这些年360的对手不是友商而是世界各国的网军和国家级背景的黑客,这些年我们一共帮助国家发现了46个国家级背景的黑客组织,检测到3600多次APP国家攻击,特别是首次在全世界跟踪和揭露了美国CAA和美国国安局对我国的多年渗透潜伏和破坏,为我国外交提供了有利的武器。
所以安全的新战法概括起来就是一个指导,两个融合,以战对抗攻防斗争思维为指导。安全体系和数字体系相融合,攻防能力和管控能力相融合。基于这套战法360构建了新一代的安全能力框架,提供了一个给各个区域、各个城市和各个大企业建设安全能力的参考,这个框架分为四部分。
一个是数据分析平台安全大脑;第二是安全基础设施体系;第三是安全专家运营体系;第四是安全技术服务赋能组织。现在的安全公司给客户提供解决方案像看病抓药,有什么病就吃什么药,实际上客户并不能建立自己的医疗能力。而360的主张是不能只有基础设施,还得建立一套挂号、门诊、检查、手术、康复的工作流程,才能高效地提供医疗服务

关键词阅读:

延伸阅读

每日必读

专题访谈

2021赛迪论坛

[详细]

合作站点