周鸿祎
在致第四届世界互联网大会的贺信中,习近平总书记指出:“当前,以信息技术为代表的新一轮科技和产业革命正在萌发,为经济社会发展注入了强劲动力,同时,互联网发展也给世界各国主权、安全、发展利益带来许多新的挑战。全球互联网治理体系变革进入关键时期,构建网络空间命运共同体日益成为国际社会的广泛共识。”
作为多年从事网络安全的企业家,我认为,随着中国数字经济进入快车道和高速发展期,全球视野下的互联网已经进入了“大安全”时代,跨国界的网络攻击无处不在,网络犯罪日益多样化。我们应该居安思危,共同建立网络空间命运共同体,迎接“大安全”时代的挑战。
应对网络安全新威胁、大挑战,需要制定和实施大战略
网络安全的“大安全”时代,我认为可以用“五大一新”概括其特点。“一新”就是指新威胁,“大安全”时代网络攻击的影响越来越大,网络恐怖主义和网络战,正给世界网络安全造成新的威胁。“五大”是指大挑战、大战略、大产业、大数据和大合作。应对新威胁和大挑战,需要国家制定和实施大战略,大战略的实施又需要大产业、大数据和大合作的支撑。
习近平总书记在党的十九大报告指出,网络安全等非传统安全威胁持续蔓延。这精辟地概括了当今世界和我国面临的网络安全威胁的新特点。
“持续蔓延”一方面体现在网络威胁影响的范围越来越大,网络攻击造成的后果越来越严重。如 2017 年 5 月全球爆发的勒索病毒的影响就是如此。同时,我国面临的网络攻击正从普通的黑客行为上升为敌对势力国家级、有组织的高强度网络攻击,网络战正成为常态。
过去是小病毒的小打小闹,现在有些安全事件已经造成了非常大的危害。早年曾有震网病毒攻击伊朗核设施,这两年乌克兰境内的很多电站曾连续遭受黑客攻击,造成当地大规模停电。去年美国曾出现一次网络“9·11”,导致整个美国东海岸大面积断网。
网络安全的威胁与挑战越来越大,已从信息安全扩展到民生安全、社会安全、经济安全、基础设施安全、城市安全,乃至政治安全。
习近平总书记强调“没有网络安全就没有国家安全”,把网络安全上升到前所未有的国家战略高度。我国先后成立了中央国家安全委员会、中央网络安全和信息化领导小组、中央军民融合发展委员会等机构,2017 年,《网络安全法》正式实施。可以看到,新时代国家网络安全的领导机制、制度设计和法律法规等顶层设计已经确立。
实施大战略,网络攻防战略思想需要进行及时转变。在技术快速发展的网络时代,没有攻不破的网络,传统网络安全的“马奇诺防线”思维已经落后。要改变过去以隔离、防守、防御为主的思想,过渡到重点加强对已经进入的攻击的发现和响应。我们需要研究如何以最快的速度发现和响应:在对方还没有窃取数据或破坏系统之前快速发现,在对方给我方造成更大损失之前快速发现,并及时阻断、清除和修复。
在架构上,应当改变重要政府部门网络安全建设的管理机制,实行从中央到地方网络安全体系的统一规划、统一部署,明确各地、各部门的权、责、利,这样才能提升政企单位网络安全防护的整体能力。
同时,国家应建立国家级的网络安全态势感知平台、国家级威胁情报平台、国家级应急指挥和协同防御平台、国家级邮件安全过滤平台等,通过实施一系列重大工程,提升我国网络安全整体防御能力。
以大数据、大产业和大合作,深化落实网络安全工作
以前的病毒时代,主要依靠防火墙和反病毒软件,靠的是对网络攻击行为和病毒识别的技术引擎。其核心是寄希望于建立一个攻击特征库,就像一个黑名单,进而据此去识别病毒或者网络攻击。今天,很多网络攻击可以像化妆易容一样,特征被隐藏或伪装了,仅凭特征库就很难识别;而且新的病毒或攻击就像犯罪分子每次都派出一个新手一样,永远不在我们的黑名单上,这样就很难去识别和防御。
新时代网络安全的一个特点,就是所有的攻击都是未知的,已经发生的东西对方不会再用。因此,很难靠传统的识别进行网络安全防御。
要全天候全方位感知网络安全态势,而感知网络安全态势靠的就是大数据。360 集团已经是全球拥有最大网络大数据的企业之一,要快速检测躲过防火墙和常规反病毒软件、已经进入系统的攻击,必须靠大数据。在人工智能大数据时代,需要坚定不移地进行技术创新,利用大数据技术,对网络威胁进行感知、预判并提供解决方案。
大战略的实施,除了靠国家意志,还需要一个强大的网络安全大产业来支撑。如果没有强大的产业,没有市场的力量,就不会有人才和资金的进入,也不可能形成一个良性发展的循环。
网络安全产业规模小,企业没有积极性,也无力投入,就会导致创新不足。近几年,中央和各级政府对网络安全的重视程度不断提高,网络安全转向责任和结果导向,网络安全事故追究机制逐步建立。2016 年,中国网络安全产业规模不到 400 亿元人民币,不到美国的1/7,预示着这个产业还有很大的提升空间。相信未来 3 到 5 年,中国网络安全产业将能够逐渐支撑起网络安全大战略的实施。
攻防对抗的核心是人的对抗。网络安全不是购买并部署一批网络安全设备、产品就能解决所有问题,还需要大量专业安全服务人员来做分析、研判、响应和处置等工作。
当前,网络安全人才培养问题正在日益改善。2015 年,教育部将网络空间安全设为一级学科。中央网信办正在支持武汉创建国家网络空间安全学院。360 集团也正与大学和地方合作进行网络安全人才的培训……我国网络安全人才队伍正在不断壮大。
新时代,网络安全需要进行跨企业、跨行业、跨部门、跨地域,甚至跨国家的大合作,唯有如此才能应对大威胁、大挑战,才能深化、落实、开展好网络安全工作,才能构建网络空间命运共同体。
新时代的网络安全,没有一个企业或者政府可以独自应对。习近平总书记在 2015 年就提出要共建网络空间安全命运共同体,党的十九大报告提到构建人类命运共同体。这需要企业之间、政企之间、军民之间,乃至国家与国家之间进行广泛而深入的合作。
早在 2014 年,在中央网络安全和信息化领导小组第一次会议上,习近平总书记就指出,网络安全和信息化对一个国家很多领域都是牵一发而动全身的。进入“大安全时代”,非传统安全威胁越来越多,越来越频繁,给人民安全、国家安全带来了更大挑战,也给国家发展增加了潜在风险。这就需要我们增强忧患意识,加强企企合作、政企合作及军民融合,持续进行技术创新,推动产业发展,推进国家网络安全战略,加强网络安全能力建设,加快完善网络安全体制机制,为新时代国家安全承担新使命,共建网络空间命运共同体。
作者为 360 集团创始人兼 CEO