新闻快讯
< >

周鸿祎:安全漏洞会变成战略资源,中国还不重视

 周鸿祎:安全漏洞会变成战略资源 中国还不重视-E安全

作者:商西

“你是做安全的,就老是盼着出事。”周鸿祎说,他曾被人如此吐槽,但这次“狼”真的来了。

9月18日,360集团董事长周鸿祎在2017国家网络安全周高峰论坛上发表了“万物皆变,网络安全进入大安全时代”的演讲。

什么是大安全时代?接受南方都市报专访时,周鸿祎谈到,勒索病毒事件打开了“网络犯罪和网络恐怖主义”的潘多拉魔盒。今后网络漏洞会变成如稀土、原油一样的国家战略资源,网络攻击极可能演变成网络战,网络安全急需人才。

谈大安全

“网络攻击已威胁真实世界”

南都:你这次来参加国家网络安全周,关注什么话题?

周鸿祎:我关注“大安全”的话题。从过去一两年全球网络安全事件,我们能够感觉到,网络安全进入了一个新时代,就是“大安全时代”,已经不仅是网络本身的安全。比如今年5月的勒索病毒事件,受影响的不只是一些电脑,还直接影响很多服务机构,英国有的医院不能给病人做手术,中国有的加油站不能加油了,社会秩序受到很大影响。

整个社会现在都运行在互联网之上,互联网已经成为基础设施,和水、电、空气一样。加上云计算、人工智能等技术发展,催生了物联网、工业互联网以及车联网等等,把网络虚拟世界和物理真实世界的界限打破,网络攻击已经威胁真实世界了。所以,大安全时代的网络安全就是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。

南都:把虚拟世界和真实世界的界限打破了?

周鸿祎:是的,我们做安全的人不断唠叨,很多人可能会反感,觉得我们像喊“狼来了”的小孩一样,还有人说“你是做安全的,就老是盼望着出事”。但10年前你把互联网当作信息高速公路,仅仅是获取信息,今天你买东西、打个车、定个餐都离不开互联网,一旦互联网的基础设施和基本服务受到攻击,整个社会秩序,包括基本生活、饮食起居都会受到影响。在乌克兰,黑客攻击变电站导致几十万用户大面积停电,以前要用炸弹攻击,现在网络攻击就可以做到。

南都:这意味着什么?

周鸿祎:我们要关注这样几个大趋势:网络犯罪、网络恐怖主义的潘多拉盒子被打开了。勒索病毒是一个标志,我觉得是网络恐怖主义开始的代表性事件。“永恒之蓝”病毒是美国国家安全局武器库里泄漏出来的武器,被小毛贼用来敲诈勒索,这很可能给其他不法分子启示,就是网络犯罪的成本比现实世界更低,但产值可能更高,网上有很多漏洞,以后犯罪会越来越多借助网络进行,甚至恐怖分子会发动针对社会的网络恐怖主义活动,一旦用网络武器进行攻击,影响力和破坏力可能更大。

在大安全时代,网络攻击涉及国家安全、社会安全等,所以极可能演变成网络战。从勒索病毒事件来看,美国在网络武器打造上实现了平台化、系统化、自动化,世界已经进入网络战时代。

与此同时,漏洞成为战略资源。以前我们把网络、软件漏洞当成一种小错误,认为修复了就行,但是大安全时代,网络攻击演变为网络战后,漏洞会变成如稀土、原油一样的国家战略资源,因为有一个漏洞就意味着能创造一个网络武器,知道一个漏洞就可以阻拦一次进攻。美国现在非常注意采集、挖掘漏洞,而其他国家包括我国目前在这方面的意识仍然比较淡薄。

谈人才培养

“与东莞理工合作打造首个网络空间安全产业学院”

南都:“大安全时代”,我们如何来防护网络安全?

周鸿祎:大安全时代,所有东西其实都是基于软件的,万物皆可编程,而软件是人写的,一定会有漏洞,所以大家要接受一个事实:没有攻不破的网络,也没有绝对的安全。前美国国家安全局局长基思·亚历山大2015年参加中国互联网安全大会的时候曾说,世界上只有两种网络、两种系统,一种是已知被攻破的,一种是被攻破自己还不知道的。

过去很多单位总觉得只要把网络隔离了,只要买了安全的软硬件,就可以高枕无忧了,这样的思路已经过时了,要基于“网络一定会被攻破”来建立新的防御思想。网络安全里最薄弱的环节是人,漏洞是人造的,管理问题也是人导致的,但最后解决问题的不是软硬件和规定,还是人。所以我认为,未来5年网络安全行业会变成一个高智力、劳动密集型的服务行业。

南都:当前我国网络安全人才是否缺失?

周鸿祎:党的十八大以来,国家高度重视网络安全和信息化工作,但当前我国网络安全人才培养与发达国家相比仍存在很大差距。根据国家网信办2015年公布的网络安全人才现状报告中的数据,我国网络安全人才缺口达到70万,这个缺口还以每年1?.5万人的速度递增。

究其原因,是因为我国的网络安全人才培养机制还比较单一,人才选拔制度的完善体系还没有建立起来。人才的培养计划和相应的课程体系,包括学科建设体系,都还不够完善,网络安全实践环节也不够科学、系统,这在很大程度上制约了我国网络安全水平的提升。

南都:360与东莞理工学院合作是出于什么考虑?将以什么方式来培养网络安全人才?

周鸿祎:这次与东莞理工学院签约组建的360网络空间安全产业学院和360网络空间安全创新研究院,是在国家网络安全人才缺口背景下,结合广东省的人才培养政策和双方自身优势,探索全新的产业合作模式。

360网络空间安全产业学院计划打造成全国首个网络空间安全产业学院,通过课程设计、培训、实训、攻防演练、实习、就业等完整环节,建设一整套网络安全人才培养体系。360网络空间安全产业学院一期计划招生两个班级,由360公司提供讲师、课程、实训建设和定向人才培养。360网络安全创新研究院则致力于提升学生实际操作能力,通过与国家央企、金融机构、行业龙头企业合作,为行业安全人才提供输送和实习通道。

谈隐私保护

“隐私数据是用户个人资产”

南都:科技越发达个人就会越没有隐私吗?对这个问题你怎么看。

周鸿祎:科技越发达,我们的工作生活都将越与网络息息相关,只要使用网络服务,就一定会产生信息和数据,这些数据都会放置在厂商的服务器上,都是我们的隐私。

但并不能说我们向厂商提供了信息和数据,就意味着我们没有隐私。用户的信息、数据和厂商之间,应该遵循平等交换原则。什么叫平等交换?用户享受服务,厂商获取信息,但在这个过程中,用户要有知情权,厂商要得到用户授权才能使用信息,也就是说,用户要有选择权、拒绝权。比如现在共享单车很火,你要用共享单车,不可避免要提供个人身份信息、手机信息等,也可以拒绝不用。

保护用户隐私另一个原则是安全处理,任何一家互联网公司都有责任保护用户信息安全,要在云端对用户数据进行足够强度的加密,包括安全存储和安全传输。

另外,我觉得非常重要的一个原则,就是用户的信息和隐私数据是用户的个人资产。可能有人比较抵制这个观点,很多互联网大公司在用户协

议里说:用户号码是我给的,所以用户是我的,用户的好友列表也是我的,用户产生的内容也是我的,但又发表一个免责声明,说用户产生的任何法律问题都与自己无关。且不说这种自相矛盾的逻辑,我的观点是,用户使用厂商服务产生的信息,是属于用户自己的个人资产,用户使用各种设备、各种软件产生的数据,虽然存储在厂商的服务器上,但从所有权方面讲,应该明确属于用户个人。

南都:360在网络安全和个人隐私保护方面做了哪些工作?

周鸿祎:现在从国家层面到用户个人层面都对个人信息和隐私保护非常关注,比如今年正式实施的《网络安全法》,给予用户信息及隐私保护很大篇幅,我觉得这很好。

360作为一家安全公司,理应帮助国家、政府和民众个人做好信息和隐私保护工作。在PC端和移动端提供第一道屏障,同时协助公司、机构做网站防护,提升A?PP的安全性,检测产品与服务是否有漏洞,因为网站、软件拥有大量用户信息,安全水平不一,就可能导致泄露。

当然,我们自己在用户信息和隐私保护上也做了很多工作,早在2012年就发布了隐私保护白皮书,将360所有产品的工作原理和信息处理机制公布于众,并且任命首席隐私官,各产品部门也下设隐私主管,保证产品符合国家相关的法律法规,并进一步提高和完善隐私保护制度。

相关阅读:

周鸿祎:大安全时代,网络空间防御刻不容缓
周鸿祎亲笔信:360回归国内后为国家网络安全贡献力量
周鸿祎主题演讲《协同,网络空间安全的出路》
周鸿祎:下一个10年奇虎360将不断推出温情产品
周鸿祎:2015年360有望成为中国最大的企业安全公司
周鸿祎:互联网要有“大安全”概念

文章来源:南方都市报 原文地址:http://epaper.oeeee.com/epaper/A/html/2017-09/20/content_72408.htm