【中国商业心灵】周鸿祎：数字安全护航数字文明

      6月10日，亚布力中国企业家论坛第二十二届年会在黑龙江亚布力拉开序幕。在年会的【中国商业心灵】环节，360集团创始人、董事长周鸿祎发表了“数字安全护航数字文明”的主题演讲，阐释了数字安全对于数字经济和企业发展的重要作用。

      周鸿祎表示，数字经济已成为推动中国经济高质量发展的新引擎，但数字化程度越高，安全风险却越大。一旦出现安全问题，将会引发灾难。他说，企业只有改变“将网络安全视为信息化附庸”的传统错误认知，摈弃“卖货”思维，杜绝技术上的抱残守缺和产品上的各自为战，才能在未来获得新成长。‍

      他还预测：未来5-10年，所有的经济都是数字经济，所有企业都要转型成数字化企业，那些没有转型成功的企业，最终可能会消失。

 

以下为演讲全文：

      最近我研读了陈东升理事长的新作《长寿时代》，他一直倡导，企业家要站在万米高空和百年时间的跨度来审视自身所处的时代。我也在思考，我所处的科技公司、安全行业，将要迎接的是什么样的时代。

      其实早在去年9月的乌镇互联网大会上，习总书记就已经给出了答案，他在贺信中第一次提出，人类将进入数字文明时代。

      前段时间我参加了全国政协在北京召开的“推动数字经济持续健康发展”的专题协商会，深切感受到国家在推动数字经济方面的决心与信心。

      但数字化也是一把“双刃剑”，数字化程度越高，也意味着安全风险就越大。俄乌冲突中爆发的网络战就是一个鲜活的例子。对于数字文明时代而言，俄乌冲突相当于一场“开卷考试”，是新的时代下数字世界对抗冲突的真实预演，结合俄乌冲突的例子，我分享几点感受：

      一是网络战与传统战争结合，正在演变为数字战争，影响战争态势。在战前，网络战已经开打，俄乌政府部门和银行、电信、电力等关键基础设施均遭受了网络攻击。星链卫星、无人机、人工智能等技术与传统武器融为一体，乌方获得美国加持，弥补了弱势；而俄方由于数字化落后，损失扩大。

     二是网络攻击的手段无所不用其极。此次双方使用了包括APT攻击（Advanced Persistent Threat，即高级可持续威胁攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动）、DDos攻击（Distributed denial of service attack，一般指分布式拒绝服务攻击，它可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用）、数据勒索/擦除攻击、供应链攻击等手段。

     三是开启了数字时代的人民战争，高科技公司走向攻防前沿，民间黑客成为生力军。乌方能和俄抗衡，主要是它引入很多美国互联网公司、民间网安公司，获得超50个国际黑客组织、30万 “IT志愿军”参与；而俄国主要靠军事情报部门、黑客组织和白俄罗斯APT组织，但因缺乏实力强的互联网公司，处于劣势。

      四是对俄开启断网、断供、断服、断证书、断舆论等全面脱钩，意图将俄从数字空间抹去。西方主要互联网公司，包括微软、IBM、谷歌、甲骨文等对俄停止骨干互联网传输，停发SSL证书、停止域名解析、中断国际传输网络、停止各种软件和服务等，而芯片和硬件供应商如英特尔、AMD等对俄“断供”，脸书、推特禁止俄发声，彻底将俄孤立。而俄由于缺乏市场化的数字产业支撑，完全被动挨打。

      俄乌冲突开辟了数字化战争的新纪元，本质是两方数字化体系能力的直接对抗。过去我们常说，落后就要挨打；今天的俄乌冲突警醒着我们，在数字文明时代，数字产业落后、数字安全能力落后，也会挨打。

      当前，加快数字化发展已经上升为国家战略。国家的十四五规划和2035远景目标中专篇论述数字化，数字化成为未来中国弯道超车、变道超车的重要抓手。国家提出了很多有关“数字化”的概念，最值得大家重视的蓝海市场就是产业数字化。

      产业数字化真正的价值是帮助很多传统企业，特别是制造业进行改造升级，未来所有的行业都值得用数字化重塑一遍，无论是供应链、价值链、客户链、用户体验或是商业模式。产业数字化会催生很多像工业互联网、能源互联网，车联网等新的场景，未来，数字化也会重塑整个经济，数字经济在国民经济中的重要地位将进一步凸显。

     未来5-10年，可能所有的经济都是数字经济，所有的企业都面临一个转型的窗口期，所有企业都想转型成数字化企业。我相信可能这也是在座所有企业家关注重点的方向，未来，产业数字化绝对是红海中的蓝海。

      然而，事物往往都有双面性。数字文明时代一方面是发展数字经济，另外一方面也需要关注安全。数字化在带来新机遇、新场景的同时，让安全也变得更脆弱。

     总的来说，数字化有三大特征：一切皆可编程、万物均要互联、大数据驱动业务，本质是软件重新定义世界。

      “一切皆可编程”就意味着一切皆可数字化，而凡是人编写的软件都会有漏洞，这也意味着“漏洞无处不在”，越是新技术越有漏洞。对此，我们得出的结论就是，因为软件有漏洞就一定会被人利用和攻击。今天所有的攻击都是利用漏洞发生的攻击。“没有攻不破的网络，只有不努力的黑客。”

     “万物均要互联”意味着物联网时代已经来到，物联网、车联网、工业互联网等技术，把虚拟世界和真实的物理设备连在一起，也让过去只在虚拟世界里发生作用的网络攻击，可以变成今天物理世界的伤害。

     “大数据驱动业务”意思是所有的业务都不再是流程驱动，而是数据驱动，大数据会变成这个业务系统的中心，所以一旦数据遭到攻击，那么整个流程业务可能就停转。

        我们想象一下，未来这个世界架构在软件之上，老百姓的吃喝玩乐、衣食住行，整个社会的运转、政府的治理、工厂的运作都架构在软件之上，整个世界的脆弱性将前所未有。所以，安全已经成为数字文明时代的“基座”。

        说到“最短木板”理论，我觉得安全都不是最短木板，而是木桶的那个底板，如果木桶连底板都没有了，就可能连一滴水都装不了。如果我们不重视基础安全，那么数字化跑得越快，做得越先进，一旦出现任何安全问题，都可能会导致灾难。

        同时，数字化技术带来的内在安全威胁不断地在增加，日益复杂的国内外环境也使得网络攻击成为国与国博弈的重要手段，而且它们也是平战结合，平时获取情报、潜伏、渗透、伺机而动，战时响应指令，瞬间瘫痪或者摧毁你的业务系统。

       很多企业都会想，网络战和我有什么关系？其实在供应链攻击面前，每个人、每家企业都有可能变成受害者。我再举个例子。现在比网安企业更赚钱的一种商业模式迅速崛起，就是勒索攻击。各位企业家未来都要走数字化的道路，那么数据就变成企业最重要的核心资产，它可能会成为勒索攻击的目标。

       这种专业的对手、大型的目标、超大的布局、独特的手法，造成的危害和挑战都非常大，所以，未来安全无小事。

       随着大量数字化新技术、新应用的产生，很多简单的安全问题已经升级为复杂安全问题，超出了传统网络安全的范畴。数字化面对的不再是过去办公自动化、企业内网这些简单场景，而是像工业互联网、车联网、数字政府、智慧城市等很多新场景，涉及到大量的上云技术、大数据技术、供应链技术、物联网技术、区块链技术，还有应用技术、供应链安全，场景非常复杂；但现在很多人对安全的认识，依然停留在计算机安全、网络安全时代，以为安全就是杀病毒木马，用防火墙隔离等传统手段。

       事实上，随着新兴的数字技术和复杂的数字化场景带来的挑战，简单安全升级为复杂安全，网络安全行业也应当被重新定义，将计算机安全、网络安全升维到数字安全，才能跟得上国家的产业数字化发展要求，才能保障人们进入数字文明时代。

       为保护数字经济发展、数字中国建设，党和国家高度重视数字安全的升级发展。党的十八大以来，党中央明确以“总体国家安全观”为指导，统筹“传统安全与非传统安全”。习近平总书记在致2021年世界互联网大会乌镇峰会贺信中强调，筑牢数字安全屏障，让数字文明造福各国人民，推动构建人类命运共同体。中共中央政治局审议《国家安全战略（2021—2025年）》，明确提出加快提升网络安全、数据安全、人工智能安全等领域的治理能力，这些本质都是“数字安全” 。国家还从立法层面推进和完善数字安全的发展。继《网络安全法》后，国家于2021年又出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规。

       这意味着，2022年已经是数字安全元年。然而，让我感到担忧的是，虽然时代变了，但仍有很多政企单位的安全思维依旧停留在传统认知上，主要表现在三个方面：

       第一，在指导思想上将网络安全视为附庸，投入不够，没有顶层设计。传统的网络防御措施，经常是把信息系统、把数字化的系统建好之后，最后急急忙忙买点零碎的软硬件产品凑合。但最后到底自己的数据有没有丢、系统有没有被人入侵，并不知道。

       第二，以卖货思维为主导，重视产品而忽视运营。很多行业把货卖给用户，用户就能用，但网络安全行业卖货没用。网络安全是一个高度强调运营和以人为本的一个行业，也就是说，网络设备不会告诉你谁攻进来，它可能会检测到不正常，这里就需要人工的干预和运营。

       就像今天城市建立了大数据中心，但如果没有人对数据进行治理、清洗，对数据做模型，用数据做计算，那么即使采集了很多大数据，就如同积累了很多石油而不做提炼，是不能直接驱动汽车发挥价值的。如果我们买了一批货回家，就等于买了再多的医疗设备，但没有医生和大夫在里面看病、诊断，那么这个医院也不能建立起强大的医疗能力。

       第三，技术上抱残守缺，产品各自为战，看不见安全风险。因为卖产品只需要说服用户购买，而不需要以实战对抗为指导。网络安全行业有很强的对抗性。一个产品好不好，到底能不能看见别人的风险，到底能不能看见别人的攻击或者能不能拦得住，或者能不能将已经攻进来的攻击踢出去，这是需要通过实战对抗来实现的。

      不同于传统网络安全公司，360不以卖货为目标，而是真正帮助国家和企业解决“看见”APT攻击的“卡脖子”难题，提升数字安全能力。

      360最早从免费杀毒起家，大多数国内终端上都有360的产品。有了这么多用户，每天电脑上发生的攻防事件360都能看到。在这个过程中，360常年处在攻防对抗一线，积累了全球最大的安全大数据。这中间还有个小插曲：因为用户太多，世界各国的黑客组织都觉得360很麻烦，所以它们如果做了一个新的攻击软件，一般就会先用360测试一下；但360也很“狡猾”，必须要联网才能工作，因此很多时候，360第一次监测到它，在不知道它是攻击软件的情况下，就把它传到云端去做分析去了。

      所以，360就无意中收集了全球最大的攻击样本库。也就是说，全球黑客的攻击样本，360都能拿得到，然后我们再通过机器的自动分析加上人工辅助，就能看得到它们的攻击行为。这就是为什么360能够累计发现境外APT组织50个，包括4000多次攻击，涉及了两万多个攻击目标的原因。

       原来360不急着卖货，现在却急着卖货了，这是为什么？以前不急着卖货，是因为我们的商业模式比较奇葩。360之前商业模式很俗，主要是做互联网广告和网络游戏，因为它赚钱，然后通过赚的钱，每年大概是平均投20亿元-30亿元到安全上。所以，360在安全领域的研发投入，比安全行业里第二名到第十名所有公司的研发投入加起来还多。

       当我开始卖货时，我发现自己也变得很庸俗，因为卖货思维和实战思想不一样。卖货时，你不需要考虑发现敌人，只需要搞定客户。但不卖货时，无所谓客户，反正大家都免费用。所以360也因此培养了国内最多的白帽黑客团队。一般的安全公司不会这么做，它们有2个白帽黑客做“吉祥物”就可以了。因为黑客对卖货最没有帮助，他们只有真正与国外APT组织进行攻防实战时才用到。这也是360无意中取得的一个成绩，就是当年的免费杀毒发展到今天巨大的能力。

      360基于20年的攻防实战的经验，总结了一套新的战法。

      第一是数据致胜，一定要用大数据分析。唯一的网络攻击方法就是从全网大数据终建立全局的视角。这就如同当满大街有了摄像头之后，中国的社会治安得以大大改善的原因。因为你无论干点什么，总会被摄像头拍下来传入视频库，只要经过认真筛选，就能够通过碎片的摄像头信息，还原完整的案件。在数字文明时代，面临高级别的网络攻击，最重要的是看见，即“看见是1”，就像你吹嘘自己的火炮有多么猛烈、导弹有多么精确，但如果你压根看不见别人的隐形飞机突破防空系统，就完全起不了作用。

      第二是以人为本。安全行业未来发展，就像医疗产业一样，它绝对是以人为本的产业，而不是通过堆砌一堆产品来解决问题，而是需要依靠高级专家持续运营。

      第三是实战攻防。“是骡子是马拉出来溜溜”，网络安全不是看你写多少论文、吹多少牛，而是要在实战中接受检验。在数字化安全领域，实战是检验安全能力的最终标准。

      第四是顶层设计。要打破安全是信息化附庸的传统思想禁锢，改变先数字化建设后做安全防护的被动局面，立足系统思维，对安全做整体规划和体系化设计。

      依托新战法，360希望能重塑网络安全，打造以安全大脑为核心的数字安全能力体系，为政府、企业还有城市提供完整的安全解决方案。我们希望能够像建立“数字安全医院”一样，帮助客户建立起一套自己的能力体系。目前，360是唯一能够给城市做整体安全运营和顶层设计方案的公司，能够提供城市级的安全防护，这套新框架现在已经在上海、重庆、天津、青岛、苏州等10多个城市部署和落地。

      以数字政府为例，习近平总书记在主持召开中央深改委第二十五次会议中指出，加强数字政府建设是创新政府治理理念和方式的重要举措，要求加快构建数字政府全方位安全保障体系，全面强化数字政府安全管理责任。过去，城市不是安全的用户；但未来，城市可能会成为网络攻击的主战场。一是因为智慧城市本身未来就是各种智能设备的集中地；二是城市发展数字经济，各个产业发展数字化、进行数字化转型及数字政府建设本身，都需要安全保障。

      但过去城市并非数字安全的建设主体，而是各个企业、单位“谁建设谁负责”，自行建设、能力分散，缺乏统一的数字安全感知、应急、指挥体系。所以要以城市为中心，像在物理世界建立应急体系一样，建立数字空间安全基础设施，包括城市级的统一感知系统、应急系统和指挥系统，让城市在遭受网络攻击时，能够及时发现、快速响应、联防联控，来保障整个城市的数字经济安全、产业数字化转型安全、数字社会安全和智慧城市的安全，实现高质量发展。

      360作为全球最大的数字安全公司，未来希望能帮助更多的政府、城市、企业实现数字化转型，为数字经济发展、数字中国建设、数字文明时代保驾护航。