董云鹏：数据经济下的大安全

　　国际在线消息：4月7日，由中国软件行业协会主办的2021中国软件产业年会在北京举行，大会以"数字经济新时代——软件产业赋能高质量发展"为主题，瞄准产业变革和时代发展趋势，涤荡思想与共识，汇聚知识与力量，展示中国软件产业新成果。

　　大会现场，360政企安全集团战略创新研究院常务副院长、首席专家董云鹏发表题为“数据经济下的大安全”的精彩演讲。

　　以下为现场实录全文：

　　很高兴今天有机会参加这个年会，跟大家分享一下360对数字经济以及数字经济下面可能引发的安全问题，甚至这个安全问题是超出以前传统安全问题存在的安全问题的理解。我们从历史的角度来看，一直在说数字化时代进行第四次的工业革命，头两次中国没有赶上，第三次赶上小尾巴。

　　我们看看数字化究竟是什么，简单来说数字化和之前第三次工业革命的信息技术的区别是什么？前面讲的是IT技术，其实从安全角度来说是有明显的界定：IT技术强调的是技术的虚拟化，再往上升高一个技术阶段叫Syber赛博理论，后来我们现在定义的叫网络空间学科，我们管它叫做网络空间，强调的是虚拟化世界的变化。而数字化的概念放到外语体系相当于叫digital，它相当于是一个虚拟化和现实世界的一个融合，由它产生了新的生产力并带来了新的价值。我们现在探讨的接下来一个发展阶段，可能5-10年就是如何让数字产生价值的阶段。

　　这个阶段我国很早就有布局，建设数字中国战略，到下面提出落地的两个强国战略，一直到新基建，前一阵刚发布的“十四五”规划，我们发现一个特别可喜的现象：数字化独立成章，可以看到国家对数字化带动未来经济的发展，甚至带动中国未来影响力的发展都下了重大的决心和重大的变化。

　　面对八大数字化的重点经济产业以及明确提出了十大数字化应用场景，刚才在前一个主题各位专家讲了数字化给未来带来的一系列的情况，我们看看中国在这方面有巨大的机会。整个数字化是站在很高的基础上，我们有后发优势的基础上发展起来。我们国家整体数字化水平在国际上都处在相对高的状态，广义的数字化经济占比我们国家已经高达30%。数字化的发展极有可能带来中华民族的伟大复兴，我们在接下来十几二十年的弯道超车，可以加速整个数字产业化同时倒逼产业数字化，进而推进整个数字化的治理。

　　刚才说了数据如果是生产要素的话，我们通过产业数字化和数字产业化的生产力以及数字化治理这样的一个生产关系的整合，必然带来像前几次科技革命一样的巨大的质的飞跃，这也是我们国家把数字化定到这么地位的发展目标。如果从这个前提出发，可以看到一个问题：数字化概括为三大特征：新技术、新基建、新要素。新技术我们定义一个词叫IMABCDE，包括IoT技术，移动互联网、人工智能、区块链、云计算、大数据、边缘计算、金融科技，这都是虚拟世界和现实世界交织的新技术，把虚拟世界和现实世界进行融合。我们国家提出的新基建在解决两大问题：网络问题和数据问题。可能很多老师也研究过。我们看到当时发布的新基建的代表：特高压、轨道交通、城际铁路，和我们后面讲的云计算、大数据放在一起叫新基建，核心是什么？从研究院的理解，我们看到它的核心在干吗？我们国家试图用网络化的方式解决网络的问题，也就是以前的IT技术都是单点的技术，随着互联网的成熟，网络技术和网络化去掉我们所有核心的中心，而构成一个分布式的结构，现实世界也逐渐形成这样的结构，就像分布式的云计算、分布式的数据处理一样，未来的特高压也可以分布式生产电向全世界供电，未来的高铁交通也是用分布式、节点化方式来构建大的网络，这个大的网络上指导大的网络运行却是一个虚拟的东西：数据。

　　从新基建来看，做的是构建大的虚拟和实体相结合的网络和数据承载的基础设施。这个基础设施上跑的核心要素就是数据，将成为国家和全世界发展的新型的生产要素，能不能抓住生产要素这是我们接下来面对的百年未有之大变局，也就是前所未有的大机遇。

　　360在这方面做了一些总结，老周在今年全国政协第一次公开学习受邀做了一次关于数据和安全的分享。我们把数字化总结为三大特征：1）一切皆可编程；2）万物均要互联；3）数据驱动业务。

　　一切皆可编程带来了一个最大的问题，软硬件边界的消失，今天上午有很多的老师、院士已经讲过，硬件现在越来越趋同，而真正执行业务的都是依靠大量的软件，通过软件定义整个业务的形态。这种情况下，我们会发现软件和硬件，我上学的时候老师一直说软件和硬件可以互换，我们发现互换的趋势是非常明显的。

　　万物均要互联就造成内外网边界的消失。在原有的体系下构建网络，我们会发现大量的网络之间不连通，就是做大数据的相关专家都有感受，我们叫数据烟囱、数据孤岛。为什么？因为它的网络相对来说是封闭的，但随着我们对外部数据的依赖度增加，对整体大数据的依赖度的增加，这个边界必将被打破，所以以后不再可能存在内外网的边界或者这个边界非常紧和小。

　　数据驱动业务也会造成一个边界的消失，这个可能理解起来比较抽象，我们认为数据驱动业务会带来人机边界的消失。我在跟高级领导分享的时候，他们可能这方面理解不了，我举了一个例子，以前我们出差选择一个好吃的一定是基于前同事到这里玩过的经验，而现在的第一选择是打开大众点评，由大众点评告诉我有几星，附近有什么好吃的。最近选择做的决策是个人做的还是大众点评替我做的已经分辨不清。大众点评背后可能还有巨大的隐藏的刷分的产业链，搞互联网的可能都知道这个事情。我们发现当这些边界的消失的时候，就会出现这样的一个最大的问题，如果未来一定是数字化的，那么在这三个特征下必然带来巨大的威胁。

　　首先，当一切皆可编程的情况下，我们发现软件漏洞将成为数字化网络安全的命门。现在的网络安全80%源于漏洞，我们也知道漏洞一定存在。就像防盗锁从最开始简单的一把链锁到现在多层防盗门，到指纹、虹膜等等都是有进化的，进化过程中技术体系越来越复杂，同时带来的漏洞越来越多。漏洞既然无法避免，漏洞就无处不在。随着技术的发展、软件的发展，刚才说软件定义世界的发展，软件的复杂性也将会逐渐增加或者是几何倍数的增加，我们整个漏洞将越来越多。同时，在近几年的实网攻防实践中我们非常明显发现，利用包括现在安全设备的漏洞进行的威胁也成为了一种趋势。以前我们可能是针对一些软件或者是说针对网络设备的漏洞进行攻击，而现在基于底层或者供应链的设备，甚至基于网络安全设备的攻击。

　　去年国家组织的一次行动中，通过某安全公司的VPN作为跳板直接跳到客户所谓内网的核心系统，又利用他用的终端安全软件对它所有的终端进行了终端控制权的夺取，这也是我们发现的一个新型的攻击套路。我们看看万物均要互联这个特征必然带来未来的超复杂的环境，以前我们直接通过外网暴露的端口进行攻击，现在完全可以通过家庭的路由器，甚至智能家电向移动设备植入木马，通过带进去的智能家电威胁到整个设施的安全，包括整个防护边界逐渐因为万物互联造成的模糊。我们发现数据驱动业务，大数据安全将直接影响到业务的安全，对数据的攻击可以瘫痪业务、污染业务，甚至对业务进行复杂的影响。相信很多人都读过《三体》这本书，《三体》讲质子污染数据、造成我们的科技不能进步，这件事情我们认为在接下来不远的时间就会发生，由此可能引发的威胁就不是靠网络威胁，大部分人为了图财，都是小毛贼。接下来我们可能遇到的两大威胁是今天上午讲的，一个叫APT组织，同时还有可能是我们认为接下来几年一定会见到的网络威胁的恐怖组织，利用互联网造成大规模的瘫痪。

　　其实我们是基于真实业务不难想象的攻击，黑客为了造成一些重要关键基础设施的停摆，完全可以通过对环境中人的入侵，他私人产品的入侵，通过一个长供应链对他进行攻击，这种攻击其实包括委内瑞拉的大停电，伊朗的“震网事件”，其实大量都是长链型的攻击，可以广撒网、广钓鱼最后引发结果。因此我们可以看到网络攻击在未来会成为国家、政治、军事、经济新型跨界的手段，我们国家对APT的发现和反治处在很弱的状态。我们看到老外可以直接找到我们国家对他APT的证据，目前为止真正拿到某国家的证据就是去年360公开的APP39，通过历年大数据积累的分析和不光自动化、大量专家的分析得出的结论，同时给外交部提供了有力的反击数据，也因此让360上了实体清单。在这个过程中，其实360大量利用我们的数据技术和网络技术，用网络和数据解决了未来的问题。通过APT的渗透战，可能涉及到像美国棱镜的窃密战和伊朗震网的攻击战其实它都是可以通过不同的方式进行的一种攻击。

　　360目前为止已经监测到44个针对我国或者对境外APT的攻击组织，而很遗憾的是，我们针对世界上最强的国家的抓取才不到4个。所以我们不认为它只有这么少，而是因为我们没有足够的证据和数据支撑获得这样的结论。

　　回过头看我们国家，随着数字化的高度建设，出现的问题在哪。美国有底层的八大金刚才能执行所谓的棱镜计划，中国底下是谁。今天是软件行业年会，那么中国的基础软件行业现在又是什么样子？我们一直在喊我们没有阿斯曼的光刻机，我们不能做高端的精细化的芯片，不能做高精度的纳米芯片的制作，回过头来再往下考虑，全世界是不是现在只有4家能够做芯片设计的软件公司？而这4家3家是美国的，1家德国的，哪怕我们有光刻机也没法生产，如果他们在全产业链给我们做了安全风险的植入或者后门的植入，我们该如何发现。

　　360现在能做的工作是什么？只能做中间大家看到的那条线的那一层，我要知道至少下面跟我要什么东西要知道，我判断这个东西该不该给你，是否超出你的影响范围，但是底下这一层对我们国家接下来数字化十年、二十年才是最任重道远的一个方向。

　　回过头再看看国家的网络安全到底应该是什么。老周今年两会的委员通道说了一句话，他说网络安全将是未来数字化战略的底座，我们可以看看数字化其实包含三大块：数据的价值化是生产要素，数据不是生产要素。当数据变得有价值才会是生产要素。既包括有价值数据的汇聚，同时对数据的确权和定价，以及对它价值的交易才可能是它的生产要素。生产力就是刚才说的产业数字化和数字产业化，生产关系就是整个数字化治理。当网络安全变成基础框架我们就对进行灵魂的提问，什么是不安全的源头？我们认为不安全是漏洞与人。什么是安全的本质？是人与人的对抗。什么是最大的威胁？APT、网络犯罪以及未来的网络恐怖主义。什么才是解决这个问题的关键要素？就是用网络和数据的方式来解决以及专家的持续运营，网络安全离不开人。什么是不断成长的，安全能力是成长的，我们是否对安全应该定一个基础设施以及安全相关可执行的标准，实战的攻防演练、知识以及安全能力的一个新体系。所以，360对我们整个数字时代提出“四大认知”和“八大方法”，我们的一个方法论。

　　我们对它总结出了这样的公式，其实这是我今天最想和大家分享的，我们认为未来的安全能力应该等于什么？未来的安全能力=（资源+技术+管理）×执行。

　　我们现在的安全过度关注了技术。举一个例子，现在我们大量的人提供双立人的刀，提供擦思背（音）的锅，告诉你这个刀和锅怎么用，但是恰恰我们的用户那里没有厨子、没有菜谱，甚至原材料都没有。资源是我们沉淀的数据，技术是这些设备，是工具。管理是整个战法、安全的方法，是一整套的方法论。执行是对整套东西的持续运营，一系列加起来采用构成一套能力，就是未来的SaaS化的安全服务，我们叫做安全器服务。因此360提出了数字化的安全能力体系叫“1+1+N”它应该由一个平台、一个中心，N个基建和N个公共服务组成。一个平台叫一个安全大数据平台，一个中心我们指的是安全大脑，是一个结合人工智能人和安全云的指挥平台。安全基建是什么，后面简单会看一下，剩下是通过云提供云化的服务，通过网络和数据化的方式解决未来的网络安全挑战。一个安全大数据平台和一个安全大脑，这是我们讲的一堆安全基建。它包含了哪些？在这个中心的指导下其实它是有一个非常详细的逻辑。包括确定要防御的目标，自动化的防御措施，对自身免疫体系的发现和外部威胁的发现和长久的对自我成长的计划，以及人才培养的过程。这个体系下我们可以通过输出12大类安全能力定义的服务来集中解决我们最终的业务问题，因为安全毕竟是一项伴生技术而不是原生技术。当大家把它都理解成伴生技术的时候时安全应该保障运营的正常运行的。所以说，数字化的安全能力体系能够给整个数字化产业带来能力、技术、人才、产业、经济甚至政治的价值，也是360所追求的。我们希望未来帮助客户更正确的解决网络安全问题，通过我们的经验。同时我们也希望和整个生态达成共赢，让我们通过产业互动共筑以效果为导向的大安全的体系，我们依然希望能够为守护中国的网络安全竭尽我们全部的力量，今天我的分享到这，谢谢各位！

　　（声明：所有会议实录均为现场速记整理，未经演讲者审阅，国际在线登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。）