周鸿祎:越先进 面临网络攻击时就越脆弱
周鸿祎:越先进 面临网络攻击时就越脆弱
本报记者/裴昱/北京报道
越先进,越脆弱。如果这句话是从别人口中说出来,多少会有些危言耸听的味道,但是,如果说这句话的是全国政协委员、360集团董事长周鸿祎,那就是有的放矢。
全国政协会议期间,面对《中国经营报》记者的问题,曾经被称为“红衣教主”的周鸿祎,收起了点评甚至批判互联网巨头的激情澎湃,开始重点分析5G时代的安全问题,谈话内容的指向,准确而务实。他说,城市越先进,面临网络攻击的时候,也就越脆弱。
当5G把虚拟世界和现实世界链接在一起时,5G的安全似乎已不再是安装一个杀毒软件、保护一台硬件设备那么简单的事。用周鸿祎的话来说,“所有网络空间的虚拟攻击都能变成物理伤害。”
在数据安全、网络安全被置以更重要位置的今天,周鸿祎正试图以安全为钥匙,在飞速发展的5G浪潮中打开一扇属于自己的新门。
《中国经营报》:目前,随着5G基站的建设和普及,大量涉及到城市公共服务、公共治理的工作,其基础性的后台应用,开始与互联网技术高度融合,你认为,这是否会带来网络安全方面的新课题和挑战?
周鸿祎:5G是为万物互联时代准备的,它将很多原来没有联网的各种各样的设备连到一起,人和物互联,物和物互联。这就带来了很多新的安全挑战。具体来说:
第一,系统漏洞增多。随着网络的结点越来越多,网络体系越来越复杂,系统的漏洞越来越多。当整个社会的运转、基础设施的运行,包括大家的吃喝玩、衣食住行,都借助5G架构在通信网络和软件应用之上,一旦这个软件的基础遭到攻击,后果将不堪设想。
第二,被动防守的安全方法失效。过去我们谈安全,都是被动防守的概念,电脑不安全我们就买个杀毒软件,手机不安全我们就装个防火墙,单位不安全我们就买个入侵检测设备。但是如果5G真正起来了,那么物联网设备大概应该有数百亿的量级。每一个万物互联的设备通过5G联上网之后,都可以成为攻击的发起点,也可以成为网络攻击的跳板。面对这样海量的节点,我们传统安全防守思路是不管用的。
第三,网络攻击危害加剧。5G把虚拟的网络空间和真实的物理世界联到了一起。过去的网络攻击,无非就是电脑上的文件读不出来了、账号被盗了,但未来通过物联网,通过5G网络,所有网络的攻击都可以变成物理的伤害,这几年越来越多的攻击已经不仅是影响电脑,而是直接攻击各种基础设施、各种工业设备。
《中国经营报》:在当前城市运行的网络安全风险中,具体的风险包括哪些?你认为应该从哪几个方面着手进行防控?
周鸿祎:城市数字化带来了前所未有的安全风险。其中一个最大的风险就是,整个城市的运转、城市的基础设施,包括水电煤气、交通、老百姓的吃喝玩和衣食住行等都架构在软件之上。只要是软件,就一定有漏洞,有漏洞就可能被人攻击。特别是物联网,把物理世界各种基础设施和虚拟网络空间连接了起来,这种情形下,所有在网络空间的虚拟攻击都可以变成物理伤害。
我们未来会发现,城市安全最大的威胁是高级网络攻击,通过高级网络攻击能够使得充分数字化的城市受到攻击,可能会导致断水、断电、断气。因此,对城市来讲,网络安全应该是智慧城市的基座,如果没有网络安全的保驾护航,智慧城市数字化做得越充分、越先进,面临网络攻击的时候就会越脆弱。
对于如何防控,有以下两点:
第一,首先要建立安全共识,将城市级网络安全基础设施作为智慧城市标配。把安全作为数字化智慧城市的附庸是不行的,不能等城市建设好了再买点防火墙、杀毒软件,要在规划数字城市建设的同时规划好安全体系结构。
第二,要改变过去各自为战的分散做法,开展城市级网络安全基础设施的统一安全运营。过去我们搞网络建设,叫“谁建设谁负责”。但现在,我们必须建立城市的安全基础设施,在城市安全基础设施上建立城市级安全专家运营队伍,通过安全专家的运营,把网络安全的能力建立成像水电煤气一样的公共服务能力。打个比方,一个城市,如果没有公共事业的水厂、电厂,没有公共事业的警察、保安,是不可能发展起来的。
总体来说,在未来打造智慧城市的同时,必须建立城市自己的一整套安全基础设施、安全运营队伍。未来考核一个城市的智慧城市能力,也要看是不是能够提供城市级的安全运营服务。
《中国经营报》:互联网、大数据技术,带给城市管理和运行的,不仅有风险,实际上还有更为高效的运转,这就涉及到不同的城市管理的数据系统后台的联通问题,你认为,当前中国在这方面的作为如何?效果如何?如何评价近些年来,我国在城市智慧管理方面科技应用的成果?
周鸿祎:近几年,许多城市利用先进的数字化技术,推动城市的智慧式管理和运行,为城市中的人创造更美好的生活。比如,疫情期间通过医院智慧医疗的远程指导帮助老百姓看病,依托5G等信息化智能技术,各地打造多功能“数字政府”平台等。
《中国经营报》:城市公共治理的后台系统,安全性极为重要,但是在安全和效率之间,往往又存在一些难以平衡的问题,从你的专业角度而言,如何在安全和效率之间寻求平衡?
周鸿祎:目前,网络安全是国家、社会发展的重要议题。在“十四五”规划和二〇三五年远景目标中,“发展”和“安全”是两个最重要的关键词。国家也反复强调,要统筹安全与发展的关系。
我国现在不仅从上到下形成了数字化发展的共识,也形成了安全的共识。即网络安全是数字化战略的底座。有了网络安全的保障,我们的数字化战略才能发展得更好,走得更快,走得更远。
《中国经营报》:城市运行所产生海量后台数据应该如何应用,才能既安全,又高效?
周鸿祎:用好大数据,要运营、安全两手抓。运营方面,数据运营是长期持续的,不存在交钥匙工程。实现大数据的持续运营,一是要实现数据的自动化生产,二是要建立本地化运营团队,三是要构建大数据操作系统。
安全方面,传统的碎片化防护无法适应网络攻击、勒索攻击、数据污染攻击、数据内部泄露等大数据安全威胁,需要建立体系化的协同联防体系。第一,建立国家级分布式网络安全大脑,提升网络攻击协同预警能力;第二,建设国家级网络安全基础设施体系,提升网络安全服务能力;第三,构建大数据计算的SafeHouse(安全屋),建立“可用不可见”的数据流通共享新模式。
《中国经营报》:你认为,在当前的网络安全领域中,中国的人才储备情况如何?有什么优势,劣势又在哪里,从哪些方面补足?
周鸿祎:网络安全实质是人与人的对抗,人才是我国未来网络安全产业发展的基础。近年来,国家成立了众多网络安全学院,用来加快人才培养步伐,但人才缺口仍十分巨大,特别是网络安全顶尖人才依旧匮乏。高手在民间,针对更多民间的“白帽黑客”,建议出台相应政策福利激励更多的白帽人才:第一,制定专门的网络安全特殊人才认定政策;第二,对符合条件的网络安全人才给予个人税收优惠政策;第三,对符合认定条件的网络安全特殊人才予以必要激励。