7月27日-29日,由中国互联网协会、360互联网安全中心等多家机构联合主办的ISC 2021 第九届互联网安全大会在北京国家会议中心开幕。作为网络安全领域规模大、辐射广、影响深远的重量级会议,ISC互联网安全大会自2013年至今已成功举办八届,探讨前沿议题超2000个。本次大会邀请到了众多专家、学者以及网络安全战略决策者深度参与,来共话数据安全新生态。
会上,360创始人、董事长周鸿祎作为演讲嘉宾代表,以《面向未来的新一代安全能力框架》的演讲开篇,向全球观众分享三六零公司(股票代码:601360.SH,以下简称360)在过去十几年的发展成果,以及如何基于数据的重要性来构建一套新的能力框架。
01
数据已是“第五要素”
目前,中国的社会经济已全面进入数字生产力快速发展新阶段,数据凭借边际成本低、规模效应大、流动性高、可复用性强等区别于传统生产要素的新特点,正逐步成为引领中国高质量发展的新引擎。
在2019年10月,中央明确将数据列为与劳动、资本、技术并列的生产要素。而在今年发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,加快数字化发展,建设数字中国,成为举国上下共同的发展目标。“十四五”规划中,提出我国数字经济核心产业的增加值,要从2020年占GDP比重的7.8%提升至“十四五”末期的10%。这是一个非常重要的信号,表明了数字经济的发展,将成为衡量国民经济增长速度和质量的重要因素。
数字经济依赖于数字化,那么数字化又该如何定义?周鸿祎有自己的一番见解,他在会上再次指出,数字化有三个特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件定义世界,城市、汽车、网络都将由软件定义。
在这个用数据定义万物的新时代,在便捷、高效的同时,数字化也让整个网络安全环境更加脆弱,安全风险更加无处不在,整个世界更易攻击,造成危害也更大。对此,周鸿祎谈道:“数据安全问题将成为数字化时代大数据开发利用的最大瓶颈”。他指出,无论从老百姓的吃喝玩乐衣食住行、政府运行社会的管理,到城市的运作,还有工业企业的运转,整个世界都架构在软件、数据和网络之上,所以数据是核心的生产要素,也是驱动业务的关键。
这意味着数据安全将直接关系到数据垄断、数据出境安全、个人信息保护,甚至影响业务安全乃至国家安全。因此,加强对数据安全的保护不仅关乎每个人、每个组织的利益,还与经济社会发展和国家稳定密切相关。
在明了数据安全的重要性之后,如何兼顾发展和安全,在保障安全的前提下开发利用大数据,成为我国在数字化转型洪流中面临的最大问题。在周鸿祎看来,网络安全需要一套新战法和新框架。
02
构建事前防护能力
在数字经济时代,新基建推动了传统行业的数字化转型。与此同时,数字世界的安全事件也时有发生并且越发严重。近年来,数据窃取、勒索攻击、数据污染攻击、数据内部泄漏、数据滥用问题此消彼长,数据安全问题可谓新旧交织,数据安全风险前所未有。
在国际上,以美国最大燃油管道运营商Colonial Pipeline、开发商Kaseya被勒索为代表的数据攻击事件频发;Facebook卷入剑桥分析公司数据丑闻,剑桥分析公司以不当方式访问了8700万Facebook用户的个人数据,并将其用于政治目的。英国NCSC负责人 Lindy Cameron曾说道:“对于大多数英国人和企业,勒索软件是网络安全面临的最大威胁”。
而国内,勒索软件攻击的形式也同样严峻,仅2020一年,360就接到并处理了3800多起勒索软件攻击事件,勒索病毒多发生在数字经济发达和人口密集地区,广东、浙江、江苏是全年受到攻击最多的省市。
同时,勒索软件攻击正在向APT化演进,形成有组织、有预谋的犯罪商业模式,攻击目标从个人转向政府、重点企业和重点设施,攻击手法也在发展过程中变得更加定向化、持续化、专业化。周鸿祎表示,小毛贼、小黑客已经成为历史,有国家背景的网军、APT组织,有组织的大规模网络犯罪成为网络安全的最大威胁。
这一切都表明新型网络攻击成为数字时代的最大威胁,个人、企业、社会、国家的安全和稳定都受到莫大挑战。
面对网络安全的危机性,周鸿祎表示,传统安全已经无法应对数据安全新挑战,对数据安全的保护,重点在于构建事前防护能力,而不是事后应对。在此之上,360通过十几年来不断实践、不断探索,形成了“国家级服务能力+新战法+新一代能力框架”。
具体看来,国家级服务能力涵盖安全数据、算力、知识、专家、情报、漏洞等多方面的网络安全技术、产品和能力;新战法是指在实践能力基础上,360总结出一套适应数字化转型和大安全挑战的新战法,即顶层设计、数据制胜、安全基建、攻防兼备、以人为本、运营为王、服务赋能、生态共建;最终,基于这套新战法,以体系化思路将安全体系与数字体系融合、攻防能力与管控能力融合,构建以云端基础服务赋能体系、云端专家运营应急体系、云端基础设施支撑体系为主的数字化新一代能力框架。周鸿祎表示,360新一代安全能力框架是一个能力完备、可运营、可成长的数字安全体系。
当数字经济成为时代趋势的那一刻起,就意味着数据安全不再是一个人、一个企业,甚至不单是一个国家的责任,而是全社会、全球性的义务。为此,2021年6月七国集团峰会公报倡议:“将共同努力解决勒索软件犯罪网络带来的不断升级的威胁;呼吁所有国家紧急调查并摧毁本国的勒索软件犯罪网络,并追究其责任。”
03
数据安全治理已是全球性问题
数据安全治理无小事,而最为行之有效的方式莫过于设立法律法规加以规范。于是6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》),将于2021年9月1日起施行。
该法作为我国首部与数据安全相关的法律,自2020年6月28日以来经历了3次审议与修改,在此期间持续引发了社会各界的广泛关注。最终通过的法案加大了违法行为处罚力度,尤其是对于核心数据,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高可罚1000万元,并可追究刑责。这也意味着对企业的合规监管、数据交易的安全性提出了更高的要求。
《数据安全法》的出台标志着我国在数据安全领域的法律空白得以有效填补,我国各行业的数据安全建设工作及监管工作将进入有法可循、有法可依的新时代。中国工程院院士沈昌祥认为,《数据安全法》的出台,将有助于进一步提升国家数据安全保障能力,有助于加强我国应对因数据引发的国家安全风险与挑战。
在采访被问及《数据安全法》会为360这样企业带来哪些机遇时,周鸿祎表示,首先国家制定这些法律,表明国家对数据安全、网络安全的重视;第二有了法律的支持,使得过去营运公司推不动的事得以发展,这对整个行业而言更有利;第三,《数据安全法》的出台也为给很多人敲响了警钟,让更多的人意识到自己手里掌握的大数据是十分重要的,甚至涉及到国家安全,意识被唤醒后,大家也能够主动承担起保护数据安全的责任和义务。
当勒索软件攻击成为一种全球性的“新常态”时,法律法规是最强有力的手段,但也是最后的红线,为在底线前就有效保护数据安全,国家层面的执法监管将与企业的自监管有机结合,而360就是其中促进数据有序使用的关键。
04
360政企安全开始新征程
作为数字经济的守护者,360将自身能力基础设施化,形成云端基础设施体系,再通过对这些基础设施的高效运营形成服务能力,最终把安全大数据和各种安全能力XaaS化输出,像提供水电气一样面向党政军企用户提供安全基础服务,实现360云端安全大脑和云端基础设施高效对外赋能。
周鸿祎在本次大会展示了基于16年实战攻防对抗经验及230亿安全研发投入,打造的新一代安全能力框架。这个以360安全大脑为核心的能力框架,在周鸿祎看来,能够整合各种生态产品,扩展支撑各行各业的各种数字化场景,例如工业互联网、车联网、能源互联网、智慧城市等等,形成面向场景的安全解决方案。目前这套新框架已经重庆、天津、上海、青岛、苏州、厦门等10多个城市落地开花。
周鸿祎表示,360希望基于新一代安全能力框架,能够打通各地、各行业的安全大脑体系,形成威胁情报和数据的互相查询,构建起一个国家级范围的分布式安全大脑,真正提升整个国家的安全能力。
此外,360政企安全集团还基于新一代安全能力框架的核心赋能,研发出全国态势感知系统。通过多维度威胁视角,其能够实现针对不同城市本地的各类安全事件构建全息地图,整体呈现出全国不同城市的安全态势并进行策略管理,充分体现了高位数字风险的监测能力。
与此同时,在被外界问及中国要解决网络安全问题需要做哪几件事时,360没有回答要购买自己的产品,因为周鸿祎从不认为自己是个带货的主播,而是经贝索斯的启发,在思考对于政企而言什么才是最为重要的,有什么是未来5-10年不变的东西。
在周鸿祎的思索之下,得出了漏洞挖掘的概念。他表示,10年以后也许网络武器变了,网络操作系统硬件变了,但是代码的漏洞会一直存在,而漏洞是网络攻击的命门所在。
基于漏洞的重要性,360深入攻防研究,已经形成世界一流的漏洞能力。当前,360累计挖掘主流厂商CVE漏洞超过2000个,建立起漏洞知识库、攻防对抗知识库、APT全景攻击知识库、病毒库等多维度全景安全知识库,并成立了国内首家开源漏洞响应平台,严守攻防对抗的核心,持续助力整体提升我国应对数字时代高级威胁的安全能力。
另外,对于同行业的竞争,周鸿祎倒显得格外豁达。他表示,君子和而不同,大家来自不同的背景、不同的角度,对网络安全有不同的理解,希望大家可以畅所欲言,充分交流。如此看来,一个心系大国的企业,是会时时刻刻把国家和人民的利益放在首位的。
大数据时代中国终于和众多大国跑在同一起跑线上,数据安全没有“灵丹妙药”,持续的技术创新是重要基础,从聚焦数字化时代的网络安全建设,打造新一代安全能力框架;到精耕数据安全治理,全方位服务城市安全运营,360政企安全集团在筑基国家大数据安全的征途中,不断实现崭新突破。相信未来,360新一代安全能力框架的服务,会成为中国数字经济的高质量发展稳定、持续的护航。