以后不用再谈信息安全,也不用再谈网络安全,“大安全”时代,从国家安全开始到产业安全、社会安全、工业互联网安全,到人身安全要有系统化的考虑,在这个“大安全”时代,攻防思维,策略要改变,格局要改变,包括对人才的需求,产业的发展方向可能都会改变。
“马云今天提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。所以,我在屋里想了好几个月,想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说的。”
三个维度界定大安全时代
每年的中国互联网安全大会可谓360公司的主场,在这个场合,周鸿祎总是表现的非常活跃,今年的ISC2017亦不例外,面对媒体,周鸿祎除了回应市场上关于即将借壳上市的传言之外(360上市将严格遵照法律法规正常进行,不要听信市场传言),大部分时间被拿来解释他“想了好几个月”的“大安全”概念。
所谓“闭关数月憋出大安全”这多半是周鸿祎的戏谑之言,但如果仔细了解到周鸿祎对“大安全”的解释,会发现,他的这一概念,还真是挠到了现时代互联网的痒处。
那么到底何谓“大安全时代”?它与以前的“小安全时代”有什么区别?周鸿祎是通过这么三个维度界定的。
其一,时间维度。今年5月,全球爆发了WannaCry勒索蠕虫,这是网络安全的一个分水岭,标志着大安全时代的到来。
在这个全球性的安全危机中,勒索蠕虫不但破坏大量高价值数据,而且直接导致很多公共服务、重要业务、基础设施无法正常开展。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。网络安全事件直接影响影响到了社会稳定和正常运行。
这是从未发生过的现象,以前从未出现过跨越全球的病毒袭击,从未出现过涉及如此多工业领域的病毒袭击,从未出现过蔓延速度如此之快的病毒袭击。
其二,发展维度。在计算机安全时代,主要的安全问题是计算机软硬件的安全,主要威胁除了软硬件损坏,就是病毒和非法访问;
在信息安全时代,主要的安全问题是信息系统和信息的安全,主要威胁是数据泄露、数据的保密性以及信息系统的正常运行;
现在,人类则进入了一个大安全时代。在大安全时代,不再像过去一样,安全只是几台电脑的事情,不再是几个企业信息系统的事情,不再是几个数据库的事情。
其三,战略维度。面对前所未有的大挑战,需要我们在大格局上审视网络里的威胁,需要我们以大产业的视角,形成大战略。
在大安全时代,网络安全不仅仅是网络本身的安全,网络安全就是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。
而之所以互联网会进入大安全时代,最根本的原因,就是一切皆可编程,万物都要连接;有连接就有漏洞,有漏洞就产生威胁。
今天互联网已经跟整个社会融为一体,你骑自行车是在互联网里,你跑步是在互联网里,你预订餐饮是在互联网里,你买卖商品是在互联网里,你日常娱乐在互联网里,你日常交友是在互联网里……不仅如此,我们的电力、医疗、交通、通信、航天等众多关键的基础设施,以及国家党政机关和事业单位都在互联网上运行。任何形式的网络攻击都有可能直接影响到我们的现实世界。
人是大安全时代的核心,周鸿祎的理论框架不止于此:大安全时代的五个周氏预言
大概由于本届ISC 2017大会的主题是“万物皆变,人是安全的尺度”,很多媒体记住了周鸿祎在主题演讲中的一个金句,“大安全时代人是最重要的因素”。但实际上,在周鸿祎所提出的整个大安全理论中,“人的重要性”只是其大安全时代的五大趋势预言之一。
另外周鸿祎还提到大安全时代的其他四大趋势,包括:
第一大趋势:网络战正成为“新常态”。未来世界没有攻不破的网络,现实世界中的任何网络系统,即使设计再精巧,结构再复杂,无一例外都会有漏洞;在这一前提下,漏洞正在成为战略武器,没有漏洞就无法建立网络战的进攻和防御体系。
网络不宣而战。不同于传统战争有明显的开始和结束,网络战时时处处都在不宣而战。所以应对网络战要平时筹划,时时刻刻准备,做到未雨绸缪。
周鸿祎称,从维基解密曝光的CIA系列文件看,作为一种战略,美国正在通过各种手段挖掘和收集漏洞。
周鸿祎继而表示中国的安全行业存在不正之风,在漏洞方面正为他人做嫁衣。中国很多安全团队到国外参赛拿奖认为很光荣,殊不知这些漏洞的重要性。他发现,近年来美国等国家非常热衷组织这种比赛,但并没有美国队参赛,“因为它在收集情报!你的漏洞一亮相,就再也用不了了”。
“不要逞一时匹夫之勇,得了第一名,so what?”周鸿祎说,漏洞是重要的战略资源,得奖者可能只获得几十万美金,而其实际价值远不止这些,“这些漏洞应该留在中国”。
周鸿祎认为国家应该投入资金进行漏洞的收集。民间进行漏洞交易没准就卖到黑产手里,所以国家要投入的。美国每年在漏洞上,美国办比赛每年奖金几百万美金,中国这么国富民强,每年拿出几亿、十几亿买点漏洞不是应该的吗?
第二大趋势:大安全时代,军民融合是必经之路。与传统战争不同,网络战不再限于军队之间的对决,而是国家和社会之间的整体对决。这意味着军民融合在网络安全领域具有现实的必要性,没有军民之间的深度融合,就不可能有真正的网络安全。网络安全产业和军工产业将会融合,军民融合成为必然。
周鸿祎称,在美国过去做飞机、做导弹的和做网络安全的是不同的两波人,现在结合在了一起。除了“攻破五角大楼”、“攻破空军”这些军事项目都是民间网络公司HackerOne做的,抓获本拉登发挥最大作用的是民间网络安全公司Palantir。
第三大趋势:大安全时代,网络犯罪和网络恐怖主义的潘多拉盒子已被打开。随着网络武器的泛滥和网络攻击的服务化,越来越多的小毛贼式黑客组织会被武装成网络恐怖组织。可以预见,未来此类网络恐怖袭击将大行其道,甚至成为一种愈演愈烈的常态。
第四大趋势:大安全时代,网络攻击向物联网、车联网和工业互联网发展。
第五大趋势:大安全时代,人是最重要的因素。
周鸿祎看中的是大安全时代的商业前景
如果真如周鸿祎所说,互联网正在进入大安全时代的话,摆在360面前的就不再仅仅是一个丰盛的大饼,而是一片新的星辰大海。
周鸿祎称是近几个月才想出大安全的概念,但实际上从几年前360退市回归开始,就已经在沿着通向大安全的方向前行。
比如周鸿祎在谈及退市问题,一直在强调,促使360回归的最大因素还是作为一家网络安全公司的身份问题,为了参与到中国国家网络安全和社会网络安全建设中,360就应该从一个外商投资公司变成纯正的中国国内公司。网络安全越来越多地和国家安全联系在一起,这就要求网络安全公司必须和国家利益保持一致。
事实上,在“大安全”之前的时代,单靠安全市场,并不足以支撑360成为一家BAT级别的互联网巨头,周鸿祎常抱怨,“目前安全行业不挣钱,所以会做些挣钱的业务”,但如果真的进入大安全时代,网络安全成为一个关系到国家安全和国计民生的重要领域,这时候的网络安全产业的规模就可想而知了。
对于360公司来说,在大安全时代,会出现许多以前没有过的蓝海领域,比如军民融合就是网络安全产业的一个大机会,可以使360拿到许多过去不可能拿到的订单,在发布会上,周鸿祎亦透露,360作为一家纯内资的公司,已经开始给政府、军队等提供安全领域的保护方案,但具体内容涉密。
周鸿祎提到安全最终还是要靠人,其中明示暗示的也是商业机会。
在大安全时代,周鸿祎所谓“人”的含义可以分为两重,首先是因为人性并不能被完全把握,人不太可靠,所以在安全领域人身上出现的问题是永远防不住的;其次,安全最终还是要靠人,网络安全不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置。
而在以人为核心的大安全时代,安全业就有可能变成服务业,从卖硬件卖产品到卖服务,360由此就可以脱胎换骨。
所以,你看到了,周鸿祎的大安全背后,隐藏的是一个全新的360。在大安全时代,360将是一家解决从国家安全、社会安全、基础设施安全、企业安全,到个人安全、人身安全在内的一系列安全问题的巨无霸公司。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
