數字化安全如何守護？360集團創始人給出答案

◎網信軍民融合編輯部 王躋霖

一、互聯網“下半場”的產業增量

過去20年，互聯網的主題是消費互聯網，一批互聯網企業深刻改變了中國老百姓吃喝玩樂、衣食住行的方方面面，實現了生活方式的數字化，這是互聯網的上半場。而當前互聯網已經進入了下半場，產業互聯網將取代消費互聯網成為新的主題，主要場景是工業互聯網、車聯網和新型智慧城市，這就意味著各級政府和傳統產業將成為數字化的主角，未來也將不再區分傳統企業和數字企業，所有企業都會是數字化企業。因此，在互聯網“下半場”的發展中，互聯網企業的增量關鍵在于產業互聯網，應具備“上山下海”的新使命和定位，上山即要勇攀科技高峰；下海就是下數字化藍海，賦能傳統產業數字化轉型，輸出數字化思維。

作為360 集團的創始人、董事長，周鴻祎認為360 在“上山”方面踐行著科技報國，勇攀科技高峰的理念，作為數字化安全領軍企業，360 在長期的實戰攻防對抗中，突破了APT 檢測、漏洞挖掘、數字證書等一系列網絡安全“卡脖子”技術，創造出安全大腦智能分析、0day 漏洞攻擊捕獲、全網網絡空間測繪等“殺手锏”技術，連續3年獲得世界互聯網領先科技成果獎。

360集團創始人、董事長 周鴻祎

360 基于世界領先的安全大數據、安全知識庫和全球頂尖的安全專家團隊，建立了以安全大數據分析為核心的360 云端安全大腦，累計捕獲境外46個APT 組織。在2021年上半年，就捕獲針對中國地區發起攻擊的APT 組織12 個，首次發現的有2 個，形成了世界領先的網絡空間預警能力，初步解決了“看見”和“應對”高級威脅的難題。

在互聯網下半場，360 甘當配角，將互聯網思維轉變為數字思維，積極擁抱傳統行業，努力消除互聯網與傳統行業之間的數字鴻溝，賦能實體企業轉型。互聯網公司與傳統行業之間不應該是競爭關系，而是要把互聯網經營過程中的技術思維、產品體驗思維、商業模式思維、運營管理思維、人才思維和安全思維等轉化為數字化思維，貫徹到賦能傳統行業之中。

二、復雜安全場景下的兩大挑戰

隨著數字技術的發展，數字化進程中面臨著兩大挑戰。第一個挑戰就是環境的變化：數字化具有一切皆可編程、萬物均要互聯、大數據驅動業務三大特征，其本質是軟件重新定義整個世界。一切皆可編程，意味著軟件里的漏洞無處不在，沒有攻不破的網絡；萬物均要互聯，意味著在原來虛擬世界的攻擊能夠轉化為物理世界的傷害，企業上云、工業互聯網、車聯網、物聯網的普及帶來網絡重構和網絡邊界消失；大數據驅動業務，意味著數據安全變得前所未有的重要，數據在成為新的生產要素的同時也成為新的攻擊對象，直接攻擊大數據將導致業務系統的停擺。可以預見，整個社會的治理、政府的管理、企業的運轉、老百姓的衣食住行都將架構在軟件、數據和網絡之上，世界的安全脆弱性前所未有，更易攻擊。

第二個挑戰是網絡威脅的不斷升級。過去的小毛賊、小黑客已經成為歷史，國家背景的網軍、高級持續威脅、有組織網絡犯罪已經成為當今世界網絡安全最大的威脅，網絡攻擊的目標、手法、布局、挑戰、造成的危害都突破常規，供應鏈攻擊、勒索攻擊、工控設備攻擊等各種新攻擊手段不斷刷新想象，網絡威脅將超越傳統安全威脅，成為數字時代最大的威脅，影響國家安全、國防安全、經濟安全、社會安全乃至人身安全。

基于以上復雜的安全場景，周鴻祎表示安全行業正在從傳統的計算機安全、網絡安全發展到數字化安全，所面臨的安全問題已經不是過去簡單的安全問題。他將當前復雜的安全問題分為云安全、大數據安全、物聯網安全、終端安全、供應鏈安全、網絡通信安全、應用安全七大基礎安全問題。在這之上，結合數字化應用場景，產生了包括關鍵基礎設施、工業互聯網、車聯網、能源互聯網、數字金融、智慧醫療、數字政府、智慧城市等更加復雜的安全場景。

三、筑牢數字化安全堅實防線

近年來，國家網絡安全工作頂層設計和總體布局不斷完善，最近還陸續出臺了個人信息保護法、網絡安全法、數據安全法等網絡安全法律法規，這些法律法規的實施不僅會對掌握數據的互聯網企業產生影響，同時對正在進行數字化轉型的政府、傳統企業也會產生巨大影響。例如智慧城市、智能汽車和工業互聯網等都將由數據驅動業務。因此，所有相關企業都要盡到保護數據安全的義務與責任。

為筑牢國家數字化安全的堅實防線，周鴻祎認為互聯網企業首先要做的就是明確自己所處行業屬性以及核心業務是否涉及關鍵信息基礎設施，如果涉及，則需要從嚴執行《網絡安全安法》、《數據安全法》，并開展以《網絡安全等級保護條例》、《關鍵信息基礎設施安全保護條例》為基礎的安全管理工作，所有工作都要留痕記錄；其次，對于涉及關基的企業在申請海外IPO 或者已經完成海外IPO 的要定期開展數據安全審查，提交相關材料，涉及任何數據跨境傳輸的行為要申請通過后再進行；第三，個人信息收集是國家管控的重點。《個人信息保護法》實施后，企業要確保個人信息全生命周期的安全防護。相關企業需要按照《個人信息安全規范》、《個人信息保護法》、《數據安全法》等相關法律法規進行數據安全治理工作。事實上，很多數據包括個人信息經過合規處理后，能夠給企業業務賦能；第四，相關企業要結合自身業務所處的行業、城市的細分要求開展相關數據安全審查工作。

周紅祎在第九屆互聯網安全大會作主題演講

四、共建數字化安全生態系統

作為數字化安全行業領軍企業，360 在研發方面的投入是巨大的，十幾年來每年要投入幾百億來做安全，但同時所收獲的成果也是豐碩的，360 收獲了世界一流的安全能力，沉淀形成了一套新的戰法和新的安全能力框架，為應對數字化轉型和大安全挑戰探索了新方向。

周鴻祎將數字化安全新戰法概括為“一個指導、兩個融合”：以“作戰/對抗/攻防/斗爭思維”為指導，安全體系與數字體系融合，攻防能力與管控能力融合。基于這套新戰法，360 構建了新一代安全能力框架，框架以安全大數據分析為核心，涵蓋攻擊面防御、資源面管控、數據運營、專家運營等4大類共20 個基礎設施，依據這個框架，360 能幫助客戶建立一套能力完備、可運營、可成長、可輸出的安全體系。在這套安全能力框架的支撐下，安全生態產品之間互有支撐、互有數據協調，把原有產品的單點能力整合起來，用體系化方法去解決新終端安全、物聯網安全、通信安全、云安全、大數據安全、供應鏈安全，以及各種未知的安全挑戰。

當前包括360 在內的中國網絡安全產業都取得了積極進展，面對當前網絡安全領域市場規模的迅速擴大，周鴻祎認為比起行業競爭，網絡安全行業要注重的更是生態合作，因為僅靠一家企業是不能解決中國所面臨的網絡威脅的。網絡安全企業所面臨的敵人絕不是友商，而是其他國家的網軍：有國家背景的黑客組織、有組織犯罪集團，未來還可能有用網絡攻擊進行犯罪的網絡恐怖組織。從事網絡安全行業，需要有家國情懷，要認清自己必須跟國家利益保持一致的使命，為網絡強國和數字中國貢獻力量。

360 集團希望基于新一代安全能力框架，打通各地、各行業的安全大腦體系，形成威脅情報和數據的互相查詢，構建起一個國家級范圍的分布式安全大腦，真正提升整個國家的安全能力，這也需要整個網安生態圈的共同協作。360 一直用實際行動表明，不做網絡安全生態的競爭者，而是要做“給養地”和賦能者，攜手合作伙伴共建數字安全大生態，共同守護數字經濟。