來源：36氪

" 進入數字孿生時代，網絡攻擊影響力更甚核彈。" 這是 360 董事長兼 CEO 周鴻祎在第八屆 互聯網 安全大會上的發言。

36 氪獲悉，" 第八屆互聯網安全大會 "（簡稱 "ISC 2020"）已于近日在云端開幕。今年是 ISC 大會舉辦的第八年，話題主要圍繞全球網絡安全治理、國際網絡空間戰略合作、網絡安全新技術革命、數字孿生時代的安全基建、新一代安全技術架構的安全服務等展開。在今天的會議議程中，周鴻祎作為主辦方代表之一進行了演講。

在演講中，周鴻祎認為， 隨著全球將進入數字化時代，意味著整個世界的基礎都架構在軟件之上，但軟件定義一切的架構背后也隱藏著脆弱性 ——一旦暗藏在軟件中的漏洞被人攻擊，將給一切以軟件為底的基礎設施造成巨大危害。這也意味著，網絡戰將從傳統作戰的輔助手段變成首選，成為數字時代下最可能的戰爭形式。

面對網絡空間中存在安全隱患，周鴻祎認為過去堆疊產品的安全理念已經不是抵抗危機的最首選，更佳的方式是幫助客戶建立起以安全大腦為核心的安全基礎設施。讓企業、城市客戶有自身安全能力，并能對外輸出。

基于此，周鴻祎介紹了包含 " 四大認知、八大方法 " 的安全新理念。

其中四大認知的含義是，網絡安全是數字時代的基石；網絡安全的本質是對抗，對抗雙方是攻防雙方能力的較量；漏洞是網絡安全的戰略資源；獲得能力、積累能力、提升能力、輸出能力，是安全體系建設的核心目標，也是重要的衡量標準。

八大方法分別是：大數據是看見高級威脅的基礎；情報是打通安全體系的關鍵；基礎設施是未來五到十年持續提升安全能力的載體；安全能力的提升離不開持續運營；知識從對抗中來，要到運營中去；安全專家是攻防對抗的決勝因素；實戰是檢驗安全能力的唯一標準；標準是安全行業互聯互通協同聯防的保障。

在新理念基礎上，360 推出新一代安全能力框架，融合 6 大板塊，包括一個安全大腦，十套安全基礎設施，一套運營戰法，一組專家團隊，一套實戰演練的機制，一套安全互通的標準。并基于這套新框架，將若干城市、行業、集團安全大腦利用云和大數據技術進行組合連接、實現互聯互通，構建出類似國家反導系統的分布式國家級安全大腦，實現協同聯防、深度防御。

并且，周鴻祎認為未來的安全公司會演化成兩類，一類是安全產品技術提供商，而 360 企業安全集團要成為新時代的網絡安全運營商， 以 360 安全大腦為核心提供基礎設施，為客戶導入運營的戰法，運營的專家團隊，還有實戰演練的中衡量機制和一套互通的標準，使客戶的能力等于自己的能力疊加 360 的能力。

"「360 企業安全集團」（的定位）將會是新時代的網絡安全運營商，我們相信未來網絡安全是需要人發揮重要的作用，需要持續的運營才能夠去建立一個更強的堡壘。網絡安全如果沒有運營，只有一堆堆砌的產品是無法應對數字化時代未來的網絡攻擊的。" 周鴻祎說。

以下是周鴻祎演講全文（經 36 氪編輯）：

大家好，歡迎來到第八屆互聯網安全大會。今天和大家分享一下最近這些年我們對網絡安全的思考，我稱之為 " 數字時代的安全新理念和新框架 "。

事實上，這些年在互聯網的帶動下我們已進入一個新時代。過去我們老講 " 信息時代 "，" 信息高速公路 "，實際上現在由于新技術的出現，我們已經進入到數字時代。而且由于這些新技術的發展，我們在未來要進入到數字孿生時代。

這些新技術已經開始給社會帶來巨大的改變。但是我們做安全的人卻是比較反常無規的思維，我們要考慮這些新技術都有什么樣的特征，數字化孿生時代有什么樣的特點，它究竟給我們安全帶來什么新的挑戰，也就是新技術越用越多，帶來的安全沖擊就越大。

對數字孿生時代，我總結幾個特征，這些特征也分別對應安全保護。

第一句叫 " 一切皆可編程 "，也就是說所有看到的東西，里面都有 CPU，里邊都有軟件，都有程序。那這帶來一個安全問題就是漏洞不可避免。一旦被別有用心的黑客或者安全人員利用，它就可以悄無聲息地進入系統，劫持某個部件。

第二個特征叫 " 萬物均要互聯 "，過去我們保護網絡的時候，就是保護單位的一個局域網或者家里一個孤零零的電腦。今天隨著物聯網的發展，你可以看到網絡攻擊的目標從 PC、 手機 已經變成各種各樣的物聯網設備。所以，當攻擊目標指數級增長，單點防護就難以為繼。過去只能在虛擬世界里發起攻擊的病毒木馬，今天都可以通過物聯網把這個傷害變成物理世界的損害。

第三個重要的特征，就是 " 大數據驅動業務 "。數據集中共享的優點我就不講了，但是它帶來的安全風險很大。在大數據領域，今天讓大家最擔憂的是數據內部使用的時候，是否越權訪問，是否有內賊偷竊，是否導致數據泄露。數據的安全直接影響業務。比如勒索軟件是一個比較典型的場景，很多勒索軟件把核心數據庫、核心業務數據同等加密，無論是醫院還是工廠，立馬業務就轉不動了。如果沒有相應保護，他們不得不乖乖繳納贖金。這就充分證明未來大數據安全在給我們帶來業務推動的同時，實際上對我們安全提出了新的命題和挑戰。

總結一下，我覺得未來十年，我們這個世界會變成 " 軟件定義世界 "。今天，軟件也同樣重新定義了我們的安全，整個世界的基礎會架構在軟件之上，它的脆弱性前所未有——一旦軟件遭受攻擊，那整個世界毀滅也許比核彈的攻擊還更為慘烈。所以，未來網絡戰是最有可能的戰爭形式，也是對我們這個時代和平發展最大的威脅。

那么問題來了，隨著數字化時代來臨，當網絡戰發生的時候，如何有一個更好的方案來保護我們的城市，保護我們每個人，保護我們的生活？

傳統的安全行業和傳統的技術產品已經有些跟不上時代的變化，新時代的安全已經被重新定義。戰場變了，我們過去只是考慮 IT 設備的安全，但是今天我們要在數字時代下的大安全視角來重新構造整體的安全方案；戰略變了，過去我們安全實際是傳統信息化的一個附屬，而現在安全可能會變成整個數字化的基座。戰術也變了，過去我們解決一些小毛賊的問題，所以我們用合規，靜態的（眼光）來看待這些病毒、木馬，但今天面對的是動態變化的技術，面對的是高風險、高級別的對手，你在變，對手也在變。產品變了，因為過去我們安全的思路是打補丁的思路，哪個東西不安全我們就做點修改。但是今天我們的安全需要頂層設計，需要協同防御，聯合作戰。所以，傳統安全防護體系在應對過去小安全時代小毛賊攻擊的時候還是發揮了相當的作用，但面對新的時代，新的安全威脅，新的安全對手，我覺得實際上是有問題的。

所以網絡安全不再是附庸、不再是輔助，而是新基建數字化的基礎，沒有安全的頂層設計和方法論，我們面臨得將是 " 數字裸奔 "，數字化跑得越快，將來數字化帶來的災難就會越大。但是這么多年，我們在安全上其實沒有這樣一套能力的框架。我舉一個例子，比如說一個安全系統里，你用了 A 公司的殺毒軟件，你用了 B 公司的防火墻，這么多年這兩個東西不會對話，不會通信，當然也談不上聯動聯防，更談不上有什么樣的協調機構能夠調動它倆的能力資源共同作戰，這都是因為我們在安全上缺乏一整套新的框架。

所以這些年我想問行業，問我自己，問 360 團隊，到底什么是不安全的源頭？我的答案是，漏洞和人帶來的問題是不安全的源頭。第二個問題，安全的本質是什么？我們很多人老覺得安全問題就是 IT 問題，但其實 IT 問題是最容易解決的，數據庫性能慢，優化一下，電腦速度慢，我們換個 CPU，或者今天網絡吞吐量不足，我們就加帶寬，這都是靜態問題。為什么安全很困難呢？因為今天我們的安全解決的不是一個靜態的寫好的木馬、病毒，我們今天面對的實際上是對方一個安全專家，一個國家級背景的黑客團隊，這里邊本質是人和人的對抗，對方會不斷地改變他的戰術，對方會不斷地改變他的技術，對方會不斷地找到新的漏洞，找到新的方法。所以，我們這里邊，我覺得最本質，一定要強調人和人的對抗。一切沒有經過對抗，經過檢驗的安全，我覺得都是假安全。

第三個問題，什么是安全的關鍵要素。有人說當然是好的產品，但很長時間以來我們這個行業總是迷信一個 Silver Bullet（銀彈策略），老是迷信有一個最超級的武器就能橫掃一切不安全的因素，但真的是這樣的嗎？如果世界上誰能做出這樣一個安全產品，是不是就可以放之四海而皆準？

我覺得還是前面講到的，你面對的是人，是可以不斷隨機應變的人，所以無論你做出來多么美好的產品，對方都可以通過很長時間的漏洞挖掘，找到漏洞，最后通過很長的攻擊鏈的巧妙攻擊，就攻入系統。所以安全的要素不在于做出什么產品，產品總是會被拋棄，產品總是需要升級更新換代的。所以，我認為最重要的是安全專家的持續運營，我們不能再去夢想裝一個什么產品就可以一勞永逸地自動解決問題，再好的安全產品也需要安全專家進行長期運營，這才是安全的關鍵要素。

我的一個答案是，實際上我們應該幫助用戶建立安全的基礎設施。所以，我就在想什么是安全基礎設施？比如我們給用戶建立了一個實戰的靶場，在一個城市有了實戰的靶場之后，我們可以在十年以后，依然可以通過靶場開展這種長期的攻防演練，可以幫助我們不斷發現新的產品有什么漏洞，有什么問題。這個靶場它不是一個產品，它是一個基礎設施，那么用戶可能未來 5-10 年都可以通過這個來增強防守能力。

我們最不難看到的是各種新產品層出不窮，但是從用戶側來講，這些新產品不斷地推出，老產品不斷升級，換句話說什么能夠幫助用戶積累能力？我覺得對抗過程中產生的知識庫實際上是最重要的。我們不能總是堆砌產品，而是應該積累知識。

我最后一個問題是，我們如何能系統性地解決問題。我們不能總是見招拆招，頭疼醫頭，腳疼醫腳。明天這個設備出了毛病就加一個盒子，明天那個系統出點毛病就加一段代碼。如果按照前面描繪的場景，那我們將無法應對在物聯網時代、全數字孿生時代網絡拓撲結構和網絡設備一百倍增長的挑戰。所以，我們有一個答案，就是要構建客戶安全能力的框架體系，從根本上解決安全的問題，從根本上能夠提升客戶的能力，從根本上幫助客戶建立運營體系。

所以，基于過去 15 年的實踐和這幾年的思考，360 形成了一套新的安全理念，有四個大的認知和大家分享一下，首先網絡安全是數字時代的基石。在產業數字化的同時請不要再把網絡安全看成附屬功能，網絡安全將是數字時代的基座，將是底座或者基石。

第二，我覺得網絡安全必須動態地來看，它的本質是人和人的對抗，在攻防兩端的能力較量，你在變化，對手也在變化。所以我們不能再用靜態、合規的思路來看待網絡安全。

第三，漏洞是網絡安全最重要的命門，也是最重要的戰略資源。如果不研究漏洞，不消除漏洞，不想辦法給漏洞打上補丁，我們就很難從根源上去鏟除這個不安全產生的源泉。

第四，獲得能力，積累能力，提升能力，進而能夠輸出能力是安全體系建設的核心目標，也是我們一個很重要的衡量標準。舉個例子，一個人生病要去醫院看病，不過這僅僅是因為醫院有 B 超、醫院有 CT、醫院有呼吸機嗎？不僅僅是這樣，還是因為醫院有醫療的能力。而衡量安全能力的一個很重要的標準，我覺得就是對抗，就是實戰。

如果我們在認知觀上有了共同的認識，我們就可以接著介紹八個方法。

第一真正要先解決看得見的問題，一定是用大數據來解決。今天只有基于全網的大數據，才能看見這種隱匿的高級威脅的前提。

第二個安全體系中，確實需要一種標準化的協議，把各個安全設備，把各個安全子系統，把各個安全模塊都能夠打通，這里打通的關鍵是威脅情報。所以我們要建設情報的體系。

第三個建設安全的基礎設施，是未來五道十年幫助我們的國家、城市和企業持續提升安全能力的重要的方向和載體。

第四，安全能力的提升離不開持續的運營。國際上打擊一些恐怖分子的方式是通過持續的跟蹤，持續的情報分析，持續的搜集，這證明了運營的重要性。

第五，攻防、安全的知識的積累是非常重要的，這不是每一家公司都重新發明輪子，但知識從對抗中來，要到運營中去。

第六，安全專家是攻防對抗的決勝因素，不管我們吹噓我們的 AI、大數據、云計算有多么牛，但在這個行業里對手是高水平的安全專家，人是最聰明的，能想出各種各樣的方法，所以我反復強調，再好的武器要看掌握在什么人手里，所以安全專家是攻防的決勝因素。

第七，實戰是檢驗安全能力的唯一標準。原來安全在早期發展的時候，合規其實給了我們一個安全的底線，也給安全行業帶來了很好的發展，但是你會發現在新時代面對新的威脅，僅僅靠合規是不夠的。也就是你買了一堆合規的設備，是不是意味著你有了安全的能力？答案是不一定。如何驗證？——實戰。這幾年實戰攻防，藍隊和紅隊模擬攻擊的方式對安全行業帶來了巨大的改變，這件事就由這個方法論來指導的。

第八，必須要制定互聯互通的標準，才能實現安全行業的協同聯防。

這個能力框架實際上是 360 多年實踐得出的，所以我們打造的 360 云端大腦和這套安全能力框架并不僅僅是一個概念，是我們過去 15 年的實踐總結出來的——在過去的十幾年里，我們無意中構造了全球最大規模的網絡安全大數據平臺。無論是黑產的作者，還是惡意病毒和惡意木馬的作者，還是有組織的犯罪勒索軟件的集團，還是其他國家的網軍或有組織的黑客，他們要在中國入侵任何一臺電腦幾乎都免不了要和 360 打交道，所以這 15 年來我們一直陷入到和這些人的長期的、非常艱苦的攻防。所以我們雖然很辛苦，但在免費的情況下，我們反而比那些賣產品的公司更專注，比他們投入了更多的安全專家的人力一直在攻防，所以 360 積累了全球最大的攻防樣本、攻防知識數據庫，也積累了東半球最大的安全攻防專家的團隊。

所以，基于這 15 年的實踐，我們打造了一個安全大腦。這個大腦現在就在云端發揮作用。這個大腦最核心的是可以根據已有的特征來進行識別，沙箱可以把每個樣本在云端進行行為的檢測，根據行為利用 AI 加人工來進行智能判斷。分析云里面有我們大量工程是的分析工具，這里面既有人工的分析，也有這種半機器半人工的輔助工具，也有大量基于人工智能機器學習的自動分析模塊。所以基于我們全球規模最大的安全大數據，使得我們能夠真正在云端把一個網絡安全大腦打造出來。這里面最重要的是，我們把所有攻防包括在分析、對戰、攻防過程中形成的樣本和知識全部沉淀在知識云里，我們即將把知識云對行業開放，推出我們中國自己的 ATTCK 的攻擊知識的標準，使得我們國家在面對其他國家攻擊的時候，我們的防御能力能隨著我們知識的不斷的積累而不斷的提升。這就是 360 整個安全大腦的組成，也是我們在構造新的能力框架的核心。

360 提出這套能力框架，已經在云端為國家、為社會、為消費者建立了一套以安全大腦為核心的一套云化的基礎設施。同樣我們把這套云的基礎設施往下做了一個城市版、行業版和企業版，我們將會為城市、為行業、為企業提供城市大腦、行業安全大腦、總部安全大腦為核心的十大安全基礎設施。

我們知道很多城市、很多行業、很多企業都有自己的安全數據，這些安全數據不需要給 360，因為這些數據是你的，非常重要，360 將會賦予能力幫你建立自己的大數據平臺和安全大腦，這些數據將在企業客戶自己的平臺上來進行計算和分析，但是客戶的數據可能不完整，但是它的安全大腦可以和 360 的安全大腦進行通信，因為 360 的云端安全大腦和云端的基礎設施有 12 項云端賦能的服務，可以來為客戶增強能力。同時我們把我們的云端基礎設施也基礎設施化之后，將會為客戶建設十大基礎設施，舉個例子，我們將會為客戶建立資產檢測的中心，這樣它可以方便用戶建立自己的資產檢測的網絡地圖，我們要幫助用戶建立他自己的漏洞分析中心，使得用戶可以來挖掘、管理自己的漏洞和補丁。

我們講未來的網絡安全，所有的安全廠商要變成兩類，一類是安全產品技術提供商，而 360 要把自己和客戶都打造成安全運營商，所以我們必須給客戶導入運營的戰法，運營的專家團隊，還有實戰演練的中衡量機制和一套互通的標準，這套互通標準包括威脅情報能夠互聯互通，把客戶采購的各種安全設施和安全軟硬件都能連通起來。

大家設想這樣一個場景，客戶原來買的防火墻，IDS/IPS 設備都沒有作廢，但他們看見某一個 IP 被訪問的時候，原來他們在企業內部他們無法判斷這個 IP 是安全的還是不安全的，他們只能基于規則來進行封鎖。但是現在他們通過我們的威脅情報接口可以來詢問企業的安全大腦這個 IP 還有誰在訪問，可能企業安全大腦會發現還有另外三個終端電腦也在訪問這個 IP，這個安全大腦就覺得比較可疑。但是企業的安全大腦的數據和知識是有限的，它可以再次詢問 360 云端的安全大腦，360 可能會告訴這個大腦這個 IP 是一個 " 肉機 " 的控制端的 IP，是一個黑色的 IP，過去三年我們已經發現了，已經把它定位在我們數據庫里了。這樣企業安全大腦就可以反過來告訴這三臺客戶端和防火墻，迅速對這個 IP 進行封禁，這樣真正完美的實現我們說的協同聯防和深度防御。

360 未來和同行不太一樣，我們并不會給我們的客戶銷售產品，恰恰相反，我們通過云端的能力賦予他們初始的能力，通過基礎設施的打造，讓客戶的 投資 在未來五到十年里都有一個運營的基礎，通過運營使得我們賦予客戶的基礎安全能力不斷的積累和提升，進而能夠對外提供輸出。在這個過程中，無論是我們幫助用戶來做安全的托管，還是幫助用戶自己的安全運營團隊成長，我們都要在每個客戶這里建立一支安全運營的專家隊伍，每個專家隊伍在每個基礎設施上都要掌握一套相應的運營的戰法，這就是我們這次推出的能力框架。

我們希望未來網絡安全公司能夠擺脫，把不斷更新換代的產品不斷兜售給用戶的做法。因為賣產品當然需要，但最重要的是如何給客戶打造能力基礎，而這個能力的基礎是以安全大腦為核心的安全基礎設施，在安全基礎設施上建立客戶的安全能力，同時把 360 的安全能力賦能映射給客戶，使客戶的能力等于自己的能力疊加 360 的能力。

當然，最后 360 安全大腦不僅是愿意把 360 安全大腦的技術、核心理念，包括核心的能力賦能給行業，我們也希望行業能夠有一個好的生態發展，但 360 最大的夢想是將來，若干各城市都建了自己城市的安全大腦，來保護城市的安全，不同的行業，像許多基礎設施行業已經都建立了自己的安全大腦，我們的安全大腦希望通過互通的協議標準，實現互聯互通——有威脅情報共同的標準，有漏洞分享的共同的標準，也有分析檢測知識庫的這種相連，最終我們的夢想希望構造出一個分布式的、覆蓋全國的國家級別的網絡安全大腦。再加上 360 安全大腦提供全網的數據，有的公司提供流量側的數據，有的公司提供工業側的數據，我們不需要把數據進行交換，我們都會保證各自大數據的安全，但是這些數據分析產生的威脅情報可以相互聯通，相互通信，相互支持，相互幫助。

我正式宣布一下，360 在去年的 ISC 大會上已經宣布把我們的政企安全業務，包括安全大腦、網絡安全的大數據，核心安全運營核心團隊，所有有關核心安全的資產成立了由 360 集團控股的一家新的網絡安全公司。但這家公司別人就問，和其他安全公司有什么不一樣，我今天宣布一個定位，這家 360 企業安全集團將會是新時代的網絡安全運營商，我們相信未來網絡安全是需要人發揮重要的作用，需要持續的運營才能夠去建立一個更強的堡壘。網絡安全如果沒有運營，只有一堆堆砌的產品是無法應對數字化時代未來的網絡攻擊的，我們希望這個理念能夠被大家接受。謝謝大家。