對話周鴻祎:新基建將帶來更多安全挑戰 需從三維度應對
今年“兩會”,全國政協委員、360集團董事長兼CEO周鴻祎聚焦“新基建”網絡安全,提交了四份提案。
他直言,“對于安全,新基建帶來了很多挑戰”,至少要從三個維度加以應對。近日,圍繞新基建、安全、5G等話題,新浪科技對周鴻祎進行了專訪。
安全投入偏低埋隱患 需加強頂層設計
“網絡安全產業,是保證網絡安全的基礎。但是投入偏低了”,周鴻祎認為,這將導致兩方面問題:一方面是難以建立強大的網絡防御機制,網絡安全產業會發展困難;另一方面將會使網絡安全人才流失。長此以往,將會給信息化技術應用、數字經濟的發展埋下眾多安全隱患。
“目前大部分發達國家對于網絡安全的投入,在信息化投入的占比一般都超過10%,而我國這一投入,只有1%左右。網絡安全投入少,就會導致產業規模小,創新力不強”,周鴻祎提倡加大網絡安全的投入,才能保證信息化、數字化的快速、健康發展。
不僅如此,“頂層設計和全局感知”對網絡安全亦尤為重要。
他認為,傳統網絡安全行業是“鐵路警察各管一段”的割裂模式,但是這種方式,無法應對現在的網絡安全形勢。“所以需要加強頂層設計,建立全局感知,即時輸出威脅情報,實現全局升級基礎上的單體能力提升”。
“新基建”安全挑戰劇增 企業應合力應對
談及新基建,周鴻祎直言道:“對于安全,新基建帶來了很多挑戰”。
在他看來,新基建正加速大安全時代到來,“基礎設施”與老百姓生活強相關,這導致安全邊界更模糊,網絡攻擊技術能力也越來越厲害,“尤其是現在國際形勢也多變,APT攻擊高頻化、常態化了,就更容易牽一發而動全身”。
更重要的是,網絡安全威脅暴露面增加。數字化設施呈幾何級增長,網絡攻防不對稱加劇。
所以,至少應該從三個維度應對挑戰:戰術上,要用整體思維做規劃,把網絡安全做成新基建的底座;產業上,安全企業要打造殺手锏產品和能力,整個行業要注重補上安全人才的缺口,注重安全人才的培養;生態上,安全行業、傳統產業要合作,共建大安全生態。
“新基建領域太龐大,沒一家安全企業能‘通吃’所有安全問題,傳統產業也沒必要重復‘造輪子’,大家要形成合力”,周鴻祎說道。
要將危機變為機會 優化模式勿追熱度
除此之外,周鴻祎還對疫情過后的企業發展提出了幾點建議。
“方向正確就不怕路遠”,周鴻祎認為,要把危機變成機會,主動優化改進自己商業模式,“最怕的就是什么熱追什么。很多公司就是因為習慣了追熱度,疫情來了之后,退潮了,一下子就被客戶和市場看出來是在裸泳了”。
其次是要真正解決問題,例如安全行業有很多“賣盒子”、“防火墻”等企業,這些均不能真正解決網絡安全問題。更重要的是要專注做好產品,“無論外界的條件如何變,別浮躁,沉下心做產品”。
以下為新浪科技采訪內容:
新浪科技:網絡安全投入偏低,會造成怎樣的影響?投入多大比例才能達到基礎標準?
周鴻祎:網絡安全產業,是保證網絡安全的基礎, 特別是在全方位數字化、信息化的時代。網絡攻擊造成的影響會更加巨大和持久。網絡安全投入偏低,一方面難以建立強大的網絡防御機制,導致網絡安全產業發展困難;另一方面將會使網絡安全人才流失。長此以往,將會給信息化技術應用、數字經濟的發展埋下眾多安全隱患。
目前大部分發達國家對于網絡安全的投入,在信息化投入的占比一般都超過10%,而我國這一投入,只有1%左右。網絡安全投入少,就會導致產業規模小,創新力不強。
云計算、物聯網、大數據、5G等新一代信息通訊技術的快速發展,對網絡安全產業提出了極大的挑戰。網絡安全的本質是攻防、網絡攻防的本質是人與人的較量,一旦出現問題,就需要大量的安全專家去解決,單點防御基本上不可能取得成功。網絡安全投入不足,將會導致我國相關人才儲備有限,整體的攻防協同機制更是無從談起。因此,必須加大網絡安全的投入,才能保證信息化、數字化的快速、健康發展。
新浪科技:如何才能實現實戰攻防?
周鴻祎:實戰攻防能力,是網絡安全能力的核心。傳統的安全合規,只是安全的底線,購買安裝了各種軟硬件安全產品,并不能保證在對抗中獲勝。提升實戰攻防能力,講百遍不如打一遍。
具體而言,有兩種方式可以提升這種能力。第一種,就是實網攻防演練,我把它叫做“網上朱日和”,在實網條件下,去進行應對攻擊的演習。這一方面,360擁有新一代實網攻防靶場平臺,能夠直觀反映實時攻防狀態、攻防成果、內置評分規則,快速搭建演習網絡。通過實戰攻防,來檢驗安全防護、應急處置和指揮調度能力,從而提供整體的網絡安全防御能力。
第二種方式,就是網絡攻防大賽,它給更多的網絡安全從業人員提供了第二種在實戰環境下的同場競技的評估。
新浪科技:怎樣加速落實“頂層設計和全局感知”?
周鴻祎:傳統網絡安全行業是“鐵路警察各管一段”的割裂模式,但是這種方式,無法應對現在的網絡安全形勢。應對更高級的網絡安全威脅,就需要加強頂層設計,建立全局感知,通過全網采集安全大數據,建立全視角安全感知能力,即時輸出威脅情報,支撐安全對抗前線行動,實現全局升級基礎上的單體能力提升。
新浪科技:去年您曾提出,網絡安全是智能汽車的標配。今年,您又對哪些細分領域有新的見解?
周鴻祎:談安全,不能夠把眼光單獨局限在一個細分領域里,在充分數字化之后,所有的物聯網、工業互聯網、車聯網、智慧城市等都聯系在了一起。以5G來講,我們談到5G安全時,其實它本身作為一種通訊協議,漏洞是非常少的。但是,5G帶來了整個數字化時代的變化。各種各樣的物聯網設備,通過5G可以把大量的數據實時傳遞到云端,云計算、大數據、人工智能,包括AI技術,都會隨著5G通信技術產生更多的網絡安全問題,可以說5G帶來了整個產業互聯網的巨大變化。這里面智慧城市、車聯網、工業互聯網都是物聯網的一種變形,我們說的各種各樣的產業都會因此用5G技術來進行改造。所以說安全問題不能孤立的看。
新浪科技:身處網絡安全行業,您如何看待“新基建”的發展?360如何參與其中?
周鴻祎:對于安全,新基建帶來很多挑戰。
第一,新基建加速大安全時代到來。“基礎設施”與老百姓生活強相關,安全邊界更模糊了,網絡攻擊技術能力也越來越厲害,尤其是現在國際形勢也多變,APT攻擊高頻化、常態化了,就更容易牽一發而動全身。
第二,網絡安全威脅暴露面增加。數字化設施呈幾何級增長,網絡攻防不對稱加劇;新基建關乎國計民生,易成為高級安全威脅的“靶子”,尤其是在高級的網絡對抗中,不僅有“賊偷”,后果更嚴重的,可能是“賊惦記”。
第三,新技術新業務不能“裸奔”。組成新基建的“磚”,都是新技術新業務。“新”也意味著更多“未知”,一磚一瓦的安全風險,都會動搖安全根基。
我們認為要從三方面應對安全挑戰。
第一,戰術上,要用整體思維做規劃,把網絡安全做成新基建的“底座”,要用“網上朱日和”實戰檢驗安全能力。
第二,產業上,安全企業要打造360網絡安全大腦這樣的殺手锏產品和能力,整個行業要注重補上安全人才的缺口,注重安全人才的培養,擦亮安全服務這顆網絡安全行業“皇冠上的明珠”;政企客戶不能止步于“合規安全”,不重視安全服務,只靠堆砌“盒子”是沒用的,安全最終還是人與人的對抗,我們國家數字化建設和網絡建設,在網絡安全上的占比太低,要加快提升整體占比。
第三,生態上,安全行業、傳統產業要合作,共建大安全生態。新基建領域太龐大,沒一家安全企業能“通吃”所有安全問題,傳統產業也沒必要重復“造輪子”,大家要形成合力。
新浪科技:受疫情影響,很多企業難免遭受沖擊。網絡安全行業是否受到波及?您對于企業發展有何建議?
周鴻祎:疫情之下,網絡安全行業也有不小的挑戰。
第一,網絡安全問題形勢更嚴峻。萬物互聯加速落地,新技術新業務層出不窮。比如,傳統的邊界安全可能對遠程辦公安全就鞭長莫及。包括360公司在內,所有安全企業必須要有持續創新的能力,才不會被淘汰。
第二,網絡安全企業賺錢更難了。最近有調查說,由于疫情帶來的財務壓力,很多企業削減了網絡安全預算。不過這個時候,也就更容易看出網絡安全企業的競爭能力和水平,整個行業難賺錢的時候,其實也是強者愈強體現出來的時候,360公司的表現比較好,但整個行業很受傷。
對企業發展的建議有三點:
第一,不怕慢就怕站,或者說方向正確就不怕路遠。要把危機變成機會,發揮企業的優勢和能力,主動優化改進自己商業模式;要在產品上、解決方案上,乃至整個戰略上,有長遠發展的打算,網絡安全行業最需要的是耐得住寂寞,最怕的就是什么熱追什么。很多公司就是因為習慣了追熱度,疫情來了之后,退潮了,一下子就被客戶和市場看出來是在裸泳了。
第二,要真正解決問題。賣盒子、防火墻,如同二戰的“馬奇諾防線”,不能真正解決網絡安全問題。有些安全企業就是做硬件、做盒子的,怎么辦,那他們可以加入到產業鏈里來,安全市場是需要產業化的,我們不做盒子的主要原因,就是因為我們希望和產業鏈上的硬件公司共建生態,沒有人能通吃這個行業,360既做不到,也不會考慮那樣做,我們還是希望對整個產業賦能。
第三,要專注做好產品。無論外界的條件如何變,別浮躁,沉下心做產品。
京公網安備:11010602130026號