周鸿祎：夯实安全底座 中央企业数字化转型的必要保障

此前，三六零安全科技股份有限公司正式成为了中国网络信息安全科技创新发展联盟的成员单位之一，该联盟由国务院国资委指导成立，理事长单位为中国电子科技集团有限公司，常务副理事长单位为中资网络信息安全科技有限公司，该公司是由国资委主导成立的国内专业从事国资国企网络信息安全的公司。

周鸿祎在专访中分析了网络安全宏观态势，强调了网络安全在中央企业数字化转型中的重要作用，并分析了中央企业在数字化转型中面临的十二大网络安全挑战。他认为，为应对新的安全挑战，必须要有新理念和新体系，不仅要统筹顶层设计、底层建设，建设安全基础设施；要用攻防作为衡量能力的唯一标准；要解决看见的问题，最大范围内汇集安全大数据，集中进行统一的大数据分析；还要建立情报共享的格式和标准及建立强大的安全运营队伍。

专访稿件具体内容如下：



在今年中央政府制定的十四五规划中，用了整整一个篇章来全方位阐述“加快数字化发展，建设数字中国”的战略规划，由此可见“数字化”已经上升到国家创新发展的重要举措。未来，所有产业都可以数字化，所有企业都需要数字化转型升级，数字化将成为“十四五”时期国家和地方推动经济社会高质量发展的重要抓手。



中央企业作为国民经济的重要力量，参与数字经济、建设数字中国同样是其重要使命。因此，这也对中央企业提出了数字化转型升级的迫切需求。与此同时，新时代的网络安全威胁如影随形，习总书记曾明确强调“没有网络安全就没有国家安全”，中央企业数字化将面临全新的安全挑战，亟需新的安全解决方案。



整体网络安全宏观态势分析

数字时代，核心体现为利用前沿数字化技术提升企业竞争力，可以用“IMABCDE”概括：“I”是IoT，即物联网技术；“M”是Mobile Communication，即移动通信技术，主要指5G通信协议；A是AI，即人工智能；B是BlockChain，即区块链，C是Cloud Computing，即云计算；D是Big data，即大数据；E是Edge Computing，即边缘计算。

数字时代就是用这七个主要技术，把过去的生产方式、城市治理和生活的方方面面都数字化。用IoT传感器采集大数据，通过5G通信协议传输到云端，在云端汇成海量大数据之后，再根据大数据建立各种各样的分析模型，然后再用AI进行分析判断，最后通过各种IoT设备反馈到城市治理和老百姓的生产生活中去。数字化必将带来又一次技术、产业和社会经济的变革。未来，中央企业都能够全面地采用“IMABCDE”这些“数字化技术”，并迅速完成转型升级。

但是，数字化为中央企业带来转型升级的同时，也带来了新的安全挑战。未来数字化世界会有三大特征，即一切皆可编程，万物皆可互联，数据驱动一切。

一切皆可编程，意味着漏洞无处不在。每1000行代码中平均有6个漏洞，包括开源代码。国产操作系统也是基于国际的开源系统改造，平均每个代码库有近150个漏洞。软硬件设计的缺陷，还会导致芯片也存在漏洞，即使其本身没有漏洞，供货商的产品也可能会有漏洞。这就意味着漏洞无处不在。而且新技术刚推出来，并不一定完善，漏洞出现概率更高，因此，新技术使用得越多，其中包含的漏洞就越多。

万物均要互联，意味着一切皆可攻击。过去只要保护电脑网络就能阻止攻击，但如果未来每一个摄像头、每一台打印机、城市里每一个垃圾箱都是数字化的，那么每一个点都可能成为攻击入口，攻击将无处不在。同时，物联网把虚拟世界和物理世界打通，这意味着，过去电脑中毒最多影响收发邮件，但今天对虚拟世界的攻击可以变成对物理世界的伤害。

大数据驱动业务，意味着数据安全直接影响业务安全。数字化的核心就是为了大数据。IoT是为了采集，5G是为了传输，云端是为了储存。有了大数据，才有了一切。而大数据不仅面临攻击，还面临数据污染、内部泄露、内部滥用等问题，一旦大数据出问题，整个业务系统都会受到影响。

最近，最重要的例子就是勒索软件。今年5月初，黑客攻击了美国最大燃油管道运营商科洛尼尔（Colonial Pipeline）。科洛尼尔所运营的燃油管道共长5500英里，主要将汽油和其他燃料从德克萨斯州运往东北，其提供的燃油约占东海岸燃料消耗的45%。此次黑客攻击造成燃油运输中断，影响约5000万美国人。此后，该公司被迫以加密货币的形式缴纳了赎金500万美元，约合人民币3200万元，公司才得以恢复运营。

此外，爱尔兰卫生部门在5月份也曾遭到“重大勒索软件”攻击，导致其医疗服务系统紧急关闭，爱尔兰多家医院运营受到影响。

国内的一些医院也曾遭到攻击。最近几年，360接到几十家医院勒索攻击的求援。很多县一级的医院被勒索软件攻击后，病人的数据库数据被加密，医院无法做手术，无法挂号，无法看诊。

这些事例应该引起中央企业的高度重视，它反映了数据安全上的巨大趋势，即黑客不用攻击设施，只要攻击大数据，就能带来非常严重的后果。

总而言之，数字化将为中央企业带来新的安全风险和挑战，安全不再是一个可有可无的辅助功能，而是变成了一个特别重要的基础。因此，要把网络安全当作中央企业的“底座”，为中央企业数字化转型升级建设做好安全基础设施。


中央企业面临的具体网络安全挑战分析

数字化时代，中央企业将面临全新的网络威胁和安全形势。具体表现为以下特征：


01

高级别专业力量入场

过去对付的是小毛贼、小黑产、小木马，通过免费杀毒、防火墙、各中央企业单位安管人员，就能解决得很好。但现在，高级别专业力量入场，比如恶意软件、勒索软件，都已经是有组织的犯罪。

02

关键基础设施成为首选目标

网络攻击的目标从个人逐渐变为关键基础设施。中央企业担负着城市、能源、公共卫生、金融、应急等公共基础设施建设，一旦被攻击，可能会大面积停电、断网，甚至造成巨大损失。

03

漏洞是网络安全的命门

很多人以为，只要不乱下载软件就能保障安全。但有了漏洞，攻击者入侵电脑和手机的方式更加匪夷所思。以钓鱼邮件为例，如果有公司同事收到“本单位今年年底加薪名单”的邮件，肯定会忍不住打开看，但只要打开这个文件，恶意代码就会在电脑上运行。

04

人是最大的短板

很多人认为，网络安全跟自己没关系，其实网络安全跟每个人都有关系。很多单位看似隔离，实际上是假隔离，比如企业很多员工不按安全规则联网，导致很多隔离网被攻破。

05

不分平时战时

网络攻击不分平时、战时。去年，全球平均一天两起APT事件。2020年，360安全大脑共披露了23个APT组织涉及全球范围的攻击活动，其中13个针对中国地区的APT组织。

06

没有攻不破的网络

如果我们希望建立一个固若金汤，永远攻不进来的网络，那是不现实的，即使投多少钱也做不到。所以，要接受网络一定会被攻破，应该集中精力解决如何发现攻击的问题。而且，供应链攻击很厉害，防得住自己，防不住队友。网络安全做不到不让攻击者进来，能做到的是，攻击进来后迅速发现并“踢出去”。

07

敌已在我

必须假定我们的网络已经被渗透。防范网络攻击的重点在于“看见”敌人是谁、做了什么、留下了什么。然而，绝大部分的网络攻击是毫无预警、不留痕迹的，甚至从始至终都不能察觉到敌人是谁。因此，我们应对的前提是假定对手已经渗透进来了！

08

整体战

网络攻击链很长，不分国家、企业、个人，每个节点都可能是攻击链中的一个跳板。即使中央企业把自己的网络建设得很强，但如果供应链上下游或者个人防护很弱，也可能会成为一个短板。

09

手法超常规

网络攻击手段无所不用其极，不能用正常思维来看。比如，很多国家通过刻光盘传递数据，但全世界只有两家刻光盘的软件公司，一旦在这两家软件里预制后门，不管谁刻光盘，都会先刻上一段有毒代码。

10

秘密战

网络攻击最大的特点就是看不见，来无影去无踪，难以溯源。比如攻击者会把文件拆开，藏在电脑不同的部分，让人找不到攻击文件。

11

易攻难防

只要知道漏洞，一个两三人的黑客小组就能发起攻击；但是防守非常难，99%的设备都守住了，万一有一个物联网设备没守住，攻击就能进来。

12

网络攻击成为首选

网络攻击的形式多种多样，成本低、效果好、隐蔽性强，能够穿越时空，瞬时致瘫，而且烈度可控。



由此可见，中央企业规模庞大，业务涉及面广，供应链长，网络安全保护难度空前增大。数字化时代，攻防严重不平衡，联网设备数以百亿计，一点突破就可以打穿整个网络，攻防资源向供给方倾斜，要发现、阻断和溯源网络攻击都面临更大难度，所以会出现“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面。


中央企业应对新网络安全挑战的对策建议

面对严峻安全形势，传统的安全体系已经无力应对。因为传统的网络安全体系诞生于计算机安全时代，最大的问题是“头痛医头、脚痛医脚”，防护思路碎片化，面对不断增加的安全威胁只是不断地“堆盒子”，缺乏体系化思维。

为应对新的安全挑战，必须要有新理念和新体系，主要包括以下五点：


第一，要统筹顶层设计、底层建设，建设安全基础设施。要在这个基础上，建立安全运营团队，而不是用卖货的思路卖产品。



第二，要用攻防作为衡量能力的唯一标准，一切不把攻防对抗作为能力衡量标准的产品销售，都是假把式。



第三，要解决看见的问题，最大范围内汇集安全大数据，集中进行统一的大数据分析。



第四，要建立情报共享的格式和标准，一个单位发现问题，需跟其他单位联动防御。



第五，要建立强大的安全运营队伍。人的力量是非常重要的，因为对手不是静止的木马病毒，而是一群高水平、高智商的黑客，他们也在不断改变战术战法。



从具体操作层面看，建设网络安全基础设施主要有以下五点：

第一，要做网络地图的测绘，有地图才有对抗攻击的基础；

第二，要做安全漏洞的管理平台，比如通过重金奖励，让全社会都来助力系统漏洞的发现；

第三，要建立威胁情报中心，通过威胁情报，告诉每一个节点，最近有什么安全问题，需要封堵哪一个IP地址，或者查杀某一个样本；

第四，要建立实网攻防靶场，不同单位之间要定期举办实兵、实网、实战；

第五，要输出公共安全服务，当下面单位遭受攻击时，如果该单位靠网管解决不了问题，那么，上级单位的网络安全运营团队可以为下级单位提供强大的安全赋能。所以，上级单位需要建立自己的网络安全大脑，建立威胁情报中心。


作为国内网络安全的龙头企业，360 集团在十多年的网络攻防对抗中，不断抽象、沉淀了一套新的网络安全框架体系——以360安全大脑为核心的安全能力体系。在这套方法论的指导下，360安全大脑陆续落地服务于重庆、天津、上海、贵州等省市，青岛、鹤壁、苏州、郑州、珠海等地级市。



习总书记曾指出“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”。建设网络强国、数字中国，不仅要有数字化的共识，也要有安全的共识，把安全作为数字化的前提和基础，共同构筑数字化时代的安全能力体系。



当前，中央企业面临数字化转型升级的重要关键时刻，一定要同步进行安全建设，夯实中央企业数字化转型的安全底座，这样才能保证中央企业的安全与长远发展，为网络强国和数字中国贡献力量，为数字时代保驾护航。







老周开讲