周鸿祎在中国互联网的发展过程中,一度颇受争议。但近几年来,他低调了很多。用他的话说,说真话得罪人,说假话太难受,所以还是少在外面说,把更多精力放到360集团的战略上。但根本上,周鸿祎还是周鸿祎。
5G时代还需要周鸿祎吗?这不是他自己能给出的答案,但周鸿祎自己显然要占有一席之地。全国政协十三届三次会议期间,他带来了围绕5G时代信息安全的提案。
相比于4G,其实5G的应用场景更多是在通讯技术以外,比如物联网、汽车自动驾驶等。
在接受《中国经营报》记者专访的过程中,他反复强调,5G时代的信息安全和4G时代根本不是一个量级与概念。这既需要国家层面的制度标准建设,也需要技术层面的与时俱进。
他的言语之中,传递着非常明确的信息:5G也需要周鸿祎。
工业互联网、物联网能真正推动5G发展
《中国经营报》:这种应用场景的完全不同,大量物联网、自动驾驶等应用场景的接入,会使得5G全面应用之后的数据量、涉及领域的安全重要性,远远大于主要应用于通讯技术的4G时代,这是不是5G时代最大的安全挑战?
周鸿祎:我完全同意你的观点。5G的真正推动,我认为要靠各种物联网、工业互联网项目来带动。如果仅仅是个人消费,那么4G就足够用了。个人用户不会因为视频下载快了100倍,就觉得能怎么样。所以,我认为5G是为了两个时代准备的,物联网时代和大数据时代。
因为在新基建和工业互联网这种场景下,大量的物联网设备会把工业企业运转、城市运行等领域的信息数字化。这些都需要无线传感器通过5G信号来传送,所以5G传输密度要比4G高大概100倍,在每平方公里支持的终端数目,5G也比4G的更高,同时,5G的上传速度也比较高。所以,大数据和物联网会给5G带来一个推动。
但是,正因为大数据、高速度、高密度的数据无线传输,才使得很多产业可以获得属于自己的真正的大数据。这样的话,大数据就不会像今天一样,集中在互联网消费者用户为主的几家大型互联网公司里,也不再是这样的互联网公司的专利了。我可以想象5年后的产业互联网的景象。
当工业互联网铺开之后,终端的数量就会大为增加。现在,全中国有十几亿部手机,但是,5年之后的工业互联网、物联网可能上千亿部的终端设备,这些设备7×24小时在不停地上传数据。所以,今天互联网上的主要流量可能是视频和游戏,但是5年以后,互联网的主要流量就是工业互联网、产业互联网、物联网了。我觉得,这才是5G甚至是6G真正应该发挥作用的价值点。
正因如此,5G是更换了一种应用场景,它更多的是TO B、TO G这个领域,也就是针对企业端、政府端来获取应用的机会。因此,我觉得考虑5G安全的时候,就不能够孤立地看通讯协议,而是要在整个大的、完整的应用场景下,去考虑它的安全问题。从通讯协议本身来说,5G还是蛮安全的,其实4G本身的漏洞也不多,这么多年,我们也只找到了它的一个漏洞。
但是,5G要考虑物联网的安全,要考虑解决大数据的安全,这两个都是原来从未有过的挑战。
当我们把海量的、实时更新的大数据汇集到云端后,大数据如何能防止滥用,防止被人泄露,防止越权,这也都是全新的挑战。
《中国经营报》:所以你觉得安全要求5G比4G高出很多对吧,主要是因为要保证在综合应用场景下的安全,要全方位去考虑。
周鸿祎:对,我觉得你对这些都很熟悉。4G时代,很多个人消费者连接到网络上,那么其实网络出现问题,无非就是影响一下我们对互联网的使用。但是,未来5G将有工业级的应用、城市级的应用,可能核电站里的传感器是用5G来连接,可能公路上跑的网联车是用5G来连接,一旦网络遭受攻击,你就会发现这个后果可能要比现在严重得多。
《中国经营报》:既然是从应用场景全方位地进行5G的安全防控,你觉得从大的这种安全架构方面,要从哪几个重要的节点入手来确保5G的网络安全?
周鸿祎:我觉得,在新基建、5G互联网、大数据的时代,整个安全格局都改变了,所以传统的安全防护不起作用了。
首先,刚才我讲过的,物联网、工业互联网的应用场景下,终端设备的互联是基于软件的,然后通过5G传输数据进行连接,软件层面可能都会有未知的漏洞,只要有漏洞,就可能会被人攻击。所以,这个网络一定会被人攻击。
其次,5G、新基建,都是物联网起到了巨大的作用,物联网实际上把虚拟世界和物理世界联通了,这样,所有对虚拟世界的攻击,都可以蔓延到物理世界。比如可以直接导致停电,所以,危害都非常大。
再次,现在的攻击对手也变了,因为现在基本上没有小毛贼了。攻击就只有两种,一种是有组织犯罪,比如说,攻击企业进行勒索,勒索的额度都是千万元以上。再比如,国与国之间的网络角力,很可能其他国家的网络攻击组织、国家背景的黑客组织,对基础设施发起攻击,或者潜伏、渗透。那么,在这种情况下,传统网络安全最大的问题,在于它是碎片式的、修补式的解决问题,哪里有问题,哪里就装一个杀毒软件,哪里有问题,就去建一个防火墙,但是这种传统的碎片式的模式,已经无法应对我刚才说的这种高级威胁的攻击。
网络安全带成功发现他国网络攻击
《中国经营报》:你做网络安全已经十几年的时间了,对于5G时代的网络安全,你有什么想法或者说360有什么做法?
周鸿祎:我们提出了一套全新的网络安全的框架,称为网络安全带。网络安全带简单来说,不再采用这种碎片化、单点式的防御或者阻拦,而是通过建立大数据驱动的一个平台,把整个5G网络或者整个工业互联网网络各个有可能出问题的地方,已经发生、可能发生的网络安全事件,以及网络安全数据全部采集下来,这样用大数据加上数据积累,形成一个关于网络攻击的“知识库”和“数据库”,来进行威胁点和风险点的发现,形成威胁情报,再用威胁情报,把整个网络里各个结点上孤立的、互不同期的网络安全产品联通起来,实现真正的联通,协同防御,纵深保护。
其实,这些网络攻击,是有规律可寻的。无论现有的,还是在未来5G应用场景下的,虽然攻击方式在不断地更新,但攻击者都要做两件事情,其中的一件是,一定会在某个终端上,运行一下用于攻击的程序。这是一个莫名其妙的程序,运行的时候肯定要访问网络,因为它要和控制端取得联系,所以当我们采集足够多的网络安全大数据之后,所有的这种行为都会被我们记录下来。这其中,有正常的行为,也有不正常的行为,这就需要甄别和识别,这就需要建立网络攻击的知识库。
所以,我们以这个方式做了尝试,已经比较成功。过去5年里,我们帮助国家发现了40个来自其他国家的网络攻击组织。甚至就在今年春节期间,我们发现了来自一些国家和地区的网络攻击,攻击的对象是我们的医疗体系、外事部门。我们还曾用几年的时间,发现了一个国家的情报机构,对我国进行了长达11年的网络渗透,而且我们还获取了证据,这证明我们这套体系是有效的。
另外,我们觉得,现在网络安全也面临一个巨大的挑战,即不是要去给网络里堆砌更多的网络安全的产品,而是要从实际上真正提升整个网络对安全的应对能力。所以,我们有一个框架,要给5G网络或者说工业互联网、新基建所使用的安全基础平台,提升网络基础安全能力。
比如我们比较崇尚通过实际网络攻防,就是把真实的网络做成靶场,然后来请黑客的团队、请安全的专家进行实际的攻防来发现漏洞。我们也在为很多单位建立这种数字化的靶场,我们发现,很多被入侵的单位,是因为它们的软件里有明显的漏洞,所以我们通过众包的方式,来建立漏洞的挖掘基地,主动发现漏洞,主动进行修补,就能降低被攻击的概率,从而提升整个网络应对攻击的能力和水平。
《中国经营报》:如果我们发现了某个程序或者某个访问网络是有问题的,我们一般通常采取的是记录拦截这种模式吗?
周鸿祎:就是进行阻断。
《中国经营报》:阻断,如果他换一个程序换一个网络,我们还需要再去寻找新的发现对吧?
周鸿祎:不需要。因为当我们发现了一次攻击之后,他已经被纳入我们的大数据覆盖范畴,这是一个遍布全国全网的大数据。我们会积累这种攻击知识库,并且把这种积累的信息变成威胁情报。威胁情报实际上是会建立一个类似于国家的标准,像其他网络里如果有类似的情况都可以同步地阻断。
《中国经营报》:这个国家标准大概都包含什么内容?
周鸿祎:其实国家标准最重要的是要建立两个标准。第一个就是当我们发现一次攻击的时候,我们应该有一种标准的语言来描述攻击。这就相当于你去医院看病,大家嘴上说的这种症状肯定是很难统一的,最后医生一定会给你验血、拍X光、照CT,最后它就会有一些标准的描述方式。
第二个是在我们发现攻击的时候,我们是要通知各个单位,应该去拦截什么东西,这就需要拦截一个样本,有的时候是拦截一个程序,有的时候是要拦截域名,这个需要一套标准。如果能够统一成威胁情报的标准语言,那么,不同公司的产品就能够接收到一致的指令,就可以执行了。
希望国家加大对网络安全产业的扶持
《中国经营报》:你觉得进入5G应用时代之后,从国家的法律和规章制度角度来讲,会有哪方面能够更好地做出制度性的网络安全建设,你认为当务之急是什么?
周鸿祎:最重要的还是希望国家能够在数字化、信息化的过程中,加大对网络安全产业的扶持和支持,不是把网络安全看成可有可无的一部分。
目前,我国网络安全上的投入,大概占到国家数字化、信息化投入的1%,而美国至少是10%。如果我们网络安全产业发展不起来,那么就没有足够的资金和人才涌入,产业不强,就没有安全保护。
我们国家花大力气发展数字化,我们的新基建搞得越多,工业互联网搞得越多,5G带动的终端越多,如果安全不到位,一旦遇到网络攻击,是不是就像裸奔一样?发展得越大,出的事儿就越大。所以,我觉得国家应该明确在新基建的过程中,安全应该成为核心的技术基础之一。另外还有在网络安全上的投入,要进一步提高,即便达不到10%,达到5%是可以的。这样我觉得我们的网络安全市场就可以以5年为一个周期,有一个更大的增长。
《中国经营报》:这几年,国家在网络安全上的投入实际上是在逐年加大的,你怎么评价这种投入所产生的效果和效率?
周鸿祎:第一,我觉得国家这两年投入确实在加大,但是我觉得网络安全的市场还有很大的空间。这其中应该有巨大的市场机会。
第二,投入的比例应该扩大,但这些投入都用来做什么了?大部分钱都去买了硬件,还有一些钱是用来买软件。但是,现在这种采购行为,是基于一种合规的思路,而并没有人真正考核投钱买了这些收到了什么效果。
网络安全的这种实战和对抗能力是非常重要的。所以引入一些专家专业的服务团队,这比目前这种知识硬件、软件的投入更有利于网络安全的提升。
《中国经营报》:你刚才说,市场空间还很大,能有多大?
周鸿祎:我认为三五年内应该增长至少10倍。
应明确公众数据的所有权
《中国经营报》:随着互联网的技术在社会发展中占有越来越重要的位置,就会出现通过技术和数据能够对社会产生重大影响的一些巨头公司,你认为应当通过什么样的手段对这些巨头公司加以约束,以避免它们使用自己的优势地位,对其他企业和社会产生一些负面影响?
周鸿祎:这个问题不好回答。因为答案很明确,但是国家喜欢大企业对吧?实际上世界各国都有反垄断法。这个问题可以改一改。那就是,只要你使用互联网服务,你的数据就一定会被互联网公司收集,也不能说收集这个行为本身有什么不对,因为收集是提供互联网服务的前提,但有哪些底线性的问题需要明确出来?
第一,今年两会审议民法典,那里提到了物权的很多权利问题。我认为,很多公众的数据,在使用互联网的时候被采集了,被互联网公司保存了,但应该看成是托管在互联网公司的服务器上,它的所有权,是属于公众,应该明确这个物权。这样的话,就约束了互联网公司,你采集的能力越大,责任就越大,你不能随便去乱卖用户的数据。
第二,你有的时候需要借助用户的数据,但是用户的数据属于用户,如果有一天用户不再使用你的服务,注销了,这个删除数据的权利,应该在用户手里,而不是在互联网公司的手里。
第三,采集数据需要尊重用户的知情权,互联网公司要告知用户,我为什么要采集你的数据,采集了你什么数据。这一点,很多APP是做得不清楚的,它们不给用户选择权,要么你就把数据开放给我,要么你就别用,我觉得这样是不对的。
因此,我觉得国家立法需要更细致一点。更重要的是,现在用户隐私泄露不是用户自己的问题,他们都是技术小白。所以,我觉得有能力收集用户、储存用户数据的公司,必须在网络安全上有足够的投入,保证自己用户的数据至少不会被人偷走,如果连这个能力都没有,那就没资格去提供互联网服务。所以,我觉得在这方面,应该对一些大公司提出一些具体的要求和约束。
《中国经营报》:你说得很对,那么像腾讯、阿里这样的互联网巨头企业,其实可能拥有大量的个人信息和数据,你觉得如果只是依靠企业自律,是否能够实现确保个人信息安全?
周鸿祎:除了我刚才说的几点原则,还有一点,就是我觉得国家应该从法律层面上制定更具体、更有针对性的罚则,如果他们滥用了用户的数据,或者是数据被流失、被泄露了的话,就需要有针对性的惩罚措施。
