北美首頁 | 新聞 | 時尚 | 大陸 | 臺灣 | 美國 | 娛樂 | 體育 | 財經 | 圖片 | 移民 | 微博 | 健康
加密貨幣歡迎試用
Value Engine Stock Forecast
ENTER SYMBOL(S)

對話周鴻禕:5G時代會更安全嗎?

http://finance.sina.com   2020年05月29日 12:55   中國經營報

  對話周鴻禕:5G時代會更安全嗎?

  本報記者/裴昱/北京報道

  周鴻禕在中國互聯網的發展過程中,一度頗受爭議。但近幾年來,他低調了很多。用他的話說,說真話得罪人,說假話太難受,所以還是少在外面說,把更多精力放到360集團的戰略上。但根本上,周鴻禕還是周鴻禕。

  5G時代還需要周鴻禕嗎?這不是他自己能給出的答案,但周鴻禕自己顯然要佔有一席之地。全國政協十三屆三次會議期間,他帶來了圍繞5G時代信息安全的提案。

  相比於4G,其實5G的應用場景更多是在通訊技術以外,比如物聯網、汽車自動駕駛等。

  在接受《中國經營報》記者專訪的過程中,他反覆強調,5G時代的信息安全和4G時代根本不是一個量級與概念。這既需要國家層面的制度標準建設,也需要技術層面的與時俱進。

  他的言語之中,傳遞着非常明確的信息:5G也需要周鴻禕。

  工業互聯網、物聯網能真正推動5G發展

  《中國經營報》:這種應用場景的完全不同,大量物聯網、自動駕駛等應用場景的接入,會使得5G全面應用之後的數據量、涉及領域的安全重要性,遠遠大於主要應用於通訊技術的4G時代,這是不是5G時代最大的安全挑戰?

  周鴻禕:我完全同意你的觀點。5G的真正推動,我認爲要靠各種物聯網、工業互聯網項目來帶動。如果僅僅是個人消費,那麼4G就足夠用了。個人用戶不會因爲視頻下載快了100倍,就覺得能怎麼樣。所以,我認爲5G是爲了兩個時代準備的,物聯網時代和大數據時代。

  因爲在新基建和工業互聯網這種場景下,大量的物聯網設備會把工業企業運轉、城市運行等領域的信息數字化。這些都需要無線傳感器通過5G信號來傳送,所以5G傳輸密度要比4G高大概100倍,在每平方公里支持的終端數目,5G也比4G的更高,同時,5G的上傳速度也比較高。所以,大數據和物聯網會給5G帶來一個推動。

  但是,正因爲大數據、高速度、高密度的數據無線傳輸,才使得很多產業可以獲得屬於自己的真正的大數據。這樣的話,大數據就不會像今天一樣,集中在互聯網消費者用戶爲主的幾家大型互聯網公司裏,也不再是這樣的互聯網公司的專利了。我可以想象5年後的產業互聯網的景象。

  當工業互聯網鋪開之後,終端的數量就會大爲增加。現在,全中國有十幾億部手機,但是,5年之後的工業互聯網、物聯網可能上千億部的終端設備,這些設備7×24小時在不停地上傳數據。所以,今天互聯網上的主要流量可能是視頻和遊戲,但是5年以後,互聯網的主要流量就是工業互聯網、產業互聯網、物聯網了。我覺得,這才是5G甚至是6G真正應該發揮作用的價值點。

  正因如此,5G是更換了一種應用場景,它更多的是TO B、TO G這個領域,也就是針對企業端、政府端來獲取應用的機會。因此,我覺得考慮5G安全的時候,就不能夠孤立地看通訊協議,而是要在整個大的、完整的應用場景下,去考慮它的安全問題。從通訊協議本身來說,5G還是蠻安全的,其實4G本身的漏洞也不多,這麼多年,我們也只找到了它的一個漏洞。

  但是,5G要考慮物聯網的安全,要考慮解決大數據的安全,這兩個都是原來從未有過的挑戰。

  當我們把海量的、實時更新的大數據彙集到雲端後,大數據如何能防止濫用,防止被人泄露,防止越權,這也都是全新的挑戰。

  《中國經營報》:所以你覺得安全要求5G比4G高出很多對吧,主要是因爲要保證在綜合應用場景下的安全,要全方位去考慮。

  周鴻禕:對,我覺得你對這些都很熟悉。4G時代,很多個人消費者連接到網絡上,那麼其實網絡出現問題,無非就是影響一下我們對互聯網的使用。但是,未來5G將有工業級的應用、城市級的應用,可能核電站裏的傳感器是用5G來連接,可能公路上跑的網聯車是用5G來連接,一旦網絡遭受攻擊,你就會發現這個後果可能要比現在嚴重得多。

  《中國經營報》:既然是從應用場景全方位地進行5G的安全防控,你覺得從大的這種安全架構方面,要從哪幾個重要的節點入手來確保5G的網絡安全?

  周鴻禕:我覺得,在新基建、5G互聯網、大數據的時代,整個安全格局都改變了,所以傳統的安全防護不起作用了。

  首先,剛才我講過的,物聯網、工業互聯網的應用場景下,終端設備的互聯是基於軟件的,然後通過5G傳輸數據進行連接,軟件層面可能都會有未知的漏洞,只要有漏洞,就可能會被人攻擊。所以,這個網絡一定會被人攻擊。

  其次,5G、新基建,都是物聯網起到了巨大的作用,物聯網實際上把虛擬世界和物理世界聯通了,這樣,所有對虛擬世界的攻擊,都可以蔓延到物理世界。比如可以直接導致停電,所以,危害都非常大。

  再次,現在的攻擊對手也變了,因爲現在基本上沒有小毛賊了。攻擊就只有兩種,一種是有組織犯罪,比如說,攻擊企業進行勒索,勒索的額度都是千萬元以上。再比如,國與國之間的網絡角力,很可能其他國家的網絡攻擊組織、國家背景的黑客組織,對基礎設施發起攻擊,或者潛伏、滲透。那麼,在這種情況下,傳統網絡安全最大的問題,在於它是碎片式的、修補式的解決問題,哪裏有問題,哪裏就裝一個殺毒軟件,哪裏有問題,就去建一個防火牆,但是這種傳統的碎片式的模式,已經無法應對我剛才說的這種高級威脅的攻擊。

  網絡安全帶成功發現他國網絡攻擊

  《中國經營報》:你做網絡安全已經十幾年的時間了,對於5G時代的網絡安全,你有什麼想法或者說360有什麼做法?

  周鴻禕:我們提出了一套全新的網絡安全的框架,稱爲網絡安全帶。網絡安全帶簡單來說,不再採用這種碎片化、單點式的防禦或者阻攔,而是通過建立大數據驅動的一個平臺,把整個5G網絡或者整個工業互聯網網絡各個有可能出問題的地方,已經發生、可能發生的網絡安全事件,以及網絡安全數據全部採集下來,這樣用大數據加上數據積累,形成一個關於網絡攻擊的“知識庫”和“數據庫”,來進行威脅點和風險點的發現,形成威脅情報,再用威脅情報,把整個網絡裏各個結點上孤立的、互不同期的網絡安全產品聯通起來,實現真正的聯通,協同防禦,縱深保護。

  其實,這些網絡攻擊,是有規律可尋的。無論現有的,還是在未來5G應用場景下的,雖然攻擊方式在不斷地更新,但攻擊者都要做兩件事情,其中的一件是,一定會在某個終端上,運行一下用於攻擊的程序。這是一個莫名其妙的程序,運行的時候肯定要訪問網絡,因爲它要和控制端取得聯繫,所以當我們採集足夠多的網絡安全大數據之後,所有的這種行爲都會被我們記錄下來。這其中,有正常的行爲,也有不正常的行爲,這就需要甄別和識別,這就需要建立網絡攻擊的知識庫。

  所以,我們以這個方式做了嘗試,已經比較成功。過去5年裏,我們幫助國家發現了40個來自其他國家的網絡攻擊組織。甚至就在今年春節期間,我們發現了來自一些國家和地區的網絡攻擊,攻擊的對象是我們的醫療體系、外事部門。我們還曾用幾年的時間,發現了一個國家的情報機構,對我國進行了長達11年的網絡滲透,而且我們還獲取了證據,這證明我們這套體系是有效的。

  另外,我們覺得,現在網絡安全也面臨一個巨大的挑戰,即不是要去給網絡裏堆砌更多的網絡安全的產品,而是要從實際上真正提升整個網絡對安全的應對能力。所以,我們有一個框架,要給5G網絡或者說工業互聯網、新基建所使用的安全基礎平臺,提升網絡基礎安全能力。

  比如我們比較崇尚通過實際網絡攻防,就是把真實的網絡做成靶場,然後來請黑客的團隊、請安全的專家進行實際的攻防來發現漏洞。我們也在爲很多單位建立這種數字化的靶場,我們發現,很多被入侵的單位,是因爲它們的軟件裏有明顯的漏洞,所以我們通過衆包的方式,來建立漏洞的挖掘基地,主動發現漏洞,主動進行修補,就能降低被攻擊的概率,從而提升整個網絡應對攻擊的能力和水平。

  《中國經營報》:如果我們發現了某個程序或者某個訪問網絡是有問題的,我們一般通常採取的是記錄攔截這種模式嗎?

  周鴻禕:就是進行阻斷。

  《中國經營報》:阻斷,如果他換一個程序換一個網絡,我們還需要再去尋找新的發現對吧?

  周鴻禕:不需要。因爲當我們發現了一次攻擊之後,他已經被納入我們的大數據覆蓋範疇,這是一個遍佈全國全網的大數據。我們會積累這種攻擊知識庫,並且把這種積累的信息變成威脅情報。威脅情報實際上是會建立一個類似於國家的標準,像其他網絡裏如果有類似的情況都可以同步地阻斷。

  《中國經營報》:這個國家標準大概都包含什麼內容?

  周鴻禕:其實國家標準最重要的是要建立兩個標準。第一個就是當我們發現一次攻擊的時候,我們應該有一種標準的語言來描述攻擊。這就相當於你去醫院看病,大家嘴上說的這種症狀肯定是很難統一的,最後醫生一定會給你驗血、拍X光、照CT,最後它就會有一些標準的描述方式。

  第二個是在我們發現攻擊的時候,我們是要通知各個單位,應該去攔截什麼東西,這就需要攔截一個樣本,有的時候是攔截一個程序,有的時候是要攔截域名,這個需要一套標準。如果能夠統一成威脅情報的標準語言,那麼,不同公司的產品就能夠接收到一致的指令,就可以執行了。

  希望國家加大對網絡安全產業的扶持

  《中國經營報》:你覺得進入5G應用時代之後,從國家的法律和規章制度角度來講,會有哪方面能夠更好地做出制度性的網絡安全建設,你認爲當務之急是什麼?

  周鴻禕:最重要的還是希望國家能夠在數字化、信息化的過程中,加大對網絡安全產業的扶持和支持,不是把網絡安全看成可有可無的一部分。

  目前,我國網絡安全上的投入,大概佔到國家數字化、信息化投入的1%,而美國至少是10%。如果我們網絡安全產業發展不起來,那麼就沒有足夠的資金和人才涌入,產業不強,就沒有安全保護。

  我們國家花大力氣發展數字化,我們的新基建搞得越多,工業互聯網搞得越多,5G帶動的終端越多,如果安全不到位,一旦遇到網絡攻擊,是不是就像裸奔一樣?發展得越大,出的事兒就越大。所以,我覺得國家應該明確在新基建的過程中,安全應該成爲核心的技術基礎之一。另外還有在網絡安全上的投入,要進一步提高,即便達不到10%,達到5%是可以的。這樣我覺得我們的網絡安全市場就可以以5年爲一個週期,有一個更大的增長。

  《中國經營報》:這幾年,國家在網絡安全上的投入實際上是在逐年加大的,你怎麼評價這種投入所產生的效果和效率?

  周鴻禕:第一,我覺得國家這兩年投入確實在加大,但是我覺得網絡安全的市場還有很大的空間。這其中應該有巨大的市場機會。

  第二,投入的比例應該擴大,但這些投入都用來做什麼了?大部分錢都去買了硬件,還有一些錢是用來買軟件。但是,現在這種採購行爲,是基於一種合規的思路,而並沒有人真正考覈投錢買了這些收到了什麼效果。

  網絡安全的這種實戰和對抗能力是非常重要的。所以引入一些專家專業的服務團隊,這比目前這種知識硬件、軟件的投入更有利於網絡安全的提升。

  《中國經營報》:你剛才說,市場空間還很大,能有多大?

  周鴻禕:我認爲三五年內應該增長至少10倍。

  應明確公衆數據的所有權

  《中國經營報》:隨着互聯網的技術在社會發展中佔有越來越重要的位置,就會出現通過技術和數據能夠對社會產生重大影響的一些巨頭公司,你認爲應當通過什麼樣的手段對這些巨頭公司加以約束,以避免它們使用自己的優勢地位,對其他企業和社會產生一些負面影響?

  周鴻禕:這個問題不好回答。因爲答案很明確,但是國家喜歡大企業對吧?實際上世界各國都有反壟斷法。這個問題可以改一改。那就是,只要你使用互聯網服務,你的數據就一定會被互聯網公司收集,也不能說收集這個行爲本身有什麼不對,因爲收集是提供互聯網服務的前提,但有哪些底線性的問題需要明確出來?

  第一,今年兩會審議民法典,那裏提到了物權的很多權利問題。我認爲,很多公衆的數據,在使用互聯網的時候被採集了,被互聯網公司保存了,但應該看成是託管在互聯網公司的服務器上,它的所有權,是屬於公衆,應該明確這個物權。這樣的話,就約束了互聯網公司,你採集的能力越大,責任就越大,你不能隨便去亂賣用戶的數據。

  第二,你有的時候需要藉助用戶的數據,但是用戶的數據屬於用戶,如果有一天用戶不再使用你的服務,註銷了,這個刪除數據的權利,應該在用戶手裏,而不是在互聯網公司的手裏。

  第三,採集數據需要尊重用戶的知情權,互聯網公司要告知用戶,我爲什麼要採集你的數據,採集了你什麼數據。這一點,很多APP是做得不清楚的,它們不給用戶選擇權,要麼你就把數據開放給我,要麼你就別用,我覺得這樣是不對的。

  因此,我覺得國家立法需要更細緻一點。更重要的是,現在用戶隱私泄露不是用戶自己的問題,他們都是技術小白。所以,我覺得有能力收集用戶、儲存用戶數據的公司,必須在網絡安全上有足夠的投入,保證自己用戶的數據至少不會被人偷走,如果連這個能力都沒有,那就沒資格去提供互聯網服務。所以,我覺得在這方面,應該對一些大公司提出一些具體的要求和約束。

  《中國經營報》:你說得很對,那麼像騰訊、阿里這樣的互聯網巨頭企業,其實可能擁有大量的個人信息和數據,你覺得如果只是依靠企業自律,是否能夠實現確保個人信息安全?

  周鴻禕:除了我剛才說的幾點原則,還有一點,就是我覺得國家應該從法律層面上制定更具體、更有針對性的罰則,如果他們濫用了用戶的數據,或者是數據被流失、被泄露了的話,就需要有針對性的懲罰措施。

Bookmark and Share
|
關閉
列印