360集團首席安全官杜躍在經(jīng)濟觀察報主辦的2021數(shù)字化轉(zhuǎn)型與創(chuàng)新峰會中表示，我們數(shù)字時代面臨的安全危險，就是安全挑戰(zhàn)急速地擴張到很多很多的新領(lǐng)域，在沒有準備好的情況下，就像打開了潘多拉的魔盒。這里面也孕育著機會，這個機會就是安全正在被重新定義。贏得未來的數(shù)字安全，需要懂大數(shù)據(jù)技術(shù)、有人工智能技術(shù)、懂安全和業(yè)務；適應數(shù)字時代需要的基本能力是快速，更有效，更開放地學習能力；持續(xù)創(chuàng)新的能力；調(diào)整適應的能力。杜躍進認為，適應這個時代，必須是大范圍開放協(xié)同創(chuàng)新的方式來實現(xiàn)持續(xù)創(chuàng)新。

以下是演講內(nèi)容精選：

大家好，我今天匯報的題目叫《數(shù)字安全的覺醒時代》。從2020年上次參加這個峰會到現(xiàn)在2021年的年底，我們到底看到了什么，首先我還是非常想跟大家分享一下去年在經(jīng)濟觀察報的峰會上面我的演講，去年我的題目叫做《數(shù)字時代的安全危機》，特別講了我們數(shù)字時代面臨的安全危險，用一句話來講就是安全挑戰(zhàn)急速地擴張到很多很多的新領(lǐng)域，完全沒有準備好，所以叫做潘多拉的盒子被打開了。危機里面同時孕育著機會，這個機會就是安全正在被重新定義。所以我們有可能找到很多全新的方法，同時安全將逐漸成為全社會各個行業(yè)，各個企業(yè)，各個國家的剛需和競爭力。在此分享我對如何贏得未來數(shù)字時代安全的幾個關(guān)鍵的鑰匙。

第一把鑰匙，我們認為在數(shù)字時代的安全，它是要融入業(yè)務的安全。實現(xiàn)協(xié)同的能力，有幾個關(guān)鍵詞，第一是融入業(yè)務，第二是要能夠?qū)崿F(xiàn)協(xié)同，第三是非常關(guān)鍵的，是一個能力的體系。

第二把鑰匙，是在這個能力體系里面是有一個核心的，這個核心就是安全大腦，安全大腦用最精簡的話來定義就是實現(xiàn)大連接，大數(shù)據(jù)，大計算和大協(xié)同。

第三把鑰匙就是安全能力一定需要可衡量，并且要能夠持續(xù)成長的，要不斷地進化，才能實現(xiàn)不斷地適應新環(huán)境，不斷地實現(xiàn)“魔高一尺，道高一丈”。

一年過去了，從2020年，我在這個會議上跟大家匯報的結(jié)論，今天看看到底是怎么樣了。從去年11月開始，我挑幾個影響力非常大的事件簡單總結(jié)。2020年的12月，爆出了一個巨大的事件，其實是一個供應鏈的安全問題。在軟件世界里，某公司的產(chǎn)品被用在各種行業(yè)里面，結(jié)果這個產(chǎn)品被爆出來發(fā)現(xiàn)漏洞，也就是說通過這個零部件就可以入侵到系統(tǒng)，入侵了多少？到2021年1月份的時候初步調(diào)查是美國至少有超過1.8萬個非常重要的部門受到這件事情的影響。這是一個典型的供應鏈的安全問題，在我們不知道用的什么東西里面出了問題，就會引起非常嚴重而廣泛的安全問題。

另外一個事件，今年的5月7號，美國東部的一家燃油輸送管道公司，被通過網(wǎng)絡來實施攻擊，導致業(yè)務中斷，中斷了六天多的時間，，攻擊方勒索500萬美元。當時相關(guān)交通部門宣布進入緊急狀態(tài)，因為除了油價上升之外，燃油不能供應了，影響是非常重大的。這件事情引起了全世界的軒然大波，我當時接受媒體采訪的時候曾表示，第一，美國是全世界網(wǎng)絡安全能力最強大的國家，面對這種攻擊，美國依然束手無策，對于中國來說是一個非常重要的一個提醒；第二，我當時預言認為，這類攻擊馬上就會進入爆炸性的增長，而后大家看到這類事情開始非常快的蔓延。美國為了應對這種勒索攻擊，在全球成立聯(lián)盟，專門針對如何打擊這種攻擊來進行討論，也沒有太好的辦法。勒索攻擊到目前儼然成為當前特別主要的一種攻擊方式。

到了今年的12月，一個核彈級的漏洞被報告了。什么叫核彈級的漏洞？全球有一個標準，就是對一個安全漏洞它的評級的嚴重程度的標準，這個漏洞的標準被評為最高級，它是什么？它是開元組件里面的一個漏洞，而且是一個影響使用極其廣泛的，基礎(chǔ)性的開元軟件里面被發(fā)現(xiàn)了極其嚴重的漏洞，基礎(chǔ)到什么程度？就好像我們所有的人都離不開碳原子，結(jié)果碳原子里面沒設(shè)計好，出了問題了，幾乎所有人都受影響。我們幾乎所有的網(wǎng)站在黑客面前就是徹底開放了，人家隨便干什么，所以這個東西在12月份被曝光之后，很快被發(fā)現(xiàn)有人開始在利用它攻擊，所以全世界進入到一個極其混亂的，極其狼狽的應對階段。以上幾個舉例表明，安全事件的影響，在更大的范圍，更大的領(lǐng)域里面，用更深刻的方式發(fā)生著。

同時我們還看到了各種各樣的應對動作。美國國防部在2020年11月30號開始宣布用五年的時間來落實網(wǎng)絡安全的能力成熟度的要求，今年的4月份，美國國防部推出網(wǎng)絡安全能力成熟度模型認證，叫CMMC。去年我在這個會議上匯報了關(guān)于能力的幾個關(guān)鍵字，能力體系，能力的衡量，能力的持續(xù)成長。同樣，美國的國務院體系，美國的能源部，在今年的7月底的時候，正式發(fā)布網(wǎng)絡安全能力成熟度模型的2.0版，叫C2M2，他們的核心思想都是一樣的，他們在轉(zhuǎn)向網(wǎng)絡安全的能力成熟度的概念。

觀察歐洲，在去年的12月份，歐洲網(wǎng)絡與信息安全局，ENISA，發(fā)布國家網(wǎng)絡安全能力評估框架，他們在用這個框架對歐盟的各個國家，也對其他國家的網(wǎng)絡安全能力進行評估。

我們再來看看中國，恰逢十四五的第一年，今年11月16號，工信部的十四五規(guī)劃里面，有信息通信行業(yè)發(fā)展規(guī)劃，在安全方面提出了四大工程，其中一個叫網(wǎng)絡安全智慧大腦工程，從2020年，我們認為安全大腦將成為新一代網(wǎng)絡安全能力體系里面的核心，到現(xiàn)在，除了工信部之外，還有很多的部委，很多的行業(yè)都開始在啟動安全大腦的建設(shè)，我們也是看到了這個趨勢是正在發(fā)生。今年的12月份，中國管理科學學會，評選 2021中國管理年度價值案例，在這個案例里面，排在第一名的是基于成熟度理念的區(qū)域網(wǎng)絡安全能力評估，這個模型也是我們來做的，其實翻譯下來就是城市網(wǎng)絡安全能力評估的標準框架。我們看到了這一年發(fā)生的安全事件，安全威脅的變化，它是符合我們之前的預期的。我也看到了世界各個不同的地方，不同的領(lǐng)域，大家對安全的未來的走向，有趨向一致的地方，那就是能力，能力成熟度等。在我最經(jīng)典的定義是，數(shù)字時代的安全就是數(shù)字安全。

在今年的烏鎮(zhèn)互聯(lián)網(wǎng)大會上面的主題開始，我們國家開始提出數(shù)字文明的概念。隨后在中國網(wǎng)信辦發(fā)布材料里面也提到了，提升全民數(shù)字素養(yǎng)的問題，從這個時候開始，數(shù)字安全，數(shù)字文明，數(shù)字素養(yǎng)等，就變成熱詞。我們今年還有很多別的熱詞，元宇宙等等，它的本質(zhì)的規(guī)律都是一樣的，就是我們正在迎來的第四次工業(yè)革命后半場給世界帶來的變化，是現(xiàn)實世界和虛擬世界的融合。特別是經(jīng)過了這一次工業(yè)革命的20年左右的時間的融合，我們開始對它看到更多的可能性和更多的挑戰(zhàn)。

總的結(jié)論是，我會把它分成三個階段，從我們過去說虛擬世界是對現(xiàn)實世界的映射或者是鏡像，這是第一個階段，如何映射的更加深刻，準確，靈敏。第二個階段，兩個世界開始互動，我們其實也已經(jīng)一定程度上在同時進入到這個階段，然后我們將會進展到第三個階段，兩個世界會相互增強，由于數(shù)字世界，虛擬世界的工作，讓我們對現(xiàn)實世界的影響能力增強，反之亦然。

在這個趨勢下，對于安全，最大的挑戰(zhàn)就是這個融合世界的安全。我們傳統(tǒng)講得網(wǎng)絡安全，正在講的數(shù)據(jù)安全，正在發(fā)生的人工智能安全，正在發(fā)生的工業(yè)制造，工業(yè)互聯(lián)網(wǎng)，智慧城市，智慧醫(yī)療等等，所有的這些各種業(yè)務領(lǐng)域的安全，變得全都是互相深度影響，互相不可分割，這個是我們今天說的數(shù)字安全，所以并不是某個領(lǐng)域的安全，而是一種融合世界的安全。

在安全領(lǐng)域我們觀察到了什么，第一，新領(lǐng)域受到“蓄意破壞”的安全威脅快速增長。  第二，安全大腦被認可和接受了，大家開始逐漸地認識到安全不是只靠安全產(chǎn)品就能保障的，安全是需要用新的東西來保證。第三，能力和能力的成熟度迅速升溫，我們國家出了很多的標準，都開始用能力和能力成熟度，剛才也看到很多國家也都在全面轉(zhuǎn)向，因此我有一個大膽的結(jié)論，在安全領(lǐng)域里面，能力主義的時代馬上就要到來了。最后我們可以看到，數(shù)字安全這個概念開始被接受了。

贏得未來數(shù)字安全的“密碼”

我認為要想贏得數(shù)字安全，需要四個最重要的基本功。

第一要懂大數(shù)據(jù)技術(shù)，所有的領(lǐng)域都離不開大數(shù)據(jù)和數(shù)據(jù)驅(qū)動，在解決未來的數(shù)字安全的各種挑戰(zhàn)的時候，同樣離不開大數(shù)據(jù)技術(shù)。

第二個基本功，要有人工智能技術(shù)，大數(shù)據(jù)是無法用人的肉眼來簡單看看就能得到結(jié)論的，大數(shù)據(jù)離不開人工智能技術(shù)的支持，我們才能夠把大數(shù)據(jù)里面的價值挖掘出來，我們才能夠讓大數(shù)據(jù)幫助我們發(fā)現(xiàn)更深層次的威脅，找到更本質(zhì)的風險，才能有效地應對它。

第三，懂安全，但是這個安全要一分為二，這個安全是兩種安全的組合，我在去年的演講里面也講過，《牛頓定律》和《孫子兵法》都需要，《牛頓定律》揭示的是自然世界的規(guī)律，我們工廠的設(shè)備失靈，自然環(huán)境的對抗等等，材料的老化等等，這都是屬于這個領(lǐng)域的；同時還需要能夠應對蓄意破壞，特別是虛擬世界跟現(xiàn)實世界打通之后，來自虛擬世界的看不見，摸不著的人類的蓄意破壞，我們把它叫做社會科學領(lǐng)域的東西，我把它叫做《孫子兵法》領(lǐng)域。當我們在今天講安全的時候，基本是這兩個組合在一起的安全。

第四個基本功是業(yè)務，一定要結(jié)合到業(yè)務才可以，我們所有的安全到最后保障的是業(yè)務的安全，所以業(yè)務的支持不具備，就不可能做好數(shù)字安全。如何擁有這四個基本功，簡單說結(jié)論的話，要靠生態(tài)，沒有任何一家公司或者是一家企業(yè)同時具備這四項基本功，有些公司可能會具備的多一點，有些公司可能會具備的少一點。

適應數(shù)字時代的基本能力

適應數(shù)字時代需要三大基本能力，不僅適用于安全行業(yè)，對于其他行業(yè)也都一樣，是我認為比較重要的幾個。

第一，需要能力，辦法非常快，跨界非常多，變化非常復雜，你能不能夠突破自己原來的領(lǐng)域，能不能夠更快速，更有效，更開放地學習，這是適應這個數(shù)字時代的第一要務，有沒有這樣的能力。

第二，持續(xù)創(chuàng)新的能力，學習的目的是為了適應這個世界，找到新的道路，你能不能學以致用，能不能夠創(chuàng)新，并且持續(xù)地創(chuàng)新，找到新的方法。

第三個能力是調(diào)整適應的能力，我們在未來20到30年到需要不斷地調(diào)整自己的方式，調(diào)整自己的思維，調(diào)整自己的業(yè)務模式，調(diào)整自己的理念等等，你調(diào)的很慢，就會被這次工業(yè)革命淘汰，你調(diào)的很快，這次工業(yè)革命可能就會為你帶來巨大的機會。

一大關(guān)鍵路徑，我認為是適應這個時代最重要的，就是新時代的“舉國機制”，只是借用這個詞，并不是過去那種方式，它必須是大范圍開放協(xié)同創(chuàng)新的方式來實現(xiàn)持續(xù)創(chuàng)新，來實現(xiàn)更好地調(diào)整和適應，更好地嘗試新的方案方法。

嘗試與實踐

過去這一年，我們做了大量的實踐，也證明了這條道路應該是正確的，一個案例是從2021年的3月份開始，我們開始策劃，發(fā)起成立了數(shù)字安全公開賽，到今年的12月份，我們成功完成了第一屆數(shù)字安全公開賽的比賽，我們的收獲是非常好的，效果極其顯著。我們用了三個國家級的平臺，分別來實現(xiàn)這個領(lǐng)域的專業(yè)化的組織，這個領(lǐng)域就是我們說的數(shù)字安全，專門聚焦數(shù)字安全賽道。

我們在今年出了三道，這都是來自真實需求的題目，需要用到人工智能和大數(shù)據(jù)的，真實的題目。

第一道是人工智能的技術(shù)用于我們傳統(tǒng)的網(wǎng)絡安全領(lǐng)域的對抗。現(xiàn)在的攻擊越來越高級，現(xiàn)在我們僅僅360手里掌握的各種各樣的攻擊的樣本有將近300億條。當發(fā)生了一個新的攻擊的時候，經(jīng)常是需要拿它和過去的這些樣本做各種各樣的分析的，還要快，所以人工智能技術(shù)非常重要的。我們在這次題目之一就是用人工智能的技術(shù)來輔助我們分析，非常有意思的是，1604支全國的參賽隊，分布在31個省都有人參加，1604支參賽隊，最后有15支隊伍，每個賽題由前5名進入到最后的決賽，得第一名的不是我們的傳統(tǒng)方法，這也是說的今天的創(chuàng)新，其他領(lǐng)域的人用了完全不同于我們思維的方法取得了最好的效果，這個效果不是裁判打分出來的，是真實跑出來的。

第二個題目是反詐，反炸是面臨著我們和詐騙團伙之間各種各樣極其復雜的技術(shù)對抗的，其中一個就是對反詐領(lǐng)域里面各種各樣變體字的識別，用人工智能的技術(shù)來實現(xiàn)。我們這道題也是，前5名效果也是超出預期，這個領(lǐng)域的專家也都是極其佩服地說他們的想法，他們的做法超出原來的想象，開拓思路，非常厲害。

第三道題也是現(xiàn)實中的問題，在工廠，智慧化工廠，數(shù)字化工廠里邊有各種各樣的安全要求，但是你不可能全靠人在那看著，需要用視頻分析技術(shù)來看，在復雜場景的情況下，背景非常復雜，人也會動，你能不能夠識別這種違規(guī)行為，這也是現(xiàn)實中真實的題目，我們花了大量的時間來尋找真實的題目，為這些題目準備數(shù)據(jù)，準備場景。

1604支隊伍，來自全國各地，15支隊伍進入到?jīng)Q賽，最后得到的結(jié)果非常好，而且這里面非常有意思的是70%的參賽隊伍都不是計算機專業(yè)的，這也是證明了一個跨學科的，這是我們第一屆的比賽，我們信心十足，將來會持續(xù)做這個比賽，尋找更多真實的問題，建立更多真實的數(shù)據(jù)、場景、知識，把這個持續(xù)開放創(chuàng)新的平臺打造的更加深入，吸引全國，甚至是全球更多人參與，這就是適應數(shù)字時代安全領(lǐng)域里面的開放協(xié)同創(chuàng)新的一條路徑。

另一個案例是我們的護航計劃。從2020年第一季度開始籌備，到2021年的12月終于完成了第一次的比賽。我們今天用的開元軟件，應用于供應鏈里面，可能有各種各樣的問題，如果不被知道和研究，當攻擊者利用它的時候，你是沒有任何的還手之力的。我們國家在過去這兩年來，做了大量的信息技術(shù)創(chuàng)新的工作，有數(shù)千家廠商正在各種各樣的信息化的領(lǐng)域里面推出他們的產(chǎn)品，服務，這些產(chǎn)品，服務，安全性怎么樣？我們過去做的工作是不太多的，過去，我們的安全研究人員全都在瞄著全世界最領(lǐng)先的那些國際性企業(yè)的產(chǎn)品，去發(fā)現(xiàn)他們的安全問題，幫助這些產(chǎn)品和用戶修復這些安全問題。可是我們自己反而是重視度不夠。我們用兩年的時間將挑戰(zhàn)賽落地，吸引了全國88支非常專業(yè)的長期從事網(wǎng)絡安全的隊伍來參賽，選擇了19支進入到最后最后的審核校驗和確認過程中，我們?yōu)樗麄儨蕚淞耍I措了300萬獎金，因為你必須要把整個生態(tài)帶動起來，要讓大家愿意來做這件事情才行。

這次的效果還是很好的，大家參加都很踴躍。更好的是，我們國內(nèi)的信息技術(shù)創(chuàng)新的廠商開始逐漸認識到安全不是不讓別人碰才是安全的，更好的安全，更對用戶負責的安全是真正開放出來，讓大家?guī)椭约簛碚艺覇栴}，讓大家用開放的協(xié)同創(chuàng)新的方式幫助自己不斷地提升產(chǎn)品的安全性，所以這次嘗試非常可喜，20多家國內(nèi)的信息技術(shù)創(chuàng)新廠商提供了36款的產(chǎn)品，挑戰(zhàn)賽的結(jié)果是這些廠商非常開心，我們幫助他們找出很多問題，關(guān)鍵是這個生態(tài)會形成，會有更多的人幫助他們找問題，讓他們安全設(shè)計水平越來越高，這是介紹的數(shù)字安全的兩個協(xié)同開放創(chuàng)新的案例。

我今天的匯報就到這里，我們相信，我們未來是需要用安全來確保的，謝謝大家。

觀看論壇完整視頻，請登陸直播鏈接：

http://m.3229.net.cn/autozt/7c6fc2ec-cf66-509b-1227-0779bea73280/