齊向東,奇安信集團董事長。長期從事網路安全領域的研究,他創建並領導的奇安信集團是中國網路安全領軍企業,是2022年冬奧會和冬殘奧會網路安全服務與殺毒軟體的官方贊助商。2020年7月,奇安信成功登陸科創板。齊向東帶領團隊率先提出並成功實踐“數據驅動安全”“44333”“內生安全”等先進的安全理念,推出了“天狗”第三代安全引擎,零信任、天眼等創新安全産品,並多次擔任兩會、一帶一路峰會、上海進博會等國家重大活動的網路安全保障任務,為維護國家網路安全獻力。


燦陽金秋,大美烏鎮。2021年世界網際網路大會如約而至,網路安全和資訊化專業人士再次聚首,深入交流。

奇安信集團董事長齊向東對話中國網路空間安全協會,縱談網路空間安全發展趨勢、中國路徑、行業創新和人才培養等。


網路安全是國家安全的底板工程

齊向東:當前世界正經歷“百年未有之大變局”,新一輪科技革命和産業革命的浪潮席捲而來,人類社會正在全面數字化。網路安全已經成為了人民群眾安居樂業、數字經濟健康發展和國家社會穩定運作的必要保障。比如,酒店、社交媒體、電商平臺因為網路不安全,曝光了用戶的出行、入住、聊天記錄、消費、貸款等資訊,不僅可能帶來財産損失,甚至連基本的尊嚴都無法得到保障;企業機構因為網路不安全被攻擊,輕則帶來經濟損失,重則遭遇停業整頓;水廠、電廠、軌道交通等關鍵資訊基礎設施被攻擊,將直接造成斷水、斷電、斷交通,對社會穩定、國家安全造成嚴重威脅。所以,我們的政府明確,沒有網路安全,就沒有國家安全。


中國網路安全飛躍式發展

齊向東:最近幾年,在政策和需求的雙重驅動下,我國網路安全取得了飛躍式發展。

從頂層設計上看,網路安全領域的法律法規不斷完善。據統計,近五年來國家、地方省市和各行業監管部門關於數據安全、網路安全已經至少頒布了50部相關法律法規。尤其是今年《關鍵資訊基礎設施安全保護條例》《數據安全法》《個人資訊保護法》等一系列法律法規的出臺,充分體現出了國家對網路安全領域的高度重視和立法進程的不斷加快。

從産業規模上看,我國網安産業的增速持續領跑全球。隨著數字化全面鋪開,網路安全需求快速增長,推動我國網安産業規模不斷擴大。公開數據顯示,2020年我國網路安全産業規模超過1700億元,比2015年翻了一番。IDC預測,2021年全球網路安全相關硬體、軟體、服務投資將同比增長8.7%,而中國2020-2024年預測期內的年複合年均增長率為16.8%,增速繼續領跑全球網路安全市場。

從安全能力上看,網路安全防護正向實戰化、體系化、常態化發展。現在,網路安全從過去的“小打小鬧”轉變為國家大事。面對專業化、針對性強的駭客組織和頻發的網路攻擊,網路安全從過去的“合規驅動”走向“能力驅動”。以我國的網路安全實戰攻防演習為例,近五年演習的頻率、規模、持續時間都在不斷加強。安全防護思路逐漸從事後補救的被動防禦,轉變為“事前防控”的主動防禦。

過去五年,我國網路安全領域已經有了長足進步,面向未來還有很長的路要走。繼續提高全社會網路安全意識,擴大網路安全投入,加快關鍵核心技術攻關,還將是是未來我國網路安全領域的重要課題。

三方面推動中國網路安全産業做大做強

齊向東:中國信通院的數據顯示,2020年中國數字經濟規模達到39.2萬億元,佔GDP比重為38.6%。相對於巨大的數字經濟規模,網路安全所佔的比重還非常低。要將整個産業做大做強,可以從以下三個方面推進提升。

第一,宏觀方面,需抓住政策“東風”和發展機遇,實現跨越式發展。網路安全行業是國家重點發展的戰略産業,政策的大力支援為行業的發展創造了良好的政策環境和發展機遇。今年以來,網路安全行業迎來頂層規劃及法律法規的密集發佈,標誌著網安産業新一輪景氣週期正加速而至,網安企業需要結合自身的優勢,抓住政策驅動下政企客戶網路安全需求增長的機遇,推動産業做大做強。

第二,産業升級方面,行業亟需改變“小零同”狀態,構建新理念、新框架和新體系。儘管政策密集出臺,給行業帶來了巨大利好和機遇,但網路安全企業賺錢難、發展慢的狀況尚沒有得到根本改善。網路安全亟待改變過去的“小零同”(小規模、零散化、同質化)的行業發展模式,構建新理念、新框架和新體系已是産業變革的必然之路。奇安信于去年3月對外發佈了“內生安全框架”,它改變了網路安全點狀防護的劣勢,解決未來十年到二十年的網路安全體系問題。目前該框架已納入到上百家央企及重要行業客戶的“十四五”網路安全規劃中,獲得了良好反饋。

第三,實施方面,需要通過網路安全“三部曲”,解決數字時代的複雜安全問題。如今,數據成為核心生産要素,數據安全讓網路安全從“簡單”走向“複雜”。傳統IT時代,由於場景固定,可通過圍墻式防護在專網邊界安裝簡單安全産品;數字時代,數據有生産、使用和交易問題,系統成了大數據架構的複雜系統,無法靠安裝簡單的安全産品或者某種“銀彈”防住一切網路攻擊。對此,奇安信提出了政企機構實施網路安全的“三部曲”:理念、方法、動態掌控,內生安全提出了將安全能力內置到資訊化環境中的先進理念;“內生安全框架”,用系統工程的方法建成面向數字時代的一體化安全體系;再通過經營安全做到對網路安全的動態掌控。

智慧網聯場景下的網路安全要直面挑戰

齊向東:智慧網聯場景下的網路安全是整體的、動態的、開放的、相對的、共同的。智慧網聯的核心資産是數據,體量大、價值高。保護數據資産成為網路安全的難點問題,主要面臨三個挑戰。

第一、防外部威脅的挑戰。數字時代,現實世界和網路世界的邊界被打破,攻擊手段層出不窮。勒索攻擊成為流行病,APT(高級持續性網路攻擊)愈演愈烈,供應鏈攻擊成常見短板等,都給數據資産帶來了巨大威脅。數據顯示,2020年全球數據洩露的數量已經超過了過去15年的總和。僅最近幾個月,就發生了多起重大數據洩露事件,比如石油巨頭沙特阿美數據遭竊取、美國管道公司LineStar 70G數據被洩露等等。

第二、防“內鬼”的挑戰。數字時代,數據資産劇增,能夠接觸到關鍵數據的用戶量也越來越大。內部人員作為網路安全最大的變數,容易被收買、被利用,成為駭客突破內部安全防線的跳板。數據顯示,超過85%的網路安全威脅來自於內部,供應鏈、外包商、員工等都可能成為“內鬼”,導致數據洩露。

第三、告警和處置的挑戰。及時告警和處置,能讓網路攻擊無法産生實質性破壞,但對人員、技術的要求非常高,很少有企業投入巨大資源進行持續建設。目前,企業普遍缺乏告警和處置措施,系統一旦被攻破,只能任由攻擊者為所欲為。比如,去年5月泰國最大移動運營商由於缺乏告警處置機制,發生了長達三星期的數據洩露,洩露的數據總量高達83億條。

網路安全和資訊化就像一枚硬幣的兩面

齊向東:網路安全和資訊化就像一枚硬幣的兩面,兩者相輔相成,缺一不可。我們要在資訊化系統中深度融合網路安全,與資訊化建設相互促進,形成正迴圈,推動網路安全與資訊化同步發展、共同壯大。

一方面,網路安全是資訊化發展的前提。網路安全做好了,資訊化發展才能走上正軌。資訊化建設一旦遭遇網路安全威脅,就會帶來嚴重後果,直接關係到國家安全、社會穩定和公眾利益。所以,資訊化要想健康持續發展,首先應該夯實網路安全這一底板工程。《中華人民共和國數據安全法》、《關鍵資訊基礎設施安全保護條例》、《網路産品安全漏洞管理規定》等法律法規,全面了構築中國網路安全領域的法律框架,細化了網路安全管理規定,完善了網路安全治理措施,將助力我國網路安全産業進一步發展壯大。

另一方面,資訊化給網路安全帶來新的增長點。資訊化發展起來了,網路安全才會有更多用武之地。隨著資訊化與各行業的融合逐漸緊密,以及新的細分場景不斷涌現,網路安全需求只會增加,新賽道上還有很多切入市場的機會。今年7月,工信部提出,到了2023年,電信等重點行業的網路安全投入佔資訊化投入比例達10%。這是一個積極的信號,只要資訊化建設在進行,網路安全就不會停滯,資訊化建設的不斷深入將為網路安全打開更廣闊的上升空間。

共同努力做好老百姓個人資訊保護

齊向東:個人資訊保護是政府非常重視的事情,也是老百姓非常關注的事情。需要監管部門、企業、安全廠商和用戶的共同努力。

監管方面,需要進一步加大監管和懲罰力度。《網路安全法》《數據安全法》《個人資訊保護法》等多部法律劃出了個人資訊保護的“紅線”,在數據採集、儲存、流動等關鍵環節進行防護。目前,相關部門已經具備強大的監管能力,2019年以來國家主管部門多次通報或下架違規App,涉及4000餘款App。未來,還需要進一步從源頭加大對用戶數據洩露的打擊力度和懲罰力度。

企業方面,要建立有效的防護機制,積極發現問題、整改問題。一方面,企業機構要建立應對網路攻擊的網路安全體系,實現對威脅的動態掌控和處置;另一方面,要借助技術工具積極搜尋出問題,同時借助法律、業務、技術等專業力量,請有豐富經驗的第三方安全公司提供整改指導。

安全廠商方面,應該積極打造創新安全産品和服務。比如,隱私計算是破解數據利用和數據安全這對矛盾的重要途徑。奇安信基於方濱興院士提出的“數據不動程式動,數據可用不可見”的技術理念,在國內率先推出了“數據交易沙箱”,確保數據所有權和使用權分離,實現數據價值的流動與共用。

用戶方面,需要提升個人資訊安全保護意識。比如不點擊來路不明的連結,不使用公共場所開放式的WIFI網路,不要在多個網站使用同一套賬號密碼,避免個人資訊和數據被濫用,加強自我防範。

企業的網路安全責任發生兩個顯著變化

齊向東:數字時代,企業在網路安全方面承擔的責任,發生了兩個顯著變化。

第一個變化,企業經營者的安全責任,從以前的有限責任變成了無限責任。傳統經濟中,交易是“銀貨兩訖”,交易結束後,企業經營者的責任基本也就結束了。但數字時代,幾乎所有的交易都數字化了,一系列新技術、新應用、新場景和具體業務、具體用戶結合在一起,共同構成了一個複雜系統。在這個複雜系統裏,流動著複雜數據,發生著複雜交易。交易結束了,企業經營者的安全責任才進入新的階段。

舉個例子,以前,我們打車招手即停,到了目的地,交易就結束了;現在,我們用手機打車,産生了很多數據,即使出行結束了,用車平臺仍然需要對我們的隱私、資金等各種數據的安全持續負責。

可以説,只要用戶的數據還存在,企業的責任就不會終結。保護每一個複雜交易的數據安全,成為了貫穿企業經營的生命線,是企業經營者的無限責任。

第二個變化,企業在網路安全方面承擔的責任,上升到了法律層面。最近,一位辦企業的朋友向我諮詢,員工違規違法導致數據丟失,企業要承擔責任嗎?我回答他:“數據洩露違法的鍋,法人甩不掉。”企業法人的責任大小看兩方面:一是後果,如果危害了國家安全,責任就大了;二是看過程,如果企業沒有按要求建設必要的網路安全系統,責任也就大了。這和傳統的煤礦爆炸是一樣的道理,如果礦場沒有安全措施、制度和流程,那麼礦主一定要承擔主要責任。

今年密集出臺的法律法規,都在不同層面明確了企業需要承擔的網路安全責任。以《數據安全法》為例,它作為數據領域的“上位法”,確定了數據流轉過程中組織、個人的安全責任和義務,明確了監管要求。而《關鍵資訊基礎設施安全保護條例》也明確了運營者職責,要求他們“在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,防範網路攻擊和違法犯罪活動,保障關鍵資訊基礎設施安全穩定運作,維護數據的完整性、保密性和可用性。”

同時,這些法律法規明確了處罰措施。《關鍵資訊基礎設施安全保護條例》對觸犯相關情形,拒不改正或者導致危害網路安全等後果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。

奇安信三種人才培養方式

齊向東:網路安全企業最貼近客戶需求,最貼近一線場景,因此在人才培養方面,具有得天獨厚的優勢,也有著義不容辭的責任。目前奇安信探索出綿陽模式、補天模式和競賽模式三種人才培養方式。

第一,綿陽模式。2018年3月,奇安信集團網路安全人才培養綿陽基地正式成立。該基地大概每年能培養1000個人,面向應屆畢業的校招生,進入綿陽基地然後全脫産培訓,採用軍事化管理,培訓三個月之後,考試合格則出爐,出爐之後進入實訓階段,通過一對一的專業工程師帶領到客戶現場一線實訓,最終篩選出合格的運營服務工程師。目前,綿陽模式培養出的網路安全運營服務工程師已經服務於政府、教育、金融、能源等各個行業,為中國網路安全事業貢獻力量。

第二,補天模式。補天漏洞響應平臺從成立以來,一直致力於推動國內白帽人才的發展和壯大。2018年,補天漏洞平臺“白帽子”數量是4萬人,僅僅三年,2021年增長到8.7萬人,另外“白帽子”人數增速也在不斷提升。未來這些“白帽子”,已經有了成為正式職業的可能。

第三,競賽模式。隨著網路安全威脅形勢的日益加劇,人才在攻防兩端起到的作用愈發明顯。為了解決國內政企機構對網路安全人才的渴望,拉動國內網路安全人才的培養,奇安信集團聯合清華大學共同舉辦了國內第一個大數據安全分析比賽DataCon,它是一次以大數據安全分析為核心的網路安全競賽。這種競賽模式,可以培養和發現企業所需要的防範和大數據分析檢測能力,漏洞挖掘和利用類的優秀人才。