专访奇安信总裁吴云坤:信息化和安全一体两翼,以内生安全框架构建安全体系
来源:观察者网
2021-07-13 08:23
从本世纪初开始萌芽并成熟的消费互联网,到当前发力转型的万物互联产业互联网,科学技术和硬件的发展给生产生活带来极大便利,基于大数据研究开发而形成的生活应用类软件也呈现出爆发式增长的态势。这其中,数据安全成为绕不开的话题。
在日前召开的2021年人工智能大会上,观察者网专访了奇安信总裁吴云坤。入行超20年,吴云坤几乎完整经历了中国网络安全发展历程,在他看来,网络空间是未来个人、企业、社会和国家赖以生存的第五空间,影响着整个国家的安全体系。
面对层出不穷的网络安全挑战,吴云坤指出,要将信息化和安全进行绑定,搭建以内生安全框架为指导的体系化建设模式。其次要推动安全左移,从根源保护应用系统。
未来,随着中国政治和经济实力不断增强,网络安全将愈发重要。吴云坤表示,希望中国能诞生顶尖网络安全公司,联合起来为国家安全保驾护航。
奇安信成立于2014年,专注于网络空间安全市场,向政府、企业用户提供企业级网络安全产品和服务,在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。2020年7月,奇安信登陆科创板,按To B业务营收计算,奇安信规模位居国内第一。
【采访/观察者网 庄怡】
观察者网:从本科开始,计算机技术和网络安全就贯穿了您学习和工作的绝大部分时间,您也经历了中国互联网从起步到现在百花齐放的局面,能否请您聊一下中国网络安全的发展阶段?
吴云坤:1996-2005年是第一阶段,当时中国互联网刚起步,网络安全规模很小,相关法律和信息化系统没有建立,2002年还出现了互联网泡沫。当中我们对标美国做一些事情,所以这10年是自发阶段。
第二个阶段是2006-2015年。当时信息化和法律也不完善,但因为可牟利的地方少,所以攻击也少,更多是黑客的技术秀。
这和中国互联网发展也有较大关联,在To C过程中,标志性的像支付宝、微信这样蕴含金融元素的应用开始诞生,诈骗和类似“鸽子”病毒也开始出现。(观察者网注:2008年,网络上出现“灰鸽子”、“鸽子下载器”“鸽子图片”等病毒,诱导用户点击和下载,这类病毒拥有键盘记录功能,窃取商业机密和个人隐私,此外这一病毒针对企业、网吧等局域网用户具有攻击功能)所以这中间10年,攻击、信息化发展都开始出现。同时,2005年还出台了等级保护政策。(观察者网注:2005年国家信息化领导小组印发了《国家信息安全战略报告》(国信【2005】2号)确定今后一段时期国家信息安全的战略布局和长远规划。发布了《关于开展信息系统安全等级保护基础调查工作的通知》)
所以总体来看这三条线,信息化是主线,左边是攻击线,右边是法律线,主线往前发展的同时,两边的线也开始发展。
这其中攻击线最敏感,例如用户都使用支付宝,像诈骗就开始出现,接着法律打击诈骗,这三条主线始终是贯穿的。
第三阶段出现在2015年之后,根据十三五规划,基本到2025年。从主线上看,数字经济开始出现,十三五规划后还出现了互联网+政府,这时候就从B To C转变为B To B、B To G的信息化发展,像工业勒索病毒、以商业秘密甚至国家秘密为核心的签名泄密等等攻击也出现了。
从法律线上看,2014年中央网信办成立,当年通过《反间谍法》;2016年开展护网演习,当年通过《网络安全法》并在2017年6月1日开始实行;到现在的《数据安全法》,正在制订中的《个人信息保护法》等等,法律开始完善。
另一方面,这三个阶段在市场上的增长速度有非常典型的变化。2005年之前几乎没有增长,百亿规模都不到;2005-2015年之间有百分之几到十几的增长;2015年之后,增长速度超过20%。对应到全球其实也经过这个过程。
观察者网:网络安全很长一段时间被认为在坐冷板凳,您刚才也说它一开始规模非常小,您入行的那段时间是怎么坚持的?
吴云坤:刚开始做网络安全的人有三种类型,第一种做黑产,第二种去网络安全公司干白道,还有一种是被抓进去了。这三波人最初都是技术爱好者。
2005年之后,政策法规开始完善,有信息化体系、有攻防、有商业了,所以这个阶段就不是以简单的技术爱好为主,有商业驱动。
2015年之后To B和To G开始遭到攻击,甚至上升到国与国对抗,这一阶段的坚持就是国家情怀。这关系到信息基础设施,一旦瘫痪将影响整个国家数据安全,所以不是单纯从赚钱角度来考虑问题。
观察者网:在您看来网络安全和国家安全的关系是什么?你刚才也提到了一点,能否再展开讲一下。
吴云坤:一般来说我们把网络安全分为4个层面,国家安全、社会安全、企业安全、个人安全。
最早的时候是消费互联网,所以个人安全先行发展。
其次当企业开始大量采用信息化的技术做数字化改造,企业安全也开始发展。
由于个人安全和企业安全映射到社会上,社会安全也开始发展起来。比如说徐玉玉事件(观察者网注:2016年,山东女孩徐玉玉被诈骗电话骗光学费后死亡一事引发社会广泛关注)、最近的美国燃油管道被加密事件等等。
最后是国家安全,国家安全是国与国的网络对抗战。信息化支撑着个人、企业、社会和国家,如果信息化被破坏,这些都不能生存。
概括来说,网络空间是未来个人、企业、社会和国家赖以生存的第五空间。如果第五空间安全出现问题,会影响到整个国家的安全体系。
观察者网 :您之前在接受采访时提到过现在网络安全要迫切解决供应链问题、发展非对称技术、要发展各个领域不同的特色,那么对于奇安信来讲,目前主要的着力点是什么?
(观察者网注:此前吴云坤在接受采访时表示,高校科研是网络安全行业高水平技术发展的引擎,要满足现实需求,解决紧迫问题,同时发展特色:
第一,解决供应链安全问题。比如我国网络安全迫切需求是解决供应链安全问题,信息系统中的很多基础、核心技术和部件都来自于国外。去年底爆发的Solarwinds供应链攻击事件表明,供应链安全已经迫在眉睫,尤其是在今天科技自立自强的大背景下。
第二,发展非对称技术。网络安全的本质是对抗,是技术和能力的对抗。我国的网络安全技术虽然发展速度快,但整体技术能力与发达国家还有差距,这就需要在攻防对抗过程中,发展一些非对称技术。量子计算等新兴技术如何与网络安全技术结合,发展出提升整体能力和水平的非对称技术将是一个长远的科研目标。
第三,发展特色。网络安全是前瞻性领域,随着IOT等新技术在不同领域的应用,需要发展一些不同行业场景的特色安全技术。)
吴云坤 :这要回到2015-2020年之间的十三五规划来讲,2018年这个时间点叫十三五中期调整,过程中我们发现,To B和To G做信息化改造,需要从头规划。例如老房子修修补补并不能保证安全,除非把房子推倒重来,其中可以重新设计地基、钢筋水泥、安保等等,成本会比较高。
但关键一旦出现问题,与成本无关,与代价有关。如果说经济利益吸引黑客攻击,你就必须花钱来进行对抗。所以有一句话很经典,数字化发展、任何发展都有代价。
发展的代价是什么?举例来说,发展工业企业的代价是工业污染,发展商业的代价是垄断,那么数字化的发展代价就是网络安全问题。
在构建基础体系过程中我们发现,第一点就是客户缺少完整的规划。如果建一栋房子是客户的信息化,他对门禁、防盗门、监控、房间设计都不了解,他缺咨询者,而这些措施都不是单款产品,它是一个防御体系。所以那时候我们推崇的不是卖一款产品,而是帮助客户做规划。
很多企业不愿意做这一块,投入大、利润小、对人才要求高,但这对中国是非常重要的事情。
第二,在房屋建设完成后,家电都会用了吗?简单的产品可以使用,复杂的就需要有人运行,这其中运行的事很多人也不愿意干,运行过程中网络安全产品和信息化融合以后的工作也没人干,所以我们在第二阶段,把这个事情做起来了。
第三,规划有开头结尾,中间需要有建设。比如说建一栋大楼有1000种材料,有的供应商说什么都能干,其实不是,要做自己专长的事。你看砖头公司已经干了20年,我们如果再干,那不就是把砖头的价格再压低一点吗?后来我们发现新型材料没人干,我们就去干这个。
所谓新材料就是创新赛道的产品。去年7月,奇安信在科创板上市,新赛道产品占主营收入60%以上,而产品增速达到60~80%。我们做自己擅长的事情,其他都让别人去做,我们可以投资,甚至可以去做生态。
所以我们做的三件事第一是把规划做好,第二把运行做好,第三,做擅长的事情,尤其是新信息化设施相关的安全产品,这是我们整体的一个思路。
观察者网:您刚才提到奇安信是在做一个大框架的事情,这个框架是不是就是内生安全框架?(观察者网注:奇安信提出的内生安全理念,是指将网络安全能力与信息化环境融合内生,而不再是外挂和局部的,从而在数字化环境的内部,获得无处不在的“免疫力”。)
吴云坤 :内生安全框架其实是一个思想方法论,帮助形成规划。
5G时代数字城市内生安全系统概念
观察者网:目前这个方法论推广情况是怎样的?
吴云坤:真正做规划的主要是在政府部委和央企。截止今年4月,我们和超过100多家央企合作,除了安全规划,都涉及到5年左右的十四五规划。
这里有几个非常重要的点,涉及到数字城市、央企和政府核心部位。
第一,城市做数字城市规划,那么信息化该怎么发展、安全怎么发展?
第二个,央企数字化转型是个大的方向,信息化和安全又该怎么做?
第三点其实是来自于一些部委政府,它要求一网通办,不能让老百姓跑腿。所以在部委层级上是需要解决治理能力,还有政府的办事效率。
观察者网:最近像滴滴、满帮集团、boss直聘都受到网络安全审查,像这种互联网企业的一个出境数据安全,您怎么考虑?对他们有没有一些建议?
吴云坤:目前在数据安全上有两大内容,一个是个人隐私保护,《数据安全法》在今年9月1号正式施行,然后还有三个比较重要的像《网络安全法》《国家安全法》和《网络安全审查制度》,所以这时候是构成一个比较完备的体系,从法律上要求所有的运营主体,不仅仅是互联网公司,也包括政府等等。
那中国现在碰到的问题是因为在互联网野蛮成长期,面临无法可依的状态,所以企业们都尽量收集信息然后做数据训练。
我觉得目前碰到的问题是必然产生的,如果在这个过程中,随着企业的无序扩张,最后导致公民个人隐私信息以及涉及到政府的数据泄露,就比较麻烦。
例如这时候像国家安全数据、企业内部数据、社会数据、个人隐私数据,可能分布在不同的运营主体,可能是来自于像滴滴这样的企业,也可能是来自于人社部,也可能来自于一个运营商,如果没有法律规范限制的话,主体责任都不清楚,而对标美国和欧洲其实在这方面是非常重要的。
更重要的是这四部分数据如果跨境流动的话,就引起国家安全问题了,在国内保护的可能是个人、企业和社会数据,但是出境就涉及到国家安全,涉及到国与国对抗,这里面有很多比较复杂的像情报、网络战,还有包括这里面的窃密,这些数据基础其实都是跟国民数据相关的。
所以跨境流动是其中非常重要的一个治理方向,但核心点不仅仅是为了治理跨境流动,就算不跨境也要治理,它是必然趋势。
观察者网:对于已经在海外上市的企业,他们应该怎么做?在美国上市需要披露非常多的核心数据。
吴云坤:每个国家的法律都非常重要,但是首先如果经营主体在中国,你要遵守中国法律。其次这些数据实际上是中国人的数据,所以这是我觉得这是第一要求。
第二如果说由于法律影响上市,像我们很多客户是和敏感、涉密相关的,就需要重新规划上市路径,企业一开始就得想清楚这件事情。
比如美国对我们芯片进行制裁,你到那时候该砍就得砍,该断就得断,否则就是触犯法律。
所以我觉得在法律面前经济利益是第二位的,法律是第一位的,我认为这些企业必须重新规划上市路径,或者找到一个双方都认可的、法律都能遵从的点才行。
观察者网:这次大会的主题是人工智能,能不能请您介绍一下人工智能技术在网络安全中的发展情况,现在处于哪个阶段了,那么下一个阶段可能会重点突破哪些方面?
吴云坤:现在人工智能分三个方面,第一人工智能是否能帮助安全,第二人工智能如何去保护人工智能安全,第三个方面,黑客会用人工智能的技术来对抗网络安全,该如何反击。
第一个,人工智能是否能帮助安全。其实人工智能和安全结合得很早,在10年前就已经在做了,应用在安全检测、防御体系、病毒训练上,所以我觉得这完全不是个新话题。
我觉得人工智能是一个单体技术,比如人工智能机器人,机器人才是商业主体,人工智能不是,比如杀毒用到了人工智能技术,但是杀毒软件才是市场销售主体,现在我看到很多公司把人工智能单独提出来,在这件事上不能过度夸大,人工智能其实能干的事不多,但是它确实能极大地提高效率。
第二个是如何保护人工智能,保护人工智能的核心点是保护数据和应用。因为人工智能根本上是算法加数据,所以这时候保护人工智能的核心点并不是保护人工智能,而是数据应用算法的一个组合,所以这时候要回归到一个点,怎么保护数据、怎么保护应用。
所以在这个过程当中,我们需要解决的一些问题其实是安全思想的转变。
安全内容框架是一个基本点,第二个我们经常提一个词叫安全左移,所谓左移,系统上线以后的安全是右边,左边是系统开发设计部署之前,安全左移就是关注一个应用一个数据它怎么产生的,一旦左边部分被污染后面都被污染了。
例如应用开发的时候,人家故意塞个东西进去,你上线以后就都进去了。你相信这个地方不会出问题,可是实际应用上线了,如果塞进去一个东西,它就伴随系统一生。
所以这里核心问题是转化为保护应用数据算法的安全,而不是说简单的说保护人工智能,所以我们要看问题的底层逻辑。
最后一个问题比较特殊,黑客也会用人工智能技术来对抗。比如说诈骗,对方用人工智能技术来识别你的人,然后跟你对话,再比如人工智能的一些算法不够强健的话,可能在开车的时候黑客干扰你,让你撞车。
所以这时候回到一个单点技术问题,你怎么对抗人工智能?可能某一部分人工智能被坏人利用或者某种算法被人攻破了,这是一个非常小的技术点,但这个技术点有难度,就每个点是有场景化的。
我们不能一概而论怎么解决人工智能安全问题,比如怎么解决自动驾驶和解决人脸识别?怎么解决语音诈骗?每个点上都有很多创新,它不能一概而论,我们有时候会用人工智能方法对抗人工智能,也有可能是非人工智能方法来对抗人工智能。
所以其实还是在于场景的识别,现在我们最怕人工智能和5G一样,不分场景就提出来。比如5G的安全,5G应用场景有很多,比如工厂的5G、小区里面给老百姓用的5G和车上用的5G怎么防护差别非常大,所以还是得关心场景。
观察者网:您刚才说现在提人工智能这个现象特别多,是不是比较浮躁的一个状态?
吴云坤:我换一个词比较柔和一点,鸡尾酒大家都喝过,顶层看起来很漂亮,但底下没什么东西。其实目前来看整个网络安全行业,甚至说整个IT行业都处于鸡尾酒顶层,上面最漂亮的像人工智能,但很多底层技术实际上非常重要。可大家不这么看也不这么提,为什么?因为美国的信息化发展了很多年,它底层技术包括网络安全已经建筑好了,顶层是它最新发现的、技术可能没解决的,所以在全球推Gartner十大技术趋势,这些都是极为顶层的东西,吸引了全球目光,所以说起来全是热词,热词是什么?是飘在上面的。
中国做安全如果不从底层回头看问题,不做好技术研究,就解决不了人工智能安全问题。所以我们反过来回头看,我举个简单例子,如果数据中心保护不好,何谈人工智能安全?整个数据中心都垮掉了。
数据中心安全是一个底层技术,这里面涉及到很多传统的技术,例如漏洞补丁资产配置等等,所以你刚才讲的浮躁这个词我还是挺认同的。
鸡尾酒现象的产生是因为中国信息化和美国之间有很多年的差距,这就是根源性的问题,再加上商人喜欢追求热点,最后就变成了大家都趋向于热词。
我们公司比较特殊,我们一直在谈回归底层逻辑,像内生安全框架的底层逻辑等。网络安全是一个横向产业,比如芯片操作系统叫垂直,可是网络安全不是从芯片到操作系统、到内存、到上面的底层应用数据,网络端云每个都有安全问题。这就是所谓的木桶理论,因为任何一个地方出了漏洞,可能导致全盘受影响,所以网络安全不得不全面都做好。
我们当时用8个字来形容我们的网络安全规划效果,叫全面覆盖、深度融合。全面覆盖就全面覆盖信息化的每个层面,深度融合就是要跟信息化每个层面的每一个点做融合,这样才能实现比较好的安全。
观察者网:这次大会上,像京东的数据研究院说要做可信AI、超级深度学习和量子机器学习,您怎么看这些企业的动作?
吴云坤:首先,深度学习用在安全上已经很多年了,我们在10年前做病毒样本训练的时候就在用深度学习,它在处理大数据量上比较有优势。我举个例子,每天产生网址链接1000多万,IBM样本好几百万,这其中筛选出病毒非常困难。现在我手头有100亿的样本,能不能通过深度学习来学习它的特征,然后发现这1000多万、几百万样本有没有问题,这是一个典型的数据处理。
为什么京东还有很多互联网公司在做这件事情,也是因为大量的数据产生以后,人工处理太麻烦,所以用深度学习的方法来把过去的经验用于未来的经验学习。
至于量子分为量子通信和量子计算,这两个不同。量子通信目前还没有商用,不评价了。量子计算一定是对网络安全最根本的一个颠覆和改造,量子计算一旦商用,密码体系就全部破解了,因为现在所有的密码体系在量子计算机面前一秒钟全算出来了,所以这是一个前沿领域,是一个早期要做研究的地方。
观察者网:最后能否请您畅想一下网络安全的未来?
吴云坤:中国的网络安全其实跟中国信息化非常相关,我有几个关键词。未来网络安全要占到信息化投资的10%~20%,我觉得这是第一个定论,是非常重要的。
第二,信息化和安全是双轮驱动,一体两翼。在中国GDP成为全球第一的时候,信息化产业、数字化产业一定占大头,我们希望网络安全能够保障我们的经济数据,这就意味着中国一定要有顶尖的网络安全公司,至少是站在全球的前两名,甚至第一名。
第三,随着中国在政治体制、经济方面出现各类成果,随着2025年、2035年这样一些重大目标的实现,势必引起全球关注,这里也不乏很多利用网络战,包括进行窃密来破坏这个成果,所以我们希望能够保障我们国家自身的网络空间安全。
在这个大的领域当中,我们希望中国出现很多在各个小领域顶尖的安全公司,大家联合起来把影响做大。
本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。