观点

2020年是不平凡的一年，中国和全世界都在经历着史无前例的疫情，每个企业、每个人都面临着巨大的挑战。我想围绕今年的另一个重点话题——新型基础设施建设，从安全角度谈几点看法。

安全是“底座”

“新基建”这个概念，只用了不到半年时间就变成一个现象级的热词，从中央到各个城市，从政府官员到企业家，从互联网行业到传统行业、投资界，所有人都在热烈谈论“新基建”，包括上海、北京、天津在内的20多个地方都在出台“新基建”的规划。除了拉动短期投资，“新基建”的核心在于数字化。5G、大数据、人工智能、工业互联网等新一代信息技术的应用，将加速推动国家从信息化阶段走向数字化阶段。数字化在解构旧世界，同时也在建立新的数字孪生世界。所以，“新基建”的意义就好比上个世纪90年代的“信息高速公路”，它能够产生和带动的是未来几十年的产业变革、经济发展模式变革以及人们生活交往方式的变革。中央讲“在危机中育新机，于变局中开新局”，“新基建”就是这样的新机遇。

既然“新基建”背后是全面数字化，那么“新基建”的本质就是数字化基建。它既是物联网、5G、人工智能、区块链、云、大数据、边缘计算等数字技术的融合，又能带动方方面面的数字化。进入全面数字化，会产生三大特征，即软件定义世界、万物皆可互联、数据驱动一切。同样，数字化也将带来前所未有的安全风险和挑战，涉及工业生产、金融、能源、医疗，甚至国家和社会的治理。安全基础不牢，“新基建”和数字化就无法运转，甚至会崩塌，对未来产业发展、社会运转和老百姓的生活工作产生重大的影响。从这个意义上说，“新基建”是构建数字孪生世界大厦的“地基”，而安全是“底座”。

有人也许会质疑，网络安全虽然重要，但有你说得这么重要吗？这是因为“新基建”和数字化会引起环境变化，届时虚拟空间和物理空间打通，数据驱动所有的业务，同时安全面临的对手和攻击手法也在变化，会出现更高级别的对手、更复杂的攻击手法。网络安全已不仅仅是信息、网络、系统本身的安全，而是扩展至现实世界，关乎政治安全、国防安全、关键基础设施安全、工业生产安全、金融安全、社会安全甚至人身安全，也就是“大安全”。“新基建”面临的这种“大安全”挑战可以概括成“七个大”。

首先是“战场大”。漏洞无处不在，一切皆可攻击。数据驱动一切，意味着通过篡改数据、下达数据指令就可以控制一切业务、流程和设备，影响业务安全，产生物理伤害。好莱坞科幻电影中远程控制汽车造成交通拥堵、控制机器杀人的场景将不再是科幻，而可能成为真实场景。所以，未来网络攻击能够贯穿到各个场景，不分国家、企业和个人，所有的领域都将面临来自网络世界的攻击。

其次是“对手大”。玩家升级，网络攻击方从“白开心”“纯小偷”跃升至网络犯罪组织、网络恐怖主义和国家级黑客组织这样的“大玩家”，其组织化程度和技术实力之高相当于“正规军”。一般的被攻击目标没办法与之抗衡。

第三个是“目标大”。攻击意图更具野心，从伊朗核设施遭受“震网”病毒攻击，到希拉里邮件门事件，再到委内瑞拉电站遭网络攻击陷入崩溃，这些攻击事件主要瞄准企业重要资产、国家关键基础设施、重要政府部门，达到中断工业生产，瘫痪电力、交通、能源等关键基础设施，颠覆政权，甚至影响战局的目的。未来，数字基建必然成为“靶心”，一旦被攻击，影响巨大。

第四个是“布局大”。针对重要目标的攻击往往经过周密准备和复杂的策略，进行长期潜伏、持续渗透。典型代表就是APT攻击（高级可持续威胁攻击），相比传统网络攻击更加狡猾和沉默，攻击链条复杂、持续时间长、隐蔽性强。为了达到目的，在产品中预制后门，或者利用供应链发起攻击都已经是“常规操作”。所以，御敌人于国门之外已经很难做到，必须假设敌已在我，做最坏的打算。

第五个是“手法大”。从网络攻击的趋势看，攻击手法越来越高级化和多样化，暗战越来越多，传统的单点检测、碎片化越来越无能为力。除了后门，APT惯用的手法还包括0Day漏洞利用、定制化恶意代码，以及社会工程学等攻击手法。实践表明，人往往是最薄弱的环节，利用线上渗透和线下情报、间谍手段结合，物理隔离都可以被打穿。

第六个是“代价大”。据埃森哲估算，2019 年全球因网络攻击造成的经济损失约 2.5 万亿美元，是 2018 年的 1.6 倍，2025 年预计达到 5.2 万亿美元。Gartner 数据也显示，2019 年 66%的企业遭到黑客攻击，54%的企业至少被黑客攻击一次或多次。当外部威胁与内部脆弱性叠加共振，一次网络攻击即可造成重大损失。

第七个是“难度大”。数字化时代，攻防不对称急剧加大，攻防资源向供给方倾斜，要发现、阻断和溯源网络攻击都面临更大的难度，所以会出现“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面。

在各国激烈角逐制网权的网络空间新变局下，来自大对手针对“新基建”发起的大布局、大烈度、防护难度大的网络攻击，让传统安全防护体系似乎都成了“摆设”。

360同步打造“安全基建”

过去一年，针对关键基础设施的攻击此起彼伏。2019年3月，铝业巨头Norsk Hydro全球IT网络遭恶意攻击，自动化生产线无奈关闭；6月，伊朗石油、金融乃至军事导弹发射控制系统，遭不明来源网络攻击，多次陷入瘫痪状态；7月，委内瑞拉水电站遭网络攻击，首都及10余州水电网崩溃，全境陷入至暗时刻；10月，印度最大库丹库拉姆核电站计算机网络遭受外来攻击，危及印度南部供电；12月，美国航空公司RavnAir计算机网络遭受恶意攻击，航班取消、系统被迫停摆。

在“新基建”浪潮之下，针对关键基础设施的网络攻击必然只增不减，过去“头疼医头、脚疼医脚”式传统安全体系局限性进一步凸显。概括起来，传统安全体系的问题是“七个缺”：缺能力导向的正确意识、缺体系化的顶层设计、缺有效运营、缺能力积累、缺全局情报、缺一体化作战的协同联防、缺实战检验。

七“缺”之下，亟需补位。应对未来网络安全问题，需放弃碎片化或单点防御的思路，构建持续进化的安全能力体系。基于此，360在十多年的网络攻防对抗中，不断抽象、沉淀出一套面向“新基建”的“6个1”网络安全框架体系。我们把它称为“面向未来的网络安全框架体系”。

360之所以能提出这个安全框架体系是基于两点。一方面是因为360拥有真实的高级别网络对抗攻防经验和先进技术，360是国内唯一一家长期与国家级黑客组织交手，并捕获40多个境外APT组织的网络安全企业；另一方面是因为360拥有世界级规模和时间长度的安全原始数据资源，也是国内唯一做过国家级超大流量、海量数据、全景攻防知识沉淀的企业。

这套新的网络安全框架体系中的第一个“1”是一套网络安全互联标准。新的框架体系不是要推翻传统的安全体系，而是升级传统的安全体系，首先要建立一套安全互联标准，包括安全知识库标准、威胁情报标准、实网靶场标准等等，解决目前各安全节点间互不相通的问题，起到“润滑油”效果。

第二个“1”是规划一套安全基础设施，整合现有安全节点的能力，构造出一系列的从应对威胁视角出发的能力中心，包括漏洞管理中心、情报运营中心、安全运营中心、实战评测中心等等，作为安全体系的能力载体。

第三个“1”是一个作为体系中枢的“安全大脑”，其核心组成是安全大数据中台+全视检测分析引擎+全景安全知识库。它的作用相当于网络空间的预警机和反导系统，能够为安全基础设施进行情报、知识、漏洞、专家赋能。

第四个“1”是一套安全运营战法，指导网络安全整体规划，以及网络安全风险识别、防御、响应、恢复、预测的全生命周期。

第五个“1”是一套安全专家团队。网络安全的本质是对抗，对抗的根本在人。通过安全专家团队为客户提供咨询规划、建设运营、应急响应、实网攻防、持续评估、教育培训等专业定制服务，形成安全生产力。

第六个“1”是一套实战检验机制。网络安全讲百遍不如打一遍，实战才是检验安全能力的唯一标准，利用实战攻防积累经验教训，持续迭代能力。

利用这套“6个1”的安全框架体系，同步规划、建设“新基建”的安全基建，就能够为“新基建”打造一个应对大安全挑战的安全底座，为“新基建”保驾护航。未来，360将继续深耕安全运营和安全能力服务，成为各个城市、政府和企业的安全合作伙伴，为大家守护安全。

（周鸿祎 360公司董事长）