首页 推荐 视频贝果经济公司金融专栏智库人文活动图说
5G需要周鸿祎 |两会专访
2020-05-23 12:02 作者:裴昱 来源:中国经营网

所以,我们以这个方式做了尝试,已经比较成功。过去5年里,我们帮助国家发现了40个来自其他国家的网络攻击组织。甚至就在今年春节期间,我们发现了来自一些国家和地区的网络攻击,攻击的对象是我们的医疗体系、外事部门。我们还曾用几年的时间,发现了一个国家的情报机构,对我国进行了长达11年的网络渗透,而且我们还获取了证据,这证明我们这套体系是有效的。

另外,我们觉得,现在网络安全也面临一个巨大的挑战,即不是要去给网络里堆砌更多的网络安全的产品,而是要从实际上真正提升整个网络对安全的应对能力。所以,我们有一个框架,要给5G网络或者说工业互联网、新基建所使用的安全基础平台,提升网络基础安全能力。

比如我们比较崇尚通过实际网络攻防,就是把真实的网络做成靶场,然后来请黑客的团队、请安全的专家进行实际的攻防来发现漏洞。我们也在为很多单位建立这种数字化的靶场,我们发现,很多被入侵的单位,是因为它们的软件里有明显的漏洞,所以我们通过众包的方式,来建立漏洞的挖掘基地,主动发现漏洞,主动进行修补,就能降低被攻击的概率,从而提升整个网络应对攻击的能力和水平。

《中国经营报》:如果我们发现了某个程序或者某个访问网络是有问题的,我们一般通常采取的是记录拦截这种模式吗?

周鸿祎:就是进行阻断。

《中国经营报》:阻断,如果他换一个程序换一个网络,我们还需要再去寻找新的发现对吧?

周鸿祎:不需要。因为当我们发现了一次攻击之后,他已经被纳入我们的大数据覆盖范畴,这是一个遍布全国全网的大数据。我们会积累这种攻击知识库,并且把这种积累的信息变成威胁情报。威胁情报实际上是会建立一个类似于国家的标准,像其他网络里如果有类似的情况都可以同步地阻断。

《中国经营报》:这个国家标准大概都包含什么内容?

周鸿祎:其实国家标准最重要的是要建立两个标准。第一个就是当我们发现一次攻击的时候,我们应该有一种标准的语言来描述攻击。这就相当于你去医院看病,大家嘴上说的这种症状肯定是很难统一的,最后医生一定会给你验血、拍X光、照CT,最后它就会有一些标准的描述方式。

第二个是在我们发现攻击的时候,我们是要通知各个单位,应该去拦截什么东西,这就需要拦截一个样本,有的时候是拦截一个程序,有的时候是要拦截域名,这个需要一套标准。如果能够统一成威胁情报的标准语言,那么,不同公司的产品就能够接收到一致的指令,就可以执行了。

《中国经营报》:你觉得进入5G应用时代之后,从国家的法律和规章制度角度来讲,会有哪方面能够更好地做出制度性的网络安全建设,你认为当务之急是什么?

周鸿祎:最重要的还是希望国家能够在数字化信息化的过程中,加大对网络安全产业的扶持和支持,不是把网络安全看成可有可无的一部分。

目前,我国网络安全上的投入,大概占到国家数字化信息化投入的1%,而美国至少是10%。如果我们网络安全产业发展不起来,那么就没有足够的资金和人才涌入,产业不强,就没有安全保护。

我们国家花大力气发展数字化,我们的新基建搞得越多,工业互联网搞得越多,5G带动的终端越多,如果安全不到位,一旦遇到网络攻击,是不是就像裸奔一样?发展得越大,出的事儿就越大。所以,我觉得国家应该明确在新基建的过程中,安全应该成为核心的技术基础之一。另外还有在网络安全上的投入,要进一步提高,即便达不到10%,达到5%是可以的。这样我觉得我们的网络安全市场就可以以5年为一个周期,有一个更大的增长。

《中国经营报》:这几年,国家在网络安全上投入实际上是在逐年加大的,你怎么评价这种投入所产生的效果和效率?

周鸿祎:第一,我觉得国家这两年投入确实在加大,但是我觉得网络安全的市场还有很大的空间。这其中应该有巨大的市场机会。

第二,投入的比例应该扩大,但这些投入都用来做什么了?大部分钱都去买了硬件,还有一些钱是用来买软件。但是,现在这种采购行为,是基于一种合规的思路,而并没有人真正考核投钱买了这些收到了什么效果。

网络安全的这种实战和对抗能力是非常重要的。所以引入一些专家专业的服务团队,这比目前这种知识硬件、软件的投入更有利于网络安全的提升。

《中国经营报》:你刚才说,市场空间还很大,能有多大?

周鸿祎:我认为三五年内应该增长至少10倍。

《中国经营报》:随着互联网的技术在社会发展中占有越来越重要的位置,就会出现通过技术和数据能够对社会产生重大影响的一些巨头公司,你认为应当通过什么样的手段对这些巨头公司加以约束,以避免它们使用自己的优势地位,对其他企业和社会产生一些负面影响?

周鸿祎:这个问题不好回答。因为答案很明确,但是国家喜欢大企业对吧?实际上世界各国都有反垄断法。这个问题可以改一改。那就是,只要你使用互联网服务,你的数据就一定会被互联网公司收集,也不能说收集这个行为本身有什么不对,因为收集是提供互联网服务的前提,但有哪些底线性的问题需要明确出来?

第一,今年两会会审议民法典,那里提到了物权的很多权利问题。我认为,很多公众的数据,在使用互联网的时候被采集了,被互联网公司保存了,但应该看成是托管在互联网公司的服务器上,它的所有权,是属于公众,应该明确这个物权。这样的话,就约束了互联网公司,你采集的能力越大,责任就越大,你不能随便去乱卖用户的数据。

第二,你有的时候需要借助用户的数据,但是用户的数据属于用户,如果有一天用户不再使用你的服务,注销了,这个删除数据的权利,应该在用户手里,而不是在互联网公司的手里。

第三,采集数据需要尊重用户的知情权,互联网公司要告知用户,我为什么要采集你的数据,采集了你什么数据。这一点,很多APP是做得不清楚的,它们不给用户选择权,要么你就把数据开放给我,要么你就别用,我觉得这样是不对的。

因此,我觉得国家立法需要更细致一点。更重要的是,现在用户隐私泄露不是用户自己的问题,他们都是技术小白。所以,我觉得有能力收集用户、储存用户数据的公司,必须在网络安全上有足够的投入,保证自己用户的数据至少不会被人偷走,如果连这个能力都没有,那就没资格去提供互联网服务。所以,我觉得在这方面,应该对一些大公司提出一些具体的要求和约束。

《中国经营报》:你说得很对,那么像腾讯、阿里这样的互联网巨头企业,其实可能拥有大量的个人信息和数据,你觉得如果只是依靠企业自律,是否能够实现确保个人信息安全?

周鸿祎:除了我刚才说的几点原则,还有一点,就是我觉得国家应该从法律层面上制定更具体、更有针对性的罚则,如果他们滥用了用户的数据,或者是数据被流失、被泄露了的话,就需要有针对性的惩罚措施。


* 除《中国经营报》署名文章外,其他文章为作者独立观点,不代表中国经营网立场。

* 未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用上述作品,违者将被追究法律责任。

* 凡本网注明“来源:中国经营网” 或“来源:中国经营报-中国经营网”的所有作品,版权均属于中国经营网(本网另有声明的除外)。

* 如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。

* 有关作品版权事宜请联系:010-88890046 邮箱:banquan@cbnet.com.cn