周鴻禕：安全性漏洞會變成戰略資源中國還不重視

“你是做安全的，就老是盼著出事。 ”周鴻禕說，他曾被人如此吐槽，但這次“狼”真的來了。

9月18日， 360集團董事長周鴻禕在2017國家網路安全周高峰論壇上發表了“萬物皆變，網路安全進入大安全時代”的演講。

什麼是大安全時代？接受南方都市報專訪時，周鴻禕談到，勒索病毒事件打開了“網路犯罪和網路恐怖主義”的潘朵拉魔盒。今後網路漏洞會變成如稀土、原油一樣的國家戰略資源，網路攻擊極可能演變成網路戰，網路安全急需人才。

談大安全

“網路攻擊已威脅真實世界”

你這次來參加國家網路安全周，關注什麼話題？

周鴻禕：我關注“大安全”的話題。從過去一兩年全球網路安全事件，我們能夠感覺到，網路安全進入了一個新時代，就是“大安全時代”，已經不僅是網路本身的安全。比如今年5月的勒索病毒事件，受影響的不只是一些電腦，還直接影響很多服務機構，英國有的醫院不能給病人做手術，中國有的加油站不能加油了，社會秩序受到很大影響。

整個社會現在都運行在互聯網之上，互聯網已經成為基礎設施，和水、電、空氣一樣。加上雲計算、人工智慧等技術發展，催生了物聯網、工業互聯網以及車聯網等等，把網路虛擬世界和物理真實世界的界限打破，網路攻擊已經威脅真實世界了。

所以，大安全時代的網路安全就是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。

把虛擬世界和真實世界的界限打破了？

周鴻禕：是的，我們做安全的人不斷嘮叨，很多人可能會反感，覺得我們像喊“狼來了”的小孩一樣，還有人說“你是做安全的，就老是盼望著出事”。但10年前你把互聯網當作資訊公路，僅僅是獲取資訊，今天你買東西、打個車、定個餐都離不開互聯網，一旦互聯網的基礎設施和基本服務受到攻擊，整個社會秩序，包括基本生活、飲食起居都會受到影響。在烏克蘭，駭客攻擊變電站導致幾十萬用戶大面積停電，以前要用炸彈攻擊，現在網路攻擊就可以做到。

這意味著什麼？

周鴻禕：我們要關注這樣幾個大趨勢：網路犯罪、網路恐怖主義的潘朵拉盒子被打開了。勒索病毒是一個標誌，我覺得是網路恐怖主義開始的代表性事件。 “永恆之藍”病毒是美國國家安全局武器庫裡洩漏出來的武器，被小毛賊用來敲詐勒索，這很可能給其他不法分子啟示，就是網路犯罪的成本比現實世界更低，但產值可能更高，網上有很多漏洞，以後犯罪會越來越多借助網路進行，甚至恐怖分子會發動針對社會的網路恐怖主義活動，一旦用網路武器進行攻擊，影響力和破壞力可能更大。

在大安全時代，網路攻擊涉及國家安全、社會安全等，所以極可能演變成網路戰。從勒索病毒事件來看，美國在網路武器打造上實現了平臺化、系統化、自動化，

世界已經進入網路戰時代。

與此同時，漏洞成為戰略資源。以前我們把網路、軟體漏洞當成一種小錯誤，認為修復了就行，但是大安全時代，網路攻擊演變為網路戰後，漏洞會變成如稀土、原油一樣的國家戰略資源，因為有一個漏洞就意味著能創造一個網路武器，知道一個漏洞就可以阻攔一次進攻。美國現在非常注意採集、挖掘漏洞，而其他國家包括我國目前在這方面的意識仍然比較淡薄。

談人才培養

“與東莞理工合作打造首個網路空間安全產業學院”

“大安全時代”，我們如何來防護網路安全？

周鴻禕：大安全時代，所有東西其實都是基於軟體的，萬物皆可程式設計，而軟體是人寫的，

一定會有漏洞，所以大家要接受一個事實：沒有攻不破的網路，也沒有絕對的安全。前美國國家安全局局長基斯·亞歷山大2015年參加中國互聯網安全大會的時候曾說，世界上只有兩種網路、兩種系統，一種是已知被攻破的，一種是被攻破自己還不知道的。

過去很多單位總覺得只要把網路隔離了，只要買了安全的軟硬體，就可以高枕無憂了，這樣的思路已經過時了，要基於“網路一定會被攻破”來建立新的防禦思想。網路安全裡最薄弱的環節是人，漏洞是人造的，管理問題也是人導致的，但最後解決問題的不是軟硬體和規定，還是人。所以我認為，未來5年網路安全行業會變成一個高智力、勞動密集型的服務行業。

當前我國網路安全人才是否缺失？

周鴻禕：黨的十八大以來，國家高度重視網路安全和資訊化工作，但當前我國網路安全人才培養與發達國家相比仍存在很大差距。根據國家網信辦2015年公佈的網路安全人才現狀報告中的資料，我國網路安全人才缺口達到70萬，這個缺口還以每年1?.5萬人的速度遞增。

究其原因，是因為我國的網路安全人才培養機制還比較單一，人才選拔制度的完善體系還沒有建立起來。人才的培養計畫和相應的課程體系，包括學科建設體系，都還不夠完善，網路安全實踐環節也不夠科學、系統，這在很大程度上制約了我國網路安全水準的提升。

360與東莞理工學院合作是出於什麼考慮？將以什麼方式來培養網路安全人才？

周鴻禕：這次與東莞理工學院簽約組建的360網路空間安全產業學院和360網路空間安全創新研究院，是在國家網路安全人才缺口背景下，結合廣東省的人才培養政策和雙方自身優勢，探索全新的產業合作模式。

360網路空間安全產業學院計畫打造成全國首個網路空間安全產業學院，通過課程設計、培訓、實訓、攻防演練、實習、就業等完整環節，建設一整套網路安全人才培養體系。360網路空間安全產業學院一期計畫招生兩個班級，由360公司提供講師、課程、實訓建設和定向人才培養。360網路安全創新研究院則致力於提升學生實際操作能力，通過與國家央企、金融機構、行業龍頭企業合作，為行業安全人才提供輸送和實習通道。

談隱私保護

“隱私資料是使用者個人資產”

科技越發達個人就會越沒有隱私嗎？對這個問題你怎麼看。

周鴻禕：科技越發達，我們的工作生活都將越與網路息息相關，只要使用網路服務，就一定會產生資訊和資料，這些資料都會放置在廠商的伺服器上，都是我們的隱私。

但並不能說我們向廠商提供了資訊和資料，就意味著我們沒有隱私。使用者的資訊、資料和廠商之間，應該遵循平等交換原則。什麼叫平等交換？使用者享受服務，廠商獲取資訊，但在這個過程中，用戶要有知情權，廠商要得到使用者授權才能使用資訊，也就是說，使用者要有選擇權、拒絕權。比如現在共用單車很火，你要用共用單車，不可避免要提供個人身份資訊、手機資訊等，也可以拒絕不用。

保護用戶隱私另一個原則是安全處理，任何一家互聯網公司都有責任保護使用者資訊安全，要在雲端對使用者資料進行足夠強度的加密，包括安全存儲和安全傳輸。

另外，我覺得非常重要的一個原則，就是使用者的資訊和隱私資料是使用者的個人資產。可能有人比較抵制這個觀點，很多互聯網大公司在用戶協

議裡說：用戶號碼是我給的，所以用戶是我的，用戶的好友列表也是我的，使用者產生的內容也是我的，但又發表一個免責聲明，說用戶產生的任何法律問題都與自己無關。且不說這種自相矛盾的邏輯，我的觀點是，使用者使用廠商服務產生的資訊，是屬於使用者自己的個人資產，使用者使用各種設備、各種軟體產生的資料，雖然存儲在廠商的伺服器上，但從所有權方面講，應該明確屬於用戶個人。

南都：360在網路安全和個人隱私保護方面做了哪些工作？

周鴻禕：現在從國家層面到用戶個人層面都對個人資訊和隱私保護非常關注，比如今年正式實施的《網路安全法》，給予使用者資訊及隱私保護很大篇幅，我覺得這很好。

360作為一家安全公司，理應幫助國家、政府和民眾個人做好資訊和隱私保護工作。在PC端和移動端提供第一道屏障，同時協助公司、機構做網站防護，提升A?PP的安全性，檢測產品與服務是否有漏洞，因為網站、軟體擁有大量使用者資訊，安全水準不一，就可能導致洩露。

當然，我們自己在使用者資訊和隱私保護上也做了很多工作，早在2012年就發佈了隱私保護白皮書，將360所有產品的工作原理和資訊處理機制公佈於眾，並且任命首席隱私官，各產品部門也下設隱私主管，保證產品符合國家相關的法律法規，並進一步提高和完善隱私保護制度。