2021年9月,在世界互联网大会乌镇峰会的开幕式上,我作为科技界代表受邀发言。当时,传统的消费互联网已经初步见顶,而新的产业互联网正在兴起,数字化深入各行各业,所以我认为互联网企业到了需要重新定位自己历史使命的时候。我在发言中,首次提出了科技报国的新使命、新定位——“上山下海”,即上科技高山,勇攀科技高峰,帮助国家解决“卡脖子”难题;下数字化蓝海,就是用数字安全服务帮助城市、政府、企业建立数字化业务场景的安全底座,助力数字经济、数字政府和数字社会建设。
随着数字化不断深入,所面临的安全挑战也与日俱增。2022年5月,我参加了全国政协在京召开的“推动数字经济持续健康发展”专题协商会,并以“数字安全”为重点进行了发言,建议统筹发展与安全的关系,把握传统安全与非传统安全,将网络安全升级为数字安全,真正构建大安全体系,为产业数字化和数字经济保驾护航。
数字安全是一个整体,中小微企业是整个数字经济中的重要一环,却往往被社会所忽视,于是我在“上山下海”之后又提出“助小微”理念,帮助中小微企业实现数字化“共同富裕”,消除它们和大企业之间的数字鸿沟,做到数字安全一个都不能少,以此补齐国家数字安全屏障的短板。由此,360公司确立了“数字安全服务商”的定位和“上山下海助小微”的新战略。
近20年来,我带领着360公司团队从免费安全起家,培养了以“看见”为核心的数字安全能力,帮助国家解决“看不见”的“卡脖子”问题,同时将服务对象从个人消费者(To C)拓展到国家(To N),再运用服务国家的能力服务政企客户和中小微企业(To B),为数字安全时代贡献360方案。
数字化面临内外双重挑战,数字安全落后就要挨打
几年前我在社交媒体上写过这样一段话:“2011年3月30日,也就是5年前的今天,是360公司登陆纽约证券交易所的日子。2016年3月30日,今天上午,股东大会通过了投票结果,意味着360公司从美国退市又往前走了一步。我内心感慨万千,从公司创业初期、‘3Q’大战、美国上市、美国退市,一切像过电影一样在脑海里一幕一幕闪过。Mark一下今天这个特别的日子,继续向前!”
当时,不管是新闻媒体,还是普通用户都感到十分疑惑:“360公司不是在美股混得好好的,怎么突然要退市了呢?”
其实,退市这个决定是经过多次讨论后才定下的。未来科技竞争的背后就是网络战,是对数字空间的争夺。随着安全业务的不断发展、进步,我对网络安全有了更加深刻的理解,安全行业跟其他行业最大的不同,在于它是未来数字空间的“国之大事”,因此一定要跟国家的利益、社会的利益、老百姓的利益保持高度的一致。
2018年2月,360公司正式回归A股(图1)。此后数年间,中国互联网也经历了从消费互联网转型为产业互联网的重大变化,数字化正在开启数字文明时代。与此同时,安全形势也发生了翻天覆地的变化,安全风险也从传统的网络空间蔓延到了各行各业的数字化场景。
互联网上半场的主题是消费互联网,深刻改变了中国老百姓的生活方式。360公司作为中国领先的互联网安全公司,服务了10亿用户,提升了全社会的网络安全水平,同时也积累了世界规模最大的安全大数据、基于云查杀的大数据分析技术和顶尖的安全专家,建立了以安全大数据分析为核心的360云端安全大脑。
图1 360公司回归A股上市仪式
进入互联网下半场,产业互联网取代消费互联网成为新的主题,这就意味着各级政府和传统产业将成为数字化的主角。在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,发展数字经济、建设数字中国已经成为我国经济高质量发展的重要抓手。在这种大背景下,产业数字化将是我们面临的全新机遇,所有的行业都值得用数字技术重做一遍,整个社会也将从工业文明时代迈入数字文明时代。
但是数字化程度越高,安全风险越大。数字化面临内外部双重安全挑战,安全风险升级。
从内在风险来看,一方面是数字技术的内在脆弱性导致安全风险更大。我总结了数字化的三大特征:一是一切皆可编程,软件只要是人编写的,哪怕是再高级的程序员,也不可避免会存在安全漏洞,新技术用得越多,漏洞就越多,安全隐患也越大;二是万物均要互联,打破了虚实世界的边界,在虚拟空间的网络攻击,也会影响到现实世界,而且一旦某一个领域发生数字安全事件,就会牵一发而动全身,阻碍数字化转型和数字经济的发展;三是大数据驱动业务,一旦数据遭到攻击,就会导致业务停滞,甚至无法运营。归根结底是软件定义世界,整个世界都建立在软件之上,数字化带来的风险前所未有。
另一方面是数字化新场景面临的安全挑战更加复杂。随着数字技术的广泛应用,带来了诸如大数据安全、云安全、物联网安全、新终端安全等复杂的安全挑战,而这些技术融入人类社会,与产业、城市深度融合,将带来关键基础设施、工业互联网、车联网、数字政府、智慧城市等更加广泛的数字化场景。
因此,数字化面临的安全挑战,不仅包括传统的计算机安全、网络安全,还包括新兴的大数据安全、人工智能安全、物联网安全,以及数字经济、数字政府、数字社会中各种应用场景的复杂安全问题。
从外部威胁来看,网络战、高级持续性威胁和专业化网络犯罪组织的威胁不断升级,未来安全无小事。从近些年轰动全球的安全事件来看,网络攻击造成的影响,已出现从虚拟世界向现实世界蔓延的趋势。
2021年5月7日,美国最大燃油管道运营商受黑客组织“黑暗面”(DarkSide)攻击,致使包括华盛顿特区在内的美国东部、南部17个州进入区域紧急状态。2022年初,俄乌冲突中网络战先于实体战争开打,可以说是人类历史上第一次数字战争。战场发展态势也说明数字产业落后就要挨打,数字安全落后更要挨打。
鉴于数字化在大国博弈中的重要性,许多国家纷纷加大对网络战的投入,成立“网军”,而过去的小蟊贼、小黑客逐渐成为历史。国家背景的网军、高级持续性威胁、有组织的网络犯罪已经成为当今世界网络安全最大的威胁。网络攻击的目标、手法、布局、挑战、造成的危害都突破常规,供应链攻击、勒索攻击、挖矿攻击等各种新攻击手段不断刷新人们的想象,网络安全威胁超越传统安全威胁,成为数字时代最大的威胁。
因此,我认为网络安全行业也应当重新定义,把计算机安全、网络安全升级到数字安全,才能配得上数字中国战略,才能跟得上国家的产业互联网发展要求,才能护航人类进入数字文明时代。为此,在2022年全国两会期间,我提交了题为《关于把网络安全升级为数字安全,筑牢数字安全屏障》的建议,提出将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,把数字安全纳入新基建,各地数字化建设之初便将数字安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设,真正提升国家的数字安全能力。
以“看见”为核心,360为数字安全时代贡献中国方案
2022年俄乌冲突是一次数字战争的预言,充分说明网络战已成为大国之间博弈的重要砝码,甚至成为战争的首选手段。网络战中的攻击就如同隐身战机,如果在网络战中“看不见”对手的动向,我们就会处于被动挨打的局面。因此,我们要应对不断升级的数字安全威胁,前提是要解决“看不见”的难题。
但现实中的普遍现象,是因为“看不见”,西方国家长期维持着对我国数字空间的单向透明优势。我国网络中一直存在“谁进来了不知道,是敌是友不知道,干了什么不知道”的重大问题,导致被攻击以后才知道,甚至被攻击以后依然不知道,这就是中国的“卡脖子”难题。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候的风险,正所谓‘聪者听于无声,明者见于未形’。感知网络安全态势是最基本最基础的工作。”
所以说,数字安全的关键在于“看见”和处置,“看见”是核心需求。“看见”是处置的前提,“看见”和处置是一体之两面,既要“看见”,“看见”之后还能快速处置。只有首先“看见”战场、“看见”风险、“看见”对手、“看见”安全威胁全貌,我们才能做出有效响应和处置,如果“看不见”,一切都无从谈起。
为了应对网络安全威胁,360公司从“免费杀毒”切入安全市场,以互联网模式做好网络安全,没有传统安全的路径依赖,乱拳打死老师傅,蛮牛闯进瓷器店。在颠覆网络安全模式的同时,360公司投入200亿,聚集了2000名安全专家,积累了2000拍字节(PB)的安全大数据,用互联网模式和数字化基因塑造了数字安全的新模式,并打造全网数字安全大脑,形成独有的“看见”能力,服务国家,帮助国家构建了数字空间的“预警反导”系统。
360公司数字安全能力服务的第一个“大客户”就是国家。当积累了海量终端优势、云端分析优势、大数据优势后,我发现,这套体系优势的最大价值就是服务国家,帮助国家感知风险、“看见”威胁、抵御攻击。从To C到To N,360公司成为一家“顶天立地”的公司。这些年,99%的国家级网络攻击都是由360公司独立发现的,包括某大国国家情报部门针对我国长达十余年的网络攻击,我们相当于帮助国家打造了一套数字空间的“预警机”和“雷达”。
进入数字文明时代后,传统产业和政府、城市是数字化的主角。360公司以“看见”为核心,将基于To C和To N形成的能力体系提炼成数字安全大脑框架,重新定义安全,进入To B市场,以数字安全服务助力数字中国建设,由此制定了“上山下海助小微”的战略,把服务国家的能力框架提炼出来,复制给城市,复制给各行各业,包括用软件运营服务(Software as a Service,SaaS)免费输出给中小微企业使用,助力产业数字化发展,为数字安全时代贡献一套中国方案。
我觉得做安全的人都有点像希腊神话里的西西弗斯,有点傻气,有点理想主义。正是这点理想主义让我们一路狂奔,不敢松懈。我希望未来在各个数字化场景中,这样一套以“看见”为核心的安全服务框架可以成为它们的底座和盔甲,变成数字空间里的“预警机”和“雷达”,能够看见敌人的隐身飞机和巡航导弹。无论在什么样的数字化系统中,360公司都希望能通过服务的方式帮助大家感知风险、“看见”威胁、抵御攻击,帮助城市、政府、企业尤其是中小微企业提高抗风险能力,为数字化转型保驾护航,为打造网络强国、建设数字中国、护航数字文明贡献力量!