齐向东,奇安信集团董事长。长期从事网络安全领域的研究,他创建并领导的奇安信集团是中国网络安全领军企业,是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商。2020年7月,奇安信成功登陆科创板。齐向东带领团队率先提出并成功实践“数据驱动安全”“44333”“内生安全”等先进的安全理念,推出了“天狗”第三代安全引擎,零信任、天眼等创新安全产品,并多次担任两会、一带一路峰会、上海进博会等国家重大活动的网络安全保障任务,为维护国家网络安全献力。


灿阳金秋,大美乌镇。2021年世界互联网大会如约而至,网络安全和信息化专业人士再次聚首,深入交流。

奇安信集团董事长齐向东对话中国网络空间安全协会,纵谈网络空间安全发展趋势、中国路径、行业创新和人才培养等。


网络安全是国家安全的底板工程

齐向东:当前世界正经历“百年未有之大变局”,新一轮科技革命和产业革命的浪潮席卷而来,人类社会正在全面数字化。网络安全已经成为了人民群众安居乐业、数字经济健康发展和国家社会稳定运行的必要保障。比如,酒店、社交媒体、电商平台因为网络不安全,曝光了用户的出行、入住、聊天记录、消费、贷款等信息,不仅可能带来财产损失,甚至连基本的尊严都无法得到保障;企业机构因为网络不安全被攻击,轻则带来经济损失,重则遭遇停业整顿;水厂、电厂、轨道交通等关键信息基础设施被攻击,将直接造成断水、断电、断交通,对社会稳定、国家安全造成严重威胁。所以,我们的政府明确,没有网络安全,就没有国家安全。


中国网络安全飞跃式发展

齐向东:最近几年,在政策和需求的双重驱动下,我国网络安全取得了飞跃式发展。

从顶层设计上看,网络安全领域的法律法规不断完善。据统计,近五年来国家、地方省市和各行业监管部门关于数据安全、网络安全已经至少颁布了50部相关法律法规。尤其是今年《关键信息基础设施安全保护条例》《数据安全法》《个人信息保护法》等一系列法律法规的出台,充分体现出了国家对网络安全领域的高度重视和立法进程的不断加快。

从产业规模上看,我国网安产业的增速持续领跑全球。随着数字化全面铺开,网络安全需求快速增长,推动我国网安产业规模不断扩大。公开数据显示,2020年我国网络安全产业规模超过1700亿元,比2015年翻了一番。IDC预测,2021年全球网络安全相关硬件、软件、服务投资将同比增长8.7%,而中国2020-2024年预测期内的年复合年均增长率为16.8%,增速继续领跑全球网络安全市场。

从安全能力上看,网络安全防护正向实战化、体系化、常态化发展。现在,网络安全从过去的“小打小闹”转变为国家大事。面对专业化、针对性强的黑客组织和频发的网络攻击,网络安全从过去的“合规驱动”走向“能力驱动”。以我国的网络安全实战攻防演习为例,近五年演习的频率、规模、持续时间都在不断加强。安全防护思路逐渐从事后补救的被动防御,转变为“事前防控”的主动防御。

过去五年,我国网络安全领域已经有了长足进步,面向未来还有很长的路要走。继续提高全社会网络安全意识,扩大网络安全投入,加快关键核心技术攻关,还将是是未来我国网络安全领域的重要课题。

三方面推动中国网络安全产业做大做强

齐向东:中国信通院的数据显示,2020年中国数字经济规模达到39.2万亿元,占GDP比重为38.6%。相对于巨大的数字经济规模,网络安全所占的比重还非常低。要将整个产业做大做强,可以从以下三个方面推进提升。

第一,宏观方面,需抓住政策“东风”和发展机遇,实现跨越式发展。网络安全行业是国家重点发展的战略产业,政策的大力支持为行业的发展创造了良好的政策环境和发展机遇。今年以来,网络安全行业迎来顶层规划及法律法规的密集发布,标志着网安产业新一轮景气周期正加速而至,网安企业需要结合自身的优势,抓住政策驱动下政企客户网络安全需求增长的机遇,推动产业做大做强。

第二,产业升级方面,行业亟需改变“小零同”状态,构建新理念、新框架和新体系。尽管政策密集出台,给行业带来了巨大利好和机遇,但网络安全企业赚钱难、发展慢的状况尚没有得到根本改善。网络安全亟待改变过去的“小零同”(小规模、零散化、同质化)的行业发展模式,构建新理念、新框架和新体系已是产业变革的必然之路。奇安信于去年3月对外发布了“内生安全框架”,它改变了网络安全点状防护的劣势,解决未来十年到二十年的网络安全体系问题。目前该框架已纳入到上百家央企及重要行业客户的“十四五”网络安全规划中,获得了良好反馈。

第三,实施方面,需要通过网络安全“三部曲”,解决数字时代的复杂安全问题。如今,数据成为核心生产要素,数据安全让网络安全从“简单”走向“复杂”。传统IT时代,由于场景固定,可通过围墙式防护在专网边界安装简单安全产品;数字时代,数据有生产、使用和交易问题,系统成了大数据架构的复杂系统,无法靠安装简单的安全产品或者某种“银弹”防住一切网络攻击。对此,奇安信提出了政企机构实施网络安全的“三部曲”:理念、方法、动态掌控,内生安全提出了将安全能力内置到信息化环境中的先进理念;“内生安全框架”,用系统工程的方法建成面向数字时代的一体化安全体系;再通过经营安全做到对网络安全的动态掌控。

智能网联场景下的网络安全要直面挑战

齐向东:智能网联场景下的网络安全是整体的、动态的、开放的、相对的、共同的。智能网联的核心资产是数据,体量大、价值高。保护数据资产成为网络安全的难点问题,主要面临三个挑战。

第一、防外部威胁的挑战。数字时代,现实世界和网络世界的边界被打破,攻击手段层出不穷。勒索攻击成为流行病,APT(高级持续性网络攻击)愈演愈烈,供应链攻击成常见短板等,都给数据资产带来了巨大威胁。数据显示,2020年全球数据泄露的数量已经超过了过去15年的总和。仅最近几个月,就发生了多起重大数据泄露事件,比如石油巨头沙特阿美数据遭窃取、美国管道公司LineStar 70G数据被泄露等等。

第二、防“内鬼”的挑战。数字时代,数据资产剧增,能够接触到关键数据的用户量也越来越大。内部人员作为网络安全最大的变量,容易被收买、被利用,成为黑客突破内部安全防线的跳板。数据显示,超过85%的网络安全威胁来自于内部,供应链、外包商、员工等都可能成为“内鬼”,导致数据泄露。

第三、告警和处置的挑战。及时告警和处置,能让网络攻击无法产生实质性破坏,但对人员、技术的要求非常高,很少有企业投入巨大资源进行持续建设。目前,企业普遍缺乏告警和处置措施,系统一旦被攻破,只能任由攻击者为所欲为。比如,去年5月泰国最大移动运营商由于缺乏告警处置机制,发生了长达三星期的数据泄露,泄露的数据总量高达83亿条。

网络安全和信息化就像一枚硬币的两面

齐向东:网络安全和信息化就像一枚硬币的两面,两者相辅相成,缺一不可。我们要在信息化系统中深度融合网络安全,与信息化建设相互促进,形成正循环,推动网络安全与信息化同步发展、共同壮大。

一方面,网络安全是信息化发展的前提。网络安全做好了,信息化发展才能走上正轨。信息化建设一旦遭遇网络安全威胁,就会带来严重后果,直接关系到国家安全、社会稳定和公众利益。所以,信息化要想健康持续发展,首先应该夯实网络安全这一底板工程。《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》等法律法规,全面了构筑中国网络安全领域的法律框架,细化了网络安全管理规定,完善了网络安全治理措施,将助力我国网络安全产业进一步发展壮大。

另一方面,信息化给网络安全带来新的增长点。信息化发展起来了,网络安全才会有更多用武之地。随着信息化与各行业的融合逐渐紧密,以及新的细分场景不断涌现,网络安全需求只会增加,新赛道上还有很多切入市场的机会。今年7月,工信部提出,到了2023年,电信等重点行业的网络安全投入占信息化投入比例达10%。这是一个积极的信号,只要信息化建设在进行,网络安全就不会停滞,信息化建设的不断深入将为网络安全打开更广阔的上升空间。

共同努力做好老百姓个人信息保护

齐向东:个人信息保护是政府非常重视的事情,也是老百姓非常关注的事情。需要监管部门、企业、安全厂商和用户的共同努力。

监管方面,需要进一步加大监管和惩罚力度。《网络安全法》《数据安全法》《个人信息保护法》等多部法律划出了个人信息保护的“红线”,在数据采集、储存、流动等关键环节进行防护。目前,相关部门已经具备强大的监管能力,2019年以来国家主管部门多次通报或下架违规App,涉及4000余款App。未来,还需要进一步从源头加大对用户数据泄露的打击力度和惩罚力度。

企业方面,要建立有效的防护机制,积极发现问题、整改问题。一方面,企业机构要建立应对网络攻击的网络安全体系,实现对威胁的动态掌控和处置;另一方面,要借助技术工具积极查找出问题,同时借助法律、业务、技术等专业力量,请有丰富经验的第三方安全公司提供整改指导。

安全厂商方面,应该积极打造创新安全产品和服务。比如,隐私计算是破解数据利用和数据安全这对矛盾的重要途径。奇安信基于方滨兴院士提出的“数据不动程序动,数据可用不可见”的技术理念,在国内率先推出了“数据交易沙箱”,确保数据所有权和使用权分离,实现数据价值的流动与共享。

用户方面,需要提升个人信息安全保护意识。比如不点击来路不明的链接,不使用公共场所开放式的WIFI网络,不要在多个网站使用同一套账号密码,避免个人信息和数据被滥用,加强自我防范。

企业的网络安全责任发生两个显著变化

齐向东:数字时代,企业在网络安全方面承担的责任,发生了两个显著变化。

第一个变化,企业经营者的安全责任,从以前的有限责任变成了无限责任。传统经济中,交易是“银货两讫”,交易结束后,企业经营者的责任基本也就结束了。但数字时代,几乎所有的交易都数字化了,一系列新技术、新应用、新场景和具体业务、具体用户结合在一起,共同构成了一个复杂系统。在这个复杂系统里,流动着复杂数据,发生着复杂交易。交易结束了,企业经营者的安全责任才进入新的阶段。

举个例子,以前,我们打车招手即停,到了目的地,交易就结束了;现在,我们用手机打车,产生了很多数据,即使出行结束了,用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。

可以说,只要用户的数据还存在,企业的责任就不会终结。保护每一个复杂交易的数据安全,成为了贯穿企业经营的生命线,是企业经营者的无限责任。

第二个变化,企业在网络安全方面承担的责任,上升到了法律层面。最近,一位办企业的朋友向我咨询,员工违规违法导致数据丢失,企业要承担责任吗?我回答他:“数据泄露违法的锅,法人甩不掉。”企业法人的责任大小看两方面:一是后果,如果危害了国家安全,责任就大了;二是看过程,如果企业没有按要求建设必要的网络安全系统,责任也就大了。这和传统的煤矿爆炸是一样的道理,如果矿场没有安全措施、制度和流程,那么矿主一定要承担主要责任。

今年密集出台的法律法规,都在不同层面明确了企业需要承担的网络安全责任。以《数据安全法》为例,它作为数据领域的“上位法”,确定了数据流转过程中组织、个人的安全责任和义务,明确了监管要求。而《关键信息基础设施安全保护条例》也明确了运营者职责,要求他们“在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。”

同时,这些法律法规明确了处罚措施。《关键信息基础设施安全保护条例》对触犯相关情形,拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。

奇安信三种人才培养方式

齐向东:网络安全企业最贴近客户需求,最贴近一线场景,因此在人才培养方面,具有得天独厚的优势,也有着义不容辞的责任。目前奇安信探索出绵阳模式、补天模式和竞赛模式三种人才培养方式。

第一,绵阳模式。2018年3月,奇安信集团网络安全人才培养绵阳基地正式成立。该基地大概每年能培养1000个人,面向应届毕业的校招生,进入绵阳基地然后全脱产培训,采用军事化管理,培训三个月之后,考试合格则出炉,出炉之后进入实训阶段,通过一对一的专业工程师带领到客户现场一线实训,最终筛选出合格的运营服务工程师。目前,绵阳模式培养出的网络安全运营服务工程师已经服务于政府、教育、金融、能源等各个行业,为中国网络安全事业贡献力量。

第二,补天模式。补天漏洞响应平台从成立以来,一直致力于推动国内白帽人才的发展和壮大。2018年,补天漏洞平台“白帽子”数量是4万人,仅仅三年,2021年增长到8.7万人,另外“白帽子”人数增速也在不断提升。未来这些“白帽子”,已经有了成为正式职业的可能。

第三,竞赛模式。随着网络安全威胁形势的日益加剧,人才在攻防两端起到的作用愈发明显。为了解决国内政企机构对网络安全人才的渴望,拉动国内网络安全人才的培养,奇安信集团联合清华大学共同举办了国内第一个大数据安全分析比赛DataCon,它是一次以大数据安全分析为核心的网络安全竞赛。这种竞赛模式,可以培养和发现企业所需要的防范和大数据分析检测能力,漏洞挖掘和利用类的优秀人才。