360周鸿祎：人类面临的安全风险，将从“小时代”进入“大时代”

一、网络世界的安全威胁

6月30日，著名网络安全专家、360董事长兼CEO周鸿祎，在“2020新基建产城交易大会”发表演讲。

周鸿祎认为，我们的未来世界将拥有三大特征：

第一，软件定义世界。未来所有的产业、行业、生活都将架构在软件之上，我们身边所有的一切皆可编程；

第二，万物皆可互联。未来联网设备将以百亿、千亿计算，如今我们看到的所有设施、终端、设备都将变成内置类似手机的方式，万物连接在一起；

第三，数字驱动一切。未来所有业务的核心都将变成大数据平台，由数据的计算来实现我们对业务的判断。

在这种局面，虽然我们享受到了全社会、全产业数字化、智能化的红利，但由此将不得不承受相应的安全风险和挑战。

周鸿祎认为，我们人类世界面临的安全风险和挑战，将从“小时代”进入“大时代”，这包括了：

1、大威胁：如果软件定义世界，那么平均每一千行代码就会有四到六个漏洞，只要是程序就会有漏洞，只要是系统就一定会有被攻破的可能；如果万物皆可互联，那么通过AI、云计算、大数据等技术连接着的一切设备，也都可以成为攻击的起点或跳板；如果数据驱动一切，那么篡改数据就可以影响一切，未来所有虚拟空间的攻击，都将对物理世界产生巨大且全面的伤害。

2、大对手：过去提起360大家会想到免费杀毒，其实这已经是一个过时的概念。过去电脑杀毒是为了抵御一些“小毛贼”，一些恶意的、恶搞的软件制作者，而如今我们面临的对手变成了专业的、带有网络恐怖主义的高级黑客甚至是“国家部队”，他们拥有长期的布局，会对目标进行专门的战略战术布置。

3、大目标：如今网络攻击的目标，已不再只是针对一般的个人或企业，而是瞄准了国家的关键基础设施、社会的重要部门和企业的核心资源，从而发动可以直接影响到我们工业生产、能源输送、交通出行等方面的攻击。

4、大挑战：当我们快速进入全面的数字化时代，网络攻击和防御却严重不平衡。在真实的世界里往往易守难攻，但是在虚拟世界里防守非常困难，哪怕你防住了99%的攻击，保护了99%的设备，只要有1%的疏忽和漏洞，一切也都将是功亏一篑。

二、网络安全已经用于实战

案例一：“震网”网络攻击伊朗核设施

2010年，名为“震网”的网络病毒袭击了伊朗国内网络，包括核设施和导弹相关的关键电脑。

在“震网”袭击中，伊朗核设施中的铀浓缩设备被完全破坏，致使伊朗核计划被延迟了很长时间。尽管没有国家或组织站出来声称对这次网络袭击负责，可是外界人士大都表示，美国和以色列是“震网病毒”的罪魁祸首。

披露消息显示，美国通过伊朗核设施的工业控制系统——西门子公司工业控制系统的漏洞，加上当时windows系统尚未被发现的2个漏洞，由美国和以色列特工人工进行“植入”（另一个说法是通过打印机控制芯片植入），成功地将“震网”病毒植入伊朗核设施的控制系统之中。

“震网”通过修改程序命令，让生产浓缩铀的离心机异常加速，超越设计极限，致使离心机报废。同时，“震网”的隐蔽性在于，原本当离心机发生故障时，程序会向主控系统报错，响起警报，让控制中心的伊朗工程师引起警觉，来排查问题。但是，在“震网”病毒控制伊朗核设施的系统主动权后，通过修改程序指令，阻止报错机制的正常运行。这样，即便离心机发生损坏，报错指令也不会传达，致使伊朗核设施的工作人员明明听到“咚咚咚”的机器异常的声音，但回头看屏幕显示器时却显示一切正常。

这时伊朗核设施的工作人员要么相信主控系统的正确性，要么就只能关闭核设施，一个一个排查离心机的故障。问题是，核设施不是个人电脑，不是说开就开，说关就关的机器，而是一整套核工业的机制。

最后，直至伊朗核设施的离心机大面积损毁，整个核设施已经无法正常运转之时，伊朗的核工业部门才不得不停止核工厂的运转，进行大规模的故障排查。

案例二：美国利用网络攻击使委内瑞拉停电

2016年，美国前国防部长卡特首次承认，美国使用网络手段攻击了叙利亚ISIS组织等，这是美国首次公开将网络攻击作为一种作战手段。

2019年3月初，委内瑞拉全国出现大规模停电，23个州中有18个州受到影响，直接导致交通、医疗、通信及基础设施的瘫痪。委内瑞拉总统马杜罗指责美国策划了对该国电力系统的“网络攻击”，目的是通过全国范围的大停电，制造混乱，迫使政府下台。有分析认为，在无法进行直接和间接军事干预情况下，对委内瑞拉发起网络攻击可能是美国的最佳选项。

整个2019年夏季，拉美国家接连遭遇大规模停电，具体原因都没有查明。俄罗斯专家表示，这可能是美国在进行网络攻击的“练习”，日后也可能对俄实施类似打击。

三、全球面临网络战争

2017年8月18日，美国总统特朗普宣布，将美军网络司令部升级为一级联合作战司令部，地位与中央司令部、战略司令部等美军主要联合作战司令部持平。

它意味着网络空间正式与海洋、陆地、天空和太空并列成为美军的第五维战场，这在美军历史上是第一次，在人类战争史上也是第一次。

2017年12月，日本政府决定在防卫省和自卫队内部新设统一指挥太空、网络空间和电子战部队的指挥中心——太空和网络司令部。

2018年1月30日，澳大利亚国防部发布声明，澳大利亚国防军建立了一个新的国防通信情报与网络司令部，以提升它在一个自称“更优化”的指挥结构中的网络能力。

2018年9月，德国内阁批准组建被称作“网络安全创新局”的新机构，接受德国国防部和内政部的联合领导。

2018年，美国国防部发布的网络空间战略强调了“前沿防御（Defense forward）”理念。这被外界解读为美国军方将在他国而非美国本土实施网络攻防行动。

周鸿祎指出，如果新基建是未来社会的基础，那么网络安全就是新基建的底座。当安全的数字规则已经被改写，那么只有提供更好的安全解决方案，才能真正让我们的新基建跑得更快。