360集团董事长兼CEO周鸿祎在参加十三届全国政协第35次双周协商座谈会时表示,新基建作为数字化基建,依靠的是云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术,这些技术的使用,离不开安全保障。
近年来,工业互联网的安全风险持续加剧。在万物互联的大潮下,网络世界和物理世界的边界被打破,对网络空间的攻击可以直接导致现实世界的伤害。伊朗核工厂、委内瑞拉电厂、沙特炼油厂、我国台湾地区的芯片厂等,都被来自网络世界的攻击所破坏。“工业互联网安全怎么强调都不为过。”周鸿祎介绍,一方面未来工业相关设施接入互联网的数量会海量增长,漏洞也会呈指数级增长。另一方面,传统工业领域没有网络安全攻防的经验。
面对严峻的工业互联网安全挑战,周鸿祎提出了三方面建议。一是要壮大网络安全产业。周鸿祎提出,强大的网络安全产业是工业互联网安全的基础。据统计,我国在网络安全上的投入仅仅是信息化投入的1%。“应当加大网络安全投入。”周鸿祎建议,我国网络安全投入偏低,会导致网络安全产业发展困难、网络安全人才流失严重,长久可能导致工业互联网安全缺乏有力支撑。二是强化实战攻防能力。“这是保障工业互联网安全能力的核心。”周鸿祎表示,安全的本质是人和人的攻防对抗。传统的安全合规要求,只是安全的底线,购买并安装软硬件安全产品,并不能保证在对抗中获胜。周鸿祎建议,实战攻防能力,讲百遍不如打一遍。工业互联网企业应组织“网上朱日和”,才能不断发现工业互联网中的漏洞,不断检验和锤炼工业互联网安全体系的真实能力。三是要保障工业互联网安全,应尽快考虑和落实“顶层设计、全局感知”。过去传统网络安全行业“铁路警察各管一段”的割裂模式,已经被证明无法应对高级网络安全威胁。周鸿祎建议,要建设工业互联网“安全大脑”,全网采集安全大数据,建立全视角的安全感知能力,即时输出威胁情报,实现在全局升级基础上的单体能力提升。而在“全局感知”方面,周鸿祎表示,360公司已经积累了丰富的经验。今年3月,360公布证据报告,证实了美国中情局对中国长达11年的网络攻击,报告引起全世界的关注。此外,近年来,360公司已经累计发现APT(高级可持续威胁)组织超40个。