7月27日-29日，由中(zhōng)國互聯網協會、360互聯網安全中(zhōng)心等多家機構聯合主辦的ISC 2021 第九屆互聯網安全大(dà)會在北(běi)京國家會議中(zhōng)心開(kāi)幕。作爲網絡安全領域規模大(dà)、輻射廣、影響深遠的重量級會議，ISC互聯網安全大(dà)會自2013年至今已成功舉辦八屆，探讨前沿議題超2000個。本次大(dà)會邀請到了衆多專家、學者以及網絡安全戰略決策者深度參與，來共話(huà)數據安全新生(shēng)态。

會上，360創始人、董事長周鴻祎作爲演講嘉賓代表，以《面向未來的新一(yī)代安全能力框架》的演講開(kāi)篇，向全球觀衆分(fēn)享三六零公司(股票(piào)代碼：601360.SH，以下(xià)簡稱360)在過去(qù)十幾年的發展成果，以及如何基于數據的重要性來構建一(yī)套新的能力框架。

01

數據已是“第五要素”

目前，中(zhōng)國的社會經濟已全面進入數字生(shēng)産力快速發展新階段，數據憑借邊際成本低、規模效應大(dà)、流動性高、可複用性強等區别于傳統生(shēng)産要素的新特點，正逐步成爲引領中(zhōng)國高質量發展的新引擎。

在2019年10月，中(zhōng)央明确将數據列爲與勞動、資(zī)本、技術并列的生(shēng)産要素。而在今年發布的《中(zhōng)華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目标綱要》中(zhōng)，加快數字化發展，建設數字中(zhōng)國，成爲舉國上下(xià)共同的發展目标。“十四五”規劃中(zhōng)，提出我(wǒ)國數字經濟核心産業的增加值，要從2020年占GDP比重的7.8%提升至“十四五”末期的10%。這是一(yī)個非常重要的信号，表明了數字經濟的發展,将成爲衡量國民經濟增長速度和質量的重要因素。

數字經濟依賴于數字化，那麽數字化又(yòu)該如何定義？周鴻祎有自己的一(yī)番見解，他在會上再次指出，數字化有三個特征：一(yī)切皆可編程、萬物(wù)均要互聯、大(dà)數據驅動業務，本質是軟件定義世界，城市、汽車(chē)、網絡都将由軟件定義。

在這個用數據定義萬物(wù)的新時代，在便捷、高效的同時，數字化也讓整個網絡安全環境更加脆弱，安全風險更加無處不在，整個世界更易攻擊，造成危害也更大(dà)。對此，周鴻祎談道：“數據安全問題将成爲數字化時代大(dà)數據開(kāi)發利用的最大(dà)瓶頸”。他指出，無論從老百姓的吃喝(hē)玩樂衣食住行、政府運行社會的管理，到城市的運作，還有工(gōng)業企業的運轉，整個世界都架構在軟件、數據和網絡之上，所以數據是核心的生(shēng)産要素，也是驅動業務的關鍵。

這意味着數據安全将直接關系到數據壟斷、數據出境安全、個人信息保護，甚至影響業務安全乃至國家安全。因此，加強對數據安全的保護不僅關乎每個人、每個組織的利益，還與經濟社會發展和國家穩定密切相關。

在明了數據安全的重要性之後，如何兼顧發展和安全，在保障安全的前提下(xià)開(kāi)發利用大(dà)數據，成爲我(wǒ)國在數字化轉型洪流中(zhōng)面臨的最大(dà)問題。在周鴻祎看來，網絡安全需要一(yī)套新戰法和新框架。

02

構建事前防護能力

在數字經濟時代，新基建推動了傳統行業的數字化轉型。與此同時，數字世界的安全事件也時有發生(shēng)并且越發嚴重。近年來，數據竊取、勒索攻擊、數據污染攻擊、數據内部洩漏、數據濫用問題此消彼長，數據安全問題可謂新舊(jiù)交織，數據安全風險前所未有。

在國際上，以美國最大(dà)燃油管道運營商(shāng)Colonial Pipeline、開(kāi)發商(shāng)Kaseya被勒索爲代表的數據攻擊事件頻(pín)發；Facebook卷入劍橋分(fēn)析公司數據醜聞，劍橋分(fēn)析公司以不當方式訪問了8700萬Facebook用戶的個人數據，并将其用于政治目的。英國NCSC負責人 Lindy Cameron曾說道：“對于大(dà)多數英國人和企業，勒索軟件是網絡安全面臨的最大(dà)威脅”。

而國内，勒索軟件攻擊的形式也同樣嚴峻，僅2020一(yī)年，360就接到并處理了3800多起勒索軟件攻擊事件，勒索病毒多發生(shēng)在數字經濟發達和人口密集地區，廣東、浙江、江蘇是全年受到攻擊最多的省市。

同時，勒索軟件攻擊正在向APT化演進，形成有組織、有預謀的犯罪商(shāng)業模式，攻擊目标從個人轉向政府、重點企業和重點設施，攻擊手法也在發展過程中(zhōng)變得更加定向化、持續化、專業化。周鴻祎表示，小(xiǎo)毛賊、小(xiǎo)黑客已經成爲曆史，有國家背景的網軍、APT組織，有組織的大(dà)規模網絡犯罪成爲網絡安全的最大(dà)威脅。

這一(yī)切都表明新型網絡攻擊成爲數字時代的最大(dà)威脅，個人、企業、社會、國家的安全和穩定都受到莫大(dà)挑戰。

面對網絡安全的危機性，周鴻祎表示，傳統安全已經無法應對數據安全新挑戰，對數據安全的保護，重點在于構建事前防護能力，而不是事後應對。在此之上，360通過十幾年來不斷實踐、不斷探索，形成了“國家級服務能力+新戰法+新一(yī)代能力框架”。

具體(tǐ)看來，國家級服務能力涵蓋安全數據、算力、知(zhī)識、專家、情報、漏洞等多方面的網絡安全技術、産品和能力；新戰法是指在實踐能力基礎上，360總結出一(yī)套适應數字化轉型和大(dà)安全挑戰的新戰法，即頂層設計、數據制勝、安全基建、攻防兼備、以人爲本、運營爲王、服務賦能、生(shēng)态共建；最終，基于這套新戰法，以體(tǐ)系化思路将安全體(tǐ)系與數字體(tǐ)系融合、攻防能力與管控能力融合，構建以雲端基礎服務賦能體(tǐ)系、雲端專家運營應急體(tǐ)系、雲端基礎設施支撐體(tǐ)系爲主的數字化新一(yī)代能力框架。周鴻祎表示，360新一(yī)代安全能力框架是一(yī)個能力完備、可運營、可成長的數字安全體(tǐ)系。

當數字經濟成爲時代趨勢的那一(yī)刻起，就意味着數據安全不再是一(yī)個人、一(yī)個企業，甚至不單是一(yī)個國家的責任，而是全社會、全球性的義務。爲此，2021年6月七國集團峰會公報倡議：“将共同努力解決勒索軟件犯罪網絡帶來的不斷升級的威脅；呼籲所有國家緊急調查并摧毀本國的勒索軟件犯罪網絡，并追究其責任。”

03

數據安全治理已是全球性問題

數據安全治理無小(xiǎo)事，而最爲行之有效的方式莫過于設立法律法規加以規範。于是6月10日，第十三屆全國人民代表大(dà)會常務委員(yuán)會第二十九次會議表決通過《中(zhōng)華人民共和國數據安全法》（以下(xià)簡稱《數據安全法》），将于2021年9月1日起施行。

該法作爲我(wǒ)國首部與數據安全相關的法律，自2020年6月28日以來經曆了3次審議與修改，在此期間持續引發了社會各界的廣泛關注。最終通過的法案加大(dà)了違法行爲處罰力度，尤其是對于核心數據，違反國家核心數據管理制度，危害國家主權、安全和發展利益的，最高可罰1000萬元，并可追究刑責。這也意味着對企業的合規監管、數據交易的安全性提出了更高的要求。

《數據安全法》的出台标志(zhì)着我(wǒ)國在數據安全領域的法律空白(bái)得以有效填補，我(wǒ)國各行業的數據安全建設工(gōng)作及監管工(gōng)作将進入有法可循、有法可依的新時代。中(zhōng)國工(gōng)程院院士沈昌祥認爲，《數據安全法》的出台，将有助于進一(yī)步提升國家數據安全保障能力，有助于加強我(wǒ)國應對因數據引發的國家安全風險與挑戰。

在采訪被問及《數據安全法》會爲360這樣企業帶來哪些機遇時，周鴻祎表示，首先國家制定這些法律，表明國家對數據安全、網絡安全的重視；第二有了法律的支持，使得過去(qù)營運公司推不動的事得以發展，這對整個行業而言更有利；第三，《數據安全法》的出台也爲給很多人敲響了警鍾，讓更多的人意識到自己手裏掌握的大(dà)數據是十分(fēn)重要的，甚至涉及到國家安全，意識被喚醒後，大(dà)家也能夠主動承擔起保護數據安全的責任和義務。

當勒索軟件攻擊成爲一(yī)種全球性的“新常态”時，法律法規是最強有力的手段，但也是最後的紅線，爲在底線前就有效保護數據安全，國家層面的執法監管将與企業的自監管有機結合，而360就是其中(zhōng)促進數據有序使用的關鍵。

04

360政企安全開(kāi)始新征程

作爲數字經濟的守護者，360将自身能力基礎設施化，形成雲端基礎設施體(tǐ)系，再通過對這些基礎設施的高效運營形成服務能力，最終把安全大(dà)數據和各種安全能力XaaS化輸出，像提供水電(diàn)氣一(yī)樣面向黨政軍企用戶提供安全基礎服務，實現360雲端安全大(dà)腦和雲端基礎設施高效對外(wài)賦能。

周鴻祎在本次大(dà)會展示了基于16年實戰攻防對抗經驗及230億安全研發投入，打造的新一(yī)代安全能力框架。這個以360安全大(dà)腦爲核心的能力框架，在周鴻祎看來，能夠整合各種生(shēng)态産品，擴展支撐各行各業的各種數字化場景，例如工(gōng)業互聯網、車(chē)聯網、能源互聯網、智慧城市等等，形成面向場景的安全解決方案。目前這套新框架已經重慶、天津、上海、青島、蘇州、廈門等10多個城市落地開(kāi)花。

周鴻祎表示，360希望基于新一(yī)代安全能力框架，能夠打通各地、各行業的安全大(dà)腦體(tǐ)系，形成威脅情報和數據的互相查詢，構建起一(yī)個國家級範圍的分(fēn)布式安全大(dà)腦，真正提升整個國家的安全能力。

此外(wài)，360政企安全集團還基于新一(yī)代安全能力框架的核心賦能，研發出全國态勢感知(zhī)系統。通過多維度威脅視角，其能夠實現針對不同城市本地的各類安全事件構建全息地圖，整體(tǐ)呈現出全國不同城市的安全态勢并進行策略管理，充分(fēn)體(tǐ)現了高位數字風險的監測能力。

與此同時，在被外(wài)界問及中(zhōng)國要解決網絡安全問題需要做哪幾件事時，360沒有回答要購買自己的産品，因爲周鴻祎從不認爲自己是個帶貨的主播，而是經貝索斯的啓發，在思考對于政企而言什麽才是最爲重要的，有什麽是未來5-10年不變的東西。

在周鴻祎的思索之下(xià)，得出了漏洞挖掘的概念。他表示，10年以後也許網絡武器變了，網絡操作系統硬件變了，但是代碼的漏洞會一(yī)直存在，而漏洞是網絡攻擊的命門所在。

基于漏洞的重要性，360深入攻防研究，已經形成世界一(yī)流的漏洞能力。當前，360累計挖掘主流廠商(shāng)CVE漏洞超過2000個，建立起漏洞知(zhī)識庫、攻防對抗知(zhī)識庫、APT全景攻擊知(zhī)識庫、病毒庫等多維度全景安全知(zhī)識庫，并成立了國内首家開(kāi)源漏洞響應平台，嚴守攻防對抗的核心，持續助力整體(tǐ)提升我(wǒ)國應對數字時代高級威脅的安全能力。

另外(wài)，對于同行業的競争，周鴻祎倒顯得格外(wài)豁達。他表示，君子和而不同，大(dà)家來自不同的背景、不同的角度，對網絡安全有不同的理解，希望大(dà)家可以暢所欲言，充分(fēn)交流。如此看來，一(yī)個心系大(dà)國的企業，是會時時刻刻把國家和人民的利益放(fàng)在首位的。

大(dà)數據時代中(zhōng)國終于和衆多大(dà)國跑在同一(yī)起跑線上，數據安全沒有“靈丹妙藥”，持續的技術創新是重要基礎，從聚焦數字化時代的網絡安全建設，打造新一(yī)代安全能力框架；到精耕數據安全治理，全方位服務城市安全運營，360政企安全集團在築基國家大(dà)數據安全的征途中(zhōng)，不斷實現嶄新突破。相信未來，360新一(yī)代安全能力框架的服務，會成爲中(zhōng)國數字經濟的高質量發展穩定、持續的護航。