“為應對數(shù)字化時代的安全挑戰(zhàn)，我們有很多問題都需要解決。但當前最緊迫的任務是要變革傳統(tǒng)的碎片化防御模式，打通安全產品，實現(xiàn)互聯(lián)互通；打破各自為戰(zhàn)，實現(xiàn)協(xié)同聯(lián)防。”近日，在全國信息安全標準化技術委員2021年第一次工作組“會議周”全體會議上。360集團創(chuàng)始人、董事長周鴻祎表示，未來網絡安全無小事，我們需要以網絡安全標準為引領，推動網絡安全互聯(lián)互通和協(xié)同聯(lián)防，才能真正提高應對網絡攻擊的能力。

碎片化防御已經過時 網絡安全協(xié)同聯(lián)防亟待統(tǒng)一標準

當前，數(shù)字化已經上升為國家戰(zhàn)略，在“十四五”和2035規(guī)劃里，數(shù)字化都占據(jù)濃筆重彩的篇章。但因為數(shù)字化“一切皆可編程、萬物均要互聯(lián)、大數(shù)據(jù)驅動業(yè)務”的三大特征，數(shù)字經濟面臨網絡攻擊的可能性越來越大。同時，與過去的小病毒、小木馬不同，未來最大的問題是APT攻擊、有組織的網絡犯罪、甚至是網絡恐怖組織等。這必將導致過去碎片化的防御手段無法應對新的安全威脅。因此，周鴻祎認為，只有建立有效的網絡安全行業(yè)標準，以標準為引領，推動網絡安全互聯(lián)互通、協(xié)同聯(lián)防，才能真正提高我們應對網絡攻擊的能力。

以威脅情報為例，周鴻祎表示，這正是網絡行業(yè)比較落后的地方。萬物互聯(lián)時代，互聯(lián)網用TCP/IP協(xié)議把每一個終端、每一個人都能連在一起，但是網絡安全行業(yè)沒有連接，每一家公司都在碎片化地解決問題?！澳阌昧藦埲业臍⒍拒浖?，他用了李四家的防火墻，每個人都只看自己的一畝三分地，如果高級安全威脅來了，這種防御體系不要說防御，很多單位連看都看不見。”所以他認為，我們必須要通過現(xiàn)在威脅情報的定義，積極構造標準，實現(xiàn)安全廠商之間的互聯(lián)互通，尤其是要解決安全數(shù)據(jù)的輸出和威脅情報的查詢共享問題。對此，360也積極嘗試，打造了360網絡安全大腦，把安全產品輸出的日志、輸出的安全事件統(tǒng)一后再做中心分析。最后再通過威脅情報，輸給所有網絡安全的產品，做到分析情報有標準、上報情報有標準。

引領數(shù)字經濟健康發(fā)展360推動多項標準制定落實

與此同時，在中央網信辦和信安標委的領導下，360牽頭和參與了大量安全標準的制定工作。當前，360正在推進建立APT安全知識圖譜。周鴻祎說，這正如國際對新冠病毒進行了基因命名，就可以讓各個國家都能了解不同國家的病毒變種。360基于過去15年監(jiān)測到的大量攻擊樣本，推動編輯命名APT的“DNA”。以此統(tǒng)一描述攻擊每個階段的戰(zhàn)術、技術和行為。就能讓所有的公司、單位發(fā)現(xiàn)了攻擊，都能使用標準化的語言描述它。目前，該標準已初步形成了中國通訊標準化協(xié)會行業(yè)標準草案。

周鴻祎直言，在這方面，美國人已經走在前面，建立了一個叫ATT&CK的標準，把攻擊的方法和所有用到的技術都標準化。因此，我們國家也應該迅速跟上。此外，360還參與了國家關于網絡安全能力的評估標準制定工作。這個安全能力評估標準，主要用于評估關鍵企業(yè)安全能力，作為國家、軍事重大工程準入依據(jù)；評估中小企業(yè)安全能力，解決供應鏈攻擊問題。該標準可以在一定程度上倒逼很多不太重視安全的企業(yè)，在網絡安全方面加大投入，加強建設。

 網絡安全不是固定不變的標準需要持續(xù)實踐并修正

“第一，是要有標準；第二，是要用好和落實標準?！痹谥茗櫟t看來，安全行業(yè)從來沒有一勞永逸，安全是矛和盾、貓和老鼠的游戲，建立網絡安全標準，也要在攻防實踐中不斷落實、加強、提升。對此，他建議，網絡安全標準應該由國家指導，由企業(yè)結合實踐來不斷落實和完善，才能更好地發(fā)揮標準的引領作用。

周鴻祎認為，網絡安全的本質是人跟人的對抗。所以網絡安全行業(yè)不是固定不變的。因此，網絡安全的標準一旦定出來，也不是一成不變的。落實到企業(yè)層面，就要求企業(yè)有兩個準備：一是有實踐經驗的企業(yè)應該主動積極地投身到標準制定中，而不是等著別人制定標準，然后僅做自我合規(guī)。二是在標準制定之后，不僅落在紙面上，還要能夠落實到產業(yè)中，在實踐中不斷反饋，持續(xù)修正標準。只有如此，才能真正做到以標準為引領，推動網絡安全互聯(lián)互通和協(xié)同聯(lián)防，筑牢國家數(shù)字化戰(zhàn)略的基石。