“360上市将严格遵照法律法规正常进行,不要听信市场传言,有些流氓股票就会造谣。”9月12日,周鸿祎身着标志性红衣接受了包括雷锋网在内的媒体访问。
除了对上市流程表态,360公司董事长周鸿祎还回答了这些问题。以下是周鸿祎的采访实录,雷锋网编辑在不影响原意的基础上略有删减。小标题为雷锋网编者所加。
周鸿祎:最近我们做安全做了这几年,有一个思考,现在再孤立地谈网络安全可能太低估这个网络安全的挑战和威胁,所以我们定义为大安全时代,因为这几年安全越做,安全问题越大,就证明很多策略和思想都要随之改变。
我说三件事儿其实是让大家重新去思考,过去大家一叹就是网络安全、信息安全、电脑安全,我就都都太窄比如三件事儿,美国的大选、黑客的介入改变了美国政府的政治走向,选了一个新总统;乌克兰过去两年一直在战乱,但乌克兰简直成了网络战的练兵场,而且网络的目标就是电站,不再用战斗机扔炸弹一样可以实现大面积的断电。包括今年勒索病毒,虽然发作被我们控制住了,但因为它是用网络武器,它的很多威力小小地露了一手,但也可以让你窥一斑而知全豹。今天整个社会和互联网已经结合得很紧密了,整个社会一种说法是转在互联网上,一种说法是运转在软件之上,加上现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了,线上线下全都连通了,这种情况下,网络世界的攻击都开始蔓延到真实世界。我们就发现,现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。
比如,美国今年出了好几次军舰和船相撞,美国自己都解释不清楚,说会不会有人利用 GPS 欺骗,把一个货轮引偏航撞他的军舰,这不是都没有可能。这种情况下,我们需要换一种观点来看,所以,我们提出“大安全d”。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,美国人在网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。
在网络战时代,它和传统战争有很多的互补,甚至有的情况下网络战可以超过传统战争,达到不战曲人之兵的地步。WannaCry只是演变,和 WannaCry 一块儿泄露出来的美国很多网络武器,我们经过筛查,有不少在中国原来都已经进行过渗透攻击,只是原来我们不知道而已,所以你会发现,这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了,包括美国自己也受不了。
网络战里,我们提出一个概念,要开始重视一个战略资源——漏洞。过去我们老把漏洞当成软件上不起眼的小错误,但今天别人能供给你可能因为楼,你能防守可能因为发现一个漏洞,所以漏洞变成兵家必争之地,在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。美国非常注意通过活动采集、挖掘漏洞,而其他国家的意识比较淡。
网络战时代的各国的网络军备竞赛一定会开始,就像核竞赛一样,有的国家拼了命要召个大核弹出来,未来已经有几十个国家都成立了网络战部队,包括美国把他的网络战部队升级为一级司令部。在“大安全”时代,作战的指导思想,防御思想要改变,过去我们老修马奇诺防线,《敦刻尔克》告诉你马奇诺是靠不住的。今天所有的系统都有未知的漏洞你一定是防不住的,别人一定会攻击你,这种情况下,怎么重新进行新的作战思想的改变,这也需要在“大安全”时代下整个防御思想要彻底改变。
过去的网络攻击还仅限于信息方面,今天的网络攻击可以断电,劫持你的车,在高速上急停或急启。今天特别对基础设施的攻击会带来对整个社会的巨大影响,这是人类前所未有巨大的威胁。所以,以后可能部队打仗之前,陆军、坦克没动,先用空军,空军没启动之前先用网军,把你的雷达站摧毁,这是巨大的挑战威胁。
“大安全”时代我们认为网络犯罪不断增多,因为产业特别大,黑色产业链,很多人千方百计,我们有个可怜的小程序圆在网上认识一个女的,这也算网络犯罪,女的隐瞒了身份,通过聊天也能把人逼死也算网络武器。反过来公安要破这个案子也要通过网络,包括国家最近为什么要打击虚拟货币?很多网络犯罪印泥,为什么过去能勒索你,敲诈你,为什么不留个支付宝帐号?留个支付宝帐号公安明天就抓上你了,留个比特币的钱包他以后抓不到你。所以及以后警察破案基本90%要和网络结合。
网络恐怖主义危害也会开始,昨天是9.11,典型的恐怖主义,如果拉登活到现在再攻击不一定会用传统的攻击方式,发现用网络攻击把美国核电站摧毁或者电力系统摧毁,影响的就不是一个大楼里的人,而是一个城市。很多国家现在反恐的压力都很大,而恐怖主义一旦意识到,几个小毛在利用网络网上武器就能造成这么大的影响,他们反过来不需要特别高深的技术,这种自动化、平台化的武器拟达到就可以使用。就像有人造了很简单的机枪实弹也可以做到。
大安全时代,军民融合是唯一可走的方向,过去说打仗是靠军队,打网络战,不论是进攻和防守,民间的公司货民间的人才都要融合,未来的网络战争不区分军用目标还是民用目标,和网络是连在一起的。很多大数据、技术、特别是人才,因为最后网络战的本质是,就像今天给展示了,不是他们黑客技术很棒,这两个人都是很疯狂的人,很不一样的人,这样的人估计很难招到军队,招到军队可能也会被开掉,今天黑客身价很高,这些人可能自己开公司,必须通过军民融合机制把这样的人调动起来,才能够真正地打一场人民战争,所谓网络安全靠人民。现在军民融合,习总书记很重视,我们还是要不断鼓吹这个理念,军队,国家队和民间网络安全(公司)的合作。
这个大会的主题是个正确的废话,我们讲来讲去,人是网络安全中最脆弱的因素,所有的攻击能得逞除了利用某个漏洞和技术,最后人一定是出问题的。可以举出 N 多的例子,人懒惰,违反规定,图省事,好奇,就会导致问题。
如果你有了再先进的系统,比如希拉里也是前国务卿,总统候选人,她有强大的安保团队,包括网络安保团队,奥巴马以前很喜欢用黑霉,当总统之后不允许他用普通的黑莓,而是美国国安局给他做了定制的黑莓,确保安全,但希拉里在家里偷偷架了邮件服务器,但系统再强大也架不住一个人在中间给你??。
安全最终还是靠人,靠安全专家,系统不可靠,漏洞满天飞,人也不太可靠,很多单位都做了规定,说内网不许连接外网,这个规定没什么效果,老有人偷偷连,规定也不可靠。我们现在不能把安全放在很多假设之上,要做最坏的打算,争取最好的结果。
所以,要把安全业变成服务业,不是三峡大坝我们卖一台防火墙,给他装一套360就OK,没问题了,以后针对三峡大坝的攻击一定会有。比如,中国和某个邻国之间有纠纷,纠纷的本质可能是水资源的问题,中国要在雅鲁藏布江修一系列的水坝,这些水坝将来会不会是敌国或邻国重点攻击的对象,以后不是派飞机炸这个水坝,而是要控制你大坝的控制系统,你说光买点安全的东西就能高枕无忧吗?一定需要一直强大的安全团队为他提供长期的安全服务,平常帮他做攻防演习和发掘漏洞,被人攻还能发现,人进来总要干坏事,这时候就要上人,决不是靠人工智能。
在安全领域最高两群人在较量,人工智能离这个还差得很远。安全行业以后要变成高智力的服务业,用这个方法,我觉得才能最后,说白了就是上人。毛主席说过,最后决定战争胜负的不是武器,而是掌握武器的人。大家和世界其他国家比,甚至美国的武器都比我们更犀利一些,他们掌握的漏洞会更多一些,非对称基础上,最后网络战能打成什么样还是取决于人。
我们今天在会上阐述的,想表达一个观点,以后不用再谈信息安全,也不用再谈网络安全,“大安全”时代,从国家安全开始到产业安全、社会安全、工业互联网安全,到人身安全要有系统化的考虑,在这个“大安全”时代,攻防思维,策略要改变,格局要改变,包括对人才的需求,产业的发展方向可能都会改变。这是我们今天主要在这次大会上提出的目标。对整个安全行业应该还是正向的。
周鸿祎:安全还是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任,一个企业除了让员工挣钱,员工买了房子之后,也需要一种成就感,我们在行业里也需要。企业能不能长久,要看能不能做到被人民离不开,政府离不开,社会离不开,你也很有机会。
安全不管挣不挣钱都会坚定地把它做好。安全肯定要做大,“大安全”的时代,大家对360的理解不能只是免费杀毒,拦截骚扰电话,其实在今天的工业安全、社会安全、国家安全、网络战攻防方面360都能发挥重要的角色。
我们为此还成立了企业安全集团,2B这块专门有集团在做。除了2B,我们安全、社会安全和未来新兴的物理安全领域都是巨大的机会,就像我刚才说到了,军民融合是个大的机会,美国最挣钱的是军工产业,一打仗军工产业都挣钱。
网络安全未来是服务业,以后一个安全公司就像今天的本杰明一样,不卖任何东西。本杰明今天讲的就是未来的模式,我这帮人也不是去黑别人来搞破坏,我就和银行签定协议,每天通过国防发银行漏洞,银行遭到攻击我上门及时帮你发现修补,我认为,网络安全从培训和服务业角度,未来这个产业发展也很大。网络安全是我们的基础。
第二,多元化的问题是因为王兴那天文章“网络没有边界”,大家就开始讨论多元化的问题。我的感觉,一个企业如果专注地干好一件事儿,又挣钱,又很开心,这当然最好,但是在中国互联网里,这挺难做的,不是你进别人的边界就别人进你的边界。
还有你站住一个地方,最后发现这个地方挺荒凉的,光卖电影票是不挣钱的,还要进入别人的领域。所以,我们要尽量聚焦,我们过去总结一下,老是不太聚焦,什么风口都要跟一把,什么事情都不想错过,比如VR、人工智能。
目前我们安全产业没有做起来,安全产业不是我们最挣钱的,安全产业我们也基本不挣钱,所以,安全之外还要做点挣钱,互联网的事情,就像腾讯在通信上部挣钱,但还得做点游戏和广告。
我们未来不会只有安全这一个业务,互联网上,我们未来还是会把网络安全的基础工具做好,另外是漏洞,我们在短视频马上要开始发力,未来在手机上,和 PC 不一样,PC 是生产型工具,工具很重要也很牛掰,但手机不一样,是你一个工具,是你一个器官,是你和世界连接的接口,手机上的内容很重要,包括我们有短视频和游戏,最近我们做了游戏人事的调整,抛弃我们过需只是游戏分发渠道,我们既然有游戏分发渠道,把自己游戏的内容、创造能力产业链应该能打造起来。
未来人工智能、IOT、智能硬件会和手机紧密结合,未来我认为会聚焦在这几方面,安全为基础,然后内容,搜索也是技术的一部分,我们会把搜索导航继续做好,还有人工智能和智能硬件的结合。
马云今天提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。所以,我在屋里想了好几个月,想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说的。
周鸿祎:三个方面,第一,这几年随着360在行业不断宣传之后,安全产业发展之后,整个薪酬水平都在提升,包括互联网公司认识安全,比如腾讯解决微信的安全,马云要解决支付宝安全,他们现在也在大量招聘安全人才,所以安全人才在过去几年里薪酬水准提高了5-10倍,这一点不夸张。原来安全人员比较苦的,人往高处走,这会吸引很多人进入。
我们有个创业大赛,过去安全企业很少能拿到投资,这几年情况发生变化了,国家重视安全产业,安全产业也发展起来,针对安全的投资多起来,也会鼓励很多人加入安全的创业,基数怎么解决呢?我们可以吹个牛的,360做了很大的贡献,原来我们在大学里招聘时发现只能招软硬件通讯行业,大学没有安全专业。你说搞个攻防大赛、安全大赛,大学都不愿意给你搞,因为你教会了学生攻防能力,明天他把教务处给攻了怎么办呢?把学校附近的银行拿下怎么办?很多老师怕承担责任。
后来我们通过几个途径,给总书记写了一封信,就觉得做大事不拘小节,要培养人才。所以,总书记给了很大的批示,在前年和去年,所以就做了两件事儿,第一各个高校现在都能把计算机安全和网络攻防作为一级学科,可以由硕博授予的冷藏,就像计算机软件一样,给大学放开了这个手脚;去年又邀请了武汉、西安、武大一些城市率先和我们这样的公司合作,实验建立国家级的网络安全学院,就是定向培养网络安全人才。我国年轻人多,这么多大学一旦动起来(规模非常大)。网信办马上要公布10所大学作为第一批的国家级网络安全学院,未来每年培养几千人,五年下来就能到几万人了,我们还是做很多工作。
周鸿祎:这还真没统计过,回去要算一下。但是从我们来看,现在网络安全顶尖人才第一大学还没毕业,所以我们觉得可能不需要上完大学;第二,不一定是高材生,很多人看着一个个都挺屌丝的,他就热爱这个行业,都是一些怪才,就像你今天看台上的这个人是不是他很怪。这个角度讲,很难用正常大学生(的方式)培养。有的人考不进大学也可以进入网络安全学院,有靶场给他们实验,有很多的老师和师傅,有攻防实力,我估计1-2年里培养出基础人才,能否到顶尖靠他自己的悟性,顶尖人才和天赋也有关系,不是完全靠培训能培训出来的。
周鸿祎:行业有不正之风,大家觉得去海外参加比赛像参加奥林匹克,得到外国人的首肯有很光荣。时间长了我发现一个问题,美国军方、美国情报机构特别热衷干这个?为什么?开始搜集漏洞,因为这个漏洞一亮这个漏洞再也用不了,美国人就知道了。
从来就没有美国队,前三名都被中国队包办,美国就不参加。北约有个规定,北约盟国研究漏洞的人根本不允许来中国、俄罗斯,东方武器禁运国,不想参加比赛,美国人就不想参加奥林匹克吗?我有不供给友邦了,世界坦克大赛美国人为什么不赖?只能友好国家进来,来了以后就必然会把很多泄露出来。我意识到这个问题,美国人拿了一个漏洞,他可不能轻易拿来做比赛,可能送给国安局,类似 WannaCry 做个网络武器,武器很保密,一用三年,悄悄地用,要不是这次被泄露的,没准还能长期使用。
但是,我们很多漏洞,比如,挖到了类似的国家重要战略资源能拿到世界顶级黑客大赛攻破,美国专门给你设了命题,让你去攻,这都是高价值漏洞,美国也就给你十几万元奖金就觉得很高兴,如果卖给某个犯罪集团和国家情报机构是百万美金算的。
这些漏洞是不是应该留在国内,看国家是不是需要?比如我们很多漏洞是来不及修补的,可能意味着你把很多的信息都告诉了其他国家。我是对这个是持公开反对态度的,但没办法,它形成了风气,有的公司不干别的事儿就以去国外参加比赛,得奖为主,对他来讲就是天天压着360就行了。我的人老忍不住,非要较这个劲,这是个大问题,我的观点还是很明确的。在“大安全”时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名,so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你有的东西美国人全知道,你说这个仗怎么打?
周鸿祎:事实上,我们现在有两种方式,第一,我们已经花钱收漏洞,因为还是要花钱;第二,我们也鼓励国家应该做投入,做漏洞交易所没准就卖到黑产手里,所以国家要投入的。美国每年在漏洞上,美国办比赛每年奖金几百万美金,中国这么国富民强,每年拿出几亿、十几亿买点漏洞不是应该的吗。
周鸿祎:我们现在已经把 AI 作为一种手段,AI 能不能帮我们发现代码的漏洞和攻防的辅助,目前的网络攻防是高智商的对抗,目前的AI显然达不到这个水平,作用还比较有限,无法做到两个AI系统去对攻和防守,但AI系统带来的问题,刚才我讲到安全的问题,大家公认的问题反而不存在,比如很多人担忧AI有自我意识了,机器人觉得人类太讨厌,把人类干掉,这种短期内不太可能。
但 AI 会带来两个问题,一是 AI 系统本身是个复杂的系统,是用数据推算出来的系统,只要是复合系统,里面就有一些漏洞,就可以攻击。很多AI系统是用神经网络推算出来的,AI系统创作者会让AI认出来猫和狗,自己都说不出怎么认的,只是给了1万张猫的图片,1万张狗的图片,里面有大量的运算。
AI 无人系统被劫持了,这个车开着,你劫持还能抗争和踩油门,这个车没人开,没有方向盘,你被劫持了,真的只能听天由命的,为什么国外的人也赞成军队用 AI,改造武器智能化,一石激起可以扣扳机,不一定自己扣扳机,一旦被别人劫持了就会扣扳机,这个挑战就大了。