在今年8月的一次峰会上,提到中国的网络安全时,周鸿祎说了“我是非常悲观的”这样的话。希拉里·克里顿曾说过:“穿越中国的现代防火墙,我们美国人能够到达中国的每一个角落”。究其原因,是因为中国缺乏真正的“网络主权”,使用的是主根服务器在美国。
为了守护国家网络安全,推动安全产业快速发展,国内最大的网络安全平台奇虎360决定8月19日在北京雁栖湖国际会展中心举办第七届互联网安全大会(ISC2019)。特殊的局势赋予了ISC全新的使命,周鸿祎表示,今年ISC的目标是办成中国的RSA(美国信息安全大会)。
周鸿祎认为全世界已经进入了网络战时代,信息安全问题迫在眉捷。作为亚太地区规格最高、规模最大和最具影响力的安全峰会,ISC希望通过搭建开放平台,集全行业之力为中国网络安全出谋划策,推动行业内外合作共赢,“应对网络战、共建大生态,同筑大安全”。
为了显示对此次大会的重视,更为了向世界展示中国力量,今年的ISC大会还在纽约时代广场投放了广告,高调之余很“周鸿祎”。
01
网络战时代
在8月的那次峰会上,周鸿祎分享了一个案例,让现场观众倒吸一口冷气。他说道:“最近360帮某大型通信运营商排查了一次网络安全隐患,两周后发现,某大国对该企业进行了网络情报窃取行为,而且已经潜伏了6年之久。”这样的事情每天都在发生,就是你我身边。
今天的网络战有一个显著的特点,那就是预埋攻击漏洞,悄悄潜伏,伺机而动,主使者往往是国家级的网军。今天的网络战已经变成了国家与国家之间的对抗,漏洞无处不在,攻击对象转变为基础设施。通过对基础设施预埋漏洞,有可能会掀起大规模的网络恐袭和犯罪。
周鸿祎认为,信息化时代网络战的对手变了,正规军取代了小毛贼,于是开始了国家级的对抗。对物理世界的攻击(如能源、交通、通信等关键基础设施)取代了对虚拟世界的单纯病毒攻击。全球化网络战不分战时和平时,长期渗透与短期攻击并举,小问题背后暗藏大危机。
听起来似乎有些科幻,但并不遥远。去年曾有人曝光了英特尔处理器的两大漏洞:熔断和幽灵,涉及英特尔过去十年推出的所有芯片组。这两大漏洞实际上是英特尔故意预置的后门。2014年新华网也曾报道,美国的思科在自己生产的路由器中预置后门,不知“意欲何为”。
在今年的ISC大会上,360集团高级总经理梁志辉也透露,不少浏览器正在以保护用户安全为名收集用户信息,其中不乏国外主流浏览器。
信息化时代,中国的政企和个人在信息化的海洋里几乎是在裸泳,所有的一切都向外敞开着,中国的网络安全问题非常严峻。
除了大量政、企和个人用户的信息暴露在外、被悄悄收集,作为PC端上网的第一入口,浏览器一直是网络攻击的重灾区。Cookies攻击与篡改、域名劫持、木马钓鱼等时时刻刻都在发生,一不留神就有可能中招。一般人很难知道,自己遇到的是李魁,李鬼、还是带毒的李鬼。
为了应对这样的情况,2007年奇虎360推出了安全浏览器,迅速成长为市场渗透率82%的浏览器,每天帮助4亿月活用户查杀2000万钓鱼木马。360极速版浏览器市场渗透率也达到10%,360浏览器在中国PC市场中份额居于第一。在这个成绩背后,360安全大脑功不可没。
为了应对信息化时代的网络战,奇虎360在2018年回归A股时确立了3+1发展战略,通过云端大脑将IoT生态安全一体化的安全大脑是其中的核心。这个“核心”早在2017年就已经启动,并被运用在了浏览器中,赋予了360浏览器16层防护,为政、企和个人用户的网络安全保驾护航。
02
自主可控和安全可靠
2017年,GoogleChrome团队调查后发现,赛门铁克公司错误签发了至少3万张证书,这将浏览器陷入了一个极度危险的状态。这将导致官方认证的李魁有可能是李鬼。调查结果公布后,全球五大浏览器同时发布不信任计划,全球市场份额第二的赛门铁克证书部门被整体出售。
赛门铁克事件发生后,Google开始搭建自有CA根证书计划。2018年12月,360浏览器也宣布创建自有根证书计划,并在今年正式宣布与微软的信任根脱离,未来只信任参与360根证书计划的CA。360浏览器CA根证书计划将面向全球CA公司公开接受申请,“共建大生态”。
根证书计划简单理解,就是为用户创造一个更加可信的上网环境,将不安全的网站统统标记出来,构建安全上网的可信防线。360浏览器支持一个网站部署两种证书,优先支持国密算法。目前全球已有13家CA的53个根证书加入360根证书计划,其中包括谷歌的6个根证书。
自有CA根证书计划在进一步夯实360浏览器安全防护的同时,也在推动安全大脑的进化,为安全大脑源源不断的提供安全大数据。
安全大脑由“国家安全大脑、城市安全大脑和家庭安全大脑“组成,也就是3+1发展战略中的”3“,全面覆盖政全面覆盖住了政、企和个人。“1”则包含360搜索、信息流、游戏、导航和短视频等业务,称为互联网战略,不少业务都以浏览器为载体运行,所以加强浏览安全防护至关重要。
面对潜伏式的长期渗透和攻击,网络安全的防护策略也需要做出相应的调整。360希望做出一套雷达防控系统,通过大数据技术第一时间发现网络上的信息攻击,并推演出攻击的脉络。防患于未然的同时将单次攻击背后的“系统化入侵”连根拔起,无限推高攻击潜伏的难度。
只有这样才能实现中国信息环境的自主可控和安全可靠,建设中国自己的“网络主权”,在全球化网络战中保护中国的政、企和个人。
要做出这样一套雷达防控系统,360杀毒软件和浏览器等基础性产品需要承担起更大的责任,它们是网络安全的最前线,承受攻击的同时沉淀下了大量安全大数据。以360安全浏览器为例,到目前为止已经积累了8000多万条恶意地址库,全面修复了浏览器领域已知高危漏洞。
03
推动国产平台崛起
要实现自主可控和安全可靠,就必须要摆脱外国产品的束缚,发展自己的技术和平台,华为在芯片和操作系统上下足了功夫,360则在安全护航上下足了功夫,360根证书计划便是落地的重要一步。ISC也是以此为发心的产物,所以支持国产是今年ISC大会的另一个主题。
360集团高级总经理梁志辉在2019ISC国产计算平台终端安全分论坛上表示,作为中国PC市场第三方浏览器市场占有率第一的产品,“今天我们希望在国产计算平台上,建立浏览器的新标准”,其中便包括支持国产平台。核心的思想就是帮助生态内的玩家解决跨平台应用运行和开发的难题。
随着PC市场的回暖,多屏时代的来临,应用跨生态和平台的开发成本日益沉重,针对当前这一现状,360浏览器在新标准中加入了“同一套代码编译,跨平台一致的用户体验”,并“解决国产平台适配问题1000多个”,针对13种OS、6种CPU只需要一份代码。
对于当下的中国网络,支持国产平台的崛起最直接的一个方式就是降底应用开发成本。随着IoT市场的崛起,多屏、多生态兼容成为了一个问题,手机一个系统、平板一个系统、PC一个系统、TV一个系统,这对于创业者来说是极为不利的。“共建大生态”要解决这个问题。
支持国产平台的崛起,促进中国网络安全生态发展的前提还有一个,那就是丰富和推进自己的生态发展。为此奇虎360推出了360企业安全浏览器,“为政企提供国密通信等定制化服务”,并推出了依托在360浏览器跨平台内核上的360小程序,提升360浏览器的生态价值。
360小程序的目标是成为微信、支付宝等移动小程序的延伸,目的是构建一个“联合国”般的生态,不是为竞争而来。360小程序不需要额外开发一套小程序代码,360提供转换工具,可将移动小程序直接转化为360小程序,开发者只需要维护一套代码,有效降低应用开发成本。
共建大生态的方式有很多,每一家企业都应该立足于自己的核心优势和业务。对于360来说是3+1发展战略,360浏览器、小程序和CA根证书计划是其中的落地项,核心是专注于网络空间的雷达系统,解决看得见的问题。网络安全上的其它事则交给其它公司来解决。
严格来说,今年的ISC2019大会是属于所有人的,事关中国网络安全的未来,是为了“守护国家网络安全”,谋求中国的“网络主权”。本着所有人的大会所有人来办的原则,ISC2019采取了开门办会的形式,与政府部门、安全企业、互联网公司安全部门、投资机构携手合作。
在各方的共同努力下,今年ISC2019共策划组织了20多场分论坛,内容覆盖前沿技术、人才培养、行业标准、投资机会等细分领域。
全球化的浪潮正汹涌且激荡,开放才能有更广阔的未来,所以ISC2019的嘉宾不仅有来自中国网络安全行业各领域的领军及新秀企业,国内重点央企和基础设施单位网络安全负责人,还有来自美国、以色利、俄罗斯等国家的网络安全专家、诺贝尔奖得主和国际顶尖黑客。