来源：亚布力中国企业家论坛

责编：严莉

2020年9月20日，2020世界工业互联网产业大会在青岛开幕。360集团董事长兼CEO周鸿祎在会上发表题为“安全是工业互联网发展的先决条件”主题演讲。

他表示，工业数字化会带来一个很大的安全问题——工业系统中存在着大量已知或者未知的安全漏洞，为网络攻击打开了方便之门。未来，每个工业企业都将是大数据企业，拥有海量的数据。但是，开发利用数据必然离不开数据的共享、交换，但越是共享、交换面临的安全风险就越大。

他认为，网络安全讲百遍不如打一遍，要把实战对抗演练作为检验安全能力的唯一标准，通过实战发现问题、磨练队伍、完善响应机制，形成能力不断进化提升的闭环。

以下为周鸿祎演讲全文（有删减）。

来源 | 科记汇

今年，突如其来的新冠肺炎疫情，带来了物理空间阻隔、人员交通隔离，但这些困难反而更刺激了工业互联网的发展，让我们更加清晰地看到了数字化转型的大趋势。网络安全和信息化是一体之两翼、驱动之双轮，工业互联网的建设和发展，必然离不开安全的保驾护航。

第四次工业革命正在以空前的深度、广度和速度席卷全球，无论是德国的“工业4.0”，美国的“再工业化”，还是中国的“智能制造”，核心都是将工业互联网作为核心着力点。

今年，国家提出“新基建”，其中工业互联网就是新基建的重要组成部分，是推动工业经济走向数字化、网络化、智能化、融合化的新动能，工业互联网必然将成为全球数字经济发展的主战场。

我们已经看到，工业互联网的广泛应用带来了巨大的经济社会效应。据测算，2020年中国的工业互联网产业经济将达到3.1万亿元，占GDP比重接近3%，而且工业互联网还将带动超过 255 万个新增就业岗位。未来，工业互联网的带动作用还将更加突出、更加明显。

从技术角度看，工业互联网的本质是实现工业的数字化。在这样的趋势下，我们也能看到工业互联网也将出现更多新的安全风险。

工业数字化的第一个特征是一切皆可编程，工业互联网的设备、控制系统、平台、应用都将架构在软件之上，都将由成千上万行、甚至百万行、千万行的软件代码来实现。这就带来一个很大的安全问题——工业系统中存在着大量的已知或者未知的安全漏洞，为网络攻击打开了方便之门。事实已经证明，漏洞不可避免，国际上统计每一千行代码平均有4~6个缺陷，就有可能导致安全漏洞。网络安全发展到今天，安全最大的风险就是漏洞，漏洞一旦被网络攻击者利用，就可以悄无声息地侵入系统或者控制整个系统。工业互联网还将引入5G、NBIoT、边缘计算等等许多新技术，这些新技术也存在大量漏洞，新技术用的越多，漏洞也就越多，工业互联网系统的安全隐患也就越大。

第二个特征是万物均要互联。工业互联网不仅打破了原来的局域网、隔离网方式，实现工厂内部设备的连接，而且还将连接上下游供应链企业，形成一个巨大的开放网络。比如，智能工厂里的互联网车床、互联网生产线，甚至在动力传输线上的一个发动机，可能也都联网。联网设备越多就意味着网络攻击面的扩大，当攻击目标指数级增长，单点防护的思路就难以为继。同时，工业互联网设备种类繁多，网络协议不统一，增大了安全防护难度。工业互联网运行着超过1000种缺乏安全机制的工业控制、现场总线、工业通信协议，联网将带来非常复杂的安全问题。此外，工业互联网也将打通虚拟世界和物理世界的边界，过去只能在虚拟世界里发起的网络攻击，今天都可以通过物联网把网络攻击直达生产一线，把网络攻击变成物理伤害。

第三个特征就是数据驱动业务。工业互联网使得工业企业从过去的业务为中心、以流程为中心，转向大数据为中心。数据流将驱动业务流程、打通供应链、产业链和价值链，并且随着数据的共享、交换、开发和利用，带来越来越多的业务创新。未来，每个工业企业都将是大数据企业，拥有海量的数据。但是，开发利用数据就必然离不开数据的共享、交换，数据只有共享、交换才能发挥价值，但越是共享、交换面临的安全风险就越大。数据安全不仅面临外部的网络攻击威胁，还面临着内部数据泄漏，包括是否越权访问、是否有内贼偷窃、是否滥用等问题。数据安全将直接影响业务安全，造成生产的停顿、混乱甚至是巨大的经济损失。

所以，工业互联网、工业数字化将导致工业网络基础设施将变得更加复杂、漏洞将无所不在、攻击面将无限扩大，脆弱性前所未有。

同时，工业互联网导致关键基础设施联网，例如电网、机场、石化、医院以及大型制造企业，为网络攻击提供了以前没有的高价值目标。所以，工业互联网面临着高级持续威胁（APT）、网络犯罪组织、网络恐怖主义的威胁，这些攻击或者出于政治目的，或者出于经济目的，一旦攻击得手，将可以为国家、城市、工厂造成巨大的伤害。以城市为例，因为网络攻击能够造成全局性的破坏后果，它的威力将超越传统的安全威胁。对于一个城市，传统的危化品爆炸、交通事故虽然也能造成重大伤害，但一般不至于影响全局，但是如果对城市的水、电、煤、气等基础设施发动高级威胁攻击或者勒索攻击，就会造成整个城市整体停摆、引起全局性混乱。所以，今天我们要面对的已远不再是原来的小毛贼、小黑产了，目前我们面临的巨大风险可用“七个大”来概括：战场变大，对手变大，目标变大，布局变大，手法变大，最重要的是危害变大，挑战变大。

工业互联网的安全威胁就在眼前。以下是近两年重要基础设施受攻击的例子，包含对电网、制造业、能源部门、钢铁企业、水利设施、海港的攻击，攻击数量愈演愈烈。

面对工业互联网安全的风险和威胁，必须承认的是，安全行业还没有真正做好准备。

面对前所未有的安全威胁和复杂情况，面对前所未有的复杂网络基础设施，客观的说，传统安全还停留在碎片化产品层面，没有指挥体系，没有互通机制，没有能力衡量，没有对抗意识，幻想银弹，忽视人的作用，重视买产品，忽视长期持续运营。

所以，工业互联网建设不能只是先考虑如何做好数字化，等数字化做好了，再买点安全软件、买点安全设备，这种思路实际上已经不能适应今天的发展。今天，需要把安全作为发展工业互联网的先决条件，如果缺少科学的安全设计和体系建设，工业互联网就相当于“裸奔”。

面对变化的环境和安全，要解决这些问题，就需要以新的理念为指导思想，构建新一代的安全能力体系。

安全前置、底层设计，构建安全能力体系。大安全时代的网络环境安全问题非常复杂，如果仍是孤立和补丁式地解决安全问题，最终就是头疼医头、脚疼医脚，治标不治本，需要用系统思维找寻解决方案，要考虑体系、框架、系统、组件、产品各层次，做体系化的安全底层设计，构建安全能力体系。

能力导向、基建先行，建设安全基础设施，积累安全能力。安全能力需要养成和积累，首先夯实安全基础设施，安全能力才能有依托，才能实现运营能力的培养、队伍的锻炼、生态和产业的持续发展；只有积累了安全能力，才能形成公共基础服务，更好地赋能工业互联网生态。

全域连接、全维数据，建设安全大数据智能计算分析中心。安全大数据和威胁情报是发现高级威胁的关键，首先要连接安全域内所有的安全设备，获得全时、全视角、全维度的安全数据，叠加全网大安全大数据，才能真正看见网络空间发生的事件。没有安全大数据，就只能基于局部数据进行感知，看不到攻击全貌，就像是在螺蛳壳里做道场。

以人为本，持续运营，建设以安全专家团队为核心的安全运营中心。安全的本质是人和人的攻防对抗，决定对抗胜负的因素中，人第一、理念第二、物第三，人的作用始终是第一位的；安全基础设施的运转必须要有专业安全人员去持续运营它，形成本地化的安全运营能力，持续保障安全。

实战检验、能力闭环，建立以实战攻防演练为核心的能力检验进化机制。网络安全讲百遍不如打一遍，要把实战对抗演练作为检验安全能力的唯一标准，通过实战发现问题、磨练队伍、完善响应机制，形成能力不断进化提升的闭环。

未来智能实验室的主要工作包括：建立AI智能系统智商评测体系，开展世界人工智能智商评测；开展互联网（城市）云脑研究计划，构建互联网（城市）云脑技术和企业图谱，为提升企业，行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣，欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”