近日，在第十七屆中國互聯(lián)網(wǎng)大會上，360企業(yè)安全集團(tuán)董事長齊向東以三個“新”作答，給出了應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢的三個“藥方”——新技術(shù)、新系統(tǒng)和新機(jī)制，即第三代網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全防護(hù)的“三位能力”系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的三方制衡機(jī)制。

　　新技術(shù)：第三代網(wǎng)絡(luò)安全技術(shù)

通過盤點計算機(jī)網(wǎng)絡(luò)病毒的發(fā)展歷史，齊向東把它分為三個階段：第一個階段是1987年-2000年，對應(yīng)第一代網(wǎng)絡(luò)安全技術(shù)；第二個階段是2001年-2015年，對應(yīng)第二代網(wǎng)絡(luò)安全技術(shù)；第三個階段是2015年之后，對應(yīng)第三代網(wǎng)絡(luò)安全技術(shù)。

第一代網(wǎng)絡(luò)安全技術(shù)核心是“查黑”，黑名單機(jī)制，策略是“非黑即白”。齊向東介紹說，當(dāng)時病毒樣本數(shù)量很少，即便到了2000年，每年病毒數(shù)量才1萬種，這種增長速度很緩慢，平均到每天高峰時也就幾百個，而且多數(shù)電腦感染之后不是立刻發(fā)作，而是滯后幾天、幾周甚至幾個月，這為查殺病毒贏得了寶貴時間。因此，當(dāng)時的應(yīng)對方式是人工分析病毒的特征碼，在電腦里通過掃描文件進(jìn)行匹配、查殺。

2001年以后，互聯(lián)網(wǎng)開始普及，出現(xiàn)了能自我復(fù)制、自我傳播的蠕蟲病毒。蠕蟲病毒與一般病毒最大區(qū)別在于自動掃描并利用系統(tǒng)漏洞和服務(wù)端口，借助互聯(lián)網(wǎng)、企業(yè)內(nèi)網(wǎng)、電子郵件、網(wǎng)站掛馬等方式進(jìn)行傳播，數(shù)十分鐘就能蔓延至全球網(wǎng)絡(luò)。與此同時，流氓軟件爆發(fā)，把木馬數(shù)量進(jìn)一步推高到每日峰值時期的近1000萬個，導(dǎo)致病毒庫無法及時更新；另外，網(wǎng)絡(luò)病毒的傳播速度極快，傳統(tǒng)殺毒軟件滯后幾天、幾周才能查殺的弊端凸顯，“黑名單機(jī)制”宣告失效。

齊向東介紹說，為了解決網(wǎng)民安全上網(wǎng)難題，在2006年，360創(chuàng)新發(fā)明了第二代網(wǎng)絡(luò)安全技術(shù)“查白”，白名單機(jī)制，策略是“非白即黑”。360發(fā)揮自身是互聯(lián)網(wǎng)公司的優(yōu)勢，把擅長的搜索引擎、云技術(shù)、人工智能等互聯(lián)網(wǎng)技術(shù)應(yīng)用于安全領(lǐng)域，建立了全球最大的白名單文件數(shù)據(jù)庫。只要不在白名單中，就可能是新的木馬病毒，進(jìn)而限制其敏感操作，這個方法攻克了當(dāng)時黑名單瞬息萬變不可捕捉的難題。

網(wǎng)絡(luò)攻防的對抗性，決定了沒有攻不破的盾。隨著產(chǎn)業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)和萬物互聯(lián)網(wǎng)快速發(fā)展，以及漏洞挖掘利用產(chǎn)業(yè)化，2015年前后，APT攻擊成為主流，出現(xiàn)了大量“白利用”攻擊手段。黑客利用已知或未知的系統(tǒng)漏洞，把惡意程序注入到系統(tǒng)白文件中，操縱系統(tǒng)文件對系統(tǒng)進(jìn)行攻擊，讓安全軟件看上去是一個系統(tǒng)文件的正常操作，以躲避“查殺”。

“白名單機(jī)制也不再是靈丹妙藥，好比我們守著安檢門，但黑客跟隨有免檢證的人走了VIP通道。”齊向東介紹說，360的創(chuàng)新基因開始發(fā)揮作用，提出了“查行為”的第三代網(wǎng)絡(luò)安全技術(shù)，用數(shù)據(jù)驅(qū)動安全，不再無原則地信任白名單，而是從關(guān)注樣本黑與白上升到關(guān)注網(wǎng)絡(luò)行為。第三代技術(shù)突破了終端和邊界的限制，通過盡可能全地收集大數(shù)據(jù)，對每個樣本、ID、IP、流量進(jìn)行計算，判斷行為是否合法，把可疑行為找出來告警，人工智能的大數(shù)據(jù)行為分析上升成為核心技術(shù)。

　　新系統(tǒng)：低位、中位、高位的“三位能力”系統(tǒng)

網(wǎng)絡(luò)安全領(lǐng)域有一個很著名的“五段滑動標(biāo)尺模型”，包含架構(gòu)安全、被動防御、積極防御、威脅情報和進(jìn)攻反制五個階段。齊向東根據(jù)這個模型，給出了應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢的第二個“藥方”——構(gòu)建低位、中位、高位的“三位能力”系統(tǒng)。

他舉例說，假設(shè)4萬個網(wǎng)絡(luò)安全防護(hù)人員守衛(wèi)1萬個關(guān)鍵基礎(chǔ)設(shè)施，平均到某個關(guān)鍵基礎(chǔ)設(shè)施的防守力量是4個人。如果敵方軍力也是4萬人，他們只需要攻擊一個關(guān)鍵基礎(chǔ)設(shè)施就可以達(dá)到目的，也就變成了4萬人攻與4個人防的對抗，力量如此不對等的戰(zhàn)斗，結(jié)果可想而知。

齊向東給出的解決方案是，把分散在1萬個目標(biāo)上的人員的能力數(shù)字化，集中到一個態(tài)勢感知和安全運營中心里，實時感知威脅并調(diào)度其他點的人力來應(yīng)對敵方的網(wǎng)絡(luò)攻擊，這樣就從一盤散沙變成了一支能被靈活調(diào)配的集團(tuán)軍，將不對等轉(zhuǎn)變成了勢均力敵。

“4萬人分散開來守衛(wèi)1萬個目標(biāo)，就是架構(gòu)安全和被動防御階段要做的事，也是三位能力系統(tǒng)里的低位能力；把分散能力數(shù)字化，集中起來形成能力中心，相當(dāng)于傳統(tǒng)作戰(zhàn)時的參謀部和前線指揮部，是中位能力；威脅情報和進(jìn)攻反制是高位能力。”齊向東說。

他打了個比喻，低位能力好比一個人的“五官和四肢”，負(fù)責(zé)聽、看、聞、嘗、取，以及在大腦指揮下采取動作行動，是傳統(tǒng)的安全防御能力；中位能力是對海量數(shù)據(jù)的建模與分析能力，就像人的“心臟”，不斷輸送血液，為人體供應(yīng)氧和各種營養(yǎng)物質(zhì)；高位能力是云端威脅情報與分析能力，能對中位和低位提供支撐和決策，就像人的“大腦”，負(fù)責(zé)復(fù)雜的思考和下達(dá)行為指令。“三位能力”是一個系統(tǒng)，相輔相成。

　　新機(jī)制：“建設(shè)、運營和安全服務(wù)”的三方制衡機(jī)制

齊向東給出的第三個“藥方”是建立“建設(shè)、運營和安全服務(wù)”的三方制衡機(jī)制。他認(rèn)為這和建筑工程需要建設(shè)方、施工方和監(jiān)理方三方制衡是一個道理。

他以云和大數(shù)據(jù)平臺舉例說，平臺存儲的都是數(shù)字化信息，對甲方來說像“黑洞”，“看不見”數(shù)據(jù)是否被偷、被篡改。甲方獲知的途徑只有兩種：一是數(shù)據(jù)泄露的危害顯現(xiàn)出來，從而推導(dǎo)出數(shù)據(jù)被竊；二是依賴于云廠商的良心，讓他主動報告。

“如果云廠商發(fā)現(xiàn)了事故就報告，一定會受到甲方的處罰；而他不報告，甲方又很難發(fā)現(xiàn)核查，就可以免受甲方的處罰。這個‘二選一’的抉擇中，如果沒有任何監(jiān)督手段，完全憑廠商的良心，其實是對事業(yè)的不負(fù)責(zé)任。”齊向東說。

齊向東表示，云廠商的產(chǎn)品，無論水平多高都會有漏洞。比如，微軟、谷歌、蘋果、Adobe這樣的大公司，每個月都會有幾十個漏洞被發(fā)現(xiàn)被提交。此外，供應(yīng)鏈安全問題、內(nèi)部人員可靠性問題等因素，都是可能造成安全事故的巨大隱患。

“現(xiàn)在我國各地都在大力建設(shè)云平臺、大數(shù)據(jù)中心，安全是政務(wù)云的生命線，需要明晰各方的分工和責(zé)任，甲方是建設(shè)方，要嚴(yán)格要求；乙方是云廠商，要提高標(biāo)準(zhǔn)；還需要第三方安全服務(wù)查漏補缺保障安全。有了這個‘三方制衡’機(jī)制，才能從最大程度上杜絕漏洞，長治久安。”齊向東說。