北京时间6月10日晚间消息，周鸿字化2022年亚布力中国企业家论坛第22届年会于6月10日-11日举行。祎数越高在商业心灵论坛上，程度周鸿祎谈到，安全安全网络攻击的风险手段也超出我的预料，因为我们研究网络战很长时间，数字数字我们觉得利用漏洞的护航App这种定向供给应该是攻击的主力，发现这一次像DDos、文明数据擦除、周鸿字化数据勒索、祎数越高供应链攻击甚至网站攻击各种手段无所不用其极。程度

周鸿祎认为，安全安全数字化是风险一个“双刃剑”，程度越高，数字数字就意味着安全风险就越大。护航一切皆可编程就意味着一切皆可数字化，程序员们都知道再好的程序员只要是人写的软件都会有漏洞，所以就意味着漏洞无处不在。

以下为周鸿祎商业心灵论坛发言全文：

数字安全护航数字文明时代

尊敬的各位同仁、各位来宾：

感谢大会组委会的邀请，非常高兴参加今天的亚布力年会中国企业家论坛。最近我研读了陈东升理事长的新作《长寿时代》，东升大哥一直倡导企业家要站在万米高空和百年时间的跨度来审视我们所处的时代。我也在思考，我所处的科技公司、安全行业将要迎接的是哪个时代。

其实早在去年9月的乌镇互联网大会上，习近平总书记就已经给出了答案。他在贺信中第一次提出，人类将进入数字文明时代。

前段时间我参加了全国政协在北京召开的“推动数字经济持续健康发展”的专题协商会，深切感受到国家在推动数字经济方面的决心与信心。当前，数字经济已经成为推动中国经济高质量发展的新引擎，有些省市也把发展数字经济列为政府一号工程。

但是数字化程度越高，意味着安全风险就越大。

当下有一个鲜活的案例，就是俄乌冲突中的网络战。对数字文明时代而言，俄乌冲突相当于一次“开卷考试”、是新时代冲突对抗的真实预演，下面我结合俄乌冲突中的网络战，分享几点感受：

一是网络战与传统战争结合，正在演变为数字战争，影响战争态势。在战前，网络战已经开打，俄乌政府部门和银行、电信、电力等关键基础设施均遭受了网络攻击。星链卫星、无人机、人工智能等技术与传统武器融为一体，乌方获得美国加持，弥补了弱势；而俄方由于数字化落后，损失扩大。

二是网络攻击的手段无所不用其极。此次双方使用了包括APT攻击、DDos攻击、数据勒索/擦除攻击、供应链攻击等手段。

三是开启了数字时代的人民战争，高科技公司走向攻防前沿，民间黑客成为生力军。乌方能和俄抗衡，主要是它引入很多美国互联网公司、民间网安公司，获得超50个国际黑客组织、30万 “IT志愿军”参与；而俄国主要靠军事情报部门、黑客组织和白俄罗斯APT组织，但因缺乏实力强的互联网公司，处于劣势。

四是对俄开启断网、断供、断服、断证书、断舆论等全面脱钩，意图将俄从数字空间抹去。西方主要互联网公司，包括、、、等对俄停止骨干互联网传输，停发SSL证书、停止域名解析、中断国际传输网络、停止各种软件和服务等，而芯片和硬件供应商如、等对俄“断供”，、禁止俄发声，彻底将俄孤立。而俄由于缺乏市场化的数字产业支撑，完全被动挨打。

我们透过俄乌冲突可以发现，它开辟了数字化战争的新纪元，本质是两方数字化体系能力的直接对抗。因此，今天的俄乌冲突警醒着我们，过去常说落后就要挨打，在数字文明时代，数字产业落后，数字安全能力落后也会挨打。

当前，加快数字化发展已经上升为国家战略。国家的十四五规划和2035远景目标中专篇论述数字化，数字化成为未来中国弯道超车、变道超车的重要抓手。

一方面，中国未来经济的高质量发展必须靠数字化。产业数字化将成为数字化的主旋律，重塑传统产业。未来所有的行业都值得用数字化技术重做一遍。产业数字化将催生工业互联网、能源互联网、车联网等产业数字化新场景。

另一方面，数字化将重塑整个经济。数字经济在国民经济中的重要地位将进一步凸显，在GDP中的占比将逐年提高。未来5到10年，所有的经济都将是数字经济，所有的企业都将是数字化企业，没有转型成功的企业可能就没了。

我相信，这也正是在座各位企业家重点关注的方向。今天到场的各位，既有做数字产业的，又有做传统产业的，大家都在借助数字化积极创新。所以，如果大家做的是数字产业相关的业务，就应该积极投身产业数字化；如果做的是传统产业，那就更要充分利用数字化进行转型升级。

然而，事物往往都有双面性，数字文明时代一方面是发展数字经济，另一方面也需要关注安全。数字化在带来新机遇、新场景的同时，也可能让安全环境更“脆弱”。

总体来说，数字化有三大特征：一切皆可编程、万物均要互联、大数据驱动业务，本质是软件重新定义世界。

“一切皆可编程”意思是一切皆可数字化，而凡是人编的软件都会有漏洞，这也意味着“漏洞无处不在”，新技术同样有漏洞，有漏洞就能被黑客利用遭致攻击，使得整个国家和社会在网络攻击面前变得十分脆弱。

“万物均要互联”意味着边界模糊、虚实打通，过去仅在虚拟世界里的网络攻击，会转变成对物理世界的伤害，导致工厂停工、大面积停电、社会停摆。

“大数据驱动业务”意思是所有的业务都是数据驱动的，数据安全直接影响业务安全。数据一旦遭到攻击就意味着业务停转。这也意味着，网络攻击对象已经不限于设备、系统，而是扩展到数据。

未来，软件定义世界，整个世界都将架构在软件之上，老百姓的吃喝玩乐、衣食住行，整个社会的运转、政府的治理、工厂的运作都架构在软件之上，整个世界的脆弱性将前所未有。所以，安全已经成为数字文明时代的“基座”。

另一方面，数字化面临的外部威胁也不断升级走向高端化。俄乌冲突中的网络战、企业面临的勒索攻击都说明，网络攻击威胁已超越传统安全威胁。

数字文明时代最大的威胁，早已不是过去的小毛贼、小黑客，而是更加专业有组织的网络威胁，包括：国家级背景的网军、APT组织、勒索攻击、DDoS攻击、网站攻击、供应链攻击、网络诈骗等。近年来，全球范围内网络安全重大事件层出不穷，各种攻击手段不断刷新想象，网络攻击也成为大国间对抗的热点话题。这种网络攻击的布局、挑战、目标、手法、造成的危害都突破常规，相较于传统网络病毒有着六个“大”变化——“对手大、目标大、布局大、手法大、危害大、挑战大”。

网络威胁升级的结果就是，网络威胁不仅影响数字化的所有场景，而且关系国家安全的各个方面，未来安全一定无小事。

而随着大量数字化新技术、新应用的产生，导致简单安全问题升级为复杂安全问题，超出传统网络安全范畴。因为，数字化面临的不仅仅是过去的办公自动化等简单场景，而是出现了关键基础设施、工业互联网、车联网、能源互联网、数字政府、智慧城市等新的场景。所以，这些场景面临的安全问题也更加复杂，包括：大数据安全、云安全、供应链安全、物联网安全、新终端安全、区块链安全等新的安全挑战。以大数据安全为例，数据勒索已经成为一种突出的安全威胁，360公司每年接到并处理的勒索攻击事件多达4000余起，受害企业面临着重要数据资产被盗和泄漏的严重后果，轻则造成业务停顿，重则被迫缴纳巨额赎金。另外，俄乌冲突中，俄罗斯对乌克兰政府、金融等部门大量了使用数据擦除攻击手段，造成系统无法启动导致业务中断的严重后果。

但是依然有很多人对安全的认识依然停留在计算机安全、网络安全时代，以为安全就是杀病毒木马，用防火墙隔离等传统手段。事实上，随着新兴的数字技术和复杂的数字化场景带来的挑战，简单安全升级为复杂安全，网络安全行业也应当被重新定义，将计算机安全、网络安全升维到数字安全，才能跟得上国家的产业数字化发展要求，才能保障人们进入数字文明时代。

安全是发展的前提，发展是安全的保障。为保护数字经济发展、数字中国建设，党和国家高度重视数字安全的升级发展。

党的十八大以来，党中央明确以“总体国家安全观”为指导，统筹“传统安全与非传统安全”。

习近平总书记在致2021年世界互联网大会乌镇峰会贺信中强调，筑牢数字安全屏障，让数字文明造福各国人民，推动构建人类命运共同体。

中共中央政治局审议《国家安全战略（2021—2025年）》，明确提出加快提升网络安全、数据安全、人工智能安全等领域的治理能力，这些本质都是“数字安全” 。

国家还从立法层面推进和完善数字安全的发展。继《网络安全法》后，国家于2021年又出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规。

这意味着，2022年已经是数字安全元年。

然而，让我感到担忧的是，虽然时代变了，但仍有很多政企单位的安全思维依旧停留在传统认知上，主要表现在三个方面：

第一，在指导思想上将网络安全视为附庸，投入不够，没有顶层设计。传统的网络防御措施，通常是在信息化建设好之后，硬件安装完成后，购买一些杀毒软件，搭建一个防火墙，网络安全的防护工作就算完成了。这种附庸思维也导致网络安全没有纳入数字化顶层设计，我国网络安全投入偏低，总体上只占信息化投入的1%，与去年发布的网络安全“十四五”规划中，明确政府和公共企事业单位在网络安全上的投入比例不低于10％，相距甚远。 

第二，以卖货思维为主导，重视产品而忽视运营。传统上企业往往会迷信安全防御产品，以为买了产品就能一劳永逸的解决问题，忽视了更为关键的长期运营和实战对抗。实际上，产品不等于能力，就比如医院只有CT机、呼吸机并不能为病人看病，还需要医生、护士这样的专业人员，并且建立门诊、化验、住院一整套的运营体系。

第三，技术上抱残守缺，产品各自为战，看不见安全风险。传统安全中，杀毒软件、防火墙、加密认证等产品之间几乎不会互通有无，各个部门、企业之间也像是散兵游勇，各自为战，结果导致连敌方的攻击都“看不见”，出现了“谁进来了不知道、是敌是友不知道、干了什么不知道”的问题，更谈不上组织有效的防护和应对了。

当我们用这些传统的网络安全手段来保护我们数字化转型的企业时，就像用过时的大刀长矛对抗敌人体系化的海陆空联合作战一样，不堪一击。因此，在数字安全新挑战面前，传统网络安全应该升级。

不同于传统网络安全公司，360不以卖货为目标，而是真正帮助国家和企业解决“看见”APT攻击的“卡脖子”难题，提升数字安全能力。

360以免费杀毒起家，累计在安全领域投入260亿，炼就了约2000PB的安全大数据，这也是世界上规模最大的安全大数据。同时，360常年处于攻防对抗一线，铸就了一支超2000人的白帽黑客团队，提炼形成了全球独有的攻击知识库。以此为基础，形成了360云端安全大脑的原型，能够从大数据中建立攻击行为的全局视角，“看见”网络攻击行为的全貌。

借助“安全大脑”，360已累计发现境外APT组织50个，包括4000多次攻击，涉及了两万多个攻击目标。今年3月份，360再次发现某大国对我国长达十余年的网络渗透、攻击，攻击目标如政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等行业，重要敏感单位及组织机构成为主要目标，占比重较大的是高科技领域。这也被外交部引用，成为有力支撑国家安全的重要武器。

基于近20年的网络攻防对抗实战经验，360总结沉淀了一套数字安全的新战法：

数据致胜：看见是1，要把数据整合运营作为体系建设核心，从全网数据中建立全局视角，帮助企业建立自己的全网大数据，依靠数据分析来发现攻击、应对威胁，这是一切安全防御的前提。

以人为本：数字安全的本质是人与人的对抗，把人作为体系建设的基础，依靠高级攻防专家持续运营。

实战攻防：数字安全必须要立足攻防对抗，要以实战作为检验安全能力的最终标准。对政企机构而言，满足了传统合规要求，不一定代表有能力，就像军队有了航母不代表就一定马上形成战斗力。因此需要从实战中“看见”攻击，修补漏洞，用能力成熟度评估体系代替合规来进行全方位评估，完善防御体系。

顶层设计：要打破安全是信息化附庸的传统思想禁锢，改变先数字化建设后做安全防护的被动局面，立足系统思维，对安全做整体规划和体系化设计。

依托数字安全新战法，360以数字化思维重塑网络安全，打造了以安全大脑为核心的数字安全能力体系，为政府、城市、企业提供完整的安全解决方案。像建立“互联网安全医院”一样，帮助客户构建数字空间体系，建设安全基础设施，输出如水、电、气一样的安全基础服务，实现数字安全的全面赋能。

目前，360是唯一能给城市做整体安全运营和顶层设计方案的公司，能够提供城市级的安全防护。目前这套新框架已在上海、重庆、天津、青岛、苏州、厦门等10多个城市的安全大脑和安全基础设施群中落地。

在这套安全能力框架的支撑下，能够非常容易地扩展支撑数字城市的各种数字化场景，包括数字政府、智慧交通、智慧社区、智慧能源等，真正构建起数字城市的安全基座。

以数字政府为例，习近平总书记在主持召开中央深改委第二十五次会议中指出加强数字政府建设是创新政府治理理念和方式的重要举措，要求加快构建数字政府全方位安全保障体系，全面强化数字政府安全管理责任。360为保护各地、各部门的数字政府建设，提出了电子政务外网安全运营解决方案，以“常态化、体系化、实战化”为方向，以资产识别、威胁防御、风险检测、事件响应、阶段验证等安全运营模型为基础，助力电子政务外网范围内的各单位打造具有对抗能力的动态安全防护体系，持续提升安全能力与运营效率。

另一个数字安全的主阵地是智慧城市。未来，城市将成为网络战的首选战场，维护国家数字安全的主阵地。一旦城市的政府服务、关键基础设施群遭受网络攻击，就会让城市业务停摆、经济停滞。因此我们需要构建数字安全体系，保障城市的数字经济安全、产业数字化转型安全、数字社会安全和智慧城市的安全，实现高质量发展。

过去做网络安全行业是“卖药”的模式。但是大家都知道，光有药、CT机、ICU、体检中心，医院并不能治病救人，还必须有医生、护士，还必须建立一套挂号、门诊、检查、手术、康复的工作流程，才能高效地提供医疗服务。

360要像建“互联网安全医院”一样，帮助城市把数字安全基础设施搭建起来。例如，360在温州瓯江口产业集聚区落地了“360浙南网络安全创新中心”，依托360云端安全大脑建设城市本地安全大脑，并在当地落地安全公司，派驻安全专家，提供持续运营和服务，最终帮助城市构建起应对数字安全风险的能力体系。

360作为全球最大的数字安全公司，希望未来能帮助更多的政府、城市、企业实现数字化转型，为数字经济发展、数字中国建设、数字文明时代保驾护航！ 谢谢大家！