周鸿祎：网络安全互联互通、协同联防亟待标准引领

当前，数字化已经上升为国家战略，在“十四五”和2035规划里，数字化都占据浓笔重彩的篇章。但因为数字化“一切皆可编程、万物均要互联、大数据驱动业务”的三大特征，数字经济面临网络攻击的可能性越来越大。同时，与过去的小病毒、小木马不同，未来最大的问题是APT攻击、有组织的网络犯罪、甚至是网络恐怖组织等。这必将导致过去碎片化的防御手段无法应对新的安全威胁。因此，周鸿祎认为，只有建立有效的网络安全行业标准，以标准为引领，推动网络安全互联互通、协同联防，才能真正提高我们应对网络攻击的能力。

以威胁情报为例，周鸿祎表示，这正是网络行业比较落后的地方。万物互联时代，互联网用TCP/IP协议把每一个终端、每一个人都能连在一起，但是网络安全行业没有连接，每一家公司都在碎片化地解决问题。“你用了张三家的杀毒软件，他用了李四家的防火墙，每个人都只看自己的一亩三分地，如果高级安全威胁来了，这种防御体系不要说防御，很多单位连看都看不见。”所以他认为，我们必须要通过现在威胁情报的定义，积极构造标准，实现安全厂商之间的互联互通，尤其是要解决安全数据的输出和威胁情报的查询共享问题。对此，360也积极尝试，打造了360网络安全大脑，把安全产品输出的日志、输出的安全事件统一后再做中心分析。最后再通过威胁情报，输给所有网络安全的产品，做到分析情报有标准、上报情报有标准。

与此同时，在中央网信办和信安标委的领导下，360牵头和参与了大量安全标准的制定工作。当前，360正在推进建立APT安全知识图谱。周鸿祎说，这正如国际对新冠病毒进行了基因命名，就可以让各个国家都能了解不同国家的病毒变种。360基于过去15年监测到的大量攻击样本，推动编辑命名APT的“DNA”。以此统一描述攻击每个阶段的战术、技术和行为。就能让所有的公司、单位发现了攻击，都能使用标准化的语言描述它。目前，该标准已初步形成了中国通讯标准化协会行业标准草案。

周鸿祎直言，在这方面，美国人已经走在前面，建立了一个叫ATT&CK的标准，把攻击的方法和所有用到的技术都标准化。因此，我们国家也应该迅速跟上。此外，360还参与了国家关于网络安全能力的评估标准制定工作。这个安全能力评估标准，主要用于评估关键企业安全能力，作为国家、军事重大工程准入依据；评估中小企业安全能力，解决供应链攻击问题。该标准可以在一定程度上倒逼很多不太重视安全的企业，在网络安全方面加大投入，加强建设。

“第一，是要有标准；第二，是要用好和落实标准。”在周鸿祎看来，安全行业从来没有一劳永逸，安全是矛和盾、猫和老鼠的游戏，建立网络安全标准，也要在攻防实践中不断落实、加强、提升。对此，他建议，网络安全标准应该由国家指导，由企业结合实践来不断落实和完善，才能更好地发挥标准的引领作用。

周鸿祎认为，网络安全的本质是人跟人的对抗。所以网络安全行业不是固定不变的。因此，网络安全的标准一旦定出来，也不是一成不变的。落实到企业层面，就要求企业有两个准备：一是有实践经验的企业应该主动积极地投身到标准制定中，而不是等着别人制定标准，然后仅做自我合规。二是在标准制定之后，不仅落在纸面上，还要能够落实到产业中，在实践中不断反馈，持续修正标准。只有如此，才能真正做到以标准为引领，推动网络安全互联互通和协同联防，筑牢国家数字化战略的基石。