从攻防演练到产业发展，中国网络安全与西方差距多大？

（采访、整理/科工力量 程小康）

观察者网：今天所说的“网络安全”，与之前相比，融入了哪些新的含义？

谢忱：网络安全所涵盖的范围是按照互联网的发展在不断发生变化的，最开始人们所认知的网络可能就是计算机等终端设备，连接中断、电脑中毒都是网络安全的一种体现。而到现在，互联网已经深入到我们日常生活的方方面面，在朝着万物互联的方向发展。

在这样的背景下，网络安全几乎覆盖了一切能够联网的设备和网络基础设施，例如在这两年IoT设备频繁成为黑客攻击的目标。此外，信息安全、数据安全在近些年成为网络安全的重要分支，甚至如果往细的方向去讲，人也可以纳入网络安全的范畴里。70%的安全事故是由内部人员引发的，无论是有意的还是无意识的。而在新技术的发展上，区块链、车联网、5G安全以及工业物联网这些也成为网络安全新的元素。与其说是网络安全的变化，还不如说是互联网的发展迅速、覆盖面的增大，由此而推动网络安全往新领域的扩张。

观察者网：《网络安全威胁信息发布管理办法》的发布引起网络安全创新的话题热议，如何解读？

谢忱：首先关于《网络安全威胁信息发布管理办法》目前只是征求意见稿，不能当作最终施行版本去看待。其出发点很明确，要求威胁情报的发布环节细化、标准化、体系化。网络威胁信息与普通的新闻资讯不同，很多企业安全人员在看到新的威胁信息之后可能会针对性地做一些应对决策、安全排查等，甚至进行一些业务上的调整。因此审查信息的真实性也很重要，毕竟错误的威胁情报本身也是一种威胁。

此外，部分威胁信息发布完全是基于攻击者的视角去阐述，其中包含详细的攻击过程或者漏洞利用过程，这对于防守方而言可以更快的找到应对措施，但这也会给其他的攻击者提供“教学式”的参考，在企业为做好充分的准备之前这可能造成更严重的二次威胁。

包括美国、英国在内，其实都早已出台一系列威胁信息披露管理法案，有国家部门授权发布威胁信息的规范机制应该是目前多个国家都在采用的。而之所以这次《管理办法》会引发热议，很大程度上是新的规定实施将给安全人员的技术研究和分享带来一些限制，如何做到规范行业管理和鼓励技术研究分享上的一个平衡，这也是安全行业的一个难点吧，需要安全从业人员广泛积极提出科学的意见。

观察者网：本次大会上，专家提到利用AI解决网络安全问题，如何实现？

谢忱：人工智能的价值对于任何一个行业来说都可能是变革性的，网络安全也是这样。不过我们现在所说的AI还没到理想的智能化程度，更多的是基于大数据统计模型、机器学习模型、专家系统等进行关联融合与决策。。但由于在计算速度、准确性以及计算能力上，人力远远无法跟机器相比，因此AI可以被用来负责一些重复性、规律性的任务，之外还能识别未知威胁，提升对抗能力。例如自动变种的恶意软件检测、隐蔽的恶意流量检测等等。我们通过大量的威胁样本提取出特征模型作为AI判断的参考，在监测到类似特征的行为时就能够做到自动拦截或者报警。同时在处理大量数据信息的场景下，AI也能够发挥足够价值，大大提升工作效率。

我在CIS大会上也有讲到，AI应用于安全是需要场景的，并不是每个场景都适合用AI来解决安全问题。同时安全是一个威胁样本稀缺的小样本的世界，跟我们所熟知的视觉识别、语音识别领域不太一样，所以AI安全是我们极其需要探索的一个领域。

观察者网：开幕式演讲中，有嘉宾提到数字安全、信息安全、网络安全，这三者有什么区别？

谢忱：在CIS 2019大会上，微软（中国）首席技术官韦青先生讲到了数字安全的问题，他认为未来时数字安全时代。他认为数字安全和信息安全、网络安全都是不一样的。其实此前Gartner给出了一张图，还是比较形象的：

在Gartner的概念图中，信息安全是网络安全的一部分，数字安全则是比网络安全更大的范围。但我认为这些定义基本是从狭义的概念上去讲的，信息安全是指重要信息不被窃取、修改；网络安全则针对的是一切与网络相关的对象，终端设备、工业、物联网、IT基础设施、信息安全等等。而数字安全，更多强调的可能是数据的重要性，互联网中一切存在的数据都是以数字化的形式存在。数字安全除了包含现有的网络空间安全之外，还预示了未来可能存在的新的形态或者对象。

这应该是三者在概念上的区别，但如果从广义的范围去理解，我认为现阶段信息安全、网络安全、数字安全所指代的内容基本是一致的，只是想强调的内容不一样而已。

观察者网：近几年，国内与国际上，网络攻击的手段呈现怎样的变化？

谢忱：整体上来看，最明显的趋势应该是攻击手段自动化的程度越来越高了。正如刚说的AI人工智能，攻击者在执行攻击时同样也在大量运用机器学习、AI的手法，大幅提升攻击效率，而且能持续无间断的寻找突破口。此外，近几年还有一个比较明显的趋势是，从漏洞披露到发现漏洞利用的攻击行为，这之间的时间也是大幅缩短，导致给予安全人员响应的时间也更短，一部分原因也是因为自动化攻击手段寻找目标、实施攻击更加迅速。

与此同时，随着5G的发展与物联网应用的普及也让网络攻击面全面增加，攻击者也开始通过物联网设备、供应链漏洞作为新的渗透入口。

观察者网：美国从2006年开始做各行业的“攻防演练”，我国目前的情况如何？

谢忱：美国在网络安全方面所做的工作和理念在国际上确实处于领先地位，包括攻防演练规模也更大。不过两国之前还是存在不少共性的，比如都是政府牵头，多方合作，把关键信息基础设施作为重点。差异化的地方除了规模之外，我国目前政府、军队、企业之间的安全协作还处于初级阶段。未来我国攻防演练还需要加强与国家协调结构的整体联防联控能力，在丰富攻击方构成的同时注重防御方的响应能力、基于现有法律法规建立通用的应急响应和信息获取框架等。

观察者网：我国网络安全产业发展整体状况怎样？与发达国家相比差距在哪？

谢忱：中国信通院发布的2019年《中国网络安全产业白皮书》，我国网络安全产业规模仍然保持高速增长的态势，2018年产业规模已经达到510.92亿元，2019年预计将达到631.29亿元。包括网络安全上市公司营收、投融资也保持稳步增长，也有越来越多的安全企业登陆科创板。北京、武汉、成都等多个区域建设网络安全产业园，大力扶持创新企业发展。再加上相关的网络安全法律法规密集出台，促使整个行业更规范、管理更成熟，现阶段我国网络安全产业发展环境还是比较可观的。

要说差距的话，与发达国家相比，我国网络安全领域的法律法规及管控办法还不够完善，这是一个循序渐进的过程，需要在实践中不断去总结探索，2017年实施的《网络安全法》就是一个里程碑，以及陆续出台了《等保2.0》，《数据安全管理办法》、《网络安全威胁信息发布管理办法》等征集意见稿，相信后续相关法律法规会逐渐补充落实起来。

观察者网：近期印度的库丹库拉姆核电厂计算机遭受外来攻击，对于类似的大型民生的基础设施，一般会采取哪些网络防御措施？

谢忱：关键信息基础设施的防护基本可以参考企业安全防护，同样需要做等保测评、风险评估等等。美国白宫在2013年发布了《第21号总统政策令：关键基础设施安全和韧性》、《第13636号行政令：增强关键基础设施网络安全》，以及在2014年NIST发布了《增强关键基础设施网络安全框架》(CSF)可以作为参考，从识别、保护、检测、响应、恢复五个维度和资产管理、人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全风险管理；还需要定期进行安全演练，以及及时对系统进行防御加固等等。很快我国《关键信息基础设施保护条例》就要正式出台了，其中对关键基础设施的范围和防护措施做了明确的规定。

本文系观察者网独家稿件，未经授权，不得转载。