周鸿祎：免费安全正重塑和扩大安全行业

周鸿祎：免费安全正重塑和扩大安全行业

新浪科技讯 9月23日上午消息，360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行，360董事长周鸿祎在会上表示，虽然360的免费安全给行业短期带来巨大冲击，但免费不是在颠覆安全行业，而是在重塑和扩大整个安全行业。

以下为周鸿祎演讲全文：

各位来宾大家好！非常感谢大家参加中国互联网最大的安全省，我们办这个大会的目的是让大家知道网络在我们生活中越来越重要，这次大会邀请了很多知名的专家，很多安全主管，很多白帽的黑客，民间高手和同行参加这个大会，这个大会应该成为大家畅所欲言，讨论交流的平台，我也不是这个大会的主角。

2006年开始我就想网络安全会比即时通讯、搜索引擎、电子商务都变得更加关键，所以每个人都问我什么事情最热门，我也不知道什么最热情，但互联网安全是每个人都需要的服务，每个人都需要的服务它应该是免费的，而且是每个人都需要的。当时很遗憾，我把这个想法和当时互联网很多巨头、大佬们做了一下沟通，他们都不认可我这个想法，他们觉得网络安全就是卖卖杀毒软件，看不上，觉得很屌丝，所以2006年我们就探索网络安全多少能不能变成对产业带来巨大影响，对消费者创造巨大价值的产业。我在想有一天如果我们有钱了，就像苹果办大会，微软办微软世界，我就想某一天我们也办个安全大会，因为那时候老齐说在美国拉斯维加斯有很多安全大会，据说很多黑客去演示，中情局去挑选技术和人才。有钱了我觉得我也可以去拉斯维加斯开会，但国内很多信息安全专家还没有机会去，所以我有一个梦想，有一天我们希望能办一个中国自己的网络安全大会，在这个大会上将来也能秀出我们自己独特的网络安全技术。

所以，今天这个大会是我们的第一次，有很多经验的不足，但有了一个开始，我希望以后每年我们这个大会都能把它办好，办下去，大会越来越精采。中国已经成为当之无愧的互联网大国，我们已经有全国最大的互联网市场，也诞生了可以和国际互联网巨头在市值上相匹敌的本地巨头，我也相信在互联网安全方面，中国也是具有最大的机会。

今年3月，微软一份报告里，中国恶意软件的感染率从原来比较高，重灾区已经降到世界最低水平，这也得益我们免费安全理念，当所有人不为安全花钱，就可以零成本地在自己的电脑里装上各种各样的安全软件，整个提高了个人电脑的防护水平，使得这些木马作者、传播恶意软件的作者成本提高了很多。手机安全方面，也可以分享个数据，360每天截获手机上的恶意APP，恶意插件2500款，中国本地还有个安全特色我想很多人都遇见过，我们每天拦截各种办证，要求银行打款垃圾短信将近1亿条，每天骚扰电话2600万以上。前段时间我准备进军娱乐业的时候去湖南卫视做了一期节目《天天向上》，但因为很失望我又回来做安全行业了。为了在《天天向上》证明我强大的手机防攻击能力，所以公布了我的手机号码，今天全国人民都知道，在刚公布一个抚州网站建设公司月里，我大概平均几秒钟会收到一个电话，几秒钟会受到一条短信，比较可喜的是我们确实都拦截了，比较可悲的是我的手机很快就没电了。

刚才邬院士讲的非常专业，他也提到了一点，360在过去几年了做了一些努力，也取得了一些成绩，但从最近我们监测到的网络攻击类型和最新网络新出来的安全事件发现，其实网络不可能实现真正的安全，网络也不可能实现永远的安全，就像没有最锋利的矛和最安全的盾，有人的地方就会有犯罪，现在的网络犯罪已经不是几十年前黑客为了秀自己的能力，今天的网络犯罪或网络攻击大到背后代表着国家的利益，小到企业的不正当竞争，以及为了获取利益在往上对网民做出各种攻击行为。我们认为未来五年历或十年里网络安全会变得更加严峻，对现有的技术，现有的产品，现有的安全体系都会构成巨大的挑战。

两周之前我去参加用友企业用户大会，现场有1万多个企业CIO、CTO，很多传统企业大家迫切地说我要使用新的互联网技术，而今天对很多CIO来说，最热门的四个关键词，第一个关键词是云，无论是私有云、公有云，个人用的云服务还是企业用的云服务；第二个关键词是大数据，把很多分散的数据集中在一起进行智能处理和分析，来发现数据趋势；第三个关键词是Mobile，今天手机和未来各种各样智能设备、移动设备会成为访问网络的主要终端和主要入口，所以手机这种随时移动，无时不在的连接会给未来企业部署技术必须考虑的重要因素；最后一个关键词是社交网络。无论企业员工还是企业本身会大量使用社交网络，在美国是Facebook、Twitter，中国是微博、微信，所有的CTO、CIO使用技术时最担心排名第一的是安全，把所有的业务放在云上是否安全，把我所有的数据都集中了，一旦出现数据的泄露我是否安全？当我所有员工都使用移动设备进入我的网络，手机可是属于每个人的，在这种情况下，他们用个人设备来访问企业敏感的信息，我是否安全？当企业员工在使用各种社交媒体，社交网络的时候，我是否安全？下一个五年、十年新的技术给我们带来无限向往未来时，网络安全会变得更加重要，网络安全挑战也会更加严峻。

下面我分享几个观点。

原来360聚焦的是个人张掖网站建设公司安全，这几年也有很多企业找到我们，希望我们提供企业安全服务，我们也投资购并了网站安全公司，也在大力发展移动安全解决方案，所以现在360不但给个人消费者提供安全方案的公司，也在移动和企业安全上做了大量投入。我们在互联网上的商业模式使得我们有比较快速的增长收入，比较好的市值，使得我们能在国内外采购技术，能从民间和安全行业招揽了大量安全高级技术人员。今天我想分享一些我们对安全趋势和技术的理解。

第一，终端安全未来会变得越来越重要。

安全有很多流派，运营商希望在骨干网上通过流量清晰做安全，做路由器、防火墙的公司特别希望在企业边界的地方来部署安全。现在我们看到一个趋势，传统的防火墙、路由器在服务端上的安全做得相当好，使得现在大量的攻击，大量的入侵越来越多地按照趋势来看不再发生在网络底层，而是更多地发生在应用层。换句话说，在网络边界处已经很难或者比较困难能实时地去判断它是不是一个威胁，是不是一个攻击，因为很多攻击和威胁只有在用户的终端电脑上才会真正地发挥作用。

很多企业部署了边界安全，以为我们构造了安全城堡、固若金汤，但你发现现在很多新技术的流行使得你很难建立信息的孤岛。举两个例子，我们有很多做防数据泄露的公司，有很多方案，要对付U盘。但今天公司的员工都在使用往上的云盘，你不可能不让员工用网络相册、网上存储。这些云服务实际是给企业边界打开了很多缺口。今天绝大部分公司都不得不允许员工使用自己的移动设备进入公司，所有的手机都具备Wi-Fi的能力，具备3G上网的能力，一个个手机相当于在我们原来严密保护的企业边界上打开了无数的缺口。边界的概念已经变得非常含混。

前段时间爆发了一个事件，有些单位的Wi-Fi密码会被某家公司记录下来分享给很多人，对很多爱蹭网的人带个随身Wi-Fi，跑到一个单位窗户下搞个免费热点，很多企业员工会忍不住诱惑把这个手机连上来，一旦连上来，攻击者就不用费吹灰之力就可以绕过企业的边防进入企业内部。最近有很多攻击案例，比如某超级大国对伊朗核工厂的渗透，某大国最近说他们受到网络攻击。分析这些案例发现今天的网络攻击，特别典型的实际都是通过在终端处对某些关键性的个人进行攻破和渗透。因为今天对敏感单位，要害服务器、防火墙的穿越技术要求非常高，也比较难了。但对员工以及敏感单位的员工，他忘了给电脑打补丁，用比较旧的IE浏览器，一个新的0day漏洞利用邮件，只要发这个邮件，他打开这个邮件，点开文档，攻击者就可以进入到这个人的电脑里，再通过这个人的电脑作为跳板进入企业网攻击具有更高权限的电脑。所以今天网络安全里终端安全变得越来越重要。

刚才邬院士也提到下一代互联网，物联网、无线互联网，未来会从PC转到手机，手机都未必是互联网的中心，未来各种各样智能设备、可穿戴设备、智能硬件，包括家电、汽车、单位里的工业控制设备都可能成为像Andriod手机一样的智能设备，都有可能会面临攻击者的挑战，这样的攻击对多种设备会变得日益难以防护。

所以，360在过去几年里我们一直专注加强终端安全，但终端安全和传统杀毒软件最大的差异是，你真正要解决终端安全实际终端上更多的是对安全威胁的捕获和感知，包括安全威胁的及时处理，但真正判断出它是不是威胁和供给，单靠终端处理和判断已经变得极其困难。因为两个道理，在移动设备，低功耗计算能力相对较弱的设备上，为了发现新的攻击，需要做很多复杂的判断，这已经不太可能；很多攻击如果孤立地在一台终端上看，有时候也很难判断究竟是用户对正常未知软件的使用，还是别人发来的木马。要真正解决终端安全，我们觉得在云端做这些判断会是安全的趋势，所谓云安全。

云安全有几个好处，把所有的分析判断统一在云端进行分析判断，根据统计分析就能够发现很多威胁的趋势；第二，我们和很多黑客、木马恶意软件和钓鱼网站入侵者在每天不断做攻防，如果所有的逻辑判断代码在终端，他们只要通过逆向你的程序，也有恶意软件说360有什么问题，希望你们开源，他们就能够更方便的攻击安全软件，所以我们对软件行为的判断放在云端做统一的处理，使得拦截新木马更及时。用大数据判断未知的威胁也是下一个趋势，因为很多时候我们会面临一个矛盾，对于已知的攻击我们都能防范，但我们依然知道有很多未知的攻击无法定义和预先做防范，现有的模式不起作用之后，我们希望靠大数据云端的分析能发现数据的异常和波动，从而意识到我的网络被入侵和被攻击了，云安全和终端安全的结合，我们认为肯定是未来安全的一个方向。

讲到未知安全，国际上现在讲APT和Oday，APT是网络上大规模攻击的常用方法。对付这种未知的攻击目前有几种方法我认为可以有效地对付APT和Oday，一是白名单。

过去杀毒软件和传统防火墙技术可以简单称为黑名单，它实现定义一个以签名、特征，样本收集为基础的数据库判断哪些恶意网址和程序是攻击，但未知的攻击，漏洞太多之后，黑名单技术已经不能工作了，所有基于特征和传统安全病毒库的思路全球来看基本逐渐被放弃，现在比较主流的反而是做白名单。在很多企业和敏感单位内部，所有经过企业管理人员他们认证的有限数量程序才会被允许，各种0day漏洞最后都希望在你电脑和手机里运行一个未知的恶意程序，通过这个网站建设服务程序来做进一步的攻击，通过白名单的方式至少可以极大地减少这种风险。

但是做白名单是一件非常辛苦的事情，仅仅拿Windows系统来说，除了正版的Windows系统之外还有番茄花园等系统，而且国人喜欢WindowsXP等，这么多的互联网应用建立巨大的白名单，360花了差不多7年的时间，这个白名单只能部署在云端，这个数量太庞大，没有办法部署在本机。