近日在2020世界工业互联网产业大会暨人单合一模式国际论坛上,周鸿祎点评了新形势下的安全行业,认为这个行业完全没有互连,都是各自为战,最为可笑。
周鸿祎认为:“这个行业虽然做了20年,但我们一直是信息化的附庸,并没有真正成为信息化的基础和底座。面对前所未有的安全威胁和复杂情况,面对前所未有的复杂网络基础设施,面对新对手、新战场、新攻击手法,传统安全还停留在卖货的时代,产品互相之间没有情报共享。”
“整个工业互联网智慧城市都已经进入万物互联的时代,最可笑的是安全行业恰恰没有实现万物互联,每个安全的组件、产品都在各自为战。”
他还举了个形象的例子:“比如企业可能装了张三家的杀毒软件,也装了李四家的防火墙,服役十年,两者可能没有对话过一次,各自守着一亩三分地,根据有限的情况做出错误的判断,没有智慧体系、没有网络对抗的意识。”
周鸿祎认为,“工业互联网不能只是先考虑如何做好数字化,等数字化做好了再买点安全软件、安全设备,这种思路已经不能适应今天的形势和发展,要把安全作为发展工业互联网的先决条件,如果缺少安全的体系化的设计,工业互联网就相当于在裸奔,跑得越快,有一天被攻击的时候就变成悲剧性的灾难。”
他表示,面对变化的环境,安全不是光今天发明一两个新的产品或者去卖货,“我们需要新的方法论,需要新的理念,要构造新一代的以对抗为目标,以能力为衡量的安全能力体系。”
周鸿祎提出了几个理念。首先是安全前置、底层设计。他表示,大安全时代的网络安全问题非常复杂,不是孤立的补丁式的解决安全问题,最后治标不治本,在智慧城市规划的同时,要考虑如何同步建设体系、结构、框架、系统、组件和产品。“我们不光是要谈顶层设计,更重要的是要谈好底层设计,如何能更好的打造安全的基础设施,在安全的基础设施上构建安全的公共能力,而不是卖零碎的产品。
此外,要能力导向,基建先行,建设基础安全设施,积累安全能力。“城市有警察局、高速公路、高铁站、机场等,有了基础设施,城市可以建立运营体系,同样工业互联网领域需要建立漏洞的挖掘中心、威胁情报的分析中心、安全人才的培训基地,只有夯实安全基础设施,安全能力才能有所依托,才可以实现运营能力的培养、队伍的锻炼、生态和产业的持续发展。”他认为,只有积累了安全的能力,才能形成工业互联网里的公共服务能力,有了这些公共服务能力,才能更好的赋能工业互联网的每一个生态企业。
周鸿祎表示事实已经证明,安全大数据和威胁情报是发展高级网络攻击的关键,“我们要首先把整个工业互联网领域里所有安全设备进行连接,获得全时、全视角、全维度的安全视觉叠加360全网安全大数据,才知道网络空间发生了什么,没有网络安全大数据谈不上态势感知,根本不知道在互联网里面长达半年、一年策划的隐秘的攻击。”