8月27日，第四屆互聯(lián)網(wǎng)安全領袖峰會(Cyber Security Summit2018，簡稱CSS2018)在京舉行。本次峰會，由中央網(wǎng)信辦、工信部、公安部等部委支持和指導，騰訊公司、中國互聯(lián)網(wǎng)協(xié)會、中國電子技術標準化研究院、中國網(wǎng)絡安全審查技術與認證中心、中國網(wǎng)絡空間安全協(xié)會聯(lián)合主辦，吸引了包括中國工程院院士鄔賀銓、國際智能控制早期開拓者、中國科學院自動化研究所復雜系統(tǒng)管理與控制國家重點實驗室主任王飛躍、通用汽車旗下Cruise自動駕駛安全首席架構師Charlie Miller、Security Research Labs首席科學家Karsten Nohl、騰訊高級副總裁丁珂在內(nèi)的國內(nèi)外百位安全專家參加分享。

[[241653]]

騰訊高級副總裁丁珂

在上午的開幕式致辭中，騰訊高級副總裁丁珂圍繞四個關鍵詞：行業(yè)共建、生態(tài)共治、政府監(jiān)管和企業(yè)自律，對數(shù)字經(jīng)濟時代的安全趨勢做了研判和解讀。丁珂表示，數(shù)字經(jīng)濟時代信息安全已不只是一種基礎能力，還是產(chǎn)業(yè)發(fā)展升級的驅動力之一;安全是所有0前面的1，沒有了1，所有0都失去了意義。

丁珂表示，數(shù)字安全新生態(tài)建設需要在兩大路徑上努力：首先，是安全升維，安全問題未必出現(xiàn)在原有的體系內(nèi)，因此，企業(yè)要以全新視角去理解安全問題;其次，是轉換安全觀，以協(xié)作為基礎，推動政府、企業(yè)、用戶聯(lián)動，共同提升防護意識。

而騰訊作為安全新生態(tài)的首倡者，丁珂認為可以從“一橫一縱”兩大維度為數(shù)字安全新生態(tài)建設提供助力，全面開放騰訊在安全領域的領先技術能力和平臺資源。

以下是丁珂發(fā)言的全文：

這已經(jīng)是第四屆“互聯(lián)網(wǎng)安全領袖峰會”。過去三年，我們與行業(yè)同仁交流、分享了萬物互聯(lián)時代，安全到底扮演什么角色，又該如何去構建安全生態(tài)體系的問題。如今，在各行各業(yè)轉型擁抱數(shù)字化浪潮成為行業(yè)趨勢的背景下，我們將以“安全強驅動，數(shù)字新生態(tài)”為主題，繼續(xù)我們的討論和分享。

隨著AI、云、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術發(fā)展，以及各個傳統(tǒng)領域擁抱數(shù)字化變革進程的不斷深入，安全問題越來越復雜，且其重要性越來越被凸顯，相關案例不勝枚舉。

2018年以來，勒索病毒GlobeImposter家族最新變種在國內(nèi)爆發(fā)，大批政府、高校、醫(yī)院等公共基礎設施中招，導致眾多文件和應用被病毒加密破壞無法打開，影響這些機構正常運行。

除了臭名昭著的勒索病毒，黑客攻擊的不斷升級同樣威脅著關鍵基礎設施，幾個月前，國內(nèi)多家醫(yī)院服務器遭遇黑客入侵。攻擊者暴力破解醫(yī)院服務器的遠程登錄服務，之后利用某軟件的分享文件功能下載多種挖礦木馬以謀取利潤。

教育、醫(yī)療、政府等社會關鍵基礎設施領域之外，新興的AI領域，同樣暴露出來許多安全隱患。更加諷刺的是，號稱“最安全”的新技術“區(qū)塊鏈”，同樣沒能擋住攻擊：2018年1月，日本最大的加密貨幣交易所之一CoinCheck遭遇黑客攻擊，平臺全部(5.26億)NEM幣(新經(jīng)幣)被非法轉移。

這些現(xiàn)象背后，都在傳遞這樣一個訊息：在數(shù)字經(jīng)濟時代，信息安全已經(jīng)不只是一種基礎能力，還是產(chǎn)業(yè)發(fā)展、社會正常運轉的驅動力。安全已成為所有0前面的1，沒有了1，所有0都失去了意義。

過去幾年，我們持續(xù)呼吁各行各業(yè)重視安全、重視安全投入，事實上，轉變在持續(xù)發(fā)生，各領域對安全的投入在持續(xù)加大。Gartner Group 2018年4月的報告顯示：全球安全產(chǎn)業(yè)規(guī)模穩(wěn)步增長。2017年規(guī)模達990億美元;2018 年預計增長至 1060 億美元。

不過，投入持續(xù)加大，并未有效降低信息安全風險。Ponemon Institute的報告顯示，2017年全球企業(yè)遭受網(wǎng)絡攻擊總量較去年增長15%，嚴重性增加了23%。而且，在破壞的嚴重性方面，已經(jīng)不再局限于傳統(tǒng)意義上的物質、財產(chǎn)損失，而是會影響到運營、制造乃至人的生命安全。

由此也可以看出，安全的重要性。那么，如何以安全作為核心驅動力推動數(shù)字新生態(tài)建設呢?我們認為，需要從兩個方向進行努力。

首先，安全認知升維。

大數(shù)據(jù)、云計算、AI等新技術不斷進入人們的日常生活，安全不僅關涉隱私、財產(chǎn)安全，還可能直接關聯(lián)人身、生命安全，安全不只是一種防護、一種責任，還是所有0前面的1。

在上個月，我們協(xié)助山東警方破獲了一起木馬案，涉案的某高新技術企業(yè)控制了包含389萬臺電腦的“僵尸網(wǎng)絡”，并用這些電腦閑置的CPU資源“挖礦”。這個案例暴露出了很多企業(yè)、個人依舊忽視信息安全保護，沒有做好足夠防御措施。

數(shù)字時代，這種漠視，極有可能導致不可挽回的生命、財產(chǎn)損失。今年3月，優(yōu)步(Uber)開發(fā)的無人駕駛汽車在美國利亞桑那州撞倒了一位行人，導致其重傷不治身亡。案件發(fā)生之后，無人駕駛技術遭遇輿論挑戰(zhàn)，優(yōu)步也暫停了北美的無人駕駛路測。

如果沒有充分認知，類似的安全問題同樣可能發(fā)生在其他汽車廠商身上。在針對特斯拉的安全研究中，2016年、2017年，騰訊安全科恩實驗室持續(xù)發(fā)現(xiàn)了多個漏洞，基于這些漏洞，黑客可以通過無物理接觸的遠程攻擊方式，在駐車模式、行駛模式下對特斯拉進行任意遠程操控。

對于傳統(tǒng)企業(yè)而言，安全認知升級，還應該超越現(xiàn)有的業(yè)務邊界，以全新視角去理解安全問題，因為，安全問題未必出現(xiàn)在原有的體系內(nèi)，而是發(fā)生在體系外。例如，傳統(tǒng)汽車廠商都在進行數(shù)字化轉型升級，寶馬在汽車IT安全方面一直位列前茅，然而，2017年，騰訊安全科恩實驗室的研究團隊受邀為寶馬提供技術支持，在13個月的時間里，發(fā)現(xiàn)了14個不同的安全問題。

其次，轉換安全觀。

傳統(tǒng)安全觀以攻防為主體，面對新的數(shù)字生態(tài)，應該跳出攻防概念，以協(xié)作為基礎，推動政府、企業(yè)、用戶聯(lián)動，共同提升防護意識，避免鏈條中某一環(huán)節(jié)被攻破導致整個生態(tài)體系的安全防護毀于一旦。

企業(yè)用戶正在，面臨釣魚郵件APT攻擊、DNS劫持、軟件供應鏈攻擊三大安全威脅。其中，APT是一種高級持續(xù)性威脅攻擊，利用先進的攻擊手段對特定高價值目標進行長期持續(xù)性網(wǎng)絡攻擊的攻擊形式，隱蔽性強、危害大。

今年初，國內(nèi)曾發(fā)生過“黑鳳梨”(BlackTech)和“人面馬”組織針對企業(yè)的APT攻擊行動。6月27日和7月4日，新加坡遭遇嚴重APT攻擊，黑客利用被惡意軟件感染的計算機,竊取了150萬新加坡人的健康記錄數(shù)據(jù), 其中包括新加坡總理李顯龍。

車企當屬所有傳統(tǒng)領域當中最重視安全性的產(chǎn)業(yè)之一。但隨著車聯(lián)網(wǎng)技術的應用和普及，聯(lián)網(wǎng)、上云也帶來了網(wǎng)關，云端等各個環(huán)節(jié)的安全隱患。騰訊安全科恩實驗室針對寶馬和特斯拉提交的漏洞，都可以在非物理接觸的條件下，實現(xiàn)遠程控制車輛。

不僅企業(yè)，如果不轉變安全思維，產(chǎn)業(yè)鏈的安全威脅有可能隨時爆發(fā)。年初，騰訊安全玄武實驗室首次發(fā)現(xiàn)的“應用克隆”攻擊模型，用戶只要點擊鏈接，攻擊者即可克隆賬戶權限盜取賬號和資金。而這種“克隆病毒”就是基于一系列漏洞耦合在一起而產(chǎn)生的風險，并不是某一個APP的個案問題，而是移動APP面臨的普遍問題。

可見，協(xié)作、聯(lián)防，構建整體安全防護，是數(shù)字時代安全的必然趨勢。傳統(tǒng)企業(yè)進行數(shù)字化轉型，需要注意每一個環(huán)節(jié)的安全隱患。安全也不再是單企業(yè)、某個領域企業(yè)的事情，需要超越邊界，構建全領域合作模式。

這也是我們在去年P13共識基礎上，推動構建P16安全領袖俱樂部的原因所在。只有從根本上轉變安全觀念，提升安全認知維度，才能真正地以安全為驅動力，構建真正意義上的數(shù)字安全新生態(tài)。

多年來，騰訊安全將始終秉持開放心態(tài)，為所有合作伙伴、各領域企業(yè)提供安全助力。未來，在全行業(yè)擁抱數(shù)字變革、進行數(shù)字化轉型的背景下，騰訊將繼續(xù)輸出安全能力，并從“一橫一縱”兩大維度，為數(shù)字安全新生態(tài)建設提供驅動力。

在橫向安全能力建設上，騰訊搭建了國內(nèi)首個安全聯(lián)合實驗室矩陣，安全研究覆蓋包括互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、云、AI等各個領域，其中，針對傳統(tǒng)領域的數(shù)字化轉型，騰訊安全構建了云、管、端一體的安全產(chǎn)品和安全引擎，讓安全能力保障數(shù)據(jù)生產(chǎn)、傳輸和存儲全鏈路;此外，騰訊安全還建設了“騰訊靈鯤大數(shù)據(jù)金融安全平臺”，致力于通過安全科技，解決金融監(jiān)管、食品藥品安全追蹤、打擊治理網(wǎng)絡假冒及網(wǎng)絡傳銷等社會問題。接下來，這些安全能力都將開放給政府機構、各領域企業(yè)，為構建全方位安全體系建設提供助力。

在縱向安全能力建設上，騰訊不僅聯(lián)合16家安全上市公司，發(fā)起P16安全企業(yè)領袖俱樂部建立，推動安全產(chǎn)業(yè)協(xié)同發(fā)展，還搭建了產(chǎn)學研一體化的安全人才培養(yǎng)體系，通過與廣州大學、西安電子科技大學、武漢學院等多家院校展開深度合作，成立了“騰訊智慧安全創(chuàng)新研究院”與“網(wǎng)絡生態(tài)安全聯(lián)合實驗室”，從基礎層進行人才培養(yǎng);同時，我們舉辦了TCTF，極棒等安全極客賽事，以半實戰(zhàn)環(huán)境選拔網(wǎng)絡安全人才，最終實現(xiàn)企業(yè)端輸送，完成安全人才培養(yǎng)的閉環(huán)。

期待，透過“一橫一縱”體系的建設，可以連接、攜手更多合作伙伴，完善安全驅動力，推進數(shù)字安全新生態(tài)建設，為“數(shù)字中國”提供助力。