周鸿祎谈网络安全薪资

1. 周鸿祎首次深度解密360安全大脑战略战术：打

8月7日-10日，由钛媒体及ITValue主办的2019全球数字价值峰会暨第11届IT价值峰会在三亚召开，360集团董事长兼CEO周鸿祎在会上首次系统性地全面阐述了360安全大脑战略战术，演讲中周鸿祎开玩笑说，这也是他首次在对外演讲中使用PPT。钛媒体编辑从以下四个方面对其演讲内容做了提炼。

“我是非常悲观的。”

周鸿祎直言，他对信息化时代的网络安全持悲观态度。

在周鸿祎看来，全世界已经进入了网络战时代。随着云计算、大数据等技术的发展，企业第一次拥有了比传统互联网并不逊色的大数据，世界进入了信息化3.0时代。在这种情况下，网络威胁的手段不断发生演变，网络战时代已经来临。

怎么样来定义网络战？新型的网络战具备哪些特征？

周鸿祎从三个方面定义网络战：

其中，人是导致网络战变为可能的最重要原因。

网络战可以通过互联网、物联网，把虚拟世界的攻击，变成物理世界的攻击。而系统由人编写，这就导致漏洞无法避免。

更令人心生警惕的是，网络战从过去电子作战的辅助手段，已经变成了国与国之间解决矛盾的最优选方案。

传统作战一旦打起来很难控制，但网络战却可以收放自如、完全可控。另外，传统作战一旦发起，攻击者会很快暴露，但网络战的妙处在于如果攻击对象的防守很弱，那么攻击者就可以静悄悄的进行，然后全身而退，来无影去无踪。

周鸿祎举例称，从震网病毒，到三年前乌克兰电站被某国网军攻击，再到今年委内瑞拉大停电，实际上都是由国与国之间的网络战引发的。两年前大规模的勒索病毒WannaCry从某种程度上可以理解为网络战的预演，所以一个比较悲观的结论是，网络战时代不是美国大片里幻想的情况，实际上它已经在发生了。

网络战时代的特点在于，不分战争时期、和平时期，它在任何时候都有可能发生。

要应对随时可能发生的变化，就要求网络安全的管理者转变传统的网络安全思路，这些CIO们需要跟过去有完全不同的作战思想。

周鸿祎认为，网络安全作战思想的变化体现在四个方面：

第一，网络安全的对手变了，业务团伙由小毛贼变成了有组织的正规军。

“过去大部分企业在网络上的安全投入主要是防火墙，对手是小毛贼，而今天我们面对的是国家级背景的黑客部队，是其他国家的网军，这是网络安全重要的转折点。如果现在，企业把网络安全当成一个小问题，买点盒子、软硬件就能对付的话，那是还没完全意识到网络战其实已经是另外一套打法了。

第二，网络攻击的对象变了。

网络攻击不再瞄准过去的小病毒、小黑客，它的核心目标对准了能源、交通、通信等关键基础设施，这是网络战最重要的特征。因此，网络战可以通过互联网、物联网，把对虚拟世界的攻击，变成对物理世界的攻击。

“很多企业可能会认为，企业内部很久没有发生安全事件了，或者已经发生的安全事件危害性很小，但其实这并不代表企业内部没有被其他国家网军预先埋伏攻击漏洞。最近360帮某大型通信运营商排查了一次网络安全隐患，两周后发现，某大国对该企业进行了网络情报窃取行为，而且已经潜伏了6年之久。”

第三，网络战的假设变了，没有攻不破的系统。

按照过去的规则，企业更多是采用被动防御的方案，用盒子、杀毒软件等软硬件的手段将自己的系统隔离保护起来，以谋求一定的安宁。

但在周鸿祎看来，大安全时代跟过去小安全时代有些不一样，攻防不平衡是一个非常大的挑战。

因为网络战条件下，对于攻击发起者来讲，天下没有攻不破的系统。

未来网络战互相攻击的对象一定是系统的漏洞，不论是天然漏洞，还是预置漏洞，而且这些漏洞大概率有“人”的因素在里面。因此，网络漏洞也成为了重要的战略资源。

实际上，周鸿祎所说的利用漏洞发起网络攻击的事件已经在全球发生。前段事件，美国某官员披露，美国在俄罗斯的电网里已经有预置代码漏洞，只要一声令下就可以进行打击，如果俄罗斯对此没有防范能力很可能在美国的网络战中败下阵来。

去年，英特尔处理器的两大漏洞“熔断”（Meltdown）和“幽灵”（Spectre）被曝光，这两大漏洞涉及过去十年间推出的所有英特尔芯片组，影响巨大。但其实，这两大漏洞是英特尔故意预置的后门，因为如果把漏洞堵住就会导致数据处理速度的下降。

第四，战法变了。

网络战是集大成的超限战，无所不用其极。

周鸿祎认为，网络战不分战时平时，网络战如果在某一天发起进攻，那么在这之前的一两年，一定事先默默进行了网络渗透，逐步借助各种跳板、各种攻击，一层层渗透到核心层。“虽然今天各国看起来并没有跟任何国家宣战，但其实各国都在构思如何在对方的网络里预埋漏洞。”

另外一点，网络战不分军民。可能很多民营企业会认为网络战跟自己没有关系，但实际上，网络已经确确实实把大家连到了一起。如果作案团伙需要攻击某大型央企，可能不会单刀直入，而会迂回到这个大型央企的某供应商进行第一步攻击。只要该供应商有安全短板，就可能让大型央企的整个网络安全防护形同虚设。

所以，网络战不仅仅是只靠军队、公安、国家力量去考虑如何保护重要基础设施的事，而是实际上，互联网企业、包括网民个人的网络安全都与国家基础设施的网络安全组成了一个整体。

周鸿祎表示，在这种形势下，360开始重新思考在大安全时代，360应该做什么。

完成这个目标，360有两个选择：

一是，卖盒子、防火墙等各种各样的网络安全产品，但这个选择最后会把360变成跟其他网络安全公司一样的企业。周鸿祎明确表示，他并不想走这条路，“这不是360的风格。”

那么，360的风格是什么，未来周鸿祎对360安全是如何定位的？

周鸿祎表示，360 的目标是想帮助国家、政府，大型央企、大型基础设施企业做一套雷达或者防控系统。

这个系统建成之后，在网络战实战中，各个企业能够最快地利用大数据感知网络威胁的存在，这样才能谈得上止损、阻止、中断、反击和溯源。

因此，在周鸿祎规划中，未来的360安全，应该是在全球化网络安全战这样的高度下，帮助政企应对敌方攻击。

为此，360开始构建数据安全海和漏洞库。一方面帮助政企早日发现对手悄无声息的网络攻击攻击行为，另一方面，自查漏洞，早日修补。

据了解，安全数据海是360安全大脑的核心。利用数据海，通过大数据技术，网上发生的任何攻击360都能第一线看到，而且能够把事情的来龙去脉都演出来。

周鸿祎表示，安全数据海是360经过十多年的时间积累下来的，中国大部分的计算机都安装了360杀毒软件，360将这些云端的碎片化数据放在一起，就构成了一个中国完整的安全数据拼图。

根据这个完整的安全数据拼图，360发现，网络攻击并不是单点攻击，而是有一个漫长的攻击链， “网络攻击基本上有两个共性，一是，一定有某个软件在电脑上运行；二是，一定有某个奇怪的软件在跟某个奇怪的网站进行通讯，因为它要获取指令进行更新。”而通过数据海，360能够察觉到各种攻击嫌疑。

除了安全大数据能力，360也有着多年的APT情报挖掘经验。据了解，360是全球挖漏洞最多的公司，近几年360累计发起了40起APT，这40起APT有来自周边国家和地区的，也有两个来自大国网军。

在此基础上，周鸿祎透露，360也正在积累一个大体量的攻击知识和漏洞知识库，今年下半年将推出一套标准化的知识框架，一套通用的语言描述一个攻击是如何发生的，一旦攻击发生描述语言可以同步给CIO们，使大家迅速在自己的企业根据描述捕获更多的攻击。

正如上文提到的，未来的网络战不是某个软件与某个硬件的对抗，而是人与人的对抗，所以360非常注重安全人才的培养，多年来，360将越来越多的网络安全专家纳入麾下。

周鸿祎介绍，360拥有东半球最强的黑客团队，研发人员有几千人，专门研究攻防、挖掘漏洞的顶级黑客有上千人，这是360区别于一般的网络安全公司最重要的一点。

值得一提的是，在老周演讲的同时，在一年一度的BlackHat“全球黑帽大会”上，360 团队不仅包揽冠亚军，而且共10人上榜，这是中国人十二年来第一次封神问鼎，亚洲首冠，全球第一。

未来360要做的是从三个方面将自身的安全能力输出：

“未来，360是一个很不一样的安全公司。”周鸿祎最后说道。360希望跟大家共同打造一个安全生态，即专注于构建全网的网络安全大数据、知识库和威胁情报，输出无形的服务给企业、 社会 ，同时也会利用众包的方式，把 社会 上的黑客力量集合起来变成黑客云。 （本文首发钛媒体，作者/秦聪慧、赵宇航）

2. 周鸿祎对于互联网他是怎样看的

在2014年互联网大会的第三天，终于有了大佬级的对话。作为中国互联网的“老一辈”，周鸿祎和张朝阳坦言，现在的互联网是属于年轻人的。但作为一个新时代的拓荒者，他们对互联网多年的思考往往更能直插互联网的心脏。
互联网人的生存状态是什么？
这算是个热身的话题。谈到这个，张朝阳悠悠的说了三个词：兴奋、骄傲、焦虑。兴奋来源于总是在不断萌发的那些可能改变世界的想法和憧憬；而骄傲则是因为互联网给了年轻人更多机会，让他们能够比在传统行业中更容易成功。至于焦虑，则是他说的最多的。互联网的商业模式往往是在免费的基础上搭建增值服务，因此初期的融资就是最大的焦虑。张朝阳说，国内互联网萌芽初期，国内还没有风险投资的概念，需要去美国寻求投资。而且，还要面临投资方不同的管理方式以及国内不明朗的政策，这都是潜在的问题。
比起张朝阳的“革命家史”型诉说，周鸿祎显得更愿意谈未来。他说，十几年前互联网的确是不被认可的，但现在互联网却在做着颠覆传统行业的事情，这让很多行业都患上了“互联网焦虑症”。这充分证明了互联网已经成为了新经济环境下非常重要的产业。
那么，互联网的下一拨机会是什么？
周鸿祎说了三点：移动互联网、IOT（internet of things，他不愿意称之为物联网）、网络安全
1、移动互联网把互联网和传统行业真正结合在了一起
在桌面互联网时代，互联网和传统行业之间的交界更多是信息层面的。而移动互联网兴起后，这种交界就不再是信息层的了，而是贯穿到产品和服务层的交互。看看Uber、Airbnb对传统的线下租车、租房等服务的改造就一目了然。移动互联网不仅让信息更加对称，还能让交易行为也更有效率。为什么？因为移动互联网的去中心化趋势更加明显了。在这个过程中，移动互联网逐渐在改造者传统行业，其威力要远远不止是通过手机获取互联网信息这样一种简单的信息迁移。
2、万物互联将帮助我们实现真正的大数据
周鸿祎一再强调“IOT”这个概念，并刻意回避“物联网”的提法。他认为，物联网的概念炒作了多年，却一直没有给普通人的生活带来实质性的改变。他所说的万物互联其实更加强调IOT能给大数据带来的可能性。通过给所有的物体内置芯片，使得这些物体能够24*7的与互联网云端相连，从而实现真正的大数据。
一方面，IOT让很多行业都具备了互联网化的机会。另一方面，IOT对大数据的贡献使得人们可以更快的实现人工智能。对于工业制造型企业来说，这是一次真正改造产业的机会。
3、无处不在的连接也带来了更多的安全问题
周鸿祎说网络安全，难逃打广告的嫌疑。不过，在信息化程度越来越高的今天，网络安全问题的确已经引起了政府和部分企业的重视。通过手机、可穿戴设备等移动设备，人们与互联网世界的连接更加紧密了，这也使得用户都变得越来越透明。大量数据汇聚在云端，一旦服务器出现问题，那么用户的大量隐私数据就面临曝光或丢失的危险。当然，哪里有问题，哪里也就会有机会。对于这一点，张朝阳也表示了认同。
互联网的未来是属于90后的吗？
最近，互联网与90后是一个热门话题，创投圈和传统互联网圈都在关注和热议。如今，互联网的主流人群已经逐渐迁移到了90后群体中，就连互联网创业者的队伍中也出现了越来越多的90后创客。周鸿祎和张朝阳都表示，对于他们这一辈互联网人来说，90后的真正需求是什么，他们未必能理解，这让他们感到焦虑。
怎么了解90后？周鸿祎笑称，该去找个90后女友了。张朝阳没接茬，他说道，可以让公司的结构更加扁平，让更多年轻人参与到公司的产品甚至决策中来，在这个过程中充分汲取90后的想法。
互联网精神是什么？
周鸿祎说了四点：用户、体验、免费、颠覆。
所谓用户，就是要学会与用户建立长期且黏性高的连接方式。
所谓体验，那就是真正从用户出发来感知产品，而非仅仅从一个技术宅的世界来理解产品。
所谓免费，就是在免费的基础上不断去开拓新的商业模式，这里面仍然还有很多创新的空间。
所谓颠覆，就是互联网如今已经具备了颠覆传统行业的能力。
张朝阳则认为，互联网精神的内核就是：自由和公平的竞争。
目前，中国互联网的规模和活跃程度仅此于美国，这是其它产业很难做到的，原因就在于它是一个纯粹竞争的产物。如果其它行业要学习互联网，首先要学习的就是它公平竞争的发展模式。并且，越是需要被互联网改造的行业，就越是竞争不充分的行业，比如教育和医疗。张朝阳认为，教育和医疗应该引入公平竞争的机制和更多民营资本。当民营医院和民间办学都真正蓬勃起来之后，这两个行业的现状才能有所改变。

3. 周鸿祎说数字城市极易受网络安全威胁，你是否认同他的观点

随着时代的发展，技术的进步，新基建也在各行各业以及人们的日常生活中不断渗透，技术也将成为未来智慧城市的一个基座，实现万物互联的状态，这也是现在很多人提到的万物互联实现智能时代。可以说大家都认可未来会是数字城市。但也有人提到说数字城市很可能带来网络安全威胁，那么怎么看待这个观点？

我们都认为未来数字城市的发展方向主要在于产业升级，空间重构，人本设计，开发创新，无界融合。未来数字城市的规划应该是从上而下的设计，通过数字化技术，以创新的方式解决城市治理和发展存在的难题。

未来的数字化城市是由技术驱动的，从城市定位出发以需求为中心以治理数字化，生活数字化和经济数字化三个维度来进行排序。从这些我们就可以了解到，确实未来我们生活会变得越来越好，但是确实如果过度的使用这些数字化技术，也应该防范网络安全威胁。