【导读】近日，在强网论坛主论坛上，360公司董事长周鸿祎作了题为《网络战背景下网络防御新思路》的主题报告。周鸿祎在报告中指出，网络战时代已经来到，网络安全从业人员应该向军队学习，用作战的思维来思考网络安全，用作战的思想来指导我们的产品和技术的研发，软硬两手抓，把常态化的实网攻防变成一种提升我们网络安全能力的有效手段，保护好国家网络，保障我国从网络大国迈向网络强国。

网络战不分战时和平时

网络安全现在实际上已经进入了网络战，很多网络安全公司可能还停留在搞一个概念，做一个产品，希望通过关系，把这个产品卖给政府，卖给企业用户。

一切都要从实战出发，因为网络战时代讲一些概念是没有意义的， 过去面对的对手可能是一些小毛贼。但是今天我们面对的对手是其他国家的网军，是有国家级背景的黑客，有组织的攻击。网络战的攻击目标无一例外干两件事，要么在我们的基础设施里进行潜伏渗透，关键的时候给你致命一击。要么获取情报。

网络战时代已经来到，在过去的四年里面，360做了不仅是全国第一，也是全球第一，我们一共发现了大概40起其他国家和地区背景的黑客对我们国家的渗透和潜伏。这个数字就充分证明网络战已经在发生。

但是每一个网络安全的从业人员都想一想，当我们津津乐道在炫技的时候，当我们在津津乐道秀产品销售额的时候，究竟你在国家网络安全方面做了什么工作？我们卖的每一个产品，即使部署到每一个企业和政府里面，在其他某网络超级大国真的对我们发起冲击的时候，我们真的能拦起这个冲击吗？因为那个武器是比较陈旧的，被一伙三流小毛贼改写，席卷了我国不少的重要部分。

向军队学习，用作战思维来思考网络安全

网络安全从业人员是不是感到汗颜，我们津津乐道安全投入如何之大，但是一次网络攻击可能就让很多网络安全公司现出原型。我们现在如果意识到整个网络战开始了，那就应该向军队学习，用作战的思维来思考网络安全，用作战的思想来指导我们的产品和技术的研发，包括我们应该意识到我们的对手来无影去无踪。

这两天新华社、《人民日报》的文章确实在不断的提醒美国是网络战的重要力量之一，美国也确实对我们国家很多基础网络有攻击，但是都是一些泛泛的统计。你很难去证明，到底我们有什么样真正实锤的数据，我们真正的能抓住哪怕一例是来自美国某一个网站单位对我们某一个敏感单位的渗透。

实际上目前从我们看到这样的案例并不多，反过来也证明一点，说明面对全世界顶级的网络战部队，利用各种未知的技术，在我们意想不到的时机，确实能够做到来无影去无踪。面对攻防不平衡的战斗，整个网络安全行业应该重新思考我们的作战思想和作战策略。

隔离不再有效，现在盲目的去堆砌软硬件，这种做法不能说一点用处也没有，也不能说现在的防火墙杀毒软件一点用没有，但是从国家的网络防御的态势上来看，我们很多单位是各自为战，很多单位虽然也投了很多的钱，装了很多网络安全软硬件设施，就像在网络空间里建了一个雷达一样，我们看到的数据是片面的，只看到了自己的一亩三分地，无法知道整个网上发生了什么，缺乏顶层的设计，没有数据的打通。它不能够联网，所以无法把各个雷达看到了各种碎片数据，最后还原出来一个真实的轨迹。

今天网络攻击为什么叫APT。一个攻击都不是一晚上发生的，如果今天晚上它决定要干点什么，它一定提前一年提前两年甚至更长的时间，通过网络上多个节点作为跳板，比如要攻击一个敏感的目标，逐步的渗透，在网络空间里它会有一个非常长的攻击链条。所以在这种情况下，大家的态度就比较悲观。

面对国家型的攻击，没有攻不破的网络

虽然很多人否认漏洞的价值，但不可否认的是，今天攻防的重要战略资源就是漏洞，别人能够进来就是因为他们知道我们不知道的漏洞。因为漏洞不可避免，邬院士的一个观点我非常赞同，邬院士自己对党绝对忠诚，但是并不以为他写的代码没有漏洞。我们的代码里面，我们的硬件体系结构里面它一样的会有漏洞，有漏洞就会被人利用。

所以最后我们得出一个比较悲观的结论：面对国家型的攻击，没有攻不破的网络。我们不要谋求说再设立一个目标，说我们建立的网络是别人打不进来的，别人不能了解的。

如何解决问题，软硬两手抓，过去很长时间我们比较重视硬科技，比如大家一说网络安全我们有防火墙，IPS，UTM，我们在安全里面有无数的软硬件的科技。在硬科技上确实是需要不断的创新，不断的发展。

360在硬科技上最近一直在干一件事情，我们公司能力有限，所以就把目标定位在不听答案，我们就解决网络空间的雷达问题，当我们的网络被其他国家网军入侵的时候，在入侵的时候我们能看见，看见是所有的前提。雷达的作用非常重要，没有了雷达你根本不知道别人的飞机在哪里。这时候你有再多的高炮，再多的坦克，再多的士兵，其实你根本就抓不到敌人。

所以网络攻防最关键的基础，实际上就是我们说的探测。所以360这几年在硬科技方面， 把网络安全大数据，他们对漏洞的挖掘，对APT的攻击，知识库结合起来，使得我们今天利用大数据，人工智能，加上专家的智慧，多年积累的知识库，使得我们成为全球最强的，能够对网络攻击做感知的技术团队。

机器人在使坏这一点上永远比不过人类

如提高整个网络安全产业的软实力？过去软实力是被忽视的，一提起网络安全就想到卖软件，卖盒子。其实网络安全的本质，网络安全的攻防本质就是人和人的对抗，当感知到敌人进来的时候，想通过软硬件处理来解决安全的问题，我认为是没戏的。这时候最重要的就是要上人，就是要上安全的专家。所以在相当长一段时间里面，和很多AI的专家观点是不一样的。

机器人在使坏这一点上永远比不过人类。我们面对的是世界顶尖的黑客，如何打造一个好的生态，让我们的网络安全专家也能变成世界顶级的专家。这是在产业会上我们比较忽视的问题。

2016年说服很多单位，过去的网络是静态的安全，是合规驱动，按照合规的规定，不是说合规不对，绝对拥护合规，对中国的网络安全做出了巨大贡献。但是合规是不够的，因为按照合规的检查，我们该买的软硬件都买了，是不是意味着我们的网络就一定安全了，是不是就意味这美国人打不进来了。没有人敢拍胸脯说是。

所以网络到底安不安全，网络安全不讲你有多少专利，有多少专家，有多少论文，它是跟部队打仗一样，能不能打得赢，关键的时候能不能攻得进去。

讲安全，讲一百遍不如打一遍

360倒贴4年的钱，支持公安部把护网行动搞了起来，护网行动完全是360背后来推动。很多人觉得这是周鸿祎瞎搞的一个让很多企业出丑的活动，所以很多人骂我。但是经过四年之后，它改变了整个中国网络安全产业的业态，很多单位你给领导讲安全，讲一百遍，不如打一遍。

高铁可以被操纵，机场可以被控制，移动通信可以被控制，所有领导对网络安全的重视，和你只是讲一些网络安全很重要这几个字是完全不一样的。包括很多单位对安全的认知也不一样，过去很多单位没有足够的应对攻击的防守能力，每年在护网行动的时候，很多单位就开始练习防守，包括我们对安全产品的评估业带来了很大的变化，过去网络安全卖产品，很多时候关系很重要，企业的实力很重要，但对很多在座的小的创业安全公司，你的产品可能就没有销售的机会，但在护网行动里，为什么很多小的公司得到了合同，签了约，因为你能帮助护网公司。也不是做销售的事情，它整个改变了中国网络安全行业的很多战法和做法。

像网络攻防、实网攻防，叫网上朱日和。无论是网络安全行业还是信息系统，包括部队的同志们，我们应该把实网攻防常态化、日常化，让它变成一种提升我们网络安全能力的有效手段。

漏洞是国家的重要战略资源

网络攻防大赛的意义怎么讲都不为过，网络攻防大赛看起来也不是赚钱的东西，还发奖金，郑州市还倒贴钱。网络安全大赛也是在不能够做实网攻防的时候，它给更多的网络安全从业人员提供了一种在实战环境下的评估，比如说可以升级漏洞，丰富国家漏洞库的资源。

在相当长的时间，一个从来不知道漏洞，没有挖过漏洞的公司，不可能未来在应对国外网络攻击的时候你的产品能够发挥作用，漏洞是国家的重要战略资源。很多新的网络攻击和防守的方法通过大赛可以挖掘出来，攻击的矛更加锐利，防守的盾更加坚实。

网络安全人才也应该改变一下评估，很多领导到我们公司去，要求看我的黑客团队。我都很不好意思让他拿出来看，因为我们最高的学历是大学肆业，一般都是初高中毕业。这样的人可能进不了体制内，因为他们也没有学历，没有职称，但是他们对网络研究的很深入。

所以网络安全的高技能人才一定要靠真功夫，什么叫真功夫，那就通过网络大赛实际上来体现，否则你没有真刀真枪的和国外的网军团队干过，你没有真刀真枪的去研究过国外的通信模式，位置空间，凭什么说我们在屋里闭门造车做出来的产品就能够御敌于国门之外呢？同时对部队，对一些特殊部门，实际上也是训练网络安全的战士，在真实的训练场上磨砺自己能力非常好的一个机会。

网络攻防大赛对于增强网络安全软实力

意义非常重大

这几年国内的网络攻防大赛开始起来，这个对于中国的软环境和生态，对于国家网络产业的发展，机制的改善，非常重要，所以这两个的意义不亚于我们做了一个新时代的防火墙，也不亚于发明了一个安全的技术。

早几年中国没有这个比赛，比赛都在美国，大家都非常清楚，腾讯的兄弟也在下面，最后腾讯、360最热衷的就是组织我们的队伍出国参加比赛。头几年参加比赛很爽，是在参加奥林匹克，为国争光，我们团队也很高兴，参加比赛我们往往能拿到很多大奖，而且有上百万的人民币的奖金。美国人还伸出橄榄枝，欢迎我们的人员到美国留下工作。

最后发现这件事不对劲。天底下没有免费的午餐，大赛背后不是美国的军方就是美国的情报机构。别人的大赛都是真实的命题作文，拿一台真实的路由器，拿一个真实的IE，真实的苹果手机，就让你来攻。真想攻破，靠的是你有漏洞。最后你就把一个宝贵的漏洞在美国人面前秀了一下，这个漏洞就被美国人收了，以后再也没用了。这实际上是我们国家网络安全巨大的损失。

一个未知的漏洞如果你留给国家漏洞库，但是我们为了参加这个比赛，我们可能这些漏洞都不断的遗失了。前几名都被360和腾讯包了，而且腾讯还组织了多支队伍，360组织了多支队伍，比赛的前十名里面有八个都来自中国的队伍，还有两个来自韩国，没有美国队。是美国人水平不够高吗？错了。美国的黑客队伍在攻击能力上还是全球最高水平。为什么人家不来参加这个比赛，因为人家不愿意把它的技术暴露出来。

中国要保持开放，我们要保持国际的交流，但是在网络漏洞这个问题上要有所识别。美国不允许它的安全研究人员到中国，到控制出口的国家进行漏洞技术的研讨，所以他们也不允许，哪怕我们邀请，他们也不允许美国官方或者军方的研究战队到他们认为是对方的国家参加网络攻防大赛。

强网杯也好，天府杯也好，国内这样的比赛越来越多，通过我们自己的比赛让自己的安全人员有一个更加安全可靠的成长竞技的环境，能够帮助国家发现。所以很多不再去美国参加比赛的兄弟们不要恨我。我们还是要在国内参加比赛。在新时代的网络战略环境下，中国一定要能够保护好国家网络，才能从一个网络大国变成网络强国，整个行业都有这个责任。