周末宅在家的雷鋒網編輯看了斯皮爾伯格的神作《頭號玩家》，電影向我們展示了一個未來科技生活的圖景，每個人只要佩戴“綠洲”游戲傳感器，就可以完全生活在線上游戲世界，在游戲世界里夢想也觸手可及?？犰诺漠嬅?、腦洞大開的劇情、充滿青春回憶的上百個彩蛋，看過電影的雷鋒網編輯不禁感嘆，這樣的生活未免也太爽了吧。

但電影終歸是電影，回到現(xiàn)實，5G 依舊是一個不確定的因素，而這種不確定性會給各行各業(yè)都帶來特別大的挑戰(zhàn)，因為安全和所有東西都相關，所以當所有事情都不確定的時候，安全就會有很大的挑戰(zhàn)。

1 月 11 日，“ 5G+ ”智慧安全融創(chuàng)發(fā)展論壇暨 2019 網絡安全“金帽子”年度盛典在北京舉行，360 集團首席安全官杜躍進圍繞 5G 時代下的安全的確定與不確定做了主題演講。

杜躍進認為 5G 帶動了網絡環(huán)境的巨變，推動智能化的全面和深入發(fā)展。進一步實現(xiàn)了網絡世界和物理世界的融合，推動安全被重新定義。而客觀上邊界的消失，造成攻擊者僅需一點突破即可“內網漫游”。嚴重的資源不對稱，也會給受攻擊方造成大量的隱患。

所以在他看來，我們需要升級到“智慧時代”，而安全大腦是實現(xiàn)智慧安全的基礎，解決問題離不開持續(xù)高水平的安全服務，首先要完善企業(yè)頂層設計，給予人員最佳實踐學習機會。通過定制化的威脅情報和威脅應對支持服務，對企業(yè)系統(tǒng)化的和持續(xù)的培訓，以及專業(yè)、規(guī)范和持續(xù)的實網攻防與演練、系統(tǒng)化的漏洞發(fā)現(xiàn)和管理，專業(yè)的安全運營和應急響應，以此幫助組織建立更加完善的安全體系。

以下為演講全文，雷鋒網在不影響原意的情況在對其進行了編輯。

我們都非常不喜歡不確定性，不知道明天會怎么樣，所以我們都很焦慮。

一方面，國際形勢會對安全本身造成影響，比如說中美貿易戰(zhàn)、英國脫歐等，世界經濟也處于疲軟狀態(tài)， 正是這種國際因素的不穩(wěn)定性，讓大家莫名的感到恐懼，所以很多人都說不安全，但沒有人知道為什么不安全。

另一方面，從安全本身來看，幾乎每天我們都會聽到各種各樣的安全事件發(fā)生，勒索病毒、數據泄露、黑灰產、漏洞威脅等，但市面上的安全產品眼花繚亂，安全觀點林立，我們更不明白到底什么才是安全的  產品，所以這造成了更大的不確定性恐慌。這樣估算下來，至少還有三十年我們會處在這樣快速的變化和不確定的世界里面。我們如何適應這樣一個世界，變成每一個人必須思考的問題。

適應這樣的世界，個人認為需要在這種不確性里面找到那些確定的東西，只有這樣才能讓自己時刻保持  清醒，保持進步。

第一個是安全行業(yè)本身的確定和不確定，確定的是安全公司一定是更被需要的，不確定的是有些企業(yè)被忽悠買了無效的安全產品卻不知道問題出在哪，或者認為安全公司是騙子解決不了問題。安全這件事情是潘多拉盒子，它不是被打開，而是腐朽了，潘多拉盒子里流出來的黑水正在流向世界的每一個角落。過去只是我們這幫搞計算機的人，搞網絡安全的人跟潘多拉盒子里面跟壞人對抗著，因為攻擊者攻的是計算機系統(tǒng)，攻的是和計算機系統(tǒng)相關的各種各樣的東西。這些人雖然我不知道，也不敢說就比壞人多厲害，但是我們知道壞人都在干什么，我們知道壞人的手段和他們的想法。但是今天的世界是智慧世界、智能世界，所有的東西都在變智能，所有的東西都可以聯(lián)網，世界上的每一個角落都變得聰明，但是聰明并不意味著安全。

第二個確定的是安全行業(yè)的任務更艱巨了，不確定的是我們能應對嗎？能應對到什么程度和水平？

世界越來越不安全，其實不是我軍無能，實在是敵軍成長太快，僅中國就有超過200萬人在做黑灰產，每年我們國家的 IT 預算里只有很小的一點點留給安全，都不知道用在哪里去了。

第三個確定的是原來搞安全的方法行不通了。

第一，客觀上各種各樣的邊界都在消失。安全是一種對抗，我們習慣用傳統(tǒng)的對抗理論來看安全。傳統(tǒng)的對抗領域理論是找到關鍵的必經之路，然后在這里守住，集重兵之力防御就行了。但是現(xiàn)在的世界哪里還有關口？邊界都沒有了?，F(xiàn)在我們在一個點上防御、或者在一個面上防御，其實這些都不對，現(xiàn)在是立體空間，任何地方都是可以被入侵的：每個人都是弱點；每個業(yè)務都在快速迭代，每個迭代的版本都會出問題；每個業(yè)務規(guī)則稍不小心配錯公司就會破產，一個規(guī)則配錯，一個業(yè)務配錯，公司都會破產，5G 更是讓每個地方都可以被入侵進來。這種情況下應該在哪里守？所以在這種情況下其實無險可守。

第二，攻防不對稱，資源不對稱。對方可以收集很多的資源，可以用僵尸網絡，利用全世界大量的資源攻擊你，而你的每個資源是你自己花錢買的。在這種客觀條件下，我們主觀上的原因讓自己陷入了更加糟糕的境地。一是各自為戰(zhàn)，我說的各自為戰(zhàn)不完全是指安全企業(yè)之間缺乏配合，更多是指客戶們各自為戰(zhàn)。我們試圖在自家院子里搭一些攝像頭，看不到敵人就認為世界是安全的。但事實上，我們只看到了一部分的數據，看不到整個威脅情況。

所以這樣看來，不確定的是我們改變這些問題的進度是什么？或者說來不來得及？

第四個確定的是安全如果要想有未來，需要有大數據。今天我們把數據當成魔鬼，談數據色變，我的觀點和別人不一樣，在我看來，采集不等于做壞事，采集之后怎么用、怎么防才決定是不是做壞事，而從安全的角度來說如果不讓一個 APP 采集數據，實際上會讓安全徹底無法做了。所以和別的行業(yè)一樣，我們需要更大范圍的數據，我們需要更長時間的歷史數據，因為你今天看到的異常行為，可能對方在三年前或五年前就已經有準備了，今天如果沒有三、五年前的數據，你就無法還原對方到底在干什么。

而不確定的是這樣的數據在哪里？或者說有了大數據有能力用起來嗎？

第五個確定的是我們所有的安全，一定要轉到攻防視角。無論你給客戶講什么，一定要轉到攻防視角。在客戶的視角也是如此，當別人給你講任何事情的時候，你要想一想，這是不是符合攻防視角，因為安全產品最后靈還是不靈，就看一件事情，實戰(zhàn)扛不扛得住。

不確定的是到底應該怎么做到這一點。

第六個確定的是合規(guī)是底線、身份是青銅。

對抗最典型的就是軍事級的對抗，所以，合規(guī)只是一個最基本的東西。但是可以衡量的是能力，合規(guī)只是一個底線，我們不能再拿合規(guī)忽悠所有的用戶，合規(guī)只是基本要求。

不確定的是怎么讓客戶改變這樣的認識？

第七個確定是我們需要高質量的人，人是創(chuàng)造力、戰(zhàn)斗力，是提供服務的基礎，不確定的是人在哪里？要怎么用？

第八個確定的是網絡安全需要整體思維。能看見的范圍越大、越清楚，安全產品才有競爭力。如果沒有整體思維，我們永遠做不到這一點，如果沒有整體思維，我們看到的中國網絡空間安全，就只是你看到自己領地的小燈照亮的范圍，其他地方全是黑的，加上 360 全網 C 端的安全大數據，底座可能是亮的，但其他地方都是黑的。當然整體思維不僅僅是指發(fā)現(xiàn)，整體思維是指很多方面的東西，要形成聯(lián)動。

而不確定的是對方會在任何一個地方打我們任何一個點，要怎么防？

第九個確定的是，我們需要升級到“智慧時代”，和別的領域一樣，安全也需要大腦。解決問題離不開持續(xù)高水平的安全服務，首先要完善企業(yè)頂層設計，給予人員最佳實踐學習機會。通過定制化的威脅情報和威脅應對支持服務，對企業(yè)的系統(tǒng)化和持續(xù)化的培訓，以及專業(yè)、規(guī)范和持續(xù)的實網攻防與演練、系統(tǒng)化的漏洞發(fā)現(xiàn)和管理、專業(yè)的安全運營和應急響應，以此幫助組織建立更加完善的安全體系。

不確定的是對方是通過超時空、超能力和隱身衣來攻擊的，可以從任何一點把能力投射到任何另外一點，網絡空間防御有可能做到這一點嗎？

最后，大安全時代物理世界和網絡世界不分，所有的東西都在融合，生存密碼一定是智能互聯(lián)、整體攻防和實戰(zhàn)能力。

注：圖片為嘶吼傳媒官方提供

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。