專訪“白帽子”：5G+大數據+人工智能時代，中國網絡安全嗎？-張雪松

2021-07-10

近些年，5G、物聯網、人工智能一直是科技圈的熱詞，隨着這些領域的技術逐漸成熟、越來越多的應用實現落地，社會經濟生活正變得更加便捷和高效。不過，當人們享受技術革新帶來的紅利時，網絡安全的風險也正迅速提高。

2021年世界人工智能大會召開之際，觀察者網對漏洞銀行聯合創始人兼CTO張雪松進行專訪，就物聯網和人工智能時代的網絡安全、數據治理、國家層面的網絡攻防、網絡安全人才的培養等話題展開討論。

張雪松認為，在物聯網和人工智能時代，技術的發展會讓網絡安全防護的範圍變得更大，黑客觸達的便利性也會越高、攻擊端溯源變得更難，而且越是新的技術新的領域，安全成熟度越低，黑客越有可乘之機。

他同時指出，中國在自主可控方面已經下了非常大的功夫，這在戰略層面對網絡安全有非常深遠的影響。當中國研發出自己的操作系統、應用系統，甚至辦公軟件的自主化，發展出自己的技術路線，就會讓我們在整個攻防戰略層面形成一種安全優勢。總體綜合來看，中國和外國的網絡安全實力是旗鼓相當的。

漏洞銀行（BUGBANK）是國內首家互聯網安全服務SAAS平台，已有數百家企業和上萬名白帽子（指以保護網絡安全為目的的黑客）入駐平台。2020年11月，漏洞銀行入選“2020年度中國網絡安全企業百強名錄“；該公司聯合創始人兼CTO張雪松入選“上海市首席技師、技能大師工作室資助名單” 。

圖片來源：視覺中國

【採訪/觀察者網周遠方編輯/呂棟】

觀察者網：隨着5G和人工智能的發展，我們現在加速進入物聯網時代，從網絡安全角度，怎麼看這種發展趨勢？

**張雪松：**像5G、物聯網和人工智能這些技術會為我們的生活提供更多方便和快捷，但是安全風險會大大增加。

首先，設備的數量和需要安全防控的體量規模變大了，過去這些設備是不聯網的，現在這些設備聯網了，從安全管控的範圍上來説，規模成幾何級的增加。

其次，這些物聯網設備，比如電力、交通、民生等設施，都不再建專網，出於成本考慮，統一用互聯網進行聯通，但隨之而來的隱患會更大，黑客可以隨時接入互聯網觸達到這些系統，同時隨着5G技術的發展，黑客攻擊端也更難溯源，黑客可在任何地方連接5G網絡進行攻擊，IP地址隨機可變，很難追查和抓捕這些黑客。

再講下人工智能，這種技術為安全防護造成了比較大的困難。過去我們使用系統、軟件，在沒有人工智能的情況下，基本都是一個穩定的輸入輸出過程，輸入一個邏輯往往對應一個明確的結果，這種情況下，安全防控可以制定審計策略，排查異常的攻擊行為。

但是人工智能系統，它的特性就是會不斷學習，一個指令會有多種不同的表現，因為它是智能的、成長的。這在安全的防護和分析上，就變得複雜了，不再是一個輸入對應一種輸出，它會基於大數據，基於主人習慣，基於對當前的一些形勢判斷，得出它自己的結果，站在安全角度很難判斷系統是異常還是正常。特別是未來智能化場景越來越多，比如智能汽車、智能電器等等，在人工智能系統越來越發達的未來，黑客攻擊會越來越難以發現，所以智能的安全會成為一個行業難題。

包括現在的人臉識別技術，其實在近幾年的黑客大會上，比如GeekPwn等黑客賽事上，都有非常多針對人臉識別的攻破。現在黑客技術可以欺騙人臉識別，使系統誤認為我是某人或者某物，甚至替身某國總統，這對於現在使用人臉身份驗證的場景都有影響。目前的安全技術對此暫時還沒有解決方案，無法去識別這個風險，黑客在攻擊中更多的是利用髒數據，一些誤導人工智能的數據，沒有惡意代碼，所以這種攻擊很難判定，但是卻讓人工智能產出一個錯誤的認知，甚至一個錯誤的判斷，這就會造成很嚴重的後果。

所以從這些層面，一是防控的範圍，二是黑客觸達的便利性，三是黑客溯源的難度，四是人工智能的安全難題，從這些角度上來看，新技術帶來的安全風險是巨大的，而且越是新的技術新的領域，安全成熟度越低，黑客越有可乘之機。

觀察者網：這讓我對新技術產生了一些焦慮。

**張雪松：**是的，確實新技術帶來了新的危機，而且萬物互聯，新技術與隱私安全也息息相關，比如智能汽車外全是攝像頭，實時捕獲視訊信息，還有智能助手，實時捕獲語音和談話信息等。

觀察者網：是的，我跟相關行業和法律人士交流的時候也瞭解到，這甚至會影響到國家安全，同時，從國家層面來説，對於數據的治理其實涉及非常複雜的跨部門協調。您怎麼看待數據治理這個問題？

**張雪松：**剛才談及的5G、人工智能、物聯網等技術，其實都是未來發展趨勢，也是由於科技進步和市場需求應運而生的。這種新技術的應用和推廣速度非常快，對國家發展的好處不言而喻。我認為信息安全和技術革新是相輔相成的，我們可以發現一個現象，如果某種技術的安全可靠性還沒有達到應用所需的標準的話，這樣的技術可能也不會有更好的普及應用。例如現在的自動駕駛，如果自動駕駛的安全級別還沒達到一定要求，它其實不會被允許上路的。

另一方面，只有在新技術不斷應用探索過程中，我們才能發現問題。這個試錯成本本身會被研發機構和先行企業承擔，國家也會承擔一部分，一個新事物的發展會有試錯成本，這是必然規律。

試錯的同時，應該馬上推進的是安全的手段，這方面考驗的是我們安全行業的反應速度和能力，我們有責任和義務去解決這些難題。

數據治理層面，國家也在有條不紊地做佈局，比如説最近國家頒佈了《數據安全法》，對數據管理進行了法律定義，對第三方存取管理公民隱私數據的行為也做了明確的法律規定，這樣就從法律層面有了依據，界定了非法行為和合法行為。這樣很多企業在獲取數據的時候，就必須約束自己的行為，我覺得從治理的角度來説，是向前跨出了一大步，非常關鍵。

剩下的就應該是發展技術手段和監管，比如不久前有一個案例，某個第三方公司發明了一個爬蟲軟件，爬取某知名大型網購平台存儲的、與個人隱私有關的數據，我覺得要有足夠的監管手段，能夠從技術層面瞭解到有哪些系統、哪些設施在暗中存儲數據。其實某些主體獲取到這些數據後，用於自己做分析、或是轉化為一種算法、或是轉化為大數據的某種結論，這些用途比較正常，但是這些信息如果留存，並且還對外提供查詢，這就有安全和隱私風險，國家也要有更明確的監管要求和措施，來對此類企業進行管控。

觀察者網：你們作為一家網絡安全公司，在這方面有怎樣的探索實踐？

**張雪松：**我們是國內知名的白帽平台，叫漏洞銀行。專注黑客攻防領域的安全漏洞平台，我們有全國超過4萬名的黑客技術專家，現在更多地致力於解決企業、機構、政府遇到的網絡安全問題。基於這樣的業務，我們的思考和技術研究方向，更多的是幫助企業構建安全機制，發現先進威脅的風險。我們現在在積極地做以下幾方面的努力：

一方面，我們儘可能地在網絡層面及時發現威脅隱患，比如黑客攻擊的風險性和漏洞危害，這是我們一直以來的主要研究方向，我們認為，研究漏洞可以幫助企業甚至國家層面獲得安全防護的提前量。比如美國石油管道遭受一種定向攻擊，我們能預判有這樣的攻擊風險，這就可以提前做一個可靠的防護。

另一方面，我們發現黑客現在更多關注數據，不管是攻擊網站還是勒索，都是在打數據的主意，這是一種趨勢。所以我們在數據安全方面投入很大，一是防控數據的安全，包括數據治理本身，我們跟很多數據中心在合作，嘗試建立出一整套數據分級管理+防控+標記+追蹤的完善安全體系，我們通過安全手段，對不同數據採取不同管理級別，對數據分別打上標籤，這樣在出現問題的時候，就能夠有效追蹤和確保數據安全，這就在國家數據治理框架下，強化了技術手段和監管手段，確保技術發展不會受黑客攻擊的干擾。

觀察者網：説到勒索病毒，最近黑客攻擊基礎設施的新聞很多。

**張雪松：**是的，之前作為美國重要基礎設施的輸油管道遭到攻擊，導致總長度8000多公里的輸油管道就停工，影響到了國民經濟，甚至國家秩序領域，所以美國非常重視，出動了FBI等一些特殊機制來做反黑客的工作。

具體來説，他們追蹤到了比特幣交易錢包的一個記錄，這種線上錢包實際上是一個網絡地址，在技術上它其實是匿名的，但是這個地址可能在某個數字貨幣交易所產生過一些交易記錄，或者賬號被登記使用過，比如用這個數字錢包轉賬過一筆錢，這樣的話這些記錄會被一些機構和組織保存下來，這樣就可以對反黑客、反黑產的行動提供一些信息支撐。調查機構找到使用這些加密錢包的個人，追蹤到這些個人所在的地區。FBI還可以動用相關的法律機制，要求提供錢包服務的運營商和管理者凍結錢包，甚至通過運營商的一些技術信息找到錢包的密碼，把錢包裏的錢再轉出來，這次的FBI追回勒索金也算是一個重大成果了。

今年5月，全美最大成品油輸送管道的運營商Colonial Pipeline公司遭黑客勒索軟件攻擊

觀察者網：從您描述的這個過程來看，加密貨幣雖然説技術上有匿名性，但其實跟現實世界還是會在關鍵節點有交集，比如某些交易所可以有流程記錄，所以還是可追溯的？

**張雪松：**是的，就如同我們的電腦一樣，如果我們通過電腦上網做了一些行為，勢必就會產生一些痕跡，那相對容易被追溯到。但是如果我們通過U盤私下傳遞一些信息，就很難被追查到，數字錢包其實也如此。

觀察者網：還有一個現象，2017年勒索病毒流行的時候，有一些報道説，網絡安全公司的股價大漲，最近也有一些新聞説，這些勒索團隊專門攻擊上市公司，不是為了直接去勒索資金，而是通過威脅做空企業來獲益。那麼應該如何看待網絡安全和資本市場之間的關係？

**張雪松：**網絡安全與資本市場的關係是直接關聯的。一方面，例如2017年全球著名勒索病毒wannacry爆發，總共影響150多個國家，它的影響範圍非常廣泛、深遠，這樣一次大規模的安全事件，勢必會讓資本市場關注到安全行業，導致網絡安全公司股價大漲。另一方面，對於上市公司和大型企業、機構來説，安全會直接影響他們的市值或者估值，安全事件是一個重大負面信息，短時間內就會造成股民情緒波動，造成對公司經營發展的恐慌，直接會影響公司股價。所以上市公司一般對網絡安全十分重視，而且其內部的安全機制也比較健全，會採取一些措施讓風險可控。

觀察者網：美國輸油管道基礎設施受到攻擊，有一些輿論認為，這不是個人或者小團隊的偶然行為，而是國家層面的體系對抗。您對此怎麼看？有沒有黑客“國家隊”？

**張雪松：**因為我們長期從事與黑客羣體高度相關的工作，有過一個分析。從黑客羣體的人員構成來説，有大約5%的黑客人員效力於國家層面，也就是各國政府，這個羣體的黑客實力很強，可以針對國家級別發動攻擊；大約15%的黑客人員屬於民間組織，具備比較專業的技術，可以遠程進入到各系統實施勒索或攻擊；剩下的80%左右的人員實際上處於學習提升階段，是一羣能力參差不齊的愛好者。

從攻擊動機的角度來分析，對於國家基礎設施的攻擊的收益可能不僅是經濟方面，還可能會對相關國家的信譽和權威，乃至國際秩序都會產生影響，從這方面來看，此次攻擊事件“國家隊”黑客參與的可能性是比較大的。

從經濟角度來分析，國家基礎設施由於性質獨特，業務不能中斷，相對於其他機構，國家基礎設施更願意支付勒索金給黑客，以確保儘快恢復生產，所以此次攻擊事件，也是專業的黑客組織定向攻擊的典型。

觀察者網：這是不是説明黑客攻擊也要考慮投入收益的比例？

**張雪松：**是的，黑客攻擊最看重的就是投入產出比，黑客其實也是為了牟利。針對於勒索目標，同樣是實施攻擊，難度和成本都不低，黑客有時要投入百萬購買漏洞，還要花費數月分析和入侵目標，在這種情況下，黑客肯定要考慮哪些攻擊的回報更高。

觀察者網：西方媒體之前在其他案子上，也有不少指責中國黑客團隊的聲音。

**張雪松：**對，這種聲音會比較多，大家都會有這樣的猜疑，因為黑客本身就有匿名性，大家面對未知，肯定會有這種敵對猜測，我覺得出現這種推斷也是正常的。從技術上來説，其實可以通過代碼分析，找到黑客的代碼特徵，初步鎖定病毒作者的國家區域。

觀察者網：中國一直在硬件和基礎軟件上強調自主可控，這些進程是否會影響到網絡安全攻防的形勢？

**張雪松：**中國在自主可控方面已經下了非常大的功夫。從戰略層面來説，這對網絡安全確實有非常深遠的影響。

首先，從技術路線的角度上來説，發展我國自己的操作系統、應用系統，甚至辦公軟件的自主化，這樣的一個技術路線就會跟國外體系有所區別，中國發展出自己的技術路線，就會直接讓我們在整個攻防戰略層面形成一種安全優勢。

為什麼這麼説？因為黑客在研究學習網絡攻防的成長過程中，大部分都會以通用系統作為樣本進行研究，而這些通用系統，比如針對微軟的windows、針對Linux或者office進行攻擊，一旦研究得到成果之後，就有黑客會發動攻擊，比如實施勒索病毒攻擊。這種攻擊對我國自主可控的系統成功率會大大降低，甚至會失效。

從國家戰略的角度來説，國家執行自主可控的戰略，有利於我們建立自己的操作系統和應用軟件體系，這些基礎體系為後續發展自主可控的安全體系奠定了基礎。因為安全技術本身的迭代和升級也受制於系統的發展，現在多數系統都是國外的，我們想要發展安全體系，跟操作系統、應用軟件商合作，目前我們和他們的合作是有受限的，國外廠商不會單獨為我們定製安全機制，所以安全升級會受制於他們。如果我們能夠做到自主可控，戰略上會有非常深遠的影響。

**觀察者網：**你們在實踐當中有沒有碰到過自主可控的系統，比如中國電子搞的一些軟硬件體系？它的實際安全程度怎樣？

**張雪松：**我們實戰過程中確實發現，自主可控的系統發生的安全事件本身會少於通用系統。但也還是有的，這也是因為我國現在的自主可控技術還沒有完全成熟，處於一個成熟過程當中，還是用到了部分與國外技術有關的引擎和內核。而這些引擎和內核的逐步自主化，還是一個比較漫長的過程，所以針對這些內核和底層的一些漏洞進行攻擊，還會生效，但是對於一些應用層或表現層，包括一些組件、插件進行攻擊的話，大部分都會失效。

觀察者網：您對於中國網絡安全行業的發展水平如何評價？我國的網絡安全體系目前是否夠用？

**張雪松：**目前總體來看，整個中國的網絡安全行業仍處於高速發展期，還達不到成熟期，發達國家安全行業已經成熟，我們還有3-5年的差距。

中國信息安全人才十分緊缺，據我們調研統計，在中國網絡攻防領域的專家大致在15萬左右，但整個行業對攻防專家的需求量在30萬左右，缺口比較大。網絡攻防專家必須熟悉黑客技術，懂攻才能懂防，但是這類人才成熟化的培養路徑不專業、不統一，沒有專門學科，多數黑客專家都是通過自學，在攻防實戰中摸索技術，甚至通過網上的一些技巧分享成長起來的，所以他們的成長路徑實際上不穩定，這也導致人才缺口的出現。

同時，在攻防技術研究方面，國外確實略領先，因為他們也有發展優勢，目前主流的操作系統、應用軟件，都是國外品牌和技術，編程語言也是英語語系的，所以國外的技術研究人員有得天獨厚的優勢，他們的研究會略領先於國內。

但是，現在國內也有一些優勢，首先，國內的信息安全人才基數相對更大，這是因為我國高素質人口基數比較大；其次，國內信息安全公司數量也相對較大，比國外國家要多，這也為未來的安全發展奠定了基礎，激烈的行業競爭會加速行業發展。第三，中國的互聯網高速發展，應用場景更多，面臨的安全問題也更多，安全實戰經驗積累會更快。

觀察者網：某種意義上來説，市場體量更大。

**張雪松：**是的，市場體量也造就了一箇中國網絡安全的發展優勢，所以總體綜合來看，中國和外國的網絡安全實力是旗鼓相當的。

5月14日，東芝歐洲業務遭黑客入侵

觀察者網：****前面提到的網絡安全人才培養體系的問題，從你們來看，有沒有解決辦法或者建議？

**張雪松：**我們一直在研究和分析黑客技術人才的成長路徑，我們本身也在做黑客專家平台，通過平台吸納的用户基本上都是這個領域的人才，從大數據的角度來説，他們的年齡構成非常年輕，80%以上都是在20歲以下，16歲左右的人數最多。

首先，這個人羣對網絡安全的興趣非常濃厚，他們在高中、大學或者一些專科學校讀書，也有不少沒有進入正常工作崗位，是一些無業的網絡愛好者，他們有能力和精力來學習網絡安全技術，也沒有太多的社會負擔。

我覺得從行業人才培養角度來説，首先建議國家層面鼓勵整個教育領域來關注網絡安全，一是看國家本身是否能夠提供相應的學科和相應的興趣引導，讓我們的在校學生早一點接觸到相關內容，甚至從小學就可以接觸，這個非常關鍵，因為興趣是安全技術人才成長非常重要的因素，如果能及早發現和培養人才，中國會誕生大量的安全專家。

第二，社會層面，疫情之後網絡教育變得非常成熟，應該有更多導師開設網絡課程，建立更加體系化的安全人才培養路徑。當然這樣的過程必須輔以安全普法教育，避免培養“壞人”。

第三，像我們這樣的安全平台可以把黑客攻防實戰做成好事，我們的業務是服務企業發現問題，幫助企業做網絡安全建設，以這個目的為前提，可以鼓勵黑客專家利用我們的平台進行實戰，磨練自己的技術，結合實戰，形成網絡攻防實驗室，形成標準的教育培訓體系，這也有利於我國人才的發展。

觀察者網：最後一個問題，你們作為一個準備上市的公司，對行業和自身發展前景怎麼看？

**張雪松：**我覺得整個行業的前景非常樂觀，國家已經進入後信息時代，信息化的基礎設施已經建設完成，不管是大數據還是人工智能，現在的這些新生技術與安全的相關性更加緊密。數據正確性、決策正確性、最終應用場景，都要有安全做保障，甚至影響到整個社會經濟、政治秩序。所以在後信息時代，安全是一個非常好的行業，是信息化的剛需產業。

站在公司的角度，我們始終致力於在黑客攻防和先進威脅領域的發展。

什麼是先進威脅？其實就是在傳統網絡安全不斷完善的基礎上，隨着新技術發展和新的攻防思路演化，出現新的安全威脅和新的攻擊方式，通過我們平台上4萬名安全專家的知識庫能力，防控這樣的先進威脅。

未來網絡安全治理甚至國與國之間的安全對抗，在這種複雜環境下，怎樣保護國家、企業、個人在數字世界的安全，我們會全力解決這一時代的命題。

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平台觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閲讀趣味文章。