专访奇安信总裁吴云坤：信息化和安全一体两翼，以内生安全框架构建安全体系

腾付通官网整理报道：

从本世纪初开始萌芽并成熟的消费互联网，到当前发力转型的万物互联产业互联网，科学技术和硬件的发展给生产生活带来极大便利，基于大数据研究开发而形成的生活应用类软件也呈现出爆发式增长的态势。这其中，数据安全成为绕不开的话题。

在日前召开的2021年人工智能大会上，观察者网专访了奇安信总裁吴云坤。入行超20年，吴云坤几乎完整经历了中国网络安全发展历程，在他看来，网络空间是未来个人、企业、社会和国家赖以生存的第五空间，影响着整个国家的安全体系。

面对层出不穷的网络安全挑战，吴云坤指出，要将信息化和安全进行绑定，搭建以内生安全框架为指导的体系化建设模式。其次要推动安全左移，从根源保护应用系统。

未来，随着中国政治和经济实力不断增强，网络安全将愈发重要。吴云坤表示，希望中国能诞生顶尖网络安全公司，联合起来为国家安全保驾护航。

奇安信成立于2014年，专注于网络空间安全市场，向政府、企业用户提供企业级网络安全产品和服务，在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。2020年7月，奇安信登陆科创板，按To B业务营收计算，奇安信规模位居国内第一。

【采访/观察者网 庄怡】

观察者网：从本科开始，计算机技术和网络安全就贯穿了您学习和工作的绝大部分时间，您也经历了中国互联网从起步到现在百花齐放的局面，能否请您聊一下中国网络安全的发展阶段？

吴云坤：1996-2005年是第一阶段，当时中国互联网刚起步，网络安全规模很小，相关法律和信息化系统没有建立，2002年还出现了互联网泡沫。当中我们对标美国做一些事情，所以这10年是自发阶段。

第二个阶段是2006-2015年。当时信息化和法律也不完善，但因为可牟利的地方少，所以攻击也少，更多是黑客的技术秀。

这和中国互联网发展也有较大关联，在To C过程中，标志性的像支付宝、微信这样蕴含金融元素的应用开始诞生，诈骗和类似“鸽子”病毒也开始出现。（观察者网注：2008年，网络上出现“灰鸽子”、“鸽子下载器”“鸽子图片”等病毒，诱导用户点击和下载，这类病毒拥有键盘记录功能，窃取商业机密和个人隐私，此外这一病毒针对企业、网吧等局域网用户具有攻击功能）所以这中间10年，攻击、信息化发展都开始出现。同时，2005年还出台了等级保护政策。（观察者网注：2005年国家信息化领导小组印发了《国家信息安全战略报告》（国信【2005】2号）确定今后一段时期国家信息安全的战略布局和长远规划。发布了《关于开展信息系统安全等级保护基础调查工作的通知》）

所以总体来看这三条线，信息化是主线，左边是攻击线，右边是法律线，主线往前发展的同时，两边的线也开始发展。

这其中攻击线最敏感，例如用户都使用支付宝，像诈骗就开始出现，接着法律打击诈骗，这三条主线始终是贯穿的。

第三阶段出现在2015年之后，根据十三五规划，基本到2025年。从主线上看，数字经济开始出现，十三五规划后还出现了互联网+政府，这时候就从B To C转变为B To B、B To G的信息化发展，像工业勒索病毒、以商业秘密甚至国家秘密为核心的签名泄密等等攻击也出现了。

从法律线上看，2014年中央网信办成立，当年通过《反间谍法》；2016年开展护网演习，当年通过《网络安全法》并在2017年6月1日开始实行；到现在的《数据安全法》，正在制订中的《个人信息保护法》等等，法律开始完善。

另一方面，这三个阶段在市场上的增长速度有非常典型的变化。2005年之前几乎没有增长，百亿规模都不到；2005-2015年之间有百分之几到十几的增长；2015年之后，增长速度超过20%。对应到全球其实也经过这个过程。

观察者网：网络安全很长一段时间被认为在坐冷板凳，您刚才也说它一开始规模非常小，您入行的那段时间是怎么坚持的？

吴云坤：刚开始做网络安全的人有三种类型，第一种做黑产，第二种去网络安全公司干白道，还有一种是被抓进去了。这三波人最初都是技术爱好者。

2005年之后，政策法规开始完善，有信息化体系、有攻防、有商业了，所以这个阶段就不是以简单的技术爱好为主，有商业驱动。

2015年之后To B和To G开始遭到攻击，甚至上升到国与国对抗，这一阶段的坚持就是国家情怀。这关系到信息基础设施，一旦瘫痪将影响整个国家数据安全，所以不是单纯从赚钱角度来考虑问题。

观察者网：在您看来网络安全和国家安全的关系是什么？你刚才也提到了一点，能否再展开讲一下。

吴云坤：一般来说我们把网络安全分为4个层面，国家安全、社会安全、企业安全、个人安全。

最早的时候是消费互联网，所以个人安全先行发展。

其次当企业开始大量采用信息化的技术做数字化改造，企业安全也开始发展。

由于个人安全和企业安全映射到社会上，社会安全也开始发展起来。比如说徐玉玉事件（观察者网注：2016年，山东女孩徐玉玉被诈骗电话骗光学费后死亡一事引发社会广泛关注）、最近的美国燃油管道被加密事件等等。

最后是国家安全，国家安全是国与国的网络对抗战。信息化支撑着个人、企业、社会和国家，如果信息化被破坏，这些都不能生存。

概括来说，网络空间是未来个人、企业、社会和国家赖以生存的第五空间。如果第五空间安全出现问题，会影响到整个国家的安全体系。

观察者网 ：您之前在接受采访时提到过现在网络安全要迫切解决供应链问题、发展非对称技术、要发展各个领域不同的特色，那么对于奇安信来讲，目前主要的着力点是什么？

（观察者网注：此前吴云坤在接受采访时表示，高校科研是网络安全行业高水平技术发展的引擎，要满足现实需求，解决紧迫问题，同时发展特色：  

第一，解决供应链安全问题。比如我国网络安全迫切需求是解决供应链安全问题，信息系统中的很多基础、核心技术和部件都来自于国外。去年底爆发的Solarwinds供应链攻击事件表明，供应链安全已经迫在眉睫，尤其是在今天科技自立自强的大背景下。  

第二，发展非对称技术。网络安全的本质是对抗，是技术和能力的对抗。我国的网络安全技术虽然发展速度快，但整体技术能力与发达国家还有差距，这就需要在攻防对抗过程中，发展一些非对称技术。量子计算等新兴技术如何与网络安全技术结合，发展出提升整体能力和水平的非对称技术将是一个长远的科研目标。

第三，发展特色。网络安全是前瞻性领域，随着IOT等新技术在不同领域的应用，需要发展一些不同行业场景的特色安全技术。）

吴云坤 ：这要回到2015-2020年之间的十三五规划来讲，2018年这个时间点叫十三五中期调整，过程中我们发现，To B和To G做信息化改造，需要从头规划。例如老房子修修补补并不能保证安全，除非把房子推倒重来，其中可以重新设计地基、钢筋水泥、安保等等，成本会比较高。

但关键一旦出现问题，与成本无关，与代价有关。如果说经济利益吸引黑客攻击，你就必须花钱来进行对抗。所以有一句话很经典，数字化发展、任何发展都有代价。

发展的代价是什么？举例来说，发展工业企业的代价是工业污染，发展商业的代价是垄断，那么数字化的发展代价就是网络安全问题。

在构建基础体系过程中我们发现，第一点就是客户缺少完整的规划。如果建一栋房子是客户的信息化，他对门禁、防盗门、监控、房间设计都不了解，他缺咨询者，而这些措施都不是单款产品，它是一个防御体系。所以那时候我们推崇的不是卖一款产品，而是帮助客户做规划。

很多企业不愿意做这一块，投入大、利润小、对人才要求高，但这对中国是非常重要的事情。