2050年，我們會看到一個什麼樣的世界？

內容來源：2017年8月15日，第三屆互聯網安全領袖峰會（CSS），筆記俠受邀參會。照片來自Vphotos.

責編 | Even

第1662篇深度好文：5760 字 | 8 分鐘閱讀

筆記君說——

俠客，你好！新商業路上，筆記俠時刻與你相互守望，並肩作戰。

隨著網路的普及，大家關注的安全不僅僅是硬體方面的安全問題，更多的還要關注人的數字資產問題。關於互聯網安全，第三屆互聯網安全領袖峰會第一天就邀請了眾多大牛，共同探討全球網路安全最新發展趨勢。

筆記俠受邀參會，現場整理了三位大牛的精彩觀點：

全行業如何跨過企業信息這道坎呢？

企業平時該怎麼做，提高自身安全性呢？

人工智慧的到來，未來會是光明的還是黑暗呢？

以上問題，你可以在本文中得到解答。

一、騰訊COO任宇昕：

全行業如何跨過信息安全這道坎？

新形勢下，全行業該如何跨過信息安全這道坎呢？我認為，應該從社會安全意識、應急響應機制、基礎建設投入、法治保障體系四個層面入手，這也將成為保障數字經濟發展的四條「中樞神經」。

第一，社會安全意識需要轉變，安全問題前置、安全已成為業務流程重要組成。

對全行業來說，安全治未病時代已經到來，頭疼醫生的「看護式」安全模式，必須向全民健體的「保健式」安全模式轉變。企業要在產品設計之初就具備安全意識和防範能力，如同具備大數據能力、雲計算能力一樣，只有這樣才能有效解決牽一髮而動全身的安全問題。信息安全公司作為一個獨立的產業，邊界將越來越模糊，如同一個健康教練一樣，幫助企業增強網路安全建設能力。

第二，建立協同應急響應機制，人才、技術、數據全面共享，釋放安全「勢能」。

客觀來說，安全人才梯隊和技術創新能力已經全球領先，不斷在眾多全球頂級的黑客大賽中取得領先成績，如騰訊自研殺毒引擎在全球評測中連續奪冠；同時，安全產業規模及參與企業數量也位居全球前列。然而，勒索病毒等新攻擊一來，大家還是手足無措，政府、企業、安全公司沒有有效聯動，安全勢能沒有得到有效釋放。

第三，加大安全基礎建設投入。

目前國內信息安全投入不足1%，遠低於美國、日本。目前國內企業在信息安全建設方面的重視和投入都不足，比如像勒索病毒的攻擊到來，在面對的時候還是略顯不足。

第四，提升安全法治保障體系。

6月1日，《網路安全法》落地實施，這是首部網路安全相關立法；同時，國家網信辦會同相關部門起草了《關鍵信息基礎設施安全保護條例》意見稿，保障關鍵信息基礎設施安全。這意味著，國家法治保障體系建設已初具規模，接下來，就需要企業主體的責任和擔當，以確保相關法律法規的落地執行。

一家企業能力很有限，騰訊能做甚少，信息安全發展需要全產業聯動。

開放、共享、合作，已經成為數字經濟時代信息安全產業共識。作為數字經濟的重要參與單位，我們呼籲有能力、有擔當的企業積極承擔責任，積极參与信息安全這一「神經系統」的構建。作為CSS安全領袖峰會的發起方，騰訊在開放合作、技術創新和產業融合三方面將不斷發力，為推動建立全產業聯動的安全生態新體系做出切實努力。

二、騰訊雲鼎實驗室負責人董志強：

企業安全如何做？

當我們做一款安全產品，解決一個安全問題的時候，希望解決的是有效，少一些炫技的成分。作為一名安全從業人員，我當然希望自己在實驗室里有一些炫技的成分，但是產品解決用戶問題時，希望比較務實解決用戶的問題。我們有幾個基本結論和大家分享：

漏洞是造成入侵的主要原因。

我們有什麼樣的思路能夠從漏洞角度解決安全的問題，這是非常好的一個點。我們還會發現除了漏洞之外，密碼破解這種古老的攻擊技術，今天已經是一種常態化的存在，而且因為其利用成本比較低，在雲上和漏洞幾乎佔據70%的入侵原因，是非常有風險的。有什麼樣的產品能夠很好地解決這樣的問題，也是我們所關注的。

在過去一年，我和我的團隊試圖通過終端+流量，構建這樣一個安全體系，我們做了一些嘗試。隨後我們還會發現由於現在匿名貨幣，比特幣這種越來越普及，包括暗網這樣的東西越來越普及，黑客的變現方式已經有所轉移，從開始DDOS攻擊、做埠掃描，變成勒索了，所以加密勒索也是黑客變現的主要方式，也是我們面對的一個主要風險。

比如，我們通知用戶要打補丁，用戶說：好，然後沒有打。最後他的伺服器被勒索了之後，找我們幫忙解密。其實做安全的都知道，很多基於密碼學的解密現在是非常困難的。

為此，我們給企業安全提出了幾個建議：

一是規避數據的損失。無論我們基於自己的數據備份，還是在雲平台上通過鏡像方式做數據備份，都是非常有必要的。

二是軟體要及時更新。當漏洞出現之後，這裡會有一個時間差，只要我們能及時更新，就能避免大部分問題。當數據有良好備份之後，一旦出現數據的風險，我們也能盡量降低自己的安全損失。

三是員工的安全意識。大部分入侵都是把AMP一個自動化一站式建站工具用一個弱口令就綁定到一個外網的IP上，這其實很有危險。而且在過去案例中，我們也發現有一些公司，包括員工，把代碼提交到一些開源的社區上，甚至有的公司將自己的數字簽名都提交到社區開源上。

對企業來說，還有一個辦法就是企業上雲，因為雲平台有專門的運營團隊，可以讓我們的安全水平建立在一個基線上。

最後分享一個觀點，在過去一年，我們通過終端和網路，試圖建立起一套安全防禦體系。我們聯合騰訊其它的實驗室，對公有雲平台建立這樣一個紅藍軍的攻防，試圖通過漏洞挖掘、防禦，做這樣一個工作。

2016年，我在「雲+」會議上講了「發現決定一切」，怎麼樣發現？最好的辦法就是建立一套縱深的防禦體系，才能有利於我們更好的發現。除此以外，當我們建立起這樣一個體系之後，會收穫大量的日誌、大量的告警，以及其他我們自己抓取的數據，我們如何解決呢？

這個時候我們需要很好的識別能力，對我們所使用的第三方引擎，我們所接入的情報來說，需要有很好的識別能力。所以除了快速發現之外，還要有精準檢測能力。

為了要做到這一點，如果再往前推進，就會發現挖掘其實更重要。當我們有了這樣一個體系、有了這些數據之後，基於數據建模、機器學習方式幫助我們發現更多碎片化的安全線索是更重要的。因為專家經驗比較粗，也就是說拿到一個樣本，通過簡單的運行、簡單看一下，就知道它是木馬，這時候分析的力度比較粗。

但如果像暗雲這樣的木馬拿到以後，很可能認為它沒什麼危害，因為它把每一步攻擊都拆成非常細的細節，並且每一步繞的彎子特別長。這種情況下，只有更多的通過機器學習去分解線索，我們才能夠發現更多的東西。

三、卡巴斯基實驗室安全專家VladimirDashchenko：

未來的2050年是黑暗，還是光明？

今天給大家介紹一下我們未來的狀況，未來會發生什麼？在2050年的時候，我們會看到一個什麼樣的世界？

我個人認為是非常遙遠的，因為很多科技其實發展非常快速，我們不知道未來會出現什麼。到2017年的時候我們已經有70億人口，從2017年開始，對所有人來講都是一個里程碑。

據研究，今年我們已經有83億個互聯設備了，意味著這個世界變得更加智能，這比我們想象中更快到來。到2020年，將會有超過200億的互聯智能設備。所以這樣的數據提醒我們要把現在很多的研發工作，希望能夠把之前一些沒有辦法了解的事物變得更加易於了解，變得更加智能。

這些研究告訴我們，所有這些智能互聯的設備都在影響生活，我們希望使用這些智能設備來對我們提供幫助，給我們提供數據。這樣一些設備也在影響我們的生活，到2050年的時候，希望這些智能設備不會毀壞人類的生活。

它的宗旨是什麼？我們不希望損害任何一個人、任何一個生物；舒適度方面，大家都希望能夠生活在一個舒適的生活當中，很多不同的設備影響都是非常好的；連接互聯方面，希望能從不同互聯設備當中獲得數據，希望看到人們如何使用這些互聯設備來進行分析，幫助我們進一步提升解決方案，讓生活變得更加舒適、更加安全。

談到連接互聯時，就必須要考慮三個問題：

第一，安全。安全必須要通過設計來實現，設計任何一個技術都必須要考慮安全問題。

第二，數據傳輸的可靠性。我們必須要相信我們從這些感測器上獲得的這些數據。

第三，數據本身。必須要考慮，並且設計我們需要接受多大量的數據，什麼樣質量的數據是我們需要的。

舉個例子：我們現在生活在工業3.0之中，也就是說現在所有工業控制系統都是智能化的。幾年之前，德國提出一個新的概念，叫做「工業4.0」，也就是說所有工業控制系統可以分佈在不同地點，也可以做很多不同的創造，然後在全世界不同的地方進行集成。現在「工業4.0」正在發展當中，已經有了相應的概念。現在還有「工業5.0」，大概在2050年的時候會實現。

現在我們要進入「工業4.0」的時代，首先看一下工業3.0以及即將到來的「工業4.0」的情況。對於研究人員來說，我們會做一些工業控制系統的安全研究，在工業3.0和工業4.0時代的一些解決方案。

在過去幾年裡，工業控制系統當中發現了80多個不同安全隱患，問題很嚴重，有些公司根本沒有考慮過他們在開發這些工業控制系統時的安全問題，比如有一些關鍵的演算法中有一些安全隱患，這是工業控制系統當中要使用的。

我希望人們能夠自己做一些加密的演算法，對於這樣一些加密演算法當中出現的安全隱患，我報告給廠家，跟他們說我們要發布這樣一個安全隱患的問題。大概在2015年中期時我做過，後來他們馬上增加了補丁軟體。我問他們對於這個安全隱患你們怎麼做的？因為安全隱患補丁做得不夠，所以影響了他們後來很多的解決方案。他們覺得做完整個加密演算法之後就完成了，但是因為安全隱患的問題，不得不重新開發。

如果出現這種情況的話，需要重新投入時間、資金和精力來解決安全隱患的問題。如果要進入工業4.0或工業5.0的話，我們不能犯這種愚蠢的錯誤，要知道安全必須在設計當中來體現，必須是整個解決方案當中不可忽視的一個重要的里程碑。

聯網設備，不僅僅在我們周圍，有些甚至在人體內部。有些人心臟有問題，他們會去醫院做手術，醫生可能會把起搏器或除顫器放到他們心臟里。但是我們發現對於這樣一些解決方案也存在著安全隱患的問題，如這樣一些設備使用的是開放協議，使用非常弱的一些演算法，有一些是遠程控制，有一些是保密的。MIT的人表明，在過去八年時間裡，大概有150萬個醫療設備從市場上被召回。

看一下IT、手機或電視等設備，因為安全原因，很容易召回，但要召回醫療設備的話，必須找到具體的患者。而那些人可能已經植入了這些設備，我們需要把他們帶到醫院裡去，把這些安全隱患的設備從人體里取出來，再換上一個安全的設備，所以不僅僅是時間、金錢的問題，還是有關人命的問題。

另外我們不能保證新植入的設備不會產生任何問題，比如我們使用非常酷的概念，這個概念能夠挽救人的生命的話，我們在設計時必須要考慮到安全的因素。

如果我們想要預測什麼的話，需要看看現在技術的發展情況怎麼樣。現在有一些新的概念，我相信到2050年的時候，會有機器人化的胳膊或腿，看起來就像真的胳膊、腿一樣，它們是3D列印出來的，這會幫助很多人過上正常人的生活。到2050年，那個時候可能會有一些媒體播放器植入到人的大腦，按一個按鈕，大腦裡面就會出現一些影像。

我希望到2050年的時候，我們會有一些太空飛行器，比如你可以買票去任何你想去的地方。我們也希望到2050年可以實現星際穿越，但如何讓所有人都可以實現，必須要有很多太空船才可以。如果我們有這樣一些技術，數據傳輸不僅僅涉及到控制中心與飛船之間的傳輸，還包括不同飛船之間的數據傳輸，也許要多考慮到這個層面的數據安全。

大家想象一下，如果飛船通信協議之間有安全隱患，或者在控制中心和飛船之間有安全隱患，或者飛船上有安全隱患的話，我們可能會有一些「殭屍」程序或者黑客，控制飛船，來做他們想要做的任何事情，所以我們從一開始設計時就要考慮安全問題。

現在IT安全隱患可能會是非常大的問題，比如最近的一個安全隱患勒索軟遍布全球，這不僅僅影響一般的IT設備，有一些醫療設備也受到了影響。如果將來一般IT設備出現安全隱患的話，會看到人的思想可能會被劫持。

如通過數據中心影響了人體內植入的一些感測器的話，這樣就會控制人的思想，攻擊者會拿到關於這個人所有的信息；如果大腦當中植入一些晶元的話，遠程黑客會把惡意想法植入到這個人的大腦，就更加危險了。

是否有解決方案呢？當然會有解決方案。在一個新的世界里創造一個好的技術，我們必須在設計當中融入安全的概念，這樣在各個層面我們都會受到很好的保護，可以降低未來安全隱患的風險。

卡巴斯基公司創建了一個項目，叫做「2050.地球」，這是一個非常酷的項目，是對整個星球的預測，大家會看到在不同的時代，以及不同的時間，那個時候地球是什麼樣子。

我們對上海也做的一個預測，未來的衣服可能是3D列印的衣服，不需要到商店裡買衣服。我們不僅僅考慮到美好的未來，也會考慮到將來網路安全方面的問題，還有我們周圍的一些空間可能產生安全隱患的問題，如果太空當中有這樣一些聯網設備的話，可以看到不僅僅會存在各個地方聯網設備的一些安全隱患，還有太空飛船之間也會出現一些惡意軟體的攻擊。還有氣候變暖，溫度上升，冰面熔化，海平面上升等等，會有很多預測。

在這些項目當中，我們也提出了不同的解決方案，大概是四種類型。一切都是虛擬化的，可以聯網，可以植入和機器人化。大家都去過公園，我們去公園都希望和朋友一起去，但是朋友可能在世界的另外一側，這時你可以把它的全息投影拿出來，這樣你就可以和朋友的全息投影一起逛公園，而且你的朋友在世界的另外一側，也會看到你，可以與他進行交流。不同地區的設備不僅僅會有無人駕駛汽車，將來我們認為還會有一些模塊的汽車。你可以使用不同的部件來創建你自己個性化、模塊化的汽車。

我們認為，將來會有不同的機器人，不僅僅是工業控制系統當中使用的機器人，在我們的周圍可能會有機器人的警察會幫助我們。我們必須要確保這些設備的安全性，如果有人劫持了這樣一些機器人就會非常麻煩，比如看護兒童的機器人被劫持的話，對人就是一個直接威脅。

關於植入設備，我們希望不同的設備，比如在IoT（物聯網）的世界當中，將來會有這種植入式的物聯網世界，它可以更好地幫助到人類，也可以更好地幫助到那些殘疾人士。

所以將來到底是光明的未來還是黑暗的時代？實際上如果我們現在開始關注安全，把安全考慮到未來解決方案當中，毫無疑問我們就有一個光明的未來。如果我們現在選擇容忍一些錯誤，或者是現在沒有考慮到安全問題的話，毫無疑問，將來會是一個黑暗的時代。因此，我也希望最後我們會進入到一個光明的時代。

大會介紹——

2017互聯網安全領袖峰會由騰訊公司、電子技術標準化研究院等企事業單位共同創辦，得到國家網信辦、工信部、公安部等國家部門大力支持和指導，是全球規模最大的互聯網產業安全交流盛會。

大會期間，各界領袖圍繞「安全新秩序，連接新機遇」主題，共同探討全球網路安全最新發展趨勢，分享時下前沿安全技術與研究成果，為互聯網安全產業格局和發展機遇進行全面解讀把脈，為產業的「數字經濟」轉型獻策。