2023年11月29日-12月1日，“國潮起·萬物生”良渚2023科技國潮產(chǎn)業(yè)大會在杭州良渚洲際酒店成功舉行。大會由中國品牌建設(shè)促進(jìn)會指導(dǎo)，杭州市余杭區(qū)人民政府主辦，杭州良渚新城管理委員會、中國國家品牌網(wǎng)、觀潮新消費(fèi)承辦，盛邀專家學(xué)者、企業(yè)家、投資人、產(chǎn)業(yè)服務(wù)商等百位嘉賓共創(chuàng)科技國潮。

在“國潮起·萬物生”良渚2023科技國潮產(chǎn)業(yè)大會上，奇安信科技集團(tuán)副總裁夏偉發(fā)表了《AI數(shù)智時(shí)代，安全為王》主題演講，他表示：“為我們產(chǎn)業(yè)上下游的國潮企業(yè)來打造數(shù)字化的防線，用零事故標(biāo)準(zhǔn)護(hù)航國潮的科技現(xiàn)代化的進(jìn)程?！?

以下為演講實(shí)錄，經(jīng)觀潮新消費(fèi)（ID：TideSight）編輯整理：

非常榮幸受主辦方的邀請，來參加良渚2023科技國潮產(chǎn)業(yè)大會，今天確實(shí)是一個(gè)天時(shí)地利人和的日子，12年前的今天，總書記首次提出了中國夢，中國夢就是中華民族的偉大復(fù)興，國潮也是偉大復(fù)興的組成部分。國潮起，萬物生，國潮起，萬物美。回歸當(dāng)下，在美的邊界之外也要考慮到美的安全。

我今天分享的主題是《用“零事故”標(biāo)準(zhǔn)打造數(shù)智時(shí)代安全底板》。在傳統(tǒng)時(shí)代，我們經(jīng)歷了四次工業(yè)革命，大家都知道短板效應(yīng)，即最短的那塊板決定了水桶能裝多少水。在數(shù)智時(shí)代，萬物相連，安全就像一塊底板，如果這塊底板出現(xiàn)問題，就像城門失火，殃及池魚，如果沒有安全，那么一切都將歸零。

如今，我們已經(jīng)步入數(shù)智時(shí)代，數(shù)據(jù)已經(jīng)和資本、土地、技術(shù)、勞動力被并列為五大生產(chǎn)要素，AI算力也在持續(xù)提升，人工智能已成為巨大生產(chǎn)力。

數(shù)智時(shí)代，數(shù)智化為我們消除了許多盲區(qū)，也帶來了極大的生活便利，現(xiàn)在出門不再需要帶現(xiàn)金、鑰匙或錢包。但數(shù)智化也帶來了一些新的盲區(qū)，例如數(shù)字身份的造假，數(shù)據(jù)的泄漏，停服停工的發(fā)生。

舉個(gè)簡單的例子，使用人工智能模型進(jìn)行設(shè)計(jì)時(shí)，若出現(xiàn)數(shù)據(jù)“投毒”現(xiàn)象，即將假數(shù)據(jù)作為原材料輸入模型，就會導(dǎo)致輸出的結(jié)果與真實(shí)結(jié)果存在巨大差異。

今天我主要跟大家分享三個(gè)觀點(diǎn)：

第一，從安全看數(shù)智，停服停工是隱患。我們一碼可以游景區(qū)、購物、付款，便利的同時(shí)風(fēng)險(xiǎn)巨大。今年5月美國德州政府遭遇勒索攻擊，整個(gè)城市停擺；此前某地一所著名的三甲醫(yī)院，也發(fā)生過類似事情，影響了社會服務(wù)。

智能安全事故也可能導(dǎo)致生產(chǎn)停工，今年3月德國空客工廠被攻擊，導(dǎo)致生產(chǎn)出現(xiàn)了巨大的問題；伊朗的鋼鐵巨頭在2022年6月受到巨大攻擊，被迫停產(chǎn)；2021年5月美國的關(guān)鍵基礎(chǔ)輸油管道，因?yàn)榫W(wǎng)絡(luò)事故導(dǎo)致8815公里的輸油管被關(guān)閉，17個(gè)州和華盛頓進(jìn)入了緊急的狀態(tài)，所以安全是一個(gè)底板和底線。

國家已經(jīng)出臺了相應(yīng)的法律法規(guī)，這意味著一旦企業(yè)的數(shù)據(jù)和網(wǎng)絡(luò)出現(xiàn)問題，這不僅是生產(chǎn)事故，更是服務(wù)事故，要承擔(dān)相應(yīng)責(zé)任，國家會依法進(jìn)行相應(yīng)的懲罰和處理。目前，我國已經(jīng)實(shí)施了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法等法規(guī)。

這里有一個(gè)典型的案例：11月27日晚，上海、北京、廣州等多地出現(xiàn)某打車軟件無法使用的情況。此軟件公司2021年赴美上市，泄露了大量用戶的敏感信息數(shù)據(jù)，最終被國家處以80億人民幣的罰款，并暫停上市，軟件暫停下載。

因此，網(wǎng)絡(luò)安全事故和相關(guān)責(zé)任是非常嚴(yán)重的。在歐洲和美國，有更嚴(yán)格的相關(guān)法律，數(shù)據(jù)的違規(guī)行為制裁嚴(yán)厲。

第二，從數(shù)智看安全，易攻難守是常態(tài)。以前我們講易守難攻，但是在數(shù)智化時(shí)代，攻擊100次，只要失敗99次，成功一次就算成功；防守100次，99次成功，失敗一次就是失敗。主要因?yàn)閹讉€(gè)挑戰(zhàn)。

挑戰(zhàn)一，勒索攻擊成為“流行病”，無孔不入。有權(quán)威方預(yù)測，到2031年全球勒索病毒造成的經(jīng)濟(jì)損失2650億美元（約在一萬億人民幣以上）。這里還不包含個(gè)人被電信詐騙的資金，光是緬甸的相關(guān)產(chǎn)業(yè)就超過了一萬億。

我分享兩個(gè)案例：第一個(gè)案例，今年7月日本名古屋港口的勒索事件。該港口占日本吞吐量的10%，但整個(gè)港口因勒索攻擊而停工。第二個(gè)案例，張忠謀領(lǐng)導(dǎo)下的臺積電，在2018年因?yàn)槔账鞴魧?dǎo)致生產(chǎn)停頓，3天損失17.6億元 。

挑戰(zhàn)二，生產(chǎn)制造系統(tǒng)成為黑客攻擊的熱門目標(biāo)。隨著數(shù)字化改造智能工廠、黑燈工廠、未來工廠以及產(chǎn)業(yè)大腦等技術(shù)普及，人們普遍認(rèn)為這些系統(tǒng)是隔離網(wǎng)安全的。然而，實(shí)際上，這些系統(tǒng)面臨著高價(jià)值與低保護(hù)的問題。

2022年8月，我國一家大型空調(diào)生產(chǎn)廠商的生產(chǎn)系統(tǒng)遭到黑客攻擊，損失慘重。此外，2023年4月臺灣電腦廠商微星也遭受了類似攻擊，被勒索1.5TB的數(shù)據(jù)。

工業(yè)控制系統(tǒng)的攻擊相對容易，因?yàn)槠涫褂玫膮f(xié)議較為簡單，這些系統(tǒng)具有高價(jià)值，但保護(hù)措施卻相對薄弱，這使得它們成為黑客攻擊的主要目標(biāo)。

挑戰(zhàn)三，軟件供應(yīng)鏈成為最佳的攻擊跳板。企業(yè)在進(jìn)行數(shù)字化轉(zhuǎn)型過程中，都離不開與軟件的交互。軟件的開發(fā)、交付和使用是三個(gè)關(guān)鍵環(huán)節(jié)，但這些環(huán)節(jié)中常常存在缺陷，類似于人體DNA缺陷和自帶細(xì)菌病毒。

據(jù)統(tǒng)計(jì)，平均每個(gè)軟件存在7-10個(gè)缺陷。以特斯拉為例，自動駕駛技術(shù)領(lǐng)先，受到黑客攻擊的風(fēng)險(xiǎn)較高，但其自身的安全水平相對較高，攻擊難度加大。然而，黑客會轉(zhuǎn)而攻擊其上下游供應(yīng)商，2021年7月通過攻擊供應(yīng)商的15萬攝像頭等設(shè)備來獲取敏感信息。

挑戰(zhàn)四，海量數(shù)據(jù)裸奔。每個(gè)人每天都會產(chǎn)生大量的數(shù)據(jù)，包括微信、微博、快遞和社交媒體等等。這里2個(gè)與大家息息相關(guān)的典型案例：2022年12月，某服務(wù)著稱的新能源汽車公司，其數(shù)據(jù)被竊取并被銷售。2023年2月，國內(nèi)45億條快遞信息被泄露，幾乎每個(gè)人的快遞信息都涉及到了，這些信息在網(wǎng)上被銷售。

當(dāng)前，網(wǎng)上掛號、醫(yī)療公眾號等掛號系統(tǒng)也都面臨著個(gè)人信息保護(hù)的挑戰(zhàn)。這些系統(tǒng)中的海量數(shù)據(jù)被公之于眾，甚至被明碼標(biāo)價(jià)，導(dǎo)致個(gè)人隱私受到嚴(yán)重威脅。如何保障這些個(gè)人信息安全，防止數(shù)據(jù)泄露，成為了一個(gè)亟待解決的重大問題。

挑戰(zhàn)五，ChatGPT等新技術(shù)降低了犯罪成本。ChatGPT帶來優(yōu)勢便利的同時(shí)也帶來了一些挑戰(zhàn)。使用ChatGPT后，人們可以更容易地撰寫論文、設(shè)計(jì)或修改圖紙等，使得一些原本水平較低的人更容易濫竽充數(shù)。還有一個(gè)新問題，即69家專業(yè)安全公司無法檢測到使用ChatGPT包裝的黑客軟件技術(shù)。

挑戰(zhàn)六，工控漏洞數(shù)量急劇增加。制造企業(yè)通常擁有許多工業(yè)生產(chǎn)設(shè)施，這些設(shè)施主要集中在一些國外知名企業(yè)，如西門子、阿爾卡特、艾默生、GE、東芝、日立和恒河等。這些企業(yè)的生產(chǎn)線被廣泛使用，然而，它們的漏洞數(shù)量每年都在以幾何級數(shù)增加，如何解決這些問題也是非常棘手的挑戰(zhàn)。

挑戰(zhàn)七，網(wǎng)絡(luò)戰(zhàn)是超限戰(zhàn)，無所不用其極。

奇安信每年分析和處置重要客戶的APT事件超過100起。2015年國內(nèi)第一個(gè)綜合性海蓮花APT組織報(bào)告，引起巨大反響，截至2022年底，威脅情報(bào)中心監(jiān)測到的針對中國境內(nèi)政府機(jī)構(gòu)、科研教育、大型企業(yè)等組織單位發(fā)動APT攻擊的境內(nèi)外黑客組織累計(jì)49個(gè)，最早可追溯到2007年，而其中14個(gè)近3個(gè)月內(nèi)依然活躍。

針對個(gè)人、社會服務(wù)和生產(chǎn)制造等領(lǐng)域定向攻擊，其背后的目的是為了實(shí)現(xiàn)國家利益。這涉及到國家之間的競爭和對抗。2022年2月，北京奇安盤古實(shí)驗(yàn)室發(fā)布技術(shù)報(bào)告稱，隸屬于美國國安局（NSA）的超一流黑客組織——“方程式”所制造的頂級后門“電幕行動”（Bvp47），用于入侵后窺視并控制受害組織網(wǎng)絡(luò)，已侵害全球45個(gè)國家和地區(qū)。

第三，數(shù)智時(shí)代下的新要求——零事故是必然標(biāo)準(zhǔn)。在傳統(tǒng)時(shí)代，每個(gè)個(gè)體或組織相對獨(dú)立，出現(xiàn)問題通常只會影響到個(gè)體或局部。然而，在當(dāng)今的數(shù)智時(shí)代，個(gè)體或組織相互依賴，任何一個(gè)環(huán)節(jié)的失誤都可能對全局造成重大影響。因此，零事故的標(biāo)準(zhǔn)是必然的。

零事故有三個(gè)具體標(biāo)準(zhǔn)：

首先，業(yè)務(wù)不中斷。例如，臺積電和美國銀行等大型企業(yè)，如果業(yè)務(wù)中斷一周，其經(jīng)濟(jì)損失是可以預(yù)見且巨大的。對于為國家提供科技力量的關(guān)鍵行業(yè)，其影響更是深遠(yuǎn)，不僅關(guān)乎企業(yè)自身的生存，還可能改變整個(gè)產(chǎn)業(yè)格局。

其次，數(shù)據(jù)安全不能出問題。一旦數(shù)據(jù)出現(xiàn)問題，不僅是企業(yè)自身的問題，還可能引發(fā)一系列法律后果，包括企業(yè)被關(guān)停、被罰款甚至觸犯刑法。

最后，合規(guī)不踩線。在追求創(chuàng)新和發(fā)展的同時(shí)，我們必須確保所有行為符合法律法規(guī)，避免因違規(guī)行為而引發(fā)的問題。為此，我們需要提前進(jìn)行布局和規(guī)劃。

在百年冬奧會歷史上，2022年北京冬奧會首次沒有出現(xiàn)網(wǎng)絡(luò)安全事故。與以往奧運(yùn)不同，北京冬奧會按照零事故實(shí)踐標(biāo)準(zhǔn)進(jìn)行了網(wǎng)絡(luò)安全規(guī)劃和建設(shè)，為中國留下了一份寶貴的冬奧技術(shù)遺產(chǎn)，為全球大型活動樹立了標(biāo)桿，也展現(xiàn)了中國國潮的實(shí)力。

為了實(shí)現(xiàn)這三點(diǎn)，我們需要運(yùn)用縱深防御的內(nèi)生安全體系做規(guī)劃和建設(shè)。這種體系不僅關(guān)注“頭痛醫(yī)頭、腳痛醫(yī)腳”的單一問題，而是從全局角度出發(fā)，構(gòu)建一個(gè)全方位、多層次的安全防護(hù)體系。

根據(jù)美國FBI調(diào)查顯示，85%的網(wǎng)絡(luò)安全問題源自內(nèi)部，因此防范內(nèi)部風(fēng)險(xiǎn)至關(guān)重要。我們采用零信任原則，對所有身份進(jìn)行嚴(yán)格鑒別，并構(gòu)建了縱深防御系統(tǒng)。

為了有效對抗人工智能攻擊，我們運(yùn)用人工智能技術(shù)進(jìn)行運(yùn)算，防投毒，并建立了人工智能防御體系。今年，奇安信首次發(fā)布了人工智能大數(shù)據(jù)安全模型，為國內(nèi)一些先進(jìn)國潮企業(yè)，如吉利集團(tuán)以及北京京東方等提供了先進(jìn)的技術(shù)實(shí)踐。這些機(jī)構(gòu)利用大模型AI安全開展人工智能應(yīng)用，為產(chǎn)業(yè)發(fā)展和創(chuàng)新注入了強(qiáng)大動力。

在《2023國潮品牌上市公司百強(qiáng)榜》中，奇安信與寧德時(shí)代、比亞迪和青島海爾等打造了零信任縱深防御體系，為這些民族企業(yè)在數(shù)智化方面保駕護(hù)航。同時(shí)，我們也希望未來有機(jī)會為產(chǎn)業(yè)上下游的國潮企業(yè)打造數(shù)字化的防線，以零事故的標(biāo)準(zhǔn)來護(hù)航國潮的科技現(xiàn)代化進(jìn)程。