专访“白帽子”：5G+大数据+人工智能时代，中国网络安全吗？

　　近些年，5G、物联网、人工智能一直是科技圈的热词，随着这些领域的技术逐渐成熟、越来越多的应用实现落地，社会经济生活正变得更加便捷和高效。不过，当人们享受技术革新带来的红利时，网络安全的风险也正迅速提高。

　　2021年世界人工智能大会召开之际，观察者网对漏洞银行联合创始人兼CTO张雪松进行专访，就物联网和人工智能时代的网络安全、数据治理、国家层面的网络攻防、网络安全人才的培养等话题展开讨论。

　　张雪松认为，在物联网和人工智能时代，技术的发展会让网络安全防护的范围变得更大，黑客触达的便利性也会越高、攻击端溯源变得更难，而且越是新的技术新的领域，安全成熟度越低，黑客越有可乘之机。

　　他同时指出，中国在自主可控方面已经下了非常大的功夫，这在战略层面对网络安全有非常深远的影响。当中国研发出自己的操作系统、应用系统，甚至办公软件的自主化，发展出自己的技术路线，就会让我们在整个攻防战略层面形成一种安全优势。总体综合来看，中国和外国的网络安全实力是旗鼓相当的。

　　漏洞银行（BUGBANK）是国内首家互联网安全服务SAAS平台，已有数百家企业和上万名白帽子（指以保护网络安全为目的的黑客）入驻平台。2020年11月，漏洞银行入选“2020年度中国网络安全企业百强名录“； 该公司联合创始人兼CTO张雪松入选“上海市首席技师、技能大师工作室资助名单” 。

　　图片来源：视觉中国

　　【采访/观察者网 周远方 编辑/吕栋】

　　观察者网：随着5G和人工智能的发展，我们现在加速进入物联网时代，从网络安全角度，怎么看这种发展趋势？

　　张雪松：像5G、物联网和人工智能这些技术会为我们的生活提供更多方便和快捷，但是安全风险会大大增加。

　　首先，设备的数量和需要安全防控的体量规模变大了，过去这些设备是不联网的，现在这些设备联网了，从安全管控的范围上来说，规模成几何级的增加。

　　其次，这些物联网设备，比如电力、交通、民生等设施，都不再建专网，出于成本考虑，统一用互联网进行联通，但随之而来的隐患会更大，黑客可以随时接入互联网触达到这些系统，同时随着5G技术的发展，黑客攻击端也更难溯源，黑客可在任何地方连接5G网络进行攻击，IP地址随机可变，很难追查和抓捕这些黑客。

　　再讲下人工智能，这种技术为安全防护造成了比较大的困难。过去我们使用系统、软件，在没有人工智能的情况下，基本都是一个稳定的输入输出过程，输入一个逻辑往往对应一个明确的结果，这种情况下，安全防控可以制定审计策略，排查异常的攻击行为。

　　但是人工智能系统，它的特性就是会不断学习，一个指令会有多种不同的表现，因为它是智能的、成长的。这在安全的防护和分析上，就变得复杂了，不再是一个输入对应一种输出，它会基于大数据，基于主人习惯，基于对当前的一些形势判断，得出它自己的结果，站在安全角度很难判断系统是异常还是正常。特别是未来智能化场景越来越多，比如智能汽车、智能电器等等，在人工智能系统越来越发达的未来，黑客攻击会越来越难以发现，所以智能的安全会成为一个行业难题。

　　包括现在的人脸识别技术，其实在近几年的黑客大会上，比如GeekPwn等黑客赛事上，都有非常多针对人脸识别的攻破。现在黑客技术可以欺骗人脸识别，使系统误认为我是某人或者某物，甚至替身某国总统，这对于现在使用人脸身份验证的场景都有影响。目前的安全技术对此暂时还没有解决方案，无法去识别这个风险，黑客在攻击中更多的是利用脏数据，一些误导人工智能的数据，没有恶意代码，所以这种攻击很难判定，但是却让人工智能产出一个错误的认知，甚至一个错误的判断，这就会造成很严重的后果。

　　所以从这些层面，一是防控的范围，二是黑客触达的便利性，三是黑客溯源的难度，四是人工智能的安全难题，从这些角度上来看，新技术带来的安全风险是巨大的，而且越是新的技术新的领域，安全成熟度越低，黑客越有可乘之机。

　　观察者网：这让我对新技术产生了一些焦虑。

　　张雪松：是的，确实新技术带来了新的危机，而且万物互联，新技术与隐私安全也息息相关，比如智能汽车外全是摄像头，实时捕获视讯信息，还有智能助手，实时捕获语音和谈话信息等。

　　观察者网：是的，我跟相关行业和法律人士交流的时候也了解到，这甚至会影响到国家安全，同时，从国家层面来说，对于数据的治理其实涉及非常复杂的跨部门协调。您怎么看待数据治理这个问题？

　　张雪松：刚才谈及的5G、人工智能、物联网等技术，其实都是未来发展趋势，也是由于科技进步和市场需求应运而生的。这种新技术的应用和推广速度非常快，对国家发展的好处不言而喻。我认为信息安全和技术革新是相辅相成的，我们可以发现一个现象，如果某种技术的安全可靠性还没有达到应用所需的标准的话，这样的技术可能也不会有更好的普及应用。例如现在的自动驾驶，如果自动驾驶的安全级别还没达到一定要求，它其实不会被允许上路的。

　　另一方面，只有在新技术不断应用探索过程中，我们才能发现问题。这个试错成本本身会被研发机构和先行企业承担，国家也会承担一部分，一个新事物的发展会有试错成本，这是必然规律。

　　试错的同时，应该马上推进的是安全的手段，这方面考验的是我们安全行业的反应速度和能力，我们有责任和义务去解决这些难题。

　　数据治理层面，国家也在有条不紊地做布局，比如说最近国家颁布了《数据安全法》，对数据管理进行了法律定义，对第三方存取管理公民隐私数据的行为也做了明确的法律规定，这样就从法律层面有了依据，界定了非法行为和合法行为。这样很多企业在获取数据的时候，就必须约束自己的行为，我觉得从治理的角度来说，是向前跨出了一大步，非常关键。

　　剩下的就应该是发展技术手段和监管，比如不久前有一个案例，某个第三方公司发明了一个爬虫软件，爬取某知名大型网购平台存储的、与个人隐私有关的数据，我觉得要有足够的监管手段，能够从技术层面了解到有哪些系统、哪些设施在暗中存储数据。其实某些主体获取到这些数据后，用于自己做分析、或是转化为一种算法、或是转化为大数据的某种结论，这些用途比较正常，但是这些信息如果留存，并且还对外提供查询，这就有安全和隐私风险，国家也要有更明确的监管要求和措施，来对此类企业进行管控。

　　观察者网：你们作为一家网络安全公司，在这方面有怎样的探索实践？

　　张雪松：我们是国内知名的白帽平台，叫漏洞银行。专注黑客攻防领域的安全漏洞平台，我们有全国超过4万名的黑客技术专家，现在更多地致力于解决企业、机构、政府遇到的网络安全问题。基于这样的业务，我们的思考和技术研究方向，更多的是帮助企业构建安全机制，发现先进威胁的风险。我们现在在积极地做以下几方面的努力：

　　一方面，我们尽可能地在网络层面及时发现威胁隐患，比如黑客攻击的风险性和漏洞危害，这是我们一直以来的主要研究方向，我们认为，研究漏洞可以帮助企业甚至国家层面获得安全防护的提前量。比如美国石油管道遭受一种定向攻击，我们能预判有这样的攻击风险，这就可以提前做一个可靠的防护。

　　另一方面，我们发现黑客现在更多关注数据，不管是攻击网站还是勒索，都是在打数据的主意，这是一种趋势。所以我们在数据安全方面投入很大，一是防控数据的安全，包括数据治理本身，我们跟很多数据中心在合作，尝试建立出一整套数据分级管理+防控+标记+追踪的完善安全体系，我们通过安全手段，对不同数据采取不同管理级别，对数据分别打上标签，这样在出现问题的时候，就能够有效追踪和确保数据安全，这就在国家数据治理框架下，强化了技术手段和监管手段，确保技术发展不会受黑客攻击的干扰。