近些年，5G、物聯(lián)網(wǎng)、人工智能一直是科技圈的熱詞，隨著這些領(lǐng)域的技術(shù)逐漸成熟、越來(lái)越多的應(yīng)用實(shí)現(xiàn)落地，社會(huì)經(jīng)濟(jì)生活正變得更加便捷和高效。不過(guò)，當(dāng)人們享受技術(shù)革新帶來(lái)的紅利時(shí)，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)也正迅速提高。

2021年世界人工智能大會(huì)召開(kāi)之際，觀察者網(wǎng)對(duì)漏洞銀行聯(lián)合創(chuàng)始人兼CTO張雪松進(jìn)行專訪，就物聯(lián)網(wǎng)和人工智能時(shí)代的網(wǎng)絡(luò)安全、數(shù)據(jù)治理、國(guó)家層面的網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)安全人才的培養(yǎng)等話題展開(kāi)討論。

張雪松認(rèn)為，在物聯(lián)網(wǎng)和人工智能時(shí)代，技術(shù)的發(fā)展會(huì)讓網(wǎng)絡(luò)安全防護(hù)的范圍變得更大，黑客觸達(dá)的便利性也會(huì)越高、攻擊端溯源變得更難，而且越是新的技術(shù)新的領(lǐng)域，安全成熟度越低，黑客越有可乘之機(jī)。

他同時(shí)指出，中國(guó)在自主可控方面已經(jīng)下了非常大的功夫，這在戰(zhàn)略層面對(duì)網(wǎng)絡(luò)安全有非常深遠(yuǎn)的影響。當(dāng)中國(guó)研發(fā)出自己的操作系統(tǒng)、應(yīng)用系統(tǒng)，甚至辦公軟件的自主化，發(fā)展出自己的技術(shù)路線，就會(huì)讓我們?cè)谡麄€(gè)攻防戰(zhàn)略層面形成一種安全優(yōu)勢(shì)?？傮w綜合來(lái)看，中國(guó)和外國(guó)的網(wǎng)絡(luò)安全實(shí)力是旗鼓相當(dāng)?shù)摹?

漏洞銀行（BUGBANK）是國(guó)內(nèi)首家互聯(lián)網(wǎng)安全服務(wù)SAAS平臺(tái)，已有數(shù)百家企業(yè)和上萬(wàn)名白帽子（指以保護(hù)網(wǎng)絡(luò)安全為目的的黑客）入駐平臺(tái)。2020年11月，漏洞銀行入選“2020年度中國(guó)網(wǎng)絡(luò)安全企業(yè)百?gòu)?qiáng)名錄“； 該公司聯(lián)合創(chuàng)始人兼CTO張雪松入選“上海市首席技師、技能大師工作室資助名單” 。

圖片來(lái)源：視覺(jué)中國(guó)

【采訪/觀察者網(wǎng) 周遠(yuǎn)方 編輯/呂棟】

觀察者網(wǎng)：隨著5G和人工智能的發(fā)展，我們現(xiàn)在加速進(jìn)入物聯(lián)網(wǎng)時(shí)代，從網(wǎng)絡(luò)安全角度，怎么看這種發(fā)展趨勢(shì)？

張雪松：像5G、物聯(lián)網(wǎng)和人工智能這些技術(shù)會(huì)為我們的生活提供更多方便和快捷，但是安全風(fēng)險(xiǎn)會(huì)大大增加。

首先，設(shè)備的數(shù)量和需要安全防控的體量規(guī)模變大了，過(guò)去這些設(shè)備是不聯(lián)網(wǎng)的，現(xiàn)在這些設(shè)備聯(lián)網(wǎng)了，從安全管控的范圍上來(lái)說(shuō)，規(guī)模成幾何級(jí)的增加。

其次，這些物聯(lián)網(wǎng)設(shè)備，比如電力、交通、民生等設(shè)施，都不再建專網(wǎng)，出于成本考慮，統(tǒng)一用互聯(lián)網(wǎng)進(jìn)行聯(lián)通，但隨之而來(lái)的隱患會(huì)更大，黑客可以隨時(shí)接入互聯(lián)網(wǎng)觸達(dá)到這些系統(tǒng)，同時(shí)隨著5G技術(shù)的發(fā)展，黑客攻擊端也更難溯源，黑客可在任何地方連接5G網(wǎng)絡(luò)進(jìn)行攻擊，IP地址隨機(jī)可變，很難追查和抓捕這些黑客。

再講下人工智能，這種技術(shù)為安全防護(hù)造成了比較大的困難。過(guò)去我們使用系統(tǒng)、軟件，在沒(méi)有人工智能的情況下，基本都是一個(gè)穩(wěn)定的輸入輸出過(guò)程，輸入一個(gè)邏輯往往對(duì)應(yīng)一個(gè)明確的結(jié)果，這種情況下，安全防控可以制定審計(jì)策略，排查異常的攻擊行為。

但是人工智能系統(tǒng)，它的特性就是會(huì)不斷學(xué)習(xí)，一個(gè)指令會(huì)有多種不同的表現(xiàn)，因?yàn)樗侵悄艿摹⒊砷L(zhǎng)的。這在安全的防護(hù)和分析上，就變得復(fù)雜了，不再是一個(gè)輸入對(duì)應(yīng)一種輸出，它會(huì)基于大數(shù)據(jù)，基于主人習(xí)慣，基于對(duì)當(dāng)前的一些形勢(shì)判斷，得出它自己的結(jié)果，站在安全角度很難判斷系統(tǒng)是異常還是正常。特別是未來(lái)智能化場(chǎng)景越來(lái)越多，比如智能汽車、智能電器等等，在人工智能系統(tǒng)越來(lái)越發(fā)達(dá)的未來(lái)，黑客攻擊會(huì)越來(lái)越難以發(fā)現(xiàn)，所以智能的安全會(huì)成為一個(gè)行業(yè)難題。

包括現(xiàn)在的人臉識(shí)別技術(shù)，其實(shí)在近幾年的黑客大會(huì)上，比如GeekPwn等黑客賽事上，都有非常多針對(duì)人臉識(shí)別的攻破?，F(xiàn)在黑客技術(shù)可以欺騙人臉識(shí)別，使系統(tǒng)誤認(rèn)為我是某人或者某物，甚至替身某國(guó)總統(tǒng)，這對(duì)于現(xiàn)在使用人臉身份驗(yàn)證的場(chǎng)景都有影響。目前的安全技術(shù)對(duì)此暫時(shí)還沒(méi)有解決方案，無(wú)法去識(shí)別這個(gè)風(fēng)險(xiǎn)，黑客在攻擊中更多的是利用臟數(shù)據(jù)，一些誤導(dǎo)人工智能的數(shù)據(jù)，沒(méi)有惡意代碼，所以這種攻擊很難判定，但是卻讓人工智能產(chǎn)出一個(gè)錯(cuò)誤的認(rèn)知，甚至一個(gè)錯(cuò)誤的判斷，這就會(huì)造成很嚴(yán)重的后果。

所以從這些層面，一是防控的范圍，二是黑客觸達(dá)的便利性，三是黑客溯源的難度，四是人工智能的安全難題，從這些角度上來(lái)看，新技術(shù)帶來(lái)的安全風(fēng)險(xiǎn)是巨大的，而且越是新的技術(shù)新的領(lǐng)域，安全成熟度越低，黑客越有可乘之機(jī)。

觀察者網(wǎng)：這讓我對(duì)新技術(shù)產(chǎn)生了一些焦慮。

張雪松：是的，確實(shí)新技術(shù)帶來(lái)了新的危機(jī)，而且萬(wàn)物互聯(lián)，新技術(shù)與隱私安全也息息相關(guān)，比如智能汽車外全是攝像頭，實(shí)時(shí)捕獲視訊信息，還有智能助手，實(shí)時(shí)捕獲語(yǔ)音和談話信息等。

觀察者網(wǎng)：是的，我跟相關(guān)行業(yè)和法律人士交流的時(shí)候也了解到，這甚至?xí)绊懙絿?guó)家安全，同時(shí)，從國(guó)家層面來(lái)說(shuō)，對(duì)于數(shù)據(jù)的治理其實(shí)涉及非常復(fù)雜的跨部門協(xié)調(diào)。您怎么看待數(shù)據(jù)治理這個(gè)問(wèn)題？

張雪松：剛才談及的5G、人工智能、物聯(lián)網(wǎng)等技術(shù)，其實(shí)都是未來(lái)發(fā)展趨勢(shì)，也是由于科技進(jìn)步和市場(chǎng)需求應(yīng)運(yùn)而生的。這種新技術(shù)的應(yīng)用和推廣速度非?？?，對(duì)國(guó)家發(fā)展的好處不言而喻。我認(rèn)為信息安全和技術(shù)革新是相輔相成的，我們可以發(fā)現(xiàn)一個(gè)現(xiàn)象，如果某種技術(shù)的安全可靠性還沒(méi)有達(dá)到應(yīng)用所需的標(biāo)準(zhǔn)的話，這樣的技術(shù)可能也不會(huì)有更好的普及應(yīng)用。例如現(xiàn)在的自動(dòng)駕駛，如果自動(dòng)駕駛的安全級(jí)別還沒(méi)達(dá)到一定要求，它其實(shí)不會(huì)被允許上路的。

另一方面，只有在新技術(shù)不斷應(yīng)用探索過(guò)程中，我們才能發(fā)現(xiàn)問(wèn)題。這個(gè)試錯(cuò)成本本身會(huì)被研發(fā)機(jī)構(gòu)和先行企業(yè)承擔(dān)，國(guó)家也會(huì)承擔(dān)一部分，一個(gè)新事物的發(fā)展會(huì)有試錯(cuò)成本，這是必然規(guī)律。

試錯(cuò)的同時(shí)，應(yīng)該馬上推進(jìn)的是安全的手段，這方面考驗(yàn)的是我們安全行業(yè)的反應(yīng)速度和能力，我們有責(zé)任和義務(wù)去解決這些難題。

數(shù)據(jù)治理層面，國(guó)家也在有條不紊地做布局，比如說(shuō)最近國(guó)家頒布了《數(shù)據(jù)安全法》，對(duì)數(shù)據(jù)管理進(jìn)行了法律定義，對(duì)第三方存取管理公民隱私數(shù)據(jù)的行為也做了明確的法律規(guī)定，這樣就從法律層面有了依據(jù)，界定了非法行為和合法行為。這樣很多企業(yè)在獲取數(shù)據(jù)的時(shí)候，就必須約束自己的行為，我覺(jué)得從治理的角度來(lái)說(shuō)，是向前跨出了一大步，非常關(guān)鍵。

剩下的就應(yīng)該是發(fā)展技術(shù)手段和監(jiān)管，比如不久前有一個(gè)案例，某個(gè)第三方公司發(fā)明了一個(gè)爬蟲(chóng)軟件，爬取某知名大型網(wǎng)購(gòu)平臺(tái)存儲(chǔ)的、與個(gè)人隱私有關(guān)的數(shù)據(jù)，我覺(jué)得要有足夠的監(jiān)管手段，能夠從技術(shù)層面了解到有哪些系統(tǒng)、哪些設(shè)施在暗中存儲(chǔ)數(shù)據(jù)。其實(shí)某些主體獲取到這些數(shù)據(jù)后，用于自己做分析、或是轉(zhuǎn)化為一種算法、或是轉(zhuǎn)化為大數(shù)據(jù)的某種結(jié)論，這些用途比較正常，但是這些信息如果留存，并且還對(duì)外提供查詢，這就有安全和隱私風(fēng)險(xiǎn)，國(guó)家也要有更明確的監(jiān)管要求和措施，來(lái)對(duì)此類企業(yè)進(jìn)行管控。

觀察者網(wǎng)：你們作為一家網(wǎng)絡(luò)安全公司，在這方面有怎樣的探索實(shí)踐？

張雪松：我們是國(guó)內(nèi)知名的白帽平臺(tái)，叫漏洞銀行。專注黑客攻防領(lǐng)域的安全漏洞平臺(tái)，我們有全國(guó)超過(guò)4萬(wàn)名的黑客技術(shù)專家，現(xiàn)在更多地致力于解決企業(yè)、機(jī)構(gòu)、政府遇到的網(wǎng)絡(luò)安全問(wèn)題?；谶@樣的業(yè)務(wù)，我們的思考和技術(shù)研究方向，更多的是幫助企業(yè)構(gòu)建安全機(jī)制，發(fā)現(xiàn)先進(jìn)威脅的風(fēng)險(xiǎn)。我們現(xiàn)在在積極地做以下幾方面的努力：

一方面，我們盡可能地在網(wǎng)絡(luò)層面及時(shí)發(fā)現(xiàn)威脅隱患，比如黑客攻擊的風(fēng)險(xiǎn)性和漏洞危害，這是我們一直以來(lái)的主要研究方向，我們認(rèn)為，研究漏洞可以幫助企業(yè)甚至國(guó)家層面獲得安全防護(hù)的提前量。比如美國(guó)石油管道遭受一種定向攻擊，我們能預(yù)判有這樣的攻擊風(fēng)險(xiǎn)，這就可以提前做一個(gè)可靠的防護(hù)。

另一方面，我們發(fā)現(xiàn)黑客現(xiàn)在更多關(guān)注數(shù)據(jù)，不管是攻擊網(wǎng)站還是勒索，都是在打數(shù)據(jù)的主意，這是一種趨勢(shì)。所以我們?cè)跀?shù)據(jù)安全方面投入很大，一是防控?cái)?shù)據(jù)的安全，包括數(shù)據(jù)治理本身，我們跟很多數(shù)據(jù)中心在合作，嘗試建立出一整套數(shù)據(jù)分級(jí)管理+防控+標(biāo)記+追蹤的完善安全體系，我們通過(guò)安全手段，對(duì)不同數(shù)據(jù)采取不同管理級(jí)別，對(duì)數(shù)據(jù)分別打上標(biāo)簽，這樣在出現(xiàn)問(wèn)題的時(shí)候，就能夠有效追蹤和確保數(shù)據(jù)安全，這就在國(guó)家數(shù)據(jù)治理框架下，強(qiáng)化了技術(shù)手段和監(jiān)管手段，確保技術(shù)發(fā)展不會(huì)受黑客攻擊的干擾。