當我們談論“安全”時,我們在談論什么?
在馬斯洛需求理論模型中,“安全需求”(safety need)位于倒數第二層,指人們對于穩定、被保護、有秩序等方面的需求。
如今,時代賦予了“安全”更高階的含義。
5G、移動互聯網、大數據中心等新型基礎設施和云計算、AI等信息技術快速發展,將人們迅速拉入了一個龐大的數字世界。中國信通院的數據顯示,2020年,經測算的47個國家,數字經濟占GDP比重高達43.7%。數據已成為“新時代的石油”,正在改變人類生活方式、經濟增長路徑乃至全球發展格局。
當虛擬與現實的邊界不再清晰,傳統的“安全”定義正在被新世界重寫,數據安全風險也不斷蔓延,全球都將“數字安全”放在了至關重要的位置。
中國的《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等法規接連頒出,歐盟頒布“史上最嚴數據保護法”《通用數據保護條例》。據Gartner預測,2023年,全球80%以上的公司將面臨至少一項以隱私為重點的數據保護法規,到2024年,每年由隱私驅動的數據保護和合規技術支出將在全球突破150億美元。
但中國的數字安全保護仍在早期?!拔矣脙蓚€詞來描述人們對數字安全的理解——恐慌、混亂?!?60集團副總裁&首席安全官杜躍進告訴「甲子光年」。
杜躍進是國內網絡安全圈的老兵,曾歷任阿里巴巴集團技術副總裁和首席安全專家、網絡安全應急技術國家工程實驗室主任、APCERT(亞太地區計算機應急響應組織)副主席、中國網絡空間安全協會副理事長等職位,2019年加入360集團。從互聯網公司到體制內,再到網絡安全公司,他敏銳感知數字安全市場水溫的變化。
今天,甲小姐對話杜躍進。他提到,數字安全即將進入革命期,挑戰和機遇并存。
1.談定義:“安全正在成為所有行業發展最關鍵的阻礙,沒有之一”
甲小姐:當我們談論安全的時候,我需要你用最精煉的方式給所有人一個關于安全的定義。
杜躍進:安全可以分為兩種。一種是“safety”,按照馬斯洛需求層次理論,安全需求在倒數第二層,是物理世界的安全,包括所有涉及人的生命、健康的問題;另一種是“security”,是人與人對抗帶來的安全問題,是在人與人溝通中圍繞信息本身的攻防。
我經常講,safety是牛頓定律的事,security是《孫子兵法》的事。過去兩者是分開的,現在安全行業到了一個全新的階段,兩者已經無法區分了。
甲小姐:大數據、AI和安全三者是什么關系?
杜躍進:安全關系著一切,任何一個詞都可以加上“安全”二字。大數據有大數據的安全,人工智能有人工智能的安全。一個越來越明顯的趨勢是,安全正在成為所有行業發展最關鍵的阻礙,沒有之一。
甲小姐:我曾在「甲子引力」大會上提到,我們已經從一個純粹的“發展”模式走向了一個“發展+治理”的模式。人工智能時代,左手是智能,右手是安全,兩只手要同步并舉,否則會出現很大問題。這個過程中,任何一個行業、任何一個機構的決策者,都得建立對安全生產的基礎認知,對嗎?
杜躍進:對。
甲小姐:16年AlphaGo戰勝李世石后,人工智能被大眾認知,當時我和一些從業者溝通發現,一邊是熊熊燃燒的AI之火,另一邊的安全好像是聚光燈外的東西。如今6年過去,作為一個從業者,你覺得人工智能和安全的市場水溫在過去幾年發生了哪些變化?
杜躍進:我覺得人工智能和大數據的安全必須放在一起看。
2016年,數字安全領域也有一個標志性的悲劇事件:當時,一個叫徐玉玉的山東女孩兒考上了大學,她的個人信息通過一個小網站泄露,被精準詐騙9900元。她家里條件不太好,心里無法承受,最終離世了。這件事之后,國家成立四部委聯合機制打擊反詐,直到今天。
2016年,大家確實對人工智能安全的討論還不多。我看到一個數據,2018年起,國外有一個機構連續三年分析全球前100位人工智能創新公司。一個有意思的現象是,從18年起,全球人工智能創新最大的賽道是安全,無論是人工智能用于安全還是人工智能本身的安全。但另一個現象是,中國雖然在人工智能創新領域排在最前,但在最大的安全賽道里,中國公司數量為0。18年的時候,中國是忽視人工智能安全的。
甲小姐:某種意義上,追求安全是人類天性所在,但為什么過去企業不重視?
杜躍進:因為一些企業對“安全”的認知還停留在過去。
過去企業會重視傳統的safety,比如防火;security是防盜,但是過去大家覺得security跟自己沒什么關系,這是警察的事情,有了網絡之后,覺得是計算機的事情。事實上,現在這兩個概念已經不分彼此,關系到每個人、每個企業。
甲小姐:如果讓你用最簡練的話,和一個小學一年級的小朋友講清楚“數據、智能、安全”三者的關系,你會怎么說?
杜躍進:在新世界里,你的任何事都可以被壞人神不知鬼不覺地迫害。
甲小姐:小朋友會有心理陰影的,能說得不那么可怕些嗎?
杜躍進:安全就是挺可怕的。
甲小姐:你說的“新世界”是指數智時代嗎?今天數智時代已經不是說說而已,我們每天打開手機那一刻,就已經在數智系統里了。
杜躍進:是的。其實可以用三個詞來概括這個時代的安全隱患:
第一是“無死角”,我們正在走向一個在任何地方都可以被人攻擊的世界;第二是“跨時空”,對方可以在任何地方觸達任何死角,做任何事情;第三是“極隱蔽”,就是我剛才說的神不知鬼不覺。
甲小姐:普通人聽到這些瞬間一定會帶有一些悲觀情緒。
杜躍進:大家可能會對安全失去信心。
甲小姐:我記得很多年前,安全市場還沒有起來,有個做安全的朋友毫不諱言地說,他們跟一家公司談生意的時候就用黑客攻擊一下,讓客戶知道自己的安全能力有多差,單子很快就能談下來。這是一個正確的做法嗎?
杜躍進:如果他經得客戶同意,這是很好的方法,否則是不正確的。
甲小姐:這有點像一個壓力測試。
杜躍進:對,其實是一個真實的壓力測試,但是要控制好風險。比如你不能在一架飛機正在行駛的時候,去測試它的系統是否安全。
甲小姐:安全的重要性目前在整個行業被高估還是被低估?
杜躍進:普通老百姓是低估的,有調查為證。比如以前大家老覺得有病毒,但現在覺得沒病毒了,為什么還要裝殺毒軟件?是真的沒病毒了嗎?其實不是。過去的病毒會展現自己,讓你的機器出故障?,F在它更會隱藏自己,目的是偷窺你,所以你感知不到。
2.談隱私:“我們為什么要害怕一個軟件?”
甲小姐:前不久青藤云創始人用一個下午的時間和我聊了一件事,就是數據安全的概念似乎存在于每一個人的腦海中,但行業里還沒有人定義清楚什么是“數據安全”,你有同感嗎?
杜躍進:我用兩個詞來描述人們對數據安全的理解——恐慌、混亂。這個現狀已經從2018年持續到現在,沒有本質改變。其中,“混亂”就包括大家依然沒有定義清楚什么是數據安全。
甲小姐:現在有大量數據安全相關的法律或政策出臺,一些曾經的巨頭一夜之間被打入低谷?,F在似乎正處于一個“人人都想要數據安全,但人人都不知道什么是數據安全,更不知道怎么做數據安全”的局面。
杜躍進:這個話題太大,我舉一個大家聽得懂的案例,有一個誤區是,我們總是擔心手機App太了解自己,能精準推送,怎么比我還懂我自己。但我們為什么要害怕一個軟件?
古代如果人有個秘密,不吐不快,又不敢說給別人,就會告訴樹洞,因為你不擔心樹洞會泄露你的隱私;后來我們把秘密寫在日記本上,因為我們可以給日記本上鎖;現在我們寫在計算機里,為什么就要擔心一個軟件會泄露隱私?
這是錯誤的理解。我們其實在擔心軟件背后有人看到我不想讓他看到的事情,有人在操縱算法來危害我,這才是我們關心的數據安全。但我們現在卻簡單地理解為不采集數據就會安全,這等同于不吃飯就不會吃到細菌。這是對數據安全的一個典型誤解。
本質上看,數據安全不應該關注采集了什么,更應該關注采集的數據是怎么用的,怎么保護的。這顯然更難。
甲小姐:現實或許是,很多人會因為1%的風險而放棄99%的價值。
杜躍進:這是大家對安全的另一個誤解。
第一,沒有絕對的安全;第二,安全本質上是風險的控制。
我們需要考慮的是,當安全做到99%之后,我們如何彌補剩下的1%。比如有人信用卡被盜刷,銀行就會給他補上相應數額的錢,這就是風險兜底。
甲小姐:360有保險業務嗎?
杜躍進:沒有。保險是個很好的概念,安全圈一直在探索。但保險不是唯一的路,除了用錢規避風險外,我們還可以做一些備用系統等等。
甲小姐:盡管如此,老百姓在選擇某些科技產品的時候還是會擔心隱私是否會被泄露。
杜躍進:其實不用那么擔心。首先,我們不可能脫離現實世界,也無法逆轉技術發展的趨勢;第二,安全是一個總體的風險控制問題,你不用擔心每一個細節,找靠譜一點的產品就好了。
這次的“3·15”非常關注信息安全,會上曝光了一種低配兒童手表,因為安全做得太差,孩子們的個人信息很容易被黑客監視。但大品牌會好一些,至少出了問題你找得到人幫你解決。
甲小姐:說白了,對于老百姓而言,第一是不要過于恐慌,第二是相信大品牌。
杜躍進:對。不過我們還是要呼吁行業內的廠商們,要重視安全,不要回避問題,要不斷提高自己的產品安全。
3.談行業:“安全行業自我革新的速度有點慢”
甲小姐:從產業成熟度來講,在0-100分范圍內,如果移動互聯網是90分,人工智能和安全是多少分?
杜躍進:這個問題有點難,我覺得要分行業。人工智能技術在有些領域可能已經到七八十分,但在我們這個行當里,可能連三四十分都不到。
甲小姐:我換一個問法,每個產業的發展都有自己的周期曲線,互聯網的曲線在過去20年是不斷上揚的,安全作為一個技術或產業賽道,現在處于哪一個發展階段?
杜躍進:安全和人工智能不一樣,人工智能可以用Gartner技術成熟度曲線判斷,但安全要斷代。因為安全是人類發展早期就有的需求,從古戰場那里就開始有。這里的“安全”是指,比如歷史上兩軍對壘時,要確保戰場上的指令不被對手看到,也不被對手篡改。
現在到了一個全新的階段,20年前安全被重新定義,就是剛才說的,無法再區分safety還是security。
甲小姐:在整個行業中,你感受到的大數據、AI和安全的晴雨表是什么?
杜躍進:首先,數據安全至少已經被熱捧5年,未來很長一段時間內依然可能是最熱的方向。但產業上還沒有大的數據安全公司,目前處在創新、探索的階段。
人工智能安全在國外比較熱,國內還沒有看到很多。安全大賽道本身也在被熱捧,大家都知道安全太重要了,但安全行業自我革新的速度有點慢,還有點停留在傳統階段。
甲小姐:如果讓你依次給安全領域的政策制定者、從業者、投資者、學者、行業巨頭提建議,你會怎么提?
杜躍進:給政策制定者提建議是最復雜的,很難用一兩句話說清楚??偨Y兩點,第一,政策制定要貼近產業,貼近產業才有可能做出更有效的政策;第二,安全是為了發展。
甲小姐:安全一定不是蹩馬腿,而是在拉韁繩。那對投資者呢?
杜躍進:安全是個很好的賽道,但它非常復雜。所以對投資者來說,不要輕易跟這個概念,更多要看內在邏輯。
甲小姐:給從業者、企業家或者創始人什么樣的建議?
杜躍進:對從業者的建議很明確——“安全”已經被重新定義了,必須盡快跟上。
甲小姐:你們會在行業里發布一些重新定義安全的聲音嗎?
杜躍進:會的。我們把現在的安全定義成“數字安全”。去年11月份烏鎮世界互聯網峰會上,國家提出“數字素養”“筑牢數字安全的屏障”等話題。未來物理世界和虛擬世界雙向打通,所有的威脅雙向滲透。數字安全則是一個將人工智能、數據安全與傳統安全三者融合的新概念。
甲小姐:你會給學者或學生什么建議?
杜躍進:眼下有大好機會留給學術研究。因為“人工智能、大數據、安全”的交叉地帶有太多新問題可以做。比如在數字城市、智能制造、工業互聯網這些領域都可以開放腦洞,大展拳腳。
甲小姐:最后,你會對360說什么?
杜躍進:我覺得我們承擔責任的時候到了。我對未來的數字安全很有信心,因為我們已經意識到了數字安全的重要性,現在唯獨需要帶領更多同行去迎接全新的安全生產。
甲小姐:相比于PC時代的輝煌,移動互聯網時代的360似乎相對落后?,F在看來感覺你們錯過了一個時代,但是下一個時代有一個更大的舞臺。
杜躍進:我們無所謂是否在移動互聯網時代落后。我們的主線一直是安全,這條主線讓我們積累了許多珍貴的數據,數字安全離不開大數據和人工智能,現在都是可以挖掘價值的數據資產。
4.談未來:“安全會進入革命期,挑戰和機遇并存”
甲小姐:能否給出幾條圍繞“大數據、人工智能和安全”未來發展的趨勢判斷?
杜躍進:安全會進入革命期,挑戰和機遇并存。
大數據會進入拐點期——如果數據安全搞不好,大數據的發展會嚴重受阻;搞好的話,大數據將爆發更大的潛力。
人工智能安全受到大數據影響,可能也會進入拐點期?,F在各國都有大量關于人工智能倫理的研究,他們的研究成果可能在未來1-2年內開始產生影響,那個時候才會看到安全究竟如何影響人工智能。
甲小姐:我覺得今天和一個世紀前相比,科技的不同之處在于——100年前技術在解決效率問題,它讓人類“更高、更快、更強”;但今天的技術可以改變我們的軟性環境,影響我們每天聽什么,學習什么,甚至可以改變人的硬件,比如基因編輯、器官移植、腦機接口或者納米植入等等??偟膩砜?,人類已經可以用技術定義人類未來的走向,而這個定義權原本在“進化”手中。原來的進化是自然選擇,現在變成了人的選擇。
所以未來的科技從業者肩上扛的不僅是一個技術或商業議題,而是我們子孫后代將會生活在一個什么樣的文明當中。你會有這樣的危機感嗎?
杜躍進:絕對有啊。
現在很多人對人工智能的恐懼不無道理。人類社會是一個很復雜的系統,我曾提出過人工智能的“七宗罪”,其中,“第七宗罪”就是人工智能技術在人類社會過于簡單化的應用,比如我們隨便想象出來的技術就能啟動。
技術的變化可能會在社會中產生蝴蝶效應,同時,所有技術都可能被壞人惡意利用,那將會產生災難性后果。
甲小姐:我的感受是,一些科技工作者有時候對自己手中的武器沒有客觀認知,最怕會有自以為是造物主的工程師,因為“0”和“1”的代碼是無法復刻現實世界的。我曾經采訪過《哥德爾、艾舍爾、巴赫:集異璧之大成》的作者,他關于“復雜系統”的理念徹底改變了我原先數理的思維模式。數理模式的人認為“1+1=2”,但復雜系統中“1+1”遠不等于2,這才有了蝴蝶扇動翅膀就可能掀起一場風暴。
杜躍進:技術世界本身就是一個復雜系統。人類在用各種各樣的科技創造一個新世界,但我們創造的是一個復雜系統。從安全的角度來說,這個新的復雜系統有可能存在一個被人點擊鼠標就能擊垮的地方。
甲小姐:什么是AI的“七宗罪”?
杜躍進:很多人可能只關注到AI算法本身,其實AI是一種鏈條。我把AI的安全分成七個領域,分別是硬件、軟件、雙方通話的協議、數據、算法、AI的應用領域以及AI在社會治理中的使用。
首先從硬件來看,當一個普通硬件變成智能硬件,就需要考慮更多的安全問題。比如一個普通的麥克風收到人的聲音會自動公放,可它接收不到超聲波;但當一個麥克風變成智能語音接收器,在接收指令后就會通過算法執行,這個指令可能是給汽車開門,給別人轉賬或者播放一首歌曲。但是,也可能有人用超聲波冒充你的聲音把你的錢轉走——這是已經被證實的漏洞。
甲小姐:很多時候是百密一疏,開發者如何保證能夠考慮周全?
杜躍進:對,安全就是這樣,安全沒有周全的那一天。安全是在總體上達到相對的風險可控,沒有絕對的安全。
軟件也比較好理解,現在全世界使用最多的開源框架有很多大家不知道的漏洞,這樣的開源框架有上億的下載量。這意味著我們寫好的人工智能軟件是有漏洞的,黑客可以直接控制,而人工智能又是不可解釋的。
甲小姐:深度學習本質上是一個黑盒邏輯,暴力計算。比如一個抖音的程序員也無法讓他的家人看到更想看的東西,因為抖音的推薦機制是一個巨量數據訓練出來的、誰也說不清道不明的黑盒子,就像我們的大腦一樣,沒人知道我們不開心的時候是大腦哪根筋不開心。你會擔心AI黑盒嗎?
杜躍進:很多人很恐慌,我倒是覺得人工智能必然會是一個黑盒。但有一個前提是,不能允許黑盒里使用的數據是被人污染過的。
5.談個人:“搞安全的人大多是逆向思維”
甲小姐:安全行業從業者和AI公司的程序員之間畫風好像非常不同。
杜躍進:不一樣,搞安全的人大多是逆向思維。正向是這樣設計的,搞安全的程序員都先想象“我不這么做會怎樣”,尋找各種各樣的安全漏洞。
甲小姐:做AI的人都很綻放自我,他們似乎更愿意彰顯自己的智慧,但你給我的感覺更加沉靜。
杜躍進:搞安全的人有些也很綻放,不都是我這樣的。
甲小姐:你現在如何分配自己的時間?
杜躍進:你的問題好像都挺難回答。我的助理可能比我更清楚我的時間分配。
甲小姐:你是響應式的嗎?
杜躍進:也不是。我確定大方向后,會有各種各樣的團隊往前推,推進過程中遇到問題,就需要我響應,但不是所有人都跟著我走。
甲小姐:你覺得現在是忙還是閑?
杜躍進:非常忙。昨天我正在開會的時候有一個人給我打電話,我說你一小時之后再給我打,我就那一小時之后有十幾分鐘的時間,但一小時之后他沒給我打,他再打給我的時候,我說你錯過時間了,4:15再給我打。但他4點剛過就打給我了,我說我還沒結束,我只有4:15-4:30有時間。真的非常忙。
甲小姐:突然感覺我今天很幸運,占用你這么久的時間。
杜躍進:今天是事前列入計劃的,而且我愿意花時間在這種事情上。
甲小姐:你會做安全的布道者嗎?
杜躍進:我愿意做安全的布道者。過去的20多年,我平均每年公開演講近40場。背后支持我的理念是,影響別人是一件很重要的事,也是我們搞安全的人肩上的一種責任。
甲小姐:你最終的受眾是誰?
杜躍進:多種人,包括普通老百姓、企業決策者和政策制定者等等。
甲小姐:感覺我們算同行,但我更多是不斷去發問。
杜躍進:你更主動一些。影響別人這件事上我是被動的,可能有人找我的時候,我會愿意花時間在上面。