周鸿祎：没有安全顶层设计就是 “裸奔”， 跑得越快灾难越大

8 月 8 日午间消息，360 董事长兼 CEO 周鸿祎在第八届互联网安全大会（ISC 2020）上分享了几个面向未来的思考。

周鸿祎认为，其一，不安全的源头是漏洞和人；其二，安全的本质是人与人的对抗，一切没有经过对抗检验的安全都是假安全；其三，安全的关键要素是安全专家和持续运营。为什么不是产品？网络攻击的对手是人，任何产品都可能被找到漏洞进行攻击，真正的安全并不在于做出 “银弹”产品，产品总会被抛弃，总需要更新换代，重要的是安全专家的持续运营；

其四，企业真正需要的是有抵御攻击的能力；

其五，企业可以长期投资、并在五到十年后依觉有效的是基础设施。譬如传统基建时期建造的高速公路、高铁、机场等，在未来几十年内提高了国家整体物流效率和运输水平，即使中途不断优化升级，但其投资是长期不变的，这在安全行业同样适用；

其六，企业能力的获得可以从安全厂商积累的对抗知识、实战检验机制传递，不必要重造轮子；

最后，“见招拆招、头疼医头、脚疼医脚”式传统防御方式无法应对数字孪生时代的网络拓扑结构和网络设备超百倍增长的安全挑战，要解决安全问题必须从根本上提升企业能力，帮助其建立运营体系。

基于上述思考与实践，周鸿祎抛出一套包含 “四大认知、八大方法”的新安全理念。在周鸿祎看来，没有安全顶层设计和方法论，数字化就是 “裸奔”，跑得越快，带来的灾难就越大。所以，360 推出新一代安全能力框架，融合 6 大板块，包括一个安全大脑，十套安全基础设施，一套运营战法，一组专家团队，一套实战演练的机制，一套安全互通的标准。

“我们相信，网络安全只有堆砌的产品无法应对数字化时代的网络攻击，360 希望通过持续运营产生安全能力，输出给行业、城市、国家，共同建设更加牢固的堡垒。”他说道。