網絡安全會不會變成貿易保護的借口？

郭德英：要開放就沒有安全，因為開放，所以所有智能手機都是不安全的。如何在兩者中間構建一個平衡，是這個行業要思考的重要問題。智能手機廠商應該去思考哪些地方是個人隱私，交給個人決定。

肖新光：美國政府認為網絡安全是國家安全首要因素，中美兩國政府將網絡安全分為三個層次，從個體用戶到企業機構再到國家，這幾個網絡安全層級相互聯系相互倚重，同時也有一些糾結和矛盾。真正的考驗還是中國企業的發展，能不能形成一個基本對等的企業能力。

鄧鋒：到底是開放還是互相封殺，最終還是要說到貿易層面。網絡安全范圍很廣，首先是國家層面，這個層面不一定是以防御為主，而是要成為戰略；其次是企業業務，全世界企業都會受到這種攻擊，中國最常見的就是通過攻擊網絡來讓企業服務水平下降；最嚴重的則是網絡安全個人受害，所有的人都可能受到影響。

前兩個層面需要國際合作，需要企業和企業之間合作才能解決，這種情況下，就不能以網絡安全為借口來進行貿易保護。

黃偉：信息安全分為兩塊，一塊是數據安全，另一塊則是系統運行的安全。沒有絕對的安全，主要要看安全的策略是什么，愿意付多少成本。

鄧飚：華為是全球最大的網絡設備提供商，我們要坐的就是要讓全球客戶對華為放心和信任。在華為內部有一句話，我們要把客戶的網絡安全放在公司的商業利益之上，這樣的話你才能得到客戶的信任。網絡全球化、網絡無邊界、網絡海量數據產生都使得網絡安全帶來新的挑戰，這也是華為作為網絡設備提供商必須要不斷面對的一個課題。

中國企業在網絡安全技術領域達到了什么程度？

郭德英：手機是移動互聯網入口，在應用的安全和開放方面一直算是個矛盾。經過我們的調研，客戶對安全的需求是有分級的，入門級甚至可能不需要信息安全。我們去年做了一個嘗試，一個手機上兩個系統，最后發現大部分用戶還是選擇開放系統覺得信息安全太麻煩。但操作系統還是掌握在美國人手中，無論怎么做核心還是在他們手里，全面解決根本問題還是很難。

肖新光：當前國內網絡安全從產業到局面，是一個既蓬勃又復雜的環境。從單點來說，可以看到很多亮點和創意。但這些亮點并沒有有效轉化成三個層次的有效能力。很多企業安全管理意識極差，這讓中國網絡安全的廠商能力沒有有效轉化成國家能力。

從投資角度，哪些新技術能幫助國內的網絡安全提升？

鄧鋒：中國網絡安全在全球還是相當落后的。跟IT流量、用戶水平不成比例的。最近有一個美國第三方市場研究公司排了一個世界網絡安全500強，只有三家中國企業。現在國內的單點技術可能不差，但做成產品的能力就差了。即便有一些還不錯的產品，但還是缺乏好的解決方案。但最差的還不是產品和技術，而是策略和理念。如果想要提升網絡安全，必須先要解決教育、理念、立法、執法這些問題，然后再從技術上逐漸提高。

黃偉：這不僅是技術領域問題，涉及到人的意識、流程、工具、技術等綜合因素。但很幸運的是我們現在看清楚了問題并且在不斷改善。其次不要一說到安全問題就要追求絕對安全，成本和安全之間要有平衡。

鄧飚：我們在安全技術上并不比人家差，從華為企業角度談談我們研究的幾個方向。第一，軟件定義安全；第二，基于大數據做安全分析；第三，砂箱技術，就是把風險放在砂箱里面測試它的破壞性、它的隱患；第四，企業如何去在端和公有云之間建立信息安全控制節點；第五個，基于場景的不同層面網絡安全研究。

鄧鋒：大家提到做網絡安全都考慮安全產品，但要考慮產品的安全更重要。無論買什么樣的安全產品其實都不安全，都有風險。最好的安全產品也無法阻擋產品力的致命弱點。所以企業必須要注意你用的產品、設計的產品安全性怎樣。

在立法方面應該怎么限制？如何促使政府來強化立法執法力度？

鄧鋒：立法并不難，最難的是執法，更難的是取證。所以必須要進行行業合作，在取證的合作方面做一些規定，不能說這個事情和我沒有關系，我就不管。

肖新光：據說現在從事關于網絡安全地下經濟灰色的人群是數以萬計甚至百萬的，這已經形成了既定事實存在，一定要做綜合治理。網絡立法和有效的執法及配套的綜合治理是網絡安全廠商良性發展的基礎。產業亂象絕對不是產業的福音，必須要呼喚綜合治理。

除了防火墻這種強硬手段以外，還有沒有柔性一點的技術手段？

黃偉：首先要看信息安全的問題是怎么產生的，先解決清楚數據資產界定的權力，再來談是不是可以讓人家拿，再來談手段、保護。現在大家都在胡亂的做安全防護，這對整個行業是沒有好處的。

個人安全創業應該怎么做？

鄧鋒：怎么把企業無線互聯網應用和個人應用結合在同樣的一個環境下，如何讓這兩種應用有效結合在一起，還保證企業信息安全，這就是一個創業機會。另外，云端安全、數據安全和設備安全也是未來創業的機會。

中國是否處于嚴重的特洛伊木馬威脅中？

肖新光：美國網絡戰的特點有五個：第一有無節制承擔成本的意志和決心；第二有藝術級的攻擊團隊和非常嚴謹的操作守則；第三有非常強大的制式化的裝備意識和能力；第四作業特點更多集中在網絡端；第五比較好利用了大數據手段。但目前主流廠商設備后門問題并沒有得到有效證實，很多人習慣性認為美國廠商跟美國國家利益是高度一體的，這種想法是錯誤的。如果我們過度低估藝術級水準而且過度高估IT水準，就有可能是錯誤導向。

大國必須有戰略屏蔽，無論是傳統威脅型還是網絡威脅型，都是必須要有的。正面的消息是，幾年前我們國家的垃圾郵件全球第二名，現在已經降到第八名了，這就是依靠政府層面的有效治理。

鄧鋒：僅僅依靠封閉網站是不能解決特洛伊木馬的問題，但封鎖并不是最好的解決辦法。

以下為訪談實錄：

丁健：大家下午好！請幾位嘉賓到臺上來。坐在我左邊第一位就是華為技術有限公司首席信息官、質量與流程IT管理部總裁鄧飚先生。第二位是黃偉先生，萬國數據服務有限公司董事兼總裁。萬國公司在IT行業、外包領域有很多經驗。今天講安全問題，相信他們會有很多一手的經驗和案例和大家分享。第三位是老朋友，鄧鋒先生，北極光投資顧問（北京）有限公司創始人、董事總經理。他創業的第一個公司叫網屏，一個上市公司，后來被一非常大的網絡公司用45億美金價格收購了。他是網屏創始人和當時技術的副總裁，所以也是網絡安全界元老。下一位是肖新光先生，我們昨天第一次見面，我一見他就知道他肯定是搞技術的。他是安天實驗室創始人、首席技術架構師，專門做反病毒方面。我估計他的能力可以做黑客，但是他現在是白客，專門反黑客的。最后一位是宇龍酷派的郭德英先生。

互聯網發展到今天，網絡安全一直是大家非常關注的話題。不管是美國出現的一系列事件，包括以網絡安全的名義來抵制中國的公司，比如華為的遭遇，還是中國公司出于安全考慮，對一系列國際產品進行限制。這是一個比較敏感的話題，我用這個話題先做一個討論。網絡安全，是不是會變成一個貿易保護的借口，會不會有威脅，這是一個很敏感的話題。這里面既有中方在美國的受害者，也有中方在中國的受益者，也有在美國創建公司的。這個話題肯定蠻有意思的，很想聽聽各自的不同角度看法。首先聽聽我們中國在這方面的看法，從郭先生那邊開始。

郭德英：我是宇龍酷派的郭德英，今天講到網絡安全，我自己的看法是，現在互聯網越來越影響我們工作生活，甚至是我們工作生活的全部。互聯網一方面開放，一方面安全也是一個非常大的問題。互聯網開放本身就是一個安全的問題，互聯網就要求他開放，所以他們才用。開放的結果一定是標準是一致的，我們做智能手機，從智能手機來看所有智能手機是不安全的，因為是開放的。所有接口對大家都是一樣的。所以現在大家提出網絡安全，包括智能安全，實際上這是兩個方面的問題。要開放就沒有安全，絕對的安全就沒有開放。如何在兩者之間構建一個平衡，我們覺得是我們這個行業大家都要思考的一個非常重要的問題。我們做智能手機也在看哪些地方要去開放給第三方更好一點，哪些地方是個人隱私，要交給個人處理。還有一點，智能手機哪些地方要在工作中使用。今天講這個話題非常重要。安全的問題不僅僅是中國的問題，全世界，包括每個個人、每個企業都把安全放在一個高度，這是我一個非常深的體會。

肖新光：第一，從美國政府、市場關系來看，美國是一個有國家傳統和情結的國家。美國有一個表達，網絡安全是國家安全首要因素。但是假如說我們再回到當年的美日貿易戰爭中，好像是克林頓這一屆政府他當時講過，他說貿易是國家安全的首要因素，然后出口是美國經濟的命脈，今天把貿易代換成網絡安全、把日本代換成安全，實際來看他是不希望在他全球的利益能力上出現一個有效的競爭者。

在這樣一個PC下，使得網絡安全既具有技術層面的東西，也同時具有戰略和態度層面的東西。不完全是務實的，既有實際的能力存在，也有相關訴求所在。第二，網絡安全不是一個單緯度的問題。兩國政府之間互相的博弈，至少把網絡安全分成三個層次，最下面一個層次是個體用戶安全，中間這個層次是企業和機構的網絡安全，最上面一個層次是國家安全。這幾個層次之間相互聯系，相互倚重，同時也有一些相互糾結和矛盾的地方。實際來看，從一個國家到它的國民，在政府企業機構角度，國民安全保障包括安全意識，是上面兩個層次的一個基礎支撐，然后一個國家網絡安全由一個個體網絡安全和企業網絡安全組成，從頂層國家安全的利益表達，可能同時也一定程度上會和個人安全之間有一些沖突和糾結的地方。

整體來看，未來場面上表達很大程度上多于現實內涵，而真正的考驗還是我們的發展，包括網絡安全產業本身發展。考驗我們的基本功，考驗我們能不能在包括在主流的IT廠商、互聯網廠商和網絡安全廠商之間形成一個基本對等的企業能力，當這樣的能力達到一個態勢，達到認可的既定事實時，雙方表達權就會發生變化。

丁健：講的非常好。

鄧鋒：這是一個很好的問題，到底是開放還是自己互相封殺，最終連到貿易上。剛才肖總講的是一個很高層面。關于斯諾登等一系列事件，大家都強調國家之間將來有信息戰或者網絡安全的可能，其實網絡安全范圍很廣，具體分的話有幾個層面，第一個層面是國家，國家又分網絡部隊，如果面臨戰爭，可能未來不是真刀真槍，是通過信息打仗。第二，間諜，通過網絡來搜集一些關鍵軍事工業科技的情報。這兩個都需要國家保護，這是從國家層面講的網絡安全。在這個層面上你需要自己的東西，甚至不一定防御就是為主的。某些東西像核武器，并不是說怎么防核武器，我是要有一個威懾，你能打到我，我也能打到你，這樣一個平衡。這是一個戰略。

第二，企業業務。像北朝鮮跟日本索尼公司的事件，不一定是國家之間，可能是一些極端民族主義、極端分子，個人黑客，有的出于政治目的、有的出于個人目的來攻擊企業。偷竊企業信息，或者攻擊企業網絡，對企業聲譽和正常業務流程都有很大影響。對銀行也好，這對各行各業都有很大影響。全世界企業都受到這種攻擊，不僅僅美國企業、中國企業，日本企業、歐洲企業，所有企業都會碰到這種攻擊。攻擊可能來自剛才說的那些，也可能是來自競爭對手。中國很常見的攻擊就是拒絕服務，很多是來自競爭對手通過各種方法來攻擊你的網絡。讓你的服務水平降低，讓你的流量受到影響等等，并不是一個政府行為。這是一大塊。

還有一塊，最嚴重的，或者大家都習以為常，但是對你影響最大的，你的個人PC受到各種各樣的侵襲，今天早上談的是安全衛士，其實是給你裝一些你不想要的東西，你刪都刪不掉，一會兒推出一個，一會兒推出一個，我曾經裝了兩個安全衛士，結果互相想刪對方。他可能會偷竊你的信息，營銷你的隱私，我們所有的人，今天在座的各位都會受到這個影響。這也是網絡安全個人受害的層面。

在剛才我講的第二、三個層面絕對需要國際和作，就拿一個例子來說，埃博拉病毒。病毒這個東西他可以用作信息戰、生物戰，但是大量不是用做戰爭，致使很多個體會受到損害。如果愛爾蘭出現一個計算機攻擊方式，我們沒有看到，可能歐洲人看到了，我們不道，等他襲擊我們的時候，本來可以防疫，沒有防疫。如果跟國際合作，就可以早知道。這需要合作。其實就像生物一樣。他一定要經過一個過程，先在一個小地方試一試，逐漸來。如果第一個地方受害，其他地方都知道，那么其他地方就會受保護。就像埃博拉一樣，我們拿不拿到病毒就能決定你能不能做出疫苗，非洲有，我們能不能搞到它的病毒。這在信息安全領域也需要一個合作。

對于企業、對于個人，從大的方面來說，今天全世界受害者都一樣，大量情況需要企業與企業之間合作及國際上的各種合作，才能達到在這種情況下不用它做貿易保護。如果你這樣做，其實就是貿易保護。

黃偉：網絡安全這個概念要澄清一下，我不是一個網絡安全專家。我們討論的總體是信息安全的事情，信息安全在我看分幾大塊，一塊是數據安全，一塊是系統運行的安全。作為萬國數據，我們更關注系統運行安全。因為今天數據安全的可用性決定了整個系統會不會持續運轉，能不能無間斷運轉，這是我們關心的。有幾百家金融機構在我這里，政府很關心我們、客戶也很關心我們，安全問題永遠是我們的主題。

我講幾個道理，第一，沒有絕對的安全，這是一個辯證的。這個世界上不存在絕對安全，就看你的安全策略是什么。第二，安全策略又帶來剛才講到的開放和安全問題，你要平衡，這是一個策略。還有一個，成本的問題。任何安全都是有成本的。我們講為什么很多富人需要里三層、外三層，包括各種各樣皇帝，他們付得起這個成本，但是對于普通老百姓愿意付多少成本，這都是一個策略選擇的問題，所以不存在一個絕對標準，主要還是一個策略和成本的問題。還有開放和安全之間平衡策略問題。

鄧飚：前面四位都談得很好，他們可以談得很輕松。但是對華為來講，這是一個比較敏感的話題。因為華為現在是全球最大的網絡設備提供商。我們要做的就是要讓全球客戶對華為放心和信任，這一點我覺得不管是任何一個國家，其實客戶的要求都是一樣的，它都希望華為作為一個全球先進的通信網絡提供商給它提供一個安全的網絡，并且對它的信息資產、對它的未來運營提供很好的保障。

因此在華為我們的可持續發展的四大戰略里面其中有一個核心戰略就是保障客戶的網絡穩定的運行。我認為作為一個網絡設備提供商要實現這個目標，最重要的是在企業內部要建立端到端的、覆蓋全球的網絡安全保障體系。我非常同意剛才黃偉談到的策略問題。實際上在華為內部，端到端的全球網絡安全保障體系里面我們包括有四個層面的框架。

第一層框架就是策略框架，第二層框架是體制框架，第三層框架是技術框架，第四層框架是運營框架。我們有很多企業非常重視安全和技術提升，但是他往往會忽略其他三大框架。因此在過去時間里我們通過跟全球客戶交流，制定了這四個框架，同時華為也發布了網絡安全白皮書，向全球客戶、政府、合作伙伴進行發布。同時我們在內部建立了管理規范，舉個例子，我們的開放工程師所寫的代碼是不能有病毒、不能有安全隱患。如果有的話，需要承擔相應的責任。

我們的維護工程師一旦接觸到客戶信息資產，必須在客戶的授權下來做工作相應的處理。如果一旦越過這個授權他可能會受到相應的處罰。同時在華為內部我們有一句話是大家經常說的，我們要把客戶的網絡安全放在公司的商業利益之上，這樣的話你才能得到客戶的信任。

因此經過這些年，我們除了美國之外，在絕大部分區域，網絡的市場份額都處于全球前兩名，而且已經有很多的地區，像歐洲、中東、亞太，我們都在這些區域處于全球第一的位置。確實這些年，網絡發展非常快，從我20年前進華為的時候，當時我們寬帶，是144K上網，話音通信為主，但是到今天各位都用4G。三年后我們用5G，5G提供的流量、帶寬速度都是高4G兩個數量級的，因此網絡的全球化、網絡的無邊界、網絡海量數據的產生都使得網絡安全帶來新的挑戰，這也是華為作為網絡設備提供商必須要不斷面對的一個課題。

丁健：大家從不同側面都站在相當高的高度來談這個話題。我下面問一個稍微具體一點的技術方面的事情。如果說全球網絡安全是這樣一個威脅的話，那么我們中國自己的產業在技術領域到了一個什么程度？有沒有能夠讓我們的，雖然說不到國家的層面，但是我們企業、我們個人在我們現有市場所擁有的技術方面，能不能依靠我們國內的技術企業來獲得相應的網絡安全保障。還是從剛才的順序談一下。

郭德英：我們主要做消費者智能手機。這一塊，我一開始談了，移動互聯網是大家身邊隨時使用的，手機可以說是移動互聯網入口。在安全的應用性、開放一直是一個矛盾，我們也嘗試了。大家說安全很重要，我們也調研了。確實是分客戶群了，職位高一點的，個人信息安全和企業信息安全是有要求的。入門級可能不需要信息安全，我們也嘗試系統里面要做很復雜的安全的程序，也發現有些用戶投訴，舉個例子，我們做了一個保護你一些隱私的功能，這個東西可以交給用戶設置，但是很多人做了設置后，后面發現一些功能用不了了。

比如出租車司機，我們有一個保護你位置信息，他點了同意。但是過兩天用不了滴滴打車軟件了，認為你出了問題。我們一方面要給大家提供信息安全，一方面要方便易用、開放，這方面如何平衡。我們去年做了一個嘗試，一個手機上做兩個這樣的系統，做一個開放的系統，再嘗試做一些基本的數據處理，兩個系統可以自主選擇切換。我們發現大部分用戶還是選擇開放系統，覺得信息安全太麻煩。當然也有一些涉及信息保密的，他對安全就非常重視，他們就用我們叫做的非開放系統或者非標準系統。

這個涉及到底層技術開發，從我們理解，因為操作系統掌握在美國人、google手中，你怎么再做實際上核心還是在他們手中。你操作系統底層在他們手中，根本問題要全面解決還是蠻難的。這是我的理解。

肖新光：實際上來看，當前國內網絡安全從產業到局面，是一個既蓬勃又復雜糾結的環境。很大程度上它并不是單點的技術問題，也不是某個單品或者某一個廠商能不能達到一定水準的問題。

如果從單點的亮點上，比如去年獲得AVTEST移動設備最佳廠商獎，今年改成全面產品獎項后，國內其他兩個兄弟廠商蟬聯了移動獎項，你可以看到很多亮點，包括這些創意。包括近期安全的比賽活動，中國團隊成績也都很不錯。但是實際上來看，回推剛才講的三個層面，你發現這些單點沒有有效轉化成三個層次的有效能力。

從個人用戶角度來看，我們所看到的很大程度上有很多的治理層面的問題。比如隱私泄露、電信欺詐詐騙。我們從去年統計看，PC惡意代碼數量下降了，是因為做病毒的變少了嗎？不是，是他們游離到更趨利的方向上，比如說移動平臺。我估計現在全球有70%以上安卓平臺惡意代碼是由中國和俄羅斯兩個國家貢獻的。這在一定程度上是我們治理能力不足的真實體現，它把用戶降低到了一個非常不安全的程度，從而使全民分擔了這樣一個安全治理能力不足的后果。

而從企業網整體來看，一定程度上它是整個安全的短板，基本上就達到了這種狀態：正像美國人自己講他們的企業，以及我們自己企業，只有兩種企業，一種是發現被攻擊的，一種是尚未發現的。這也不完全是廠商的問題。當前很多人出來呼喚類似安全，批評安全的老三樣，說防火墻、打補丁不行，但是實際上幾乎有一半是沒有進行安全管理。大量的內網、反病毒是三個月、半年才升級一次，而補丁不敢打，怕影響業務。

他不完全取決于企業的能力，很大程度上取決于用戶安全觀，取決于整個社會的安全認知，從國家層面來看，我們反而認為，因為他是一個很綜合的東西，比如中國網絡安全與中國核威懾其實不是完全沒有關系的，你的傳統優勢能力會保護你的弱勢領域，但是從這里面來看，中國的廠商沒有有效轉化成國家能力，我們之前看到美國一家公司的一系列報告，包括卡巴斯基的報告也是直指美國，揭露了美國這樣一個手段。通過一個企業角度來觸動大國威懾平衡。從國際上來看，技術能力完全匱乏不能達到嗎？不是，但是也有很多機制、約束性東西。

丁健：你站在投資界角度，無論從美國還是中國，有哪些更新的網絡安全技術是值得我們關注或者對我們整個網絡安全能夠有所提升的。

鄧鋒：首先說中國網絡安全在全球，我個人認為還是相當落后的，跟我們IT流量、用戶的水平還是不成比例的。最近有一個美國第三方市場研究公司做了一個世界網絡安全500強排名。中國只有3家企業在500強當中。第一家是排名第94名，安天。第二名110多名，還有一個第三家。排的很落后。這只是安全的設備。就像肖總講的我們每一個單點技術也許不比人差，但是把幾個單點做成產品的能力就差了。一個產品可能還行，但是沒能把一個產品做成一個好的解決方案，因為網絡安全不僅僅是防火墻、防病毒，有一堆亂七八糟的東西，分得很細，做成一個很好的解決方案我們的能力更差。這還是指產品和技術。

但是我們更差的還不是產品和技術，是一些我們在執行當中的，比如策略。剛才鄧總說了策略問題，你設了一個很差的策略，什么人都可以來，那你要防火墻干嘛？還有運營，有了很好策略，運營當中不用，或者說一碰到問題有人攻擊你，現在最簡單方法不是我把攻擊的圈子堵住，而大量的是把門全部打開，因為這樣做領導看不見，至少工作可以保住。這是在一個策略設置、執行、運營當中的問題，而不是本身技術和產品的問題。

再說到理念的問題。像美國上市公司必須有這個規范，不規范，證監會可以罰你，或者美國人可以起訴你，但我們還沒有到這一步。而且出了問題懲罰也不高。現在這么多人偷PC里的個人信息，有人懲罰嗎？包括我們電商公司把用戶信息泄露出去，有什么懲罰？他們犯法代價極低。法本身立的不全，犯法又沒有什么懲罰，也沒有用。這個方面比產品和技術差的更遠。消費者覺得無所謂，信息拿了就拿走，這方面跟美國相差太遠。我感覺今天首先要解決的是教育、理念、立法、執法這些問題，然后再從技術上逐漸提高，因為技術本身是需要的。如果買了產品，他不用，我們技術怎么提高？

我感覺這方面在快速變化，但是還是有相當距離。回到技術方面，確實有很多先進技術。我覺得我們中國工程師其實跟世界接軌挺快，能夠很迅速看到世界先進技術。可能我們中國科技人員自己處的環境更惡劣，包括攻擊、防御方法都很多，所以其實這些先進的技術各個方面都有。我覺得可能美國現在，這次500強排第一的這家公司，大多數情況也是忽悠的比較多，但是他代表的是一個方向。過去你是根據我知道誰來，我怎么防護網絡。

以后可能就要根據過去這個網絡是什么情況，外邊是什么情況，更多的是在一個大環境下的數據和你歷史上今天晚上7點鐘為什么出現這種情況，為什么過去同樣的周五晚上這種情況、或不出現這種情況，根據這些綜合來做。這是一個技術發展方向。包括卡巴為什么估值這么高，100億美金估值，就是因為他不斷整合各個信息，過去只是設備，現在是設備以外所有的信息、歷史信息、現在信息、大的信息、小的信息都綜合決定我采取什么策略，這個大的方向是我們未來更要關注的。

黃偉：非常同意兩位鄧總的意見，這不是一個技術領域問題。我們涉及到一個綜合問題，包括人的意識、流程、工具、技術。我們在運營十幾年里都是從這幾個方面看，單純從技術不能解決問題。今天我們要做的不管是產品還是服務，都要跟國外比，差距在哪？這里面技術、產品，包括意識、流程、工具，都存在很大的差距。但是我們很幸運的是看清楚了問題，在不斷改善，我相信還是有機會走到頂尖水平上。這是我講的第一個問題。

第二個問題，再回到前面說的安全問題。如果國家和國家之間的安全問題，由軍隊解決。軍隊有飛機大炮導彈。還有一些由派出所解決的問題就是要用派出所的成本解決。是城管解決的問題還是公安解決的問題，這里打了一個不恰當的比方，就是說成本和安全之間要有一些絕對的平衡，不要說一談到安全大家就如狼似虎要追求決定安全，但是絕對的安全的成本你付得起嗎？

鄧飚：前面幾位談的非常好，大家方向都是一致的。尤其是新光、鄧鋒，他們談到了意識上的短板，包括黃偉談到流程上的短板。在我們內部也是這樣，也談到產品和解決方案缺陷，我們在安全技術上并不比人家差，但是過去，華為在產品解決方案里面做的比較多，有機會的話我們下來可以更多的交流。

我接著剛才黃偉談的流程補充一下，實際上把我們網絡安全管理要素內嵌到流程當中是非常非常重要。拿華為舉例，從一層到六層，怎么樣保證每個人的工作在工作流當中都是符合我們的質量標準、符合我們的要求，這就必須嵌到流程里。

關于技術方向，我從華為的企業角度談談我們研究的幾個方向。

第一，軟件定義安全。在過去兩年時間里我們聽到用軟件定義結構、用軟件定義存儲、用軟件定義IT，我們內部討論用軟件定義安全。傳統信息安全網絡有很多硬件，隨著軟硬件結合，我們大量的功能、包括網絡防御能力可以多集合在軟件上，這樣使網絡具備彈性和更大的靈活性。這是網絡安全第一個專題。

第二個，基于大數據安全分析。剛才鄧總舉了一個例子，晚上7點鐘之前，以前都是這么一個行為，今天7點鐘突然發生了變化，而且這個變化遠遠脫離了他原來的曲線，這個時候可能是有風險。我們內部也構建了大數據分析，以前大數據是基于結構化數據，我們可能用了很多SIEM系統來做，現在更多要關注非結構化數據，今天早上百度首席科學官談到基于視頻、圖片、聲音的搜索技術和識別技術。在現在階段，在非結構化數據方面我們必須要加大投入，這是我們談的第二點。

第三點，剛才鄧鋒提到的，砂箱技術。就是把風險放在砂箱里面，看它的破壞性、它的隱患，看他是不是會釋放出木馬，在他進入我們整個業務網絡之前就屏蔽掉，這也是一個非常重要的方向。

第四塊，現在公有云發展的非常快。現在不僅華為內部有大量自己的私有云，我們也用了公有云的能力。當我們用公有云的時候發現了一個問題，往往網絡安全很多要素管控其實把IT部門屏蔽了。企業如何去在端和公有云之間建立信息安全控制節點，這也是一個新的課題。

第五個方向，基于場景的研究，我們叫情境模式管理。當一個企業一個員工有一個帳號，但是他可能在不同地點登錄、也可能在不同終端登錄，有的時候用手機、用PC，在企業內部網絡、在外部WIFI，這個時候我們希望系統自動識別，達到網絡安全防御。

鄧鋒：大家提到做網絡安全都考慮安全產品，其實我覺得要考慮產品的安全更重要。做一個企業IT人員想我怎么買安全產品來服務我保護的更好，無論買什么樣的安全產品其實都不安全，都有風險。但是你買了哪一個產品是不是安全，可能導致你的環境或者你的網絡是否安全，可能這個產品看著是一個安全產品，但是可能里頭有非常致命的弱點，最容易被別人攻擊。今天最好的安全產品也擋不住這個攻擊。所以大家要注意你每一個所用的產品安全性怎么樣。設計產品也是這樣，不是說我今天不是設計安全產品的，我就沒有安全問題了。

丁健：前面幾位真的都是技術上大咖，一談起來這些技術都是如數家珍，大家肯定都我一樣學到很多東西。由于時間關系，我把大家引到第二個問題，我們的法治問題。網絡安全與法治。下面我們花一點時間。

我提兩個問題，大家主動回應。第一個問題，剛才鄧鋒先生講到了我們遇到的很多問題，包括國家方面有電信欺詐、包括安全等方面問題，存在著說法治對于他們的懲罰或者說從本身立法這個角度來講對他們的限制，和在這方面立法本身詳細程度都不夠，我很想聽聽說大家在這個角度上有什么建議？我們作為一個行業有沒有想法說我們形成一種行業協會一樣的東西來促使政府或者通過人大、通過立法提高立法執法方面的力度。在這方面你們有什么建議？我想聽兩到三位主動的嘉賓來講有什么想法。

鄧鋒：其實我覺得立法并不是很難，最難的是執法。在執法當中最難的就是取證。行業合作，在取證上也有一些合作，比如規定一些規范，有些取證能夠很快找到問題，然后要重罰。現在有的覺得這個事跟我沒有關系，我就不管。其實DDOS攻擊很多東西今天跟你沒有關系，但是過兩天就會攻擊你。包括行業制定一些規范，某些關鍵點信息給你，大家一湊起來就知道怎么回事，這樣就可以在執行上給的懲罰更高，然后在之后就推進這個東西。

其實很好的一個例子就是中國視頻，今天跟多少年前很不一樣了，現在你稍微有點違法，很快就可以給你很重的懲罰。就是進步在取證這方面，法院認可取證這方面進展很大，這一點可以通過行業合作訂一些規范來做到這些事。信息到處都有痕跡，難度也不高，我們講的就是普通的，想把我的東西放到你那里頭，偷一點信息，然后就賣了。這個取證相對來說不是很難，這一點上可以配合。

肖新光：關于立法的問題，當前一部分是關于整個立法，剛才談到是不是有獨立的網絡安全立法，是不是有非常可行的技術上的延展，包括司法解釋等等。但是另一方面還有一個綜合治理的問題，從當前來看，我們當前網絡，據說從事地下經濟的灰色人群是數以萬人、甚至百萬，已經形成了一個既定事實存在，而這個既定事實存在不是簡單的你怎么樣把它堵住，他一旦是一個既定事實存在，就會在另外一個地方冒出來。一定是要在綜合治理方面的有些觀念需要改變。比如網絡安全絕對不是建立在一個非常混亂的治理體系下，絕不是說整個網絡安全問題越多，整個網絡安全保障越低下，網絡安全行業就越能夠良性發展。

網絡立法和有效的執法及其配套的綜合治理也是網絡安全廠商良性發展的一個非常好的基礎。網絡安全企業、網絡安全技術和服務人員首先建立在他是技術和技術博弈的基礎上，假設我們作為防病毒的，我們對抗的對象是病毒，而不是做病毒那個人，做病毒那個人由公權部門治理，如果公權部門不能把這個人行為限制住，他就會持續進行這種制作，這種制造有其經濟動力。這種經濟動力并不是像有些人理解的那樣，反病毒廠商的事情越來越多，實際上反病毒廠商是處理不暇的。

聽眾：我也順著丁總問題展開回答一下。很簡單就是一句話，特洛伊木馬的事情，美國從二戰以后就一直在搞互聯網，包括加密算法，美國中央情報局NSA雇傭了最好的數學家，所有加密算法、所有操作系統、所有芯片是嚴密控制之下。對于我們來講現在我的一個感覺，整個美國給我們運過來很多特洛伊木馬，不管是微軟操作系統還是芯片、各種通信的、安卓的。我認為這種問題主要還在于，它也是一個問題、也是一個答案。你們認為我們現在面臨的特洛伊木馬是不是非常嚴重，這是比喻的特洛伊木馬，因為嚴重程度，中國政府只能盡量先把它擋起來，我們沒有能力操作這些所有的體系的產品。還有什么建議應對這些特洛伊木馬。謝謝！

肖新光：首先我回答你這個特洛伊木馬問題，我們已經可以看到很多資料，包括從陣亡、火焰、今年的方程式，也包括其他依托性的資料，從這里面我們看到如果把它作為一個技術上的對手來看待，美國的作業特點是什么呢？

美國作業特點，第一，他有無節制承擔成本的意志和決心。第二，他有藝術級的攻擊團隊和非常嚴謹的操作守則，有人總結過為什么美國特洛伊很難被發現。第三，他有非常強大的制式化的裝備意識和能力。第四，作業特點更多集中在網絡端。第五，他比較好的利用了大數據手段，這里面很多與傳統融合，包括我們之前看到對網絡路由設備入侵是在物流配送鏈劫持出來然后把木馬放進去。我想講的是到目前為止關于設備后門的問題，特別是主流廠商設備后門問題，除了微軟NSA托管密鑰有疑似之外，其他沒有得到有效證實。

漏洞構造藝術非常高的情況下，在當前遠程升級、遠程補丁、遠程管理，用非常傳統依托傳統后門手段進行這種作業是得不償失的。第二點，很多人習慣性的認為美國廠商跟美國國家利益是高度一體的，但是絕對不是NSA開的，如果都是登堂入室的話，NSA不需要花那么大成本做這件事情。比如方程式，國內少數報道解讀成美國很多硬盤出品帶好了后門、木馬，如果帶好了，為什么我們沒有找到那個固件。是因為他依靠前導攻擊，他大概只有千分之幾的概率來觸發這個行為，前面是依托他的攻擊、或者依托定點配送達成的，所以在這個問題上如果過度低估藝術級水準，過度高估IT水準，就有可能是錯誤導向，我們就可能由一種所謂自我安全性替代，而由于沒有形成對應的安全開發的能力、意識、團隊和人才體系，我們可能錯誤的做出一個確實沒有后門但是漏洞百出的產品，由于一定程度上我們希望保護這些產品，讓他成長，很大程度上不去質疑他，而那個時候最有分析他的動力和動能的將是大洋彼岸的對手，最熟悉我們網絡體系的將是那一側的人，那個時候他如履平地，我們希望看到這個網絡安全。

我回答一下丁總的問題，第一個問題，大國必須有戰略屏障，大國一切可能性都是基于他所搭建的戰略屏障環節來構成的。不管戰略屏障是核威懾能力，還是NMD、CNMD這種傳統威懾性或者防御型的還是網絡威懾型的，是必須要有的。實際來看，我們比較美國的新風計劃，看他的一種策略，他是真正層面國家安全的一體化策略，實際上我們是處于落后的方式。今天我們可以看到我們可能面臨著一些使用不便等問題，我個人認為大國戰略能力、戰略屏障不是為了凈化道德問題，也不應該用于特別具體的一些小的戰術層面的東西。我是這樣一種猜測，因為我們主要做反病毒，對這個領域不太懂。

同時我再講一個正面的意義，在幾年前我們國家的垃圾郵件全球第二名，前兩年我再看這個數據，降到第八名，如果沒有政府層面有效治理，不可能達到。建立一個屏障有什么意義？而且這個意義有可能福及每個人。如何讓當前糾結的局面改善？其實我們可以更自信，我們可以認為我們在高速發展中，想讓我們翻車的人可能不那么容易達成目標，我們也不要過度恐懼。第二點，我們能不能建立一個回饋機制，使很多東西能夠從一個雖然表面上不去討論，但是實際上大家又有很多意見和想法，使他變成一個能夠把這種想法運轉起來回饋起來的這樣一個機制，當然這只是一個個人的想象。謝謝！

。