杜跃进表示，第四次工业革命可称为数字革命，其技术拼图至少由四块组成：智能终端（包括智能芯片、传感器）、无处不在的网络、由此产生的数据以及形成支撑的AI。

1995年，杜跃进在学术圈组织的中国第一次互联网大会上做了“关于使用电子邮件访问全球互联网资源”的报告。在当初网络基础设施简陋，甚至需要手动布光纤和铜缆的背景下，杜跃进所遇到的安全问题是“学校建立的首个邮箱服务器、域名服务器和BBS等”从第一天起就会受到攻击，但攻击者可能并非出于恶意，只是单纯觉得有趣。杜跃进介绍，早期计算机资源紧张，内存有限（仅640K），因此病毒编写者需要在有限的资源内完成所有功能，病毒大小不得超过1024个字节（1K到2K之间）。

之后便有了木马病毒。木马能长期潜伏在系统里，其价值不在于像传统病毒那样的“破坏”，而是会变成一个用户不知道的程序偷偷运行在后台，但只服务于控制者，这就等同于为控制者开了后门。攻击者可以远程秘密监视，甚至控制别人的计算机，例如打开用户的摄像头麦克风、替用户炒股票或转账、窃取用户数据等，到了今天，攻击者还可以利用客户的机器进行“挖矿”。随着联网设备的增多，攻击者还可以同时控制5万台、10万台、甚至百万台终端，他可以干出多大的事？僵尸网络便是由此而来的。

而随着时代不断发展，现实中越来越多的计算机被连在了网络，也就意味着越来越多的重要资料或系统可以成为被攻击的目标，这便引来了全新的对手。新时代的网络攻击者会选择完全不一样的目标和对象，于是从各种攻击手法中诞生了APT的概念。

杜跃进介绍，APT的本质变化是从事件视角升级到了威胁视角。APT时代和之前时代之间有一个重大的区别，那就是安全防护不再只是“事件（incident）”了，我们不再把问题局限于事件之上，而是开始讲究“威胁（threat）”。从事件到威胁，这是一个完全不同的看待安全的理念。事件是什么？回想一下病毒时代，当我们发现了一个恶意代码、发现了一个病毒，我们拦住他清除掉就可以了，会需要去想是谁写的吗？不需要。

那什么是威胁？威胁涉及到谁、什么时间、都干了什么、用的什么方法、造成了什么损失、为什么等等。所以在“威胁”里其实包含了很多的“事件”，我们只有把很多很多的“事件”关联到一起才能够分析出来一个“威胁”，而威胁的应对和事件的处置显然有很大区别。

通俗而言，APT就是“贼惦记”。“不怕贼偷，就怕贼惦记”，这就是为什么APT威胁应对比以前有很大挑战。如果今天的攻击是毫无目标的顺手牵羊的“贼偷”，那攻击者遇到了一定的阻碍也就会作罢。就怕对方是有特定目标的，而且不达目的誓不罢休，那就会防不胜防，这才是APT攻击的可怕之处。

到了当下的数字经济时代，数据安全成为了网络发展历程中的重要节点，即“如何向消费者、监管部门、同行证明我是可被信任的，数据放在我这里是安全的”成为了各行各业的安全目标和竞争力。

此次工业革命的最终目标是从制造端到消费端都落实真正精准化和个性化的服务，其时间跨度还需至少20年的时间。杜跃进解读道，数字经济正在致力于实现一个目标：全面贯通从工业制造源头至最终满足消费者需求的整个链条。对此，我们已在这条道路上取得了部分进展，大范围标准化生产的产品可以更加精准化个性化地销售到用户手中，但制造端尚未实现精准化或定制化生产。而接下去的智能制造会将制造端也转变为能够进行精准化、个性化生产的模式。这意味着生产线将具备极高的灵活性，可以根据需求进行快速调整。

对于AI，杜跃进表示，当前AI的发展速度极为迅猛。在价值观对齐方面，我们尝试通过数据的筛选来应对，但这可能仅仅是一种应急措施，并不能确保最终的结果一定是理想的。因为我们对于其中的逻辑并不清晰。AI的一个重大特点就是其不可解释性，当然许多人在致力于研究可解释的AI但是技术尚未成熟。另外，仅从数据集入手来解决问题，无疑只是一种短期、临时且有限的方法，而未来的解决方案究竟如何，无人知晓。当然，AI在安全性方面面临着巨大挑战，我们目前很多情况下都无法判断AI给出的信息是否真实可靠。

在数智时代，社会的运转方式、安全风险、对抗方式和复杂度等，都和之前有着本质上的不同，单点的、局部的方案无法满足深度融合的新世界的安全需求，因此安全需要重新定义。简单而言，就是在这样一个数字化的时代下，数字社会所需要的安全，才是真正的目标，也就是所说的数字安全。

关于网络安全、数据安全和AI安全，杜跃进如此解读：网络安全聚焦于保障大型系统中设备、智能终端、软件及网络的整体顺畅运行，确保这一复杂系统功能的安全无虞。其手段犹如外科医术，基于对系统内各组成部分相互关系的深刻理解，运用“手术刀”精准修复或构建新路径，以恢复并维护系统功能的正常运作。

数据安全则致力于在数据生命周期内平衡多方所面临的风险与利益诉求。这里的多方，意味着数据的产生不再局限于双方契约，而是由广泛的人群共同参与。各主体对数据安全的担忧各异，有的忧虑数据泄露，有的担心数据被篡改，还有的则害怕数据损坏。数据安全的治疗方式更接近于内科中的血液科，无法直接通过“手术刀”般的直接干预，而需借助“药物”——即相应的策略与措施——来进行调节与改善。

AI大模型，作为新一代人工智能的代表，不仅依赖数据，更强调因果逻辑与价值观的融入。这使得其特性与精神科或心理科相似，关注于“自我”的层面。因此，对于AI大模型所面临的问题，其解决方法更倾向于通过交流、分析与引导的方式来进行，以实现对AI大模型的全面理解与有效调控。

杜跃进表示，未来安全的核心还是能力，不过不能像以前一样当作一个模糊笼统地概念，而需要系统性地定义和扎实深入的建设。在能力方面，首先能力要有衡量目标，比如大规模网络安全事件（蠕虫）时代，基础设施应急响应能力的目标是保证国家的基础网络不被蠕虫攻击导致大规模网络瘫痪，而能力体系就是围绕这样的要求所建立，要求在足够短的时间（黄金时间）内完成发现、分析和处置，避免进入失控状态。能力不等于产品和技术。构成能力的要素一是人员和组织，比如应急响应组织、每个省的分中心、运营商组织、安全企业等，所有这些组织加在一起形成了大规模应急响应的组织体系，每个组织和组织中的不同角色，都有详细的能力要求；二是需要工具和产品构成的技术平台，例如监测系统、分析系统、响应工具等；三是资源和流程，比如应急预案、法律法规、技术标准、网络拓扑、网络资产、漏洞库、恶意代码库等。能力最终围绕业务目标，例如数字城市安全的能力、数字工厂安全的能力等，用来判断与安全威胁相比，当前的能力是否足以实现风险的可控。