作者 王思遠(yuǎn)

不久前結(jié)束的ISC中國(guó)網(wǎng)絡(luò)安全大會(huì)上,，來(lái)自全球安全專(zhuān)家,、白帽黑客，國(guó)內(nèi)政府部委和海外安全機(jī)構(gòu)代表,，從理論到實(shí)踐，從當(dāng)下到未來(lái),，談趨勢(shì),、秀絕技。專(zhuān)業(yè)“白帽”黑客現(xiàn)場(chǎng)“攻破”各種物理場(chǎng)景或網(wǎng)絡(luò)空間,，甚至有國(guó)外黑客通過(guò)在體內(nèi)植入芯片的方式,，上演了“生物黑客秀”。

為什么說(shuō)全球網(wǎng)絡(luò)環(huán)境已進(jìn)入 “大安全時(shí)代”,？漏洞演化的網(wǎng)絡(luò)軍火有著怎樣的殺傷力和貫穿力,？為什么說(shuō)安全的本質(zhì)是人？為什么他會(huì)說(shuō),，中國(guó)團(tuán)隊(duì)屢屢閃耀世界黑客大賽,，未必是好事，“我們不該去爭(zhēng)世界黑客冠軍”,？《遠(yuǎn)見(jiàn)》本期對(duì)話人物：360公司董事長(zhǎng)周鴻祎,。

　　周鴻祎在ISC安全大會(huì)上演講

網(wǎng)絡(luò)戰(zhàn)空間延伸 “大安全時(shí)代”時(shí)代要有“大格局”

上次對(duì)話老周，還是在去年的烏鎮(zhèn)互聯(lián)網(wǎng)大會(huì),。那時(shí)周鴻祎專(zhuān)注的是“萬(wàn)物互聯(lián)和物聯(lián)網(wǎng)安全”,。這一年中，美國(guó)因?yàn)楹诳腿肭指木幜丝偨y(tǒng)大選走勢(shì),，美國(guó)國(guó)安局網(wǎng)絡(luò)武器意外失竊,，被“影子經(jīng)紀(jì)人”做成了震驚全球的Wannacry。

對(duì)此,，老周的感到“變天”了,，孤立地看“網(wǎng)絡(luò)安全”威脅已經(jīng)過(guò)時(shí)；未來(lái)網(wǎng)絡(luò)安全,，將進(jìn)入攻擊橫跨物理和網(wǎng)絡(luò)空間,，覆蓋越軍、民,、政,、商領(lǐng)域的“大安全時(shí)代”,。

周鴻祎：“現(xiàn)在物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng),、工業(yè)互聯(lián)網(wǎng),，把真實(shí)世界和物理世界、網(wǎng)絡(luò)世界全部拉平了,。網(wǎng)絡(luò)世界的攻擊都開(kāi)始蔓延到真實(shí)世界?，F(xiàn)在一談安全，就勢(shì)必要談到國(guó)家安全,、社會(huì)安全,、基礎(chǔ)設(shè)施的安全，包括物理的安全甚至人身的安全,。我的理解,，大安全，網(wǎng)絡(luò)攻擊已經(jīng)演變成網(wǎng)絡(luò)戰(zhàn),，網(wǎng)絡(luò)攻擊過(guò)去還是比較零碎,，比較單次，這次WannaCry可以看出來(lái),，網(wǎng)絡(luò)武器打造上實(shí)現(xiàn)了平臺(tái)化,、系統(tǒng)化、自動(dòng)化,，全世界已經(jīng)進(jìn)入網(wǎng)絡(luò)戰(zhàn)時(shí)代,。今年這次和WannaCry一塊兒泄露出的很多網(wǎng)絡(luò)武器，經(jīng)過(guò)篩查,，發(fā)現(xiàn)有不少在中國(guó)都已有過(guò)滲透攻擊,。這種網(wǎng)絡(luò)戰(zhàn)的攻擊威力一旦和基礎(chǔ)設(shè)施結(jié)合，每個(gè)國(guó)家都受不了,。舉個(gè)例子,，很多糾紛的本質(zhì)是水資源，比如中國(guó)要修一水壩,，這些水壩將來(lái)會(huì)不會(huì)是敵國(guó)重點(diǎn)攻擊對(duì)象,？以后戰(zhàn)爭(zhēng)，不是派飛機(jī)炸這個(gè)水壩,，而是攻陷大壩的控制系統(tǒng),。那一定需要一支強(qiáng)大的安全團(tuán)隊(duì)協(xié)助，做攻防演習(xí)和發(fā)掘漏洞,。一旦目標(biāo)被攻破后,，這時(shí)候就要上人（對(duì)抗），決不是靠人工智能。在安全領(lǐng)域,，是最高智力的兩群人較量,，人工智能離這個(gè)還差得很遠(yuǎn)?！?/p>

安全“怪咖”迭出 “產(chǎn)學(xué)結(jié)合”“軍民融合”孵化人才

老周還提出了“萬(wàn)物皆變、人是安全核心”,?？v觀近十年中國(guó)網(wǎng)絡(luò)安全人才培養(yǎng)，走了不少?gòu)澛?。早年間,，高校不敢開(kāi)設(shè)課程，一方面是網(wǎng)絡(luò)不發(fā)達(dá),，對(duì)安全不夠重視,；另一方面，也是怕學(xué)生學(xué)會(huì)了技術(shù),，學(xué)會(huì)了把教務(wù)處的系統(tǒng)黑了怎么辦,？明天盯上銀行了怎么辦？說(shuō)白了,，是頂層人才培養(yǎng)的意識(shí)問(wèn)題,。

此外，安全人員收入實(shí)在不高,。頂著個(gè)“碼農(nóng)”帽子,，到頭來(lái)日子過(guò)得緊巴巴，何苦呢,？所以,，當(dāng)下這一批“黑客”頂尖高手中，幾乎很少有“科班”出身,，反倒是群學(xué)歷不高,，但悟性很高的“怪咖”。

　　白帽黑客MJ鄭文彬

當(dāng)然,，這些年,，隨著安全行業(yè)受到資本和國(guó)家的重視；安全技術(shù)人員的待遇和社會(huì)地位提升了,，很多安全人才從海外回歸,，也有國(guó)內(nèi)頂尖黑客“金盆洗手”成了白帽黑客。

今年wannycry勒索病毒爆發(fā)時(shí),，著名白帽黑客,、現(xiàn)任國(guó)家網(wǎng)絡(luò)安全人才庫(kù)特聘專(zhuān)家、綽號(hào)“MJ”的鄭文彬，對(duì)我們講過(guò)這樣的“內(nèi)幕”

鄭文彬：“2008年之前,，McAfee（美國(guó)知名安全公司）的老總來(lái)中國(guó)一看：哇,，中國(guó)竟有這么多黑客！我給你們一月5萬(wàn)美金,，在中國(guó)給我干活就行,。我們一聽(tīng)傻了，5萬(wàn)美金,？太多了,！好多人去給McAfee干，現(xiàn)在就不一樣了,?！?/p>

作者：“現(xiàn)在，中國(guó)企業(yè)可以給到這個(gè)數(shù)嗎,？比如你們或是其他的頂尖白帽,。”

鄭文彬：“超過(guò)這個(gè)數(shù),?！?/p>

作者：“每月5萬(wàn)美金？”

鄭文彬：“有的,，頂尖水平的,，包括股票、獎(jiǎng)金,，可以超過(guò)這個(gè)數(shù),。國(guó)外安全市場(chǎng)在萎縮，很多人愿意回來(lái),?！?/p>

　　高級(jí)漏洞=網(wǎng)絡(luò)軍火原材料

周鴻祎認(rèn)為隨著大環(huán)境改善，未來(lái)網(wǎng)絡(luò)安全人才的結(jié)構(gòu)和培養(yǎng)方式將發(fā)生變化,，此外軍民融合將是“大安全時(shí)代”的必然趨勢(shì),。

周鴻祎：“從我們來(lái)看，現(xiàn)在網(wǎng)絡(luò)安全頂尖人才,，其實(shí)大學(xué)還沒(méi)畢業(yè),，所以我們覺(jué)得可能不需要上完大學(xué)；第二,，不一定是高材生,，很多人看著挺‘屌絲’的，但他熱愛(ài)這個(gè)行業(yè),，他們都是一些怪才,。從這個(gè)角度講，很難用正常大學(xué)生（的方式）培養(yǎng)。有的人考不進(jìn)大學(xué),，也可以進(jìn)入網(wǎng)絡(luò)安全學(xué)院,，有‘靶場(chǎng)’給他們實(shí)驗(yàn)，有攻防實(shí)力,，我估計(jì)1-2年里培養(yǎng)出基礎(chǔ)人才,，能否到頂尖靠他自己的悟性。當(dāng)然,，安全這行業(yè),，頂尖人才和天賦也有關(guān)系，不是完全靠培訓(xùn)能訓(xùn)出來(lái)的,。”

漏洞是國(guó)家戰(zhàn)略資源 我反對(duì)中國(guó)團(tuán)隊(duì)爭(zhēng)“世界黑客冠軍”

這兩年,，很多國(guó)際黑客交流大賽上,，中國(guó)互聯(lián)網(wǎng)安全公司派出的戰(zhàn)隊(duì)，屢屢取得佳績(jī),，相繼攻破谷歌,、微軟、adobe 等各大知名公司的系統(tǒng)漏洞,。媒體報(bào)道也每每摩拳擦掌,，似乎這么做是“爭(zhēng)了榮譽(yù)、長(zhǎng)了臉”,。中國(guó)是否需要“世界黑客冠軍”這樣的名氣,、底氣？

對(duì)此,，周鴻祎唱了反調(diào),。他再次強(qiáng)調(diào)“大安全”意識(shí)，稱(chēng)“以后要管好自己的人,，世界黑客冠軍這事,，其實(shí)未必是寶，反而是坑,。

周鴻祎：“要我看,，現(xiàn)在這行業(yè)有‘不正之風(fēng)’，大家覺(jué)得去海外參加比賽,，就像參加奧林匹克,，得到外國(guó)人的首肯有特光榮。開(kāi)始我也這么想,，（與其）咱們（安全公司間）內(nèi)斗,，大家打來(lái)打去外人在一邊看熱鬧，不如（去參賽）和國(guó)外的比試一下。但時(shí)間長(zhǎng)了我發(fā)現(xiàn)一問(wèn)題,，美國(guó)特別熱衷干這個(gè),，因?yàn)槁┒匆涣粒ū┞叮@個(gè)漏洞就再也用不了,，這種比賽好像從來(lái)就沒(méi)有‘美國(guó)隊(duì)’,。還有，北約盟國(guó)研究漏洞的人,，根本不允許他來(lái)中國(guó),、俄羅斯這些武器禁運(yùn)國(guó)參加比賽。因?yàn)閬?lái)了,，秘密漏洞就泄露了,。 人家拿了個(gè)漏洞，可不能輕易拿來(lái)做比賽,，可能做一個(gè)類(lèi)似WannaCry那樣的網(wǎng)絡(luò)武器,，武器很保密，一用三年,，要不是這次被泄露的,，沒(méi)準(zhǔn)還能長(zhǎng)期使用。

所以我說(shuō),，漏洞有點(diǎn)像你挖到了類(lèi)似的國(guó)家重要戰(zhàn)略資源,。因?yàn)槟苣玫绞澜珥敿?jí)黑客大賽攻破的，人家專(zhuān)門(mén)給你設(shè)了命題,，讓你去攻,，這都是高價(jià)值漏洞。如果賣(mài)給某個(gè)犯罪集團(tuán)和國(guó)家情報(bào)機(jī)構(gòu)是百萬(wàn)美金算的,，這些漏洞是不是應(yīng)該留在國(guó)內(nèi),，看國(guó)家是不是需要？現(xiàn)在我對(duì)這個(gè)持公開(kāi)反對(duì)態(tài)度,！但沒(méi)辦法,，它形成了風(fēng)氣。有的公司專(zhuān)門(mén)組隊(duì)去了,，我的人忍不住這口氣,，非要較這個(gè)勁。我的觀點(diǎn)還是很明確的,。在‘大安全’時(shí)代,，網(wǎng)絡(luò)戰(zhàn)時(shí)代，不要呈匹夫之勇,，不要圖一時(shí)之快,，我們今天得了一個(gè)黑客大賽第一名so what,？中國(guó)長(zhǎng)期來(lái)看需要積累網(wǎng)絡(luò)資源和網(wǎng)絡(luò)資產(chǎn)，否則有點(diǎn)漏洞就用了,，真哪一天和別的國(guó)家打起網(wǎng)絡(luò)戰(zhàn),，你手里什么都沒(méi)有，你說(shuō)這個(gè)仗怎么打,？”

前不久,，有人寫(xiě)了一篇文章《人民想念周鴻祎》，這篇文章勾起了大眾對(duì)3Q大戰(zhàn)時(shí)代,，那個(gè)敢攪混水,、無(wú)所畏懼的周鴻祎的懷念。如今,，各行業(yè)公司從看資本臉色,，但業(yè)內(nèi)競(jìng)爭(zhēng)百花齊放；到只看AT兩大巨頭的臉色,、挑邊站隊(duì),；周鴻祎的發(fā)聲似乎變得“低調(diào)而乖巧”了。

老周對(duì)此的解釋是：互聯(lián)網(wǎng)多元化,，導(dǎo)致“邊界錯(cuò)亂”。每家大公司都不可避免地踏入他人的領(lǐng)域,，當(dāng)年橫沖直撞最多換來(lái)了攪局,；從長(zhǎng)遠(yuǎn)看，企業(yè)和人都要聚焦核心,，不要窮追風(fēng)口,。大安全時(shí)代，周鴻祎眼里的對(duì)手和目標(biāo)變得更加清晰,。

《遠(yuǎn)見(jiàn)》是一檔“互聯(lián)網(wǎng)財(cái)經(jīng)”主題的廣播專(zhuān)欄節(jié)目,，每周五12:00在央廣經(jīng)濟(jì)之聲播出，周日16:30重播,。表現(xiàn)形式自由,，提倡“原創(chuàng)+連接+分享”?！斑h(yuǎn)見(jiàn)”會(huì)從商道,、投資、前沿技術(shù)現(xiàn)場(chǎng)和熱點(diǎn)話題討論,，邀請(qǐng)業(yè)內(nèi)名嘴和企業(yè)家,，分享見(jiàn)聞經(jīng)歷或見(jiàn)識(shí)觀點(diǎn)?？辞把刳厔?shì),，與智者相伴,。作者：王思遠(yuǎn)，中央人民廣播電臺(tái)記者,、《遠(yuǎn)見(jiàn)》欄目制作人,。