今天(2 月 23 日),360 董事长周鸿祎在 360 安全应急响应中心的三周年庆典活动上,表达了自己对白帽子黑客的态度以及未来网络安全人才引导的思路。他呼吁企业给予善意的白帽子支持和理解的态度,呼吁政府出台政策对白帽子这类安全人才进行保护和鼓励。
他认为,由于互联网的迅速普及及正规教育的迟滞,导致在过去十几年从事网络安全的人没有得到好的引导,容易一旦受经济诱惑进入地下黑产,造成极大的破坏。因此应该鼓励并引导这些有技术能力的人才走上正途,而不是利用发现的漏洞从事违法活动。
以下是周鸿祎演讲全文,雷锋网整理发布:
各位大侠(指现场的白帽子)大家好,主持人上来把我的出场讲得特别隆重,但来这个会是应该的,因为安全是 360 的核心命脉,也是我们最重要的使命,所以安全的事一定是我们公司最重要的事。所有我们今天来的人,除了有我们公司的一些管理层之外,也有我们公司很多的安全的人员,也有外面来的白帽子伙伴。
今天,我有几点要和大家分享:
第一,今天我们的行业才真正开始了一个春天。
这几年习总书记多次讲,没有网络安全就没有国家安全,包括前几天国家安全的会议上又以很大的篇幅提到了网络安全,所以未来网络安全会越来越被国家所重视。
这次在美国总统大选,希拉里就因为不重视网络安全,导致最后总统都没有当上。所以,我讲网络安全到 2017 年真正进入了新的时代。
原来我有两个预言,最近感觉都发生了。
过去我们提及手机安全,大家都说“不就是发个诈骗短信吗?我又不傻我又不笨,不就是接个诈骗电话吗,没准我还能调戏骗子两句”。但实际上,我们现在发现有高智商高科技的犯罪团伙,通过研究各家互联网公司的漏洞,运营商的漏洞和手机操作系统的漏洞能够成功的渗透到你的手机,一旦渗透了手机之后,就不那么简单了。
我原来讲过一句话,有人说手机是什么?一方面手机是人们新长出来的器官,一刻都离不开。手机以后不是你的钱包,你丢钱包没有啥,不就是几张信用卡和一点人民币。而手机和你的金融理财、银行帐号都结合在一起,这要出现问题就是你的全副身家。所以在这个安全上绝对会出大事故和大事件,可能比山东那个孩子上当(徐玉玉遭网络诈骗事件)还要大的事件。这说明安全给我们提出了新的严峻的形势和新的命题。
我们讲 IoT 是巨大的机会,有各种叫法,无论是智能家居、可穿戴、智慧城市还是工业互联网、物联网最后都是一个意思,就是通过这种 IoT 设备和协议,把物理世界和现实世界打通。这带来的问题:以后的威胁不简单是数字的威胁,而是可以把这种伤害从数字世界变成物理世界的伤害,而且是双向的。
大家都知道最近自行车很流行,大家都去扫码,我相信很多码以后被人涂抹成恶意的码,你一扫就付钱了。前一段在有关国家强力部门的监督下,包括一些网络安全公司、一些黑客大拿在国家的有序监管下做了一些演习,学习美国的网络风暴。
现在你和很多人讲网络安全有多重要,他们没有亲身的感受。但当一些重要的,注意,不是网络基础设施,而是社会和国家的基础设施,比如说机场、交通枢纽、电站、核电场被攻击控制后,让很多人真正意识到未来网络安全已经不仅仅是虚拟空间的争夺。未来说白了,每个大的国企甚至社会的基础设施都要有大量的网络安全人才的保卫,要不然的话这种网络攻击的后果将会是非常严重的。
所以,我一直跟我们内部团队在讲,我们 360 虽然是做了十年的网络安全,但其实还有很大的空间需要研究和创新。
可能有的人觉得网络安全不就是免费杀毒吗?网络安全不就是手机卫士吗?网络安全不就是清理吗?其实不是,这些理解都已经过去了。我觉得网络安全随着人类科技的发达和人类懒惰程度的增加,网络安全的问题会越来越严峻。当然这也给所有在座的诸位(白帽子)和所有在安全行业内的从业人员提出了挑战,同时创造了巨大的机会。
下一个五年,安全的游戏规则会变,安全的形势会变,安全会和整个社会的发展、国家的命运、很多企业的这种前途紧密地联系在一起。所以,我们很有幸,大家遇上了一个大发展的年代。因为一个人无论多么有才华,有的时候命运、命运,命再好还要有运气,还要能碰上一个时代给你机会。所以,我也很高兴今天有这么多人。
第二,我想讲一下白帽子的重要意义。
我不知道你们很多人对自己的价值是怎样定义的,有人说是脚本小子,有人可能是研究底层很深入,有的人对安全的道理研究的很深。大家就觉得说,为什么白帽子很重要?我就讲网络安全,在过去的两年里,我们甚至给总书记都写过几次,得到了总书记的批复。
我们提出一个观点,今天的中国是网络大国,但要像领导人期望的那样变成一个网络强国,我们还不是。要变成网络强国的最重要的基础,是你在网络安全上要变成一个技术强大的国家。但我们目前特别是和美国、和同行比,我们最缺乏的是网络安全的人才,所以网络安全里最最重要的是人才。
但网络安全这个行业的人才又有它的特殊性,因为大家提起黑客,你到社会上做个调查,浮现在人们脑海中的都是电影里的那些怪咖,极客、不修边幅,长相奇特,头发很长,像 MJ(世界著名黑客, 360Vulcan 的负责任)似的。
总书记在 4.19 讲话里专门提出了对人才要不拘一格,要容忍人才的缺点,这里面讲的人才主要是针对我们网络安全的人才。因为我们网络安全的人才,很多人不是科班出身,不是正规学历。有的人正规学网络安全的对这个不感兴趣,可能只是获得个学历而已。我们很多人非这个专业,但他热爱网络安全,喜欢琢磨,喜欢打破沙锅问到底,很有进取心,所以很多人反而因此成了人才。
这些人才很偏,他们在某些方面有优异的才华,对这种人才我们不能以偏概全,我们如果要求他们五讲四美三热爱,不随地吐痰,讲究个人卫生……我没有任何影射的意思。其实是不对的。其实我们已经成功给国家领导人,在我们的报告里多次讲到,对这样的人才要看到他们的长处,要容其所短,发挥其所长,不要求全责备。
这些方面,我们也得到了国家的支持,特别是我们建立一些国家级的网络安全学院和网络安全实验室,但这都需要时间。即使有了这样的结构,我依然相信网络安全需要有灵感、有天赋、愿意为之奋斗的这些奇才、怪才。我经常说有能力的人都会有点怪,一个人什么都不怪,他就是普通人。世界上大多数人都是普通人,我相信我们白帽子不是普通人,就像很多人觉得老周我很怪一样,我肯定也不太正常,你要正常就是你是一个平庸的人,所以 MJ 看着很怪异,大家要见怪不怪。
你们未来,其实不是今天大家发掘点漏洞发现点问题,未来你们对中国整个国家网络安全的战略,甚至对中国国家网络安全人才的培养的意义都非常大。
我上次去高校,在西电去给大学生们做讲演,我说咱们不说大的理想,就说找工作容易,未来网络安全找工作肯定比其他专业都容易。未来网络安全的人才肯定比普通的工程师、普通的程序员身价要更高。他们还不相信。
我说未来网络安全行业会发展成什么样?我就说了一个例子,比如我们提起三峡集团大家都知道吧,三峡集团可能有一些 IT 技术人员和 IT 支持人员,但未来三峡集团及类似的这种国企就要组建它自己的网络安全保卫团队。因为将来敌对势力都不考虑是弄个导弹炸三峡,一定是渗透到网络里,所以这种威胁比一个炸弹和导弹还更有威胁。所以中国今天所有的机场、交通枢纽、社会基础设施、变电站、核电场这些地方都需要网络安全,靠一家 360 就能保证他们的安全?靠一两家公司根本不行,靠一两家公司卖几台防火墙和路由器也不行,今天的网络安全全部是人和人的攻防,全部是技术和技术的对抗。所以,网络安全人才,从全世界到中国都有巨大的空间和巨大的缺口。未来各位的好日子才刚刚开始,这个行业未来五年和十年会有巨大的蓬勃发展。
我们很多人很苦逼的干安全这么多年,我们老觉得我们不被旁人所理解,可能老婆不理解,家人不理解,但是我告诉大家,我非常理解,而且我们这几年也成功的让国家也非常理解,我认为网络安全的风口就要来了,请各位准备好翅膀。
为什么给大家起白帽子这个名字?我特别希望说,任何一个行业要爱惜自己行业的名声,我们不仅要做挣钱的事,做有前途的事,还要做受社会公众尊敬的行业。
曾几何时,国内的网络安全行业不好,很多安全公司一年就几亿的收入,市值也不高,整个安全行业原来的规模和格局都很小,从来都不是风口里的猪,热门的送盒饭也比网络安全听起来更性感,大家都愿意穿着某某外卖的衣服满世界乱跑,我也觉得很郁闷,我觉得送外卖有价值,卖电影票也有价值,但和网络安全比我们是不是应该逼格更高一点。
但原来缺乏这种环境,我们网络安全的行业是比较灰色的地带,正邪一线,你掌握了网络安全的技术,正可以成为国家的技术,邪成为了一种凶器,正邪全在一念之中。所以有几年很多人打着黑客之名义,做这样一些动作。所以,慢慢把黑变成了真黑了,黑客变成了一种负面词。
曾几何时,我认为黑客是一种很酷的概念,黑是很酷的颜色。我们很多人第一次看黑客帝国的时候,当时觉得黑客很酷。但后来黑客的名誉被一小撮人给弄坏了,现在我们需要给黑客正名。这几年我们通过做白帽子这件事,等于引导很多黑客大家来通过自己的技术,站着就把钱挣了,做的是正当的事情,做的是响当当阳光下的事情,所以我们起了个名字叫做白帽子。
这几年我们还是做了一些贡献的。提起 360 原来有一些传统安全公司很不耻,你们去很多传统安全公司,他们会说周鸿祎把我们的饭碗砸了,锅都砸了,搞的安全公司不挣钱了,还挖了我们很多人。但通过 360 像鲶鱼在这个行业里,你不觉得网络安全的薪酬提高了十倍吗?有一些巨头,不管当时他们的重要性是因为遏制 360 还是打压 360,所有的互联网公司都意识到安全很重要,包括 BAT 也在安全上有很多的投资,整个中国网络安全产业获得了几十倍的增长,所以大家对网络安全人才的这种稀缺性也不一样了。
为什么很多挖漏洞的人才的薪酬炒得很高,没有 360 也走不到现在。大家做这个行业不是说只是为了挣钱,但如果你连钱都挣不到,都养活不了老婆孩子肯定有人就不得不做一些灰色的事情。所以我们不给大家讲大道理,这几年通过 360 的竞争和推动,我们让整个产业的整个饼都做大了,包括一些传统的网络安全公司,他们现在也才意识到,只有把整个产业和整个饼做大,让所有的从业人员都在里面获得了比较好的回报,无论是工资还是资本的回报,我觉得这个行业才能吸引更多有才华、优秀的年轻人来加入,这个行业才有前途。
通过这几年我们也吸引了很多海外的中国人,像当年的平底锅和火眼,美国有一些最时髦的安全公司里,很多的核心人员都是中国人。原来大家如果去美国公司任职,我也理解。你在中国一个月拿 8000 元,到那里一个月拿一万美金,当然大家会做选择。但现在我们把国内的整个的创业环境,包括我们也投资了一些网络安全的创业公司,我们整个提供了这样的环境之后,也使得甚至国外的一些优秀的华人他们回国创业。包括我们有几个国外的教授,大学里的专家,他们也回来加入了 360 的团队,所有的这些信号都证明了中国未来将是网络安全最大的市场,也有最大的机会,所以我们也在吸引各方面的人才回流。
但是也有很多网络安全人才确实有一定的独立性,不愿意加入某家安全公司,他愿意保持独立的这种特立独行的风格。这几年我们的项目,最早的一个名字很难听,叫做“库带计划”,我很有意见,觉得这个库带听起来很庸俗,现在改了名字叫做“补天”,听起来就比较高大上了。这几年我们通过这个计划,通过项目奖金的形式,鼓励很多人才成为白帽子,挖掘漏洞,我们愿意出钱奖励购买漏洞,我们再无偿把这些漏洞提供给国家和单位,让他们堵住漏洞。你们都只有漏洞的意义,漏洞对一个国家的战略意义非常巨大。
另外我们自己也在悬赏白帽子提交 360 产品的漏洞。原来我不关心这方面预算,我们是 2012 年做出漏洞响应平台,是中国第一家给漏洞提供现金奖励的企业,2013 年 360SRC 正式上线,去年我们给白帽子竟然发了上百万的奖金,这对于 360 来说可以表现出 360 在网络安全上做事情的这种诚意。
我希望各位白帽子既不用骄傲自大,也不用妄自菲薄,我们现在仅仅做的是一个开始,我希望有越来越多的白帽子可以加入进来。关于网络漏洞我要多说一点,网络漏洞现在国家对它的意义还没有完全认识,我们很多人还热衷于带着一个漏洞去参加国外的比赛,最后得到国外的一些奖励。但是平心而论,你知道前一段美国的网络武器库失窃了,有人偷出来在网上叫卖价值 7 亿美金的比特币,大家都不相信,后来测试下载了发现那个东西挺牛,用它可以控制骨干网的路由器,你都不知道美国人的网络武器库藏了什么样的武器,其实所有的武器背后都是一个漏洞。真正想一想我们国家的网络武器库里,什么时候也有这样牛逼的漏洞和武器,你拥有这种技术在网络安全方面才能够形成一种制衡或者平衡,这方面真的是任重道远。
未来在挖掘漏洞这方面,我相信我们也会极力的鼓吹,让国家,不光是 360 一家,让国家投入更多的资源,认可到漏洞的价值,让他们给更多的政策的支持,把大家的积极性调动起来,才能将来在国家的网络安全战略上,在漏洞方面不比其他国家逊色。我们不会主动的发起攻击,但如果你什么漏洞都不掌握,我们的网络被别人攻击的时候已经变成了千疮百孔的渔网,这肯定不行。我们 SRC 开这个会,我觉得这都起到了示范的作用,我们要尽更大的力量把白帽子这件事做好。
但还有一个问题,现在大家对白帽子的理解不一样:我们是强烈的支持,但有些部门和个人对白帽子是非常的排斥。
在去年出了一些事情后,我们也在积极的跟国家有关部门在做沟通,在做这种信息的交流。包括我本人在九三学社,也通过这种进言的机会,在强调希望国家对白帽子这件事给予支持。很多人当白帽子,他们要做漏洞的检测,一定要做模拟的攻击。这种模拟攻击对被攻击的单位来说,如果在没有沟通的情况下,很难区分是真实的攻击还是只是一种检测。这导致有的人认为白帽子是否在借机攻击我的单位。
中国很多单位有漏洞,当你发现了漏洞以后,他没有一个正常的心态觉得谢谢你替我发现了漏洞,而是漏洞被你发现了,他会觉得很丢人,他反而会提交一些证据,给我们的白帽子带来一些麻烦。说白了我们也觉得这都是一些不可避免的事,今天我们不愿意看到,但它是一个现状。所以我们希望通过 360 和白帽子的合作,我们真正会把我们做出的成绩,我们会和一些部门坚持做沟通,相信在今年,随着领导人对网络安全这么重视,他们也越来越意识到网络漏洞的重要,过去对白帽子的这种不理解,在今年国家会出台相应的政策。包括在舆论上,我们也要共同的发出一定的声音,我觉得来让整个社会、整个国家更好的理解我们白帽子。
我们也希望要理解国家的一些做法,让白帽子的一些测试和模拟攻击能够在一种更有序的组织下,能够让国家觉得是在它的监管下而不至于失控,包括和很多单位的提前沟通。我觉得只要把这些规则创造好,会给我们白帽子创造更大的空间。
我给大家可以说一个简单的道理。360 在做骚扰电话拦截的时候,我们就有一个理念叫做“打一场人民战争”,靠 360 一家怎样能够把那么多的骚扰诈骗电话辨认出来呢?那是不可能的,所以我为人人,人人为我,每个人接到诈骗电话的时候标记一下,我们就能让受害者迅速的减少。所以我们不断的把这个理念在和高层做沟通。
可以注意到,国家网信办在武汉搞了一个网络安全周,这次网络安全周的口号叫做“网络安全为人民”,第一句话很正常,第二句话叫做“网络安全靠人民”。我不知道这句话谁写的,我觉得这和 360 的理念非常的接近,非常的一致。我说是网信办哪位秀才想了这个词,这是 360 的理念,网信办的人说,你别乱说,这是我们总书记亲自定的。
所以,在这次国家管委的安全会议里,我从公开报道里看好像也提到了做好国家安全也要依靠人民。人民是谁,就是你和我,就是我们大家。国家也意识到未来网络安全这么严峻,如果仅仅是靠几个专家学者,少数几个国家队是解决不了安全的问题,政府要扮演一个重要的协作、指挥、领导者的角色,把我们这些民间的高手、把我们这些民间的企业、把所有的这些力量调动起来,大家一起会聚成一种洪荒之力,才能真正的解决中国的网络安全问题。
尽管在过去的两年里,我们有一些白帽子蒙受了一些委屈,甚至有人蒙受了一些冤屈,我觉得这都是发展之路上的一些小波折。
说起来 1993 年、1994 年的时候,那时候你们 (在座的白帽子)都出生了吗?有一半人可能没有出生的。我上研究生的时候,我和谭晓生比较早的研究反病毒的,研究反病毒就要研究病毒,就要读病毒的源代码。当时一度公安局出了通知,未经许可不需研究病毒技术。我还因为这个被我们学校的公安处审了好几天,这都是多少年前的陈年往事了,但最近今年你回过头来看,这种规定多么可笑?
我再说一个例子,过去我们在大学里,我们想搞网络攻防大赛,对你再热情的大学的老师一听说搞网络攻防大赛都不干,怕承担责任。我们有计算机软件专业、硬件专业、信息工程专业、现在电商专业都有了,你就问问有没有网络安全专业和网络攻防专业?对不起,没有,大家都觉得教会了学生这种撬门开锁的技术,学生出去了到底干什么不好说,没准老师还要承担责任。老师就说,老周我们带团队怎么实习啊?那时候也没有靶场技术,真的有所学校,他们就演练了一把,攻防了他们附近一家运营商还是银行的服务器,公安真的上门了。这些都是存在的情况。
但我告诉大家一件事,在前年的时候,我通过九三学社和网信办给中央上了两封信,就谈到了这个问题,不能因噎废食,中国必须要对网络安全人才的培养,你可以把网络安全人才作为特殊人才有一定的管理,同时创造更好的环境,但绝对要在中国的所有的高校中要开始光明正大的培养网络安全人才。我们没有想到这一份报告很快得到了总书记的批示,教育部、工信部和科技部联合开会把我们也找过去发言,很快在前年年底的时候各个高校,就准许把网络安全和攻防作为和计算机软硬件平级的一级学科,可以设立硕士和博士点。没想到今年总书记又下文件说,要建立国家级的这种网络学院,中央网信办就让我们先尝试合作,在武汉建立攻防实验室。所以可以看到今天的环境变了,领导人对网络的安全无比的重视。
我通过这两个例子,大家可以看到,今天的网络安全必须要依靠集体的力量,智慧的力量。互联网最牛的是网聚人的力量,中国别的不多,就是人多。我们凭借着人多成为了互联网大国,我们也成为了世界上最大的互联网市场,我相信我们有这么多年轻优秀的聪明人,将来在网络安全方面一定会有很多卧虎藏龙之才涌现出来。所以今天白帽子遇到一点波折,我真的觉得大家不要往心里去,360 在这件事上和你们的立场是高度一致的,我们会不断的利用我们的影响力摇旗呐喊,包括通过和你们的合作,我们会让各级领导人认识到白帽子对我们国家的重要的战略意义。
所以我希望白帽子和 360,有什么困难和问题大家可以多来沟通,包括你们在一线遇到什么障碍,我们都可以来帮你们解决。今天我们也把法律部门的负责人找来了,我们会给你们提供支持,你们背后有一大帮律师给你们撑腰,只要我们相信做的事对国家有利,对中国网络安全事业有帮助,我认为我们就应该理直气壮。
最后,再次感谢白帽子们能够来我们公司,有机会可以来转一转,也感谢你们的辛勤付出。接下来我们会发布一项 IoT 安全守护计划,会把 360 的智能硬件免费提供给白帽子用,这是我刚才说的:未来智能硬件要么不出事,要出事也是大问题,所以我们会加大这方面的资金的投入,欢迎大家积极的继续向我们来发现问题。谢谢大家。
注:以上为演讲原文,雷锋网编辑整理。