雷鋒網按:今天(2月23日),360董事長周鴻祎在360安全應急響應中心的三周年慶典活動上,表達了自己對白帽子黑客的态度以及未來網絡安全人才引導的思路。他呼籲企業給予善意的白帽子支援和了解的态度,呼籲政府出台政策對白帽子這類安全人才進行保護和鼓勵。
他認為,由于網際網路的迅速普及及正規教育的遲滞,導緻在過去十幾年從事網絡安全的人沒有得到好的引導,容易一旦受經濟誘惑進入地下黑産,造成極大的破壞。是以應該鼓勵并引導這些有技術能力的人才走上正途,而不是利用發現的漏洞從事違法活動。
以下是周鴻祎演講全文,雷鋒網(公衆号:雷鋒網)整理釋出:
各位大俠(指現場的白帽子)大家好,主持人上來把我的出場講得特别隆重,但來這個會是應該的,因為安全是360的核心命脈,也是我們最重要的使命,是以安全的事一定是我們公司最重要的事。所有我們今天來的人,除了有我們公司的一些管理層之外,也有我們公司很多的安全的人員,也有外面來的白帽子夥伴。
今天,我有幾點要和大家分享:
第一,今天我們的行業才真正開始了一個春天。
這幾年習總書記多次講,沒有網絡安全就沒有國家安全,包括前幾天國家安全的會議上又以很大的篇幅提到了網絡安全,是以未來網絡安全會越來越被國家所重視。
這次在美國總統大選,希拉裡就因為不重視網絡安全,導緻最後總統都沒有當上。是以,我講網絡安全到 2017 年真正進入了新的時代。
原來我有兩個預言,最近感覺都發生了。
過去我們提及手機安全,大家都說“不就是發個詐騙短信嗎?我又不傻我又不笨,不就是接個詐騙電話嗎,沒準我還能調戲騙子兩句”。但實際上,我們現在發現有高智商高科技的幫派,通過研究各家網際網路公司的漏洞,營運商的漏洞和手機作業系統的漏洞能夠成功的滲透到你的手機,一旦滲透了手機之後,就不那麼簡單了。
我原來講過一句話,有人說手機是什麼?一方面手機是人們新長出來的器官,一刻都離不開。手機以後不是你的錢包,你丢錢包沒有啥,不就是幾張信用卡和一點人民币。而手機和你的金融理财、銀行帳号都結合在一起,這要出現問題就是你的全副身家。是以在這個安全上絕對會出大事故和大事件,可能比山東那個孩子上當(徐玉玉遭網絡詐騙事件)還要大的事件。這說明安全給我們提出了新的嚴峻的形勢和新的命題。
我們講iot是巨大的機會,有各種叫法,無論是智能家居、可穿戴、智慧城市還是工業網際網路、物聯網最後都是一個意思,就是通過這種iot裝置和協定,把實體世界和現實世界打通。這帶來的問題:以後的威脅不簡單是數字的威脅,而是可以把這種傷害從數字世界變成實體世界的傷害,而且是雙向的。
大家都知道最近自行車很流行,大家都去掃碼,我相信很多碼以後被人塗抹成惡意的碼,你一掃就付錢了。前一段在有關國家強力部門的監督下,包括一些網絡安全公司、一些黑客大拿在國家的有序監管下做了一些演習,學習美國的網絡風暴。
現在你和很多人講網絡安全有多重要,他們沒有親身的感受。但當一些重要的,注意,不是網絡基礎設施,而是社會和國家的基礎設施,比如說機場、交通樞紐、電站、核電場被攻擊控制後,讓很多人真正意識到未來網絡安全已經不僅僅是虛拟空間的争奪。未來說白了,每個大的國企甚至社會的基礎設施都要有大量的網絡安全人才的保衛,要不然的話這種網絡攻擊的後果将會是非常嚴重的。
是以,我一直跟我們内部團隊在講,我們360雖然是做了十年的網絡安全,但其實還有很大的空間需要研究和創新。
可能有的人覺得網絡安全不就是免費殺毒嗎?網絡安全不就是手機衛士嗎?網絡安全不就是清理嗎?其實不是,這些了解都已經過去了。我覺得網絡安全随着人類科技的發達和人類懶惰程度的增加,網絡安全的問題會越來越嚴峻。當然這也給所有在座的諸位(白帽子)和所有在安全行業内的從業人員提出了挑戰,同時創造了巨大的機會。
下一個五年,安全的遊戲規則會變,安全的形勢會變,安全會和整個社會的發展、國家的命運、很多企業的這種前途緊密地聯系在一起。是以,我們很有幸,大家遇上了一個大發展的年代。因為一個人無論多麼有才華,有的時候命運、命運,命再好還要有運氣,還要能碰上一個時代給你機會。是以,我也很高興今天有這麼多人。
第二,我想講一下白帽子的重要意義。
我不知道你們很多人對自己的價值是怎樣定義的,有人說是腳本小子,有人可能是研究底層很深入,有的人對安全的道理研究的很深。大家就覺得說,為什麼白帽子很重要?我就講網絡安全,在過去的兩年裡,我們甚至給總書記都寫過幾次,得到了總書記的批複。
我們提出一個觀點,今天的中國是網絡大國,但要像上司人期望的那樣變成一個網絡強國,我們還不是。要變成網絡強國的最重要的基礎,是你在網絡安全上要變成一個技術強大的國家。但我們目前特别是和美國、和同行比,我們最缺乏的是網絡安全的人才,是以網絡安全裡最最重要的是人才。
但網絡安全這個行業的人才又有它的特殊性,因為大家提起黑客,你到社會上做個調查,浮現在人們腦海中的都是電影裡的那些怪咖,極客、不修邊幅,長相奇特,頭發很長,像mj(世界著名黑客, 360vulcan 的負責任)似的。
總書記在 4.19 講話裡專門提出了對人才要不拘一格,要容忍人才的缺點,這裡面講的人才主要是針對我們網絡安全的人才。因為我們網絡安全的人才,很多人不是科班出身,不是正規學曆。有的人正規學網絡安全的對這個不感興趣,可能隻是獲得個學曆而已。我們很多人非這個專業,但他熱愛網絡安全,喜歡琢磨,喜歡打破沙鍋問到底,很有進取心,是以很多人反而是以成了人才。
這些人才很偏,他們在某些方面有優異的才華,對這種人才我們不能以偏概全,我們如果要求他們五講四美三熱愛,不随地吐痰,講究個人衛生……我沒有任何影射的意思。其實是不對的。其實我們已經成功給國家上司人,在我們的報告裡多次講到,對這樣的人才要看到他們的長處,要容其所短,發揮其所長,不要求全責備。
這些方面,我們也得到了國家的支援,特别是我們建立一些國家級的網絡安全學院和網絡安全實驗室,但這都需要時間。即使有了這樣的結構,我依然相信網絡安全需要有靈感、有天賦、願意為之奮鬥的這些奇才、怪才。我經常說有能力的人都會有點怪,一個人什麼都不怪,他就是普通人。世界上大多數人都是普通人,我相信我們白帽子不是普通人,就像很多人覺得老周我很怪一樣,我肯定也不太正常,你要正常就是你是一個平庸的人,是以mj看着很怪異,大家要見怪不怪。
你們未來,其實不是今天大家發掘點漏洞發現點問題,未來你們對中國整個國家網絡安全的戰略,甚至對中國國家網絡安全人才的培養的意義都非常大。
我上次去高校,在西電去給大學生們做講演,我說咱們不說大的理想,就說找工作容易,未來網絡安全找工作肯定比其他專業都容易。未來網絡安全的人才肯定比普通的工程師、普通的程式員身價要更高。他們還不相信。
我說未來網絡安全行業會發展成什麼樣?我就說了一個例子,比如我們提起三峽集團大家都知道吧,三峽集團可能有一些it技術人員和it支援人員,但未來三峽集團及類似的這種國企就要組建它自己的網絡安全保衛團隊。因為将來敵對勢力都不考慮是弄個飛彈炸三峽,一定是滲透到網絡裡,是以這種威脅比一個炸彈和飛彈還更有威脅。是以中國今天所有的機場、交通樞紐、社會基礎設施、變電站、核電場這些地方都需要網絡安全,靠一家360就能保證他們的安全?靠一兩家公司根本不行,靠一兩家公司賣幾台防火牆和路由器也不行,今天的網絡安全全部是人和人的攻防,全部是技術和技術的對抗。是以,網絡安全人才,從全世界到中國都有巨大的空間和巨大的缺口。未來各位的好日子才剛剛開始,這個行業未來五年和十年會有巨大的蓬勃發展。
我們很多人很苦逼的幹安全這麼多年,我們老覺得我們不被旁人所了解,可能老婆不了解,家人不了解,但是我告訴大家,我非常了解,而且我們這幾年也成功的讓國家也非常了解,我認為網絡安全的風口就要來了,請各位準備好翅膀。
為什麼給大家起白帽子這個名字?我特别希望說,任何一個行業要愛惜自己行業的名聲,我們不僅要做掙錢的事,做有前途的事,還要做受社會公衆尊敬的行業。
曾幾何時,國内的網絡安全行業不好,很多安全公司一年就幾億的收入,市值也不高,整個安全行業原來的規模和格局都很小,從來都不是風口裡的豬,熱門的送便當也比網絡安全聽起來更性感,大家都願意穿着某某外賣的衣服滿世界亂跑,我也覺得很郁悶,我覺得送外賣有價值,賣電影票也有價值,但和網絡安全比我們是不是應該逼格更高一點。
但原來缺乏這種環境,我們網絡安全的行業是比較灰色的地帶,正邪一線,你掌握了網絡安全的技術,正可以成為國家的技術,邪成為了一種兇器,正邪全在一念之中。是以有幾年很多人打着黑客之名義,做這樣一些動作。是以,慢慢把黑變成了真黑了,黑客變成了一種負面詞。
曾幾何時,我認為黑客是一種很酷的概念,黑是很酷的顔色。我們很多人第一次看黑客帝國的時候,當時覺得黑客很酷。但後來黑客的名譽被一小撮人給弄壞了,現在我們需要給黑客正名。這幾年我們通過做白帽子這件事,等于引導很多黑客大家來通過自己的技術,站着就把錢掙了,做的是正當的事情,做的是響當當陽光下的事情,是以我們起了個名字叫做白帽子。
這幾年我們還是做了一些貢獻的。提起360原來有一些傳統安全公司很不恥,你們去很多傳統安全公司,他們會說周鴻祎把我們的飯碗砸了,鍋都砸了,搞的安全公司不掙錢了,還挖了我們很多人。但通過360像鲶魚在這個行業裡,你不覺得網絡安全的薪酬提高了十倍嗎?有一些巨頭,不管當時他們的重要性是因為遏制360還是打壓360,所有的網際網路公司都意識到安全很重要,包括bat也在安全上有很多的投資,整個中國網絡安全産業獲得了幾十倍的增長,是以大家對網絡安全人才的這種稀缺性也不一樣了。
為什麼很多挖漏洞的人才的薪酬炒得很高,沒有360也走不到現在。大家做這個行業不是說隻是為了掙錢,但如果你連錢都掙不到,都養活不了老婆孩子肯定有人就不得不做一些灰色的事情。是以我們不給大家講大道理,這幾年通過360的競争和推動,我們讓整個産業的整個餅都做大了,包括一些傳統的網絡安全公司,他們現在也才意識到,隻有把整個産業和整個餅做大,讓所有的從業人員都在裡面獲得了比較好的回報,無論是工資還是資本的回報,我覺得這個行業才能吸引更多有才華、優秀的年輕人來加入,這個行業才有前途。
通過這幾年我們也吸引了很多海外的中國人,像當年的平底鍋和火眼,美國有一些最時髦的安全公司裡,很多的核心人員都是中國人。原來大家如果去美國公司任職,我也了解。你在中國一個月拿8000元,到那裡一個月拿一萬美金,當然大家會做選擇。但現在我們把國内的整個的創業環境,包括我們也投資了一些網絡安全的創業公司,我們整個提供了這樣的環境之後,也使得甚至國外的一些優秀的華人他們回國創業。包括我們有幾個國外的教授,大學裡的專家,他們也回來加入了360的團隊,所有的這些信号都證明了中國未來将是網絡安全最大的市場,也有最大的機會,是以我們也在吸引各方面的人才回流。
但是也有很多網絡安全人才确實有一定的獨立性,不願意加入某家安全公司,他願意保持獨立的這種特立獨行的風格。這幾年我們的項目,最早的一個名字很難聽,叫做“庫帶計劃”,我很有意見,覺得這個庫帶聽起來很庸俗,現在改了名字叫做“補天”,聽起來就比較高大上了。這幾年我們通過這個計劃,通過項目獎金的形式,鼓勵很多人才成為白帽子,挖掘漏洞,我們願意出錢獎勵購買漏洞,我們再無償把這些漏洞提供給國家和機關,讓他們堵住漏洞。你們都隻有漏洞的意義,漏洞對一個國家的戰略意義非常巨大。
另外我們自己也在懸賞白帽子送出360産品的漏洞。原來我不關心這方面預算,我們是2012年做出漏洞響應平台,是中國第一家給漏洞提供現金獎勵的企業,2013年360src正式上線,去年我們給白帽子竟然發了上百萬的獎金,這對于360來說可以表現出360在網絡安全上做事情的這種誠意。
我希望各位白帽子既不用驕傲自大,也不用妄自菲薄,我們現在僅僅做的是一個開始,我希望有越來越多的白帽子可以加入進來。關于網絡漏洞我要多說一點,網絡漏洞現在國家對它的意義還沒有完全認識,我們很多人還熱衷于帶着一個漏洞去參加國外的比賽,最後得到國外的一些獎勵。但是平心而論,你知道前一段美國的網絡武器庫失竊了,有人偷出來在網上叫賣價值7億美金的比特币,大家都不相信,後來測試下載下傳了發現那個東西挺牛,用它可以控制骨幹網的路由器,你都不知道美國人的網絡武器庫藏了什麼樣的武器,其實所有的武器背後都是一個漏洞。真正想一想我們國家的網絡武器庫裡,什麼時候也有這樣牛逼的漏洞和武器,你擁有這種技術在網絡安全方面才能夠形成一種制衡或者平衡,這方面真的是任重道遠。
未來在挖掘漏洞這方面,我相信我們也會極力的鼓吹,讓國家,不光是360一家,讓國家投入更多的資源,認可到漏洞的價值,讓他們給更多的政策的支援,把大家的積極性調動起來,才能将來在國家的網絡安全戰略上,在漏洞方面不比其他國家遜色。我們不會主動的發起攻擊,但如果你什麼漏洞都不掌握,我們的網絡被别人攻擊的時候已經變成了千瘡百孔的漁網,這肯定不行。我們src開這個會,我覺得這都起到了示範的作用,我們要盡更大的力量把白帽子這件事做好。
但還有一個問題,現在大家對白帽子的了解不一樣:我們是強烈的支援,但有些部門和個人對白帽子是非常的排斥。
在去年出了一些事情後,我們也在積極的跟國家有關部門在做溝通,在做這種資訊的交流。包括我本人在九三學社,也通過這種進言的機會,在強調希望國家對白帽子這件事給予支援。很多人當白帽子,他們要做漏洞的檢測,一定要做模拟的攻擊。這種模拟攻擊對被攻擊的機關來說,如果在沒有溝通的情況下,很難區分是真實的攻擊還是隻是一種檢測。這導緻有的人認為白帽子是否在借機攻擊我的機關。
中國很多機關有漏洞,當你發現了漏洞以後,他沒有一個正常的心态覺得謝謝你替我發現了漏洞,而是漏洞被你發現了,他會覺得很丢人,他反而會送出一些證據,給我們的白帽子帶來一些麻煩。說白了我們也覺得這都是一些不可避免的事,今天我們不願意看到,但它是一個現狀。是以我們希望通過360和白帽子的合作,我們真正會把我們做出的成績,我們會和一些部門堅持做溝通,相信在今年,随着上司人對網絡安全這麼重視,他們也越來越意識到網絡漏洞的重要,過去對白帽子的這種不了解,在今年國家會出台相應的政策。包括在輿論上,我們也要共同的發出一定的聲音,我覺得來讓整個社會、整個國家更好的了解我們白帽子。
我們也希望要了解國家的一些做法,讓白帽子的一些測試和模拟攻擊能夠在一種更有序的組織下,能夠讓國家覺得是在它的監管下而不至于失控,包括和很多機關的提前溝通。我覺得隻要把這些規則創造好,會給我們白帽子創造更大的空間。
我給大家可以說一個簡單的道理。360在做騷擾電話攔截的時候,我們就有一個理念叫做“打一場人民戰争”,靠360一家怎樣能夠把那麼多的騷擾詐騙電話辨認出來呢?那是不可能的,是以我為人人,人人為我,每個人接到詐騙電話的時候标記一下,我們就能讓受害者迅速的減少。是以我們不斷的把這個理念在和高層做溝通。
可以注意到,國家網信辦在武漢搞了一個網絡安全周,這次網絡安全周的口号叫做“網絡安全為人民”,第一句話很正常,第二句話叫做“網絡安全靠人民”。我不知道這句話誰寫的,我覺得這和360的理念非常的接近,非常的一緻。我說是網信辦哪位秀才想了這個詞,這是360的理念,網信辦的人說,你别亂說,這是我們總書記親自定的。
是以,在這次國家管委的安全會議裡,我從公開報道裡看好像也提到了做好國家安全也要依靠人民。人民是誰,就是你和我,就是我們大家。國家也意識到未來網絡安全這麼嚴峻,如果僅僅是靠幾個專家學者,少數幾個國家隊是解決不了安全的問題,政府要扮演一個重要的協作、指揮、上司者的角色,把我們這些民間的高手、把我們這些民間的企業、把所有的這些力量調動起來,大家一起會聚成一種洪荒之力,才能真正的解決中國的網絡安全問題。
盡管在過去的兩年裡,我們有一些白帽子蒙受了一些委屈,甚至有人蒙受了一些冤屈,我覺得這都是發展之路上的一些小波折。
說起來1993年、1994年的時候,那時候你們 (在座的白帽子)都出生了嗎?有一半人可能沒有出生的。我上研究所學生的時候,我和譚曉生比較早的研究反病毒的,研究反病毒就要研究病毒,就要讀病毒的源代碼。當時一度警察局出了通知,未經許可不需研究病毒技術。我還因為這個被我們學校的公安處審了好幾天,這都是多少年前的陳年往事了,但最近今年你回過頭來看,這種規定多麼可笑?
我再說一個例子,過去我們在大學裡,我們想搞網絡攻防大賽,對你再熱情的大學的老師一聽說搞網絡攻防大賽都不幹,怕承擔責任。我們有計算機軟體專業、硬體專業、資訊工程專業、現在電商專業都有了,你就問問有沒有網絡安全專業和網絡攻防專業?對不起,沒有,大家都覺得教會了學生這種撬門開鎖的技術,學生出去了到底幹什麼不好說,沒準老師還要承擔責任。老師就說,老周我們帶團隊怎麼實習啊?那時候也沒有靶場技術,真的有所學校,他們就演練了一把,攻防了他們附近一家營運商還是銀行的伺服器,公安真的上門了。這些都是存在的情況。
但我告訴大家一件事,在前年的時候,我通過九三學社和網信辦給中央上了兩封信,就談到了這個問題,不能因噎廢食,中國必須要對網絡安全人才的培養,你可以把網絡安全人才作為特殊人才有一定的管理,同時創造更好的環境,但絕對要在中國的所有的高校中要開始光明正大的培養網絡安全人才。我們沒有想到這一份報告很快得到了總書記的批示,教育部、工信部和科技部聯合開會把我們也找過去發言,很快在前年年底的時候各個高校,就準許把網絡安全和攻防作為和計算機軟硬體平級的一級學科,可以設立碩士和博士點。沒想到今年總書記又下檔案說,要建立國家級的這種網絡學院,中央網信辦就讓我們先嘗試合作,在武漢建立攻防實驗室。是以可以看到今天的環境變了,上司人對網絡的安全無比的重視。
我通過這兩個例子,大家可以看到,今天的網絡安全必須要依靠集體的力量,智慧的力量。網際網路最牛的是網聚人的力量,中國别的不多,就是人多。我們憑借着人多成為了網際網路大國,我們也成為了世界上最大的網際網路市場,我相信我們有這麼多年輕優秀的聰明人,将來在網絡安全方面一定會有很多卧虎藏龍之才湧現出來。是以今天白帽子遇到一點波折,我真的覺得大家不要往心裡去,360在這件事上和你們的立場是高度一緻的,我們會不斷的利用我們的影響力搖旗呐喊,包括通過和你們的合作,我們會讓各級上司人認識到白帽子對我們國家的重要的戰略意義。
是以我希望白帽子和360,有什麼困難和問題大家可以多來溝通,包括你們在一線遇到什麼障礙,我們都可以來幫你們解決。今天我們也把法律部門的負責人找來了,我們會給你們提供支援,你們背後有一大幫律師給你們撐腰,隻要我們相信做的事對國家有利,對中國網絡安全事業有幫助,我認為我們就應該理直氣壯。
最後,再次感謝白帽子們能夠來我們公司,有機會可以來轉一轉,也感謝你們的辛勤付出。接下來我們會釋出一項iot安全守護計劃,會把360的智能硬體免費提供給白帽子用,這是我剛才說的:未來智能硬體要麼不出事,要出事也是大問題,是以我們會加大這方面的資金的投入,歡迎大家積極的繼續向我們來發現問題。謝謝大家。