从野蛮生长到今天，谈谈安全行业这些年的责任变化——谭晓生-安全客

i春秋互联网安全责任大会精彩回顾：https://www.anquanke.com/post/id/93774

浅黑科技按：1月13日，i春秋在北京办了个“互联网安全责任大会”，本以为这类大谈战略、责任的会都很虚没啥干货。不料几个大佬们一针见血地指出安全行业存在的一些问题，值得思考。我整理了奇虎360首席安全官谭晓生的演讲，在不更改原意的情况下进行了少数删改，经授权发布，希望带给大家一些对网络安全行业的认识和思考。

演讲 | 谭晓生

编辑 | 谢幺

人生总兜兜转转，有些事像上天注定。上世纪九十年代，我上大学时开始接触反病毒，中途有十几年都没搞安全，哪知 2010 年又被老周“扔”回安全团队，继续做这个事。一晃眼，我接管360这块业务又快 8年了，这期间，我也算是目睹了安全行业从野蛮生长到逐渐规范的过程。今天会议的主体是“互联网安全责任”，我们来聊聊“责任”这件事。

安全从业人员担负的职责发生了巨大变化

过去，个人信息安全不过是盗个QQ号，偷些资产，企业安全不过蒙受些经济损失；如今一个手机木马就搞个几十万，有的黑产甚至涉案上千万。企业的生产经营也越来越依赖互联网，一旦出现信息泄露，整个公司都可能要关门。甚至，网络安全如今已经能影响国家政权稳定，这些在以前根本不敢想。

正因如此，我们安全从业人员担负的职责才有了非常大的变化。以漏洞披露为例：以往，你可以出于个人兴趣报漏洞，如今还得追究你的漏洞报告是否负责任，因为（这个漏洞）可能影响非常非常之大。一年多之前，咱们圈子里有个著名的安全创业公司出了问题，吃了官司。那件事回过头来倒一倒，我所知道的情况是：一些境外不法分子拿他们披露的漏洞做坏事，产生了危害和不良影响。比如“反共黑客联盟”利用他们披露的漏洞，黑掉了一些政府、企业的网站。

大家知道，其实360 旗下也有一个与之竞争的产品叫“补天漏洞响应平台”，在那件事出之前的一年多时间里，我们和老齐一直在纠结一个问题：补天的漏洞细节到底要不要最终披露出来？这个决定真的非常非常艰难。披露漏洞细节可以吸引更多“白帽子”来平台提交漏洞，但我们最终决定不公开披露漏洞细节！

为什么会这么纠结

因为在那之前，不论是三大运营商还是一些国家机关都非常强势，你披露他们的漏洞？直接就跟你急！可不披露吧，他们又打死不改。有个安全人员跑来跟我说：“这也太操蛋了吧？！明明网站数据都能被拖走，我报给他们漏洞，他们却半年甚至一年都不响应！”这就像肉里扎了根刺，眼睁睁看着还拔不出来。难受。

更夸张的一次，某个部委在公安部和我们PK，他们直接扬言：“360敢报我们漏洞？把它给关了！” 当时我们面临的就是这么个情况。怎么办呢？那难道看见漏洞就不报了？当时大家用的办法是，漏洞还是要报，但同时告诉一些记者，媒体一披露，老百姓全都知道了，最后有漏洞的企业和政府机构经不住舆论压力，只能去把漏洞给修了。这就是所谓的“野蛮生长阶段”。那时法制还没跟上，人们的信息安全意识也相对薄弱，我们只能通过一些非常规手段去逼迫他们整改，大家都经历了这么个阶段。

但是，后来这事开始变化。网络安全事件一多，政府部门、企业也认识到了修复漏洞的必要性。2016年以来，几大运营商的漏洞修复率达到百分之百，报一个修一个。那么问题来了，这种情况下，发现漏洞后是不是还一定要把他们拉出来示众？当时我们评估之后认为，从漏洞修复的角度来说，已经不需要了。虽然披露漏洞细节仍有一个好处，就是刚才说的：能吸引白帽子到平台来学习挖漏洞技术。

当时我和老齐决定，宁可牺牲一部分对白帽子的吸引力，也做到更负责任。我们觉得如果漏洞只告诉其拥有方，而不透露给其他人，潜在危害就会小很多，就这么一个因素，让补天平台不再公开披露漏洞细节。当年那件事出时，我一度为自己感到庆幸，如果不是一年多之前做了那个决定，最后被抓人的可能不仅仅是对方了。为那件事我们还去公安部和有关部门解释了很多次，仔细讲明白这中间的流程是怎样的，以及我们永远都不会公开披露其中的的漏洞细节。

回过头来看，最早我们用“野蛮”的方法，通过媒体舆论来逼迫信息系统的拥有者修复漏洞，这件事是对的。在当时没有更好办法的情况下，我们那样做，是负责任的表现。但后来，不论是法律法规，还是整个环境都逼得这些单位已经有了漏洞修复意识时，不披露漏洞的细节，这是一种负责任的行为。

今天，当很多单位都有自己的SRC和漏洞奖励计划时，你通过SRC或相应平台去帮助它们提高安全水平，同时获得相应回报，这也是负责任。

接下来说说安全企业的责任

CNCERT 云晓春总工披露过一组数据：

在美国，信息安全预算占IT总预算的10%，在中国只有2%。

为什么这么少？前阵子我和某个大国企的CIO闲聊，他说的一句话值得诸位同僚思考，他说：“哎呀，我们现在遇到的问题是预算花不完！”—— 请注意！他们不是在安全上没预算，而是有预算却花不完，结果来年只能降预算。为什么出现这种情况？安全企业自己作的呀！每次一竞标，就开始拼命地杀低价格，这让安全行业一度进入低价竞标的恶性循环。

讲个故事：

某政府机构想做全年Web防护以及安全培训，预算200万。我的销售通过各种渠道打听到，这个标至少要竞到40万以下，我当时一听就觉得很难受：40万以下肯定是赔钱的，全套安全防护还外加培训，40万成本肯定没戏。然后他问我，最低多少能接受？我说：最低……33万吧，不能再低，不然就实在没意思了。

谁能料想，最后某个华东区的合作伙伴23万把项目拿走了。其实竞标价降到30万时，销售来找过我审批，我说打死也不能批了，丢不起这人，即便我们百分之百比对方更赔得起这钱，也不能带这个头，这件事对产业发展实在不利。一来会造成用户预算花不完，二来恶性低价竞争会导致用户得不到一个足够好的产品和服务，最终拉低整个行业水平。这件事一下子要改变起来很艰难，听说最近政府招标采购的相关规定有所改变，不一定要最低价中标了，希望能带来一些好转。

但是，我觉得咱们可以参照国内外其他行业，成立一些行业协会之类的，努力尝试去完成一个自我救赎，而不是仅仅依赖政府来帮我们。客户有预算花不完，我们又过得特别苦逼，最后还不能很好地帮用户解决问题，这是整个网络安全产业界需要共同解决的问题，大家需要共同承担责任。

还有一个责任是人才培养

我们经常遇到这种情况：客户买了一堆安全设备，结果像是买了一堆枪和炮，却没有人会操作。这其实是人的问题，我们过去一直说网络安全人才难培养，确实如此。对于研究型、攻击型的网络安全人才，一所大学每年能找到的恐怕只有个位数。但我们应该看到另一方面，网络安全除了研究型、攻击型人才之外，还需要大量防御型人才。

好比打仗，我们既需要特种兵，也需要普通士兵。前者往往完成手术刀式的特种作战任务，而后者每天操作各种网络安全设备、各种服务平台，结合实际情况来做好日常安全响应。我和永信至诚的蔡晶晶都相信第二种人可以批量培养。由此，360 在2017年年底时也成立了网络安全学院，我们会和永信至诚进行很多合作，和各大院校合作，批量培养网络安全防御型人才。

我们的目标是一年以万为单位培养防御型人才，这些人才最终会被安全公司吸纳一部分，也会输送一部分给咱们的用人单位。其实当你把它当成一种就业培训时，它的用人成本自然也会降下来。做防御并不一定非要找很多水平很高的黑客来。我刚开始管360信息安全时，用的是水平很高的安全人员在做，但这对于普通企业来说，这个成本可能难以承担。

填补网络安全人才缺口，是我们要承担的责任。不仅要把它当责任，还应该把网络安全教育做成一个能挣钱的生意，让它持续运行下去，形成一条产业，源源不断地输送人才，而不是要靠政府的补贴等等才能做下去。过去这些年，我和不少优秀的安全研究人员、黑客打过交道，这个群体里，思维偏执者还是比较多的。但我今天想说，我们正处在一个风云变化的时代。从一开始的野蛮生长，到今天已经有《网络安全法》等一系列法律的规制。

外部环境一直在变，我们安全从业人员也要随之发生一些转变，完成从野蛮生长到商业环境，再到国家安全责任背景之下的转化。我认为这非常重要，也是我们负责任的体现。谢谢！