网络安全行业人物专访
四川大学计算机网络与安全研究所所长李涛:民企也可争当信息安全“国家队”
◎每经实习记者 吴林静
网络安全行业的“小草”、“大树”之争正在上演,有企业争当年营收50亿元的龙头,有的希望做细分行业的尖兵。那么,行业里的“国家队”和“民营队”各自有什么优势?政策这根指挥棒该往哪儿指?
近日,四川大学计算机网络与安全研究所所长李涛在接受《每日经济新闻》记者(以下简称NBD)专访时表示,“国家队”是能够拿出代表国家实力、解决国家安全问题的队伍,而不是狭义指代国企、央企。在企业的定位上,李涛认为,龙头企业注重信誉,小企业在专业技术上突破,更适合彼此发展。
谈及网络安全的人才培养,李涛提出需要“规范化”,技术精英缺乏思想教育,培养出来的或许是“定时炸弹”。
信息安全产业薄弱
NBD:有统计显示,截至2014年底,在已经上市的几家安全公司中,未有出现市场占有率超过10%的企业。为什么会出现这样的格局?
李涛:我国的网络安全产业,包括一些上市公司,规模都不是很大。这是客观存在的问题,也反映出信息安全比较薄弱,需要大力培养高水平的信息安全队伍。最近,中央提出打造信息安全“国家队”,加强国家信息安全产业,通过国家队的帮助,带动信息安全产业的发展。
企业规模相对较小也有产业本身的原因。从国际上看,从事信息安全产业的公司,比如美国的赛门铁克规模也较小。
与我国类似,美国也有很多小的从事信息安全的公司,主要原因是信息安全用户的需求多样化。政府、企业、个人的需求都不同,用户的资金实力也导致需求不同,一个公司要想满足所有的安全产品需求很困难。信息安全是一个平衡问题,你越要安全种类就越多。
另外,不像IT行业其他领域有很成熟的模式,包括产品的研发、生产、销售到推广,信息安全行业还没有非常固定的模式。
NBD:您提到打造信息安全“国家队”,未来是否有“国家队”和“民营队”之分?
李涛:“国家队”的概念很容易让人误会,带“国”字头的是信息安全的“国家队”,这种理解很片面。
我们所说的信息安全“国家队”,是国家呼唤一批代表国家实力的一些公司,能够解决国家问题的信息安全队伍。就像体育比赛,国家队和省队、市队、县队的区别。从产品服务来看,更多是技术层面的区别。
中国电子产业集团、中国电子科技集团等很多央企都还处于争当信息安全“国家队”的阶段。这些企业在政策、资源、资本上有一定优势。但是,也不可以小视民企,它们的创新机制更加灵活,比如华为、阿里巴巴等。从某种意义上看,他们也代表了国家水平。
我认为,信息安全“国家队”不是狭义的国企、央企概念。现在国家的政策比较好,大家都可以去争当信息安全的“国家队”,提高国家信息安全的技术、产品和服务水平。
信息安全产品必须国产化
NBD:企业分层发展和全产业链布局,哪一种更适合未来的网络安全行业?
李涛:个人觉得信息安全市场现在比较混乱,未来5~10年会沉淀下来。有些公司可能会消失,有的会崛起。不过,现在对信息安全龙头企业的划分,没有定论。
这个与信息安全的特点有关。首先,要信誉好,别人才来请你来做安全防护。其次,这个市场具有排他性,中国的信息安全企业要进入白宫肯定不行,反之亦然。从某种意义上说,国内外企业在市场层面正面交锋的可能性越来越小,但保护国家安全的对抗会越来越激烈。
我认为,现在的需求过于广泛,中小企业应在自己擅长的方面做好研究。比如,在我国灾难备份方面,成都一家企业就做得非常有特色。
NBD:我国的网络安全行业是否需要政策先行?
李涛:国家政策在一些关键领域采取了行政干预方式,涉及国家部门、央企、银行、金融、证券、交通等领域。为了保障国家安全,信息安全行业的产品必须国产,即使投入大点也是值得的。通过政策引导,实现信息安全产品的国产化。
NBD:相比国际水平,我们在技术上还有一定差距,该如何解决?
李涛:实际上,最重要的是人才问题,现在信息安全人才还是比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议,一定要加大投入,否则会严重影响我国的信息安全。
NBD:一位“白帽子”黑客说国家对他们的身份认同存在尴尬,您如何看待网络安全人才培养?
李涛:怎样培养出真正对国家有用的人才非常重要,培养需要规范化。打个比方,训练军人不光是要求军事素质过硬,还要在政治思想上进行教育,否则训练出来的不一定是保卫国家的人才,可能变成“定时炸弹”。
李涛:最重要的是人才问题,现在信息安全人才比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议一定要加大投入,否则会严重影响我国的信息安全。
人物专访
“白帽子”黑客张瑞冬:互联网用户安全意识薄弱是最大风险
◎每经记者 丁舟洋
在信息安全领域中,所有研究智取计算机安全系统的人员统称黑客。但在黑客的世界里,又有“正”与“邪”两个阵营,分别是以破坏网络安全来获取个人利益的“黑帽子”和维护网络安全的“白帽子”。
22岁的张瑞冬创建的“白帽子”团队,长期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了张瑞冬团队在圈内的“牛人”地位。
近日,《每日经济新闻》记者(以下简称NBD)在成都专访了这名年轻的黑客。在张瑞冬看来,“白帽子”们最大的优势,就是通过模拟恶意黑客的攻击方法,监测网络系统的实际安全性,提前发现漏洞或缺陷,并进行必要的修补。
自学成才的“白帽子”
NBD:能谈谈您的“白帽子”成长史吗?
张瑞冬:我可能不是钻研程序和代码的“黑客男”,玩的更多是逻辑性的东西。13岁去银行取钱时,我发现ATM机的程序有一个逻辑漏洞,可以让人取钱以后银行卡的余额不改变。
比如,取1000元,我拿走其中9张留1张,90秒以后系统会显示超时并把这一张收回去,但系统在收回去的过程中是没有做点钞机制的,显示的余额没有减少。这就是典型的业务逻辑漏洞,后来我帮助银行解决了这个问题。
NBD:“白帽子”们往往非常年轻,而且大多都不是学计算机的,您怎么理解这一现象?
张瑞冬:的确如此,以我们团队为例,10多个人中,只有两人有大学以上学历,一个是生物学博士,一个是物理硕士。其余人基本是初中、高中学历,我自己只有初中文凭。据我了解,BAT的安全部门中有一半的技术人员都没有大学文凭。
我们这群人大多从小就对电脑网络感兴趣,通过阅读相关书籍和大量的实践与思考自学成才。高校里的网络安全培养方式理论性太强,而且往往是正向思维,缺乏用攻击思维来防守的实践课程。
NBD:您怎样理解黑客从事网络安全的特点?
张瑞冬:传统的安全产品,是用防御类设备对抗攻击设备,但毕竟设备的匹配规则是死的,攻击者可以绕过设备。所以,传统的设备已经拦不住攻击者。
我们这群“白帽子”黑客非常熟悉“黑帽子”的行为,可以完全模拟“黑帽子”的行为,找到脆弱点,然后提出一套完整的修补建议,漏洞修补后再测试。
用户安全意识差
NBD:人们一提到黑客就会联想到网络破坏,这种误解会对网络安全人才队伍的发展产生不利影响吗?
张瑞冬:公众对黑客的理解确实有些误解,黑客本身不是一个负面形象。在我看来,黑客就是对技术的极致追求,发现问题、质疑权威、充满好奇。我喜欢钻研逻辑问题,想刨根问底研究系统中有没有逻辑漏洞,这就是黑客思维。黑客这个称号是对技术的极大肯定,我非常乐意别人叫我黑客。
事实上,黑客群体中的网络安全高手辈出,高校里的培养方式实用性不够强。我们团队曾做过几次实践类型的安全培训,白天在乌云网上找一些漏洞案例来讲解,晚上带大家实战。但这些实战也不是真正去黑别人,我们写一套系统,导师带着学员学习攻击手段。
不过,后来这个课程被叫停了,理由是涉及“黑客教程”。所以,这是一个悖论,一方面国家的网络安全行业缺乏“白帽子”人才;另一方面黑客的社会身份又很尴尬。
NBD:我国接入互联网逾20年,网络安全与互联网发展的程度似乎并不匹配,您认为网络安全行业最薄弱的环节是什么?
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。我们经常处理一些应急事故,发现真正高难度入侵行为是很少的,导致事故频发的原因是,用户密码设置太简单或者是操作失误。
我曾帮一家上市公司做网站安全测试,他们的系统很安全,测了半天也没有找到问题。后来我发现该公司有内部交流的QQ群,点击加入,立马就把我放进去了。进去后,我发现群共享里有个文件夹,文件夹的名字叫公司各种系统密码。就这样简单,我轻易获得该公司系统密码。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。
