騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸5月19日在“今朝安全眾測(cè)平臺(tái)”啟動(dòng)運(yùn)行發(fā)布會(huì)上發(fā)表演講。

人們對(duì)信息技術(shù)、網(wǎng)絡(luò)空間的認(rèn)知，經(jīng)歷了幾個(gè)不同的階段。計(jì)算機(jī)、網(wǎng)絡(luò)剛誕生的時(shí)候，大家覺(jué)得計(jì)算機(jī)和網(wǎng)絡(luò)就是一個(gè)工具， 和人類歷史上發(fā)明的那些工具一樣。后來(lái)，隨著信息技術(shù)的不斷發(fā)展，在各行各業(yè)的應(yīng)用不斷加深，人們意識(shí)到這個(gè)工具和以前的那些機(jī)床、錘子、鉗子不太一樣。雖然信息系統(tǒng)本身只是工具，但是里面的數(shù)據(jù)卻是資產(chǎn)。人們還意識(shí)到了網(wǎng)絡(luò)空間可以和物理空間互動(dòng)，可以對(duì)物理空間造成影響。再后來(lái)，人們意識(shí)到網(wǎng)絡(luò)空間會(huì)成為人類生活乃至生存的空間，會(huì)和物理空間融為一體，不可分離；意識(shí)到網(wǎng)絡(luò)空間里的疆界也是國(guó)家疆界的一部分。

　　對(duì)網(wǎng)絡(luò)、信息技術(shù)有了這樣一個(gè)認(rèn)知之后，人們終于明白網(wǎng)絡(luò)安全問(wèn)題也會(huì)變成社會(huì)安全問(wèn)題，甚至是國(guó)家安全問(wèn)題。前段時(shí)間就有一個(gè)非常典型的案例：美國(guó)一家天然氣管道運(yùn)營(yíng)商由于受到網(wǎng)絡(luò)攻擊，停止運(yùn)營(yíng)了兩天。也就是說(shuō)，因?yàn)榫W(wǎng)絡(luò)安全的問(wèn)題，導(dǎo)致了一個(gè)國(guó)家的基礎(chǔ)設(shè)施停運(yùn)兩天。

　　信息產(chǎn)業(yè)界對(duì)網(wǎng)絡(luò)安全的認(rèn)知也有漸進(jìn)的幾個(gè)階段。20多年前，信息產(chǎn)業(yè)界對(duì)網(wǎng)絡(luò)安全處于一個(gè)建立認(rèn)知的階段。這個(gè)階段大家還在逐漸去理解網(wǎng)絡(luò)安全是什么，意味著什么。當(dāng)時(shí)一些企業(yè)的認(rèn)知還是“被入侵了大不了重裝系統(tǒng)”。但后來(lái)，企業(yè)逐漸開(kāi)始重視并嘗試解決網(wǎng)絡(luò)安全問(wèn)題，開(kāi)始從技術(shù)、管理上探索，希望通過(guò)安全技術(shù)、安全流程，從內(nèi)部去解決安全問(wèn)題。這個(gè)階段很有成效，出現(xiàn)了很多新的安全技術(shù)和安全管理手段。到了第三個(gè)階段，企業(yè)在使用了各種安全技術(shù)和管理手段之后，終于發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題不只是技術(shù)和管理的問(wèn)題，它還是一個(gè)生態(tài)的問(wèn)題。這個(gè)生態(tài)包括技術(shù)的生態(tài)和人的生態(tài)。技術(shù)生態(tài)是什么？是很多企業(yè)發(fā)現(xiàn)，即使把自身的安全能力做得很強(qiáng)也還是不夠，因?yàn)殡S著信息產(chǎn)業(yè)的發(fā)展，多數(shù)產(chǎn)品都不再是獨(dú)立的。系統(tǒng)中要用到別人的組件、別人的產(chǎn)品、別人的代碼，這里都可能會(huì)有安全漏洞。人的生態(tài)是什么？就是企業(yè)如果僅僅依靠自己內(nèi)部的力量，再怎么強(qiáng)也是不夠的，也很難把安全做好，還需要和安全社區(qū)有良好的互動(dòng)，引入外部視角，建立行業(yè)協(xié)同，避免“燈下黑”。

　　眾測(cè)這種模式是整個(gè)行業(yè)探索了幾十年之后，摸索出來(lái)的一種通過(guò)生態(tài)的方式來(lái)解決網(wǎng)絡(luò)安全問(wèn)題的有效補(bǔ)充手段。它可以補(bǔ)充企業(yè)內(nèi)部技術(shù)和管理手段的一些不足。

　　在一個(gè)企業(yè)內(nèi)部，不同角色、崗位和個(gè)體之間的認(rèn)識(shí)是有差異的。網(wǎng)絡(luò)安全是一個(gè)高度專業(yè)性的工作，非從業(yè)人員很難理解這個(gè)工作，就像病人無(wú)法理解醫(yī)生為什么要開(kāi)那么多化驗(yàn)單。同時(shí)，和企業(yè)的其它投入相比，網(wǎng)絡(luò)安全是純粹的成本投入，不創(chuàng)造利潤(rùn)。網(wǎng)絡(luò)安全投入的價(jià)值在于可能挽回高額的損失。但是，如果網(wǎng)絡(luò)安全工作做得特別好，長(zhǎng)期不出事，反而容易讓決策者錯(cuò)誤地認(rèn)為網(wǎng)絡(luò)安全工作不困難，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不大。這就是“上醫(yī)治未病”和“善戰(zhàn)者無(wú)赫赫之功”之間的矛盾。所以，眾測(cè)這種模式，除了能夠切實(shí)幫助產(chǎn)品和業(yè)務(wù)去發(fā)現(xiàn)一些問(wèn)題，還有技術(shù)之外的意義，就是起到“牛虻”的作用，起到一個(gè)警醒的作用，幫助整個(gè)企業(yè)建立對(duì)安全的認(rèn)知。

　　我們知道漏洞是動(dòng)態(tài)變化的，是長(zhǎng)期存在的，是挖不完的，所以眾測(cè)也需要是一個(gè)長(zhǎng)期的、持續(xù)性的工作?！敖癯踩姕y(cè)平臺(tái)”這樣一個(gè)國(guó)家級(jí)眾測(cè)平臺(tái)的建立，對(duì)中國(guó)的網(wǎng)絡(luò)安全建設(shè)是非常有意義的事情。作為一個(gè)在網(wǎng)絡(luò)安全領(lǐng)域工作了20年的老兵，我在這里也號(hào)召中國(guó)的網(wǎng)絡(luò)安全研究者們積極地加入到這個(gè)眾測(cè)平臺(tái)里來(lái)，為我國(guó)網(wǎng)絡(luò)安全事業(yè)做出貢獻(xiàn)。希望大家在幾十年之后，到退休的時(shí)候，回首自己的職業(yè)生涯，能有一些值得驕傲的事情，可以和子孫們聊一聊。