周鸿祎：中国缺乏网络攻击人才，没有矛怎么研究盾？

        “网络攻防必须要研究攻击技术，没有矛怎么研究盾？不了解很多新的攻击技术，研究的盾都是无效的。”9月25日，360公司董事长兼CEO周鸿祎接受了澎湃新闻（www.thepaper.cn）的采访。

        他指出，中国过去曾有顾虑：培养很多“撬锁”的人，万一流散出去怎么办？“最有利的方法就是让安全产业变得更加吸引人。”他表示，曾经确实因为挣不到钱，很多网络安全人员转向了黑色产业链，“他们也会有荣誉感和事业感”。

        

对话周鸿祎

        澎湃新闻：未来会有什么样的网络安全挑战？

        周鸿祎：将有越来越多的设备成为被黑客攻击的对象，同时个人隐私也将面临被越来越多的设备记录的局面。所有设备变成智能化，都接入网络以后，边界的概念将会进一步被削弱，也就是说接入点越多，可以被攻破的可能的入口就会越多。

        过去我们很奉行隔离、切断，我们可以把电脑放在一个屋子里，把网络进行隔离。但今天越来越多的不起眼设备都支持Wi-Fi和蓝牙，这里面有太多可以被别人攻击的点，而且攻击点越多，从防守来说我们的挑战就越大。

        最重要的一个挑战是用户隐私。在万物互联时代，每个人的数据只要用网络服务就会被传到云端，每个人会变得更加透明。法律法规的制定是落后的，在这种情况下如何保护个人隐私将是一个重大议题。

        澎湃新闻：目前的网络安全形势如何？

        周鸿祎：“互联网实时统计”（Internet Live Stats）数据显示，全球互联网网站数量已超过10.6亿，并且这个数字目前还在不断增加。互联网网民的数量也将在2014年底突破30亿大关。在互联网高速发展和日益普及的同时，各种新型的网络安全威胁和网络犯罪愈演愈烈，各大企业和顶级网站不断爆出被黑客攻击造成的信息泄露事件。

        来自中国互联网协会的统计显示，过去一年中国网民在网上的损失接近1500亿元，包括攻击网站、隐私泄露、虚假信息等等。

        澎湃新闻：安全人才变得非常抢手？

        周鸿祎：世界范围内，安全人才成了稀缺资源。据Burning Glass Technologies发布的报告，全球2007年以来信息安全招聘职位数量增长74%，是其他IT招聘职位增长速度的两倍。2013年全美共发布21万个信息安全招聘职位，占所有IT招聘职位的10%。薪酬待遇方面，信息安全专业人士的平均年薪比其他类别IT职业要高出1.5万美元。

        今年8月，拉斯维加斯举行了黑帽大会。包括美国国防部、国土安全部、国家航空航天局在内，多个美国联邦政府机构派“猎头”参会，大肆招募安全人才，而特斯拉等企业也在大会期间公开大肆招募黑客。

        澎湃新闻：中国的情况如何？

        周鸿祎：根据中国互联网络信息中心的最新统计，截至2014年6月中国网民规模达6.32亿，其中手机网民规模5.27亿，互联网普及率达到46.9%。

        2012年，中国对信息安全人才的需求量已达50多万人，当时中国信息安全专业人才仅约4万人，中国今后5年社会对信息安全的人才需要量每年约增加2万人左右。而每年中国信息安全专业毕业生不足1万人，社会培训学员数量也不足1万人。

        目前，中国网络安全人才正处在一个起步过程，网络安全人才的缺口会继续拉大，传统的安全人才培养模式需要创新。

        巨大缺口与人才需求导致信息安全人才身价倍增。一些信息安全专业毕业生的平均起薪甚至达到了1万元。目前已有大量国内顶级企业提出了具体用人需求，如支付宝开出百万年薪来招聘高层次信息安全人才。        

        澎湃新闻：中国需要培养网络攻击人才吗？

        周鸿祎：安全行业，不是买了安全设备安装了就高枕无忧了，一定是碰到很多异常的情况，要有很多安全专家来分析和研究。中国过去有这种顾虑，培养了很多“撬锁”的人，这些人万一都流散出去怎么办？

        美国已经有网络部队了，中国到目前为止还没有，这方面的人才其实是比较缺乏的。我希望与大学合作举行网络攻防大赛，但一直不顺利，大家可能都有顾虑，网络攻防必须要研究攻击技术，没有矛怎么研究盾？不了解很多新的攻击技术，研究的盾都是无效的。        

        澎湃新闻：还是那个老问题，万一“撬锁”的人流散出去怎么办？

        周鸿祎：对这样的人才怎样管控，最有利的方法就是让安全产业变得更加吸引人。过去安全产业挣不到钱。

        当时中国正版安全软件的普及率太低，企业又觉得网络安全不是刚需，而是觉得是上级要求的。中国的硬件比例很高，企业觉得买个东西很实在，实际上硬件的利润比较低，服务是最好的，但他不买服务。

        这样导致中国大量的安全人才呈现三个流向。

        一是到美国，美国最顶级的安全公司里主要的工程师都是中国人，我到硅谷见过很多这样的人。

        第二个流向，还有很多安全人员做安全不赚钱，都去做游戏了，因为做游戏赚钱。但随着中国从上到下对网络安全的重视，我觉得今天的网络产业就像十年前的电商一样，今天马云很牛，大家都崇拜他，但十年前、十五年前有人觉得电商是个大东西吗？一定看不上。今天大家觉得电商已经改变了中国的生活方式，再过十年安全会变得越来越重要。当安全产业开始起飞的时候，很多从业人员会从其他行业回流。

        最后一个流向，确实因为过去挣不到钱，有很多安全行业的从业人员是灰道上的，介于黑白之间，也有很多人转向了黑色产业链。

        安全产业能够更好的发展，安全从业人员能够像传统互联网公司那样有更好的收入，同时受人尊重。很多安全人员也不是生下来就要干坏事，他们也会有荣誉感和事业感，这对整个中国的安全产业是有好处的，这是不能控制，只能引导的。

        澎湃新闻：国际上有什么培养网络安全人才的好经验吗？

        周鸿祎：以色列认为，以后国与国的战争，传统战争只是一方面，以后在网络空间的战斗会变得更多。所以，要求所有的年轻人学习网络安全知识和技术。

        还有美国信息安全大会上的安全培训极受追捧。Wickr创始人尼克•赛尔（Nico Sell）在每年拉斯维加斯的Decfon黑客大会上专门面向8-16岁的孩子传授合法黑客和网络安全课程。参与课程人数每年以50%的速度增加。

        我觉得我们的大学绝对应该多发掘有兴趣的人，这和学历背景关系不大。只是有了这样的学习经历，有很多非科班的人，甚至还有些初高中毕业的人，天天琢磨这样的东西。我们公司有很多这样的人，有不少人没有学历，就喜欢自学。

        澎湃新闻：对保障个人自己隐私安全，你有什么建议？

        周鸿祎：尽量少用手机。比如说不用微信。先进、方便和安全是矛盾的。

        我也希望大家不要去蹭免费网络，因为有很多假的免费网络。

        我还提倡照片上传前先加密。比如，好莱坞最近第三批艳照出来了，主要有两个问题：第一，爱自拍裸照；第二，苹果手机都传到icolud，很多人用的密码还很弱，1234567等等，这种弱密码就会被解密。