CSDN&《程序员》杂志总编刘江：信息安全意识不足是安全事件频繁的主要原因

5月24日，首届中国网络安全提速论坛在中关村软件园召开。本次论坛主题为“如何建立安全人才快速培养机制？”，来自百度、CSDN、卡饭论坛、IDF威慑防御实验室等多位专家围绕该议题展开深入探讨。

CSDN&《程序员》杂志总编刘江

CSDN&《程序员》杂志总编刘江表示近年来重大安全事件频发，而导致这些安全漏洞的多是一些低级问题。目前我国在互联网安全上存在较多问题，这主要由两方面原因造成。一是我国在信息安全人才培养上仍很滞后。相关专业的毕业生缺乏攻防实践，进入企业后还需很长的培训过程。二是大多企业对信息安全的重视不够。

以下为演讲实录：

刘江：我对安全其实比较外行，跟安全比较相关的事情是曾经参与翻译过叫《黑客大曝光》的某一个版本，大家搞安全的可能知道这本书，是比较早期的比较权威的一本黑客的书。

此外，我们CSDN当然有这方面的内容，但是说实话，卡饭你们可能比较关注，所以安全内容我们并没有特别重视，这也是我觉得跟当前整个安全现状是有关系的。

近年来安全事件频发

我这个列表，刚才郑全战也讲了，最近事很多，我随便截取了，我们可能也有报道比较重大的安全事件，这个现状大家可能也都知道一点，我截取的还是今年的，基本上每个月都有一次甚至两次非常大的事故。包括今年小米、Ebay等等，都是社会影响非常大的，再往下排，到了2011年底我们CSDN也出了600万用户信息泄漏事件，从那时候对辄几百万，甚至像SSL这种安全界有人说它是核弹级的，因为它名字叫“心脏流血”，整个系统里面确实有一些跟心脏中枢有关系。

今年1月至5月份的安全事故，我们从网络安全事故这么一个组合，从上往下讲，各层都出了问题，大家也会发挥，无论是应用层，像Struts是应用层，携程是自己安全管理上的一个问题，DNS包括SSL，其实属于基础设施层面的，小米其实是应用层，原因是因为他使用的第三方的论坛程序有漏洞，Ebay我还没看什么原因，就是这两天报出来的。实际大家看到好像给外界的感觉就是，安全问题到处都是，现状很严重。

 当然现在来说，我觉得在像百度及其他国内做客户端安全工具的这些厂商的努力下，实际对个人有比较强烈影响的，像病毒、木马这种东西的大规模爆发已被堵住了，某种意义上是降低了，现在很少听到病毒影响非常多的终端用户，现在反过来说我们服务器端的问题不断爆发，就好象我们互联网是一个大房子，发现到处都是漏风的，现在有这么一种感觉。而且尤其像Open SSL这种问题，是一个开源软件，大家广泛引用的，这种东西暴露问题以后我们再看它的代码，确实是很低级的错误。现在也有安全公司在做审计，代码整个在看发现质量还有很多问题，包括最近还有内核的漏洞、芯片的漏洞，因为我们最近开的互联网大会，无论从内核还是互联网基础设施都有问题。

 从技术原理来讲大家也是可以理解的，搞开发的都知道，因为现在我们整个互联网实际是一个大系统，无论从软件、硬件加起来就是一个大的计算机、大的软硬件系统，它的复杂程度在某种程度上超过了人类历史上任何一个人工的工程，而这个又是全世界几十亿人在用的东西，所以它的问题肯定是存在的，这是一个现状。

 这个是WooYun最新提交的，就这几天，从22至24日几乎每天都有很多漏洞报出来，这就是我们的现状，实际是很严重的情况。我昨天突然在手机上登录支付宝，当然没有很多钱，我突然发现忘记了密码，登录不进去，就很紧张，登录他的网站修改密码非常麻烦，我想是不是我的密码被人改了，后来发现是在淘宝上登录的，让人觉得安全是个很大问题。

我国在信息安全人才培养上仍很滞后

 今天我看话题其实是从人才来讲，反过来我们看看人才情况。其实刚才我们看WooYun，因为WooYun大家知道，他的创始人是从百度出去的，他之前接受采访时，我问过WooYun这些是什么，有很多是安全云，其实社会上五花八门，我相信卡饭也有一部分成员在里头，他说最夸张的有的是做律师的、还有做厨师的，这是一个很有意思的事情，从我们安全培养上。到2001年我知道是因为武汉大学的张老师开始组建的，提出来，包括国家那时候也开始说尝试，2001年武大组建第一个专业的时候是非正规的，因为国家招收录取上没有信息安全专业，直到什么时候才有呢？直到好像2010年、2012年才正式把信息安全专业搁进去，所以这块人才培养其实是非常滞后的。虽然到了2013年78所大学开设了，但是实际上我也看了，我之前也去过他们教研的会，包括武大的张老师，中国其实顶级的搞安全的学术界的老师基本上都是数学、密码学背景的，他们搞的东西其实跟我们刚才说的跟老百姓息息相关的，不能说密码很重要，但是其实他们搞的大部分跟实际上攻防这些东西，还是离的比较远的。

 所以他们的背景，你说整个建的体系、教学，包括他们师资，因为他自己，说白了，如果像这些国内大的老师没有真正一线的攻防实践，比如在百度这样的公司在安全管理去看，这个防大家知道，你如果没有跟人打过，你就只能是金庸小说的王语嫣，你只是理论上的，教别人行，指点指点别人行，但是自己是有问题的。这块我昨天晚上也专门查了，我看了他们最新几个大学的师资情况、课程体系其实还是差不多的，这个东西其实挺难改的。如果你只是说这些大学的信息安全专家毕业的学生，我估计到了公司以后还是需要有一个比较长的培训过程，因为他确实自己缺乏攻防实践，真正比如说到公司里去做安全专业的工程师，你的系统是不是被攻破了。比如说像WooYun报了你公司一个漏洞，你到底该怎么处理，到底出了什么事，这个事怎么解决，严重性程度怎么样，这种有很大的问题。

 包括我这个PPT里没有写到的，其实CSDN也是这么一个情况，我们在2011年，我们当时密码泄漏事故被报出来之前我们其实已经知道了，因为信息安全的有些人员已经跟我说过，我们已经做了一些补救措施，因为数据是老数据，跟小米这次的相似，是某一时间段的泄漏，只是很小圈内传，没有真正最后公开报。但是我们后来自己反思也是这个问题，其实对CSDN这样我们一个专业技术性的网站，我们其实研发团队人也不算特别少，现在也将近100人了，有好几十人，但是确实没有专业的安全工程师。原因，一方面其实原来我们本身对这块重视程度不够，像卡饭也有这种，大家觉得交流讨论问题，跟钱也没有什么关系，所以这块意识不太够。

 但是反过来讲，有很多层面的问题，管理的问题，包括我们开发上，其实大家看漏洞为什么这么多，跟我们现在除了信息安全专业之外，还有软件开发这个专业，计算机这种专业。计算机专业整个教学体系里头没有把安全作为一个因素考虑进去，最多就是有一门课是网络安全、信息安全，可能还是选修课，不见得是必修课，但是一般概论课基本上就是几块讲一讲，但是实际上对我们，包括我刚刚讲的例子，因为我们知道每个代码、每行带头都可能出现漏洞，你想想我们整个互联网这么多软件应用加起来，那个代码量简直是非常非常惊人的，如果每一行里头都会有错误的话，这个量只能是我们每个从业人员在基础上是一个横向大家都得有，我原来长期一直在做图书、杂志这种媒体，如果让我出什么几千万卷、几亿卷的一本书，有可能几万个作者，加起来可能几百亿、几千亿的，要让我这个书里头，因为书里头也是一样，字也有可能出错，要让我保证这个书里面错误率多少或者不出错，不可能的事情，所以只能让大家在整个产业来重视。

我其实之前也跟很多人在聊这个事情，包括我们在学编程语言，C其实是很容易出现安全漏洞的，因为最早、最底层。你学C语言特性功能甚至函数之后，实际教科书就在讲他可能出的安全漏洞是什么，你的编程规范应该是什么样的，就是一开始就把基础打牢，这样可能会好很多。包括Java语言等等基础的编程语言级别的，我们就把安全嵌入进去。

 这张PPT我想讲的是什么呢，现在网络安全其实问题很严重，但是人才几乎是赶不上的。包括昨天我搜资料的时候看到一个学校，杭州电子科技大学还是哪里，还算不错的学校，他自己写的信息安全专业这些年来办了几年以后专业学生去哪儿了，毕业就业情况，我看那个数据挺有意思。信息专业大部分并没有搞安全，很多还是搞软件开发、测试，就是跟计算机那些专业是一样的，所以刚才说明我们信息安全专业需要量很大，但是现在供给是有问题的。

大多企业对信息安全的重视不够

另外，现在搞安全的，或者说安全不知道是不是江湖有黑道、白道，这块其实人数不足，大块做攻的情况他是怎么样的情况，他就跟我们不一样，像信息安全专业的学生，往往学习还不错，报专业的时候可能因为家长或者自己听说这个专业就业不错，然后报这个专业。我相信大部分人，从他的就业报告来讲，很多学生并不是自己特别喜欢这个事。刚才我讲到信息安全其实是要求很高的一个专业、一个职业，如果在这个公司，比如说CSDN要真正聘请一个安全工程师，基本上他什么都要懂，网络安全也要懂、未来也要懂、应用安全审计也要知道一些，所以他是全才。我们知道安全需要非常底层的，很多都是内核级的，要求非常高的，这种人如果自己不是对这个东西特别感兴趣，不是小时候拿着钟就想拆掉，不是那种性格的人很难钻到非常好。反过来说玩黑客的孩子很多是这种类型的，他可能学历不高，就是说他可能甚至没有上过大学，但是对这个东西自己就是感兴趣，他喜欢往里钻，往往你去看他好多漏洞的发掘者就是这样，你看他背景很奇怪的，他并没有经过特别系统的，包括历史上有很多大的著名的黑客你发现并不是是计算机专业多么深的背景，他自己因为我们知道其实现在互联网技术资料简直是太多了，尤其是像开元代码，像Open SSL当时那个bug，你进去看就能看到，就在那呢。

 所以现在的技术资料太多了，你真正如果对这个东西感兴趣，对这个事情后面的机理感兴趣，属于这类的孩子。现在的黑色产业，现在整个产业还是挺发达，有很多人讲地下产业，可能比我们地上产业不见得小多少，这种情况下他可能进出一个QQ群或者小圈子就可能跟着这些人。其实防比攻要难，要想这么一栋大楼让每个地方不出问题，但是小偷整天在这儿转，他对你保安的行为规则，包括用户进出，他搜集很多数据都在这儿搞，怎么都能搞进去。我们看好莱坞那种《偷天换日》侠盗片，再强的保安禁不起贼惦记。这么一个前提下我们现在该怎么办。

 现在黑色产业里面整个产业链确实真正掌握核心技术的还是少数的，现在写简单病毒现在容易了，现在也有代码、引擎类似的东西，但是要真正写一个比如说百度的助手、百度的安全产品等等这些产品，防不住的，或者至少是一定范围内能够影响大范围的，这还是有点难度的。现在很多年其实没有出现特别大的，后来发现是美国和以色列的专家力量专门写了要攻击伊朗核电站的，包括现在整个范畴有意思的是，因为互联网渗透的太深了，现在物联网的概念也比较强，所以以后我们很多控制，之前也有一个报道，现在安全非常隐患大是什么，就是专门有一个环球组织搜集全世界的工业物理这些安全控制系统的问题，他到处去扫描。他扫出来有非常多惊人的挂件，比如说甚至哪个国家核弹控制系统是有漏洞的，然后又大坝，比如三峡大坝闸门开启的系统，当然不是我们的三峡，是国外另外一个，闸门开启时候的漏洞。大家想象一下，如果三峡这个大坝黑客掌握了，我哪天按一下，这个大坝突然闸就打开了，这是多么恐惧的事情。很多路上的红绿灯的控制系统，管理的密码都是1234之类的，他专门搜寻的是一个数据库，大家其实有兴趣可以去查一查，五花八门什么都有，所以这种情况下这个问题确实非常可怕。

 下边的漏洞发掘，当然这个东西要求有难度，但是往下，像我们CSDN以前说，到网上下载一个小代码或者一个牧马或者一个攻击的工具或者扫描简单的一些黑客的手段就可以，其实他是一个金字塔型的，但是一旦这里头有一些有天赋的人。像当时“熊猫烧香”的作者李俊，他也其实学历不高，他就能学这种。一旦里头有一些人在黑色产业驱动下，沿着金字塔往上了，而且这种人越来越多的话，我们以后的形势会越来越严峻，所以这是现在的形势。

 怎么办呢？我自己一直在想这个事情，实际上可能各方面这是很大的问题，各方面可能都需要，比如说我们现在法律的问题，现在为什么现实生活中抢银行的人还是少，实际上银行很难抢吗？不见得，但是为什么抢银行的少？因为法律很严，很可能干一下就是杀头的罪。我们现在网络这块好像还没有这样的案例，判的还比较轻，这个威慑力这个产业是需要的。

 另外，我们想从经济角度讲，能不能给更多的，就是我刚才说的，现在可能处于不黑不白的阶段把很多孩子他对这个感兴趣，不见得学历很高，就是这个我们的对面甚至在我们中间的这些年轻人，我们怎么能够给他更多道路的引导，一方面，怎么学校能够更多的培养，包括社会上我们的力量，能够让大部分人顺利的转到信息安全保护防的这个层面。另外，可能现实生活中都能从事这个专业的工作，但是他还会保留这些兴趣，这些人能不能建立一个，就像WooYun这个平台起来之后我觉得是很好的事情，但是我们是不是整个产业能够给这个事情更多的支持。国内其实公司整个产业环境还没有到那个，包括最近小米这个事情出来之后，他们出了一个奖励计划，最严重的好像才1000元的奖励，这个力度肯定是不能跟黑客产业比的。

 不能说黑客产业预期给那么高，我觉得也不太现实，但是我觉得能够再高一些。现在国外像Google还有一些公司，他的奖金其实有的还不错，包括10万元。包括我们更多的活动，就是给他们更多的回馈跟激励，让他们引导，引导到正路给他们。而且同时也能满足他技术的好奇心。

 另外，WooYun那个平台做的非常好的是，首先精益上好像没有达到那个程度，例如谁报的一个漏洞我们提前就去改进它，建立一个机制，现在额度还不太高，但是WooYun毕竟给了这些人，他有激情、有热情给了他一个很好的发挥的余地，比如他有一个排行榜，白帽子排行榜，这个荣誉感是很好的，所以类型的东西我觉得是非常好的。

 另外，从整个安全角度讲，像对于终端用户其实还是有很多工作可以做的，我想百度这块，包括做安全工具，包括百度因为它是一个大品牌，大家都在用的。百度很多细的工作都是可以做的，比如很简单的，你的密码怎么设，因为每次密码泄漏出来以后，包括CNN也是一样。你会发现弱密码太多了，密码到底应该怎么弄，这个事情其实对终端用户教训还是有的。比如说简单的有几个大家又好记、又好操作的强密码的设置规则，这个还是我们做的。包括攻防方面怎么设计，包括还有一些方案，尤其现在手机上可以替代密码至少补充密码的，包括现在验证、发短信这种东西，这种东西还是可以做的，这样可能可以大大降低这样一些东西。

 爱好者刚刚已经讲了。专业人员这块，我们百度包括CSDN确实可以多做一些事情，怎么能够跟高校结合，包括跟一些培训机构，比如培训机构现在也有两类，有一类是不清不白，包括之前有华夏这个联盟，是被公安局查获的，就是说你怎么教其实还是很大的问题，因为金字塔下面一层人是最多的，如果在他入门的时候就给他更多的领导、给他行业的支持，这是很好的事情。