CSDN&《程序員》雜志總編劉江：信息安全意識不足是安全事件頻繁的主要原因

5月24日，首屆中國網(wǎng)絡(luò)安全提速論壇在中關(guān)村軟件園召開。本次論壇主題為“如何建立安全人才快速培養(yǎng)機(jī)制？”，來自百度、CSDN、卡飯論壇、IDF威懾防御實驗室等多位專家圍繞該議題展開深入探討。

CSDN&《程序員》雜志總編劉江

CSDN&《程序員》雜志總編劉江表示近年來重大安全事件頻發(fā)，而導(dǎo)致這些安全漏洞的多是一些低級問題。目前我國在互聯(lián)網(wǎng)安全上存在較多問題，這主要由兩方面原因造成。一是我國在信息安全人才培養(yǎng)上仍很滯后。相關(guān)專業(yè)的畢業(yè)生缺乏攻防實踐，進(jìn)入企業(yè)后還需很長的培訓(xùn)過程。二是大多企業(yè)對信息安全的重視不夠。

以下為演講實錄：

劉江：我對安全其實比較外行，跟安全比較相關(guān)的事情是曾經(jīng)參與翻譯過叫《黑客大曝光》的某一個版本，大家搞安全的可能知道這本書，是比較早期的比較權(quán)威的一本黑客的書。

此外，我們CSDN當(dāng)然有這方面的內(nèi)容，但是說實話，卡飯你們可能比較關(guān)注，所以安全內(nèi)容我們并沒有特別重視，這也是我覺得跟當(dāng)前整個安全現(xiàn)狀是有關(guān)系的。

近年來安全事件頻發(fā)

我這個列表，剛才鄭全戰(zhàn)也講了，最近事很多，我隨便截取了，我們可能也有報道比較重大的安全事件，這個現(xiàn)狀大家可能也都知道一點，我截取的還是今年的，基本上每個月都有一次甚至兩次非常大的事故。包括今年小米、Ebay等等，都是社會影響非常大的，再往下排，到了2011年底我們CSDN也出了600萬用戶信息泄漏事件，從那時候?qū)m幾百萬，甚至像SSL這種安全界有人說它是核彈級的，因為它名字叫“心臟流血”，整個系統(tǒng)里面確實有一些跟心臟中樞有關(guān)系。

今年1月至5月份的安全事故，我們從網(wǎng)絡(luò)安全事故這么一個組合，從上往下講，各層都出了問題，大家也會發(fā)揮，無論是應(yīng)用層，像Struts是應(yīng)用層，攜程是自己安全管理上的一個問題，DNS包括SSL，其實屬于基礎(chǔ)設(shè)施層面的，小米其實是應(yīng)用層，原因是因為他使用的第三方的論壇程序有漏洞，Ebay我還沒看什么原因，就是這兩天報出來的。實際大家看到好像給外界的感覺就是，安全問題到處都是，現(xiàn)狀很嚴(yán)重。

 當(dāng)然現(xiàn)在來說，我覺得在像百度及其他國內(nèi)做客戶端安全工具的這些廠商的努力下，實際對個人有比較強(qiáng)烈影響的，像病毒、木馬這種東西的大規(guī)模爆發(fā)已被堵住了，某種意義上是降低了，現(xiàn)在很少聽到病毒影響非常多的終端用戶，現(xiàn)在反過來說我們服務(wù)器端的問題不斷爆發(fā)，就好象我們互聯(lián)網(wǎng)是一個大房子，發(fā)現(xiàn)到處都是漏風(fēng)的，現(xiàn)在有這么一種感覺。而且尤其像Open SSL這種問題，是一個開源軟件，大家廣泛引用的，這種東西暴露問題以后我們再看它的代碼，確實是很低級的錯誤。現(xiàn)在也有安全公司在做審計，代碼整個在看發(fā)現(xiàn)質(zhì)量還有很多問題，包括最近還有內(nèi)核的漏洞、芯片的漏洞，因為我們最近開的互聯(lián)網(wǎng)大會，無論從內(nèi)核還是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施都有問題。

 從技術(shù)原理來講大家也是可以理解的，搞開發(fā)的都知道，因為現(xiàn)在我們整個互聯(lián)網(wǎng)實際是一個大系統(tǒng)，無論從軟件、硬件加起來就是一個大的計算機(jī)、大的軟硬件系統(tǒng)，它的復(fù)雜程度在某種程度上超過了人類歷史上任何一個人工的工程，而這個又是全世界幾十億人在用的東西，所以它的問題肯定是存在的，這是一個現(xiàn)狀。

 這個是WooYun最新提交的，就這幾天，從22至24日幾乎每天都有很多漏洞報出來，這就是我們的現(xiàn)狀，實際是很嚴(yán)重的情況。我昨天突然在手機(jī)上登錄支付寶，當(dāng)然沒有很多錢，我突然發(fā)現(xiàn)忘記了密碼，登錄不進(jìn)去，就很緊張，登錄他的網(wǎng)站修改密碼非常麻煩，我想是不是我的密碼被人改了，后來發(fā)現(xiàn)是在淘寶上登錄的，讓人覺得安全是個很大問題。

我國在信息安全人才培養(yǎng)上仍很滯后

 今天我看話題其實是從人才來講，反過來我們看看人才情況。其實剛才我們看WooYun，因為WooYun大家知道，他的創(chuàng)始人是從百度出去的，他之前接受采訪時，我問過WooYun這些是什么，有很多是安全云，其實社會上五花八門，我相信卡飯也有一部分成員在里頭，他說最夸張的有的是做律師的、還有做廚師的，這是一個很有意思的事情，從我們安全培養(yǎng)上。到2001年我知道是因為武漢大學(xué)的張老師開始組建的，提出來，包括國家那時候也開始說嘗試，2001年武大組建第一個專業(yè)的時候是非正規(guī)的，因為國家招收錄取上沒有信息安全專業(yè)，直到什么時候才有呢？直到好像2010年、2012年才正式把信息安全專業(yè)擱進(jìn)去，所以這塊人才培養(yǎng)其實是非常滯后的。雖然到了2013年78所大學(xué)開設(shè)了，但是實際上我也看了，我之前也去過他們教研的會，包括武大的張老師，中國其實頂級的搞安全的學(xué)術(shù)界的老師基本上都是數(shù)學(xué)、密碼學(xué)背景的，他們搞的東西其實跟我們剛才說的跟老百姓息息相關(guān)的，不能說密碼很重要，但是其實他們搞的大部分跟實際上攻防這些東西，還是離的比較遠(yuǎn)的。

 所以他們的背景，你說整個建的體系、教學(xué)，包括他們師資，因為他自己，說白了，如果像這些國內(nèi)大的老師沒有真正一線的攻防實踐，比如在百度這樣的公司在安全管理去看，這個防大家知道，你如果沒有跟人打過，你就只能是金庸小說的王語嫣，你只是理論上的，教別人行，指點指點別人行，但是自己是有問題的。這塊我昨天晚上也專門查了，我看了他們最新幾個大學(xué)的師資情況、課程體系其實還是差不多的，這個東西其實挺難改的。如果你只是說這些大學(xué)的信息安全專家畢業(yè)的學(xué)生，我估計到了公司以后還是需要有一個比較長的培訓(xùn)過程，因為他確實自己缺乏攻防實踐，真正比如說到公司里去做安全專業(yè)的工程師，你的系統(tǒng)是不是被攻破了。比如說像WooYun報了你公司一個漏洞，你到底該怎么處理，到底出了什么事，這個事怎么解決，嚴(yán)重性程度怎么樣，這種有很大的問題。

 包括我這個PPT里沒有寫到的，其實CSDN也是這么一個情況，我們在2011年，我們當(dāng)時密碼泄漏事故被報出來之前我們其實已經(jīng)知道了，因為信息安全的有些人員已經(jīng)跟我說過，我們已經(jīng)做了一些補(bǔ)救措施，因為數(shù)據(jù)是老數(shù)據(jù)，跟小米這次的相似，是某一時間段的泄漏，只是很小圈內(nèi)傳，沒有真正最后公開報。但是我們后來自己反思也是這個問題，其實對CSDN這樣我們一個專業(yè)技術(shù)性的網(wǎng)站，我們其實研發(fā)團(tuán)隊人也不算特別少，現(xiàn)在也將近100人了，有好幾十人，但是確實沒有專業(yè)的安全工程師。原因，一方面其實原來我們本身對這塊重視程度不夠，像卡飯也有這種，大家覺得交流討論問題，跟錢也沒有什么關(guān)系，所以這塊意識不太夠。

 但是反過來講，有很多層面的問題，管理的問題，包括我們開發(fā)上，其實大家看漏洞為什么這么多，跟我們現(xiàn)在除了信息安全專業(yè)之外，還有軟件開發(fā)這個專業(yè)，計算機(jī)這種專業(yè)。計算機(jī)專業(yè)整個教學(xué)體系里頭沒有把安全作為一個因素考慮進(jìn)去，最多就是有一門課是網(wǎng)絡(luò)安全、信息安全，可能還是選修課，不見得是必修課，但是一般概論課基本上就是幾塊講一講，但是實際上對我們，包括我剛剛講的例子，因為我們知道每個代碼、每行帶頭都可能出現(xiàn)漏洞，你想想我們整個互聯(lián)網(wǎng)這么多軟件應(yīng)用加起來，那個代碼量簡直是非常非常驚人的，如果每一行里頭都會有錯誤的話，這個量只能是我們每個從業(yè)人員在基礎(chǔ)上是一個橫向大家都得有，我原來長期一直在做圖書、雜志這種媒體，如果讓我出什么幾千萬卷、幾億卷的一本書，有可能幾萬個作者，加起來可能幾百億、幾千億的，要讓我這個書里頭，因為書里頭也是一樣，字也有可能出錯，要讓我保證這個書里面錯誤率多少或者不出錯，不可能的事情，所以只能讓大家在整個產(chǎn)業(yè)來重視。

我其實之前也跟很多人在聊這個事情，包括我們在學(xué)編程語言，C其實是很容易出現(xiàn)安全漏洞的，因為最早、最底層。你學(xué)C語言特性功能甚至函數(shù)之后，實際教科書就在講他可能出的安全漏洞是什么，你的編程規(guī)范應(yīng)該是什么樣的，就是一開始就把基礎(chǔ)打牢，這樣可能會好很多。包括Java語言等等基礎(chǔ)的編程語言級別的，我們就把安全嵌入進(jìn)去。

 這張PPT我想講的是什么呢，現(xiàn)在網(wǎng)絡(luò)安全其實問題很嚴(yán)重，但是人才幾乎是趕不上的。包括昨天我搜資料的時候看到一個學(xué)校，杭州電子科技大學(xué)還是哪里，還算不錯的學(xué)校，他自己寫的信息安全專業(yè)這些年來辦了幾年以后專業(yè)學(xué)生去哪兒了，畢業(yè)就業(yè)情況，我看那個數(shù)據(jù)挺有意思。信息專業(yè)大部分并沒有搞安全，很多還是搞軟件開發(fā)、測試，就是跟計算機(jī)那些專業(yè)是一樣的，所以剛才說明我們信息安全專業(yè)需要量很大，但是現(xiàn)在供給是有問題的。

大多企業(yè)對信息安全的重視不夠

另外，現(xiàn)在搞安全的，或者說安全不知道是不是江湖有黑道、白道，這塊其實人數(shù)不足，大塊做攻的情況他是怎么樣的情況，他就跟我們不一樣，像信息安全專業(yè)的學(xué)生，往往學(xué)習(xí)還不錯，報專業(yè)的時候可能因為家長或者自己聽說這個專業(yè)就業(yè)不錯，然后報這個專業(yè)。我相信大部分人，從他的就業(yè)報告來講，很多學(xué)生并不是自己特別喜歡這個事。剛才我講到信息安全其實是要求很高的一個專業(yè)、一個職業(yè)，如果在這個公司，比如說CSDN要真正聘請一個安全工程師，基本上他什么都要懂，網(wǎng)絡(luò)安全也要懂、未來也要懂、應(yīng)用安全審計也要知道一些，所以他是全才。我們知道安全需要非常底層的，很多都是內(nèi)核級的，要求非常高的，這種人如果自己不是對這個東西特別感興趣，不是小時候拿著鐘就想拆掉，不是那種性格的人很難鉆到非常好。反過來說玩黑客的孩子很多是這種類型的，他可能學(xué)歷不高，就是說他可能甚至沒有上過大學(xué)，但是對這個東西自己就是感興趣，他喜歡往里鉆，往往你去看他好多漏洞的發(fā)掘者就是這樣，你看他背景很奇怪的，他并沒有經(jīng)過特別系統(tǒng)的，包括歷史上有很多大的著名的黑客你發(fā)現(xiàn)并不是是計算機(jī)專業(yè)多么深的背景，他自己因為我們知道其實現(xiàn)在互聯(lián)網(wǎng)技術(shù)資料簡直是太多了，尤其是像開元代碼，像Open SSL當(dāng)時那個bug，你進(jìn)去看就能看到，就在那呢。

 所以現(xiàn)在的技術(shù)資料太多了，你真正如果對這個東西感興趣，對這個事情后面的機(jī)理感興趣，屬于這類的孩子。現(xiàn)在的黑色產(chǎn)業(yè)，現(xiàn)在整個產(chǎn)業(yè)還是挺發(fā)達(dá)，有很多人講地下產(chǎn)業(yè)，可能比我們地上產(chǎn)業(yè)不見得小多少，這種情況下他可能進(jìn)出一個QQ群或者小圈子就可能跟著這些人。其實防比攻要難，要想這么一棟大樓讓每個地方不出問題，但是小偷整天在這兒轉(zhuǎn)，他對你保安的行為規(guī)則，包括用戶進(jìn)出，他搜集很多數(shù)據(jù)都在這兒搞，怎么都能搞進(jìn)去。我們看好萊塢那種《偷天換日》俠盜片，再強(qiáng)的保安禁不起賊惦記。這么一個前提下我們現(xiàn)在該怎么辦。

 現(xiàn)在黑色產(chǎn)業(yè)里面整個產(chǎn)業(yè)鏈確實真正掌握核心技術(shù)的還是少數(shù)的，現(xiàn)在寫簡單病毒現(xiàn)在容易了，現(xiàn)在也有代碼、引擎類似的東西，但是要真正寫一個比如說百度的助手、百度的安全產(chǎn)品等等這些產(chǎn)品，防不住的，或者至少是一定范圍內(nèi)能夠影響大范圍的，這還是有點難度的。現(xiàn)在很多年其實沒有出現(xiàn)特別大的，后來發(fā)現(xiàn)是美國和以色列的專家力量專門寫了要攻擊伊朗核電站的，包括現(xiàn)在整個范疇有意思的是，因為互聯(lián)網(wǎng)滲透的太深了，現(xiàn)在物聯(lián)網(wǎng)的概念也比較強(qiáng)，所以以后我們很多控制，之前也有一個報道，現(xiàn)在安全非常隱患大是什么，就是專門有一個環(huán)球組織搜集全世界的工業(yè)物理這些安全控制系統(tǒng)的問題，他到處去掃描。他掃出來有非常多驚人的掛件，比如說甚至哪個國家核彈控制系統(tǒng)是有漏洞的，然后又大壩，比如三峽大壩閘門開啟的系統(tǒng)，當(dāng)然不是我們的三峽，是國外另外一個，閘門開啟時候的漏洞。大家想象一下，如果三峽這個大壩黑客掌握了，我哪天按一下，這個大壩突然閘就打開了，這是多么恐懼的事情。很多路上的紅綠燈的控制系統(tǒng)，管理的密碼都是1234之類的，他專門搜尋的是一個數(shù)據(jù)庫，大家其實有興趣可以去查一查，五花八門什么都有，所以這種情況下這個問題確實非常可怕。

 下邊的漏洞發(fā)掘，當(dāng)然這個東西要求有難度，但是往下，像我們CSDN以前說，到網(wǎng)上下載一個小代碼或者一個牧馬或者一個攻擊的工具或者掃描簡單的一些黑客的手段就可以，其實他是一個金字塔型的，但是一旦這里頭有一些有天賦的人。像當(dāng)時“熊貓燒香”的作者李俊，他也其實學(xué)歷不高，他就能學(xué)這種。一旦里頭有一些人在黑色產(chǎn)業(yè)驅(qū)動下，沿著金字塔往上了，而且這種人越來越多的話，我們以后的形勢會越來越嚴(yán)峻，所以這是現(xiàn)在的形勢。

 怎么辦呢？我自己一直在想這個事情，實際上可能各方面這是很大的問題，各方面可能都需要，比如說我們現(xiàn)在法律的問題，現(xiàn)在為什么現(xiàn)實生活中搶銀行的人還是少，實際上銀行很難搶嗎？不見得，但是為什么搶銀行的少？因為法律很嚴(yán)，很可能干一下就是殺頭的罪。我們現(xiàn)在網(wǎng)絡(luò)這塊好像還沒有這樣的案例，判的還比較輕，這個威懾力這個產(chǎn)業(yè)是需要的。

 另外，我們想從經(jīng)濟(jì)角度講，能不能給更多的，就是我剛才說的，現(xiàn)在可能處于不黑不白的階段把很多孩子他對這個感興趣，不見得學(xué)歷很高，就是這個我們的對面甚至在我們中間的這些年輕人，我們怎么能夠給他更多道路的引導(dǎo)，一方面，怎么學(xué)校能夠更多的培養(yǎng)，包括社會上我們的力量，能夠讓大部分人順利的轉(zhuǎn)到信息安全保護(hù)防的這個層面。另外，可能現(xiàn)實生活中都能從事這個專業(yè)的工作，但是他還會保留這些興趣，這些人能不能建立一個，就像WooYun這個平臺起來之后我覺得是很好的事情，但是我們是不是整個產(chǎn)業(yè)能夠給這個事情更多的支持。國內(nèi)其實公司整個產(chǎn)業(yè)環(huán)境還沒有到那個，包括最近小米這個事情出來之后，他們出了一個獎勵計劃，最嚴(yán)重的好像才1000元的獎勵，這個力度肯定是不能跟黑客產(chǎn)業(yè)比的。

 不能說黑客產(chǎn)業(yè)預(yù)期給那么高，我覺得也不太現(xiàn)實，但是我覺得能夠再高一些。現(xiàn)在國外像Google還有一些公司，他的獎金其實有的還不錯，包括10萬元。包括我們更多的活動，就是給他們更多的回饋跟激勵，讓他們引導(dǎo)，引導(dǎo)到正路給他們。而且同時也能滿足他技術(shù)的好奇心。

 另外，WooYun那個平臺做的非常好的是，首先精益上好像沒有達(dá)到那個程度，例如誰報的一個漏洞我們提前就去改進(jìn)它，建立一個機(jī)制，現(xiàn)在額度還不太高，但是WooYun畢竟給了這些人，他有激情、有熱情給了他一個很好的發(fā)揮的余地，比如他有一個排行榜，白帽子排行榜，這個榮譽(yù)感是很好的，所以類型的東西我覺得是非常好的。

 另外，從整個安全角度講，像對于終端用戶其實還是有很多工作可以做的，我想百度這塊，包括做安全工具，包括百度因為它是一個大品牌，大家都在用的。百度很多細(xì)的工作都是可以做的，比如很簡單的，你的密碼怎么設(shè)，因為每次密碼泄漏出來以后，包括CNN也是一樣。你會發(fā)現(xiàn)弱密碼太多了，密碼到底應(yīng)該怎么弄，這個事情其實對終端用戶教訓(xùn)還是有的。比如說簡單的有幾個大家又好記、又好操作的強(qiáng)密碼的設(shè)置規(guī)則，這個還是我們做的。包括攻防方面怎么設(shè)計，包括還有一些方案，尤其現(xiàn)在手機(jī)上可以替代密碼至少補(bǔ)充密碼的，包括現(xiàn)在驗證、發(fā)短信這種東西，這種東西還是可以做的，這樣可能可以大大降低這樣一些東西。

 愛好者剛剛已經(jīng)講了。專業(yè)人員這塊，我們百度包括CSDN確實可以多做一些事情，怎么能夠跟高校結(jié)合，包括跟一些培訓(xùn)機(jī)構(gòu)，比如培訓(xùn)機(jī)構(gòu)現(xiàn)在也有兩類，有一類是不清不白，包括之前有華夏這個聯(lián)盟，是被公安局查獲的，就是說你怎么教其實還是很大的問題，因為金字塔下面一層人是最多的，如果在他入門的時候就給他更多的領(lǐng)導(dǎo)、給他行業(yè)的支持，這是很好的事情。

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈