在网络安全的圈子里待了20年,杜跃进算是一个腕儿。在体制内时,他做的是基于国家层面的网络安全防护,而到了体制外,杜跃进从事的是倾向于商业化的网络安全产业。这两段不同的经历,让如今作为中国网络空间安全协会副理事长的杜跃进对网络安全有着更全面的认识。近日,恰逢2019年国家网络安全宣传周期间,自嘲是圈子里话比较多的杜跃进,向传播君谈起了他的网络安全观。
专访杜跃进的时间约在下午两点,地点是一个小会议室。光线不太理想,摄像人员正在反复调试灯光设备的时候,杜跃进走进来说:“我们开始吧。”
“国家的基础设施出现安全问题,倒霉的是老百姓。”
这是为“国家网络安全宣传周”安排的访谈。从2014年开始,每年9月都会在全国各地开展持续一周的宣传活动,目的是推动全民参与,从广泛的社会层面提升网络安全意识。今年活动的主题是“网络安全为人民,网络安全靠人民”。杜跃进认为,对这句言之朴实的安全观,可以从多个角度理解。
杜跃进认为,网络安全产业的发展需要升级。
“国家安全和老百姓个人安全是一致的,从这个角度来说,当我们在保护政企,保护国家安全的时候,就是在保护人民的安全。国家的基础设施出现安全问题,倒霉的是老百姓,国家的金融体系瘫痪了,买单的还是老百姓。所以,在说国家安全的时候,最终保护的是一个国家里面人民的安全,这就是网络安全为人民。”
杜跃进认为,网络安全为人民,网络安全靠人民,这不仅道出了网络安全的根本目的,也指明了维护网络安全的根本方法。网络安全攸关国家安全,国家安全和老百姓个人安全是根本一致的,以此而言,当我们言及保护政企网络安全,言及保护国家网络安全,言及保护人民网络安全,都是一个本义。
“网络安全靠人民,传递了一个重要的信息,就是既要重视安全可信,更要推动在开放环境下维护网络安全。”杜跃进说,“新时代网络安全,需要动员更多的人参与网络安全维护,不仅要提升全民的安全意识,还要通过开源众包和机制设计发挥各领域、各方面的群体智慧,以人民力量维护国家网络安全。”
传播君对话中国网络空间安全协会副理事长杜跃进。 杨洋/摄
“请更多人找出安全问题,并把这些问题都扛住了,实战检验的网络才更安全。”
对于安全观,杜跃进认为要解决一些观念性问题。“网络安全为人民要求我们构建新的安全观。有网络,就会有网络漏洞,就会存在安全之虞。‘不要碰最安全’是过时的安全观。实战是锻炼和检验安全的标准,要让更多人给安全找问题,发现漏洞、解决问题,网络才会更安全。网络安全尤其要经受‘风吹雨打’,接受挑战、耐受击打,越打越强壮,越打越安全。”
从谈话中能够感受到,杜跃进对通过隔离的方式保证网络安全的做法持不同的立场。“有些人会质疑,只要我不联网,隔离的方式存在网络安全隐患的假设是不成立的。但是为什么学术界在2007年底的时候就认定可以通过互联网攻入工业控制系统呢?而这样事情在2010年就已经发生了,当时黑客通过互联网入侵伊朗核设施,这个核设施是不联网的,但是还是被入侵了。现在有越来越多的案例,通过互联网把攻击程序植入到不联网的电厂里,事实上,我们各种各样的生产系统最终都会以某种形式与互联网相连,这就是工业互联网,这是个大趋势,如果不按照这个趋势走就会被淘汰。”
“如果不能有效使用安全产品,那么连‘稻草人’都不如”
杜跃进认为,目前网络安全产业在中国的发展还很不充分。中国网络安全产业的发展面临挑战,同时也面临重大的发展机遇。
“虽然中国网络安全产业已经过近30年的发展,但是目前在整个IT产业中,网络安全所占比重还很低,现在的产值大约500亿人民币。与此同时,网络黑灰产却在法外谋取暴利,我们2006年做的调研显示,黑客或者攻击者导致的网络安全损失至少是其非法收入的10倍以上。目前一般认为黑灰产每年产值上千亿,因此保守估计,网络黑灰产每年给国家带来的损失达万亿级,其应对的最有效办法就是推动网络安全大发展。”
杜跃进认为,目前网络安全产业在中国的发展还很不充分。中国网络安全产业的发展面临挑战,同时也面临重大的发展机遇。
杜跃进认为,网络安全产业的发展需要升级。目前国内安全市场相对较小,且比例分布不均,和国际相比,全球的网络安全产业在服务、软件方面的占比高,而中国则是在硬件方面的占比高。也就是说,我们的用户更习惯、更看重硬件防护。但是在网络环境下,哪怕是防火墙这类基本安全产品,如果不能有效使用,那么连“稻草人”都不如。因此我们更需要看不见的安全服务。比如:商业平台上发生严重的薅羊毛事件,一夜之间可以导致这些平台损失上百亿。这时会体会到安全服务是很必要的。“发展网络安全需要靠技术,靠产业,靠人才。”杜跃进说,“技术是支撑,但更关键的是产业和人才,没有产业的发展,技术发挥不了作用。而没有人才,也不会有持续的技术突破和产业发展。换句话说,产业健康良性发展,就会提升技术、留住人才,最终相互融合发展,形成良性的生态。”
发展国家网络安全,除了推动产业,提升攻防能力以外,杜跃进认为我们还要增强国际层面的话语权,发挥互联网安全规则制定和权重影响的能力。本世纪初,中国就在联合国框架下的国际电联里提出中国的立场和主张,提出联合国作为世界上政府间的合作组织应该在互联网空间的安全方面发挥不可替代的作用。当时一些西方国家不同意中国的立场观点,借口互联网是私营部门主导的,不应过多干预。但如今,越来越多的国家在推动国际层面和政府层面的网络安全政策,因为网络安全不仅影响数字经济发展,更关乎国家安全,基于这样的共识,中国作为互联网大国,需要且能够在网络安全理念和规则的建设中发挥更大的责任。
说话的时候,杜跃进轻靠着椅背,两只手放在腿上。语速不快不慢,透着一种平和。自媒体公号“左林右狸”的主笔是哈工大计算机系的毕业生,杜跃进的校友,他的一篇文章称杜跃进“曾经是体制里最懂网络安全的人” 。杜跃进则不以为然,认为体制内人才辈出,但也认可自己是圈子里话说得比较多的人。“理工科的人普遍做胜于言,我说得多一些。不过这个行业是需要说的。”
杜跃进接受传播君专访。杨洋/摄
对话杜跃进
“网络安全很小众,坚持下来很不容易”
传播君:在哈工大求学的那些年,对您的人生有什么影响?
杜跃进:我上大学的时候,其实有很多选择。当时选择哈工大,是因为我有一个很奇怪的逻辑,想选一个尽量离家远的地方,这样才能安心读书。当时我也可以选择北航,但是因为我有亲戚在北京,我觉得这可能会让我周末的时候分心。所以,我在哈工大读书的10年间,大多数的假期都没有回家,这么做就是想安静地读书。
对于哈工大,我印象最深的是校训“规格严格、功夫到家”,这个校训非常有意思,非常土(笑),一共八个字还有两个字重复。但是我经常跟人讲哈工大的校训,因为它代表着一种工程师文化,哈工大把自己定义为工程师的摇篮,非常注重科学严谨。我认为朴实、严谨对于那些年在哈工大求学的我来说有非常重要的影响。离开哈工大之后,我也尽量用这种方法提醒自己和身边的人。
传播君:您博士毕业之后有很多选择,但为什么最终选择了网络安全?
杜跃进:我大约从1994年开始接触互联网。那时,我的导师负责学校校园网的建设,我们通过拨号到中科院物理所来连接互联网,一天拨四次。那时我跟着导师天天抱着计算机给学校老教授的家里安装互联网。等到1995年我硕士快毕业的时候,外面的用人需求非常多,其实,当时我面临的选择也非常多,但是我还是觉得要读博士,再磨炼一下自己。
走上网络安全这条路也是阴差阳错。那时,哈工大的每个邮件服务器、域名服务器和BBS服务器等,每天都面临网络攻击,我作为学校网络的建设者和管理者,从一开始就需要面对这些问题。到博士毕业的时候,我意识到网络安全是有广泛需求的,国家需要,整个中国互联网也需要,而我在这方面有一些积累,因此就进入了这个行业,我从1999年博士毕业到现在一直在从事网络安全。
最近,我遇到了一个我们国家引进的非常高端的人才,他是做操作系统的,他跟我说搞网络安全的很小众,能坚持下来很不容易,我说是的,网络安全是个小圈子,不像别的领域,很容易可以找到更大的商业机会,或者能赚更多的钱,或者能有更多的聚光灯,安全不是这样的。
在杭州的时候,我创办了一个节日叫华东网络安全节,这个节日定在每年的4月1号,专门选择这一天,是因为我觉得必须有一帮“愚人”,不像别人那样一看这里更热闹、那里更挣钱就跑了。这帮“愚人”坚信内心对于网络安全的执着,哪怕很苦,哪怕不被人理解,也要坚持下去。我想网络安全行业有很多这样的“愚人”,要把他们聚到一起。
传播君:从体制内到体制外,生活和工作会有哪些变化?
杜跃进:对于体制内和体制外,我的感受是体制外有更大尝试的自由度。在体制内做一件事情,因为花的是国家的钱和纳税人的钱,所以不能乱花,你需要有非常严谨的论证,这个是必要的,但客观上也导致了论证周期比较长,此外这个论证不一定是科学的。
但体制外没有这个问题,体制外是用自己的资源,我愿意承担试错的成本。所以从国家的发展来说,体制外是非常好的一个支持机制,当我说一件事情可行或不可行,我不是基于纸面上的论证,而是已经在做了,是实践过的。
当然,体制内非常重要的是训练一个人的视野、思考问题的角度、看问题的格局,这对于体制外是很好的补充。所以体制内和体制外没有好坏之说,两者是互补的。
“我接下来要干的事情至少还要干30年。”
传播君:做网络安全20年了,可以说是很久了?
杜跃进:我接下来要干的事情至少还要干30年。
传播君:现在我们讲5G、人工智能、云计算,对于未来30年全球网络安全的业态,您可不可以做一个猜想?
杜跃进:从现在开始到未来的30年会持续一个非常明显的特点,这个特点就是整个世界的方方面面都在极快速地变化,并且充满了不确定性。这种现象并不是会一直存在下去的,它属于工业革命过程中的一个特征。
以前每次工业革命大概需要50年,它的特点是前半段时间涌现出非常多的新技术,后半段这些新技术被广泛应用、普及和深化。但是这次工业革命跟以前不太一样,程度也会远超过去。所以未来30年中,已有的经验会大量失效。换句话说,没人能预测30年以后,甚至5年以后。
传播君:对于网络安全产业,应该如何怎样应对这次工业革命?
杜跃进:对于网络安全的从业者来说,要在这次工业革命的后30年中,在快速变化、充满不确定性的情况下,尽量多地往后看。我没打算畅想30年,更无法看清30年以后是怎样的,但我知道未来30年很关键,要有人努力去摸索规律,持续设法看清未来,哪怕是未来一两年。而且这个要看的不仅仅是技术和产品,还包括国际政策、战略、宏观政策、国际形势、法律等因素,因为所有这一切都面临巨大挑战。
传播君:身处网络安全主战场,您怎么看中国网安全产业的发展?
杜跃进:过去30年,中国网络安全行业发展很快,但也因此导致一些领域还不是很成熟。一些发达国家和地区的网络安全企业经过长期发展后,已相对成熟,拥有全球化市场的视野和思路。相对而言,中国的网络安全企业看到更多的是中国市场,我们在中国市场里做产品、做服务、做销售,可走出中国可能就不灵了,这就需要在意识、战略和能力层面上不断提高。
但我们还是充满信心,因为刚才讲到网络安全面临的新情况,其实在很多国家都是存在的。目前,很多企业正在觉醒、提升、发展。而最终检验实力,无非是看谁能够真正帮助用户解决安全问题。因此最后拼的是实力,是用更加公平的规则,以及是不是将客户利益放在最高处来衡量的。只要坚守信念,把自己的竞争优势发挥出来,就会有很好的发展机会和巨大的发展空间。
✿本文来自传播君报道,视频剪辑杨洋。
声明:本文来自网络传播杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。