谭晓生，奇虎 360 技术总裁、首席安全官。中国计算机学会（ CCF ）副秘书长，CCF YOCSEF 2015 - 2016 总部主席。曾先后在北大方正、深圳现代、深圳豪信、3721 、雅虎中国、360 等公司工作，从事 DOS 操作系统下反病毒系统研发、磁盘加密系统研发、汉字操作系统开发、大型管理信息系统、互联网搜索引擎、互联网社交网络服务、互联网安全软件开发等工作。

近日，谭晓生出席了看雪 2017 安全开发者峰会，并在现场接受了 EGONetworks 的独家专访，就网络安全领域的诸多热点问题阐述了自己的看法。

 我们知道 360 很早就开始探索人工智能和网络安全的结合，现在进展怎么样？

360 开始把人工智能和网络安全相结合是在 2009 年的年底，当时做了一款杀毒引擎，叫 QVM 人工智能引擎，2010 年年底上线，这在全世界是最早把杀毒引擎和人工智能结合的，非常成功。后来的几年在几个网络安全领域也尝试过使用人工智能技术，比如用人工智能判定 Web 攻击，这方面尝试的不是太成功，再比如在通讯协议的识别上采用人工智能，这个非常成功。

但我觉得，现在这个时间点上，所谓安全和人工智能的结合，里面有很多是虚火。人工智能火了之后，很多人把什么都打人工智能标签，号称自己是人工智能。这方面我相对来说还是比较保守的，我会区分这个东西它是自动化还是人工智能。

这个活儿过去是人干的，现在机器能干，这机器就是人工智能了吗？我觉得这个东西是有问题的，但是看这两年大家标签都这么打。比如说在安全领域，如果我说我机器能自动发现程序中的漏洞，你觉得这是不是人工智能？

 要分情况吧？如果只是一个一个模式去匹配，应该不能算人工智能。

就是对于过去已经发现过的一个软件中的漏洞，由于某种使用的模型，就有漏洞被利用的可能。如果机器能够发现这种模型，算不算人工智能呢？在我的标准里，这不算人工智能，但有人就会把它当人工智能吹。

比如说前两年美国搞了一个 CGC 网络攻防竞赛，在国内宣传的时候，有人就说是机器人对战。这种其实都是因为 AI 火，故意给它贴的标签。CGC 决赛的时候我也在现场，这个比赛谈不上什么人工智能。未来可能会加一点，但现在还不是。

但是有一个领域，我觉得人工智能是管用的，就是 Incident Response（应急响应）。应急响应是发现了问题，然后一步一步排查、处置的过程，这是一个决策过程，而今天的人工智能技术在解决决策问题上是很有效的，你只要有足够量的一个训练集或者历史的知识库，由机器来辅助决策还是很管用的。

在安全领域，我觉得未来会很有前途的就是故障处理，或者说事故处理的过程中，机器辅助人来做，这个部分算是 AI 。

人工智能在安全领域的应用，除了已经取得突破的领域外，暂时难以有太大的突破，用的最成功的就是恶意文件的鉴别，不仅仅 360 很早就在用，现在各大公司也在用。同义协议的识别这个领域，也被验证是成功的。下一步呢，我觉得在故障响应这方面会是成功的。

 网络安全总是会不断出现新的挑战，你觉得目前最大的挑战是什么？

我觉得物联网安全会是一个巨大的挑战。

物联网安全越来越被重视，但是改进起来很难。它不像某一方软件，比如不管是微软，还是 Adobe ，还是谁家的软件，真的发现了漏洞，大家报给他，他就很集中地去把它给改掉了，一个软件改起来相对容易。

物联网可不是这样的，物联网那么多企业造的东西，生产链条那么长，从芯片、电路板到上面的一些软件模块，到最后各种通讯协议等等，涉及的面太大了。

是的，所以它改起来很难。第二个，它关系到钱，软件修复个 Bug ，通过互联网分发，基本上不花多少钱。但硬件的话，已经卖到你家的摄像头，你让它改改试试？是召回还是怎么着，就涉及到无数的钱。

对于工厂来说，这个生产设备可能已经用了 10 年了，按照原来的生命周期可能还能用 20 年，今天说它里面有漏洞，咱们把它都换了，到哪去拿这个钱？

还有尺寸问题，计算能力问题等等，有的东西确实你是改不动的。前两年我和电力系统的一个老大谈，他说他们用的一些板子里面还是奔腾的处理器，哪怕现在新买块板子也是奔腾的处理器。奔腾的电脑可能在家庭里找都找不到的。

这是把两个词往一块拼的一个典型。怎么加 AI 呢？用人工智能去做物联网安全的防范加固是有可能的，但前提条件是你得有信息采集上来，你得有给 AI 最后去着力的地方。这是个 Idea ，我们可以往这个方向去试一试，但是具体在哪个方向能走的通，目前是看不清的。

第二个大的挑战是网络犯罪和网络恐怖主义。比如之前有人利用美国国家安全局（ NSA ）网络武器库中泄露的黑客工具“永恒之蓝”制作了恶意勒索软件。

今年还有个漏洞是 Windows 快捷方式的，我没记错的话编号是 8464 ，U 盘里放上特殊的 LNK 文件，插进电脑后 Windows 的多个版本操作系统都被通杀。这个漏洞的攻击方式和之前攻破伊朗核设施的震网（ Stuxnet ）非常相似。军用武器流落民间之后，可能会被网络犯罪分子所利用，还可能会被恐怖分子所利用。

现在的恐怖分子还比较土，网络上的攻击还少，但是一旦这个潘多拉的盒子被打开了，大家看到这个东西的 Power ，恐怖分子将来也可能往这条路上走的。所以，从反恐，到对犯罪的对抗，以及国家与国家网络战背景这些东西，都会是一个大的挑战。

 最近很多人谈论爬虫，你怎么看爬虫的存在？

大数据在很多领域确实被证明是管用的，就是一把榔头，能把很多东西当钉子敲。爬虫爬数据这个事情，是一个矛和盾的关系，总有人想爬，用各种防御手段防了之后，大家再改进自己爬的算法，用更多的 IP ，更多的服务器去爬，总还是能爬得到的。

但是这种方式，我觉得是难以形成核心竞争力的。大数据的竞争门槛在哪里？在你有多少自己所独有的大数据，而不是公共大数据，这会决定将来谁胜谁负，而你所独有的大数据是你的业务模型带来的。所以对于爬虫，我倒不觉得是多大事。

 近期电商平台促销活动频繁，“撸客”这个群体又火了一把。据说今年利用程序去抢券抢商品，整个产业链好像又进化了，有什么可行的解决办法吗？

薅羊毛的。我觉得要靠技术和法制两个手段联合来解决。单纯靠技术攻防，在短时间内是没办法有个结论的，就是来回打的过程。因为这个事有利可图，所以撸客也在不断提高自己的技术。

我觉得防御撸客的技术要有，比如针对各种刷量。但一定要结合法制，因为它是会不正当的侵犯一些商业利益，我觉得在法条的界定上，应该可以把它界定为非法，把干这些事的人关进监狱。把官方的和民间的结合，法制和技术结合，可能才能实现最高效的治理。

 这个思路挺好。近年来网络犯罪有什么发展趋势？

最近两年我们看 FBI 的数据和国内的数据，都是网络犯罪的报案总的数字没有大的增加，但是造成的损害是直线增加，就是折合成钱财损失，这个钱财损失的量在非常快速地增加，很陡的曲线。

我觉得是人们越来越多地依赖于网络空间了吧。你说为什么它的报案数没有明显增加？因为犯罪分子数量没有大量增加，他们能作案的数量是有限的，但是他可以找肥的去“宰”。

老百姓会遇到的第一大问题，就是隐私被窃取。关键是隐私被窃取之后，你没办法把它再收回来，会造成长久的麻烦，不管是电信诈骗的实施，还是未来通过个人信息拆解密码等等，造成未来在数字世界里面的一些损失。

第二，是你的资产越来越多都数字化了，那将来的盗窃等行为也会越来越多地在虚拟世界里发生，这确实会造成真实的钱财损失。再远一点，会有人身安全方面的问题，这是物联网带来的，它把网络空间和物理世界打通了，控制你的电子世界就可以控制你的现实。

 安全企业之间应该如何加强合作，共同应对网络安全的挑战？

国外的安全企业之间是既竞争又合作的关系，合作会多一点，国内的安全企业之间合作是比较差的。甚至我接触的一些国内安全企业的人，感觉他们之间跟仇敌似的，合作相对来说比较困难一些。

安全圈里有一句话，这个话说的比较难听，叫“池小王八多”，一大堆的安全企业活的都不好，互相恶性竞争的情况比较多。但现在呢，我们从去年就开始呼吁协同联动，因为我们共同对抗的是网络犯罪，网络恐怖主义等等这些东西，在这点上来讲，大家是一个战线的。

恶性竞争造成这个行业去年整个的收入还不到四百亿人民币，而同期预估的黑产的收入超过一千亿人民币，我们自己活的很悲惨，但是我们的敌人能够挣那么多钱，他们会越来越强大，这个情况是不好的，我们要努力地从这个圈子里面把自己拽出来。

其实用户不是没预算，政府也不是没预算，但是我们得让用户的预算花得出去吧？不能说预算花不出去，我们又因为挣不到钱，不能提供足够好的服务，这就非常得不偿失。

 在网络安全这件事上，企业和政府之间又是怎样的关系呢？

网络安全治理这个事，最终一定是政府和企业合作，包括警企合作，军民融合等等。因为各种各样的特性，政府想自己完全把这个事做好也不太现实，但是企业没有执法权，也没有去打仗的权利，在这种情况下要共同去解决问题，就是两方面融合，才能解好这个题。

 360 和警方合作的猎网平台目前取得了哪些成果？

猎网平台是在公安部网络安全保卫局和北京市公安局的指导下做的，现在其实已经在全国推广使用了。这个事情是个什么原理？老百姓有时候受一点互联网上的财务损失，比如说几百块钱，几十块钱，这个在现实中根本就不到立案标准。

这种犯罪模式就是，我每个都挣不多的钱，但是架不住人多，同样也能挣很多的钱。但是呢，我们用让老百姓上网报案的这种方法，把这些线索积聚起来，经过串并之后，能够把多个小案串并成一个大案，同时这个信息也给了警方破案的线索。

因为互联网犯罪，警方破案面临很多困难，它往往是跨地域的，人员出差之类成本都很高。用这种方法，我给他在网上汇聚以后，很多线索就看得很清楚了，甚至有的就能很精确地知道犯罪嫌疑人大概是谁。

让过去不可办的案子变得可以办了，保护了老百姓的利益，把犯罪分子扔进监狱。这个效果很好，全国目前是大概有三百多个地市在应用，我所知道的最新消息是应该会整个在全系统推广。

 从职业发展的角度看，网络安全是一个值得进入的好行业吗？

是，毫无疑问。你想，两年前说中国的网络安全人才缺口是 50 万，今年公布数字是 70 万了，这两年我们不断在培养人，每年高校的信息安全毕业生三万多人，再加上各个渠道培养的，结果我们这个缺口没有变小，反倒变大了。

第二个，我们可以看这个行业里面从业人员的工资，这几年是见涨了，比开发人员工资还要高，就现阶段看是非常有前途的行业。再从长远分析，我们这个世界越来越多的依赖软件，安全的漏洞会越来越多，要对保护的对象越来越多，完全不用担心失业这种事情。现在毕业的学生，在未来的几十年都不用担心失业的问题。

 行业需要什么样的人才？360 有培养计划吗？

网络安全既需要进攻型人才，也需要防守型人才。进攻型人才更加需要逆向思维与突破创新能力，防守型人才则强调责任心和快速学习能力。对于进攻型人才，我们要强调英雄莫问出处，重实际动手能力，轻学历。对于防守型人才，则需要研究如何在高校中进行大规模培养。

面对巨大的人才缺口，企业也需要积极参与共同解决。当然，企业的参与不应是公益性质的，而是要将网络安全教育与人才培养打造成一个可以持续盈利的产业。360 在网络安全人才培养方面也有明确的目标和计划，360 网络空间安全学院即将成立，我们的目标是每年为产业培养一万名网络安全防守型人才。

这个问题其实没有终极答案，是不断在演化的。我只能说最新的思想是，要针对性地设防，根据你企业的特点，会遇到什么样的安全威胁，去进行评估。

在不同的时间，企业安全威胁还在变化。安全是要花钱的，是要花人的，资源有限，你只能在资源有限的情况下最大化地利用这些资源保护自己的安全，这最后是有点艺术的一个问题。然后，过去人们都认为网络安全就是能防得住，现在基本上是相信自己会防不住，会被攻破，那么怎么样能检测得到，怎么样能够快速响应。

2017 年，大体的防御思想是这个样子。