CSDN&《程序員》雜志總編劉江：信息安全意識(shí)不足是安全事件頻繁的主要原因

5月24日，首屆中國網(wǎng)絡(luò)安全提速論壇在中關(guān)村軟件園召開。本次論壇主題為“如何建立安全人才快速培養(yǎng)機(jī)制？”，來自百度、CSDN、卡飯論壇、IDF威懾防御實(shí)驗(yàn)室等多位專家圍繞該議題展開深入探討。

CSDN&《程序員》雜志總編劉江

CSDN&《程序員》雜志總編劉江表示近年來重大安全事件頻發(fā)，而導(dǎo)致這些安全漏洞的多是一些低級問題。目前我國在互聯(lián)網(wǎng)安全上存在較多問題，這主要由兩方面原因造成。一是我國在信息安全人才培養(yǎng)上仍很滯后。相關(guān)專業(yè)的畢業(yè)生缺乏攻防實(shí)踐，進(jìn)入企業(yè)后還需很長的培訓(xùn)過程。二是大多企業(yè)對信息安全的重視不夠。

以下為演講實(shí)錄：

劉江：我對安全其實(shí)比較外行，跟安全比較相關(guān)的事情是曾經(jīng)參與翻譯過叫《黑客大曝光》的某一個(gè)版本，大家搞安全的可能知道這本書，是比較早期的比較權(quán)威的一本黑客的書。

此外，我們CSDN當(dāng)然有這方面的內(nèi)容，但是說實(shí)話，卡飯你們可能比較關(guān)注，所以安全內(nèi)容我們并沒有特別重視，這也是我覺得跟當(dāng)前整個(gè)安全現(xiàn)狀是有關(guān)系的。

近年來安全事件頻發(fā)

我這個(gè)列表，剛才鄭全戰(zhàn)也講了，最近事很多，我隨便截取了，我們可能也有報(bào)道比較重大的安全事件，這個(gè)現(xiàn)狀大家可能也都知道一點(diǎn)，我截取的還是今年的，基本上每個(gè)月都有一次甚至兩次非常大的事故。包括今年小米、Ebay等等，都是社會(huì)影響非常大的，再往下排，到了2011年底我們CSDN也出了600萬用戶信息泄漏事件，從那時(shí)候?qū)m幾百萬，甚至像SSL這種安全界有人說它是核彈級的，因?yàn)樗纸小靶呐K流血”，整個(gè)系統(tǒng)里面確實(shí)有一些跟心臟中樞有關(guān)系。

今年1月至5月份的安全事故，我們從網(wǎng)絡(luò)安全事故這么一個(gè)組合，從上往下講，各層都出了問題，大家也會(huì)發(fā)揮，無論是應(yīng)用層，像Struts是應(yīng)用層，攜程是自己安全管理上的一個(gè)問題，DNS包括SSL，其實(shí)屬于基礎(chǔ)設(shè)施層面的，小米其實(shí)是應(yīng)用層，原因是因?yàn)樗褂玫牡谌降恼搲绦蛴新┒?，Ebay我還沒看什么原因，就是這兩天報(bào)出來的。實(shí)際大家看到好像給外界的感覺就是，安全問題到處都是，現(xiàn)狀很嚴(yán)重。

 當(dāng)然現(xiàn)在來說，我覺得在像百度及其他國內(nèi)做客戶端安全工具的這些廠商的努力下，實(shí)際對個(gè)人有比較強(qiáng)烈影響的，像病毒、木馬這種東西的大規(guī)模爆發(fā)已被堵住了，某種意義上是降低了，現(xiàn)在很少聽到病毒影響非常多的終端用戶，現(xiàn)在反過來說我們服務(wù)器端的問題不斷爆發(fā)，就好象我們互聯(lián)網(wǎng)是一個(gè)大房子，發(fā)現(xiàn)到處都是漏風(fēng)的，現(xiàn)在有這么一種感覺。而且尤其像Open SSL這種問題，是一個(gè)開源軟件，大家廣泛引用的，這種東西暴露問題以后我們再看它的代碼，確實(shí)是很低級的錯(cuò)誤?，F(xiàn)在也有安全公司在做審計(jì)，代碼整個(gè)在看發(fā)現(xiàn)質(zhì)量還有很多問題，包括最近還有內(nèi)核的漏洞、芯片的漏洞，因?yàn)槲覀冏罱_的互聯(lián)網(wǎng)大會(huì)，無論從內(nèi)核還是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施都有問題。

 從技術(shù)原理來講大家也是可以理解的，搞開發(fā)的都知道，因?yàn)楝F(xiàn)在我們整個(gè)互聯(lián)網(wǎng)實(shí)際是一個(gè)大系統(tǒng)，無論從軟件、硬件加起來就是一個(gè)大的計(jì)算機(jī)、大的軟硬件系統(tǒng)，它的復(fù)雜程度在某種程度上超過了人類歷史上任何一個(gè)人工的工程，而這個(gè)又是全世界幾十億人在用的東西，所以它的問題肯定是存在的，這是一個(gè)現(xiàn)狀。

 這個(gè)是WooYun最新提交的，就這幾天，從22至24日幾乎每天都有很多漏洞報(bào)出來，這就是我們的現(xiàn)狀，實(shí)際是很嚴(yán)重的情況。我昨天突然在手機(jī)上登錄支付寶，當(dāng)然沒有很多錢，我突然發(fā)現(xiàn)忘記了密碼，登錄不進(jìn)去，就很緊張，登錄他的網(wǎng)站修改密碼非常麻煩，我想是不是我的密碼被人改了，后來發(fā)現(xiàn)是在淘寶上登錄的，讓人覺得安全是個(gè)很大問題。

我國在信息安全人才培養(yǎng)上仍很滯后

 今天我看話題其實(shí)是從人才來講，反過來我們看看人才情況。其實(shí)剛才我們看WooYun，因?yàn)閃ooYun大家知道，他的創(chuàng)始人是從百度出去的，他之前接受采訪時(shí)，我問過WooYun這些是什么，有很多是安全云，其實(shí)社會(huì)上五花八門，我相信卡飯也有一部分成員在里頭，他說最夸張的有的是做律師的、還有做廚師的，這是一個(gè)很有意思的事情，從我們安全培養(yǎng)上。到2001年我知道是因?yàn)槲錆h大學(xué)的張老師開始組建的，提出來，包括國家那時(shí)候也開始說嘗試，2001年武大組建第一個(gè)專業(yè)的時(shí)候是非正規(guī)的，因?yàn)閲艺惺珍浫∩蠜]有信息安全專業(yè)，直到什么時(shí)候才有呢？直到好像2010年、2012年才正式把信息安全專業(yè)擱進(jìn)去，所以這塊人才培養(yǎng)其實(shí)是非常滯后的。雖然到了2013年78所大學(xué)開設(shè)了，但是實(shí)際上我也看了，我之前也去過他們教研的會(huì)，包括武大的張老師，中國其實(shí)頂級的搞安全的學(xué)術(shù)界的老師基本上都是數(shù)學(xué)、密碼學(xué)背景的，他們搞的東西其實(shí)跟我們剛才說的跟老百姓息息相關(guān)的，不能說密碼很重要，但是其實(shí)他們搞的大部分跟實(shí)際上攻防這些東西，還是離的比較遠(yuǎn)的。

 所以他們的背景，你說整個(gè)建的體系、教學(xué)，包括他們師資，因?yàn)樗约海f白了，如果像這些國內(nèi)大的老師沒有真正一線的攻防實(shí)踐，比如在百度這樣的公司在安全管理去看，這個(gè)防大家知道，你如果沒有跟人打過，你就只能是金庸小說的王語嫣，你只是理論上的，教別人行，指點(diǎn)指點(diǎn)別人行，但是自己是有問題的。這塊我昨天晚上也專門查了，我看了他們最新幾個(gè)大學(xué)的師資情況、課程體系其實(shí)還是差不多的，這個(gè)東西其實(shí)挺難改的。如果你只是說這些大學(xué)的信息安全專家畢業(yè)的學(xué)生，我估計(jì)到了公司以后還是需要有一個(gè)比較長的培訓(xùn)過程，因?yàn)樗_實(shí)自己缺乏攻防實(shí)踐，真正比如說到公司里去做安全專業(yè)的工程師，你的系統(tǒng)是不是被攻破了。比如說像WooYun報(bào)了你公司一個(gè)漏洞，你到底該怎么處理，到底出了什么事，這個(gè)事怎么解決，嚴(yán)重性程度怎么樣，這種有很大的問題。

 包括我這個(gè)PPT里沒有寫到的，其實(shí)CSDN也是這么一個(gè)情況，我們在2011年，我們當(dāng)時(shí)密碼泄漏事故被報(bào)出來之前我們其實(shí)已經(jīng)知道了，因?yàn)樾畔踩挠行┤藛T已經(jīng)跟我說過，我們已經(jīng)做了一些補(bǔ)救措施，因?yàn)閿?shù)據(jù)是老數(shù)據(jù)，跟小米這次的相似，是某一時(shí)間段的泄漏，只是很小圈內(nèi)傳，沒有真正最后公開報(bào)。但是我們后來自己反思也是這個(gè)問題，其實(shí)對CSDN這樣我們一個(gè)專業(yè)技術(shù)性的網(wǎng)站，我們其實(shí)研發(fā)團(tuán)隊(duì)人也不算特別少，現(xiàn)在也將近100人了，有好幾十人，但是確實(shí)沒有專業(yè)的安全工程師。原因，一方面其實(shí)原來我們本身對這塊重視程度不夠，像卡飯也有這種，大家覺得交流討論問題，跟錢也沒有什么關(guān)系，所以這塊意識(shí)不太夠。

 但是反過來講，有很多層面的問題，管理的問題，包括我們開發(fā)上，其實(shí)大家看漏洞為什么這么多，跟我們現(xiàn)在除了信息安全專業(yè)之外，還有軟件開發(fā)這個(gè)專業(yè)，計(jì)算機(jī)這種專業(yè)。計(jì)算機(jī)專業(yè)整個(gè)教學(xué)體系里頭沒有把安全作為一個(gè)因素考慮進(jìn)去，最多就是有一門課是網(wǎng)絡(luò)安全、信息安全，可能還是選修課，不見得是必修課，但是一般概論課基本上就是幾塊講一講，但是實(shí)際上對我們，包括我剛剛講的例子，因?yàn)槲覀冎烂總€(gè)代碼、每行帶頭都可能出現(xiàn)漏洞，你想想我們整個(gè)互聯(lián)網(wǎng)這么多軟件應(yīng)用加起來，那個(gè)代碼量簡直是非常非常驚人的，如果每一行里頭都會(huì)有錯(cuò)誤的話，這個(gè)量只能是我們每個(gè)從業(yè)人員在基礎(chǔ)上是一個(gè)橫向大家都得有，我原來長期一直在做圖書、雜志這種媒體，如果讓我出什么幾千萬卷、幾億卷的一本書，有可能幾萬個(gè)作者，加起來可能幾百億、幾千億的，要讓我這個(gè)書里頭，因?yàn)闀镱^也是一樣，字也有可能出錯(cuò)，要讓我保證這個(gè)書里面錯(cuò)誤率多少或者不出錯(cuò)，不可能的事情，所以只能讓大家在整個(gè)產(chǎn)業(yè)來重視。

我其實(shí)之前也跟很多人在聊這個(gè)事情，包括我們在學(xué)編程語言，C其實(shí)是很容易出現(xiàn)安全漏洞的，因?yàn)樽钤?、最底層。你學(xué)C語言特性功能甚至函數(shù)之后，實(shí)際教科書就在講他可能出的安全漏洞是什么，你的編程規(guī)范應(yīng)該是什么樣的，就是一開始就把基礎(chǔ)打牢，這樣可能會(huì)好很多。包括Java語言等等基礎(chǔ)的編程語言級別的，我們就把安全嵌入進(jìn)去。

 這張PPT我想講的是什么呢，現(xiàn)在網(wǎng)絡(luò)安全其實(shí)問題很嚴(yán)重，但是人才幾乎是趕不上的。包括昨天我搜資料的時(shí)候看到一個(gè)學(xué)校，杭州電子科技大學(xué)還是哪里，還算不錯(cuò)的學(xué)校，他自己寫的信息安全專業(yè)這些年來辦了幾年以后專業(yè)學(xué)生去哪兒了，畢業(yè)就業(yè)情況，我看那個(gè)數(shù)據(jù)挺有意思。信息專業(yè)大部分并沒有搞安全，很多還是搞軟件開發(fā)、測試，就是跟計(jì)算機(jī)那些專業(yè)是一樣的，所以剛才說明我們信息安全專業(yè)需要量很大，但是現(xiàn)在供給是有問題的。

大多企業(yè)對信息安全的重視不夠

另外，現(xiàn)在搞安全的，或者說安全不知道是不是江湖有黑道、白道，這塊其實(shí)人數(shù)不足，大塊做攻的情況他是怎么樣的情況，他就跟我們不一樣，像信息安全專業(yè)的學(xué)生，往往學(xué)習(xí)還不錯(cuò)，報(bào)專業(yè)的時(shí)候可能因?yàn)榧议L或者自己聽說這個(gè)專業(yè)就業(yè)不錯(cuò)，然后報(bào)這個(gè)專業(yè)。我相信大部分人，從他的就業(yè)報(bào)告來講，很多學(xué)生并不是自己特別喜歡這個(gè)事。剛才我講到信息安全其實(shí)是要求很高的一個(gè)專業(yè)、一個(gè)職業(yè)，如果在這個(gè)公司，比如說CSDN要真正聘請一個(gè)安全工程師，基本上他什么都要懂，網(wǎng)絡(luò)安全也要懂、未來也要懂、應(yīng)用安全審計(jì)也要知道一些，所以他是全才。我們知道安全需要非常底層的，很多都是內(nèi)核級的，要求非常高的，這種人如果自己不是對這個(gè)東西特別感興趣，不是小時(shí)候拿著鐘就想拆掉，不是那種性格的人很難鉆到非常好。反過來說玩黑客的孩子很多是這種類型的，他可能學(xué)歷不高，就是說他可能甚至沒有上過大學(xué)，但是對這個(gè)東西自己就是感興趣，他喜歡往里鉆，往往你去看他好多漏洞的發(fā)掘者就是這樣，你看他背景很奇怪的，他并沒有經(jīng)過特別系統(tǒng)的，包括歷史上有很多大的著名的黑客你發(fā)現(xiàn)并不是是計(jì)算機(jī)專業(yè)多么深的背景，他自己因?yàn)槲覀冎榔鋵?shí)現(xiàn)在互聯(lián)網(wǎng)技術(shù)資料簡直是太多了，尤其是像開元代碼，像Open SSL當(dāng)時(shí)那個(gè)bug，你進(jìn)去看就能看到，就在那呢。

 所以現(xiàn)在的技術(shù)資料太多了，你真正如果對這個(gè)東西感興趣，對這個(gè)事情后面的機(jī)理感興趣，屬于這類的孩子?，F(xiàn)在的黑色產(chǎn)業(yè)，現(xiàn)在整個(gè)產(chǎn)業(yè)還是挺發(fā)達(dá)，有很多人講地下產(chǎn)業(yè)，可能比我們地上產(chǎn)業(yè)不見得小多少，這種情況下他可能進(jìn)出一個(gè)QQ群或者小圈子就可能跟著這些人。其實(shí)防比攻要難，要想這么一棟大樓讓每個(gè)地方不出問題，但是小偷整天在這兒轉(zhuǎn)，他對你保安的行為規(guī)則，包括用戶進(jìn)出，他搜集很多數(shù)據(jù)都在這兒搞，怎么都能搞進(jìn)去。我們看好萊塢那種《偷天換日》俠盜片，再強(qiáng)的保安禁不起賊惦記。這么一個(gè)前提下我們現(xiàn)在該怎么辦。

 現(xiàn)在黑色產(chǎn)業(yè)里面整個(gè)產(chǎn)業(yè)鏈確實(shí)真正掌握核心技術(shù)的還是少數(shù)的，現(xiàn)在寫簡單病毒現(xiàn)在容易了，現(xiàn)在也有代碼、引擎類似的東西，但是要真正寫一個(gè)比如說百度的助手、百度的安全產(chǎn)品等等這些產(chǎn)品，防不住的，或者至少是一定范圍內(nèi)能夠影響大范圍的，這還是有點(diǎn)難度的?，F(xiàn)在很多年其實(shí)沒有出現(xiàn)特別大的，后來發(fā)現(xiàn)是美國和以色列的專家力量專門寫了要攻擊伊朗核電站的，包括現(xiàn)在整個(gè)范疇有意思的是，因?yàn)榛ヂ?lián)網(wǎng)滲透的太深了，現(xiàn)在物聯(lián)網(wǎng)的概念也比較強(qiáng)，所以以后我們很多控制，之前也有一個(gè)報(bào)道，現(xiàn)在安全非常隱患大是什么，就是專門有一個(gè)環(huán)球組織搜集全世界的工業(yè)物理這些安全控制系統(tǒng)的問題，他到處去掃描。他掃出來有非常多驚人的掛件，比如說甚至哪個(gè)國家核彈控制系統(tǒng)是有漏洞的，然后又大壩，比如三峽大壩閘門開啟的系統(tǒng)，當(dāng)然不是我們的三峽，是國外另外一個(gè)，閘門開啟時(shí)候的漏洞。大家想象一下，如果三峽這個(gè)大壩黑客掌握了，我哪天按一下，這個(gè)大壩突然閘就打開了，這是多么恐懼的事情。很多路上的紅綠燈的控制系統(tǒng)，管理的密碼都是1234之類的，他專門搜尋的是一個(gè)數(shù)據(jù)庫，大家其實(shí)有興趣可以去查一查，五花八門什么都有，所以這種情況下這個(gè)問題確實(shí)非?？膳?。

 下邊的漏洞發(fā)掘，當(dāng)然這個(gè)東西要求有難度，但是往下，像我們CSDN以前說，到網(wǎng)上下載一個(gè)小代碼或者一個(gè)牧馬或者一個(gè)攻擊的工具或者掃描簡單的一些黑客的手段就可以，其實(shí)他是一個(gè)金字塔型的，但是一旦這里頭有一些有天賦的人。像當(dāng)時(shí)“熊貓燒香”的作者李俊，他也其實(shí)學(xué)歷不高，他就能學(xué)這種。一旦里頭有一些人在黑色產(chǎn)業(yè)驅(qū)動(dòng)下，沿著金字塔往上了，而且這種人越來越多的話，我們以后的形勢會(huì)越來越嚴(yán)峻，所以這是現(xiàn)在的形勢。

 怎么辦呢？我自己一直在想這個(gè)事情，實(shí)際上可能各方面這是很大的問題，各方面可能都需要，比如說我們現(xiàn)在法律的問題，現(xiàn)在為什么現(xiàn)實(shí)生活中搶銀行的人還是少，實(shí)際上銀行很難搶嗎？不見得，但是為什么搶銀行的少？因?yàn)榉珊車?yán)，很可能干一下就是殺頭的罪。我們現(xiàn)在網(wǎng)絡(luò)這塊好像還沒有這樣的案例，判的還比較輕，這個(gè)威懾力這個(gè)產(chǎn)業(yè)是需要的。

 另外，我們想從經(jīng)濟(jì)角度講，能不能給更多的，就是我剛才說的，現(xiàn)在可能處于不黑不白的階段把很多孩子他對這個(gè)感興趣，不見得學(xué)歷很高，就是這個(gè)我們的對面甚至在我們中間的這些年輕人，我們怎么能夠給他更多道路的引導(dǎo)，一方面，怎么學(xué)校能夠更多的培養(yǎng)，包括社會(huì)上我們的力量，能夠讓大部分人順利的轉(zhuǎn)到信息安全保護(hù)防的這個(gè)層面。另外，可能現(xiàn)實(shí)生活中都能從事這個(gè)專業(yè)的工作，但是他還會(huì)保留這些興趣，這些人能不能建立一個(gè)，就像WooYun這個(gè)平臺(tái)起來之后我覺得是很好的事情，但是我們是不是整個(gè)產(chǎn)業(yè)能夠給這個(gè)事情更多的支持。國內(nèi)其實(shí)公司整個(gè)產(chǎn)業(yè)環(huán)境還沒有到那個(gè)，包括最近小米這個(gè)事情出來之后，他們出了一個(gè)獎(jiǎng)勵(lì)計(jì)劃，最嚴(yán)重的好像才1000元的獎(jiǎng)勵(lì)，這個(gè)力度肯定是不能跟黑客產(chǎn)業(yè)比的。

 不能說黑客產(chǎn)業(yè)預(yù)期給那么高，我覺得也不太現(xiàn)實(shí)，但是我覺得能夠再高一些。現(xiàn)在國外像Google還有一些公司，他的獎(jiǎng)金其實(shí)有的還不錯(cuò)，包括10萬元。包括我們更多的活動(dòng)，就是給他們更多的回饋跟激勵(lì)，讓他們引導(dǎo)，引導(dǎo)到正路給他們。而且同時(shí)也能滿足他技術(shù)的好奇心。

 另外，WooYun那個(gè)平臺(tái)做的非常好的是，首先精益上好像沒有達(dá)到那個(gè)程度，例如誰報(bào)的一個(gè)漏洞我們提前就去改進(jìn)它，建立一個(gè)機(jī)制，現(xiàn)在額度還不太高，但是WooYun畢竟給了這些人，他有激情、有熱情給了他一個(gè)很好的發(fā)揮的余地，比如他有一個(gè)排行榜，白帽子排行榜，這個(gè)榮譽(yù)感是很好的，所以類型的東西我覺得是非常好的。

 另外，從整個(gè)安全角度講，像對于終端用戶其實(shí)還是有很多工作可以做的，我想百度這塊，包括做安全工具，包括百度因?yàn)樗且粋€(gè)大品牌，大家都在用的。百度很多細(xì)的工作都是可以做的，比如很簡單的，你的密碼怎么設(shè)，因?yàn)槊看蚊艽a泄漏出來以后，包括CNN也是一樣。你會(huì)發(fā)現(xiàn)弱密碼太多了，密碼到底應(yīng)該怎么弄，這個(gè)事情其實(shí)對終端用戶教訓(xùn)還是有的。比如說簡單的有幾個(gè)大家又好記、又好操作的強(qiáng)密碼的設(shè)置規(guī)則，這個(gè)還是我們做的。包括攻防方面怎么設(shè)計(jì)，包括還有一些方案，尤其現(xiàn)在手機(jī)上可以替代密碼至少補(bǔ)充密碼的，包括現(xiàn)在驗(yàn)證、發(fā)短信這種東西，這種東西還是可以做的，這樣可能可以大大降低這樣一些東西。

 愛好者剛剛已經(jīng)講了。專業(yè)人員這塊，我們百度包括CSDN確實(shí)可以多做一些事情，怎么能夠跟高校結(jié)合，包括跟一些培訓(xùn)機(jī)構(gòu)，比如培訓(xùn)機(jī)構(gòu)現(xiàn)在也有兩類，有一類是不清不白，包括之前有華夏這個(gè)聯(lián)盟，是被公安局查獲的，就是說你怎么教其實(shí)還是很大的問題，因?yàn)榻鹱炙旅嬉粚尤耸亲疃嗟?，如果在他入門的時(shí)候就給他更多的領(lǐng)導(dǎo)、給他行業(yè)的支持，這是很好的事情。

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)