尽管很多互联网公司都自信说我有安全的能力,但哪怕是BAT这样的巨头公司,有几万员工,那么多网络设备、那么多服务器,投入很多安全设备,也不排除哪一天有一个员工的疏忽带来安全漏洞,可能就导致整个系统被攻破。安全是一个整体战,某一家互联网公司被脱库,其他家也要去做检查,因为他的用户也可能是你的用户,没准用了一套口令。所以在安全面前没有人可以独善其身,所有人都可能是受害者。
问:您如何看待整个信息安全从业人员普通晋升通道较少或没有晋升通道,导致人员流失问题?
周鸿祎:这种情况现在很少了。未来网络安全产业应该会有爆炸性增长,比如现在国与国之间传统战争打得可能性不大,未来是贸易战、金融战、网络战,近几年美国在网络战上投入非常巨大。对于我国来说,网络安全从业人员薪资比之过去几年都涨了很多倍,雇佣一个高水平网络安全人员工资很高,百万年薪都不算高。
未来全球五百强企业,中国国企、民企在安全上投入都远远不够,即使有了安全大脑、人工智能、大数据,能够发现一些趋势、发现一些苗头,最后解决问题还在上面。现在中国网络安全人员至少有 100 万人的缺口,最后能不能找到好的工作,能不能拿到好的投资,有没有高薪的身价,还是取决于网络水平,所以赶快到 360 的网络安全学院来培训吧。(这个广告插入一点都不生硬)
问:如何降低企业安全人为因素的影响?
周鸿祎:安全制度肯定是要定的,但人性跟制度总是矛盾的,人性图方便、图省事,明明隔离网不让连接,偏偏弄一个路由器接进去。希拉里邮件门最近又被提起,希拉里邮件服务器就像公厕一样,全球黑客可能都去过了,因为完全打破了美国政府网络安全的规定,在自家网络里立了一台服务器收发政府相关邮件,都不用国家级黑客力量,可能全世界有兴趣的黑客都进去看了一遍,连前国务卿、总统候选人都违背安全规定,对这个问题真的是防不胜防。我的一个想法是未来用机器来监督。
如果美国政府定期给希拉里发邮件时,在邮件里放一个探针,发现发送目的服务器不在美国政府IP网络里,就应该提出警告,应该报警,或把发送邮件IP关闭,就完全可以避免这个情况。所以还是要靠技术的力量。
例如,现在安全大脑里有一套系统,很多单位私搭乱建WiFi,包括把你的手机跟电脑连上,都是相当于把单位网络打开了一个缺口,我们能够通过定期扫描,发现突然出来了WiFi,把WiFi给干掉。
有一个真实故事,原来我在办公室里买了一台新的音响,需要路由器连我的网络硬盘,我自己拿着路由器设了一个WiFi,没几分钟就被隔断了,我以为WiFi出了问题,我说你们产品质量怎么这么差,折腾半天,最后问了一下他们,他们说这是我们天巡系统在工作,发现有未经授权的WiFi,不知道,你应该报备一下。我相信用技术的力量发现这个问题。
