騰訊安全玄武實驗室負責人于旸5月19日在“今朝安全眾測平臺”啟動運行發(fā)布會上發(fā)表演講。

人們對信息技術、網絡空間的認知，經歷了幾個不同的階段。計算機、網絡剛誕生的時候，大家覺得計算機和網絡就是一個工具， 和人類歷史上發(fā)明的那些工具一樣。后來，隨著信息技術的不斷發(fā)展，在各行各業(yè)的應用不斷加深，人們意識到這個工具和以前的那些機床、錘子、鉗子不太一樣。雖然信息系統(tǒng)本身只是工具，但是里面的數據卻是資產。人們還意識到了網絡空間可以和物理空間互動，可以對物理空間造成影響。再后來，人們意識到網絡空間會成為人類生活乃至生存的空間，會和物理空間融為一體，不可分離；意識到網絡空間里的疆界也是國家疆界的一部分。

　　對網絡、信息技術有了這樣一個認知之后，人們終于明白網絡安全問題也會變成社會安全問題，甚至是國家安全問題。前段時間就有一個非常典型的案例：美國一家天然氣管道運營商由于受到網絡攻擊，停止運營了兩天。也就是說，因為網絡安全的問題，導致了一個國家的基礎設施停運兩天。

　　信息產業(yè)界對網絡安全的認知也有漸進的幾個階段。20多年前，信息產業(yè)界對網絡安全處于一個建立認知的階段。這個階段大家還在逐漸去理解網絡安全是什么，意味著什么。當時一些企業(yè)的認知還是“被入侵了大不了重裝系統(tǒng)”。但后來，企業(yè)逐漸開始重視并嘗試解決網絡安全問題，開始從技術、管理上探索，希望通過安全技術、安全流程，從內部去解決安全問題。這個階段很有成效，出現(xiàn)了很多新的安全技術和安全管理手段。到了第三個階段，企業(yè)在使用了各種安全技術和管理手段之后，終于發(fā)現(xiàn)網絡安全問題不只是技術和管理的問題，它還是一個生態(tài)的問題。這個生態(tài)包括技術的生態(tài)和人的生態(tài)。技術生態(tài)是什么？是很多企業(yè)發(fā)現(xiàn)，即使把自身的安全能力做得很強也還是不夠，因為隨著信息產業(yè)的發(fā)展，多數產品都不再是獨立的。系統(tǒng)中要用到別人的組件、別人的產品、別人的代碼，這里都可能會有安全漏洞。人的生態(tài)是什么？就是企業(yè)如果僅僅依靠自己內部的力量，再怎么強也是不夠的，也很難把安全做好，還需要和安全社區(qū)有良好的互動，引入外部視角，建立行業(yè)協(xié)同，避免“燈下黑”。

　　眾測這種模式是整個行業(yè)探索了幾十年之后，摸索出來的一種通過生態(tài)的方式來解決網絡安全問題的有效補充手段。它可以補充企業(yè)內部技術和管理手段的一些不足。

　　在一個企業(yè)內部，不同角色、崗位和個體之間的認識是有差異的。網絡安全是一個高度專業(yè)性的工作，非從業(yè)人員很難理解這個工作，就像病人無法理解醫(yī)生為什么要開那么多化驗單。同時，和企業(yè)的其它投入相比，網絡安全是純粹的成本投入，不創(chuàng)造利潤。網絡安全投入的價值在于可能挽回高額的損失。但是，如果網絡安全工作做得特別好，長期不出事，反而容易讓決策者錯誤地認為網絡安全工作不困難，網絡安全風險不大。這就是“上醫(yī)治未病”和“善戰(zhàn)者無赫赫之功”之間的矛盾。所以，眾測這種模式，除了能夠切實幫助產品和業(yè)務去發(fā)現(xiàn)一些問題，還有技術之外的意義，就是起到“牛虻”的作用，起到一個警醒的作用，幫助整個企業(yè)建立對安全的認知。

　　我們知道漏洞是動態(tài)變化的，是長期存在的，是挖不完的，所以眾測也需要是一個長期的、持續(xù)性的工作。“今朝安全眾測平臺”這樣一個國家級眾測平臺的建立，對中國的網絡安全建設是非常有意義的事情。作為一個在網絡安全領域工作了20年的老兵，我在這里也號召中國的網絡安全研究者們積極地加入到這個眾測平臺里來，為我國網絡安全事業(yè)做出貢獻。希望大家在幾十年之后，到退休的時候，回首自己的職業(yè)生涯，能有一些值得驕傲的事情，可以和子孫們聊一聊。