如果你熟悉安全行业,会发现有些人的这个周末过得并不平凡,一场汇集了全国顶尖网络安全战队的网络安全挑战赛在郑州举办。这场大赛上出现了很多平常不在一起“打架”的公司,为什么这次大家一块来?雷锋网提示一下,看看它的衍生论坛的背景你就懂了:本届“强网论坛”由中央网信办网络安全协调局指导,在教育部高等学校网络空间安全专业教学指导委员会的大力支持下,由河南省互联网信息办公室、郑州市人民政府和信息工程大学共同主办,郑州高新技术产业开发区管委会承办。
一句话:根正苗红。
在这场论坛上,很多公司的大佬“表明了一下观点”,有意思的是,曾经在很多国际黑客大赛上夺冠的360 却改变了立场。周鸿祎放话说,国内的安全从业人员不要出去打比赛。
这两年来,以往知名的国内公司不高调派人出去打比赛已是既定事实(雷锋网不说,原因你自己猜)。不过,这么“点对点”在公开场合聊这个话题的人不多,我们来看看,周鸿祎说了什么。
以下观点出自周鸿祎在上述强网论坛中的演讲(除了摘,一个字都没有改):
这两年国内的网络攻防大赛开始多起来,这对于中国网络产业的发展,机制的改善,包括人才的培养,我认为非常重要。早几年,中国没有这样的比赛,大部分网络攻防比赛都在美国,大家都非常清楚,很多中国公司组织队伍出国参加比赛。
头几年我们参加比赛很爽,就像参加奥林匹克,拿了名次为国争光,我的团队也很高兴,因为参加比赛往往能拿到很多大奖,头奖还有上百万人民币的奖金。美国人还伸出橄榄枝,欢迎这些安全专家到美国去工作。
后来我就发现不对劲了,仔细地研究了一下,美国这些大赛背后,不是美国的军方就是情报机构,天底下没有免费的面包,美国人怎么这么慷慨啊?拿钱来培养我们的人?不是的,美国的网络攻防比赛都是真实的命题作文,拿一台真实的路由器,拿一个真实的IE,拿一个真实的苹果手机,就让你来攻。
你要真想攻破,你以为靠的是什么?靠的是你有漏洞。所以,你到美国去打比赛,最后就把自己挖掘到的漏洞,在美国人面前秀了一下,这个漏洞就被美国人知道了,等他们做好应对措施之后,这个漏洞就再也没有用了。
这实际上是我们国家网络安全巨大的损失。一个未知的漏洞,如果你留给国家漏洞库,它就有可能成为网络战的武器,成为网络战略武器的一个重要的组成部分。但是我们就为了去参加这种网络攻防比赛,无意识地把这些漏洞都暴露给其他国家了。
我还发现,我们参加海外的网络攻防大赛,前几名往往被 360 和腾讯包了,最后比赛的前十名里有八支都是来自中国的队伍,还有两支来自韩国,没有美国的团队。是美国人水平不够高吗?错了,我们都知道美国的网军、黑客团队,网络攻击能力全球最高,为什么人家不来参加比赛?因为人家不愿意把他的技术暴露出来。
中国要继续保持开放,要保持国际交流。但是在网络漏洞这个问题上,它是有国别的,因为网络安全事关国家安全。美国有一个《瓦森纳协定》,他们把网络漏洞当成了网络军火一样进行控制,不允许它的研究人员到《瓦斯纳协定》控制出口的国家来进行漏洞技术的研讨,哪怕我们邀请,他们也不允许美国官方或者军方的研究团队,到他们认为是对手的国家参加网络攻防的大赛。
有了这些发现之后,我对 360 的安全团队说,我们不要去参加美国的网络攻防比赛,可能对个人是一个名利双收的事情,但实际上对国家不利。后来我们确实就这个事,给国家有关部门做了报告,提到这个问题的严重性,所以有关部门现在对国内安全团队和专家去国外参加网络攻防比赛有了相应的规定。
我希望网络安全从业人员要理解,网络攻防比赛其实对国家安全的意义非常重要,要不然美国人就不会这么重视。现在国内的网络攻防比赛越来越多,比如“强网杯”、“天府杯”等等,为我们国家的安全产业从业人员有一个更加安全可靠的竞技平台。在网络战的时代背景下,中国一定要有能力保护好我们国家的网络,才能成为一个网络大国变成网络强国,网络安全产业的每一个人对此都责无旁贷。
你觉得他说的有道理吗?欢迎给雷锋网宅客频道(微信ID:letshome)留言。