對話杜躍進：企業需要學會與政府對話

關於轉變

張耀疆：兩年來最大的轉變是什麼？

杜躍進：這個問題經常被問到，轉變還是非常大的。先說技術，很多東西和過去是不一樣的。我過去是安全的第三方，在國家的角度看的信息通信基礎設施，關注的是大規模蠕蟲、大規模的網頁掛馬、大規模的木馬活動、殭屍網路等，都涉及到大量用戶。

但現在是在互聯網企業，真正的痛點的是業務安全。比如搞促銷活動，可錢都被薅羊毛了，或者商家、客戶被騙，這些都造成業務損失。面對這些現實問題，如果只做到技術層面還遠遠不夠。

現在一切都來源於數據，所有行業一定都會轉到數據作為生產資料。你的數據有價值就會吸引壞人，圍繞數據就會引發安全對抗。我們容易將數據安全等同於系統安全，將大數據安全等同於雲計算安全，實際上這些都不一樣。黑產是現在數據用得更好的人，他們會從很多方面圍繞一個目標湊出一個數據，這種方法對於市場就叫精準營銷，對於黑產叫精準詐騙或精準攻擊。

你這邊在用數據，黑客在用精準詐騙，所以數據安全變成了非常重要的問題。社會上如果不斷出現大量數據泄露不能遏制，大家就會失去信心，甚至會什麼信息都不提供，那我們都無法發展，變成開倒車了。

張耀疆：是數據作為工具還是對象的安全？

杜躍進：是數據作為對象的安全，將我們的經驗不斷提煉，提升整個數據安全的水平。

張耀疆：從產業的角度來看，懂的人都覺得總書記的419講話很到位。

杜躍進：這個講話確實非常到位和準確。但是經對了，是否念歪了是另一回事。我2016年做了一場演講，題目是「人類會毀於網路安全嗎」。因為網路會融入到現實中去了，網路安全如果和現實安全依然脫節，或者說「網路安全」中的「網路」兩個字不能去掉，我們就死定了。今天阿里在打擊犯罪、建設社會誠信體系等領域的做法，我看到了兩種方式融合到一起的好處，這不僅解決了網路安全問題，還解決社會問題。有了網路，更多問題更好解決了，所以關鍵就是融合。

未來就是「新安全」，這個「新安全」也是來阿里之後才體會出來的。所以我沒有提前設計，只能不停地學習新東西。過去我看東西更客觀，以及位置足夠高，看到的是國家安全和國際安全。過去的經驗有點用處，用到企業里新舊結合，還能看到很多新的東西。

張耀疆：實際上你遇到的問題是全新的。

杜躍進：九成的問題都是全新的。

張耀疆：阿里現在這麼大，外面似乎覺得阿里不是技術導向，而是商業導向，你在這種氛圍下，感覺明顯嗎？

杜躍進：按照王堅的話，因為阿里商業上的成功太亮眼了，所以掩蓋了技術上的成功。但是阿里的商業奇迹，沒有技術的支撐是不可能的。

「雙十一」是人為製造的「技術魔鬼」，但是帶動了阿里技術的跨越式成長。數據加上計算能力和利用能力才有意義，阿里的計算能力都是自己做的，從資料庫到大計算能力到快速支付能力到後台風控，背後全是技術支持。VISA現在1秒鐘最高併發不超過5萬筆交易，阿里現在是1秒鐘12萬筆交易，這些背後的技術力量消費者都感受不到。

張耀疆：是不是還有對技術的應用結果的考量不同導致的刻板印象？例如阿里能否經受雙十一考驗，是否只是為了增加商業砝碼？

杜躍進：如果只是出於商業考慮，那就不會有阿里雲，更不會有阿里雲OS了。

張耀疆：安全行業做到價值體現的挑戰有沒有？

杜躍進：這個問題是有的，到底是出事好還是不出事好呢？阿里現在搞出這麼大的安全隊伍，不是因為打架，而是自己認識到了安全的重要性，而且阿里安全掌舵的就是CRO（首席風險官）。

新的工作方向

【耀疆手記】老杜說阿里正在部署在IoT方面的戰略，安全是很重要的保障，為此，阿里也建立了物聯網安全聯盟機構，打算以生態打造的視角做前瞻性布局，但具體落實到哪些點，目前還不方便說，但不久會有公布。

張耀疆：除了你構想的問題之外，能否舉點例子，和你工作結合如何體現？

杜躍進：我關注幾個方向，一是數據安全，按照阿里的CEO說，數據安全是我們的立身之本。過去說安全行業想要發展，光自己說說是沒有用的，很多公司CISO就是機房管理員，都不在公司決策層，面對安全問題能做的事很有限。而阿里CEO張勇在阿里安全峰會上去演講、在國家網路安全宣傳周上去演講，這是非常好的，說明公司一把手重視安全。我們是一家數據公司，我們要保護好用戶的個人隱私和數據，保護好自己的知識產權和商業秘密，防止濫用、誤用，防止被竊取。實際上在今天的實際環境中，數據安全成了一個全新的領域，而且面臨很多新的挑戰。

二是物聯網安全，現在大家都沒準備好，都是零零散散都在做，我們很希望大家能夠做出來什麼，引領一些對物聯網安全有幫助的東西，輔助物聯網的業務方向更好地往前走。

張耀疆：關於物聯網安全，你有什麼想法？

杜躍進：在物聯網的場景下，我們要尋找共性的東西，以及對共性的指導意見。雖然按照細分領域還是有必要的，但今天網路和現實世界在融合，也導致橫向融合更多了，未來有汽車互聯網、冰箱互聯網、醫療設備互聯網，將這些都切分開肯定是不行的，橫向安全也是要做的。未來阿里會有一些新產品發布。

張耀疆：每家大企業的提法都不一樣，很多東西還很難預期

杜躍進：現在物聯網很熱，但是不知道該做什麼，因為物聯網產業還不成熟。對於我們來說，前期就要做，不能等屍橫遍野了才開始做。阿里有自己的生態，有很多合作夥伴，有條件更早介入。而且阿里可以從基礎的事情做起，一旦有苗頭了，可以快速地將能力付諸產品。

關於安全創業

【耀疆手記】如果說安全產業是一塊蛋糕，很大一塊是被傳統勢力（特別是國家隊）瓜分了的，還有一部分是被大的互聯網公司自行消化了，中間一部分，是廣大中小企業，但這一塊，眼下還沒看到有一種好的商業模式能落地。也許，未來會有一種全新的模式，在這個領域開拓並立足。

張耀疆：對安全來說，看你依附的是什麼產業環境，有時不是安全圈想不想的問題，而是依附的對象怎麼看。

杜躍進：現在的趨勢是遷移到雲上，然後看安全圈提供給用戶的東西夠不夠，但是現在不完全夠。而且看你從哪個角度看，從掙錢的角度看，別人以為掙不到錢，但是存在大量的安全需求。

現在的情況是，老百姓是有安全需求的，阿里上面的幾百萬商家、螞蟻支付的線下那麼多商家，都有安全訴求，但全部都是長尾需求。如何體現你的價值，我也沒想清楚。

張耀疆：如果都想清楚，就是非常成熟的業態了

杜躍進：如果安全行業出現了阿里或者螞蟻這樣的企業，能夠找到為中小企業提供安全服務的方法，那就真是顛覆性了。

張耀疆：成功的沒見到，但是失敗的見到了，比如洋蔥，其實這個需求大家其實都是需要的，但是產品形態還是不清楚。

杜躍進：這個時代很有意思，我很感恩這個時代。至少是在變化，而且不管怎樣，總是有機會。

張耀疆：很多安全創業者的想法確實在變化，現在更務實一些，發現真沒那麼簡單。短期內會兩極分化，一邊是傳統勢力，另一邊是BAT等大平台，夾在中間就很尷尬。

杜躍進：安全的蛋糕肯定會變得更大，但是三種情況，一是體制內的大蛋糕是歸國家隊的，二是大企業的蛋糕幾乎是自己玩了，三是中小企業需求，這就是長尾了。

所以有沒有可能在安全業務模式上有創新？我現在還不知道是什麼。我倒是期待體制內的蛋糕能夠更開放，憑能力說話。只要兩三年後不捂蓋子，有能力安全公司還能挺住。但是捂蓋子時間長了，行業就扛不住了。

雖然有捂蓋子的苗頭，但是靠政府解決捂蓋子是可能的，中央政府和主管部門也不希望捂蓋子的。

張耀疆：從419講話到網信辦的組建，覺得都很利好，到了2016年網安法出台後，大家都覺得很擔心，突然一下子大量人關注，雖然有大單子出現，但都是看得見摸不著。

杜躍進：關鍵是不捂蓋子，最後是看效果、看能力，而不是看出身、看名牌。不然這樣也玩不下去。短期內還會比較艱苦，短期內可能還是看關係、看資質，但能力不可能是這樣出來的，能力是需要一點點沉澱出來的。

張耀疆：這兩年對創業來說挑戰很大？

杜躍進：短期靠著收購或融資，但這是不產生價值的，也是不可能長期持續的，目前格局還是沒有變化。

被收購之後，如果依然再往前走，還是能夠產生價值。也可能收購只是為了勢力上的平衡。

關於網路安全法

【耀疆手記】網路安全法將於2017年6月正式頒布，老杜一直是直接參与了相關工作的，包括當下具體落地細則的制定及討論。老杜認為，安全產業界一定要積极參与進來，這是和產業發展息息相關的。比如26條，關於漏洞挖掘服務的，直接就會影響到眾測業態，但總體上，儘管之前出了很多事情，大家還是希望不要湮滅一些新鮮事物。

張耀疆：您對網路安全法有參與嗎？

杜躍進：我從一讀稿開始就在參與，雖然網路安全法公布了，在6月1日執行前，各種有關規定還沒有落地，我們也需要和政府一起，幫助政府將細則制定得更有操作性。現在很多問題是無法操作的。比如26條（「展網路安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息，應當遵守國家有關規定）」，跟漏洞研究和風險評估、信息發布，一般人是不能隨便搞的。第62條也規定（違反本法第二十六條規定，開展網路安全認證、檢測、風險評估等活動，或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的，由有關主管部門責令改正，給予警告；拒不改正或者情節嚴重的，處一萬元以上十萬元以下罰款，並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款），沒有這麼搞我們就要罰你。但是「有關規定」是什麼，還不明確，就是需要制定的細則。

有些東西很有挑戰性的。我的建議是，這個時候不應該等著，而是主動和政策制定者一起將東西搞出來，而不是等出來后再罵。政府和企業的利益是一致的，政府也不希望將產業管死了，政府現在都會比較廣泛地徵求意見。

張耀疆：你覺得網安法有哪幾個關鍵的影響點？

杜躍進：我們應該和政府一起，將很多事情做得對行業有利。例如眾測，如果沒有廣泛的基數，那麼就沒有基本的防禦能力了。我還擔心只關心安全而耽誤了發展，這肯定不是大家希望看到的。安全不能變成發展的阻礙，這是共性的，所有人都一樣的。不希望將安全的基數搞沒了，這是所有安全從業者共同的利益訴求。

回復關鍵字，看最經典的黑客傳奇

回復011：原創 | 360譚曉生的方法論

回復012：原創 | 龔蔚：我不是黑客教父

回復013：原創 | Ucloud之父季昕華

回復014：原創 | 「蘋果」是我幹掉的，韓爭光

回復015：原創 | 雲舒，我為什麼要離開阿里

回復016：原創 | TK，從婦科聖手到黑客教主

回復017：原創 | 烏雲來了，我是方小頓

回復018：原創 | 破解了特斯拉的林偉

回復019：原創 | 刺風有道，吳翰清的雲端飛揚

回復020：原創 | 鐵馬「冰河」，俠骨黃鑫

掃描二維碼 關注更多精彩