“百變角色王”談大數據時代信息安全防護策略
——訪奇虎360科技有限公司首席隱私官、副總裁譚曉生

本刊記者：胡曉荷

“百變角色王”談大數據時代信息安全防護策略
——訪奇虎360科技有限公司首席隱私官、副總裁譚曉生

本刊記者：胡曉荷

譚曉生：畢業于西安交通大學計算機科學與工程系計算機應用專業。奇虎360科技有限公司（NYSE：QIHU）首席隱私官。 2009年7月加盟北京奇虎科技有限公司擔任副總裁，負責公司網站技術、技術運維、數據分析與挖掘、云查殺、云存儲等業務的技術團隊管理。

時值《信息安全與通信保密》積極與時俱進的新一輪改版之際，我們走進了奇虎360科技有限公司。

關于360首席隱私官、副總裁譚曉生先生，坊間不少關于他的傳說。作為360團隊的重要核心人物之一，譚曉生被稱為“百變角色王”：他是“救火隊長”，因為企業發展需要或情況緊急時，他總能以智慧扭轉局面；他是技術高手，在各種演講報告時，譚曉生給人的印象總是非常懂技術的高層，靠積累形成了比較龐雜的知識體系；他還被稱為“譚校長”，這個名號得自他帶團隊的卓越成績,他自己也不無得意地說：培養人讓我很有成就感。“啥事老譚管,不會差到哪里去。”難怪360另一位核心人物齊向東對他如是評價。

這一次我們帶著關于大數據時代信息安全防護體系建設的許多問題近距離訪談這位傳說中的“百變角色王”——譚曉生。

信息安全防護，首先得有“看見”的能力

針對《信息安全與通信保密雜志》關于大數據時代我國所面臨的網絡安全威脅的提問，譚曉生侃侃而談。

他首先介紹了大數據時代中國網絡所面臨的風險。他說，習總書記在2016年的網絡安全和信息化工作座談會上講，從世界范圍看，網絡安全威脅和風險日益突出，并逐漸向政治、經濟、文化、社會、生態、國防等領域

傳導滲透。特別是國家關鍵信息基礎設施面臨較大風險隱患，網絡安全防控能力薄弱，難以有效應對國家級、有組織的高強度網絡攻擊。

譚曉生概括說，中央領導的判斷高屋建瓴，是非常準確的。中國網絡安全仍然面臨著比較大的威脅。從國家層面說，我國是受到網絡攻擊最為嚴重的國家之一。過去的12個月里，360威脅情報中心通過大數據分析，共監測到10多個針對中國的高級持續性威脅（APT）攻擊，也曝光了諸如“海蓮花”這樣的黑客組織長期對我國政府、事業單位、高等院校持續不斷的長年攻擊。

在企業安全方面，現在都講云計算，隨著互聯網巨頭的紛紛入局，云計算的發展從無到有，不少人說進入了云時代。但是整個行業在云安全方面都做得非常粗淺。大數據云化之后，安全的情況將會變得更加復雜，一旦云服務遭到攻擊，所帶來的損失將遠大于以往幾個服務器被攻破的風險。近期曝光的“毒液”漏洞暴露出云廠商在安全意識上的不足。

說起挖出APT組織的經歷，譚曉生臉色有些凝重。我們知道，近幾年來，APT攻擊事件此起彼伏，從針對烏克蘭國家電網的網絡攻擊事件，到孟加拉國央行被黑客攻擊導致8100萬元美元被竊取，APT攻擊以其無孔不入的觸角延伸到了全世界各地，幾乎所有的重要行業如政府、金融、電力、教育都受到了APT攻擊的威脅。神秘的APT攻擊從攻擊開始到達成目的，有的甚至可能潛伏長達數年，對APT組織的未知導致人們在面臨APT攻擊時的茫然無措。

在“ISC2016中國互聯網安全大會”召開前夕，360威脅情報中心追日團隊再出力作，正式對外公布2016上半年十大APT攻擊組織，揭密那些曾經造成重大網絡安全事件的神秘黑客組織。

譚曉生說，360威脅情報中心在過去的12個月里，通過對威脅情報的大數據分析，共計發現并跟蹤了72個安全事件，其中APT的55個。已經梳理成報告的達29個，公開發布6個。

360公司在大數據分析技術方面一直處于行業領先地位，如何利用大數據技術來維護網絡安全，以及如何維護大數據本身的安全，如何擁有“看見”的能力，我們非常想了解360是怎么做的。

譚曉生介紹說，網絡攻擊者為了隱藏身份通常使用代理服務器作為跳板。這個跳板的更多數據，可能在另外一個國家，也可能在另外一個企業機構，數據海量又隱藏極深，大數據就是要“看見”這些威脅。360作為中國少數大的互聯網安全公司之一，擁有13億終端用戶，擁有全球最大的活網址庫和海量的第三方數據庫，目前的樣本庫總樣本已經超過95億，主動防御庫總日志條數達到50000億條。360安全中心每天發現新增黑樣本109萬個，每天發現的各種軟硬件漏洞、網站漏洞超過120個。依靠全球威脅情報感知系統，這些數據庫每天還在源源不斷地更新，這些大數據都為國家、企業和個人提供了最為強大的武器。攻擊樣本、攻擊方法、IP、URL、郵件、電話號碼、聯絡地址以及人和機構都是數據，孤立來看實施網絡攻擊的數據都是一個個毫不相干的“點”，連蛛絲馬跡都算不上，但是360擁有的大數據能將這些看起來毫不相干的“點”連起來，通過大數據分析，就有可能最終形成一個完整的攻擊軌跡圖，也

就是說依靠大數據分析，360擁有了“看見”的能力。

譚曉生繼續介紹說，另外，我們不斷地將協同聯動，維護網絡安全命運共同體，就是要實現網絡數據的完整性、安全性、可靠性。協同不僅僅是內部分析師之間的協同，還需要產業間的協同，政府與企業之間的協同。360公司已經和多個合作伙伴共同建立了一套完整的協同防御體系，就是把各種大數據集合起來，產生威脅情報，再加上安全專家和產品體系，形成一個預測、檢測、響應、溯源一體化的安全協同防御體系。這也是保護我們大數據安全的一個辦法。

信息安全防護，團隊管理與人才培養是關鍵

我們深知作為“百變角色王”之譚校長，尤其擅長技術團隊的構建與管理，談到這方面的經驗，譚曉生爽朗地說：我對技術天然感興趣,了解這些技術其實也花不了多少時間。有些攻擊方法,我不需要去看細節,那是TK的長處。我腦子里只要飛快地推導出他的邏輯就好,看能否推得通,再讀文章去驗證。如果差不多,我就不會去摳一些具體指令了。畢竟我要做安全團隊的管理,如果做不到這一點,和兄弟們就談不到一塊去。當然,我也可以務虛,但一定是對實際工作有幫助的,比如針對具體的問題,我會去研究,努力找到問題的根源,從根上解決問題。

近些年，我在思想上也有轉變,管理方式比過去更靈活。我現在不要求程序員寫文檔,因為在2C的業務中,70%的代碼只會被用到1次,那還考慮什么代碼重用的問題！反正人都在這里,讓他自己維護就行了。我還允許程序員重寫別人的代碼,但是不計算工作量,就是為了尊重他們的個性和習慣。

構建管理團隊，必然與人才和人才培養產生聯系。譚曉生善識并樂育人才,雖非老師,也算是桃李滿天下。談到目前我國網絡安全人才培養的現狀，譚曉生作了一個基本判斷，他認為，目前，中國網絡安全人才缺口約50萬人，我國互聯網安全人才的匱乏主要體現：總量嚴重不足、人才外流嚴重、黑暗誘惑太多。

他說，現在企業面對最大的安全問題是安全管理人員嚴重不足，很多企業都缺乏安全管理方面的專業人才。目前很多高校并沒有相關的網絡安全專業或研究機構，而且高校安全人才培養和企業需求存在脫節。但是，當下網絡安全專業的政策導向明顯好轉，國家現在十分重視網絡安全教育，安全就業的形勢良好，很多高校開始開設信息安全專業，并聯合企業開設網絡安全學院和實驗室。

自2003年開始做校園招聘，譚曉生歷年招聘培養了超過300名大學生，這些學生現在廣泛分布在百度、騰訊、阿里巴巴、新浪等互聯網公司，我們很想了解企業在網絡安全人才培養方面應該有怎樣的擔當和作為。

對此，譚曉生介紹說，網絡安全的本質是攻防對抗，更確切地說，是人和人之間的攻防對抗。不管是網絡安全行業的基本運營還是進步發展，安全技術研究或者安全產品創新，人才是根本，網絡安全人才培養是企業安全乃至國家安全的基石。企業應該承擔起更多的社會責任，與政府、高校協同合作，發揮資源優勢，注重安全實踐，聯合培養網絡安全人才。360一直倡導產學研協同的創新生態，即對產學研模式和協同創新理念的高度融合，充分促進校企深度合作，更好

的輸出合作成果。在安全人才培養方面，360涉及聯合開放實驗室、網絡安全研究院、校園行活動賽事、安全基金與課程等四大方面。

譚曉生舉例說，在創辦網絡安全研究院方面，360公司聯合一流高等院校，打造國際一流的網絡安全研究機構，形成我國網絡安全技術創新和人才集聚的高地。目前360與武漢大學聯合共建“國家網絡安全研究院”、與北京航空航天大學合作建立汽車信息安全研究院等。同時，360開放實驗室覆蓋全國百所高校相關專業老師，包括360與北京大學聯合共建“數據可視分析聯合研究中心”，與西安電子科技大學聯合共建“系統安全與大數據聯合實驗室等。在青少年網絡安全教育方面，360聯合共青團中央發起了青少年網絡安全教育工程，以“互聯網+教育”的模式在中小學普及網絡安全教育，目前工程已覆蓋全國10個省市，59座城市，3萬多所小學，400多萬個班級，影響1.2億中小學生。

方略濟世，人才為先，安全防護，人才為要。無疑“譚校長”為信息安全防護戰略開出了一劑有體系、有實踐的良方。

信息安全防護，守好隱私的各個防線

譚曉生的職務是首席隱私官（CPO），CPO是個比較時髦的詞匯，其職務的由來，譚曉生說，我的首席隱私官(CPO)是2012年3月15日正式任命的。當時競爭對手不斷給我們潑臟水，要自證清白很難，我們就出臺了用戶隱私保護白皮書，想先建立一個標準。其實從2000年開始,美國很多大公司都有首席隱私官的設置，基本上都是由律師擔任的，主要是確保產品不侵犯用戶隱私。但信息安全是非常技術性的工作，一般律師做這個難免被忽悠。

我這個CPO可是實打實的,在360,沒有我的郵件批準,哪款產品都不能發布,經過我否決的產品有不少。如果某個產品因為安全隱私過不了關,誰打電話給我求情都沒用。這事情之前一直都是我在做,直到2016年年初,我才授權另一位資深專家隱私審批權,整個360就我們倆有這個權利。這種機制帶來的好處,就是迄今為止,沒有出現過經我們授權后隱私方面出事的例子。我們基本原則:不該看的不看,不該傳的不傳,不該存的不存,不該用的不用。

技術方面我們也做了大量工作。我們曾集中力量檢查通信模式,因為如果別人要偷用戶隱私,就必須把信息送到服務器上來。于是我們開始梳理通信模型,找了一組人看了半年,從26萬多種通信模型中找到100種需要解釋的模式,又從100種模式里面挖掘出了20種涉嫌違反用戶隱私保護條款的,然后堅決要求他們改正。

在個人信息安全方面，前不久發生的徐玉玉受騙案，詐騙團伙實際上提前已經掌握了她的基本信息，這種信息很多是從網絡渠道獲得的。補天平臺收到的企業漏洞達到7萬個，但是修復率不到一成。有漏洞，數據非常容易泄露，黑客真正拿出竊取數據進行詐騙等攻擊時，攻擊的成功率會非常高。另外，萬物互聯時代，人們也愿意用信息換取“更便利”，數據從一個個“孤島”都匯聚起來了，人就會像生活在一個玻璃盒子里面，大數據和分享經濟使人們的生活變得更加便利了，但弊端就是個人信息可能會被使用甚至被惡意利用，造成的危害也非常大。

譚曉生介紹說，目前攻擊智能設備常見的

三種方式：一是通過無線聯網，通過藍牙、WiFi或ZigBee，智能設備要和其他設備產生通信，這就產生了第一個攻擊點，通信協議如果不安全，就容易被破解。二是智能設備的管理系統，比如通過手機可以管理一個智能硬件，這個手機和智能設備直接連接，它會連接到一個平臺上，對這個平臺進行攻擊，下達篡改控制指令，這個智能設備也就被攻擊了。三是手機上有控制智能設備的App，App如果有漏洞或者App和控制平臺之間的協議有漏洞，只要仿冒一個身份發一個指令，通過控制平臺就可以間接實現攻擊。

對于這方面的安全問題，360公司早就開始有所行動。360公司其實是國內最早搞攝像頭安全研究的，這些研究成果會提供給攝像頭廠商，告訴其攝像頭有什么樣的漏洞，該如何改進。360公司也是第一個在全球破解特斯拉的企業，2015年我們對某一款國產電動車進行了破解，還給國內不止一個汽車廠家提供安全服務，從車載通信模塊、車機等方面進行整體安全評估。車被遠控，人身安全就會有問題，對于汽車企業來說，如果發生這樣的事情對其品牌的影響會是致命的。我們和廠商是站在一條線上的，更多的是及早發現問題、修補問題，我們的策略是做安全研究，發現問題，提出改進建議，幫助用戶建立一個安全運營體系。

談到這里，譚曉生意猶未盡，繼續介紹說，做安全，要想能解決大部分的問題，還得把一些最基礎的工作干好。要把安全防線建好，得從四個方面的基礎工作入手：

第一個基礎工作是把漏洞管理做好，漏洞管理做好了以后，攻擊難度就很高了。逼著黑客用0day漏洞攻擊時，攻擊成本就很高了，能夠實施攻擊的人一下子就少了。

第二個基礎工作是網段劃分。這就像在非典期間搞隔離，把非典病人都隔離到醫院，這種隔離是防止威脅傳播的非常有效的東西。對攻擊者來講，拿下一臺終端，一進來卻發現寸步難行，除了這個網段別的都去不了，網段之間還有各種各樣的檢測，就可以把威脅隔離在一個小的區域。

第三個基礎工作是用戶身份管理和用戶權限管理。雖然這項工作比較繁瑣，但把這個事做完以后，你會發現攻擊者進來也是寸步難行。

第四個基礎工作是數據備份。比如遇到敲詐者病毒，這是非常完美的一種“商業模式”，它相當于現實中的綁架，綁架了你的數據，你不交錢就銷毀數據，數據就找不回來了。針對這種攻擊，最好的方法是數據備份。這也是特別簡單的事情，但備份完了以后很多對你的侵害都沒有用了。

這些基礎工作是企業安全最需要關注的。要做好信息安全防護，實施全面周全的隱私保護策略無疑是極其重要的。

譚曉生的侃侃而談，與其說是在談信息安全防護策略，倒更像是在談一場場與對手較量的戰斗中那些個精彩的戰術運用。作為有著極為豐富的一線經驗的他，談起技術和策略來，眼睛里總是充滿一種信仰般的熱切與執著。正如他說：“搞安全有一點，特別苦，這些基礎的活兒有多少人愿意干？但恰恰是這些最基礎的工作才能構筑堅固的防線！”吃苦耐勞，堅持創新，這也許便是譚曉生之所以被稱為“百變角色王”的原因所在吧。