苹果Xcode事件也为科技信息业界敲响了警钟，当然这个事件也让业界存在的安全隐患问题得以暴露。在未来应该如何应对更多的安全问题呢？记者邀请了著名的资深安全技术专家蔡晶晶解读苹果Xcode事件对业界的影响。在他看来，苹果Xcode事件足以载入移动安全的史册，其对苹果开发工具感染的技巧堪与著名的伊朗铀浓缩设备被蠕虫损坏的震网事件相提并论。（震网事件由于西门子工业开发集成工具WinCC中被入侵者感染了恶意代码，使与WinCC连接的工业控制系统被间接感染，最后导致了大量伊朗核工业设备物理损坏。）

蔡晶晶

永信至诚创始人

i春秋，e春秋产品经理

国内白帽黑客元老

中国信息安全领域最早的资深技术专家之一，“国家级信息安全特聘专家”、“中国漏洞库专家委员会委员”、北京奥运会“反黑客方向带头人” 、“互联网网络安全应急专家组委员”、 “北京市公安局计算机安全技术专家”；承担多项信息产业部信息安全科研项目、国家863项目、科技部重大项目、核高基等国家级科研项目。

目前企业对信息安全的重视程度确实普遍不够，IT企业中，乃至传统企业的IT部门中，关心安全考虑安全的往往仅仅是安全部门的人员，业务部门、开发部门的人员往往不具备基本的信息安全意识和基础，甚至对安全规定有抗拒性，认为会降低自身工作的效率，加上安全部门自身的人员缺口也很大，实际情况就是，人是企业内部安全最薄弱的环节。

目前企业对信息安全的重视程度确实普遍不够。传统企业乃至IT企业的IT部门，往往仅有安全部门的人员关心和考虑考虑安全问题，业务部门、开发部门的人员往 往不具备基本的信息安全意识和基础，甚至对安全规定有抗拒性，认为会降低自身工作的效率。再加上安全部门自身的人员缺口也很大，所以实际情况就是，人成为 企业内部安全最薄弱的环节。

XcodeGhost病毒的爆发和蔓延，可以成为移动开发领域的一个无法被忽视的里程碑，将安全提升到了新的高度。这件事会让很多开发人员以及管理者都意识到信息安全在移动开发中的重要性，因为越来越多的企业将自身的应用放到了APP上，而如果你的APP因为安全问题导致客户的隐私泄露，甚至是财产损失，那企业面临的将不仅仅是声誉的损失，会有更严厉的经济和法律风险。这件事会敦促更多的企业负责人和从业者提高对安全的 重视程度，企业安全真的需要包括研发人员和管理者在内的全员参与。

网络安全的攻防对抗是一个动态的过程。长期以来，虽然我国的网络监管相对严格， 但在具体的技术储备和研究上与美国这样的网络强国还存在一定的差距。其中最突出的一个问题就是，我们长期提倡“安全保障”，在意识和宣传上都避讳提到“攻 击”二字，甚至部分安全从业人员都对各类攻击手段和方法缺乏实质的认识，往往流于纸上谈兵。但是，“未知攻，焉知防”？

目前，真正具有实战能力、 了解攻击手段和攻击工具的实用型人才在中国远远不够。这些实用型人才的缺失造成了我们在防御时的思路和手段还是要比攻击者慢半拍，所以往往是防不胜防。而 在美国，无论是民间还是政府，其交流氛围更为开放和活跃，BlackHat等著名的黑客大会堂而皇之地举办了多届，大量具有实战能力的人才被发现和召集， 形成的黑客文化又可以持续吸引一代又一代的年轻人加入到这个行列，甚至推出了“CEH（道德黑客认证）”这样完全侧重实战的顶级安全认证。这些对我国的 网络安全建设是巨大的启示：只有重视人才，尤其是实用型人才的培养，加强安全人员的实战能力，才能真正谈到建立网络安全强国，贯彻我国的网络安全战略。

改变现状需要做很多事情，我觉得现在我们已经走出了最重要的一步，就是国家重视、高层重视。首先，我们的企业和每个处于信息时代的个体也需要增强安全意识， 关注网络安全，这和我们息息相关；其次，要增强我们的网络安全能力，主要的手段就是大力培养安全人才。我看到过一个数字，说2014年统计国内的安全人才 需求是100万左右，而从学校和企业培养出来的人是多少呢？2万！这个差距实在太过巨大了，无论我们意识上多么重视，如果没有实际行动，我们改变现状、建 设网络强国的目标就无从谈起。培养人才、锻炼人才、检验人才、输送人才的体系必须尽快建立。这个体系不能只靠国家推动，企业甚至每个人都要重视和付诸行 动，这是挑战也是机遇。我认为，未来10年将属于网络安全能力更强的企业和个人：数据时代，安全为王！