本刊记者：胡晓荷

“百变角色王”谈大数据时代信息安全防护策略
——访奇虎360科技有限公司首席隐私官、副总裁谭晓生

本刊记者：胡晓荷

谭晓生：毕业于西安交通大学计算机科学与工程系计算机应用专业。奇虎360科技有限公司（NYSE：QIHU）首席隐私官。 2009年7月加盟北京奇虎科技有限公司担任副总裁，负责公司网站技术、技术运维、数据分析与挖掘、云查杀、云存储等业务的技术团队管理。

时值《信息安全与通信保密》积极与时俱进的新一轮改版之际，我们走进了奇虎360科技有限公司。

关于360首席隐私官、副总裁谭晓生先生，坊间不少关于他的传说。作为360团队的重要核心人物之一，谭晓生被称为“百变角色王”：他是“救火队长”，因为企业发展需要或情况紧急时，他总能以智慧扭转局面；他是技术高手，在各种演讲报告时，谭晓生给人的印象总是非常懂技术的高层，靠积累形成了比较庞杂的知识体系；他还被称为“谭校长”，这个名号得自他带团队的卓越成绩,他自己也不无得意地说：培养人让我很有成就感。“啥事老谭管,不会差到哪里去。”难怪360另一位核心人物齐向东对他如是评价。

这一次我们带着关于大数据时代信息安全防护体系建设的许多问题近距离访谈这位传说中的“百变角色王”——谭晓生。

信息安全防护，首先得有“看见”的能力

针对《信息安全与通信保密杂志》关于大数据时代我国所面临的网络安全威胁的提问，谭晓生侃侃而谈。

他首先介绍了大数据时代中国网络所面临的风险。他说，习总书记在2016年的网络安全和信息化工作座谈会上讲，从世界范围看，网络安全威胁和风险日益突出，并逐渐向政治、经济、文化、社会、生态、国防等领域

传导渗透。特别是国家关键信息基础设施面临较大风险隐患，网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击。

谭晓生概括说，中央领导的判断高屋建瓴，是非常准确的。中国网络安全仍然面临着比较大的威胁。从国家层面说，我国是受到网络攻击最为严重的国家之一。过去的12个月里，360威胁情报中心通过大数据分析，共监测到10多个针对中国的高级持续性威胁（APT）攻击，也曝光了诸如“海莲花”这样的黑客组织长期对我国政府、事业单位、高等院校持续不断的长年攻击。

在企业安全方面，现在都讲云计算，随着互联网巨头的纷纷入局，云计算的发展从无到有，不少人说进入了云时代。但是整个行业在云安全方面都做得非常粗浅。大数据云化之后，安全的情况将会变得更加复杂，一旦云服务遭到攻击，所带来的损失将远大于以往几个服务器被攻破的风险。近期曝光的“毒液”漏洞暴露出云厂商在安全意识上的不足。

说起挖出APT组织的经历，谭晓生脸色有些凝重。我们知道，近几年来，APT攻击事件此起彼伏，从针对乌克兰国家电网的网络攻击事件，到孟加拉国央行被黑客攻击导致8100万元美元被窃取，APT攻击以其无孔不入的触角延伸到了全世界各地，几乎所有的重要行业如政府、金融、电力、教育都受到了APT攻击的威胁。神秘的APT攻击从攻击开始到达成目的，有的甚至可能潜伏长达数年，对APT组织的未知导致人们在面临APT攻击时的茫然无措。

在“ISC2016中国互联网安全大会”召开前夕，360威胁情报中心追日团队再出力作，正式对外公布2016上半年十大APT攻击组织，揭密那些曾经造成重大网络安全事件的神秘黑客组织。

谭晓生说，360威胁情报中心在过去的12个月里，通过对威胁情报的大数据分析，共计发现并跟踪了72个安全事件，其中APT的55个。已经梳理成报告的达29个，公开发布6个。

360公司在大数据分析技术方面一直处于行业领先地位，如何利用大数据技术来维护网络安全，以及如何维护大数据本身的安全，如何拥有“看见”的能力，我们非常想了解360是怎么做的。

谭晓生介绍说，网络攻击者为了隐藏身份通常使用代理服务器作为跳板。这个跳板的更多数据，可能在另外一个国家，也可能在另外一个企业机构，数据海量又隐藏极深，大数据就是要“看见”这些威胁。360作为中国少数大的互联网安全公司之一，拥有13亿终端用户，拥有全球最大的活网址库和海量的第三方数据库，目前的样本库总样本已经超过95亿，主动防御库总日志条数达到50000亿条。360安全中心每天发现新增黑样本109万个，每天发现的各种软硬件漏洞、网站漏洞超过120个。依靠全球威胁情报感知系统，这些数据库每天还在源源不断地更新，这些大数据都为国家、企业和个人提供了最为强大的武器。攻击样本、攻击方法、IP、URL、邮件、电话号码、联络地址以及人和机构都是数据，孤立来看实施网络攻击的数据都是一个个毫不相干的“点”，连蛛丝马迹都算不上，但是360拥有的大数据能将这些看起来毫不相干的“点”连起来，通过大数据分析，就有可能最终形成一个完整的攻击轨迹图，也

就是说依靠大数据分析，360拥有了“看见”的能力。

谭晓生继续介绍说，另外，我们不断地将协同联动，维护网络安全命运共同体，就是要实现网络数据的完整性、安全性、可靠性。协同不仅仅是内部分析师之间的协同，还需要产业间的协同，政府与企业之间的协同。360公司已经和多个合作伙伴共同建立了一套完整的协同防御体系，就是把各种大数据集合起来，产生威胁情报，再加上安全专家和产品体系，形成一个预测、检测、响应、溯源一体化的安全协同防御体系。这也是保护我们大数据安全的一个办法。

信息安全防护，团队管理与人才培养是关键

我们深知作为“百变角色王”之谭校长，尤其擅长技术团队的构建与管理，谈到这方面的经验，谭晓生爽朗地说：我对技术天然感兴趣,了解这些技术其实也花不了多少时间。有些攻击方法,我不需要去看细节,那是TK的长处。我脑子里只要飞快地推导出他的逻辑就好,看能否推得通,再读文章去验证。如果差不多,我就不会去抠一些具体指令了。毕竟我要做安全团队的管理,如果做不到这一点,和兄弟们就谈不到一块去。当然,我也可以务虚,但一定是对实际工作有帮助的,比如针对具体的问题,我会去研究,努力找到问题的根源,从根上解决问题。

近些年，我在思想上也有转变,管理方式比过去更灵活。我现在不要求程序员写文档,因为在2C的业务中,70%的代码只会被用到1次,那还考虑什么代码重用的问题！反正人都在这里,让他自己维护就行了。我还允许程序员重写别人的代码,但是不计算工作量,就是为了尊重他们的个性和习惯。

构建管理团队，必然与人才和人才培养产生联系。谭晓生善识并乐育人才,虽非老师,也算是桃李满天下。谈到目前我国网络安全人才培养的现状，谭晓生作了一个基本判断，他认为，目前，中国网络安全人才缺口约50万人，我国互联网安全人才的匮乏主要体现：总量严重不足、人才外流严重、黑暗诱惑太多。

他说，现在企业面对最大的安全问题是安全管理人员严重不足，很多企业都缺乏安全管理方面的专业人才。目前很多高校并没有相关的网络安全专业或研究机构，而且高校安全人才培养和企业需求存在脱节。但是，当下网络安全专业的政策导向明显好转，国家现在十分重视网络安全教育，安全就业的形势良好，很多高校开始开设信息安全专业，并联合企业开设网络安全学院和实验室。

自2003年开始做校园招聘，谭晓生历年招聘培养了超过300名大学生，这些学生现在广泛分布在百度、腾讯、阿里巴巴、新浪等互联网公司，我们很想了解企业在网络安全人才培养方面应该有怎样的担当和作为。

对此，谭晓生介绍说，网络安全的本质是攻防对抗，更确切地说，是人和人之间的攻防对抗。不管是网络安全行业的基本运营还是进步发展，安全技术研究或者安全产品创新，人才是根本，网络安全人才培养是企业安全乃至国家安全的基石。企业应该承担起更多的社会责任，与政府、高校协同合作，发挥资源优势，注重安全实践，联合培养网络安全人才。360一直倡导产学研协同的创新生态，即对产学研模式和协同创新理念的高度融合，充分促进校企深度合作，更好

的输出合作成果。在安全人才培养方面，360涉及联合开放实验室、网络安全研究院、校园行活动赛事、安全基金与课程等四大方面。

谭晓生举例说，在创办网络安全研究院方面，360公司联合一流高等院校，打造国际一流的网络安全研究机构，形成我国网络安全技术创新和人才集聚的高地。目前360与武汉大学联合共建“国家网络安全研究院”、与北京航空航天大学合作建立汽车信息安全研究院等。同时，360开放实验室覆盖全国百所高校相关专业老师，包括360与北京大学联合共建“数据可视分析联合研究中心”，与西安电子科技大学联合共建“系统安全与大数据联合实验室等。在青少年网络安全教育方面，360联合共青团中央发起了青少年网络安全教育工程，以“互联网+教育”的模式在中小学普及网络安全教育，目前工程已覆盖全国10个省市，59座城市，3万多所小学，400多万个班级，影响1.2亿中小学生。

方略济世，人才为先，安全防护，人才为要。无疑“谭校长”为信息安全防护战略开出了一剂有体系、有实践的良方。

信息安全防护，守好隐私的各个防线

谭晓生的职务是首席隐私官（CPO），CPO是个比较时髦的词汇，其职务的由来，谭晓生说，我的首席隐私官(CPO)是2012年3月15日正式任命的。当时竞争对手不断给我们泼脏水，要自证清白很难，我们就出台了用户隐私保护白皮书，想先建立一个标准。其实从2000年开始,美国很多大公司都有首席隐私官的设置，基本上都是由律师担任的，主要是确保产品不侵犯用户隐私。但信息安全是非常技术性的工作，一般律师做这个难免被忽悠。

我这个CPO可是实打实的,在360,没有我的邮件批准,哪款产品都不能发布,经过我否决的产品有不少。如果某个产品因为安全隐私过不了关,谁打电话给我求情都没用。这事情之前一直都是我在做,直到2016年年初,我才授权另一位资深专家隐私审批权,整个360就我们俩有这个权利。这种机制带来的好处,就是迄今为止,没有出现过经我们授权后隐私方面出事的例子。我们基本原则:不该看的不看,不该传的不传,不该存的不存,不该用的不用。

技术方面我们也做了大量工作。我们曾集中力量检查通信模式,因为如果别人要偷用户隐私,就必须把信息送到服务器上来。于是我们开始梳理通信模型,找了一组人看了半年,从26万多种通信模型中找到100种需要解释的模式,又从100种模式里面挖掘出了20种涉嫌违反用户隐私保护条款的,然后坚决要求他们改正。

在个人信息安全方面，前不久发生的徐玉玉受骗案，诈骗团伙实际上提前已经掌握了她的基本信息，这种信息很多是从网络渠道获得的。补天平台收到的企业漏洞达到7万个，但是修复率不到一成。有漏洞，数据非常容易泄露，黑客真正拿出窃取数据进行诈骗等攻击时，攻击的成功率会非常高。另外，万物互联时代，人们也愿意用信息换取“更便利”，数据从一个个“孤岛”都汇聚起来了，人就会像生活在一个玻璃盒子里面，大数据和分享经济使人们的生活变得更加便利了，但弊端就是个人信息可能会被使用甚至被恶意利用，造成的危害也非常大。

谭晓生介绍说，目前攻击智能设备常见的

三种方式：一是通过无线联网，通过蓝牙、WiFi或ZigBee，智能设备要和其他设备产生通信，这就产生了第一个攻击点，通信协议如果不安全，就容易被破解。二是智能设备的管理系统，比如通过手机可以管理一个智能硬件，这个手机和智能设备直接连接，它会连接到一个平台上，对这个平台进行攻击，下达篡改控制指令，这个智能设备也就被攻击了。三是手机上有控制智能设备的App，App如果有漏洞或者App和控制平台之间的协议有漏洞，只要仿冒一个身份发一个指令，通过控制平台就可以间接实现攻击。

对于这方面的安全问题，360公司早就开始有所行动。360公司其实是国内最早搞摄像头安全研究的，这些研究成果会提供给摄像头厂商，告诉其摄像头有什么样的漏洞，该如何改进。360公司也是第一个在全球破解特斯拉的企业，2015年我们对某一款国产电动车进行了破解，还给国内不止一个汽车厂家提供安全服务，从车载通信模块、车机等方面进行整体安全评估。车被远控，人身安全就会有问题，对于汽车企业来说，如果发生这样的事情对其品牌的影响会是致命的。我们和厂商是站在一条线上的，更多的是及早发现问题、修补问题，我们的策略是做安全研究，发现问题，提出改进建议，帮助用户建立一个安全运营体系。

谈到这里，谭晓生意犹未尽，继续介绍说，做安全，要想能解决大部分的问题，还得把一些最基础的工作干好。要把安全防线建好，得从四个方面的基础工作入手：

第一个基础工作是把漏洞管理做好，漏洞管理做好了以后，攻击难度就很高了。逼着黑客用0day漏洞攻击时，攻击成本就很高了，能够实施攻击的人一下子就少了。

第二个基础工作是网段划分。这就像在非典期间搞隔离，把非典病人都隔离到医院，这种隔离是防止威胁传播的非常有效的东西。对攻击者来讲，拿下一台终端，一进来却发现寸步难行，除了这个网段别的都去不了，网段之间还有各种各样的检测，就可以把威胁隔离在一个小的区域。

第三个基础工作是用户身份管理和用户权限管理。虽然这项工作比较繁琐，但把这个事做完以后，你会发现攻击者进来也是寸步难行。

第四个基础工作是数据备份。比如遇到敲诈者病毒，这是非常完美的一种“商业模式”，它相当于现实中的绑架，绑架了你的数据，你不交钱就销毁数据，数据就找不回来了。针对这种攻击，最好的方法是数据备份。这也是特别简单的事情，但备份完了以后很多对你的侵害都没有用了。

这些基础工作是企业安全最需要关注的。要做好信息安全防护，实施全面周全的隐私保护策略无疑是极其重要的。

谭晓生的侃侃而谈，与其说是在谈信息安全防护策略，倒更像是在谈一场场与对手较量的战斗中那些个精彩的战术运用。作为有着极为丰富的一线经验的他，谈起技术和策略来，眼睛里总是充满一种信仰般的热切与执着。正如他说：“搞安全有一点，特别苦，这些基础的活儿有多少人愿意干？但恰恰是这些最基础的工作才能构筑坚固的防线！”吃苦耐劳，坚持创新，这也许便是谭晓生之所以被称为“百变角色王”的原因所在吧。