窃取个人信息犯法代价极低，要先从理念和立法层面提高网络安全意识【主题论坛】

　　在3月22日的2015中国（深圳）IT领袖峰会主题论坛“网络安全与法治”上，与会嘉宾就网络安全与法治问题从各角度谈了自己的看法。

　　主持人：丁健数字中国联合会常务理事

　　对话嘉宾：邓飚 华为技术有限公司首席信息官、质量与流程IT管理部总裁

　　肖新光 安天实验室创始人、首席技术架构师

　　邓锋 北极光投资顾问（北京）有限公司创始人、董事总经理

　　黄伟 万国数据服务有限公司董事长兼总裁

　　郭德英 宇龙计算机通信科技（深圳）有限公司总裁

　　以下为论坛对话实录：

　　丁健：前不久发生的不管是美国出现的这一系列，包括对于以网络安全的名义来抵制中国的公司，像华为公司在那边遇到的情况，还是中国公司出于安全考虑，对一系列国际产品也进行了限制。各个国家就应该这么做，还是说他是不是会有威胁，变成一个贸易保护的借口，这是一个很敏感的话题。这里面既有中方在美国的受害者，也有中方在中国的受益者，也有在美国创建公司的。这个话题肯定蛮有意思的，首先听听我们中国在这方面的看法，从郭先生那边开始。

　　郭德英：我是宇龙酷派的郭德英，今天讲到网络安全，我自己看法，现在互联网越来越影响我们工作生活，甚至是我们工作生活的全部。互联网一方面开放，一方面安全也是一个非常大的问题。互联网开放本身就是一个安全的问题，互联网就要求他开放，所以他们才用。开放的结果一定是标准是一致的，我们做智能手机，从智能手机来看所有智能手机是不安全的，因为是开放的。所有接口对大家都是一样的。所以现在大家提出网络安全，包括智能安全，实际上这是两个方面的问题。要开放就没有安全，绝对的安全就没有开放。如何在两者之间构建一个平衡，我们觉得是我们这个行业大家都要思考的一个非常重要的问题。我们做智能手机也在看哪些地方要去开放给第三方更好一点，哪些地方是个人隐私，交给个人处理。还有一个，智能手机哪些交给工作中使用。今天讲这个话题非常重要。安全的问题不仅仅是中国的问题，全世界，包括每个个人、每个企业都把安全放在一个高度，这是我一个非常深的体会。

　　肖新光：从美国政府、市场关系来看，美国是一个有国家传统和情结的国家，美国有一个表达，网络安全是国家安全首要因素。但是假如说我们再回到当年的美日贸易战争中，当年好像是克林顿这一届政府，他当时讲过，他说贸易是国家安全的首要因素，然后出口是美国经济的命脉，今天把贸易代换成网络安全、把日本代换成安全，实际上来看他是不希望在他的全球的利益能力上出现一个有效的竞争者。在这样一个PC下，使得网络安全既具有技术层面的东西，也同时具有战略和态度层面的东西。不完全是务实的，既有实际的能力存在，也有相关诉求所在。第二，网络安全不是一个单纬度的问题。两国政府之间互相的博弈，至少把网络安全分成三个层次，最下面一个层次是个体用户安全。中间这个层次是企业和机构的网络安全。最上面一个层次是国家安全。这几个层次之间相互联系，相互倚重，同时也有一些相互之间的纠结和矛盾的地方，有一些不一致的地方。这里面实际上来看就是说确实从一个国家从它的国民，从政府企业机构来讲，确实它的国民安全保障，包括安全意识是他上面两个层次的一个基础支撑，然后一个国家网络安全由一个个体网络安全和企业网络安全组成，从顶层国家安全的利益表达，可能同时也一定程度上会和个人安全之间有一些冲突和这种纠结的地方。从整体来看，未来场面上表达很大程度上多于现实内涵，而真正的考验还是我们的发展，包括网络安全产业本身发展，考验我们的基本功，考验我们能不能在包括在主流的IT厂商、互联网厂商和网络安全厂商之间形成一个基本对等的这样一个企业能力，当这样的能力达到一个态势，达到认可的既定事实的时候，双方表达权就会发生变化。

　　丁健：讲的非常好。　　

　　邓锋：这是一个很好的问题，到底是开放还是自己互相封杀，最终连到贸易上。刚才肖总讲的是一个很高层面。斯诺登事件等等一系列，大家都强调国家之间将来有信息战或者网络安全，其实网络安全范围很广，具体分的话分几个层面，从第一个层面是国家，国家又分网络部队，如果战争状态，可能未来不是真刀真枪，是通过信息打仗。第二，间谍。通过网络来搜集一些关键军事工业科技的情报，这两个都是国家需要保护，这是从国家层面讲的网络安全。在这个层面上你需要自己的东西，甚至不一定是防御就是为主的，某些东西像核武器并不是说怎么防核武器，我是要有一个威慑，你能打到我，我也能打到你，这样一个平衡。这是一个战略。

　　第二，企业业务。像北朝鲜跟日本索尼公司的事件，不一定是国家，可能是一些极端民族主义、极端分子，个人黑客，有的出于政治目的、有的出于个人目的来攻击企业。偷窃企业信息，或者把企业网络攻击，对企业声誉和正常业务流程都有很大影响。银行也好，各种各样都有很大影响。这种层面客户的损害，全世界企业都受到这种攻击，不仅仅美国企业、中国企业，日本企业、欧洲企业所有企业都会碰到这种攻击。攻击可能来自刚才说的那些，也可能是来自竞争对手。中国很常见的攻击就是拒绝服务，大量是来自竞争对手通过各种方法来攻击你的网络。就是让你的服务水平降低，让你的流量受到影响等等这些东西，并不是一个政府行为。这是一大块。

　　还有一块，最严重最严重的，或者大家都习以为常了，但是对你影响最大的，就是你个人PC受到各种各样的，今天早上谈的说是安全卫士，其实是给你装一些你不想要的东西，你删都删不掉，一会儿推出一个，一会儿推出一个，我曾经装了两个安全卫士，结果互相想删对方。他可能会偷窃你的信息，营销你的隐私，这个东西所有我们今天在座的人都会受到这个影响。这也是网络安全个人受害的层面。

　　在刚才我讲的第二、三个层面绝对需要国际合作，就拿一个例子来说，埃博拉这个病毒，病毒这个东西他可以用作信息战、生物战，但是大量不是用做战争，很多个体会受到损害。如果爱尔兰出现一个计算机攻击方式，我们没有看到，可能欧洲人看到了，我们不知道，等他袭击我们的时候，本来可以防疫，没有防疫。如果跟国际合作，就可以早知道。这是需要合作。其实就像生物一样。他一定经过一个过程，先在一个小地方试一试，逐渐来。如果第一个地方受害，其他地方都知道，那么其他地方就会受保护。就像埃博拉一样，我们拿不拿到病毒就能决定你能不能做出疫苗。非洲有，我们能不能搞到病毒，这在信息安全领域也就是需要一个合作。

　　对于企业、对于个人大的方面来说，今天受害者全世界都一样，大量情况需要企业与企业之间合作，国际上各种合作才能达到，在这种情况下不要用它做贸易保护。如果你这样做，其实就是贸易保护。

　　黄伟：网络安全这个概念要澄清一下，我不是一个网络安全专家。总体我们讨论的是信息安全的事情，信息安全在我看分几大块，一块是数据安全。一块是系统运行的安全。作为万国数据，我们更关注系统运行安全。

　　我讲几个道理，第一，没有绝对的安全。这是一个辩证的。这个世界上不存在绝对安全，你就看你的安全策略是什么。第二，安全策略又带来刚才讲到的开放和安全问题，你要平衡，这是一个策略。还有一个，成本的问题。任何安全都是有成本的。我们讲为什么很多富人需要里三层、外三层，包括各种各样皇帝，他们付得起这个成本，但是对于普通老百姓愿意付多少成本，这都是一个策略选择的问题，所以不存在一个绝对标准，主要还是一个策略和成本的问题。还有开放和安全之间平衡策略问题。

　　邓飚：前面四位都谈得很好，他们可以谈得很轻松。但是对华为来讲，这是一个比较敏感的话题。因为华为现在是全球最大的网络设备提供商。我们要做的就是要让全球客户对华为放心和信任，这一点我觉得不管是任何一个国家的客户其实它的要求都是一样的，它都希望华为作为一个全球先进的通信网络提供商给它提供一个安全的网络，并且对它的信息资产、对它的未来运营是一个很好的保障。

　　因此在华为我们的可持续发展的四大战略里面其中有一个核心战略就是保障客户的网络稳定的运行。我认为作为一个网络设备提供商要实现这个目标。最重要的是在企业内部要建立端到端的、覆盖全球的网络安全保障体系。我非常同意刚才黄伟谈到的策略问题。实际上在华为内部，端到端的全球网络安全保障体系里面我们包括有四个层面的框架。第一层框架就是策略框架。第二层框架是体制框架。第三层框架是技术框架。第四层框架是运营框架。我们有很多企业非常重视安全和技术提升，但是他往往会忽略其他三大框架。因此在过去时间里我们通过跟全球客户交流，我们制定了这四个框架，同时华为也发布了网络安全白皮书，向全球客户、政府、合作伙伴来进行发布。同时我们在内部建立了管理规范，举个例子，我们的开放工程师所写的代码是不能有病毒、不能有安全隐患的。如果有的话，是需要承担相应的责任。我们的维护工程师如果一旦接触到客户信息资产，必须在客户的授权下来做工作相应的处理。如果一旦越过这个授权他可能会受到相应的处罚。同时在华为内部我们有一句话是大家经常说的，我们要把客户的网络安全放在公司的商业利益之上，这样的话你才能得到客户的信任。

　　因此经过这些年，我们除了美国之外，我们在绝大部分区域，网络的市场份额都处于全球前两名，而且已经有很多的地区，像欧洲、中东、亚太，我们都在这些区域处于全球第一的位置。确实这些年，网络发展非常快，从我20年前进华为的时候，当时我们宽带，当时是144K上网，话音通信为主，但是到今天各位都用4G。三年后我们用5G，5G提供的流量、带宽速度都是高4G两个数量级的，因此网络的全球化、网络的无边界、网络海量的数据的产生都使得网络安全带来新的挑战，这也是华为作为网络设备提供商必须要不断面对的一个课题。

　　丁健：大家从不同侧面都站在相当高的高度来谈这个话题。我下面问一个稍微具体一点的技术方面的事情。如果说全球网络安全是这样一个威胁的话，那么中国我们自己的产业在技术领域的话应该说我们到了一个什么程度？虽然说不到国家的层面，但是我们企业、我们个人在我们现有市场所拥有的技术方面，能不能依靠我们国内的技术企业来获得相应的网络安全保障。

　　郭德英：我们主要做消费者智能手机。这一块，我一开始谈了，移动互联网大家是身边随时使用的，手机可以说是移动互联网入口。在安全的应用性、开放一直是一个矛盾，我们也尝试了。大家说安全很重要，我们也调研了。确实是分客户群了，职位高一点的，个人信息安全和企业信息安全是有要求的。入门级可能不需要信息安全，我们也尝试系统里面要做得很复杂的安全的程序，也发现有些用户投诉，举个例子，我们做了一个保护你的一些隐私，这个东西可以交给用户设置，但是很多人做了设置后，后面发现一些功能用不了了。比如出租车司机，我们有一个保护你位置信息，他点了同意。但是过两天用不了滴滴打车软件了，认为你出了问题。我们一方面要给大家提供信息安全，一方面要方便易用、开放，这方面如何平衡。我们去年做了一个尝试，一个手机上做两个这样的系统，做一个开放的系统，再尝试做一些基本的数据处理，两个系统可以自主选择切换。我们发现大部分用户还是选择开放系统，觉得信息安全太麻烦。当然也有一些涉及信息保密的，他对安全就非常重视，他们就用我们叫非开放系统或者非标准系统。这个涉及到底层技术开发，从我们理解，因为操作系统掌握在美国人、google手中，你怎么再做实际上核心还是在他们手中。你操作系统底层在他们手中，根本问题要全面解决还是蛮难的。这是我的理解。　　

　　肖新光：实际上来看，当前国内网络安全是一个既蓬勃又复杂纠结的一个环境。它很大程度上并不是单点的技术问题，也不是某个单品或者某一个厂商达不达到一定水准的问题，如果从单点的亮点上，比如去年获得AVTEST移动设备最佳厂商奖，今年改成全面产品奖项后，国内其他两个兄弟厂商蝉联了移动奖项，你可以看到很多亮点，包括这些创意。包括近期安全的比赛活动，中国团队也都成绩很不错。但是实际上来看，回推刚才讲的三个层面，你发现这些单点没有有效转化成三个层次有效能力。从个人用户角度来看，我们所看到的很大程度上他是有很多的治理层面的问题。比如隐私泄露、电信欺诈诈骗。我们从去年统计看，PC恶意代码数量下降了，是因为做病毒变少了吗？不是，是他们游离到更趋利的方向上，比如说移动平台。现在我估计全球有70%以上安卓平台恶意代码是由中国和俄罗斯两个国家贡献的。这一定程度上是我们治理能力不足的真实体现，它一定程度上是把用户降低到了一个非常不安全的程度从而使全民分担了这样一个安全治理能力不足这样一个后果。而从企业网来看，目前整体来看它一定程度上是整个安全的短板，基本上来看就达到了，正像美国人自己讲他们的企业，我们自己企业，只有两种企业，一种是发现被攻击的，一种是尚未发现的。它也不完全是厂商的问题。当前很多人出来呼唤类似安全，批评安全的老三样，说防火墙、打补丁不行，但是实际上几乎有一半是没有进行安全管理，大量的内网，反病毒是三个月、半年才升级一次，而补丁不敢打，怕影响业务。他不完全取决于企业的能力，很大程度上取决于用户安全观，取决于整个社会安全认知，从国家层面来看，我们反而认为，因为他是一个很综合的东西，比如中国网络安全与中国核威慑其实不是完全没有关系的，你的传统优势能力会保护你的弱势领域，但是从这里面来看，中国的厂商没有有效转化成国家能力，我们之前看到美国一家公司他们一系列报告，包括卡巴斯基的报告也是直指美国，揭露了美国这样一个手段。通过一个企业角度达成触动大国威慑平衡。从国际上来看，技术能力完全匮乏不能达到吗？不是，但是也有很多机制、约束性东西。比如方程式，我们觉得是一个似层相识的对手。这里面有很多微妙的东西。但是同时来看，我最开始讲到，我们已经具有的技术基础，无论是大的IT厂商，无论是BAT这样的能力，还是我们独立安全厂商能力，它本身来看就是一鸟在手，胜似十石在林。如果容忍我们有一个更长时期的发展，就可以有效转化成对个人用户保障、对企业用户保障，以及对国家的安全。

　　丁健：你站在做投资界角度，无论从美国还是中国，有哪些更新的网络安全技术是值得我们关注或者对我们整个网络安全能够有所提升的。

　　邓锋：首先说中国网络安全在全球，个人认为还是相当落后的。跟我们IT流量、用户的水平还是不成比例的。最近有一个美国第三方市场研究公司排了一个世界网络安全500强。中国只有3家企业在500强当中。第一家是排名第94名，安天。第二名110多名，还有一个第三家。排的很落后。这只是安全的设备。就像肖总讲的我们每一个单点技术也许不比人差，但是把几个单点做成产品的能力就差了。一个产品可能还行，但是把一个产品做成一个好的解决方案，因为网络安全不仅仅光光是防火墙、防病毒，有一堆乱七八糟的东西，分得很细，做成一个很好的解决方案我们的能力更差。这还是指产品和技术。

　　但是我们更差的还不是产品和技术，是一些我们在执行当中，比如策略。刚才邓总说了策略问题，你设了一个很差的策略，什么人都可以来，那你要防火墙干嘛？还有运营，有了很好策略，运营当中不用，或者说一碰到问题有人攻击你，现在最简单方法不是说我把攻击的圈子堵住，大量的是把门全部打开，因为这样做领导看不见，至少工作可以保住。这是在一个策略设置、执行、运营当中，而不是本身技术和产品的问题。

　　再说到理念的问题。像美国上市公司必须有这个规范，不规范，证监会可以罚你，或者美国人可以起诉你。我们还没有到这一步。而且出了问题惩罚也不高。现在这么多人偷PC里个人信息，有人惩罚吗？包括我们电商公司把用户信息泄露出去，有什么惩罚？他们犯法代价极低。法本身立的不全，犯法又没有什么惩罚，也没有用。这个方面比产品和技术差的更远。消费者觉得无所谓，信息拿了就拿走，这个方面跟美国相差太远。我的感觉今天首先要解决的是教育、理念、立法、执法这些问题，然后再从技术上逐渐提高，因为技术本身是需要的。如果买了产品，他不用，我们技术怎么提高？

　　我的感觉这方面在快速变化，但是还是有相当距离。回到一些先进的技术，确实有很多先进技术。我觉得我们中国工程师其实跟世界接轨挺快，能够很迅速看到世界先进技术。可能我们中国科技人员自己处于的环境更恶劣，包括攻击、防御方法都很多，所以其实这些先进的技术各个方面都有。我觉得可能美国现在，这次500强排第一的这家公司，大多数情况也是忽悠的比较多，但是他代表的是一个方向。过去你是根据我知道谁来，我怎么防护网络。以后可能就要根据过去这个网络是什么情况，外边是什么情况，更多的是在一个大环境下的数据和你历史上今天晚上7点钟为什么出现这种情况，为什么过去同样的周五晚上这种情况、不出现这种情况，根据这些综合来做。这是一个技术发展方向。包括卡巴为什么估值这么高，100亿美金估值，就是因为他不断整合各个信息，过去只是设备，现在是设备以外所有的信息、历史信息、现在信息、大的信息、小的信息都综合决定我采取什么策略，这个大的方向是我们未来更要关注的。

　　黄伟：非常同意两位邓总的意见，这不是一个技术领域问题。我们涉及到一个综合。包括人的意识、流程、工具、技术。我们在运营十几年都是从这几个方面看，单纯从技术不解决问题。今天我们要做不管是产品还是说服务，都要跟国外比，差距在哪？这里面技术、产品，包括意识、流程、工具，都存在很大的差距。但是我们很幸运的是看清楚了问题，在不断改善，我相信还是有机会走到顶尖水平上。这是我讲的第一个问题。

　　第二个问题，再回应到前面说的安全问题。如果国家和国家之间的安全问题，由军队解决。军队有飞机大炮导弹。还有一些由派出所解决的问题就是要用派出所的成本解决。是城管解决的问题还是公安解决的问题，这里面就是打一个不恰当的比方，还是说成本和安全之间要有一些绝对的平衡，不要说一谈到安全大家就如狼似虎要追求决定安全，但是绝对的安全的成本你付得起吗？

　　邓飚：前面几位谈的非常好，大家方向都是一致的。尤其是新光、邓锋，他们谈到了意识上的短板。包括黄伟谈到流程上的短板。在我们内部也是这样。也谈到产品和解决方案缺陷，我们在安全技术上并不比人家差，但是过去，华为在产品解决方案里面做的比较多，有机会的话我们下来可以更多的交流。

　　我接着刚才黄伟谈的流程补充一下，实际上把我们网络安全管理要素内嵌到流程当中是非常非常重要。拿华为举例，从一层到六层，怎么样保证每个人的工作在工作流当中都是符合我们的质量、符合我们的要求，就必须嵌到流程里。

　　关于技术方向，我从华为企业角度谈谈我们研究的几个方向。第一，软件定义安全。在过去两年时间里我们听到用软件定义结构、用软件定义存储、用软件定义IT，我们内部讨论用软件定义安全。传统信息安全网络有很多硬件，随着软硬件结合，我们大量功能、包括网络防御能力可以多集合在软件上。这样使网络具备弹性、更大的灵活性。这是网络安全第一个专题。第二个，基于大数据安全分析。刚才邓总举了一个例子，晚上7点钟之前，以前都是这么一个行为，今天7点钟突然发生了变化，而且这个变化远远脱离了他原来的曲线，这个时候可能是有风险。我们内部也构建了大数据分析，以前大数据是基于结构化数据，我们可能用了很多SIEM系统来做，现在更多要关注非结构化数据，今天早上百度首席科学官谈到基于视频、图片、声音的搜索技术和识别技术。在现在阶段，在非结构化数据方面我们必须要加大投入，这是我们谈的第二点。第三点，刚才邓锋提到的，砂箱技术。就是把风险在砂箱里面它的破坏性、它的隐患，看他是不是会释放出木马。在他进入我们整个业务网络之前就屏蔽掉，这也是一个非常重要的方向。第四块，现在公有云发展的非常快。现在不仅华为内部有大量自己私有云，我们也用了公有云的能力。当我们用公有云的时候发现一个问题，往往网络安全很多要素管控其实把IT部门屏蔽了。在企业如何去在端和公有云之间建立信息安全控制节点，这也是一个新的课题。第五个方向，基于场景的研究。我们叫情境模式管理。当一个企业一个员工有一个帐号，但是他可能在不同地点登录、也可能在不同终端登录，有的时候用手机、用PC，在企业内部网络、在外部WIFI，这个时候我们希望系统自动识别，达到网络安全防御。

　　邓锋：大家提到做网络安全都考虑安全产品，其实我觉得要考虑产品的安全更重要。做一个企业IT人员想我怎么买安全产品来服务我保护的更好，无论买什么样的安全产品其实都不安全，都有风险。但是你买了哪一个产品是不是安全性，可能导致你的环境或者你的网络是否安全，你可能这个产品看着不是一个安全产品，但是他可能里头有非常致命的弱点，最容易被别人攻击。今天最好的安全产品也挡不住这个攻击。所以大家要注意你每一个所用的产品安全性怎么样。设计产品也是这样，不是说我今天不是设计安全产品的，我就没有安全问题了。

　　丁健：前面几位真的都是技术大咖，一谈起来这些技术都是如数家珍，大家肯定都像我一样都学到很多东西。由于时间关系，我把大家引到第二个问题，我们的法治问题。网络安全与法治。下面我们花一点时间。我提两个问题，大家主动回应。第一个问题，刚才邓锋先生讲到了我们遇到的很多问题，包括国家这边看到了电信欺诈、包括安全等方面问题，存在着说法治对于他们的惩罚或者说法治本身立法这个角度来讲对他们的限制和在这方面立法本身详细程度都不够，我很想听听说大家在这个角度上有什么建议？我们作为一个行业，有没有想法说我们形成一种行业协会一样的东西来促使政府或者通过人大、通过立法能够强化立法执法方面的力度。在这方面你们有什么建议？

　　邓锋：其实我觉得立法并不是很难，最难的是说执法。在执法当中最难的就是取证。行业合作，在取证上有一些合作，比如规定一些规范，有些取证能够很快找到问题，然后要重罚。现在有的觉得说这个事跟我没有关系，我就不管。其实DDOS攻击很多东西今天跟你没有关系，但是过两天就会攻击你。包括行业制定一些规范，某些关键点信息给你，大家一凑起来就知道怎么回事，这样就可以在执行上给的惩罚更高。然后在之后就推进这个东西。其实很好的一个例子就是中国视频，今天跟多少年前很不一样了，现在你稍微有点违法，很快可以给你很重的惩罚。就是进步在取证这方面，法院认可取证这方面取得进展很大，这一点可以通过行业合作订一些规范来做到这些事。信息到处都有痕迹，也都不是很高难度，我们讲的就是普通的，想把我的东西放到你那里头，偷一点信息，然后就卖了。这个取证相对来说不是很难，这一点上可以配合。

　　肖新光：关于立法的问题，当前一部分是关于整个立法，刚才谈到是不是有独立的网络安全立法，是不是有非常可行的技术上的延展等等，包括司法解释等等。但是另一方面这里有一个综合治理的问题，从当前来看，我们当前网络，据说从事地下经济灰色人群是数以数万、甚至百万，他已经形成了一个既定事实存在，这个既定事实存在就不是简单的你怎么样把它堵住，他一旦是一个既定事实存在，就会在另外一个地方冒出来。一定是一个综合治理，这里面有些观念需要改变。比如网络安全绝对不是建立在一个非常混乱的治理体系下，绝不是说网络整个安全问题越多，整个网络安全保障越低下，网络安全行业就越能够良性发展。网络立法和有效的执法及其配套的综合治理也是网络安全厂商良性发展的一个非常好的基础。网络安全企业、网络安全技术和服务人员首先建立在他是技术和技术博弈的基础上，假设我们作为防病毒的，我们对抗的对象是病毒，而不是做病毒那个人，做病毒那个人由公权部门治理，如果公权部门不能把这个人行为限制住，他就会持续进行这种制作，这种制造有其经济动力。这种经济动力并不是像有些人理解的那样，反病毒厂商的事情越来越多，实际上反病毒厂商是处理不暇的。第二，关于DDOS的问题，国内曾经有一段DDOS的狂潮被压制住一段时间，那一段时间是在某地打掉了某号称反DDOS产品的所谓安全厂商，他就是采用先救用户，再敲诈用户方式，如果没有一个综合治理方式，既一定程度遏制住地下经济发展，然后使攻守双方进入一个基本平衡性这样的保障博弈，同时又能够有效地限制一些厂商滥用权限甚至违法犯罪行为的话，那么整个产业乱象绝对不是产业的福音，所以我还是要呼唤综合治理。

　　邓锋：我补充一下，取证的事我举一个很简单的例子，大家每天收到很多垃圾短信。我有一个同事接到电话，说要砍你一条腿的。如果运营商设置一个键，垃圾短信也好或者恶意短信也好、电话也好，一个键一按过去，这个号码就报上去，很快的这个号码在很短时间很多人报，马上这个电话就坏了，这个事不难，但是没有人做，这就是取证很快被解决的问题。实际上意识到技术的问题都会跟得上，都可以做到。

　　丁健：最后一个问题既比较敏感，也比较技术，我希望开放给所有人。最近网络讲的比较多的一件事情，对于国外的应用，比如gmail、google这些应用，都把他们挡在外面，这种担心肯定是有。但是我们制造这个防火墙也使得我们很多国内的网民在使用很多先进技术、应用的时候遇到很多困难。一次大会上一位非常有名的企业家就在讲，他讲你们要创新，首先能不能让我们不要翻墙。大家都是技术大咖，能不能请你们给政府部门提出一些技术上的建议，我们除了防火墙完完全全把大家挡在外面这种方法之外，我们能不能提一些更加柔性一点但是又能达到同样目的的，技术手段你们有没有好的建议给国家有关部门采取，既让国内产业不受到技术封闭的影响，和国外交流的影响，又能够帮助国家相关部门解决他们的一些担忧。这个方面不可能马上一下有这方面的东西，能不能从宏观角度讲一讲有没有可能性做到这些东西？

　　丁健：这个问题我知道是比较敏感。但是肯定也是大家比较关心的。这两天包括我们闭门会都涉及到这个问题。我们从技术角度上上讲，大家觉得有没有一些方法能够使得我们能够更柔性一点，能够让我们，如果胳膊上出了一点伤口，大家能不能给他上点药，而不是把胳膊切了。

　　黄伟：很难回答，这个问题太敏感，两种方法，一种是翻墙，一种是让他们翻进来。我还是讲讲前面的问题，信息安全的问题怎么产生是最最重要的。有一个非常重要的，对数据资产界定这个权力是谁的很重要。如果这些划清楚以后再来谈后面该不该清理，是不是可以让人家拿，再来谈手段、保护。我觉得立法应该把数据资产权益是谁的要界定清楚。然后才能对安全问题有一个完整的规范慢慢出来，否则的话永远在模糊。这个数据你说是你的，我说是我的，有些是国家信息、有些是企业信息、有些是个人信息，有些也说不清楚谁的信息，大家都是胡乱的安全防护。这个对整个行业是没有好处的。如果把这些事法律上界定清楚，慢慢慢慢更好一点。

　　丁健：既然大家都比较为难，我继续给大家一点时间，随时愿意回答还是可以继续回答。我还是给大家抽空提一两个问题。我想问一下邓锋先生，你们网屏防火墙曾经是最快最稳定的，也是我们安全上的骄傲。在个人移动安全的今天，能不能给我们晚辈一些建议，个人安全这方面的建议。

　　邓锋：我觉得你要说个人安全，要说从创业角度或者从机会角度，我觉得还不仅仅是说自己个人或者终端安全，是你怎么把一个手机很多场景在一块用，生活上、个人社交，也包括企业级应用。我们今天有一条预测企业级无线互联网应用迅速发展，但是问题是怎么把企业无线互联网应用和个人应用结合在同样一个环境下。往后做你就要把企业和个人东西有效结合在一起，保证企业信息安全。这是一个创业机会。再往下说不仅仅是终端安全，还包括云端安全，也包括数据安全和设备安全都在里头，我觉得这种整合的东西还是一个技术。个人手机还有其他方面放在一起。

　　听众：丁总，我回答一下刚才那个问题。那个问题比较敏感，但是其实在座都谈的非常专业，我也顺着丁总问题展开回答一下。很简单就是一句话，特洛伊木马的事情，美国从二战以后就一直在搞互联网，包括加密算法，美国中央情报局NSA雇佣了最好的数学家，所有加密算法、所有操作系统、所有芯片是严密控制之下，对于我们来讲现在实际我的一个感觉，中国处于整个美国给我们运过来很多特洛伊木马，不管是微软操作系统还是芯片、各种通信的、安卓的。我认为这种问题主要还在于，也是一个问题、也是一个答案，你们认为我们现在面临的特洛伊木马是不是非常严重，这是比喻的特洛伊木马，因为严重程度，中国政府只能尽量先把它挡起来，因为我们没有能力操作这些所有的体系的产品。还有什么建议应对这些特洛伊木马。谢谢！

　　肖新光：首先我对你这个特洛伊木马这个问题，我们已经可以看到很多资料，包括从阵亡、火焰，包括今年的方程式，也包括其他依托性的资料，从这个里面我们看到如果把它作为一个技术上的对手来看待，美国的作业特点是什么呢？美国作业特点，第一个他有无节制承担成本的意志和决心。第二，他有艺术级的攻击团队和非常严谨的操作守则。这个有人总结过为什么美国特洛伊很难被发现。第三，他有非常强大的制式化的装备意识和能力。第四，作业特点更多集中在网络端。第五，他比较好利用了大数据手段，这里面很多与传统融合，包括我们之前看到对网络路由设备入侵是在物流配送连劫持出来然后把木马放进去。我想讲的的是到目前为止关于设备后门问题，特别是主流厂商设备后门问题，除了微软NSA托管密钥有疑似之外，其实没有得到有效证实。而且在当前远程升级、远程补丁、远程管理，也包括这种漏洞构造艺术非常高的情况下，非常传统依托传统后门手段进行这种作业是得不偿失的。第二点，很习惯性的很多人认为美国厂商跟美国国家利益是高度一体，但是绝对不是NSA开的，如果都是登堂入室的话，NSA不需要花那么大成本做这个事情。比如方程式，国内少数报道解读成美国很多硬盘出品带好了后门、木马，如果带好了，为什么我们没有找到那个固件。是因为他依靠前导攻击，他大概只有千分之几的概率来触发这个行为，他前面是依托他的攻击、或者依托定点配送达成的，所以在这个问题上如果过度低谷艺术级水准，过度高估IT水准，就有可能是错误导向，我们就可能全面一种所谓自我安全性替代，而由于没有形成对应的安全开发的能力、意识、团队和人才体系，我们可能错作为出一个确实没有后门但是漏洞百出的产品，而由于这些产品有可能是他一定程度上我们希望保护他，让他成长，很大程度上不去质疑他，而那个时候最有分析他的动力和动能的将是大洋彼岸的对手，那个时候最熟悉我们网络体系的将是那一侧的人，那个时候他如履平地，我们希望看到这个网络安全。

　　我回答一下丁总的问题，第一个问题，大国必须有战略屏障，大国一切可能性都是基于他所搭建的战略屏障环节来构成的，不管战略屏障是核威慑能力，还是NMD、CNMD这种传统威慑性或者防御型的还是网络威慑型的，他是必须要有的。实际上来看，我们比较美国的新风计划，看他的一种策略，他是真正层面国家安全一个一体化策略，实际上我们是处于落后的方式。今天我们可以看到我们可能面临的一些使用上的不便等等问题，我个人认为大国战略能力、战略屏障不是为了净化道德问题，也不应该用于特别具象的一些小的战术层面的东西。我是这样一种猜测，因为我们主要做反病毒，对这个领域不太懂。

　　同时我再讲一个正面的意义，在几年前我们国家的垃圾邮件全球第二名，前两年我再看这个数据，降到第八名，如果没有政府层面有效治理，不可能达到。建立一个屏障有什么意义？而且这个意义有可能福及每个人。如何让当前纠结的局面有没有可能改善？其实我们可以更自信，我们可以认为我们在高速发展中，想让我们翻车的人可能不那么容易达成目标，我们也不要过度恐惧。第二点，我们能不能建立一个回馈机制，使很多东西能够从一个虽然表面上不去讨论，但是实际上大家又有很多意见和想法，使他变成一个能够把这种想法运转起来回馈起来的这样一个机制，当然这只是一个个人的想象。谢谢！

　　邓锋：我补充一下。第一个，只把某些网站封堵，解决不了特洛伊木马的问题。第二，今天把某些网站封堵，不让他进入中国，并不是因为特洛伊木马，主要是因为他有某些网站内容的特点。这跟特洛伊木马没有关系。第三，这种封堵是不是最好的方法？我认为肯定不是。你把坏东西挡住的时候，也把一些好东西进不来了。比如google英文搜索是全世界最好的，百度没有这么好的英文搜索。英文搜索在今天信息这么发达，大家竞争是能不能准确最快看到信息，你要写一个科学论文，看不到信息，写出来东西可能不是最好的。你看一个财经的消息，可能你能最早看到一些新消息，你就能够去操作。这个是需要搜索搜出来。中国想变成全世界创新中心，吸引全世界最优秀的人，不仅仅中国海归，全世界各个地方最优秀的人到这里拿不到最先进的信息，创新就受到影响。所以这些都是代价。以我的看法，今天的方法绝对不是最好的方案。为什么不是绝对最好的方案，因为他可以改进，所以他不是最好的方案。怎么改进？细节不再谈了。因为这个太仔细了。