“观照自心,安乐自在。很难想象,出自《心经》的这 句话被胡绍勇用作观安信息 (全 称上海观安信息技术股份有限公 司) 的公司标语。 计算机专业毕 业、 周身散发典型技术男气质的 他,是这家公司的 CEO,做的正 是网络安全工作。
网络将人们的日常生活映射 到“0”“1”代码编织而成的虚拟空 间中, 将人们的时空距离无限拉 近。与此同时,网络同样炮制了病 毒与黑客。
改革开放, 将我们纳入世界 之网。 网络安全防御像一种兜底 条款,以防万一。前前后后忙活一 阵子,可能什么风险都没有。但这 份工作的价值就在于“演歌半晌, 只为钟磬一声”。
几十年,胡绍勇亲历、见证、 争取,也奉献。
网络既创造又破坏
几十年前,网络意味着新生活。几十 年后,网络变成了生活本身。 1996 年,中国最早的互联网服务提供商 (Internet Service Provider)瀛海威公司在中关村打出 “中国人离信息 高速公路还有多远?向北 1500 米”的巨 幅广告牌时,大多数所见之人都面面相 觑、不知所云。也是当年,远在大洋彼岸 的尼葛洛庞帝写就的一本 《数字化生 存》正式出版。大学时期的胡绍勇选择了 计算机专业,这年,他刚毕业,进入银行 从事 IT 工作。那时的银行都是人工储蓄 账单,刚刚转成信息化,IT 工作既有挑战 又充满机遇。
两年后的 1998 年,“相约九八”的 歌声还未飘远,拿到风险投资的张朝阳 正式创办了搜狐。同年,新浪、网易和腾 讯等陆续诞生,商业网站成为我国互联 网版图的主要力量。门户网站给人们打 开了一个接收讯息、观看世界的崭新渠 道,也给创业中的 IT 青年无限的机遇与 想象空间,仿佛一切皆有可能。
当全世界各地的人们都洗却浮尘、 整装待发,欢欣鼓舞地迎接新千年的钟 声时,几乎全球的网络系统都在因“千禧 虫”而眉头紧锁。系统中以往为了节省内 存而只使用两位十进制数来表示的年 份,遇到跨世纪的四位日期,一时“目瞪 口呆”。人们不得不绞尽脑汁避免错误的 结果、系统功能紊乱乃至崩溃。 尽管没有真正进入网络安全行业, 胡绍勇第一次知道了软件 bug 的影响非 常大,“很多程序漏洞,开发人员在设计 之初一时疏忽,后面造成的影响可能不 可估量”。
2003 年,机缘巧合下,他加入 了上海柏安(全称:上海柏安信息安全技 术有限公司),开启了长达 10 年的网络 安全工作。“柏安十年”,他从一个小白 成长为这个领域的专家。 美国的棱镜计划曾轰动全球。美国 国家安全局 (NSA) 和联邦调查 局 (FBI)2007 年启动了这个秘密监控项 目,计划能够直接进入美国网际网路公 司的中心服务器挖掘数据、收集情报,微 软、雅虎、谷歌、苹果等 9 家国际网络巨 头皆牵涉其中。网络安全早已不再是单 个国家独自面对的问题,我们国家对于 安全问题也愈加重视。
2013 年 12 月,我国继 CSDN、天涯社区用户数据泄露后,在用户数据最为 重要的电商领域,也不断传出存在漏洞、 用户信息泄露的消息。漏洞报告平台乌 云曾发布漏洞报告称,支付宝用户大量 泄露,被用于网络营销。泄露总量达 1500 万 -2500 万,泄露时间不明。
2014 年,胡绍勇已羽翼丰满,离开柏安,自立门户。 2016 年,《中华人民共和国网络安 全法》问世。这年,距离百度建立已有 16 年,人们在淘宝网购已有 13 年,支付宝 已经诞生了 12 年,腾讯市值定格在 16081 亿人民币。互联网格局在变换中 又趋于稳定。三大互联网巨头无孔不入 地渗透进人们的衣食住行方方面面。这部界定诸多网络安全问题边界的法律显 得急迫而必需。
如今,大数据、云计算成为新风口, 物联网连接人与物,生命的界线被打破。 但网络安全问题凸显,互联网带给我们 的,可能是清冽的泉水,也可能是泉水干 涸的各种“旱坑”。
“像天桥上的护栏”
“你拍一,我拍一,小霸王出了学习 机”,正是“小霸王学习机”给了胡绍勇 最初的启蒙。
这款有键盘、鼠标以及词霸学习卡的 学习机,内嵌操作系统,可以编写简单的 程序。受此影响,1976 年出生,1993 年入 大学的胡绍勇,选择了计算机专业。“学 校的机房有两种,一种是 VAX 主机,主 机体积特别大,同时带几十个终端;另一 种 是 最 新 的 286/386”,他 的 记 忆 中 486/586 直到毕业时才出来,那时说到网 络安全,就是(通过软盘传播)病毒。
网络安全是什么?在安全圈流传的 一个段子是,你走过天桥,或者悬崖上的 桥,网络安全就是两边的护栏。“不出事 的时候,你觉得它形同虚设。待到真的有 危险,它是真正保证你安全的。”如今已 经是信息安全专家的胡绍勇,这样理解 这四个字。
他的印象中,千禧年之前,银行走在 网络互联的前沿。银行要连网把数据从各 营业处,由支行到分行再到总行集结起 来。“最早,互联网没有兴起,银行通过电 信提供各种专线,已经开始先把自己的内 部网连接起来。”ATM 机、信用卡、网银 ……金融系统变得越来越快捷方便。
柏安是国内最早一批专注网络安全 的企业。2003 年进入柏安的胡绍勇,专 注于安全咨询和服务项目。“2005 年,我 们帮阿里巴巴做安全体系规划,2007 年,我们又帮支付宝做安全架构与认 证。”当时阿里只有运维,没有专职安全 团队,“我们帮他们找安全上的问题并给 出安全建议”。如今回想起那段岁 月,胡绍勇还会忍不住痴痴地发 笑,阿里巴巴的第一位安全员工, 现在的阿里云高级总监,就是他们 团队里的工作人员跳槽过去的。 企业比个人更迫切地面临网 络安全认知、布局问题,但也经历 了一段狂欢后才觉醒的过程。据胡绍勇介绍,2004 年左右,企业对网络安 全有了些初级概念,网络化后大部分都 是传统的防病毒,防火墙防护企业内部, 是一种“亡羊补牢”式的打补丁操作,没 有一个完整的安全体系概念。2008 年前 后几年是网络安全的新阶段,企业开始 做体系化的努力。国外关于安全架构的 标准,也在那几年逐步为大家所认知。
2010 年 iPhone 4 粉墨登场,触摸 式大屏幕掀起移动手机的新变革。智能 手机进一步普及,3G 技术与移动互联网 相辅相成,相得益彰。与此 同时,移动互联网的安全 问题显现出来:安卓系统 自身的问题、手机吸费、信 息泄露、恶意软件……移 动互联网的安全成为 (企 业面临的) 网络安全重要 课题之一。
2016 年至今,企业又 面临云化和大数据建设问 题。新技术带来了新的漏 洞,企业对技术起初的应 用对业务功能考量大于安 全性考量。此外,“万物互 联”时代,家用摄像头、智 能家居……摄像头可能错 误地直播了个人家庭生活 隐私。网络安全这个护栏 的存在感愈发强烈。
在时代的波澜中,胡 绍勇以一个参与者的身 份,见证了网络安全的发 展。目前,他又将目光聚焦 在了“大数据 + 安全”。
与未知的对抗
十年一剑。2013 年,胡绍勇自立门户, 创立了上海观安信息有限公司。
印象中,即便在 2008 年席卷全球的全球 金融危机中,网络安全市场还是蓬勃发展的。 这让他再次确认了网络安全市场的广阔。“早期在柏安就是做网络安全,既然已经在这个 行业里面了,那就继续做老本行。”两年后的 2015年,公司正式开始业务。
放在上世纪 90 年代,家里有亲戚热心 地过问胡绍勇的工作,他解释半天解释不清 楚,干脆一句“和软件开发有关”。现在,一 说 “手机个人信息不泄露”、“网银不被 盗”、“防控软件和病毒”,大家就都明白了。
工作 20 余年,胡绍勇身上还是保持着典 型的技术男气质,思维缜密,条理清晰。“对于整个单位或单位负责人来说,安全部门的职 责就是,网上不出事故;另外,满足国家和行业 监管的安全上的使用要求和规矩。”这是他所 面对并极力满足的客户需求。。
通俗地讲,保障支付宝不泄露密码、不被盗用,个人账单不被他人随意获取都属 于网络安全范畴。随着技术的不断演进,信 息泄露的点越来越多。“微软的操作系统, 每个月还要打几个补丁呢。系统越庞大,越 容易出现一些安全的问题。”现在,企业越 来越意识到网络安全问题的重要性,监测 安全问题、提供安全建议与产品,胡绍勇团 队的用武之地也越来越多。
目前,公司面对的是移动、电信、联通 等这些大的行业客户和太平洋保险集团、 一些证券公司、车企。另外,观安还是国家 重要活动信息安全保障支撑单位,以及网 信办、国家应急响应中心、公安、通管局信 息安全主要支撑单位。
作为网络安全企业,会和黑客直接 或间接对抗。“用新技术给企业做安 全服务,帮助企业做好安全防 御”,企业日常对抗的不是某 一个黑客,而是未知的黑 客或组织的攻击。“这是概率问题,到底 有没有你不知 道,但是肯 定会有这些类似企图的人。”这种对未知的 对抗,像置身于黑暗森林。大多时候你甚至 不知道到底有没有攻击,而做好防御是万 全之策。
网络安全工作像一种兜底条款,分隔 开了网络入侵、系统瘫痪的窘迫与歌舞升 平的一派祥和。它像那“半晌的歌舞”,只 为“钟磬一声”。这一声,可能是没有风险 的佳讯,可能是成功抵御入侵的号角,又或 者是警钟长鸣的鼓舞。 胡绍勇像个随时准备敲响钟磬的安全 卫士。
“白帽和红客”
回想大学时代,“连局域网都没有, (胡绍勇)把机器里面的某个程序加密,只 有自己能解,感觉特别棒”,这也是部分黑 客实施攻击的炫耀式初衷。互联网迅猛发 展的几十年中,以黑客为代表的黑客文化 也经历了一段进化史。
黑客一词从技术高超的网络专家,被 “黑化”成带有某种目的实施攻击的“大反 派”。到 2003 年,“黑客帝国”已经火了三 季,“黑暗切线” 杰夫·莫斯创立的 Black Hat 和 DEF CON,和每年的苹果发布会 一样,如火如荼,有条不紊地令全球黑客振 臂欢呼,蓝莲花战队等中国面孔也活跃于 世界黑客舞台。
黑客几乎与网络拥有同样长的历史, 随之有了等级区分、行业守则、标杆式人 物、文化基因。黑客们的攻击手段,从相对 单一的利用病毒,变为五花八门、防不胜防 的勒索软件、钻漏洞、恶意程序,单纯的目 的也被利欲熏黑。网络安全的范畴随着时 间轴延伸,类型也从单一变得复杂多样。仅仅四个字,所涉已太多。
相应的,网络安全的市场蛋糕越来越 大。2014 年的一份报告显示,2014 年全球 网络安全市场规模有望达到 956 亿美元。 未来 5 年,年复合增长率达到 10.3%。到 2019 年,也就是明年,这一数据有望触及 1557.4 亿美元。 “最早的黑客只是炫技,对企业对社会 没有太大影响。但现在更多的是找到你的 漏洞想办法进去,拿你的数据贩卖。这样的 影响可能就很大。它后面有一条产业链,变 成黑产。“只要和黑产挂上勾的,肯定就是 负面的,如果再有一些国家背景,就是政治 企图了。”胡绍勇用“损人不利己到损人利 己”来形容黑客们的这种转变。
之前工作上胡绍勇曾接触过一些黑 客,现在的他更类似于一个 “白帽子”和 “红客”。与黑客掌握了相同的技能,但他 带领团队做的事情,是利用自己掌握的技 术去维护国内网络的安全,帮助企业对外 来的进攻进行还击。
有人说,安全圈儿比较像地下摇滚。有 很多安全组织,就像那些摇滚乐队。胡绍勇 的上海观安就是有组织的摇滚乐队,与黑客 和黑客们组成的摇滚乐队 PK。“我们的工作 就是,监测客户是否正面临攻击,保证企业和 国家的数据被安全地使用,不受到攻击。”
整个 7-8 月份,团队在帮网安保障进 博会青浦地区比较集中的酒店的内部系统 安全。
“与狼共舞”的生活
互联网像水一样,透明质地,无孔不 入。网络安全不仅关涉企业与国家,也关涉 每个个体。
人们在网络时代寻求更多解放手脚的 新突破,同时不断让渡自己的部分信息乃 至隐私。如尼葛洛庞帝所言,“我们将住在 电脑里,一天一粒计算机,医生远离你”。
科技创新是按照“够好”的标准前进 的。人们已经没有耐心等到各种技术都完 美的科技产品,所以测试版软件会提前进 入市场,此后再不断地改进,以求越来越 好。人们发明了便捷的工具,又用日新月异 的工具不断弥补以往工具自有的缺陷。
网络的发明者在设计之初,未能全面 预估可能的问题,或者基于某种局限,而只 能取网络的耐用性而牺牲小部分安全性。 上海各区的实时交通网络被纳入网络安全 中实时管控;“双十一”各大电商平台的促 销活动,可能被黄牛以薅羊毛的形式掳走。 实际上,原子化的个人越来越多地暴露在 网络安全问题之中。
在网络安全面前,个人似乎没有多少 主动权。胡绍勇认为提高防范意识是最重 要的。“手机不开相关选项;不给 APP 获取 除必需以外的任何权限;从正规平台下载 软件。”我们的网络安全意识越来越强,技 术手段越来越多。“技术无善恶,就看我们 怎么用,主要还是人的问题。”胡绍勇是个 乐观派。网络安全问题归根结底是技术是 把双刃剑的问题。
技术不断演进,“我觉得这是拦不住 的,人没有探索和求知欲就不能称之为人 了,就停了。白痴或行尸走肉,也就没什么 意义了。”他更倾向于顺其自然。“伦理上 的讨论,不可避免,必须得有。对于负面影 响,我们需要做好应对措施。”
这种简洁明确的技术观,好似一直驱 动胡绍勇的引擎。他带领团队成为中国大 数据安全领域的佼佼者,客户群体涵盖运 营商、银行、国家电网、证券、车企,遍布全 国,也积极参与社会公共安全方面的工作。 作为亲历改革开放和网络安全发展几十年 的“70 后”,他保有某种耿直、单纯,亲历、 见证、争取,也奉献。
他不断地用技术之矛刺穿技术之盾。 也提醒我们深处网络时代的每个人,彻底 摆脱风险不切实际,关键是对网络潜在风 险保持一种持久警觉。意识层面的警钟长 鸣,是我们与狼共舞最好的武器。
来源:周到上海 作者:王凤
