光明网对话｜白帽“黑哥”：漏洞与数据是网络安全领域两大基石

在第十届KCon黑客大会上，知道创宇首席安全官、404安全研究体系总负责人“黑哥”周景平接受了光明网的采访。对于KCon、对于知道创宇404实验室、对于网络安全行业的发展，黑哥表达了自己的感受与想法。

（下文转载自光明网）

周景平：

今年是KCon十周年。我记得最早一届KCon还是在2012年，在一个咖啡厅里举办的，可能称之为沙龙更合适，只有半天时间，大概三四个议题，人数也不足百人。到了KCon2013开始有了现在大会的样子，参加人数达到500人左右，记得当时我们只准备了300多个座位，好多人都在旁边围坐着。

KCon2014才真正算得上峰会规模，会址选在鸟巢，一天卖掉了600张票。当时有位赞助商赞助了100个比特币，这一届也迎来了KCon历史上最年轻的研究者。从KCon2015年开始，规模有了进一步提升，上升到3天，参会人员超1000人，成为名副其实的国内“黑客大会”。KCon2016邀请了来自美国硅谷等国际一线著名安全公司的著名研究员演讲分享。

在过去的10年里，我们一直遵循初衷是——打造更好更大的技术交流与分享平台。从一个咖啡馆的安全沙龙成长为在国际网络安全圈极具影响的行业标杆会议，在未来可能遇到更多挑战，但不会变的是初衷。

周景平：

KCon一直坚持一个口号：汇聚黑客智慧。KCon定位于干货、品位，聚焦于有价值的技术内容以及真正的黑客精神。所以，技术上的干货是KCon第一定位。每一届KCon对于演讲主题的要求都非常严格，有所谓“不干货 无KCon”之说，对于那些带有非纯技术或有产品商业元素的议题，我们都会委婉拒绝。这样技术至上的理念，才能得到更好地传承。

在我的体验里，KCon与其它会议不同的是，KCon上的年轻人比较多，这些相对陌生的年轻人呈现的议题技术含量非常高，让人有种“网络安全的技术未来是属于年轻人”的感受。

周景平：

404实验室已经成长为覆盖包括漏洞研究团队（Seebug体系）、网络空间测绘研究团队（ZoomEye体系）、404积极防御实验室团队（创宇安全大脑体系）、404区块链安全研究团队、404特种渗透及保障支持团队等多个团队的“大部队”。

漏洞与数据是网络安全的两大基石，这些年来404实验室的发展也一直围绕这两个基本点展开。在漏洞研究领域，我们常年给微软、苹果、甲骨文等国际一线大厂输出过研究成果；在国家漏洞库等工作上也取得了不少成绩，比如，在2020年连获得CNVD（国家信息安全漏洞共享平台）和CNNVD（国家信息安全漏洞库）的认可。

周景平：

对于网络安全领域来讲，以前我有一个观点，就是说安全属于业务属性。从传统互联网，到移动互联网，再到万物互融时代，随之而来的安全风险也越来越多，现在现实世界已经对标到了网络世界里，一个人几乎所有数据都会传到互联网上，形成一个电子化人物形象。从这个层面来说，网络安全变得越来越重要，受到的关注度也越来越多。

从整体上看，网络安全人才还是比较缺乏的。随着安全问题凸显，人才培养需要一定时间阶段。另外，还观察到一个现象，网络安全领域成本还集中在人力成本方面，也就是说，很多成本投在了个人薪水待遇上。所以，从HR的角度看，因为人才缺少，导致了行业“泡沫”出现。

周景平：

我们一直非常想跟学术界，尤其是高校形成一个比较好的循环。但在实际操作中，也遇到了不少困难。比如，大家的诉求不一样。

在这个过程中，很多优质人才和研究方向是可遇而不可求的，但假如功利性太强，有可能味道就不一样了，做出来的东西就有点背离我们的初衷。

以前很多网络安全团队做设备有点像在闭门造车。其实，有些技术别人能用得上，才证明这项技术有价值，如果没人用，只能说明在自娱自乐。抛开“文人相轻”的成分，这几年大家在交流中风气有了很大改善。事实上，做安全、做技术的意义在于，真正去解决用户的核心痛点。

周景平：

从这些利好变化来看，国家各项法律法规越来越规范化，这也是网络安全发展的必然结果。

比如，对于一些连带性漏洞，必须要走正规路径。以前我们只是按民间约定俗成的漏洞暴露流程，现在要上升到官方流程。

从另一个角度来说，企业提供的有关数据安全、个人隐私保护等业务服务，必须要符合国家等级保护等要求，这实际上刺激了整个安全市场成长。这也要求这些人更加规范化地约束自己，不能说“有了技术就天下任我闯”。

此外，一项政策、一部法规的出台，对于从业者更舒服还是更规范，值得探讨。对于广大企业平台来说，应该是更规范了，必须基于政策法规去改变自己、接受自己、规范自己。