对话杜跃进：企业需要学会与政府对话

关于转变

张耀疆：两年来最大的转变是什么？

杜跃进：这个问题经常被问到，转变还是非常大的。先说技术，很多东西和过去是不一样的。我过去是安全的第三方，在国家的角度看中国的信息通信基础设施，关注的是大规模蠕虫、大规模的网页挂马、大规模的木马活动、僵尸网络等，都涉及到大量用户。

但现在是在互联网企业，真正的痛点的是业务安全。比如搞促销活动，可钱都被薅羊毛了，或者商家、客户被骗，这些都造成业务损失。面对这些现实问题，如果只做到技术层面还远远不够。

现在一切都来源于数据，所有行业一定都会转到数据作为生产资料。你的数据有价值就会吸引坏人，围绕数据就会引发安全对抗。我们容易将数据安全等同于系统安全，将大数据安全等同于云计算安全，实际上这些都不一样。黑产是现在数据用得更好的人，他们会从很多方面围绕一个目标凑出一个数据，这种方法对于市场就叫精准营销，对于黑产叫精准诈骗或精准攻击。

你这边在用数据，黑客在用精准诈骗，所以数据安全变成了非常重要的问题。社会上如果不断出现大量数据泄露不能遏制，大家就会失去信心，甚至会什么信息都不提供，那我们都无法发展，变成开倒车了。

张耀疆：是数据作为工具还是对象的安全？

杜跃进：是数据作为对象的安全，将我们的经验不断提炼，提升整个数据安全的水平。

张耀疆：从产业的角度来看，懂的人都觉得总书记的419讲话很到位。

杜跃进：这个讲话确实非常到位和准确。但是经对了，是否念歪了是另一回事。我2016年做了一场演讲，题目是“人类会毁于网络安全吗”。因为网络会融入到现实中去了，网络安全如果和现实安全依然脱节，或者说“网络安全”中的“网络”两个字不能去掉，我们就死定了。今天阿里在打击犯罪、建设社会诚信体系等领域的做法，我看到了两种方式融合到一起的好处，这不仅解决了网络安全问题，还解决社会问题。有了网络，更多问题更好解决了，所以关键就是融合。

未来就是“新安全”，这个“新安全”也是来阿里之后才体会出来的。所以我没有提前设计，只能不停地学习新东西。过去我看东西更客观，以及位置足够高，看到的是国家安全和国际安全。过去的经验有点用处，用到企业里新旧结合，还能看到很多新的东西。

张耀疆：实际上你遇到的问题是全新的。

杜跃进：九成的问题都是全新的。

张耀疆：阿里现在这么大，外面似乎觉得阿里不是技术导向，而是商业导向，你在这种氛围下，感觉明显吗？

杜跃进：按照王坚的话，因为阿里商业上的成功太亮眼了，所以掩盖了技术上的成功。但是阿里的商业奇迹，没有技术的支撑是不可能的。

“双十一”是人为制造的“技术魔鬼”，但是带动了阿里技术的跨越式成长。数据加上计算能力和利用能力才有意义，阿里的计算能力都是自己做的，从数据库到大计算能力到快速支付能力到后台风控，背后全是技术支持。VISA现在1秒钟最高并发不超过5万笔交易，阿里现在是1秒钟12万笔交易，这些背后的技术力量消费者都感受不到。

张耀疆：是不是还有对技术的应用结果的考量不同导致的刻板印象？例如阿里能否经受双十一考验，是否只是为了增加商业砝码？

杜跃进：如果只是出于商业考虑，那就不会有阿里云，更不会有阿里云OS了。

张耀疆：安全行业做到价值体现的挑战有没有？

杜跃进：这个问题是有的，到底是出事好还是不出事好呢？阿里现在搞出这么大的安全队伍，不是因为打架，而是自己认识到了安全的重要性，而且阿里安全掌舵的就是CRO（首席风险官）。

新的工作方向

张耀疆：除了你构想的问题之外，能否举点例子，和你工作结合如何体现？

杜跃进：我关注几个方向，一是数据安全，按照阿里的CEO说，数据安全是我们的立身之本。过去说安全行业想要发展，光自己说说是没有用的，很多公司CISO就是机房管理员，都不在公司决策层，面对安全问题能做的事很有限。而阿里CEO张勇在阿里安全峰会上去演讲、在国家网络安全宣传周上去演讲，这是非常好的，说明公司一把手重视安全。我们是一家数据公司，我们要保护好用户的个人隐私和数据，保护好自己的知识产权和商业秘密，防止滥用、误用，防止被窃取。实际上在今天的实际环境中，数据安全成了一个全新的领域，而且面临很多新的挑战。

二是物联网安全，现在大家都没准备好，都是零零散散都在做，我们很希望大家能够做出来什么，引领一些对物联网安全有帮助的东西，辅助物联网的业务方向更好地往前走。

张耀疆：关于物联网安全，你有什么想法？

杜跃进：在物联网的场景下，我们要寻找共性的东西，以及对共性的指导意见。虽然按照细分领域还是有必要的，但今天网络和现实世界在融合，也导致横向融合更多了，未来有汽车互联网、冰箱互联网、医疗设备互联网，将这些都切分开肯定是不行的，横向安全也是要做的。未来阿里会有一些新产品发布。

张耀疆：每家大企业的提法都不一样，很多东西还很难预期

杜跃进：现在物联网很热，但是不知道该做什么，因为物联网产业还不成熟。对于我们来说，前期就要做，不能等尸横遍野了才开始做。阿里有自己的生态，有很多合作伙伴，有条件更早介入。而且阿里可以从基础的事情做起，一旦有苗头了，可以快速地将能力付诸产品。

关于安全创业

张耀疆：对安全来说，看你依附的是什么产业环境，有时不是安全圈想不想的问题，而是依附的对象怎么看。

杜跃进：现在的趋势是迁移到云上，然后看安全圈提供给用户的东西够不够，但是现在不完全够。而且看你从哪个角度看，从挣钱的角度看，别人以为挣不到钱，但是存在大量的安全需求。

现在的情况是，老百姓是有安全需求的，阿里上面的几百万商家、蚂蚁支付的线下那么多商家，都有安全诉求，但全部都是长尾需求。如何体现你的价值，我也没想清楚。

张耀疆：如果都想清楚，就是非常成熟的业态了

杜跃进：如果安全行业出现了阿里或者蚂蚁这样的企业，能够找到为中小企业提供安全服务的方法，那就真是颠覆性了。

张耀疆：成功的没见到，但是失败的见到了，比如洋葱，其实这个需求大家其实都是需要的，但是产品形态还是不清楚。

杜跃进：这个时代很有意思，我很感恩这个时代。至少是在变化，而且不管怎样，总是有机会。

张耀疆：很多安全创业者的想法确实在变化，现在更务实一些，发现真没那么简单。短期内会两极分化，一边是传统势力，另一边是BAT等大平台，夹在中间就很尴尬。

杜跃进：安全的蛋糕肯定会变得更大，但是三种情况，一是体制内的大蛋糕是归国家队的，二是大企业的蛋糕几乎是自己玩了，三是中小企业需求，这就是长尾了。

所以有没有可能在安全业务模式上有创新？我现在还不知道是什么。我倒是期待体制内的蛋糕能够更开放，凭能力说话。只要两三年后不捂盖子，有能力安全公司还能挺住。但是捂盖子时间长了，行业就扛不住了。

虽然有捂盖子的苗头，但是靠政府解决捂盖子是可能的，中央政府和主管部门也不希望捂盖子的。

张耀疆：从419讲话到网信办的组建，觉得都很利好，到了2016年网安法出台后，大家都觉得很担心，突然一下子大量人关注，虽然有大单子出现，但都是看得见摸不着。

杜跃进：关键是不捂盖子，最后是看效果、看能力，而不是看出身、看名牌。不然这样也玩不下去。短期内还会比较艰苦，短期内可能还是看关系、看资质，但能力不可能是这样出来的，能力是需要一点点沉淀出来的。

张耀疆：这两年对创业来说挑战很大？

杜跃进：短期靠着收购或融资，但这是不产生价值的，也是不可能长期持续的，目前格局还是没有变化。

被收购之后，如果依然再往前走，还是能够产生价值。也可能收购只是为了势力上的平衡。

关于网络安全法

张耀疆：您对网络安全法有参与吗？

杜跃进：我从一读稿开始就在参与，虽然网络安全法公布了，在6月1日执行前，各种有关规定还没有落地，我们也需要和政府一起，帮助政府将细则制定得更有操作性。现在很多问题是无法操作的。比如26条（“展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定）”，跟漏洞研究和风险评估、信息发布，一般人是不能随便搞的。第62条也规定（违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款），没有这么搞我们就要罚你。但是“有关规定”是什么，还不明确，就是需要制定的细则。

有些东西很有挑战性的。我的建议是，这个时候不应该等着，而是主动和政策制定者一起将东西搞出来，而不是等出来后再骂。政府和企业的利益是一致的，政府也不希望将产业管死了，政府现在都会比较广泛地征求意见。

张耀疆：你觉得网安法有哪几个关键的影响点？

杜跃进：我们应该和政府一起，将很多事情做得对行业有利。例如众测，如果中国没有广泛的基数，那么中国就没有基本的防御能力了。我还担心只关心安全而耽误了发展，这肯定不是大家希望看到的。安全不能变成发展的阻碍，这是共性的，所有人都一样的。不希望将安全的基数搞没了，这是所有安全从业者共同的利益诉求。