“智者”杜跃进：从体制到阿里，他的忧思与梦想｜人物

杜跃进在网络安全圈绝对算是腕儿，之前他是安全圈最活跃的官方代言人和思想者，足够高的视角让他得以成为安全行业的瞭望者。

后来，在众人的一片惊讶声中，他走出了那个他为之奋斗多年的体制，来到了风景如画的杭州西溪，来到了雄心勃勃、生机勃勃的阿里。

从体制出走至今已有2年，如今的杜跃进又在忙啥，又有哪些变化？

走出体制，万类霜天竞自由

在阿里，人人都有个花名，既没有英文名的庸俗，又没有直呼其名的突兀。如今，阿里已经贡献了超过13万个花名，后来者能不重名实属不易。杜跃进来阿里后，给自己定的花名叫“今亮”，一查，还真没重名，于是就这么叫上了。

“今亮”者，晚清重臣左宗棠的自号。这位举人出身却以文襄冠名的猛人，年轻时自命当时诸葛，有荡平天下之志，后来收复新疆，功名千秋，“可做人生楷模”。在这个花名的背后，多少包含着杜跃进或深或浅的文人底色或济世情怀。

面对杜跃进，很多人都会好奇，这位在体制中游刃有余的安全大牛，为什么会一头扎进企业？

“其实和阿里接触并没有多久，我很快就做出了加入阿里的决定，这让很多人都感到意外”，回顾当年的决定，旁人看来多少有些不解，毕竟这么大一个腕儿，就为自抬身价也最好故作矜持。但如果这样，他就不是杜跃进了。

他之所以能快速决定离开，固然有着对外面世界的好奇，也有对职业追求的某种执着。

“在体制内，我多次被领导说是‘不务正业’”。这是杜跃进的行事风格，看起来慢条斯理，内心深处却汹涌澎湃。“不过那时候没几个人说网络安全，领导们对我说的还是比较信任，于是放手让我去干”。正是在这样的环境下，杜跃进作为国内最早专注于网络安全的专业工作者之一，历时多年的技术沉淀和实践磨练，在我国互联网安全的核心能力研发与应急响应体系建设方面做出了突出贡献。

反倒是后来网络安全引起广泛关注后，杜跃进越发感觉反倒不如当年了。“所有人都开始谈论安全之后，很多事情反而不好办了。各种不同的声音和观点很多，牵涉的面也多，一些非常重要的事情经常是费了九牛二虎之力，很长时间也推不动。然后眼看着我们错失了很多机会，在一些重要的方面和国外比甚至由领先变成落后了。”对于一个自由而敏感的灵魂，这种看得见而摸不着的生活，久了无疑是种煎熬。

但见君子，云胡不喜。虽为今亮，何必三顾。2015年，在那个烟花灿烂的三月，杜跃进离开干燥而熟悉的京城，南下来到温润而怡人的江南。因为他看到这里同样是一个庞大的舞台，同样是一个能够实现自己“人生为一大事而来”承诺的地方：“我曾经在一个很大的会议上说，‘人生为一大事而来，我的这个大事，就是中国的网络安全’。后来我发现在阿里巴巴这样的大平台上，面对数亿用户所依赖的庞大复杂的生态环境，做好这里的安全具有同样的意义”。

从一个江湖到另一个江湖

很多人都好奇地问杜跃进，从政府到阿里，生活有哪样不同？“只是从一片江湖转战到了另一片江湖”，这是他的回答。体制并非传说中的那般不堪，那里有很多优秀人才也有独特的资源优势，商海也未必如故事里的那般美好，这里有繁杂的业务变化和沉重的眼前目标。对于体制和市场间的微妙不同，只有经历的人才能知其冷暖。有人的地方就有江湖，各取所需而已。

“到企业后，遇到的问题很多都是全新的”，即使大牛如杜跃进，切换模式后仍需要重新适应和学习。

首先是位置的差别。以前在体制内时，杜跃进重点任务是站在国家的视角保障全中国的信息通信基础设施和重要信息系统安全。登高望远，大事才能入眼，多是涉及大量用户的大规模蠕虫、大规模网页挂马、大规模木马或僵尸网络等安全事件，以及基础网络、域名体系或路由体系等的安全保障。

那时的他，就像安全圈的听风者、预报者，离着一线企业的业务总是隔了点距离。如今身处企业，就像来到战场一线，每一处安全痛点都关系到企业和用户的最终利益，安全问题带来的都是切身之痛。

另一个不同之处就是节奏。“体制内显得更加规范，都是想清楚大目标，再做好整体设计和论证，接着严谨地推进。坏处是会慢一点，从形成想法到做出来有时候要三五年。而互联网企业的速度非常快，很多东西是想起来就做，跑到一半的时候可能还要停下来看看方向，如果方向跑对了，可能会获得很大的成绩。”杜跃进一边说，一边若有所思地回味。

对杜跃进而言，出走体制绝非仅为了体验另一种江湖，因为在外面他看到了未来。“过去我做的互联网安全是信息通信基础设施安全，但是如今互联网已不再仅仅是信息通信基础设施了，它正在变成任何事情的基础设施。网络安全在发生重大的变化，需要探索和创新”。

君子择邻而居，阿里吸引杜跃进的地方，是整个公司足够重视安全。而判断一个公司是否重视安全，关键看老大是否会为安全站台。

至少，杜跃进就多次亲耳听阿里的CEO张勇说起，“数据安全是立身之本”，对于阿里如此庞大的电商平台，如果没有数据安全，一切都将是空中楼阁。所以，虽然没有发生诸如3Q大战这样的战役，阿里在扩张安全实力上也是不遗余力。比起很多口头上重视安全、行动中却未将安全放在优先级的公司，阿里对于安全的理解或者诚意，或许是吸引杜跃进前往的最重要原因。

此外，阿里的很多新鲜实践也酝酿出很多新鲜的想法，这也让杜跃进感到新奇。在采访中，杜跃进多次提及王坚的书，那位大牛对于数据乃至明日世界的理解，显然带给杜跃进很多启发。智者只有与智者在一起，才能感到思想碰撞的乐趣，孔子说无友不如己者，大抵因为如此。在这背后，也折射了这个时代的微妙变化，即中国最具活力的思想源头正在从政府转移到企业。

对于吃瓜群众而言，更关心的或许还是钱的问题。之前江湖传闻，阿里为了挖杜跃进，大概砸出了千万年薪。之前享受类似传闻的安全大牛大概只有如今在腾讯的TK教主了。当我们很八卦地求核实时，杜跃进笑笑说，“公司有规定，这个不能说”。

从预言家到活动家

在体制内时，得益于开阔的视野和活跃的思维，杜跃进总能比别人多看好几步棋。所谓见微知著，大概如此。例如，2004年开始研究并到处呼吁重视网络钓鱼，2005年提出“僵尸网络”的说法，2006年系统性地强调域名安全，等等，都是当时的引领者。

虽然近两年工控安全已经引起了业界重视，但是2007年时，杜跃进就意识到这将会成为一片新战场。当时在一次国际会议上，杜跃进认为一位美国专家的一个演讲很有说服力，这个演讲还预言了五年之内可以实现通过互联网对工控网络的攻击。从那时起，杜跃进就经常为工控安全而四处呼吁。

杜跃进还是很早转换到安全威胁视角的人，这个视角要高度关注攻击者的动机和能力，而不仅仅是攻击事件的手段和路径。2009年时，各种数据显示我们的安全状况挺好，似乎一片祥和。但是种种迹象却让杜跃进隐隐不安，他感觉一场“陌生的危机”正在靠近，而我们的“雷达”正在失灵。“之所以说陌生的危机，是因为不知道危险会是怎样的、从哪里来，但是有强烈的感觉，存在极大的够得上是‘危机’的危险正在铺面而来。”

杜跃进后来告诉我们，他将网络上的坏人根据动机分为4类，依次为“白开心”、“淘黑金”、“纯小偷”和“大玩家”。很长一段时间内，最受人关注的只有前三者。而“震网”事件等陆续发生后，杜跃进突然明白陌生的危机是什么了， “大玩家终于浮出水面了，大玩家时代的漏洞攻防是非常不对称的，谁有能力同时掌握4个0day漏洞放到一个攻击程序里，而且保持几年不泄露？”

杜跃进所谓的大玩家，就是国家级玩家。大玩家的攻击能力是空前的，远非那些小打小闹的商业玩家可以望其项背，他们的动机、掌握的资源、选择的目标等也和其他攻击不同。

“那时我就在大力推广APT的概念和应对方法，直到2013年美国发布APT1报告时，中国才突然意识到，和对方的差距已经大到了几无还手之力的地步”，杜跃进现在说起时，仍不免遗憾，那是一种心有余而力不足的遗憾。就像一位预言师，明明看到了未来的灾难，却只能静静等着它发生。

后来震惊世界的斯诺登事件，则验证了杜跃进的判断。所谓震惊，其实是因为超出预期，对于早有预期的人来说，只会觉得这是势在必行。但是绝大部分人都没有想到，大玩家已经在黑暗的笼罩下走了那么远。

杜跃进当惯了孤独的预言家，如今来到了企业，是否能做出点不一样的东西呢？

或许是久居北京的原因，杜跃进很善于用极通俗的语言表达很抽象的内容。面向未来，杜跃进总结自己的工作重点是四个方向、三个落脚点。

所谓的四个方向，就是北玄武，代表决策者即政府相关机构；南朱雀，代表社会大众；东青龙，代表产业界；西白虎，代表学术界。

现在很多创业者动辄言“生态”，如果追根溯源，最早在互联网圈提出“生态”概念的企业正是阿里。如今，杜跃进就是推动安全生态的人。

放眼中国，杜跃进或许是最适合推动安全生态建设的人之一了。久在体制之中，他太能理解政府是如何思考问题和决策视角的，这是很多纯技术人员所不能比拟的。对于公众，杜跃进的化繁复为通俗的表达能力也不遑多让。对于学术界，他早已是多个科研机构和高校的教授、研究员，还拿过多项国家级学术大奖。至于产业圈，则是他如今正身处其中的地方。

尽管如此，他也有侧重。“原来这些我都做。现在更多侧重于学术和产业的合作”。

对于很多人来说，生态这个词终究还是有些“虚”，虽然阿里多年的发展却受尽了生态的益处。杜跃进也充满了信心，“阿里的基因里就是打造平台、塑造生态，比如阿里云是需要生态的，上面有超过百万用户，生态越丰富，云的效果就会越好，安全正是生态的一部分。”

尽管生态的好处众所周知，但即使如阿里，做好生态也需要时日。因此，杜跃进也准备好了足够的耐心。“安全生态这件事一直在做，现在还没有那么成熟，虽然大方向是明确的，但具体抓手是什么还在摸索。”

至于那三个落脚点，则是杜跃进来阿里以来重点关注或主持的工作，即数据安全，网络黑灰产与新型网络犯罪，物联网安全。

如果说数据安全和打击黑灰产已经成为共识，那么物联网安全目前仍是方兴未艾。作为预言师的杜跃进，也以他一贯的风格，看到了在繁荣背后的隐忧。“现在物联网很热，物联网安全大家也都在零零散散地做，整个产业还不成熟。但对于阿里来说，有条件发挥自己的优势更早地进入，可以从基础先做起。一旦行业出现苗头，就可以快速地将能力付诸产品。总不能等尸横遍野了才开始做吧？”

从体制到企业的杜跃进，杜跃进一贯地喜欢向前张望，一样地希望有所作为。在这个急速变化的年代，这样的智者永远在路上。