全球监控与泛互联网时代的新安全人才观

 5月24日，首届中国网络安全提速论坛在中关村软件园召开。本活动议题为“如何建立安全人才快速培养机制？”，来自百度、CSDN、卡饭论坛、IDF威慑防御实验室等多位专家围绕该议题展开深入探讨。 

IDF威慑防御实验室联合创始人万涛 

IDF威慑防御实验室联合创始人万涛在主题演讲分享了他对网络安全的新认识。与传统狭义认识不同，现在的网络安全应包含更多维度，应覆盖：有业务思维的基础安全；有态度的信息安全；有效益的社会安全；艺术和美的传播安全；无边界、有权责的数据安全；风险导向的金融安全。新安全观对新安全人才提出了新的挑战，新型安全人才应具有广阔的视野、平衡观，具有艺术之美，也需要跨界。

他表示作为安全行业人才，要有一颗黑客的心，自由平等分享和互助的心，辅以新安全人才观和宽广的视野，共同打造未来美好的安全生态。

以下为演讲实录：

万涛： 安全这个话题其实可能回溯到去年在长沙一个大会上的一个沙龙，当时跟全国高校的老师一起来PK安全人才的教育培养问题，当时这个问题引起比较大的吐槽，用了这样一句话，究竟今天高校的安全老师是在给学生解决就业问题还是这些学生在给老师解决就业问题。其实这个话题可能不仅放在安全教育上，可能在信息教育，还有在很多应用性特别强的学科上，可能今天都出现了这样的问题，现实的情况的确是这样的。我觉得安全人才很难培养出来，因为跟我们基础学科是一样的，因为基础学科延续数学、语言、哲学这些都有很多年的历史沉淀，信息安全体系是全新的，1998年我参加第一届中国信息安全大会的时候，中国的安全公司只有5家是信息安全的，大部分做加密的。

其实我在高校也讲过很多课，我也能理解，在我们这种教育体系下很多课程，比如信息安全现在还是二级学科，可能很快有机会成为一级学科，但是无论它是一级还是二级，它的体系课件是死的。比如说里面有政治，还有像外语这些课，它的学分很高，课时占的很长，这样学生我记得我在很多高校就问信息安全专业的学生，我演讲完了以后我说你们有多少人是因为喜欢信息安全而选择这个专业的，100个人可能只有几个人会举手。所以今天你会看到，今天浮在水面上的，就是说有过十几年或者多年的沉淀的，很少会有科班的，是比较少的，当然也有，比如说像TK是学医的，我是学财经的，都是不同的跨学科的背景，都是因为一些原因才进到这个科里，现在这个科变大了，我这里就跟大家分享一下我关于安全人才观还有安全观的看法。

泛互联网时代，传统安全边界被快速淹没

前面我一直在讲，刚才大家讲，今天是一个泛互联网化的时代，对于安全的需求其实也有不同的需求。刚才我还在微博上跟小米吐槽，现在小米安全中心今天发了微博，说他也是漏洞悬赏，高危漏洞最低的是200块钱，高危漏洞给2000块钱，对比360的4万2，我就吐槽，我说2000块钱傻瓜才给你呢。第一个是说，今天的环境真的变了，这个环境变了就是说，安全的传统边界已经被淹没掉了，像卡饭论坛这些，传播方式已经变了，很多传统安全的人对安全的影响是不在意的，没有这个意思，这也是传统安全以往做不起体量的原因，因为用户投资安全但是不如投资别的来的实际，比如投资安全不发生事情本来是应该的，在我们正常心里面不是就没有业绩，做别的安全投资可能效果有经济效益，做安全做到有什么效益、有什么回报呢，没有，看不见。

同时，互联网本身的变化，就是这种平台，包括社交媒体，现在我们在微信里面还在聊，像Facebook，比如司法部通缉的那个，那里面有很多，是通过其中一个人，通过他的社交网络Twitter再去看，所以有很多攻击行为是通过这样的。老美对中国国情的理解，跟《反恐24小时里面》，我们经常看到美剧里面反映中国的，好歹用个普通话说的好点的人，经常里面的普通话我们都听不懂，都不知道找的什么人。所以那里面很多层面上反映的问题是大家对传播性、专业性的认识不纯的问题，包括今天各种各样的数据库，种种都是为今天的泛安全化创造了客观的土壤和条件，这个是很多包括做安全的，甚至做安全运维的人都不能去理解的。

 

下一个是关于媒体的，现在媒体的边界也在稀释，不再是传统说的报纸，媒体的这个过程里面，比如我后面一张幻灯片是关于斯诺登的，大家都知道去年6月份的时候斯诺登到香港，到香港的时候直接受到两家媒体的采访，一家是英国的卫报，还有一家是南华早报，你们不知道的，2012年年底的时候南华早报整个邮箱都被破获了。我们结合刚刚前面讲的，今天的发言权下，从移动互联网，到今天的感知，包括对Twitter的攻击，还有斯诺登事件影射后面，会看到今天的传播源、数据源已经离散化了。在这种情况下，整个安全的范畴，所以才会去热炒APT，APT其实讲白了就是不择手段或者精心构建攻击。今天看一个采访，谈了谷歌以前遭受的攻击事件，也可以看到这个发起点也是通过社交攻击进行的，是通过一个漏洞使谷歌的一个员工中招，包括一个中国员工。

 

在这样一个过程里，在这样一个全球监控大的环境背景之下，这是美国NSA，通过他的停车厂的规模可以判断他的人员整个投入规模，你要有机会将来可以参观NSA的数据机房，在德州数据机房会看到整体的规模，他每天处理的数据流量可能会比很多互联网公司都大。

在这种泛监化的情况下，无论你从反思还是从整个管理来讲，比如像斯诺登报出来的美国情报的采编体系还是其他的外包公司，每天产生5万份的互联网威慑情报，我当初为什么原来是去搞攻击的后来停止攻击，就是因为当时美国给我们出的一本评估报告，发现我注册第一个域名去做这个网站的时候人家就已经把你盯上了，那时候我还没有显现出所谓的价值出来的时候，比如会把你ID论坛的活跃版都搬了，包括你在论坛平常发的照片，然后根据你的聊天分析你的关联关系，所以我后来一直有观察，他其实不止中国的黑客，也观察印度、俄罗斯、中东，每个后面都有懂相应国家语言的情报分析员，有人会采集数据、有人会分析数据，你会看到在今天这种安全体系下，包括整个各个国家所面临的其实是一样的，但是他的人才的生态系统，以我们现在脆弱的安全人才的状态，其实我去年应对老外媒体的时候，对这个报告很难讲不能像以前一样你没有证据，面对那份报告我只能说，如果那个东西是真的只能说明我们的攻击水平很差，说明我们这个水平跟你不在一个层次上，比如说振荡波、火焰病毒我们知道肯定是国家队的行为，但是我真的是拿不出证据来说把老美的某个人找出来谁干的，我没有这样的能力。

云计算、物联网等新技术迅速流行，而网络安全重视程度却不够

所以你可以假象一下，我们今天互联网还在快速的发展，包括可穿戴设备，包括互联网、车联网这些都很热，这些都比我们安全更赚钱、都比我们安全更吸引人，可以给出更多的钱去抢更多的人，安全人才的出路在哪里，这些里面有多少在意安全的，比如我现在在家里面做家庭改造，我去年已经建了电站、包括业余电站、微型电话，包括带WIFI的电路控制，其实所有这些穿戴设备拿来晚，这些穿戴设备真的只能做体验用的，要把很多度量放进去今天很多穿戴设备漏洞百出。比如某一个厂家，他带WIFI的插座卖的还不错，在京东上我看卖的量还行，但是他那个上面有一个APT，因为那个是写死的，是可以被绕过去的，就意味着如果我要入侵他，可以远程关掉你家里的电脑，相当你用了那个插座，那边是连WIFI的，这边APT能上网就能摇动那个WIFI插座，那里面大概有3千多用户，管理后台是超简单，就是一个内部用的，因为他肯定不是给你用的，但是完全可以拿下，拿下以后我可以对三千户的家庭操作他们家的电网，所以我现在都把这种设备用在家庭非主流上面，可能主要是一些路由器或者辅助的电器上，不会说把主要电路接进去。

像这样的情况如果发展这么快，如果加上大数据，如果结合APT，比如我拿到他WIFI那个，通过他的WIFI，因为他连着他自己的WIFI，再去入侵他的WIFI，如果我对这个用户进行定位，就会精确知道我万涛住在哪儿，对我家定点进行对一个个人数据的攻击，这样在你认为可靠的家庭里一样是不安全的，而且有可能由于一旦这些设备上来了有可能带来不是信息安全那么简单了，比如说连你的门禁，包括你的电器，比如我们去年模拟过对电器进行攻击，今年做了一个实验，某一个产品核可以让他输出白屏。这种情况，如果说我们的安全人才还是局限在过去的传统安全，比如我们强调责任、专注、坚韧、价值，其实有很多安全交流会，但是我们过去安全人才通常是作为ABC，安全人才里面还是照这样的模式，工程类的、系统安全类的、管理类的，是这样来分的。好像在他不懂这个业务的基础上就可以培养出安全人才来，所谓这种职业安全教育出来的学生可用性不强，除非他们当中有自我学习能力比较强的，就像刚才前面说的很多是靠自学的。

所以在传统安全人才观里面，虽然我们出了一些人才，也涌现了很多的安全人才，那是因为我们的体量足够大，中国是一个大国，有那么多愿意自愿去学的，但是也有很多人，就是因为往上延伸不上去所以才转黑产上去了，我们带出来的很多孩子转到黑产上去了，但是黑产有时候不能一味的贬低，很多做黑产的业务思维特别好，而我们自己做业务设计让，比如程序员或者产品经理这块能力是比较弱的，你没有黑产就可以做这块，他有这种业务逻辑、找漏洞能力，所以他构建或者注入的时候很多时候都是你想象不到的方式，很多程序员你把漏洞给他他知道可以补上。如果传统的安全人才观就像我们一味的讲我们中国工夫一样，我们有很多武侠片，大家都看过金庸小说，我们都把我们自己的功夫想象的出神入化，其实大家都知道真正实战的时候中国功夫是不管用的，到时候就像这种天山武林大会一样，包括我们其实在历史上，包括我军现在撤了，以前黑龙江大刀队，边防，现在我们的体工大队已经撤了，那些做表演行，实战不行，真正实战的时候是在PK里面，一定是通过战斗打，而不是按照套路来的。

 

所以这样的话，这个4万和60万什么意思？是说目前的有关统计数据， 2012年我们的安全人才在需求上大概是60万，每年的安全人才60万的需求，但是社会上所谓生产的大概在4万左右，而且这个还不一定说都算合格的安全人才或者满足需求的安全人才， 所以看起来这个体量是有的。比如像银行很多假钞，跟我找你有没有安全人才介绍到银行，比如说我找一个渗透特别好的，我说按照你们银行他的社会经验你放心吗，而且他完全不懂银行业务的话让他过来能马上起作用还得有一个过程，所以你原来搞网络的，所以很多留在银行里面他都是原来从网络安全处，一般是这样的，他从运维层面去培养安全，然后放到应用，因为是微网络，又是各自的，所以整个体系现在就是这么一个状态。

新安全人才观：视野、跨界、平衡观、艺术之美

所以一个新安全人才观依赖于什么样的层面，这是我去年在俄罗斯的黑客大会，也很强，其实不亚于咱们的对抗，蓝莲花去年没有打入俄罗斯的这个，在这个比赛里面是得第二，是荷兰的一个黑马杀出来的，俄罗斯的队比较多，但是我会看到俄罗斯的年轻人，因为这个国家他们一边喝着伏特加一边去跟你打比赛的时候那种状态，我觉得我们国内上还是比较拘谨。其实像台湾这个黑抗的队算是有经验的队，因为台湾的黑抗我已经参加过两届了，他们差不多有十年的历史，他们带队打黑抗，他们第一天就决定了优势，大陆团队里面有搞渗透的，这些可能不一定差，但是二进制这块比较弱，所以在实际配比的时候，这实际上就是一个实战经验，实战经验一旦上来以后可以迅速上一个台面，但是再往上跟美国，那个队里面也有华人，在美国很多安全公司里面都有华人，有大量的安全人才是从大陆出去的。所以这样的一种局面，我们什么时候能够到这样一种状态，在俄罗斯的黑客大会上包括像开锁这些都可以现场学，现在可以开四级锁，开不了五级锁，现在中国的锁还是管制，书没有，网络上有视频，家里用的锁芯是什么样的，工具也可以做。所以安全的外延有很多。但是很多由于我们一些竞技或者一些束缚，所以跟我们的安全文化体量也有关系，除了教育。

在讲新安全人才观的关键词前面我先会谈几点关于安全的认识，就是安全其实我刚刚讲了那么多罗里八嗦，时间比较紧我就松散的讲，我大概总结了六条，现在看安全怎么去看。

第一，有业务思想的基础安全。 过去的安全是比较少谈业务的，我们主要是谈技术，从我们各个环节，防火墙、IDS、加密，所以你看安全教程、课本，无论是高校的还是外面的，有几个谈业务的，没有。但是今天安全如果不跟业务去结合，安全是没有价值的，或者他的价值体量是不够的。所以第一个是有业务思想的基础安全，这个基础安全里面必须有业务思维，这样才有可能得到社会的认可。

第二，有态度的信息安全。 所谓有态度其实讲是一个全责，安全关乎的是面，其实今天已经是延伸了，过去说网站被黑了怎么样了，传播那时候以前大家不要报就行了，一般也不好报，所以以往被黑客，包括政府网站黑那么多，不会报，因为我们通常都是这种事不行，丑事不能报，都是这样来做的。

第三，有效益的社会安全。 今天的信息安全的确不仅仅是一个技术层面的，他是有社会影响面的，不管是小米包括其他的各种各样的比如开房这种数据，会产生社会影响，不简单是数据损失了，你说这个开放的数据库出来，可能多少夫妻还有男女朋友关系就要受到影响了，大量这种数据很难去评估他的风险，所以你要注重他的社会效应。

第四，艺术和美的传播安全。 什么叫艺术和美的传播安全呢？今天在安全里面我觉得很多传播还是洗脑式的，一种是站在厂商的角度，我这样做就OK了，你把你的安全托付给我，这种我就称为洗脑式的。打个不恰当的比方，跟游泳一样的，当然说我可以给你一个救生圈，你会游泳可以游的很开心，不会游泳也可以，但是不是所有人都拿救生圈游泳，真正洪水的时候拿救生圈嘛，所以你还得要会，狗刨也要会点。

举例的时候，举个日本的，我们虽然说小日本如何如何，但是有一点，他们做东西的精致和细致是你必须要敬佩的，比如像井盖一样的，我们经常说井盖被撬了，但是小日本的井盖上面都是精美的设计，像艺术品一样的，包括我们所谓的下水道这些。有一句话说一个城市的下水道是一个城市的良心，我觉得安全也是这样的。一个程序员写的代码，他在安全的体现就是程序员的良心，你的功能实现了安全没做好我认为你良心有问题，你是有心给用户准备留一个坑，大家都用的时候你就有责任在这儿承担这样的问题。所以当你追求代码的极致的时候，像我们以前因为条件的局限，都是追求代码的极致，我为一个菜单或者为一个调度的东西写很多，我会反反复复去写，就是为了他看起来酷一点，大家都是拿来主意。就像讲开元式的，虽然锤子给开元捐了一百万，虽然开元是炒作，因为马上就有人报锤子的漏洞。但是起码可以看到这么多用开元的，他对开元的回馈是不够的，心脏都出血了也没有人谁给他输点血，诺基亚太捐了几百万。

 

第五，无边界、有权责的数据安全。 法律里面现在对于虚拟资产我认为是有问题的，信息资产不能是虚拟资产，已经不是虚拟资产了，你过去说Q币被盗了属于虚拟资产被盗了，但是今天的余额宝、支付宝还是虚拟资产嘛，一张照片如果让你离婚什么的，能叫虚拟资产嘛。

第六，风向导向的金融安全。 在国外讲安全的时候有四个维度，第一个，是事件导向的，出了事我来擦屁股。第二个，所谓的技术导向，就是说业界流程说什么我就干什么，今天要防病毒我就防病毒、要防火墙我就防火墙。第三个，中国用的比较多的流程安全，我遵循国标，跟着标准来，出了个PCI我过一个。但是都知道，很多标准一旦到了中国以后，为了过标准过标准的时候最后很快成为滥大街，流程控制安全不一定是有效的，他可能形成习惯，我流程有了，但是没有流程反复确认的过程，这部分是我们不重视的。比如最近我再吐槽一下小米，小米论坛其实是做过安全检测的，找人做了，但是他竞标的时候是南方一个公司去竞的，结果他报了20多万，有一家公司报了几万的，小米就取了几万块钱的，小米的体量花几万块钱做渗透测试丢不丢人，包括小米今年还做了PCI认证。流程很重要，但是不能被流程僵化掉，不能通过所谓的国标去，因为认证做标准的这些公司，现在所谓帮你做认证的公司是以发证书给你为目的的，不是真正帮助你找出问题的，而且这种检查，摄像头有吗？有，好，OK，Pass，摄像头角度够吗，这个摄像头会黑吗，他会数据挖掘吗，你给他几万块钱会做吗，所以你拿到那个认证表示你有这个构架，不会表现你会不会到这个层面。

所以最后一个安全角度是风险导向，安全是一个不断降低风险的过程，最后是残余的风险你可以接受是一个安全。所以这里面有两个，第一，不断的降低风险，他安全是持续下降，所以是持续改进的，所以残余风险能不能接受，谁来定义残余风险，笔触你的库被拖了，拖了200万有风险、还是100万有风险，比如小米的库拿来分析的时候，可能37%的用户是可以匹配的，但是有人很有趣的分析小米的水平，从这里面反过来分析出小米的水平用户有多少。所以有很多东西延展的话，这种残余风险的定义，其实主要在于说今天可能我们还是在一个相信自己的PR的能力，而不相信整个安全最后体量的时代，这主要是因为法律上的维权成本太高，然后你要担责任这个相对来讲太低，比如国外300万用户被拖库和平这样的事件，可能职业律师就垮台了，一个维权公司可能上千万美金就出来了，所以这样一个漏洞2千块钱就可以解决了。

最后谈一下，所谓新安全人才观。其实我觉得安全人才的确跟好像学功夫一样，我们讲学武本来是应该修身养性，来防身的，不是让你去砍人、杀人的，但是安全也是这样，所以他怎么能够出淤泥而不染，就像莲花一样，安全人才必须要经历的一个过程，你在这个过程里面必然要经历各种漏洞，当一个安全漏洞才值2千块钱的时候，小米的安全库能卖多少，一个星级酒店的数据库在市场上大概能卖50万—150万人民币，谁会为了2千块钱去做。所以我刚刚讲说，如果我们对安全的价值估计不足的话，可能产生一种情况就是说，会产生这样的一种现象，刚刚很多人谈到Windows，我不担心这样的情况，黑产以往做好会告诉大家有一个洗白的过程，首先有人去挖掘漏洞，挖掘漏洞以后在市场上交易，比如直接把这个漏洞卖，有人就会拿这个漏洞去拿数据，数据可以再卖，数据这个基础上通常还有一个数据加工问题，会进一步加工这个数据库，根据我这个再延伸出别的库来，直到这个库没有价值了，这个时候就会把这个库人为泄漏出去，比如说通过迅雷什么，这个叫洗库。有人再拿这个库，比如拿着Windows去报漏洞，这个事情一旦公布了，这个洗就完成了，就是没风险了，这个曝已经是曝光的库了，当你哪天查到手里有小米库，这是网上下的，这是一个洗的过程。如果说设计有的问题，最后我一个漏洞拿2千块钱，我还拿到了其他的呢，这种情况是我不需要看到的状态。

谈到新的安全人才观的时候，今天下午还有一个论坛我们在聊天文学和《三体》，大家都知道那部科幻，有没有没有看过《三体》的？《三体》我推荐大家还是要看一看。通常我认为像女性的网友都会很喜欢，就是当然对科技有兴趣的，都会很喜欢，因为可以满足你很多的想象力。男性里面可能会有一定的区分，IT人士的很多都喜欢的。

如果大家看过《三体》的都知道，《三体》里面有一个著名的“面壁者计划”，因为三体是外星人要直面地球，他在地球里面找到同盟者，就是对地名文明失望的人，而且都是一些科学家，认为地球人不可救，需要更高的文明。人类在那个时候还吵的不休，后来搞了“面壁者计划”，《三体》里面可以做这样的解读，他可以记录你的思想，可以监视你的一举一动。但是三体人跟地球人不一样，他不懂计谋，就是地球人的情感和计谋是不理解的，就好象说美国人不理解我们一样，美国的美军里面表现中国人都跟二逼一样最傻的形象，就像最新的《反恐24小时》，美国，他的盟友都演的跟傻瓜一样，你说美国一个总统真的是美国的飞行员，就算操作无人机把人干了，会把飞行员送过去受审嘛，包括在大使馆前面抗议，我觉得在巴基斯坦和阿富汗发生的。

 

人类面对外星人需要找最杰出的安全人才，他们有不同的人去PK，成为所谓的面壁人，面壁人在于说他要去做一个表面的计划，一个计划，因为外星人什么都能看得见，你还是在他能够完全被监听你的情况下做一个计划，让外星人不了解你不知道真正的预谋是怎么防范他的，就是一切都是空白的，但是还能防你，出现了这样的几个面壁人，包括面壁者一号、二号、三号。大家里面会有一个体会，这个面壁者里面，比如说最早的是凤凰星，就是要做大的核弹那种的，还有像委内瑞拉前总统查韦斯那种模式的，只有最后这个是一个中国人，是一个华人。第一个是美国的前国防部长，他用的是特种部队，包括请教本拉登，那时候本拉登还没有被干掉，有这样的情节，怎么样打游戏战的方式把外星人当成美国人，第一个被破掉，不管用。第二个，雷迪亚兹用核弹的方式。第三个是把思想打封印。第四是逻辑的思维，其实是找了黑暗森林的秘密，就是整个宇宙像一个黑暗森林，其实有很多文明，但是大家都藏起来，因为大家都不知道谁是谁，说谁一露脸就会被干掉，所以为什么接触不到外星人，因为大家都藏起来了，因为大家都害怕对方，是这样一种状态。黑暗森林计划就是说，把我坐标发出去，如果我把三体的坐标发出去，就是一个同归于尽的做法，如果你搞我就把坐标发出去，暴露在全宇宙上面，通过这个跟三体形成了交换，有了威慑能力，因为三体对地球实行科技封锁，这样的情况下最后只有中国的哲学家的逻辑他的计划是成功的，具体大家可以去看。

为什么到最后不是一个技术的人而是一个哲学家做了这样的事情，可以延伸到 视野 ，包括有一些人才能够成为国际性的人才，像TK这些，他的视野，他原来不是所谓的科班出身，钻研这种视野可能对他是很大的帮助，跟他们交流什么问题都能谈。

第二， 跨界 。今天因为讲安全是延伸了，你要玩沟通，要玩可穿戴设备，你没搞过带路搞什么所谓的信息安全，电路图都看不懂，这只是一个比方，比如工业设计的流程，原来卖的都是网域媒体，比如电站、电路公司、通信协议都不一样，所以要跨界，未来的延展是比较宽的，现在还比较窄。

这是我家的太阳能电站，包括马航，我们做了科普，包括上次做的沙龙，发现现在我们人才分割的很厉害，面对今天在座各位有知道我帽子上的英文是什么吗？BH1BEI，这是我的呼号，全球唯一的，这就是我，这个呼号是有证的，所以有两个电影，一个是《超时空接触》，还有一个是关于无线电的一个故事，都是故事，叫《格式未来》，通过无线电交流改变历史的故事，非常经典的，是科幻作品里面最伟大的作品。

像这些跨界就会带来你的支持，今天可能有的人觉得，今天有这么多大牛之后我可能要崛起了，可能要涌现出比如Web安全这些，其实还有很多领域的，你玩微星，起码在中国还没见过微星黑客，黑微星的，微星很难黑吗？我告诉你，不是很难。所以在这样跨界下面，下面就是 平衡 。这个图不是P出来的，有一个老外喜欢摄影到处摆这种石头去拍，摆出这种看似不可能的情形，鸟站在上面自己还不会倒。安全有时候跟踩钢丝一样是平衡的艺术，安全人才的平衡观是很重要的，有很多安全可能十年磨一剑。

再一个，我刚刚前面讲的 艺术 ，有一本书就叫《安全之美》，当然翻译的不太好。你会看到真正当你去理解安全，就好象我们要夸张一点，像《黑客帝国》，是把黑客的东西和哲学、故事演绎的很好，即使你不懂黑客，但是里面有一些场景是有一些界面去操作，你要懂的话看起来会更有味道，所以你要看到这里面演绎的时候就会看到安全之美，这样的人才观在这里面也是很重要的。

这是在百度南京的一个会议上的场景，安全是一个人才汇聚的地方，我们希望未来的安全人才，其实看国外的黑客大会，你会看他那种状态，他那种自由、奔放，这种成就感，是两个意大利的哥俩，他们玩的很熟，就哥俩开一个小公司，还有一个蛋糕店，一个小作坊，主营是做蛋糕、做咖啡，百年老店，家族传的，业余就是玩这个漏洞，每年能搞很多，就是他能过的很滋润，中国如果2千块这种的话是没法去养人的。但是我相信随着这个体量，这个机会会来，而且安全你是可以做全球市场的，没有说这个漏洞只做做小米这些，你有本事玩谷歌漏洞，谷歌漏洞10万美金，你可以参加谷歌比赛，每年的比赛我们的团队今年就拿到了，是搞苹果的IOS。

刚刚大家已经吐槽了很多，环境、政策种种因素，其实我们大家问题今天都能看到，但是有一点，希望像百度这种还是支持好像CTF这种以赛代练，要玩游戏，爹妈讲玩物丧志，还有说游戏是精神鸦片，其实你有电子竞技，有这样的场合，大家其实是需要渠道的，每一个领域都需要渠道把它打开。其实像CTF这些方式，都是为了对安全有未来，又能钻研，又有兴趣去创造一个团队，打比赛功夫练了这么多不跟人打怎么行，肯定不爽的，如果有一个比赛给你打，打了比赛赢得了名次或者说增长了经验得到了声望，可能会找到更好的工作，他可以从事一个正经工作，为什么要做黑产，我不认为每个人都有天生做犯罪这样的，就好象有很多黑可后来转白了以后做顾问，专门告诉你公司有哪些风险，有的就善于干这个，比如说偷和入侵工作，也能找到事情，在军队，在其他的地方都能找到，所以一定要有比赛的这种环境。

 

当然教育对抗我们正在尝试这种突破，所以 “请永远不要怀疑，一小拨有思想、不懈追求目标的公民，可以改变世界。事实上，改变从来就是这样发生的。”

所以在整个安全的过程里面有一句话，安全本来是需要未雨绸缪的，所以需要早一点风雨同舟，因为大家在一条船上，我们需要更多的人才才能改变我们整体的生态，所以 一颗黑客的心，自由平等分享和互助的心，加上新安全人才观和宽广视野，才能打造出未来好的安全整体生态。