谈薪酬,并不伤感情。
本文由老周开讲(微信ID : laozhoukaijiang)授权i黑马发布,作者:周鸿祎。
以下为周鸿祎在2月23日的360SRC(360安全应急响应中心)三周年庆典上的演讲内容。
当天活动迎来了很多安全圈里的白帽子大神,有的甚至还是大学生。面对这些年轻的白帽子,老周和360SRC一起发布了“IOT守护计划”,邀请白帽子参与到360智能硬件产品的漏洞挖掘工作中来。
当然,老周也在和白帽子们的交流中表示360会一如既往的给白帽子支持,给白帽子撑腰。
网络安全形势越来越严峻,但网络安全的风口也来了
360已经做了10年的网络安全,但其实很多人现在对网络安全的理解可能依然只是免费杀毒、安全卫士、手机卫士甚至就是清理,其实并不是。网络安全随着人类科技的发达和人类懒惰程度的增加,网络安全问题的形势会越来越严峻。
比如手机安全,过去大家看到的可能就是诈骗短信诈骗电话,但高科技诈骗团伙,一旦渗透手机之后,用户遭遇的损失可能会非常惨重。一方面手机里有用户几乎所有的个人信息、网络账户,都将被犯罪分子获取,利用这些信息再进行诈骗,极可能会造成更多的山东大学生自杀那类案件。另一方面,手机已经几乎完全和用户的金融理财、银行账号都结合在一起了,手机一旦被攻破,意味着用户的全部身家都会被窃取。
再比如说,我们现在都在讲IOT是巨大的机会,IOT包括智能家居、可穿戴设备、自动驾驶汽车、智慧城市甚至包括工业互联网。这些IOT概念,都是通过一些设备和协议,把物理现实世界和虚拟网络世界打通,这导致网络安全的威胁不再仅仅是数字威胁,可以把物理伤害变成物理世界的伤害。这也是为什么现在国家对网络安全如此重视。
习总书记多次讲,没有网络安全就没有国家安全,前几天国家安全的会议上又以很大的篇幅提到了网络安全,所以网络安全已经真正被国家所重视。
以前很多领导人对网络安全的重要性没有亲身感受,前段时间,在国家有关部门的监督和监管下,我们领导一些网络安全公司、黑客大拿做了一些演习,当一些重要的社会和国家的基础设施,不仅仅是网络基础设施,比如说机场、交通枢纽、水电站、核电站被攻击控制后,很多领导人真正意识到未来网络安全已经不仅仅是虚拟空间的争夺。
未来,每个大的国企甚至社会的基础设施都要有大量的网络安全人才的保卫,要不然遭遇网络攻击的后果会是非常严重的。
下一个五年,安全的游戏规则会变,安全的形势会变,安全会和整个社会的发展、国家的命运、很多企业的前途紧密地联系在一起。这也给我们网络安全行业从业人员提出了挑战,同时创造了巨大的机会。
所以,我们很有幸,大家遇上了一个大发展的年代。我认为网络安全的风口就要来了,请各位准备好翅膀。
和美国比,我们最缺乏的是网络安全人才
今天的中国是网络大国,但要像领导人期望的那样变成一个网络强国,我们还不是。要变成网络强国最重要的基础是在网络安全上要变成一个技术强大的国家。但我们目前和美国、和同行比,我们最缺乏的是网络安全的人才。
国家大力支持网络安全人才培养
因此,在过去几年里,通过360公司与国家相关部门的沟通交流,以及我个人通过九三学社、网信办也给中央上了两封信,希望中国必须要创造好的环境对网络安全人才进行培养。很快沟通与报告就得到了总书记的批示,教育部、工信部和工信部联合开会也把我们找过去发言,在前年年底各个高校已经开始把网络安全与攻防作为和计算机软硬件平级的一级学科,可以设立硕士和博士点。
紧接着,去年总书记又下文说要建立国家级网络学院,中央网信办就让我们先尝试合作,特别是支持我们建立一些国家级的网络安全学院和网络安全实验室。现在,我们已经在武汉建立了攻防实验室,也与西安电子科技大学合作建立了网络安全创新研究院。
白帽子意义:网络安全人才中坚力量
除了学院培养的人才,我觉得白帽子现在、未来一直都会是网络安全行业人才最重要的组成部分。
对于白帽子来说,存在的意义一定不仅仅是今天发掘点漏洞发现点问题,未来白帽子对中国整个国家网络安全的战略,甚至对中国国家网络安全人才的培养的意义都非常大。
举例来说,三峡集团未来肯定会组建它自己的网络安全保卫团队,因为将来敌对势力都不考虑弄个导弹炸三峡,一定是渗透到网络里,这种威胁比一个炸弹和导弹还更有威胁。
所以中国的机场、交通枢纽、水电站等社会基础设施都需要网络安全人才,靠一两家网络安全公司不行,靠一两家公司卖几台防火墙和路由器也不行,今天的网络安全全部是人和人的攻防,全部是技术和技术的交流。
所以,网络安全人才,从全世界到中国都有巨大的空间和巨大的缺口。白帽子的好日子才刚刚开始,这个行业未来五年和十年会有巨大的蓬勃发展。
网络安全需要有灵感、有天赋的奇才、怪才
习总书记在419讲话里专门提出了对人才要不拘一格,要容忍人才的缺点,这里面讲的人才就是主要针对我们网络安全的人才。
网络安全行业的人才,通常有其特殊性。这些高技术人才很多人都不是科班出身,没有正规学历,可能是非网络安全专业出身,甚至大家提起黑客,浮现在人们脑海中的形象往往都是电影里的怪咖、极客,形象都是不修边幅、长相奇特甚至头发很长。但他们热爱网络安全,有进取心,可能是偏才,也因此成为技术高超的网络安全人才。
在我们给国家的一些报告里我们也多次讲到,对人才要看到他们的长处,要容其所短,发挥其所长,不要求全责备。
我们也得到了国家的支持,和武汉大学、西安电子科技大学等高校合作建立了一些国家级的网络安全学院和网络安全实验室。但即使有了这样的机构,我依然相信网络安全需要有灵感、有天赋、愿意为之奋斗的奇才、怪才。
我经常说有能力的人都会有点怪,一个人什么都不怪,他就是普通人。世界上大多数人都是普通人,我相信白帽子不是普通人,就像很多人觉得老周很怪一样,我肯定也不太正常,你要正常就是你是一个平庸的人。
面对误解与排斥,360会给白帽子撑腰、摇旗呐喊
因为白帽子不是普通人,有一些高端人才比较有个性、独立性,希望保持特立独行的风格,不愿意加入安全公司。所以,我们也推出了一些项目,包括我们2012年就开始做的这个360SRC漏洞应急响应平台,是第一家现金悬赏让这些人才成为白帽子挖掘漏洞的平台。
有些单位还看不清白帽子的价值
现在大家对白帽子的理解不一样,360是强烈的支持,但有些部门和个人对白帽子是非常的排斥。
白帽子做漏洞检测,一定会做模拟的攻击。这种模拟攻击对被攻击的单位来说,如果在没有沟通的情况下,很难区分是真实的攻击还是只是一种检测。这导致有的人认为白帽子是否在借机攻击我的单位。
中国很多单位有漏洞,当白帽子发现漏洞以后,这些单位没有一个正常的心态感谢白帽子替他们发现漏洞,而是觉得漏洞被发现了,觉得很丢人,他们反而会提交一些证据,给我们的白帽子带来一些麻烦。
我们不愿意看到这样的事情发生,但它是一个现状。
以前,网络安全行业属于比较灰色的地带,正邪一线之间,网络安全高端人才掌握技术,正向可以成为国家的技术,邪可以成为一种恶意武器。所以之前有一些人,甚至现在也有一些人打着黑客的旗号,做了一些恶意伤害的动作,所以慢慢就让黑客变成了一个“负面词”。
要为黑客/白帽子正名,让大家站着挣钱
所以,我们现在要给黑客正名,这几年,我们通过做白帽子这件事,引导很多黑客通过自己的技术,做响当当阳光下的事情,站着把钱挣了。
同时,我们也通过360和白帽子的合作,真正把我们做出的成绩,拿去和一些强力部门、网安部门坚持做沟通。相信在今年,随着领导人对网络安全的重视,他们也越来越意识到网络漏洞的重要,过去对白帽子的这种不理解与排斥,在今年国家应该会出台相应的政策。
在舆论上,我们也要共同的发出一定的声音,来让整个社会、整个国家更好的理解我们白帽子。让白帽子的测试和模拟攻击能够在一种更有序的组织下进行,我觉得只要把这些规则创造好,会给我们白帽子创造更大的空间。
我相信未来网络安全领域里一定会有越来越多的藏龙卧虎之才涌现出来,所以今天白帽子遇到一点波折,我希望大家相信,360在和你们的立场是高度一致的,我们会不断的利用我们的影响力摇旗呐喊,包括通过和白帽子的合作,会让各级领导人认识到白帽子对国家网络安全有重要的战略意义。我们会给你们提供支持,你们背后有一大帮律师给你们撑腰,只要我们相信做的事对国家有利,对中国网络安全事业有帮助,我认为我们就应该理直气壮。
网络安全人才待遇不断提升:薪酬提高了10倍
360成立至今已经十年有余,我们像鲶鱼一样在行业里,在进入安全市场的这些年里,一方面,提升了行业对网络安全的认识,所有互联网公司,无论是希望遏制360还是其他原因,大家都意识到网络安全很重要,包括BAT也都在安全上有了很多投资,整个中国网络安全行业获得了几十倍的增长。
也正因此,整个网络安全行业技术人员的稀缺性就凸显出来了,从而带动了整个网络安全行业的薪酬水平的提升。大家有技术有能力有理想,做这个行业也不完全是为了赚钱,但是如果钱都挣不到,都养活不了老婆孩子,那有些人很可能就不得不去做些灰色的事情。
所以,经过360的竞争与推动,我们整个网络安全行业的饼做大了,大家的收入也越来越高。大家不觉得过去十年来,网络安全行业的薪酬提升了十倍吗?
原来大家都去美国安全公司任职,因为在国内可能一个月只能拿8000元,但是那边一个月一万美金,大家当然会选择。但现在,不仅是360我们自己,我们也投资了一些网络安全的创业公司,整个环境和待遇都越来越好,这也吸引了人才的回流,吸引了很多优秀的华人人才,包括教授、专家以及行业大拿都开始回到国内,加入到360以及我们投资的或者其他网络安全公司中来。
我也觉得不用讲大道理,努力把产业和整个饼做大,让所有网络安全从业人员获得比较好的回报,吸引更多有才华、优秀的年轻人加入,这个行业才有前途。
爱盈利(aiyingli.com)移动互联网最具影响力的盈利指导网站。定位于服务移动互联网创业者,移动盈利指导。我们的目标是让盈利目标清晰可见!降低门槛,让缺乏经验、资金有限的个人和团队获得经验和机会,提高热情,激发产品。