離中國最大的安全漏洞報告平臺烏云網“停擺”還不到一個月，每年一屆的中國互聯網安全大會在國家會議中心開幕，網絡安全再度成為熱門話題。

　　8月16上午 奇虎360 （活動主辦方） 周鴻祎 出現在國家會議中心的會場，如果沒有出事，方小頓和他的烏云網很可能也是嘉賓之一。政企關系、白帽子、協同共建，都是這場關于網絡安全大會上討論的焦點。 奇虎360 董事長周鴻祎本人也在360退市之后，首次進行了公開演講。

周鴻祎演講后接受了媒體采訪，從烏云網事件談到網絡安全中白帽子的尷尬境地，從360私有化回歸談到中國網絡安全大環境的未來趨勢。

　　周鴻祎表示， 回歸之后的360將很快成為一家內資的公司，也將在安全市場上有更多的動作。

“此次回歸，并不是出于資本上的考慮，更主要的是國家安全層面。像360這樣體量的公司回歸其實風險很大，整個數目接近100億美金。但作為中國最大的網絡安全公司，如果是一個有境外資本、在美國上市的公司，對于國家安全來說是沒有安全感的。 ”周鴻祎說。

他還透露，360已經在做很多軍工安全方面的業務，同時也正在和政府公安部門之間進行合作，而為了更好的拿到這些“資質”，成為一家內資公司是必須的。

關于烏云網和國內企業對網絡安全的漠視，周鴻祎則多次為白帽子發聲，他表示還是希望政策上可以給白帽子一些保護，對于網絡安全而言白帽子的存在非常必要。

　　 不管是白帽子還是企業安全意識，都需要新的規則

　　360公司在2005年正式成立，做企業做了十一年， 周鴻祎最無奈的還是國內企業對網絡安全的漠視。 “有時候小網站發現自己有了漏洞，但不涉及金錢等機密交易，就不去修補了。但黑客不一樣，網站攻破后他們可以獲取用戶賬號密碼，然后再用破獲的用戶口令批量去攻擊別的網站，萬一有一個，就成了。”周鴻祎舉例說， 此前發現了一個高校的漏洞，發布近一年并多次通知對方，但仍沒有人認領并進行修補。

接著他談到，一方面由于國家在網絡安全上并沒有相關的法規，除了一些特殊部門之外，多數企業并沒有規則去規定必須補齊漏洞，即使在攻擊還沒有發生的時候。另一方面，企業方本身的安全意識也比較淡薄。“不出事就沒有事”，這似乎是多數企業默認的一個觀點。

　　 模擬攻擊嘗試發現漏洞，是白帽子常采用的手段，而這大多數發生在企業并不知情的情況下，盡管方法較為灰色，但確實只有模擬攻擊才能發現未知的漏洞，而這卻也是目前行業內最具爭議的部分。

同烏云網一樣，360也有著自己的漏洞報告平臺——補天，不過和其他漏洞平臺不同的是，“補天”征集來的漏洞并不進行公開，而是無償提供給企業。但對于白帽子發現漏洞卻被反咬的事情，周鴻祎頗顯無奈，“白帽子發現漏洞并不是為了牟利，但這存在一個悖論，盡管他發現漏洞的初心是好意的，但方法卻是灰色的，有的企業可能就是接受不了。”

“其實很多企業可以像美國五角大樓那樣，用獎金來鼓勵白帽子攻擊并讓他們發現漏洞進行修補。”周鴻祎說道，“最極端的情況是，如果白帽子一直以不合法的身份做事情，那有可能他們會反而轉向黑色產業鏈。”因此，周鴻祎在采訪中不斷的強調，如果可以從政策上對白帽子進行授權、管理、報備，將這件事合法起來，不管是對企業還是白帽子都是最好的解決方式。

　　 安全不是軟件和軟件斗、電腦和電腦斗，而是人跟人

企業的安全意識淡薄的原因還在于，他們對于網絡黑客的認識還停留在幾年前。“現在的網絡安全，早已不是軟件和軟件斗，也不是電腦和電腦斗，而是人跟人。”周鴻祎強調，買一套軟件或者硬件就可以安全的時代已經過去了。

他向記者舉例，美國一個著名的反恐機構，其有著多達4000人的數據專家和情報專家團隊，在大數據的背后其實是一個個的人力密集型組織。“中國以前的安全市場沒有做起來，其實就是不注重安全服務。”周鴻祎認為，比硬件和軟件更重要的是安全咨詢服務，而這一點，恰好是白帽子們所擅長的。

如果按照“補天”的免費模式來說，白帽子們所可以獲得的回報少之又少，那么什么才是白帽子正確的生存方式？周鴻祎表示，從商業模式上來說，白帽子其實是可以收費的，因為他們的行為為企業提供了有價值的信息。同企業簽訂服務協議，是周鴻祎能想出來的合理方式，他表示，在網絡安全上，相比防火墻、硬件軟件，白帽子、安全咨詢顧問的服務才是企業最終要意識的。

　　 國內安全市場，未來五年可能會有很大的爆發空間

要想周鴻祎的設想成真，前提是國內企業真的開始重視網絡安全的作用，而觀點和意識的改變，往往是最難的。

為了做大市場，周鴻祎決定推出“360威脅情報共享工程”，陸續開放自家的數據和能力。第一個被開放的是360全球網絡掃描實時監測系統。據了解，在這個系統中，可以實時了解全網惡意掃描源，然后對這些惡意掃描源封堵處置，降低系統被攻擊的概念。

周鴻祎表示，開放監測系統的原因在于，如今的網絡安全最主要的是“協同”，但是單從一個路由器上來看已經沒辦法判斷是不是網絡攻擊的源頭，現在的網絡安全需要從全網的角度來看，需要基于云端的大數據情報。“沒有雷達的終端設備就相當于瞎子。”周鴻祎比喻到，但安全行業存在的怪象卻是，家家都想做全產業鏈，互為競爭對手，業務種類大而全，全而不精。

按照周鴻祎的設想，未來每個安全企業都有自己合理的定位，為大數據貢獻數據，又分享結果。同時，軍民協作，通過政策協同來調動市場化的力量。

　　在這些判斷之下， 周鴻祎認為，國家將會在網絡安全上進行巨大的投入，服務業也會應運而起，未來五年國內的安全市場可能會有很大的爆發空間。

　　而目前，360已經做了一些基礎工作。比如，在網絡安全領域大規模應用人工智能技術，通過深度學習對文件、網址、流量及基礎網絡數據進行特征識別、風險預警和異常行為分析，推出了DDoS 實時追蹤、病毒木馬疫情實時監測、釣魚攻擊實時溯源、全網漏洞監測、偽基站追蹤等大數據 可視化 系統。