【TMT前沿】

　　结识“黑哥”，缘于三年前曝出安卓“应用克隆”威胁时的一次采访。当时，“黑哥”所在的知道创宇404实验室发现漏洞后，及时上报国家相关部门，并呼吁行业安全风险的共联、共治。

　　作为一名白帽子的“黑哥”，真正ID是“superhei”，熟悉他的人喜欢叫他“黑哥”，也有人直译为“超级黑”。“黑哥”真名叫周景平。如果说，最早一批“分析家”黑客开创了国内安全行业的Web安全领域，“黑哥”就为此做出很大贡献；另外，他还通过自身对Web安全领域的研究，带动了一批年轻人做出不少意义不凡的成绩。

　　再次遇到“黑哥”，是在日前举行的第十届KCon黑客大会上。安全从业者、白帽子以及各大互联网企业安全部门负责人齐聚一堂，大会也从最初的Web安全论坛发展成了现在的行业高层级前沿盛会。“数字时代互联网行业高速发展，让形式不受限、辐射范围广、影响领域深的网络攻击，急剧扩张并疯狂肆虐。如何应对网络威胁，已成为关乎国防安全的重要议题。”周景平说。

　　要把技术干货放在第一位

　　记者：今年KCon十周年。谈谈十年来KCon历程，比如，办会初衷、印象深刻细节等？

　　周景平：今年是KCon十周年。我记得最早一届KCon还是在2012年，在一个咖啡厅里举办的，可能称之为沙龙更合适，只有半天时间，大概三四个议题，人数也不足百人。到了KCon2013开始有了现在大会的样子，参加人数达到500人左右，记得当时我们只准备了300多个座位，好多人都在旁边围坐着。

　　KCon2014才真正算得上峰会规模，会址选在鸟巢，一天卖掉了600张票。当时有位赞助商赞助了100个比特币，这一届也迎来了KCon历史上最年轻的研究者。从KCon2015年开始，规模有了进一步提升，上升到3天，参会人员超1000人，成为名副其实的国内“黑客大会”。KCon2016邀请了来自美国硅谷等国际一线著名安全公司的著名研究员演讲分享。

　　在过去的10年里，我们一直遵循初衷是——打造更好更大的技术交流与分享平台。从一个咖啡馆的安全沙龙成长为在国际网络安全圈极具影响的行业标杆会议，在未来可能遇到更多挑战，但不会变的是初衷。

　　记者：国内也有很多安全技术交流活动，KCon定位是什么？与其他活动有哪些区别？

　　周景平：KCon一直坚持一个口号：汇聚黑客智慧。KCon定位于干货、品位，聚焦于有价值的技术内容以及真正的黑客精神。所以，技术上的干货是KCon第一定位。每一届KCon对于演讲主题的要求都非常严格，有所谓“不干货 无KCon”之说，对于那些带有非纯技术或有产品商业元素的议题，我们都会委婉拒绝。这样技术至上的理念，才能得到更好地传承。

　　在我的体验里，KCon与其它会议不同的是，KCon上的年轻人比较多，这些相对陌生的年轻人呈现的议题技术含量非常高，让人有种“网络安全的技术未来是属于年轻人”的感受。

　　记者：伴随行业发展，知道创宇404实验室近年来重点研究方向有什么哪些？取得了哪些成果？

　　周景平：404实验室已经成长为覆盖包括漏洞研究团队（Seebug体系）、网络空间测绘研究团队（ZoomEye体系）、404积极防御实验室团队（创宇安全大脑体系）、404区块链安全研究团队、404特种渗透及保障支持团队等多个团队的“大部队”。

　　漏洞与数据是网络安全的两大基石，这些年来404实验室的发展也一直围绕这两个基本点展开。在漏洞研究领域，我们常年给微软、苹果、甲骨文等国际一线大厂输出过研究成果；在国家漏洞库等工作上也取得了不少成绩，比如，在2020年连获得CNVD（国家信息安全漏洞共享平台）和CNNVD（国家信息安全漏洞库）的认可。

　　人才短缺导致行业“泡沫”

　　记者：对于您这样的人才群体，近年来各界是否正在给予更多关注？结合自身经历谈谈感受？

　　周景平：对于网络安全领域来讲，以前我有一个观点，就是说安全属于业务属性。从传统互联网，到移动互联网，再到万物互融时代，随之而来的安全风险也越来越多，现在现实世界已经对标到了网络世界里，一个人几乎所有数据都会传到互联网上，形成一个电子化人物形象。从这个层面来说，网络安全变得越来越重要，受到的关注度也越来越多。

　　从整体上看，网络安全人才还是比较缺乏的。随着安全问题凸显，人才培养需要一定时间阶段。另外，还观察到一个现象，网络安全领域成本还集中在人力成本方面，也就是说，很多成本投在了个人薪水待遇上。所以，从HR的角度看，因为人才缺少，导致了行业“泡沫”出现。

　　记者：站在从业者角度，在人才“产、学、研、用”方面有哪些体验？

　　周景平：我们一直非常想跟学术界，尤其是高校形成一个比较好的循环。但在实际操作中，也遇到了不少困难。比如，大家的诉求不一样。

　　在这个过程中，很多优质人才和研究方向是可遇而不可求的，但假如功利性太强，有可能味道就不一样了，做出来的东西就有点背离我们的初衷。

　　以前很多网络安全团队做设备有点像在闭门造车。其实，有些技术别人能用得上，才证明这项技术有价值，如果没人用，只能说明在自娱自乐。抛开“文人相轻”的成分，这几年大家在交流中风气有了很大改善。事实上，做安全、做技术的意义在于，真正去解决用户的核心痛点。

　　行业不断规范，不再是“有技术天下任我闯”

　　记者：今年以来，《数据安全法》《关键信息基础设施安全保护条例》等陆续出台，给互联网行业带来哪些改变？

　　周景平：从这些利好变化来看，国家各项法律法规越来越规范化，这也是网络安全发展的必然结果。

　　比如，对于一些连带性漏洞，必须要走正规路径。以前我们只是按民间约定俗成的漏洞暴露流程，现在要上升到官方流程。

　　从另一个角度来说，企业提供的有关数据安全、个人隐私保护等业务服务，必须要符合国家等级保护等要求，这实际上刺激了整个安全市场成长。这也要求这些人更加规范化地约束自己，不能说“有了技术就天下任我闯”。

　　此外，一项政策、一部法规的出台，对于从业者更舒服还是更规范，值得探讨。对于广大企业平台来说，应该是更规范了，必须基于政策法规去改变自己、接受自己、规范自己。（光明网记者 李政葳）