360 谭晓生：保障云和大数据信息安全的组合拳

谈到互联网安全话题，你第一时间会联想到什么？公共 Wi-Fi 是否安全？银行资金为何被盗刷？用户密码无故被篡改？实际上，在这个云计算和大数据技术风行的智能互联时代，如何应对“信息安全”带来的机遇与挑战，捍卫用户数据安全，是一个值得所有人都关注的话题。

2016 年 8 月 15~18 日中国互联网安全大会（ China Internet Security Conference，简称 ISC ），是在国家网信办、工信部、公安部指导下，由中国互联网协会和 360 互联网安全中心共同主办的国际型互联网安全会议。届时，奇虎 360 技术副总裁、首席安全官将参与到“云计算与大数据安全高峰论坛”的讨论，在此之前，我们有幸采访到了谭总。

InfoQ：请简单介绍一下您自己，以及您现在所从事的主要工作内容！

谭晓生：我目前是奇虎 360 技术副总裁、首席安全官。 CCF 常务理事、副秘书长，CCF YOCSEF 2015-2016 总部主席，中关村高端领军人物。先后工作于西安交通大学、北大方正，深圳现代、深圳豪信等公司，从程序员到技术副总裁，先后从事过 DOS 操作系统下反病毒系统研发、磁盘加密系统研发、汉字操作系统开发、大型管理信息系统开发。

2003 年进入互联网行业，先后工作于 3721、Yahoo!China、 MySpace China。2009 年加入奇虎 360，任技术副总裁、首席隐私官、首席安全官。兼任重庆邮电大学计算机学院兼职教授、校董，北京邮电大学企业导师。擅长的技术领域：网络安全技术、云计算平台技术、运维自动化技术、搜索引擎技术。

InfoQ：您现在兼任 360 首席安全官（CSO），可能很多人不太了解CSO具体是做什么的，您能简单说说您站在CSO这个位置上，需要从哪些视角来考虑问题？需要具备哪些洞察力？

谭晓生：首席隐私官是在 2000 年左右始于美国的一些公司设立的职位，是为确保企业的产品、服务不侵犯用户的隐私权而设立的职位，负责制定公司产品 / 服务的用户隐私权保护条款以及监督这些条款的最终执行，CSO 需要从法律、产品角度来思考用户隐私权保护问题，需要对法律、用户体验、技术、产品方向方面综合的知识与洞察力。

InfoQ：近期网上曝出一些热点漏洞，例如魔图漏洞攻防，Xen 破天漏洞等等，这些漏洞会对服务器 / 用户业务产生什么影响？对于这样的漏洞，360 一般有哪些监控 / 预防措施？

谭晓生：软件系统有安全漏洞、工作流程存在安全漏洞都是正常现象，魔图漏洞可以导致使用 ImageMagick 图像处理插件的网站控制权被攻击者拿下，Xen 破天漏洞使得攻击者可以实现采用 Xen 做虚拟化平台的云计算系统的虚拟机逃逸，控制 Xen Hypervisor、Domo 以及当前物理机器上运行的其他所有虚拟机。对于这样的漏洞，主动进行漏洞的挖掘并进行漏洞修复，监测安全机构 / 安全研究人员所发布的漏洞信息并及时进行修复、加固是有效提高系统安全性的方法。

InfoQ：自 2013 年棱镜门事件以来，全球都进入了安全戒备的状态。那么至此，360 在安全方面有哪些针对性的重大成就和前进？

谭晓生：360 在安全基础研究领域持续进行深入研究，在传统 Windows 系统安全、iOS/Android 系统安全研究的基础上，新开辟云计算环境下虚拟化安全、硬件及无线电安全、汽车与车联网安全、Anti-APT 等研究方向和研究团队，并且已经取得丰硕成果，在安全可视化分析方面也进入到国际领先水平。

InfoQ：如果说，3 年前，国内安全产业还处在“教育”阶段，企业没有形成向 bug 付费的习惯。那么现在看来，您觉得国内的安全产业已经有了哪些改进？

谭晓生：首先，政府和国家领导人已经开会重视网络安全，习近平主席提出“没有网络安全就没有国家安全”的理念，今年的 4.19 讲话更确定了政府和国家领导人对网络空间安全的重视，网络空间安全也已经成为一级学科，全国 29 所院校获批成立网络空间安全学院。

其次，企业开始形成向安全漏洞付费的习惯，入住 360 补天平台的企业越来越多，包括传统电器生产企业在内的智能家电生产厂商，也开始采购安全公司的安全评估服务，主动挖掘智能软硬件中的安全漏洞。

InfoQ：企业在享受云计算和大数据带来的便利同时，也感受到了这些技术带来的一系列的安全问题。那么如何给云数据做安全防护？如何保障云平台用户数据隐私与安全？

谭晓生：这其实是两个问题，一是如何做云计算的安全防护，主动挖掘系统漏洞以及主动进行安全加固，以及通过持续的监测来发现针对云计算系统的攻击并及时进行响应是解决问题的方法；二是云平台的用户数据隐私问题，核心问题是数据安全以及所对应的安全机制，云计算使用方、服务提供方、监管方的三权分立机制，是云计算、大数据的安全保障机制，所谓的“零信任”机制是避免其中任何一方作恶的有效机制。

InfoQ：云平台系统安全架构种类很多，例如虚拟化网络安全架构、云平台安全体系架构、云平台某一个子系统 / 大模块的安全架构等等，这些架构各具备哪些优势？

谭晓生：需要组合拳来保障云计算平台的安全，虚拟化网络安全架构、云平台安全体系架构、某一个模块的安全架构是解决云计算平台安全的不同层次，不同细粒度的方法，其实是不可偏废的，虚拟化情况下网络拓扑有很大变化，需要 NFV 等技术来解决虚拟化网络所带来的网络流量审计的困难，而云平台本身的脆弱性，需要通过从代码层面到体系结构层面的安全加强，其子系统、大模块也存在同样的问题。

InfoQ：虚拟化热补丁技术可能是用的比较多的漏洞修复方式，360 现在在确保系统安全上有哪些核心安全技术？

谭晓生：360 目前为了保障系统安全，采用了多种核心安全技术：

• 系统漏洞扫描技术：360 拥有国内领先的系统漏洞指纹库，可做到实时扫描到最新公开的系统漏洞。
• 热补丁技术：区别于传统的软件重新编译修复漏洞的方式，热补丁可做到无需关闭程序在内存进行漏洞修复。
• 漏洞挖掘技术：比起被动的等待漏洞被各种渠道披露，主动发现系统漏洞是目前安全行业最顶尖的技术。360 有多个安全团队从事系统漏洞挖掘，累计公开 Windows，Linux 安全漏洞达百余个。
• 攻击主动阻断技术：由于 360 安全团队积累了大量的漏洞 poc 库和恶意文件数据库，依赖于于这些数据，360 通过机器学习和大数据的方式，研发了如云加固这样的系统级防护产品。