离中国最大的安全漏洞报告平台乌云网“停摆”还不到一个月，每年一届的中国互联网安全大会在国家会议中心开幕，网络安全再度成为热门话题。

8月16上午奇虎360（活动主办方）周鸿祎出现在国家会议中心的会场，如果没有出事，方小顿和他的乌云网很可能也是嘉宾之一。政企关系、白帽子、协同共建，都是这场关于网络安全大会上讨论的焦点。奇虎360董事长周鸿祎本人也在360退市之后，首次进行了公开演讲。

周鸿祎演讲后接受了媒体采访，从乌云网事件谈到网络安全中白帽子的尴尬境地，从360私有化回归谈到中国网络安全大环境的未来趋势。

周鸿祎表示，回归之后的360将很快成为一家内资的公司，也将在安全市场上有更多的动作。

“此次回归，并不是出于资本上的考虑，更主要的是国家安全层面。像360这样体量的公司回归其实风险很大，整个数目接近100亿美金。但作为中国最大的网络安全公司，如果是一个有境外资本、在美国上市的公司，对于国家安全来说是没有安全感的。 ”周鸿祎说。

他还透露，360已经在做很多军工安全方面的业务，同时也正在和政府公安部门之间进行合作，而为了更好的拿到这些“资质”，成为一家内资公司是必须的。

关于乌云网和国内企业对网络安全的漠视，周鸿祎则多次为白帽子发声，他表示还是希望政策上可以给白帽子一些保护，对于网络安全而言白帽子的存在非常必要。

不管是白帽子还是企业安全意识，都需要新的规则

360公司在2005年正式成立，做企业做了十一年，周鸿祎最无奈的还是国内企业对网络安全的漠视。“有时候小网站发现自己有了漏洞，但不涉及金钱等机密交易，就不去修补了。但黑客不一样，网站攻破后他们可以获取用户账号密码，然后再用破获的用户口令批量去攻击别的网站，万一有一个，就成了。”周鸿祎举例说，此前发现了一个高校的漏洞，发布近一年并多次通知对方，但仍没有人认领并进行修补。

接着他谈到，一方面由于国家在网络安全上并没有相关的法规，除了一些特殊部门之外，多数企业并没有规则去规定必须补齐漏洞，即使在攻击还没有发生的时候。另一方面，企业方本身的安全意识也比较淡薄。“不出事就没有事”，这似乎是多数企业默认的一个观点。

模拟攻击尝试发现漏洞，是白帽子常采用的手段，而这大多数发生在企业并不知情的情况下，尽管方法较为灰色，但确实只有模拟攻击才能发现未知的漏洞，而这却也是目前行业内最具争议的部分。

同乌云网一样，360也有着自己的漏洞报告平台——补天，不过和其他漏洞平台不同的是，“补天”征集来的漏洞并不进行公开，而是无偿提供给企业。但对于白帽子发现漏洞却被反咬的事情，周鸿祎颇显无奈，“白帽子发现漏洞并不是为了牟利，但这存在一个悖论，尽管他发现漏洞的初心是好意的，但方法却是灰色的，有的企业可能就是接受不了。”

“其实很多企业可以像美国五角大楼那样，用奖金来鼓励白帽子攻击并让他们发现漏洞进行修补。”周鸿祎说道，“最极端的情况是，如果白帽子一直以不合法的身份做事情，那有可能他们会反而转向黑色产业链。”因此，周鸿祎在采访中不断的强调，如果可以从政策上对白帽子进行授权、管理、报备，将这件事合法起来，不管是对企业还是白帽子都是最好的解决方式。

安全不是软件和软件斗、电脑和电脑斗，而是人跟人

企业的安全意识淡薄的原因还在于，他们对于网络黑客的认识还停留在几年前。“现在的网络安全，早已不是软件和软件斗，也不是电脑和电脑斗，而是人跟人。”周鸿祎强调，买一套软件或者硬件就可以安全的时代已经过去了。

他向记者举例，美国一个著名的反恐机构，其有着多达4000人的数据专家和情报专家团队，在大数据的背后其实是一个个的人力密集型组织。“中国以前的安全市场没有做起来，其实就是不注重安全服务。”周鸿祎认为，比硬件和软件更重要的是安全咨询服务，而这一点，恰好是白帽子们所擅长的。

如果按照“补天”的免费模式来说，白帽子们所可以获得的回报少之又少，那么什么才是白帽子正确的生存方式？周鸿祎表示，从商业模式上来说，白帽子其实是可以收费的，因为他们的行为为企业提供了有价值的信息。同企业签订服务协议，是周鸿祎能想出来的合理方式，他表示，在网络安全上，相比防火墙、硬件软件，白帽子、安全咨询顾问的服务才是企业最终要意识的。

国内安全市场，未来五年可能会有很大的爆发空间

要想周鸿祎的设想成真，前提是国内企业真的开始重视网络安全的作用，而观点和意识的改变，往往是最难的。

为了做大市场，周鸿祎决定推出“360威胁情报共享工程”，陆续开放自家的数据和能力。第一个被开放的是360全球网络扫描实时监测系统。据了解，在这个系统中，可以实时了解全网恶意扫描源，然后对这些恶意扫描源封堵处置，降低系统被攻击的概念。

周鸿祎表示，开放监测系统的原因在于，如今的网络安全最主要的是“协同”，但是单从一个路由器上来看已经没办法判断是不是网络攻击的源头，现在的网络安全需要从全网的角度来看，需要基于云端的大数据情报。“没有雷达的终端设备就相当于瞎子。”周鸿祎比喻到，但安全行业存在的怪象却是，家家都想做全产业链，互为竞争对手，业务种类大而全，全而不精。

按照周鸿祎的设想，未来每个安全企业都有自己合理的定位，为大数据贡献数据，又分享结果。同时，军民协作，通过政策协同来调动市场化的力量。

在这些判断之下，周鸿祎认为，国家将会在网络安全上进行巨大的投入，服务业也会应运而起，未来五年国内的安全市场可能会有很大的爆发空间。

而目前，360已经做了一些基础工作。比如，在网络安全领域大规模应用人工智能技术，通过深度学习对文件、网址、流量及基础网络数据进行特征识别、风险预警和异常行为分析，推出了DDoS 实时追踪、病毒木马疫情实时监测、钓鱼攻击实时溯源、全网漏洞监测、伪基站追踪等大数据可视化系统。（文章首发钛媒体）