作为以黑客打头的一场活动，

没有一个正正经经熟悉黑客的大神是不合适的。

HAY！16 超混合现场活动的第一个单词就是“H”，代表黑客（Hacker）。虽说这个概念的意义已经比原来的要广泛许多，但作为以黑客打头的一场活动，没有一个正正经经熟悉黑客的大神是不合适的。

滴滴出行信息安全战略副总裁、滴滴研究院副院长弓峰敏博士就是这样一个“名门正派”出身的 Hacker。他被誉为硅谷安全创业教父，在网络及安全研发领域有着三十多年的经验，加盟滴滴之前是 AssureSec 联合创始人兼 CEO。此外，弓峰敏博士是世界著名网络安全公司 Palo Alto Networks的联合创始人，还是多家新兴安全公司的创始人或重要高管，其中三家企业已成功上市或被收购，他也是非常成功的连续创业者和硅谷天使投资者。

弓峰敏博士在网络安全圈的资历颇深，一个多月前加入滴滴的时候，许多网络安全领域的资深从业者都表达了惊喜之情。在此之前中国的活动，他曾以首席科学家身份参加历年的中国互联网安全大会。这次由 PingWest品玩主办的 HAY！16 活动，我们有幸邀请到了弓峰敏博士，这是他在回到中国加盟滴滴之后的首次登台亮相。在活动上，弓峰敏博士分享了“安全挑战与实践”的主题演讲，以下是经整理后的演讲实录：

谢谢大家，非常荣幸有机会今天跟大家分享，我想要跟大家讲的是“安全挑战与实践”，大概会分这样几个方面，首先大概说一下例子，也不会走到太细的细节，今天我们面对的是怎样冷酷的现实，我会解释一下我们所说的挑战主要在哪些方面。然后稍微看一下为什么会出现这种状况，面对这样新的挑战，我们需要什么样新的实践。

关于网络安全话题，大家可能听到过很多例子。

比如雅虎，5 个亿的用户信息被偷掉了，前一阵子美国的 Verizon 要买雅虎，事情发生后 Verizon 还是要买，但就要砍价了，而且不是砍一点。现在美国大选很热，服务器被黑掉以后很多邮件信息曝露了，基本上大家认为这个事情跟俄罗斯黑客有关。还有，孟加拉出现的银行系统，由于信息被盗，有人直接在美联储银行要求转钱，当时有 8000 万已经转走了，如果没有及时发现，可能会有更大损失。另外一个例子，在美国一个诊所的文件系统被讹诈软件感染，诊所面临需要花钱来解决安全问题才能继续运营，要不然就无法继续为病人提供服务。

这些都是直接受害者，间接受害者就更多了，比如零售店出现的户头信息被盗，几百几千万用户的信息都被偷了。还有一些色情网站，很多原来在网站上注册的人，可能没有干什么出格的事情，但出事以后他们面临很大的社会压力。

　　▲热播剧《黑镜》S03E03《Shut Up and Dance》，由于个人隐私信息被黑掉而暴露的一连串阴暗事件

事件发生后，私有信息、信任度都受损，而事件发生后直接受害者和间接受害者能得到的补偿都微不足道。比如在美国，你去一家店，刷卡之后可能信息被盗，店铺会告诉你我帮你管住两年信用卡的信息，但谁知道两年之内盗信息的人会不会用这张卡呢？

可悲的是，盗取信息的人往往并不是用高级的手段。孟加拉事件是从钓鱼邮件开始，被一个远程控制的恶意软件感染，感染以后从他们这儿偷到了做银行之间转款的户头访问权限，其它地方也频频发生讹诈软件事件，它的手段也越来越高级，不光光是直接通过邮件感染用户，可能还会利用代码的形式到你的服务器上，你可以想像一个公司的邮件系统如果被破坏，整个影响的就不是一个人 PC 机的问题了。

发生的种种事情，花了大量的钱，为什么还没有搞定这个事情呢？我们拿安全产品来看，第一个是扫描器，漏洞扫描，它自己本身就不具备规则；还有防御系统，本来布一个防就可以睡大觉，但也可能出现别人使用的加密技术是他不能搞定的，防御系统为什么没有生效，可能软件没有升级，规则没有更新；还有防火墙，作为更高级的产品，它同样有很多方面搞不定。