2012年1月10日，第六届中国IDC产业年度大典在北京国家会议中心盛大开幕，本届大会以“构建云数据中心暨云应用创新论坛”为主题，邀电信运营商、IDC企业、设备厂商、互联网等业界同仁共同探讨云计算时代下的IDC产业机遇与责任，现场邀请到人人网安全中心技术经理刘丹、工信部电信研究院的工程师卜哲、神州数码网络公司高级信息安全将士陈亮、国际安全专家Raoul，以及安全保的张开，五位专家将就前段时间的密码泄漏问题发表自己的看法并展开讨论。

张建伟：我们的高峰对话应该是大家聊起来，把心里话都说出来。接下来我再给大家简单介绍一下这几位嘉宾，最左边的是张开，安全保的。左边第二位是人人网的技术经理刘丹，左边第三位是神州数码的陈亮先生，左边第四位是工信部电信研究院的工程师卜哲先生，左边第五位是国际安全专家Raoul先生。

我是淘宝网用户安全产品经理，我从4月份开始在淘宝网招聘安全方面的产品经理，到现在我一周大概面试四个人，但是一直我没有找到一个我满意的，我这次打一个广告，希望有一个比我强的给我当老板也罢，管我也罢，把安全问题搞好。我们这次主题是：谁动了我的密码？

背景大家应该都知道，网上的谣言四起，银行泄漏了很多，最近看到一个比较靠谱的消息，国信办的消息，最近这几年网上谣言特别多，但是究竟有没有泄漏，究竟是什么样的，大家心里都有数，究竟能不能管的住，搞IT的自己心里有数，尤其是搞安全的。

卜哲：我作为业内安全人士，这个事件发生刚开始的时候就有一个密切跟踪，我这边就是想说两个问题：第一个问题，大家有没有觉得这个事件已经很长时间了，在这个过程中，每个阶段都有不同的主角出场，有的是网站，有的是公司，截止到前天为止可能是一些非专业媒体，我指的是比如说南方的某些日报，或者是北京的京报之类的。但是在这个过程中，不同阶段有不同的主角上场，现在给互联网用户造成一个比较严重的感觉，任何东西都是不安全的，我们无法使用互联网和任何一个业务。我就觉得，在这个情况下，昨天国信办的澄清也说明了，这件事情是一个必然的偶然事件，但是它不会对我们未来的互联网业务造成影响，它阻挡不了我们互联网业务的发展，在这个过程中要摆正自己的心态。

我个人的研究发现，你会发现在这个过程中有不同的角色，从用户角色来说，可能一开始很多用户不觉得这些事情对自己有什么危害，但是当发现有一些企业搜出来，密码泄漏之后，造成安全事件之后，又反过来说对这个事情很重视。但是他自身没有思考，我自己密码掌控力度，没有一个很完全的安全的密码掌控策略。同时，觉得对互联网是一个免费的，是一个安全的事情，安全意识，以及自己掌握掌控方面有一个提高的过程。

第二个问题，我们一些互联网公司，有些公司可能及时的，比如说有几家大公司及时的做了一些相应的回复，表明一下自己的立场，从科学的角度，但是你会发现有些企业根本没有做出任何相关的评论，我觉得从这个事情来说，很多互联网公司在安全意识，以及对待用户信息的观点看法上就有高低的不同。这是从事件反馈角度来说。

还有一个情况，我们企业跟国外企业相比，对事后处理还需要加强，比如说Sony密码泄漏事情，赔偿用户一个月账号的费用，平均算下来每个用户20美元。在明确泄漏密码的企业当中，仅是道歉，或者是提醒用户注意，我觉得这个做得不够到位，跟国外有一些差距。

同时，大家也是作为这个行业的人士，在投资方面有一些差距，我们在做安全部门，是不是在互联网公司董事会周围，在银行总部有三个部门，一个是人力资源部，一个是财务部，一个是IT技术投入部。在机构设置这一块，国内对这个技术，包括对安全的重视程度，我个人觉得还差一些，每个公司对安全的投入，大家心中也有数，对安全人员最头疼的就是安全实施多少，安全投入多少。

再跨出去，可能有一些行业，我刚才也说到这是一个必然的事件，是一个迟早的事情，大家觉得中国互联网应用业务这几年爆炸式的增长，这20年来我们业务发展很快，但是你会发现安全投入没有更新。这个情况，有没有在充分考虑安全的情况下，做一个快速的应用发展，我们要补一个账，把老账解决了，快速发展模式下，必然会带来安全事件的发生。这件事情出来，对安全行业来说都是一件好事，但是好事当中可能会有一个差距，有些安全的服务，可能会有一个高低参差不齐，后期企业在做安全投入下也需要考虑。

还有一个，很多安全性产品会爆炸性的增长，来解决安全事件。

张建伟：未来会有爆炸式的增长，最左边的安全保的张开，国外安全公司上市的特别多，我们国内安全公司上市的特别少。从市场来看，现在基本上国内的市场都在政府部门，究竟企业有多少安全市场，我一直没有看到特别好的，一些做企业市场的安全公司，现在规模都不算特别大，但是他们的技术我相信都是非常的顶尖，李开复投资了安全保，我希望未来有更多的公司冒出来，每一次有一些安全挑战出来的时候，后面会跟着有很多安全企业出来，这应该是每一个安全从业者很欣慰的一件事情。张开，你对这件事情的看法？

张开：我个人觉得这个事情出来之后非常好，为什么非常好呢？如果没有这次事件的话，可能中国数十亿的网民，不知道原来我们的密码都是在别人的掌控当中，黑客可以用我的密码，比如游戏公司站点，不断尝试你的账号，如果尝试成功，可能会把你的游戏的装备全部盗取出来。就因为出现了这个事情，才让整个全中国的网民，对自己的账号和密码有一个很高度的重视。在这里边我给中国网民提一个小小的建议，他们为什么会用我们的密码来做这些工作，大一个原因就是我们在各个密码用的都是同一个密码，我建议大家把自己的密码分等级，一些论坛上用到的密码，设的级别稍微低一点，但是你的银行，网银的交易密码，一定不要要在各个论坛上登录的密码是同一个密码，这样被射中的可能性特别大。

还有你银行账号，网银密码，不要在跟公司里边用的Email，还有公司给你配的服务器，你有登录权限，网银的密码和你公司的密码也是要分离的。相当于把各个安全区域隔离开来了，这样对他们射中来讲也不是很容易做的，提高壁垒。

刚才卜哲先生说了，互联网公司也好，还是比较大的一些机构，他们现在对安全程度重视的并不够，但是为什么说银行系统在他的总部的组织架构里边，会把信息安全的部门作为一个很重要的机构安插进来，为什么其他机构没有把安全性做得这么充分？我觉得这个问题可以这样看，我们在航海的时候，你会选一些航海路线，这些航海路线里边有些地方是显而易见的礁石的地方，还有一些地方是属于暗礁。所谓明显的礁石，放在信息安全领域来讲，在银行那块，因为他是直接和你的现金资金链仅仅绑定在一起的，它是一种明礁，逼得你不得不把安全性放在很重要的位置。

这次事故，几个网站是碰到了暗礁，而这个暗礁碰起来是更沉重的。

陈亮：并不是大家有良好的密码能够解决这个问题，首先第一点人都有情流欲，他在很多地点都可以泄漏，假如说我现在在一个机房里头，我在党政机关里头，门口有一个老大爷，来劫持你，来问里干吗，您说大爷戴这眼镜真好看，大爷立马就会说你到底找谁，我说找张处，他说我好几个张处，我说专门找计算机建设这块的张处，你找他，来我告诉你，手机是多少，家庭地址，这个就是一个泄漏。

张建伟：我想问一下Raoul，国外有没有类型事件，是怎么处理的？

Raoul：像数据泄漏这样的事情并不仅仅发生在中国，在全世界任何国家，英国、意大利，这是常发的事故。现在我会介绍一下国外真实的情况，以及我对这些问题的看法，大家有没有买过虾的经验，就是水产品，真的去买虾，如果有的话举一下手，大家如何去水产品市场买虾？这只是一个例子，接下来以买虾这个例子作为一个比喻，引申出我们的主题。

当你去水产品市场，你想买虾的时候，有一堆虾摆在你面前，你怎么选，你是选一些更便宜的虾，还是选质量比较好的虾？大家怎么选择？我猜想大家一定会选那些看上去更好的虾，因为它的口感更好，而且食品安全对你来说更重要。这就是那个问题所在，当一家国际性的公司，或者是一家银行，他雇佣人力资源去建立国际性的网站，在网上拓展他的业务的时候，他也面临一些问题，他是选择一些更便宜的人力资源，还是选择更合格的人力资源？当然这个人力资源还包括连带的解决方案，当然可能大多数从预算角度来考虑，选择的不是更好的虾，而是更便宜的虾。由此带来的数据泄漏就是我们要承担的后果和代价。

上个月在意大利，每周政府公共部门的网站就会受到5次黑客袭击，之所以更袭击中国，因为他们的信息很暴露，当然这种情况也不仅仅是发生在意大利，去年其他许多地方都会发生类似的情况。不只是局限于一些攻击，还用一些挂马攻击。

张建伟：黑客入侵这个事情，不仅在中国发生，在世界各地都有。我昨天有幸认识一个懂佛法的女士给我讲了一下，人要去掉贪、嗔、痴、慢、疑，贪是贪什么，要做到绝对安全，客观上讲绝对安全是不可能的，我们只能尽善尽美的做，我们先要调整状态，接受这样一个现实，现实总是有安全事件发生的，我们讲的很多东西，我们讲的很多网站泄漏数据，我就要有一个疑，我们的网站是不是抱着得意的心态，觉得没有泄漏的，谁不负责任，谁的安全投入太少，这个看法也不太对。我个人觉得，每个人在用电脑，都希望他的电脑是安全的，他也会评估他的安全投入多少，这个不应该怀疑，我们的环境之所以比国外差，那也是因为我们整体互联网环境可能比国外差，这个还不一定。

我们接受一个现实以后，还有一个慢，我们做安全的不能怠慢黑客，看到客户的流言反馈，看到黑客的呼声，不理你，你要敢什么，就把你带走。不管黑客做的事情光彩与否，我们抬头三尺有神灵，我们看到一个黑客的时候，至少保持三分敬畏。调整好心态，以后怎么避免这种问题，讲安全的时候一般都是攻防，有攻击就防御，有黑客就会有白帽子，怎么才能防好呢？我觉得孙子兵法里讲知己知彼百战不殆，白帽子就要首先了解黑客，我们简单探索一下黑客是怎么攻的，他为什么要来攻？

陈亮：这一块还是回到人的七情六欲里面，黑客在做攻击网站的时候，不会找非常坚固的网站攻击，他会剑走偏锋，他第一件事会先找版主，版主在其他地方也会注册，我找到其他注册的版主信息拿到核心数据。

第二，我们每天上班都有FID的门禁卡，但是所有保安永远都只认门禁卡，不认人，如果我把这个人干掉了，拿着这个门禁卡，他不会认出来。我现在进到一个核心数据机房里，我拿到门禁卡，投入几千万的设备做安全有什么用，只是一个震慑作用，可能连一些角度根本就没有做一个拍摄。

第三，人是有七情六欲的，我接触的60%的安全管理人员都很悲催，当你给老板提出安全问题的时候，老板永远都是一句话，不管是怎么样，你既然发现这些问题，你来解决这些问题，因为我是给你开工资的。他永远不会站在一个同情者的角度，或者朋友角度理解你，所以这些人很悲催，但是又没有时间谈女朋友，更多时间可能会看一些美好的，养眼的东西，但是如果说我是一个IT人员，我非常想拿到它的数据，这个时候我会伪装成一个女性，我给他发一封邮件，他无意中就会点，就会中了木马。

我为了这个人我花了很大力气，专门找了一个美女视频聊天，聊着，说一起见个面，我给你一个纪念，这是我们这段时间拍的视频，或者给你做了一些照片，但是你有没有考虑看过，这里面可能是一个。ppt，但后面是。est呢？当你提出这个问题的时候，为了我们的爱情，为了我们纯洁的爱情，这是我花很大心思做的电子相册，你可能也会相信，你不可能相信他里面有后台运作的密码。人是有七情六欲的，我只是在博客上面可能会做一些回复。

张建伟：刚才他说那个美女我们经历过，人人网有一个架构说收到一个邮件，是一个美女发过来的，想跟他交个朋友，他马上就跑过来问，他说这是不是什么陷井，我说这是一个好事情，研究了半天没有任何漏洞，就是一个求交网。之后又把照片发过来了，我再研究，还是没有任何漏洞，这个照片发过来的，那个女的有点丑，皮肤有点黑，我们亚洲人不太喜欢，她失败了，我们没有再理她。为什么这样一个人会莫名其妙的给我们发邮件，怎么了解我们的。

张开：我再给大家提一个非常现实的，大家都知道车库，每个公司下面的车库的保安，是不是动来访人员，至少应该检查一下，不能像警犬上去嗅两下，如果有一天恐怖分子进来之后，他在他的车上放了一车的塑胶炸弹，怎么避免，如果把核心数据机房炸了，你没有任何时间防御。这种攻击会变成现实中的物理攻击。

张建伟：刚才是一些思路，我们可能没讲技术上的，linda，这个补丁不知道怎么用，对于不知道来说，那个漏洞对于你来说就是一个linda，真正的linda只有黑客知道，我在你家里卧室挖了一个地道，这个地道只有我知道。针对攻击的，也请Raoul介绍国外的一些情况。

Raoul：首先，攻击这件事情是一件非常简单的事情，主要是相对于你建设一个复杂的网站来说，攻其一点就把它攻破了，是相对简单的，而且对于黑客来说，是非常有吸引力的事情，他们为此可以得到媒体曝光，得到公众注意，还有美女侧目，所以这对他们来说这很有吸引力。再归结一点，攻击对于黑客来说，这件事情对他们来说非常简单。为什么刚才说这个攻击的工作简单，我看来现场就会有一个答案，我们今天都是来参加论坛的，都是来搞网络安全的，有多少人坐在这里？大概有四五十人。比较一下，我参加昨天的会，大家在谈论云，是时下非常流行的，那个云就是在时下一个非常性感的美女，而相对于这个云，我们就是默默的讨论网络安全工作，而网络安全工作是相对整个互联网来说是更加紧迫的一件事情。

张建伟：我们说到攻，攻这个事情，聊了这么多年了，每天都有新的话题。我认识的朋友，能够亲自访问偶像网站，很轻松。入侵一个网站没有那么拿，但并不是每个黑客都会做一些安全事件，有一些英雄的黑客存在。除了攻之外，我们更注重防，接下来我们去讨论一下怎么去防，从哪些层面来防？
刘丹：我来自人人网，我陈述的都是个人观点，不代表公司。大家一提到账号泄漏，第一事件得到CSDN，这个账号漏了对我有什么危害，这是我接到的最多的一个问题，对普通网民来说觉得不重要。这时候，我给大家介绍一些危害，首先是信息泄漏，你在购物网站买过东西，你的账号和密码正好被人家拿走了，这时候你的家庭住址，你的电话，你的姓名，甚至你买的东西都被人家窃取了。这时候有做EDM，会给你发一个邮件，邮件里面有你的信息，你的兴趣，你的爱好，是广告里面精准的广告，你就会点，相当于是一种骚扰。

还有，大家都接到过电话骚扰。

还有金融诈骗，我们这边一般是邮箱比较少，电话、短信，基本上对方都会知道你的信息，我一个CSDN密码，就会引出来这些东西，大家密码习惯不是很好，到处都是一样的，你在各大网站的信息，一家只留了一点，但是汇总在一起就是一个很恐怖的社情。大家也提到社攻，社会攻击学，是全方位的攻击，这些人为什么要用这些账号，他能获得什么，首先这些东西可以用来买钱，大家也都知道微博的水军、僵尸粉。比如说有一个微博粉丝很多，打一个广告，这时候会带来很多利益，这是驱动他们做这件事情的原因。

这些盗号的人拿到数据之后，把这些数据进行分类，比如说这个数据是来自某一个地方，信息量比较大，像购物网站，就会提到一个很高的级别，这个账号就很贵。像其他一些小网站就卖给水军了，去做僵尸粉。我们这边遇到的问题，一般分于是这样，一些大网站都有密保，有点像银行的感觉。

还有用户教育，在一些大型网站做得非常好，他们有专门的板块教育用户，让你改密码，这是很被动的教育方式。还有第三方保护，像我们安全保这边提供的就是第三方的保护。

张建伟：刚才说到密保，其实密保很多年了为什么还有那么多问题，数量上看，密保用户并不是很广泛，在淘宝上注册账号，除了密保之外，还要有短信验证，数字验证，双重验证之后才能进去。有一个问题很头疼，我用的是账号的密盾，如果我打网游，我还要买个将军令，我上QQ可能还要买一个QQ令牌，我出门要带好几个令牌。令牌它的算法，它的设计机构还是很安全，之所以没有起来主要一个原因就是用户体验，用户体验是制约安全往前走大的问题，我们不能寄希望于用户，用户是上帝，我们很难改变，我们只能说优化自己的产品，用户什么都不用做就可以了。

在密钥这一块，淘宝有一个合作伙伴，时代易宝，给我们做了一个产品，手机密令，让他来介绍一下，我们介绍这个东西并不是做广告，介绍这个东西的密切是我们安全需要大家齐心协力的去做，需要把用户体验做好，这样才能解决我们的安全问题。

肖会：感谢大家，我作为一个行业来讲，我也不讲我们公司产品怎么样，目前涉及到账号泄漏事件，大家都很关心，如何获取比较好的解决方案。动态密码，二次加密，双重保护这一块，一直以来用的比较好的是网游行业和银行，银行我们做网上银行这一块，一般大家银行在注册账户的时候，都会发你一个小的令牌，是60秒一变，也可以根据个人需求或者企业需求，30秒一变，或者100秒一变。通过二次加密的方式，能够确保，如果黑客盗取了我们的静态密码和账户，我们有一个二次的保护，这个密码也不是明文存在注册网站里面，这个密码等于是自己专有的。

因为黑客的技术也是不断的在升级，我们同样做攻防的技术人员也要不断跟进，现在钓鱼这块大家都比较头疼，目前就想了一个解决方案，通过一键校验和BRS的方式反钓鱼。黑客有可能前几次获取我们账号，这种情况下用我们的账号登录，没有动态密码，但是被黑客钓鱼过程中，某一个人他在访问淘宝网站，他通过邮件，通过客服给他一些例子，很便宜，就进去了，实际上被钓了。在这个过程中，在输入用户名密码的时候，两三秒以内，黑客也在同步输入用他的用户名密码，黑客已经把他的用户名密码明文显示出来了，这个时候用户在输入，黑客也在输入，如果没有一个双向认证的程序，用户就不知道登录的是假淘宝。用户直接点一个键，向淘宝服务器认证，我是不是在用淘宝，淘宝会向客户反馈，请确认，你现在在附近登录，这时候我们在天津，我们在中关村，这个时候会反馈说，我是在天津，我是在中关村，这个时候就显示不对了。
还有一个客服上出现了一个链接，我们也可以对旺旺店铺进行认证，你可以在其他分期认证的时候，不同情况下有一个认证设置。

陈亮：首先我发现一个很大的问题，不管是安全评估，还是做定点目标的，授权情况下都算是，我发现很多人的邮箱，没有清楚历史的这个习惯，坏习惯特别多。很多时候，大家都通过事件关联模式，把他周围所有的人，以及他的生活习惯进行了分类，进行了详细的目标定点定位，也就是说美军所谓的定点打击计划，我们用到今天中国这个话题上，其实最关键的一点，包括CSDN这次泄漏，很多情况下被人用到哪里呢？用到QQ邮箱里面，因为QQ邮箱里面有一个账号信息，他为了注册一个网站，会把账号信息发到QQ邮箱里，很多人不会把历史邮件删除，他怕密码忘记了，不会检查，但恰恰给人一个机会。

张建伟：很多都是习惯问题，如果只是习惯问题还是很好避免的，从淘宝业务安全数量上来看，我们发现诈骗案件是最多的，我为什么被诈骗呢？我想在座的有谁没有被诈骗过？我个人不只是被诈骗过，还被人拿砖头抢劫过，安全来到这里，没有出什么大问题。

说到诈骗，防诈骗做了很多工作，但是非常难，有一个很简单的，如果给用户能解释清楚是非常好的，我们的七情六欲，我们的欲望，我们今天想占点小便宜，那很容易被骗，如果我们把这些七情六欲，把这些贪欲降一些，我们被骗的概率就会低一些。

张开：占小便宜这个事情，我给大家讲一个很好的例子，曾经有一段时间我特别喜欢养小狗，那个犬改金毛，我去网上搜了一下，突然发现有一家卖金毛特别便宜，我就打电话过去问了他一下，他把交易流程跟我说了，说需要先拿百分之多少，再把狗寄过来，我觉得这个事情不是那么简单，我就把QQ号和提供的手机号放在百度上度了一下，结果发现被骗的人已经很多了。
张建伟：有时候我们会发现诈骗比我们想象的还很复杂，有的时候就是直接骗，就是你在骗我，后来发现不是这样，有中间人，他骗了我之后，说你骗他，这种情况特别多，用户骂死了，这个卖家就骗我，骗我多少钱，但这个东西并不是卖家的事，而是另外一诈骗，他在背后，他营造这样一个骗局，让你去恨卖家，还得不到解决，而且这个问题越来越深。

肖会：我是做银行这一块，我刚才个大家遗漏了一个很重要的信息，我刚才给大家说的这个产品是基于手机令牌，通过手机客户端，来实现ODP技术，能够避免大家以前经常遇到的我要带多个终端，我们有免费的一个，是独立的第三方，我们是专做这一块的。产品本身安全性的行评估，我们有，专业的安全公司做风险评估，做攻防，我们请公安部，请武警，安全度更高的部门，进行攻防政策和风险评估。暂时还没有国际上的奖项。

张建伟：他希望所有的应用集成在ODP这样一个软件，我们淘宝本身也有开发实力，我们也做出这样一个软件来，我们要做一个平台。今天时间也比较晚了，接下来回到主题，展望一下未来，在这样一个事件影响下，未来回来换怎么样？

卜哲：这个话题是谁动了我的密码？但是刚才的讨论，有的从社攻角度，有的是从防御角度。第一个高端用户，是一个安全人士，技术上解决不了，包括社攻。
第二个类似于淘宝公司。刚才的案例，冒充某一个卖家。

第三个，跳出去，更大众的，包括泄密事件，可以说几亿的账户被泄漏，这个泄漏账户可能更多的，受影响更大，而且国际影响，压力也更大，对网民使用互联网业务这种心态的影响更大，可能会影响到互联网的发展。我可以从个别群体、全国大众，我可能更关注于怎么避免这种大规模的泄漏事件去做，不能说客户是上帝，就完全把上帝宠去了，我觉得经济发展，没有一个人为了卖80块钱的热水壶，淘宝上跑到另外一个钓鱼网站，半个小时之内，4000块钱没了。用户意识肯定会提高的，包括密码分层设计。我好的密码就是用手机令牌，或者刚才说的方案，核心密码，核心邮箱，1月4号一个张先生收到六个团购网站给他送的快递，为什么？邮箱已经被注册为很多用户，都给他订购了货到付款的业务，各位去查一下1月4号京华时报网络版，第九版有一个诈骗事件，一天收到几千块钱。这种情况无论是对于企业，还是对于个人来说都是不必要的骚扰，你说退货什么的，不给你退，用户也需要。政府要推动这件事情，监管行业也要重视。解决大部分用户泄密事件来说，需要用户、企业、政府一起联合推进。

张开：对于现在网络安全的现状，尤其是Web安全这块，从技术层面讲，有能力的互联网公司，他们应该从外部源代码那块做一个很好的审核，对Web站点的开发，人员安全性开发的教育必须到位。不管是目前的密码泄漏也好，还是QQ邮箱也好，这些问题在于源代码安全性出了问题。

第二个问题，类似于淘宝公司，一定要在自己业务逻辑层面上，把自己的安全短板去掉。
陈亮：你是一个互联网公司，突然有一个警察来查你的互联网，你第一天是介绍信，然后安全，他们不会看我的身份，我希望大家多疑一些。我现在有一个坏毛病，我不希望任何人动我的电脑，哪怕我的电脑摆在这边，突然有一天发现他把我的电脑放在旁边了，虽然没有动我电脑的任何东西，我会怀疑他为什么会动我的电脑。

张建伟：你周边现实生活中的攻击比网络上的攻击更可怕，我们生活中遇到的骗子，在街上装可怜的人，比网络上的更多，攻击手段更高，网络安全比生活中的更安全，马云以前说过淘宝不生产假货，现实生活的问题到网上可以通过技术手段规避。有一个货到付款和支付宝货款，不懂的人觉得货到付款安全，支付宝付款不安全。实际上，支付宝付款把钱给了中立的第三方机构，货到付款，他把东西拿到你手里，你就得把钱给他。生活上的安全，比网络上更不安全，网络上没有我们想的那么坏。

张开：网络上最多损失点钱，现实中会遇到板砖。

张建伟：我们做安全的时候，不要说用户把安全意识提高了，首先把自己的水平提高，当大家都把自己的水平提高了，以后用户意识才能提高，所以安全培训很重要，我见过有些搞安全的人，他自己本身安全水平也不高，我们做安全的人，都需要培训。我们形成一个沙龙的氛围，大家互相学习，互相提高，或者我们请一些专业安全测评的公司，给我们做一些培训，我觉得都是提高我们自身很好的手段。我之前跟Raoul先生没有沟通过，有没有意向把Raoul先生的东西引到国内？

主持人：Raoul在这个方面有二三十年的经验，5岁的时候就在玩电脑，在这个行业上，他有非常丰富的经验，他也是看见中国目前逐步对安全方面也引起重视，但因为实际是还不够规范和系统化，他希望跟中国安全工程师一起，把国际上的安全防范的好的经验带到国内来。从现在开始，我们会做一些，把国外的OSTMM的这个培训，以及工业化的安全培训带到中国。这个方面我不是专家，我只是稍微有点安全意识的做IT方面的人。详细的请Raoul先生做个介绍。

Raoul：OSTMM，是遍布全球的安全性计算机安全组织，开源代码安全性测试，应该是从2003年开始，就一直在从事这方面的工作，到现在为止已经系全球很大的组织了，现在Raoul先生和这个组织寻求和中国方面的合作，这场主持人在接洽这方面的事项，也希望把这个组织这么多年以来安全方面的经验带到中国，帮助中国提升计算机安全方面的服务和性能。

刘丹：这次事件是信息的贩卖，我未来想杜绝这个东西，首先要把这个链条斩断，用户就是生产者，消费者就是用于信息作为物品贩卖的这些人，想打击这种人是不太可能的，花样层出不穷，站在公司角度，我们能做的就是保护用户。无非就是教育用户，让用户有一个很好的意识，我觉得这次泄漏事件，我的观点不是一件特别坏的事，至少大家知道这个东西是已经泄漏了，并且这些数据泄漏最多的已经有三四年了，这个东西一直在存在，这个地下产业链一直在被大家用着，这时候我们知道了，就可以做出一个防御，这是一个好事情。

张建伟：在之前我们已经做防御了，他黑客拿到一些数据的时候，他不会认出来，他会搞银行，会有风险，他会来淘宝支付宝这样的网站，这个风险已经顶过去了，按梯队的一直顶下去，没事的时候就公布出来。这个好的方面，是大家都有这个意识了，大家都知道这种安全问题不是一个公司能解决的，我数据库保护的再好，再加密，我们的数据被公布了，相当于是我们公司泄漏数据库，大家脸上都没有光彩。在这样一个前提下，我们才能把安全的联盟搞起来，不管是甲方也罢，乙方也罢，大家才能一起坐下来聊天，探讨未来我们该怎么办。今天的话题就到这里。

陈亮：我再补充一点，我今天就成立这个联盟，主要是一些安全网络公司，还有一些互联网公司，还有一些爱好者，这个是开放的，我的抬头有些身份信息没有办法给大家表明，但是我同样也是在郭永健老师下面，我也是取证协会的会员，我们发现在中国市场必须收费，只有收费大家才会尊重它。

张建伟：只有互相尊重，大家认真起来，这个事情才能搞好，如果大家都不认真，聊完了就完了，这个效果就不会出来。