郑政：绝大部分电商网站安全问题让人担忧

　　以下为演讲实录：

　　【郑政】：大家下午好！一天了，大家都挺累了。我先放一张图片，让大家轻松一下。我刚才坐在那儿又被问了一遍“你们是做支付的吗”？当然不是，我们是做安全的。

　　我想跟大家介绍一下我们公司。核心的两个创始人，CEO马杰，原来在瑞星公司做产品的研发，我跟他同事十几年，我们11年前有一个比较有意思的小合作，这个小狮子，就是我们俩商量出来的。

　　我们俩在十几年的合作里面，积累了很多对安全的领会。马杰他是亚洲反病毒理事会的理事。我是中国安全软件销售额最高的一个人。

　　我们十多年来，从反病毒软件，到防火墙，到企业级防毒墙，做了很多软件硬件，做了那么多产品。但我觉得有点尴尬的是，我们的网络比十几年前更加不安全了。但我们这十几年来一直相信，给他优势的软件和优势的设备，它就安全了。安全是一个悲催的行业，好比一个公司价值100万，被小偷偷了1万块，他愿意找一个安全的公司了。但至少我们一直没有改变对安全的理解，可是两三年前一个电话让我们改变了一些想法。这是我们的一个客户，它是《女子十二乐坊》，他们有一个网站，他们说我们的网站有问题了，能不能帮我们？当然行了，我们就是干这个的，你可以弄一个杀毒软件等等一系列产品用上就好了，他们又说了我们不懂技术，能不能方便一点，容易一点帮我搞定？我说这个好办，我们有专业的安全专家，可以上门为你服务，安全不是问题。他们听上去还满意，还问到一个问题，我很急，我的网站现在的页面黑着，明天能不能过来？我们真的很尴尬的说，这个得一周时间，如果你做安全的，会觉得一周是很快的承诺了，因为你需要了解网络的结构，了解各种状态在哪里，然后给他一个方案去实施。这个他已经有点不是太开心了，问一问价格吧，我们跟他说了，这么一套服务下来要几十万人民币，我们的客户就崩溃了，我这个网站卖了也不值这么多钱。这个客户的例子可以用在中小电商身上是一样的，你的网站哪一天被黑了，如果找到传统的安全企业，对白基本上就是这样子。所以我们在想要改变一些东西，我们客户需要的是安全本身，我们做安全的人是不是做一下思考，就把安全踏踏实实的递给用户。

　　索性我们有一些东西是不断前进的，这几年云计算这个新兴的技术使得我们能够在原来的思路上拓展了很多。从基本的安全模式上做一些改变，把传统的模式理解为保镖式的安全模式，它跟客户之间的关系就像一个保镖保卫一个总统一样，一个刺客刺下总统的时候的思路不是把他的保镖一个一个干掉，他的思路就是我要找一个保镖所顾及不到的地方放一个冷枪，这是传统安全的模式。所以呢，这是一个基本模式决定的，那我们能不能做一个替身的模式？我们把自己挡在用户和攻击者之间，攻击者只看见我们，他不把我们打倒，他就打不到客户，我们是练过的，肌肉是比较结实的，这时候我们的用户就获得了安全，这是我们的一个基本出发点。

　　另外一个角度呢，安全太贵了，太麻烦了，太慢了，能不能方便一点？就像每个人离不开喝水一样，互联网的各种信息良莠不齐，每个人都要喝水，每家每户把各种来源的水搜集起来，都要对水做净化。能不能有一个思路，把安全做成自来水厂，只要你开水龙头，那个水就是纯净的，可饮用的。我们看到云计算，安全加上互联网的搭配，安全跟原来不一样了，所以我们想把安全变成一种公共的基础服务，这样很专业，很便宜。用户简单了，零部署，零维护，不需要那些复杂的东西，很快就可以获得一个即时的保护，是一个革命性的改变。

　　据统计，中国有200多万个网站，其实真正的数字远远比这个大，有些网站是不一定在中国大陆备案的。在最近的一段时间里，我们看到了一堆数字，我想给大家看一些我们自己做的数据。这是两张表，我们随便找了两个行业，上面是找了网站上的VC行业投资人，他们有的是钱。有钱人怎么样得把自己的园子打扫得干净一点，结果看到他们的状态并不是那么满意，他们都这样，就不提普通的网站了。然后我们又选了20家电商网站，电商网站关系到利益，是有资金流的，大家想象中它保护得也是比较好的，可是它的结果还不如VC。选择这20家网站的来源，我跟大家描绘一下，前面20家VC网站是我的合作人马杰去参加中国科技部创业大赛，有50个评委都是VC，去的头一天晚上找了一个技术人员，打开百度[微博]前一百名随便挑20个，基本上看到了都有高危和中危。而下面这一张表是前天打开百度找的第11名到100名的网站里面随机抽取的20家，高危、中危漏洞一大堆。所谓高危漏洞，VC里面有一个有40个高危漏洞，像这种高危漏洞40个和1个差别并不大。所谓高危漏洞呢，一个初级的刚入门的小黑客花一点点时间，你的网站对他来说门户洞开，没有任何东西他得不到的，他想干什么就干什么，想把你的数据库篡改了，都没有问题。原来的病毒制造者是炫技，现在是偷偷的挂着马，发动野蛮攻击。以这些保护得比较好的网站为例，可以说是惨不忍睹。所以网站的安全状况是非常惨烈的。

　　中国绝大部分电商网站的安全问题，真的是非常让人担忧的，可能你自己也可以去网上搜一些免费的软件，就会发现一堆的高危漏洞。你要解决这些问题，不建议像VC那样买那么多设备，找专人去打理，才能得到一个相对的安全。安全我们把它上升到哲学高度的时候，安全从来都是相对的，不安全是绝对的。

　　安全宝很简单，好比左边看到一个网站，一开始有九个高危漏洞，网站需要花一点点时间跟它发生一些关系，把这个网站加入到安全宝里面，注册、添加域名，有一个按纽开启保护就可以了，你网站所有的流量，所有的请求都会先在安全宝在全国几百个云安全体系里面经过一道扫描，即时的发现你是一个正常请求吗？那就放过，如果是一个黑客的攻击就立即拦住。后面还有一些低危漏是需要再做进一步完善的，安全是相对的，原来有一个高危漏洞，你的得分就是零，那我可以让你的安全得分及格，但要到90分，还需要专家的服务。

　　安全宝携手大家一起让中国的电子商务更快更安全。谢谢大家。