「智者」杜躍進：從體制到阿里，他的憂思與夢想｜人物

杜躍進在網路安全圈絕對算是腕兒，之前他是安全圈最活躍的官方代言人和思想者，足夠高的視角讓他得以成為安全行業的瞭望者。

後來，在眾人的一片驚訝聲中，他走出了那個他為之奮鬥多年的體制，來到了風景如畫的杭州西溪，來到了雄心勃勃、生機勃勃的阿里。

從體制出走至今已有2年，如今的杜躍進又在忙啥，又有哪些變化？

走出體制，萬類霜天競自由

在阿里，人人都有個花名，既沒有英文名的庸俗，又沒有直呼其名的突兀。如今，阿里已經貢獻了超過13萬個花名，後來者能不重名實屬不易。杜躍進來阿里後，給自己定的花名叫「今亮」，一查，還真沒重名，於是就這麼叫上了。

「今亮」者，晚清重臣左宗棠的自號。這位舉人出身卻以文襄冠名的猛人，年輕時自命當時諸葛，有蕩平天下之志，後來收復新疆，功名千秋，「可做人生楷模」。在這個花名的背後，多少包含著杜躍進或深或淺的文人底色或濟世情懷。

面對杜躍進，很多人都會好奇，這位在體制中遊刃有餘的安全大牛，為什麼會一頭扎進企業？

「其實和阿里接觸並沒有多久，我很快就做出了加入阿里的決定，這讓很多人都感到意外」，回顧當年的決定，旁人看來多少有些不解，畢竟這麼大一個腕兒，就為自抬身價也最好故作矜持。但如果這樣，他就不是杜躍進了。

他之所以能快速決定離開，固然有著對外面世界的好奇，也有對職業追求的某種執著。

「在體制內，我多次被領導說是『不務正業』」。這是杜躍進的行事風格，看起來慢條斯理，內心深處卻洶湧澎湃。「不過那時候沒幾個人說網路安全，領導們對我說的還是比較信任，於是放手讓我去干」。正是在這樣的環境下，杜躍進作為國內最早專註於網路安全的專業工作者之一，歷時多年的技術沉澱和實踐磨練，在我國互聯網安全的核心能力研發與應急響應體系建設方面做出了突出貢獻。

反倒是後來網路安全引起廣泛關注後，杜躍進越發感覺反倒不如當年了。「所有人都開始談論安全之後，很多事情反而不好辦了。各種不同的聲音和觀點很多，牽涉的面也多，一些非常重要的事情經常是費了九牛二虎之力，很長時間也推不動。然後眼看著我們錯失了很多機會，在一些重要的方面和國外比甚至由領先變成落後了。」對於一個自由而敏感的靈魂，這種看得見而摸不著的生活，久了無疑是種煎熬。

但見君子，雲胡不喜。雖為今亮，何必三顧。2015年，在那個煙花燦爛的三月，杜躍進離開乾燥而熟悉的京城，南下來到溫潤而怡人的江南。因為他看到這裡同樣是一個龐大的舞台，同樣是一個能夠實現自己「人生為一大事而來」承諾的地方：「我曾經在一個很大的會議上說，『人生為一大事而來，我的這個大事，就是中國的網路安全』。後來我發現在阿里巴巴這樣的大平台上，面對數億用戶所依賴的龐大複雜的生態環境，做好這裡的安全具有同樣的意義」。

從一個江湖到另一個江湖

很多人都好奇地問杜躍進，從政府到阿里，生活有哪樣不同？「只是從一片江湖轉戰到了另一片江湖」，這是他的回答。體制並非傳說中的那般不堪，那裡有很多優秀人才也有獨特的資源優勢，商海也未必如故事裡的那般美好，這裡有繁雜的業務變化和沉重的眼前目標。對於體制和市場間的微妙不同，只有經歷的人才能知其冷暖。有人的地方就有江湖，各取所需而已。

「到企業後，遇到的問題很多都是全新的」，即使大牛如杜躍進，切換模式後仍需要重新適應和學習。

首先是位置的差別。以前在體制內時，杜躍進重點任務是站在國家的視角保障全中國的信息通信基礎設施和重要信息系統安全。登高望遠，大事才能入眼，多是涉及大量用戶的大規模蠕蟲、大規模網頁掛馬、大規模木馬或殭屍網路等安全事件，以及基礎網路、域名體系或路由體系等的安全保障。

那時的他，就像安全圈的聽風者、預報者，離著一線企業的業務總是隔了點距離。如今身處企業，就像來到戰場一線，每一處安全痛點都關係到企業和用戶的最終利益，安全問題帶來的都是切身之痛。

另一個不同之處就是節奏。「體制內顯得更加規範，都是想清楚大目標，再做好整體設計和論證，接著嚴謹地推進。壞處是會慢一點，從形成想法到做出來有時候要三五年。而互聯網企業的速度非常快，很多東西是想起來就做，跑到一半的時候可能還要停下來看看方向，如果方向跑對了，可能會獲得很大的成績。」杜躍進一邊說，一邊若有所思地回味。

對杜躍進而言，出走體制絕非僅為了體驗另一種江湖，因為在外面他看到了未來。「過去我做的互聯網安全是信息通信基礎設施安全，但是如今互聯網已不再僅僅是信息通信基礎設施了，它正在變成任何事情的基礎設施。網路安全在發生重大的變化，需要探索和創新」。

君子擇鄰而居，阿里吸引杜躍進的地方，是整個公司足夠重視安全。而判斷一個公司是否重視安全，關鍵看老大是否會為安全站台。

至少，杜躍進就多次親耳聽阿里的CEO張勇說起，「數據安全是立身之本」，對於阿里如此龐大的電商平台，如果沒有數據安全，一切都將是空中樓閣。所以，雖然沒有發生諸如3Q大戰這樣的戰役，阿里在擴張安全實力上也是不遺餘力。比起很多口頭上重視安全、行動中卻未將安全放在優先順序的公司，阿里對於安全的理解或者誠意，或許是吸引杜躍進前往的最重要原因。

此外，阿里的很多新鮮實踐也醞釀出很多新鮮的想法，這也讓杜躍進感到新奇。在採訪中，杜躍進多次提及王堅的書，那位大牛對於數據乃至明日世界的理解，顯然帶給杜躍進很多啟發。智者只有與智者在一起，才能感到思想碰撞的樂趣，孔子說無友不如己者，大抵因為如此。在這背後，也折射了這個時代的微妙變化，即中國最具活力的思想源頭正在從政府轉移到企業。

對於吃瓜群眾而言，更關心的或許還是錢的問題。之前江湖傳聞，阿里為了挖杜躍進，大概砸出了千萬年薪。之前享受類似傳聞的安全大牛大概只有如今在騰訊的TK教主了。當我們很八卦地求核實時，杜躍進笑笑說，「公司有規定，這個不能說」。

從預言家到活動家

在體制內時，得益於開闊的視野和活躍的思維，杜躍進總能比別人多看好幾步棋。所謂見微知著，大概如此。例如，2004年開始研究併到處呼籲重視網路釣魚，2005年提出「殭屍網路」的說法，2006年系統性地強調域名安全，等等，都是當時的引領者。

雖然近兩年工控安全已經引起了業界重視，但是2007年時，杜躍進就意識到這將會成為一片新戰場。當時在一次國際會議上，杜躍進認為一位美國專家的一個演講很有說服力，這個演講還預言了五年之內可以實現通過互聯網對工控網路的攻擊。從那時起，杜躍進就經常為工控安全而四處呼籲。

杜躍進還是很早轉換到安全威脅視角的人，這個視角要高度關注攻擊者的動機和能力，而不僅僅是攻擊事件的手段和路徑。2009年時，各種數據顯示我們的安全狀況挺好，似乎一片祥和。但是種種跡象卻讓杜躍進隱隱不安，他感覺一場「陌生的危機」正在靠近，而我們的「雷達」正在失靈。「之所以說陌生的危機，是因為不知道危險會是怎樣的、從哪裡來，但是有強烈的感覺，存在極大的夠得上是『危機』的危險正在鋪面而來。」

杜躍進後來告訴我們，他將網路上的壞人根據動機分為4類，依次為「白開心」、「淘黑金」、「純小偷」和「大玩家」。很長一段時間內，最受人關注的只有前三者。而「震網」事件等陸續發生後，杜躍進突然明白陌生的危機是什麼了， 「大玩家終於浮出水面了，大玩家時代的漏洞攻防是非常不對稱的，誰有能力同時掌握4個0day漏洞放到一個攻擊程序里，而且保持幾年不泄露？」

杜躍進所謂的大玩家，就是國家級玩家。大玩家的攻擊能力是空前的，遠非那些小打小鬧的商業玩家可以望其項背，他們的動機、掌握的資源、選擇的目標等也和其他攻擊不同。

「那時我就在大力推廣APT的概念和應對方法，直到2013年美國發布APT1報告時，中國才突然意識到，和對方的差距已經大到了幾無還手之力的地步」，杜躍進現在說起時，仍不免遺憾，那是一種心有餘而力不足的遺憾。就像一位預言師，明明看到了未來的災難，卻只能靜靜等著它發生。

後來震驚世界的斯諾登事件，則驗證了杜躍進的判斷。所謂震驚，其實是因為超出預期，對於早有預期的人來說，只會覺得這是勢在必行。但是絕大部分人都沒有想到，大玩家已經在黑暗的籠罩下走了那麼遠。

杜躍進當慣了孤獨的預言家，如今來到了企業，是否能做出點不一樣的東西呢？

或許是久居北京的原因，杜躍進很善於用極通俗的語言表達很抽象的內容。面向未來，杜躍進總結自己的工作重點是四個方向、三個落腳點。

所謂的四個方向，就是北玄武，代表決策者即政府相關機構；南朱雀，代表社會大眾；東青龍，代表產業界；西白虎，代表學術界。

現在很多創業者動輒言「生態」，如果追根溯源，最早在互聯網圈提出「生態」概念的企業正是阿里。如今，杜躍進就是推動安全生態的人。

放眼中國，杜躍進或許是最適合推動安全生態建設的人之一了。久在體制之中，他太能理解政府是如何思考問題和決策視角的，這是很多純技術人員所不能比擬的。對於公眾，杜躍進的化繁複為通俗的表達能力也不遑多讓。對於學術界，他早已是多個科研機構和高校的教授、研究員，還拿過多項國家級學術大獎。至於產業圈，則是他如今正身處其中的地方。

儘管如此，他也有側重。「原來這些我都做。現在更多側重於學術和產業的合作」。

對於很多人來說，生態這個詞終究還是有些「虛」，雖然阿里多年的發展卻受盡了生態的益處。杜躍進也充滿了信心，「阿里的基因里就是打造平台、塑造生態，比如阿里雲是需要生態的，上面有超過百萬用戶，生態越豐富，雲的效果就會越好，安全正是生態的一部分。」

儘管生態的好處眾所周知，但即使如阿里，做好生態也需要時日。因此，杜躍進也準備好了足夠的耐心。「安全生態這件事一直在做，現在還沒有那麼成熟，雖然大方向是明確的，但具體抓手是什麼還在摸索。」

至於那三個落腳點，則是杜躍進來阿里以來重點關注或主持的工作，即數據安全，網路黑灰產與新型網路犯罪，物聯網安全。

如果說數據安全和打擊黑灰產已經成為共識，那麼物聯網安全目前仍是方興未艾。作為預言師的杜躍進，也以他一貫的風格，看到了在繁榮背後的隱憂。「現在物聯網很熱，物聯網安全大家也都在零零散散地做，整個產業還不成熟。但對於阿里來說，有條件發揮自己的優勢更早地進入，可以從基礎先做起。一旦行業出現苗頭，就可以快速地將能力付諸產品。總不能等屍橫遍野了才開始做吧？」

從體制到企業的杜躍進，杜躍進一貫地喜歡向前張望，一樣地希望有所作為。在這個急速變化的年代，這樣的智者永遠在路上。

對話杜躍進：企業需要學會與政府對話

關於轉變

張耀疆：兩年來最大的轉變是什麼？

杜躍進：這個問題經常被問到，轉變還是非常大的。先說技術，很多東西和過去是不一樣的。我過去是安全的第三方，在國家的角度看中國的信息通信基礎設施，關注的是大規模蠕蟲、大規模的網頁掛馬、大規模的木馬活動、殭屍網路等，都涉及到大量用戶。

但現在是在互聯網企業，真正的痛點的是業務安全。比如搞促銷活動，可錢都被薅羊毛了，或者商家、客戶被騙，這些都造成業務損失。面對這些現實問題，如果只做到技術層面還遠遠不夠。

現在一切都來源於數據，所有行業一定都會轉到數據作為生產資料。你的數據有價值就會吸引壞人，圍繞數據就會引發安全對抗。我們容易將數據安全等同於系統安全，將大數據安全等同於雲計算安全，實際上這些都不一樣。黑產是現在數據用得更好的人，他們會從很多方面圍繞一個目標湊出一個數據，這種方法對於市場就叫精準營銷，對於黑產叫精準詐騙或精準攻擊。

你這邊在用數據，黑客在用精準詐騙，所以數據安全變成了非常重要的問題。社會上如果不斷出現大量數據泄露不能遏制，大家就會失去信心，甚至會什麼信息都不提供，那我們都無法發展，變成開倒車了。

張耀疆：是數據作為工具還是對象的安全？

杜躍進：是數據作為對象的安全，將我們的經驗不斷提煉，提升整個數據安全的水平。

張耀疆：從產業的角度來看，懂的人都覺得總書記的419講話很到位。

杜躍進：這個講話確實非常到位和準確。但是經對了，是否念歪了是另一回事。我2016年做了一場演講，題目是「人類會毀於網路安全嗎」。因為網路會融入到現實中去了，網路安全如果和現實安全依然脫節，或者說「網路安全」中的「網路」兩個字不能去掉，我們就死定了。今天阿里在打擊犯罪、建設社會誠信體系等領域的做法，我看到了兩種方式融合到一起的好處，這不僅解決了網路安全問題，還解決社會問題。有了網路，更多問題更好解決了，所以關鍵就是融合。

未來就是「新安全」，這個「新安全」也是來阿里之後才體會出來的。所以我沒有提前設計，只能不停地學習新東西。過去我看東西更客觀，以及位置足夠高，看到的是國家安全和國際安全。過去的經驗有點用處，用到企業里新舊結合，還能看到很多新的東西。

張耀疆：實際上你遇到的問題是全新的。

杜躍進：九成的問題都是全新的。

張耀疆：阿里現在這麼大，外面似乎覺得阿里不是技術導向，而是商業導向，你在這種氛圍下，感覺明顯嗎？

杜躍進：按照王堅的話，因為阿里商業上的成功太亮眼了，所以掩蓋了技術上的成功。但是阿里的商業奇蹟，沒有技術的支撐是不可能的。

「雙十一」是人為製造的「技術魔鬼」，但是帶動了阿里技術的跨越式成長。數據加上計算能力和利用能力才有意義，阿里的計算能力都是自己做的，從資料庫到大計算能力到快速支付能力到後颱風控，背後全是技術支持。VISA現在1秒鐘最高並發不超過5萬筆交易，阿里現在是1秒鐘12萬筆交易，這些背後的技術力量消費者都感受不到。

張耀疆：是不是還有對技術的應用結果的考量不同導致的刻板印象？例如阿里能否經受雙十一考驗，是否只是為了增加商業砝碼？

杜躍進：如果只是出於商業考慮，那就不會有阿里雲，更不會有阿里雲OS了。

張耀疆：安全行業做到價值體現的挑戰有沒有？

杜躍進：這個問題是有的，到底是出事好還是不出事好呢？阿里現在搞出這麼大的安全隊伍，不是因為打架，而是自己認識到了安全的重要性，而且阿里安全掌舵的就是CRO（首席風險官）。

新的工作方向

【耀疆手記】老杜說阿里正在部署在IoT方面的戰略，安全是很重要的保障，為此，阿里也建立了物聯網安全聯盟機構，打算以生態打造的視角做前瞻性布局，但具體落實到哪些點，目前還不方便說，但不久會有公布。

張耀疆：除了你構想的問題之外，能否舉點例子，和你工作結合如何體現？

杜躍進：我關注幾個方向，一是數據安全，按照阿里的CEO說，數據安全是我們的立身之本。過去說安全行業想要發展，光自己說說是沒有用的，很多公司CISO就是機房管理員，都不在公司決策層，面對安全問題能做的事很有限。而阿里CEO張勇在阿里安全峰會上去演講、在國家網路安全宣傳周上去演講，這是非常好的，說明公司一把手重視安全。我們是一家數據公司，我們要保護好用戶的個人隱私和數據，保護好自己的知識產權和商業秘密，防止濫用、誤用，防止被竊取。實際上在今天的實際環境中，數據安全成了一個全新的領域，而且面臨很多新的挑戰。

二是物聯網安全，現在大家都沒準備好，都是零零散散都在做，我們很希望大家能夠做出來什麼，引領一些對物聯網安全有幫助的東西，輔助物聯網的業務方向更好地往前走。

張耀疆：關於物聯網安全，你有什麼想法？

杜躍進：在物聯網的場景下，我們要尋找共性的東西，以及對共性的指導意見。雖然按照細分領域還是有必要的，但今天網路和現實世界在融合，也導致橫向融合更多了，未來有汽車互聯網、冰箱互聯網、醫療設備互聯網，將這些都切分開肯定是不行的，橫向安全也是要做的。未來阿里會有一些新產品發布。

張耀疆：每家大企業的提法都不一樣，很多東西還很難預期

杜躍進：現在物聯網很熱，但是不知道該做什麼，因為物聯網產業還不成熟。對於我們來說，前期就要做，不能等屍橫遍野了才開始做。阿里有自己的生態，有很多合作夥伴，有條件更早介入。而且阿里可以從基礎的事情做起，一旦有苗頭了，可以快速地將能力付諸產品。

關於安全創業

【耀疆手記】如果說安全產業是一塊蛋糕，很大一塊是被傳統勢力（特別是國家隊）瓜分了的，還有一部分是被大的互聯網公司自行消化了，中間一部分，是廣大中小企業，但這一塊，眼下還沒看到有一種好的商業模式能落地。也許，未來會有一種全新的模式，在這個領域開拓並立足。

張耀疆：對安全來說，看你依附的是什麼產業環境，有時不是安全圈想不想的問題，而是依附的對象怎麼看。

杜躍進：現在的趨勢是遷移到雲上，然後看安全圈提供給用戶的東西夠不夠，但是現在不完全夠。而且看你從哪個角度看，從掙錢的角度看，別人以為掙不到錢，但是存在大量的安全需求。

現在的情況是，老百姓是有安全需求的，阿里上面的幾百萬商家、螞蟻支付的線下那麼多商家，都有安全訴求，但全部都是長尾需求。如何體現你的價值，我也沒想清楚。

張耀疆：如果都想清楚，就是非常成熟的業態了

杜躍進：如果安全行業出現了阿里或者螞蟻這樣的企業，能夠找到為中小企業提供安全服務的方法，那就真是顛覆性了。

張耀疆：成功的沒見到，但是失敗的見到了，比如洋蔥，其實這個需求大家其實都是需要的，但是產品形態還是不清楚。

杜躍進：這個時代很有意思，我很感恩這個時代。至少是在變化，而且不管怎樣，總是有機會。

張耀疆：很多安全創業者的想法確實在變化，現在更務實一些，發現真沒那麼簡單。短期內會兩極分化，一邊是傳統勢力，另一邊是BAT等大平台，夾在中間就很尷尬。

杜躍進：安全的蛋糕肯定會變得更大，但是三種情況，一是體制內的大蛋糕是歸國家隊的，二是大企業的蛋糕幾乎是自己玩了，三是中小企業需求，這就是長尾了。

所以有沒有可能在安全業務模式上有創新？我現在還不知道是什麼。我倒是期待體制內的蛋糕能夠更開放，憑能力說話。只要兩三年後不捂蓋子，有能力安全公司還能挺住。但是捂蓋子時間長了，行業就扛不住了。

雖然有捂蓋子的苗頭，但是靠政府解決捂蓋子是可能的，中央政府和主管部門也不希望捂蓋子的。

張耀疆：從419講話到網信辦的組建，覺得都很利好，到了2016年網安法出台後，大家都覺得很擔心，突然一下子大量人關注，雖然有大單子出現，但都是看得見摸不著。

杜躍進：關鍵是不捂蓋子，最後是看效果、看能力，而不是看出身、看名牌。不然這樣也玩不下去。短期內還會比較艱苦，短期內可能還是看關係、看資質，但能力不可能是這樣出來的，能力是需要一點點沉澱出來的。

張耀疆：這兩年對創業來說挑戰很大？

杜躍進：短期靠著收購或融資，但這是不產生價值的，也是不可能長期持續的，目前格局還是沒有變化。

被收購之後，如果依然再往前走，還是能夠產生價值。也可能收購只是為了勢力上的平衡。

關於網路安全法

【耀疆手記】網路安全法將於2017年6月正式頒布，老杜一直是直接參与了相關工作的，包括當下具體落地細則的制定及討論。老杜認為，安全產業界一定要積极參与進來，這是和產業發展息息相關的。比如26條，關於漏洞挖掘服務的，直接就會影響到眾測業態，但總體上，儘管之前出了很多事情，大家還是希望不要湮滅一些新鮮事物。

張耀疆：您對網路安全法有參與嗎？

杜躍進：我從一讀稿開始就在參與，雖然網路安全法公布了，在6月1日執行前，各種有關規定還沒有落地，我們也需要和政府一起，幫助政府將細則制定得更有操作性。現在很多問題是無法操作的。比如26條（「展網路安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息，應當遵守國家有關規定）」，跟漏洞研究和風險評估、信息發布，一般人是不能隨便搞的。第62條也規定（違反本法第二十六條規定，開展網路安全認證、檢測、風險評估等活動，或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的，由有關主管部門責令改正，給予警告；拒不改正或者情節嚴重的，處一萬元以上十萬元以下罰款，並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款），沒有這麼搞我們就要罰你。但是「有關規定」是什麼，還不明確，就是需要制定的細則。

有些東西很有挑戰性的。我的建議是，這個時候不應該等著，而是主動和政策制定者一起將東西搞出來，而不是等出來後再罵。政府和企業的利益是一致的，政府也不希望將產業管死了，政府現在都會比較廣泛地徵求意見。

張耀疆：你覺得網安法有哪幾個關鍵的影響點？

杜躍進：我們應該和政府一起，將很多事情做得對行業有利。例如眾測，如果中國沒有廣泛的基數，那麼中國就沒有基本的防禦能力了。我還擔心只關心安全而耽誤了發展，這肯定不是大家希望看到的。安全不能變成發展的阻礙，這是共性的，所有人都一樣的。不希望將安全的基數搞沒了，這是所有安全從業者共同的利益訴求。