自學(xué)網(wǎng)絡(luò)安全技術(shù),，抵御高額黑產(chǎn)利誘,，你了解這些“白帽子”嗎,？

我們需要更多“網(wǎng)絡(luò)游俠”

在國(guó)家網(wǎng)絡(luò)安全宣傳周首屆網(wǎng)絡(luò)安全技能大賽上，來自全國(guó)10所高校的10支頂尖戰(zhàn)隊(duì)一決高下,，30名“白帽子”黑客捉對(duì)廝殺,。

網(wǎng)絡(luò)安全隱患無處不在。近來,，勒索病毒“永恒之藍(lán)”和“必加”在全球大規(guī)模爆發(fā),，再次敲響了警鐘。有攻就有防,，面對(duì)網(wǎng)絡(luò)世界的安全隱患,，面對(duì)黑客攻擊及其布下的陷阱，“白帽子”黑客是我們的第一道屏障,。

目前網(wǎng)絡(luò)安全人才不足,，既有供不應(yīng)求的原因，也和人才培養(yǎng)模式相關(guān),?！鞍酌弊印焙诳蛡兊墓ぷ骶烤褂心男┥衩刂帲咳绾巫屗麄兏玫匕l(fā)揮專長(zhǎng),，守護(hù)網(wǎng)絡(luò)使用安全,？本報(bào)記者帶您走近這群“網(wǎng)絡(luò)游俠”。

——編  者

■任務(wù)不輕：應(yīng)對(duì)病毒攻擊,、發(fā)現(xiàn)安全隱患,、保障重大活動(dòng)

不久前，一個(gè)名為“暗云”的木馬強(qiáng)勢(shì)來襲,，數(shù)百萬臺(tái)計(jì)算機(jī)被感染,。“白帽子”黑客董志強(qiáng)隨即和團(tuán)隊(duì)進(jìn)行監(jiān)測(cè),，對(duì)攻擊進(jìn)行了溯源分析,，查清了“暗云”的攻擊途徑和方式。這一發(fā)現(xiàn)能幫助安全軟件有針對(duì)性地查殺“暗云”,，有效遏制它的傳播力和破壞力,。

“白帽子”黑客是指網(wǎng)絡(luò)安全從業(yè)人員，他們是網(wǎng)絡(luò)世界的衛(wèi)士,。與利用漏洞,、制作木馬病毒去牟利的不法分子不同，“白帽子”們是為了讓網(wǎng)絡(luò)系統(tǒng)更加安全,。

方家弘也是一名“白帽子”黑客,，他是騰訊科恩實(shí)驗(yàn)室的骨干成員，擅長(zhǎng)尋找網(wǎng)絡(luò)世界無處不在的漏洞?！肮?，是為了防御”，他通過嘗試攻擊,，找到埋藏很深的漏洞,，“逮”住它們，并上報(bào)給相關(guān)企業(yè)或組織,，以便及時(shí)修補(bǔ),，保障安全,。

“從手機(jī),、路由器，到機(jī)器人,，再到汽車,，任何智能設(shè)備本身或使用環(huán)節(jié)中都可能存在隱患，任何一個(gè)漏洞被黑客利用,，都可能造成隱私泄露甚至財(cái)產(chǎn)損失,。”方家弘說,。

2015年初,，方家弘和團(tuán)隊(duì)完成了一件很有成就感的工作?！拔覀儼l(fā)現(xiàn)Linux內(nèi)核中一個(gè)漏洞,，利用它可以獲得Root安卓手機(jī)的最高權(quán)限。比如,，黑客可在你手機(jī)中安裝任意軟件,，而你可能完全不知情?！狈郊液牒蛨F(tuán)隊(duì)上報(bào)漏洞后,，因?yàn)槲ｋU(xiǎn)等級(jí)高，1天之內(nèi)便得到響應(yīng),，Linux的作者林納斯·托瓦茲立即進(jìn)行了修復(fù),。

杭州安恒安全研究院安全專家王欣也是挖掘漏洞的高手。在G20杭州峰會(huì)和歷屆世界互聯(lián)網(wǎng)大會(huì)等重大活動(dòng)網(wǎng)絡(luò)安全保障工作中,，他面對(duì)的是一個(gè)個(gè)沒有硝煙的戰(zhàn)場(chǎng),。

“重大活動(dòng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施容易成為攻擊點(diǎn)，從一些攻擊手法分析,，它們是有策略,、有組織地攻擊，不像是普通黑客練手?！蓖跣勒f,。G20杭州峰會(huì)期間，安恒作為峰會(huì)的網(wǎng)絡(luò)安保技術(shù)支撐單位,，承擔(dān)了包括G20官網(wǎng),、注冊(cè)網(wǎng)、重要工業(yè)控制系統(tǒng)等多個(gè)網(wǎng)絡(luò)安保重點(diǎn)單位的安全保障任務(wù),。從接到任務(wù)到系統(tǒng)安全上線,，僅有短短4天，王欣和團(tuán)隊(duì)需要為酒店在線預(yù)訂系統(tǒng)搭建起一堵安全防護(hù)墻,。那段時(shí)間,，他每天工作至凌晨?jī)扇c(diǎn)，在臨時(shí)辦公室,，團(tuán)隊(duì)24小時(shí)輪流值守,，確保了安全事件零發(fā)生。

■行規(guī)不少：靠本事掙錢,，不許觸犯法律

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示,，去年我國(guó)網(wǎng)民僅僅因垃圾信息、詐騙信息,、個(gè)人信息泄露等遭受的經(jīng)濟(jì)損失就高達(dá)915億元,。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)營(yíng)部主任嚴(yán)寒冰認(rèn)為，在IT產(chǎn)業(yè)軟硬件核心技術(shù)和代碼等自主研發(fā)能力不足,、安全防護(hù)手段滯后,、地下黑客業(yè)務(wù)已形成產(chǎn)業(yè)鏈的背景下，我國(guó)網(wǎng)絡(luò)安全正面臨日益嚴(yán)峻的挑戰(zhàn),。目前,，“白帽子”黑客在保障網(wǎng)絡(luò)安全中的作用無可替代。

比如,，他們不斷上報(bào)發(fā)現(xiàn)的漏洞,，預(yù)警風(fēng)險(xiǎn)，給網(wǎng)絡(luò)安全樹立了第一道屏障,。而隨著互聯(lián)網(wǎng)時(shí)代向物聯(lián)網(wǎng)時(shí)代過渡,，安全隱患更復(fù)雜，“白帽子”黑客也需不斷“進(jìn)化”,。

董志強(qiáng)的興趣從最初的傳統(tǒng)反病毒轉(zhuǎn)向云安全研究,，方家弘則從PC端轉(zhuǎn)向移動(dòng)端漏洞的研究，王欣從Web安全轉(zhuǎn)向物聯(lián)網(wǎng)安全研究,，并開始關(guān)注工業(yè)自動(dòng)化控制安全領(lǐng)域風(fēng)險(xiǎn),。他們還要研究前沿技術(shù),，做好技術(shù)儲(chǔ)備。

與一行行代碼打交道,，在“0”和“1”的世界中尋找風(fēng)險(xiǎn)……從事這項(xiàng)工作,，除興趣之外，“白帽子”黑客通常還要有點(diǎn)天分——他們大多不是科班出身,，而是“江湖派”,，屬于怪才、偏才,。

在網(wǎng)絡(luò)安全圈,，董志強(qiáng)更響亮的名號(hào)是“Killer（殺手）”。他的專業(yè)是漢語(yǔ)言文學(xué),，研究古代漢語(yǔ)和影視文學(xué),。大學(xué)期間“邂逅”計(jì)算機(jī)后，他開始自學(xué)逆向工程,。讓董志強(qiáng)聲名鵲起的,，是他創(chuàng)建的“超級(jí)巡警”在2007年截殺“熊貓燒香”病毒時(shí)立下了赫赫戰(zhàn)功，甚至因其迅速響應(yīng)和高效處理能力,，招致非議。而今,，他已成為云安全領(lǐng)域的“大咖”,，在云網(wǎng)領(lǐng)域開展更多關(guān)于安全的研究。

王欣學(xué)應(yīng)用化學(xué)出身,，他說從事安全行業(yè),，之前純粹是因?yàn)閻酆茫?dāng)參加完多次網(wǎng)絡(luò)安保任務(wù)后,，感受到的是這項(xiàng)工作的榮譽(yù)感和使命感,。

不錄用有前科的人，是“白帽子”圈的行規(guī),。他們有明確的是非觀：要靠自己的本事光明正大地賺錢,，不許觸犯法律。

■成長(zhǎng)不易：培養(yǎng)模式滯后,，“黑產(chǎn)”利誘無處不在

“白帽子”黑客的作用,，以往并不受重視，舍得投入的企業(yè)并不多,。直到近幾年安全事件頻發(fā),，網(wǎng)絡(luò)安全人才的生存和成長(zhǎng)環(huán)境才逐漸改善。不過,，人才缺口依舊很大,。

國(guó)家互聯(lián)網(wǎng)信息辦公室2015年公布的數(shù)據(jù)顯示,，截至2014年底，我國(guó)重要行業(yè)信息系統(tǒng)和信息基礎(chǔ)設(shè)施所需網(wǎng)絡(luò)安全人才缺口達(dá)70萬人左右,，預(yù)計(jì)到2020年,，需要各類網(wǎng)絡(luò)安全人才約140萬人?？梢?，光靠高校培養(yǎng)遠(yuǎn)遠(yuǎn)不能滿足需求。

“網(wǎng)絡(luò)安全的本質(zhì),，是智慧的對(duì)抗,；網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根到底是人才的競(jìng)爭(zhēng),?！碧烊谛趴偛糜诤２ㄕf，建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó),，就要打造出一支強(qiáng)大的網(wǎng)絡(luò)安全人才隊(duì)伍,。

網(wǎng)絡(luò)安全人才供不應(yīng)求，與人才培養(yǎng)模式滯后于網(wǎng)絡(luò)發(fā)展速度相關(guān),。嚴(yán)寒冰說,，傳統(tǒng)高校的學(xué)科課程，強(qiáng)調(diào)基礎(chǔ)理論,，忽視培養(yǎng)學(xué)生在計(jì)算機(jī)上的應(yīng)用能力建設(shè),，沒有相關(guān)專業(yè)設(shè)置，大多數(shù)“白帽子”黑客都是靠興趣“自學(xué)成才”,。

“高校在專業(yè)設(shè)計(jì)上還存在與企業(yè)需求脫節(jié)的問題,，學(xué)校閉門造車，學(xué)生缺乏實(shí)際操作經(jīng)驗(yàn),，難以扛起維護(hù)網(wǎng)絡(luò)安全的重任,。”于海波說,。

社會(huì)對(duì)網(wǎng)絡(luò)安全的“后知后覺”,，也影響了早期一批安全人才的成長(zhǎng)。方家弘是上海交通大學(xué)信息安全專業(yè)的第一批畢業(yè)生,。他回憶,，2006年，安全專業(yè)比較邊緣,，畢業(yè)后多數(shù)同學(xué)進(jìn)了金融行業(yè),，同學(xué)中還留在安全行業(yè)的人已經(jīng)非常少了。

掌握安全技術(shù)的人才還面臨黑產(chǎn)巨額收益的誘惑,。天融信的信息安全教育專家李躍忠說,，黑客通過非法倒賣個(gè)人信息,、倒賣游戲賬號(hào)、刷流量,、制作網(wǎng)絡(luò)病毒等,，幾個(gè)月甚至幾天就能獲得上百萬元的收入?！啊W(wǎng)絡(luò)黑產(chǎn)’一夜暴富的情形,，也不利于引導(dǎo)安全人才健康成長(zhǎng)?！?/p>

“過去,，由于網(wǎng)絡(luò)安全法律法規(guī)不完善，從事‘黑產(chǎn)’的違法成本極低,，使得很多人鋌而走險(xiǎn),。”安恒信息副總裁馮旭杭說,。直到現(xiàn)在,，安全圈子的人，有時(shí)還會(huì)收到黑產(chǎn)的報(bào)價(jià),，比如10萬元黑掉競(jìng)爭(zhēng)對(duì)手的網(wǎng)站,，30萬元攻擊一家游戲的私人服務(wù)器，50萬元告知一款常用服務(wù)器軟件的漏洞……

■待遇不高：增加“白帽子”黑客收入,，強(qiáng)化歸屬感榮譽(yù)感,，明確其合法地位

在培養(yǎng)“白帽子”黑客這一特殊群體方面，我國(guó)做出了一些有益探索,。2015年，教育部增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科,，要求加快網(wǎng)絡(luò)安全學(xué)科專業(yè)和院系建設(shè),，量身定制適應(yīng)網(wǎng)絡(luò)安全人才成長(zhǎng)的系統(tǒng)性培養(yǎng)方案。

安全企業(yè)也參與到人才培育中,。比如,，杭州安恒信息與高校合作進(jìn)行學(xué)科共建，開發(fā)具有實(shí)際教學(xué)意義的攻防實(shí)驗(yàn)室,，幫助高校提升教學(xué)水平,。方家弘所在的科恩實(shí)驗(yàn)室嘗試將前沿的安全研究成果推向大學(xué)課堂，目前已受邀在上海交大和浙江大學(xué)開設(shè)講座,，并將在復(fù)旦大學(xué)等高校推廣,。

于海波建議，國(guó)家可拿出部分資源扶持專業(yè)的安全企業(yè),，整合社會(huì)教育力量,，通過國(guó)家,、教育機(jī)構(gòu)、安全企業(yè)的努力,，加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng),。

要切實(shí)提高“白帽子”黑客的收入?！半m然‘白帽子’收入已有較大改善,，但和‘黑產(chǎn)’收益相比還有非常大的差距。要想辦法提高報(bào)酬,，激發(fā)他們擔(dān)當(dāng)網(wǎng)絡(luò)‘俠客’,、除暴安良的熱情?！崩钴S忠說,。

此外，還要強(qiáng)化“白帽子”黑客的歸屬感,、榮譽(yù)感,，明確他們合法的社會(huì)地位。

采訪中,，專家指出,，政府和安全圈應(yīng)更多組織一些安全會(huì)議、論壇,、競(jìng)賽等活動(dòng),，為網(wǎng)絡(luò)安全人才搭起與政府、企業(yè)溝通互動(dòng)的平臺(tái),。

今年6月1日,，我國(guó)互聯(lián)網(wǎng)領(lǐng)域的首部基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）正式實(shí)施。嚴(yán)寒冰表示,，《網(wǎng)絡(luò)安全法》從法律層面明確了網(wǎng)絡(luò)安全從業(yè)人員應(yīng)該承擔(dān)的責(zé)任和義務(wù),。“包括哪些事情可以做,、哪些事情不能做以及做到什么程度可受法律保護(hù),。它在為打擊網(wǎng)絡(luò)違法行為提供明確法律依據(jù)的同時(shí)，也為網(wǎng)絡(luò)安全從業(yè)人員提供了合法的社會(huì)地位,?！?/p>

法律專家表示，《網(wǎng)絡(luò)安全法》為網(wǎng)絡(luò)安全人員行為邊界做出了規(guī)范,。比如規(guī)定任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò),、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng),?！鞍酌弊印眰円欢ㄒ⒁膺吔?，堅(jiān)守法律底線。

馮旭杭認(rèn)為,，讓“白帽子”黑客們遠(yuǎn)離黑產(chǎn),，還有必要調(diào)整現(xiàn)有的評(píng)價(jià)體系?！氨热?，職稱評(píng)定能加強(qiáng)安全從業(yè)者的責(zé)任心和榮譽(yù)感，但很多安全人才是實(shí)戰(zhàn)型的,，學(xué)歷并不高,，按傳統(tǒng)方式評(píng)定，連資格都沒有,?！彼ㄗh將網(wǎng)絡(luò)安全人才的評(píng)定資格下放到企業(yè)，由企業(yè)的信譽(yù)做背書,，參考同行評(píng)議制度,，讓業(yè)內(nèi)同行來評(píng)價(jià)?！斑@個(gè)圈子很小,，你有幾斤幾兩，大家都清楚,?！?/p>