揭秘“白帽子”黑客

　　网络安全隐患无处不在。近来，勒索病毒“永恒之蓝”和“必加”在全球大规模爆发，再次敲响了警钟。有攻就有防，面对网络世界的安全隐患，面对黑客攻击及其布下的陷阱，“白帽子”黑客是我们的第一道屏障。

　　目前网络安全人才不足，既有供不应求的原因，也和人才培养模式相关。“白帽子”黑客们的工作究竟有哪些神秘之处？如何让他们更好地发挥专长，守护网络使用安全？本报记者带您走近这群“网络游侠”。

　　——编 者

■任务不轻：应对病毒攻击、发现安全隐患、保障重大活动

　　不久前，一个名为“暗云”的木马强势来袭，数百万台计算机被感染。“白帽子”黑客董志强随即和团队进行监测，对攻击进行了溯源分析，查清了“暗云”的攻击途径和方式。这一发现能帮助安全软件有针对性地查杀“暗云”，有效遏制它的传播力和破坏力。

　　“白帽子”黑客是指网络安全从业人员，他们是网络世界的卫士。与利用漏洞、制作木马病毒去牟利的不法分子不同，“白帽子”们是为了让网络系统更加安全。

　　方家弘也是一名“白帽子”黑客，他是腾讯科恩实验室的骨干成员，擅长寻找网络世界无处不在的漏洞。“攻击，是为了防御”，他通过尝试攻击，找到埋藏很深的漏洞，“逮”住它们，并上报给相关企业或组织，以便及时修补，保障安全。

　　“从手机、路由器，到机器人，再到汽车，任何智能设备本身或使用环节中都可能存在隐患，任何一个漏洞被黑客利用，都可能造成隐私泄露甚至财产损失。”方家弘说。

　　2015年初，方家弘和团队完成了一件很有成就感的工作。“我们发现Linux内核中一个漏洞，利用它可以获得Root安卓手机的最高权限。比如，黑客可在你手机中安装任意软件，而你可能完全不知情。”方家弘和团队上报漏洞后，因为危险等级高，1天之内便得到响应，Linux的作者林纳斯·托瓦兹立即进行了修复。

　　杭州安恒安全研究院安全专家王欣也是挖掘漏洞的高手。在G20杭州峰会和历届世界互联网大会等重大活动网络安全保障工作中，他面对的是一个个没有硝烟的战场。

　　“重大活动的网络基础设施容易成为攻击点，从一些攻击手法分析，它们是有策略、有组织地攻击，不像是普通黑客练手。”王欣说。G20杭州峰会期间，安恒作为峰会的网络安保技术支撑单位，承担了包括G20官网、注册网、重要工业控制系统等多个网络安保重点单位的安全保障任务。从接到任务到系统安全上线，仅有短短4天，王欣和团队需要为酒店在线预订系统搭建起一堵安全防护墙。那段时间，他每天工作至凌晨两三点，在临时办公室，团队24小时轮流值守，确保了安全事件零发生。

■行规不少：靠本事挣钱，不许触犯法律

　　中国互联网协会发布的《2016中国网民权益保护调查报告》显示，去年我国网民仅仅因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失就高达915亿元。

　　国家互联网应急中心运营部主任严寒冰认为，在IT产业软硬件核心技术和代码等自主研发能力不足、安全防护手段滞后、地下黑客业务已形成产业链的背景下，我国网络安全正面临日益严峻的挑战。目前，“白帽子”黑客在保障网络安全中的作用无可替代。

　　比如，他们不断上报发现的漏洞，预警风险，给网络安全树立了第一道屏障。而随着互联网时代向物联网时代过渡，安全隐患更复杂，“白帽子”黑客也需不断“进化”。

　　董志强的兴趣从最初的传统反病毒转向云安全研究，方家弘则从PC端转向移动端漏洞的研究，王欣从Web安全转向物联网安全研究，并开始关注工业自动化控制安全领域风险。他们还要研究前沿技术，做好技术储备。

　　与一行行代码打交道，在“0”和“1”的世界中寻找风险……从事这项工作，除兴趣之外，“白帽子”黑客通常还要有点天分——他们大多不是科班出身，而是“江湖派”，属于怪才、偏才。

　　在网络安全圈，董志强更响亮的名号是“Killer（杀手）”。他的专业是汉语言文学，研究古代汉语和影视文学。大学期间“邂逅”计算机后，他开始自学逆向工程。让董志强声名鹊起的，是他创建的“超级巡警”在2007年截杀“熊猫烧香”病毒时立下了赫赫战功，甚至因其迅速响应和高效处理能力，招致非议。而今，他已成为云安全领域的“大咖”，在云网领域开展更多关于安全的研究。

　　王欣学应用化学出身，他说从事安全行业，之前纯粹是因为爱好，当参加完多次网络安保任务后，感受到的是这项工作的荣誉感和使命感。

　　不录用有前科的人，是“白帽子”圈的行规。他们有明确的是非观：要靠自己的本事光明正大地赚钱，不许触犯法律。

■成长不易：培养模式滞后，“黑产”利诱无处不在

　　“白帽子”黑客的作用，以往并不受重视，舍得投入的企业并不多。直到近几年安全事件频发，网络安全人才的生存和成长环境才逐渐改善。不过，人才缺口依旧很大。

　　国家互联网信息办公室2015年公布的数据显示，截至2014年底，我国重要行业信息系统和信息基础设施所需网络安全人才缺口达70万人左右，预计到2020年，需要各类网络安全人才约140万人。可见，光靠高校培养远远不能满足需求。

　　“网络安全的本质，是智慧的对抗；网络空间的竞争，归根到底是人才的竞争。”天融信总裁于海波说，建设网络强国，就要打造出一支强大的网络安全人才队伍。

　　网络安全人才供不应求，与人才培养模式滞后于网络发展速度相关。严寒冰说，传统高校的学科课程，强调基础理论，忽视培养学生在计算机上的应用能力建设，没有相关专业设置，大多数“白帽子”黑客都是靠兴趣“自学成才”。

　　“高校在专业设计上还存在与企业需求脱节的问题，学校闭门造车，学生缺乏实际操作经验，难以扛起维护网络安全的重任。”于海波说。

　　社会对网络安全的“后知后觉”，也影响了早期一批安全人才的成长。方家弘是上海交通大学信息安全专业的第一批毕业生。他回忆，2006年，安全专业比较边缘，毕业后多数同学进了金融行业，同学中还留在安全行业的人已经非常少了。

　　掌握安全技术的人才还面临黑产巨额收益的诱惑。天融信的信息安全教育专家李跃忠说，黑客通过非法倒卖个人信息、倒卖游戏账号、刷流量、制作网络病毒等，几个月甚至几天就能获得上百万元的收入。“‘网络黑产’一夜暴富的情形，也不利于引导安全人才健康成长。”

　　“过去，由于网络安全法律法规不完善，从事‘黑产’的违法成本极低，使得很多人铤而走险。”安恒信息副总裁冯旭杭说。直到现在，安全圈子的人，有时还会收到黑产的报价，比如10万元黑掉竞争对手的网站，30万元攻击一家游戏的私人服务器，50万元告知一款常用服务器软件的漏洞……

　■待遇不高：增加“白帽子”黑客收入，强化归属感荣誉感，明确其合法地位

　　在培养“白帽子”黑客这一特殊群体方面，我国做出了一些有益探索。2015年，教育部增设“网络空间安全”一级学科，要求加快网络安全学科专业和院系建设，量身定制适应网络安全人才成长的系统性培养方案。

　　安全企业也参与到人才培育中。比如，杭州安恒信息与高校合作进行学科共建，开发具有实际教学意义的攻防实验室，帮助高校提升教学水平。方家弘所在的科恩实验室尝试将前沿的安全研究成果推向大学课堂，目前已受邀在上海交大和浙江大学开设讲座，并将在复旦大学等高校推广。

　　于海波建议，国家可拿出部分资源扶持专业的安全企业，整合社会教育力量，通过国家、教育机构、安全企业的努力，加强网络安全人才培养。

　　要切实提高“白帽子”黑客的收入。“虽然‘白帽子’收入已有较大改善，但和‘黑产’收益相比还有非常大的差距。要想办法提高报酬，激发他们担当网络‘侠客’、除暴安良的热情。”李跃忠说。

　　此外，还要强化“白帽子”黑客的归属感、荣誉感，明确他们合法的社会地位。

　　采访中，专家指出，政府和安全圈应更多组织一些安全会议、论坛、竞赛等活动，为网络安全人才搭起与政府、企业沟通互动的平台。

　　今年6月1日，我国互联网领域的首部基础性法律《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施。严寒冰表示，《网络安全法》从法律层面明确了网络安全从业人员应该承担的责任和义务。“包括哪些事情可以做、哪些事情不能做以及做到什么程度可受法律保护。它在为打击网络违法行为提供明确法律依据的同时，也为网络安全从业人员提供了合法的社会地位。”

　　法律专家表示，《网络安全法》为网络安全人员行为边界做出了规范。比如规定任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。“白帽子”们一定要注意边界，坚守法律底线。

　　冯旭杭认为，让“白帽子”黑客们远离黑产，还有必要调整现有的评价体系。“比如，职称评定能加强安全从业者的责任心和荣誉感，但很多安全人才是实战型的，学历并不高，按传统方式评定，连资格都没有。”他建议将网络安全人才的评定资格下放到企业，由企业的信誉做背书，参考同行评议制度，让业内同行来评价。“这个圈子很小，你有几斤几两，大家都清楚。”