在國(guó)家網(wǎng)絡(luò)安全宣傳周首屆網(wǎng)絡(luò)安全技能大賽上�,來自全國(guó)10所高校的10支頂尖戰(zhàn)隊(duì)一決高下,30名“白帽子”黑客捉對(duì)廝殺�����。
資料圖片
網(wǎng)絡(luò)安全隱患無(wú)處不在。近來��,勒索病毒“永恒之藍(lán)”和“必加”在全球大規(guī)模爆發(fā)����,再次敲響了警鐘。有攻就有防��,面對(duì)網(wǎng)絡(luò)世界的安全隱患�����,面對(duì)黑客攻擊及其布下的陷阱����,“白帽子”黑客是我們的第一道屏障��。
目前網(wǎng)絡(luò)安全人才不足�����,既有供不應(yīng)求的原因�,也和人才培養(yǎng)模式相關(guān)。“白帽子”黑客們的工作究竟有哪些神秘之處����?如何讓他們更好地發(fā)揮專長(zhǎng)�,守護(hù)網(wǎng)絡(luò)使用安全���?本報(bào)記者帶您走近這群“網(wǎng)絡(luò)游俠”��。
——編 者
■任務(wù)不輕:應(yīng)對(duì)病毒攻擊����、發(fā)現(xiàn)安全隱患����、保障重大活動(dòng)
不久前,一個(gè)名為“暗云”的木馬強(qiáng)勢(shì)來襲����,數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)被感染。“白帽子”黑客董志強(qiáng)隨即和團(tuán)隊(duì)進(jìn)行監(jiān)測(cè)��,對(duì)攻擊進(jìn)行了溯源分析����,查清了“暗云”的攻擊途徑和方式。這一發(fā)現(xiàn)能幫助安全軟件有針對(duì)性地查殺“暗云”,有效遏制它的傳播力和破壞力�����。
“白帽子”黑客是指網(wǎng)絡(luò)安全從業(yè)人員���,他們是網(wǎng)絡(luò)世界的衛(wèi)士���。與利用漏洞、制作木馬病毒去牟利的不法分子不同�����,“白帽子”們是為了讓網(wǎng)絡(luò)系統(tǒng)更加安全��。
方家弘也是一名“白帽子”黑客��,他是騰訊科恩實(shí)驗(yàn)室的骨干成員����,擅長(zhǎng)尋找網(wǎng)絡(luò)世界無(wú)處不在的漏洞��。“攻擊���,是為了防御”�����,他通過嘗試攻擊�,找到埋藏很深的漏洞,“逮”住它們��,并上報(bào)給相關(guān)企業(yè)或組織�,以便及時(shí)修補(bǔ),保障安全���。
“從手機(jī)���、路由器,到機(jī)器人�,再到汽車,任何智能設(shè)備本身或使用環(huán)節(jié)中都可能存在隱患����,任何一個(gè)漏洞被黑客利用,都可能造成隱私泄露甚至財(cái)產(chǎn)損失���。”方家弘說���。
2015年初�����,方家弘和團(tuán)隊(duì)完成了一件很有成就感的工作���。“我們發(fā)現(xiàn)Linux內(nèi)核中一個(gè)漏洞,利用它可以獲得Root安卓手機(jī)的最高權(quán)限��。比如�����,黑客可在你手機(jī)中安裝任意軟件��,而你可能完全不知情�����。”方家弘和團(tuán)隊(duì)上報(bào)漏洞后�,因?yàn)槲kU(xiǎn)等級(jí)高��,1天之內(nèi)便得到響應(yīng)�����,Linux的作者林納斯·托瓦茲立即進(jìn)行了修復(fù)。
杭州安恒安全研究院安全專家王欣也是挖掘漏洞的高手�。在G20杭州峰會(huì)和歷屆世界互聯(lián)網(wǎng)大會(huì)等重大活動(dòng)網(wǎng)絡(luò)安全保障工作中,他面對(duì)的是一個(gè)個(gè)沒有硝煙的戰(zhàn)場(chǎng)�����。
“重大活動(dòng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施容易成為攻擊點(diǎn)���,從一些攻擊手法分析�����,它們是有策略���、有組織地攻擊,不像是普通黑客練手�。”王欣說。G20杭州峰會(huì)期間��,安恒作為峰會(huì)的網(wǎng)絡(luò)安保技術(shù)支撐單位�����,承擔(dān)了包括G20官網(wǎng)、注冊(cè)網(wǎng)�、重要工業(yè)控制系統(tǒng)等多個(gè)網(wǎng)絡(luò)安保重點(diǎn)單位的安全保障任務(wù)。從接到任務(wù)到系統(tǒng)安全上線���,僅有短短4天�,王欣和團(tuán)隊(duì)需要為酒店在線預(yù)訂系統(tǒng)搭建起一堵安全防護(hù)墻����。那段時(shí)間,他每天工作至凌晨?jī)扇c(diǎn)���,在臨時(shí)辦公室�����,團(tuán)隊(duì)24小時(shí)輪流值守���,確保了安全事件零發(fā)生。
■行規(guī)不少:靠本事掙錢��,不許觸犯法律
中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示��,去年我國(guó)網(wǎng)民僅僅因垃圾信息�����、詐騙信息����、個(gè)人信息泄露等遭受的經(jīng)濟(jì)損失就高達(dá)915億元。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)營(yíng)部主任嚴(yán)寒冰認(rèn)為�,在IT產(chǎn)業(yè)軟硬件核心技術(shù)和代碼等自主研發(fā)能力不足、安全防護(hù)手段滯后����、地下黑客業(yè)務(wù)已形成產(chǎn)業(yè)鏈的背景下,我國(guó)網(wǎng)絡(luò)安全正面臨日益嚴(yán)峻的挑戰(zhàn)����。目前,“白帽子”黑客在保障網(wǎng)絡(luò)安全中的作用無(wú)可替代���。
比如����,他們不斷上報(bào)發(fā)現(xiàn)的漏洞�����,預(yù)警風(fēng)險(xiǎn),給網(wǎng)絡(luò)安全樹立了第一道屏障��。而隨著互聯(lián)網(wǎng)時(shí)代向物聯(lián)網(wǎng)時(shí)代過渡��,安全隱患更復(fù)雜����,“白帽子”黑客也需不斷“進(jìn)化”。
董志強(qiáng)的興趣從最初的傳統(tǒng)反病毒轉(zhuǎn)向云安全研究����,方家弘則從PC端轉(zhuǎn)向移動(dòng)端漏洞的研究����,王欣從Web安全轉(zhuǎn)向物聯(lián)網(wǎng)安全研究���,并開始關(guān)注工業(yè)自動(dòng)化控制安全領(lǐng)域風(fēng)險(xiǎn)。他們還要研究前沿技術(shù)�����,做好技術(shù)儲(chǔ)備����。
與一行行代碼打交道�����,在“0”和“1”的世界中尋找風(fēng)險(xiǎn)……從事這項(xiàng)工作,除興趣之外�,“白帽子”黑客通常還要有點(diǎn)天分——他們大多不是科班出身,而是“江湖派”�����,屬于怪才��、偏才����。
在網(wǎng)絡(luò)安全圈,董志強(qiáng)更響亮的名號(hào)是“Killer(殺手)”�����。他的專業(yè)是漢語(yǔ)言文學(xué)���,研究古代漢語(yǔ)和影視文學(xué)���。大學(xué)期間“邂逅”計(jì)算機(jī)后�,他開始自學(xué)逆向工程�����。讓董志強(qiáng)聲名鵲起的��,是他創(chuàng)建的“超級(jí)巡警”在2007年截殺“熊貓燒香”病毒時(shí)立下了赫赫戰(zhàn)功����,甚至因其迅速響應(yīng)和高效處理能力,招致非議��。而今����,他已成為云安全領(lǐng)域的“大咖”,在云網(wǎng)領(lǐng)域開展更多關(guān)于安全的研究�����。
王欣學(xué)應(yīng)用化學(xué)出身����,他說從事安全行業(yè),之前純粹是因?yàn)閻酆茫?dāng)參加完多次網(wǎng)絡(luò)安保任務(wù)后�,感受到的是這項(xiàng)工作的榮譽(yù)感和使命感。
不錄用有前科的人�,是“白帽子”圈的行規(guī)。他們有明確的是非觀:要靠自己的本事光明正大地賺錢�����,不許觸犯法律��。
■成長(zhǎng)不易:培養(yǎng)模式滯后�����,“黑產(chǎn)”利誘無(wú)處不在
“白帽子”黑客的作用�,以往并不受重視��,舍得投入的企業(yè)并不多�。直到近幾年安全事件頻發(fā),網(wǎng)絡(luò)安全人才的生存和成長(zhǎng)環(huán)境才逐漸改善����。不過,人才缺口依舊很大�����。
國(guó)家互聯(lián)網(wǎng)信息辦公室2015年公布的數(shù)據(jù)顯示,截至2014年底��,我國(guó)重要行業(yè)信息系統(tǒng)和信息基礎(chǔ)設(shè)施所需網(wǎng)絡(luò)安全人才缺口達(dá)70萬(wàn)人左右��,預(yù)計(jì)到2020年�����,需要各類網(wǎng)絡(luò)安全人才約140萬(wàn)人����。可見�,光靠高校培養(yǎng)遠(yuǎn)遠(yuǎn)不能滿足需求。
“網(wǎng)絡(luò)安全的本質(zhì)���,是智慧的對(duì)抗����;網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)�����,歸根到底是人才的競(jìng)爭(zhēng)。”天融信總裁于海波說����,建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó),就要打造出一支強(qiáng)大的網(wǎng)絡(luò)安全人才隊(duì)伍�����。
網(wǎng)絡(luò)安全人才供不應(yīng)求�����,與人才培養(yǎng)模式滯后于網(wǎng)絡(luò)發(fā)展速度相關(guān)��。嚴(yán)寒冰說��,傳統(tǒng)高校的學(xué)科課程���,強(qiáng)調(diào)基礎(chǔ)理論,忽視培養(yǎng)學(xué)生在計(jì)算機(jī)上的應(yīng)用能力建設(shè)�����,沒有相關(guān)專業(yè)設(shè)置�,大多數(shù)“白帽子”黑客都是靠興趣“自學(xué)成才”�����。
“高校在專業(yè)設(shè)計(jì)上還存在與企業(yè)需求脫節(jié)的問題����,學(xué)校閉門造車��,學(xué)生缺乏實(shí)際操作經(jīng)驗(yàn)�����,難以扛起維護(hù)網(wǎng)絡(luò)安全的重任�����。”于海波說���。
社會(huì)對(duì)網(wǎng)絡(luò)安全的“后知后覺”���,也影響了早期一批安全人才的成長(zhǎng)。方家弘是上海交通大學(xué)信息安全專業(yè)的第一批畢業(yè)生����。他回憶�����,2006年�����,安全專業(yè)比較邊緣���,畢業(yè)后多數(shù)同學(xué)進(jìn)了金融行業(yè),同學(xué)中還留在安全行業(yè)的人已經(jīng)非常少了�����。
掌握安全技術(shù)的人才還面臨黑產(chǎn)巨額收益的誘惑���。天融信的信息安全教育專家李躍忠說,黑客通過非法倒賣個(gè)人信息����、倒賣游戲賬號(hào)、刷流量���、制作網(wǎng)絡(luò)病毒等�,幾個(gè)月甚至幾天就能獲得上百萬(wàn)元的收入。“‘網(wǎng)絡(luò)黑產(chǎn)’一夜暴富的情形�,也不利于引導(dǎo)安全人才健康成長(zhǎng)。”
“過去����,由于網(wǎng)絡(luò)安全法律法規(guī)不完善,從事‘黑產(chǎn)’的違法成本極低�����,使得很多人鋌而走險(xiǎn)�。”安恒信息副總裁馮旭杭說。直到現(xiàn)在�����,安全圈子的人�,有時(shí)還會(huì)收到黑產(chǎn)的報(bào)價(jià),比如10萬(wàn)元黑掉競(jìng)爭(zhēng)對(duì)手的網(wǎng)站����,30萬(wàn)元攻擊一家游戲的私人服務(wù)器,50萬(wàn)元告知一款常用服務(wù)器軟件的漏洞……
■待遇不高:增加“白帽子”黑客收入���,強(qiáng)化歸屬感榮譽(yù)感����,明確其合法地位
在培養(yǎng)“白帽子”黑客這一特殊群體方面,我國(guó)做出了一些有益探索�����。2015年���,教育部增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科���,要求加快網(wǎng)絡(luò)安全學(xué)科專業(yè)和院系建設(shè),量身定制適應(yīng)網(wǎng)絡(luò)安全人才成長(zhǎng)的系統(tǒng)性培養(yǎng)方案�����。
安全企業(yè)也參與到人才培育中���。比如����,杭州安恒信息與高校合作進(jìn)行學(xué)科共建�����,開發(fā)具有實(shí)際教學(xué)意義的攻防實(shí)驗(yàn)室����,幫助高校提升教學(xué)水平。方家弘所在的科恩實(shí)驗(yàn)室嘗試將前沿的安全研究成果推向大學(xué)課堂���,目前已受邀在上海交大和浙江大學(xué)開設(shè)講座�,并將在復(fù)旦大學(xué)等高校推廣���。
于海波建議����,國(guó)家可拿出部分資源扶持專業(yè)的安全企業(yè)����,整合社會(huì)教育力量,通過國(guó)家����、教育機(jī)構(gòu)、安全企業(yè)的努力�����,加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)。
要切實(shí)提高“白帽子”黑客的收入�。“雖然‘白帽子’收入已有較大改善,但和‘黑產(chǎn)’收益相比還有非常大的差距��。要想辦法提高報(bào)酬��,激發(fā)他們擔(dān)當(dāng)網(wǎng)絡(luò)‘俠客’����、除暴安良的熱情。”李躍忠說�����。
此外����,還要強(qiáng)化“白帽子”黑客的歸屬感、榮譽(yù)感�,明確他們合法的社會(huì)地位。
采訪中���,專家指出��,政府和安全圈應(yīng)更多組織一些安全會(huì)議�����、論壇�����、競(jìng)賽等活動(dòng)����,為網(wǎng)絡(luò)安全人才搭起與政府�����、企業(yè)溝通互動(dòng)的平臺(tái)����。
今年6月1日,我國(guó)互聯(lián)網(wǎng)領(lǐng)域的首部基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)正式實(shí)施�。嚴(yán)寒冰表示,《網(wǎng)絡(luò)安全法》從法律層面明確了網(wǎng)絡(luò)安全從業(yè)人員應(yīng)該承擔(dān)的責(zé)任和義務(wù)���。“包括哪些事情可以做��、哪些事情不能做以及做到什么程度可受法律保護(hù)�����。它在為打擊網(wǎng)絡(luò)違法行為提供明確法律依據(jù)的同時(shí)��,也為網(wǎng)絡(luò)安全從業(yè)人員提供了合法的社會(huì)地位�。”
法律專家表示,《網(wǎng)絡(luò)安全法》為網(wǎng)絡(luò)安全人員行為邊界做出了規(guī)范���。比如規(guī)定任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)��、干擾他人網(wǎng)絡(luò)正常功能�、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)����。“白帽子”們一定要注意邊界,堅(jiān)守法律底線����。
馮旭杭認(rèn)為,讓“白帽子”黑客們遠(yuǎn)離黑產(chǎn)����,還有必要調(diào)整現(xiàn)有的評(píng)價(jià)體系�。“比如�����,職稱評(píng)定能加強(qiáng)安全從業(yè)者的責(zé)任心和榮譽(yù)感����,但很多安全人才是實(shí)戰(zhàn)型的����,學(xué)歷并不高,按傳統(tǒng)方式評(píng)定����,連資格都沒有。”他建議將網(wǎng)絡(luò)安全人才的評(píng)定資格下放到企業(yè)�,由企業(yè)的信譽(yù)做背書,參考同行評(píng)議制度�,讓業(yè)內(nèi)同行來評(píng)價(jià)。“這個(gè)圈子很小��,你有幾斤幾兩����,大家都清楚��。”
(來源:人民日?qǐng)?bào)����,原標(biāo)題:自學(xué)網(wǎng)絡(luò)安全技術(shù)���,抵御高額黑產(chǎn)利誘����,你了解這些“白帽子”嗎��? 我們需要更多“網(wǎng)絡(luò)游俠”��,記者:喻思孌)
