互联网让世界变成了“地球村”,网络空间成为与陆地、海洋、天空、太空同等重要的人类活动新领域。同时,网络安全问题也相伴而生,网络安全事关国家安全和社会稳定,事关企业、用户的切身利益。如今,就有这样一类职业,维护着网络世界的安全,为每一条信息,用技术扎牢信息安全之篱。今年5月,中国就业培训技术指导中心发布《关于对拟发布新职业信息进行公示的公告》,拟新增10个新职业,其中就包括信息安全测试员。
好奇心、兴趣与责任
“白帽子”养成三部曲
在大多数人的认知中,黑客总感觉像是干坏事的。殊不知,其实在真正的黑客世界里,有“白”也有“黑”。他们所做的内容相似:通过代码寻找计算机与网络系统中的安全漏洞,其中拥有正义的一方被统称为“白帽子”。
在黑客的圈子里,“lake2”这一外号小有名气,这是“白帽黑客”胡珀在他大学时起的网名。11年过去了,他从最基础的T1助理工程师开始,一路成长,经历了从Web2.0、移动互联网,再到物联网、智能设备的种种浪潮更迭,如今已是腾讯安全平台部总监。而他带头成立的腾讯BladeTeam已报告了谷歌、苹果、Adobe等多个国际知名厂商70多个安全漏洞,得到互联网行业、厂商以及国际安全社区的广泛认可。
大部分人的职业选择都充满着偶然性。胡珀最初对于信息安全的兴趣来自于2002年报刊亭的那一瞥。
那时,胡珀才刚上高二,路过报刊亭时,一本叫作《黑客X档案》的杂志吸引了他的目光。就是那本薄薄的杂志让胡珀寻得网络信息安全的大门踪迹。大学后,他开始更加专心地研究安全技术,也从读者变成了资深作者,后来转战博客写技术文章,从此将“lake2”这一网名印在了黑客圈子里。
对技术的热爱和好奇心一始贯之,当问及这么多年怎么坚持下来的,他笑称,唯有“兴趣”二字。为了更专注于互联网最新领域前沿研究,他成立了腾讯BladeTeam,带领一群兴趣相投的小伙伴一头钻进网络安全攻防里。他们在世界顶级安全峰会上,首次向行业披露主流手机基带的研究方法及工具;IOT时代到来,他们研究过如何远程控制智能楼宇;发现并报告亚马逊智能音箱echo的威胁漏洞;他们还是谷歌AI框架漏洞的首个贡献者,并协助谷歌建立起漏洞响应机制。
能够抵御得住外来的诱惑,也是胡珀在“白帽子”从业守则中划重点的特质之一。这一职业时时刻刻面临着各种各样的诱惑,最大也是最难的便是金钱诱惑,这是一个底线,也是“白帽子”必须坚持的操守。
金钱的诱惑有多厉害?他举了个例子进行说明,“比如说同样一个手机漏洞,国外黑客组织可以出到200万美元的价格,而谷歌或者其他手机厂商的价格基本只有20万美元,这中间相差整整10倍。在这样的诱惑面前,‘白帽子’能够抵抗住诱惑,坚持自己的职业底线显得十分重要”。
修补、防守、保障
堪称网络安全“辅警”
好奇心、兴趣与责任背后,是物联网时代下全新的安全挑战。
“过去系统被黑客攻击,顶多是损失资料。到了支付时代,损失的可能是真金白银。到了物联网时代,很可能危害生命安全。如果黑客控制了物联网设备,很可能会对我们的生命带来威胁。”胡珀坦言。
他向记者举了两个例子。第一个案例是2015年的事。那时在线支付还没有那么先进,当时会用手机加上POS机的形式来刷卡。“比较有意思的是,我们对比较火的POS机进行了分析,直接把包拿下来,就可以把包解开把参数改掉,比如转一元钱,可以改成转一万元钱,账号也可以改掉。只要他在这个POS机上刷过卡,我就可以把所有的钱转到自己的账号上,这就是一个真金白银的案例。”
第二个案例,胡珀的团队发现可以通过手机APP控制烤箱的温度和时间。“我们对烤箱进行分析,发现它存在两个问题,一个是把密钥直接写在程序里,对APP进行立项。传输是明文的,拿到密钥就可以解开指令,用自己的指令控制它。还有一个逻辑问题,只要把传输控制温度传过去,就可以绕开温度限制,使烤箱使用达到温度极限。当然我们具体没有进行测试,但烤箱如果空转,温度非常高,可能会导致机器的爆炸,这其实就是智能设备影响人身安全的案例。”
他把自己和从业者比作维护网络安全的“辅警”,在聊到“白帽子”的成长环境时,胡珀说:“这是一个技术高速发展的阶段,我很庆幸自己处于这样的大环境下,行业发展日渐成熟、日趋完善,也给‘白帽子’提供了更多的研究方向、角度和可能性。快速演变的大环境以及快速变革的技术,让‘白帽子’的职业有着广阔的空间进行探索、挖掘。”
他同时向记者介绍了腾讯TSRC平台漏洞奖励计划。腾讯TSRC作为全国首家企业自建的漏洞提交平台,通过奖励反馈系统漏洞的安全研究人员,逐渐搭建出一个健康运转、良性循环的生态系统,与“白帽子”们一同捍卫亿万网络用户的安全。
市场化认证
对人才培养更有利
如今“信息安全测试员”成为一种官方认证的新职业,这让“白帽子”拥有了更加广阔的舞台,并涌现出一批领先国际同行的人才。
不过,从人才需求来看,360网络安全大学联合国内职业发展平台猎聘发布的《2019网络安全行业人才发展研究报告》显示,高端网络安全人才需求整体保持高速增长态势,但市场供给相对疲软,人才紧缺指数偏高。其中“网络与信息安全工程师”的人才紧缺指数达到3.1。报告显示,普通行业(非网络安全行业)对安全运维、项目经理和安全专家类型的职位需求量最大,分别占总需求量的27.83%、9.24%和9.21%;而网络安全行业对安全运维、安全专家和渗透测试类型的职位需求量最大,分别占总需求量的22.79%、11.88%和10.75%。
记者查询了解到,目前,我国并没有相关职业要求,从事网络信息安全的人员,必须持有相关职业证书,但如今,相关协会、信息产业部、领军企业(华为等)都已推出较有行业影响力的培训、认证项目,从业人员通过培训、考证的形式可获得社会认可进入人才市场就业。
“现在国家有取消评价类职业技能认证的趋势,将行业人才的培训、认证、评价交给权威、专业的企业或智能部门、机构来负责,这样一来专业性更强、二来含金量及对人才的针对性培养更有利。”上海嘉定区人社局相关负责人表示。
