IDF威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬(wàn)濤：全球監(jiān)控與泛互聯(lián)網(wǎng)時(shí)代的新安全人才觀

5月24日，首屆中國(guó)網(wǎng)絡(luò)安全提速論壇在中關(guān)村軟件園召開(kāi)。本活動(dòng)議題為“如何建立安全人才快速培養(yǎng)機(jī)制？”來(lái)自百度、CSDN、卡飯論壇、IDF威懾防御實(shí)驗(yàn)室等多位專家圍繞該議題展開(kāi)深入探討。

IDF威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬(wàn)濤

IDF威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬(wàn)濤在主題演講中分享了他對(duì)網(wǎng)絡(luò)安全的新認(rèn)識(shí)。與傳統(tǒng)狹義認(rèn)識(shí)不同，現(xiàn)在的網(wǎng)絡(luò)安全應(yīng)包含更多維度，應(yīng)覆蓋有業(yè)務(wù)思維的基礎(chǔ)安全、有態(tài)度的信息安全、有效益的社會(huì)安全、藝術(shù)和美的傳播安全、無(wú)邊界、有權(quán)責(zé)的數(shù)據(jù)安全、風(fēng)險(xiǎn)導(dǎo)向的金融安全。新安全觀對(duì)新安全人才提出了新的挑戰(zhàn)，新型安全人才應(yīng)具有廣闊的視野、平衡觀，具有藝術(shù)之美，也需要跨界。

他表示作為安全行業(yè)人才，要有一顆黑客的心，自由平等分享和互助的心，輔以新安全人才觀和寬廣的視野，共同打造未來(lái)美好的安全生態(tài)。

以下為演講實(shí)錄：

萬(wàn)濤：安全這個(gè)話題其實(shí)可能回溯到去年在長(zhǎng)沙大會(huì)上的一個(gè)沙龍，當(dāng)時(shí)跟全國(guó)高校的老師一起來(lái)PK安全人才的教育培養(yǎng)問(wèn)題，當(dāng)時(shí)這個(gè)問(wèn)題引起比較大的吐槽，用了這樣一句話，究竟今天高校的安全老師是在給學(xué)生解決就業(yè)問(wèn)題還是學(xué)生在給老師解決就業(yè)問(wèn)題。其實(shí)這個(gè)話題可能不僅是在安全教育上，在信息教育以及很多應(yīng)用學(xué)科上都出現(xiàn)了這樣的問(wèn)題。我覺(jué)得安全人才很難培養(yǎng)出來(lái)，因?yàn)榛A(chǔ)學(xué)科延續(xù)數(shù)學(xué)、語(yǔ)言、哲學(xué)這些都有很多年的歷史沉淀，信息安全體系是全新的，1998年我參加第一屆中國(guó)信息安全大會(huì)的時(shí)候，中國(guó)的安全公司只有5家是信息安全，大部分做加密的。

其實(shí)我在高校也講過(guò)很多課，我也能理解，在我們這種教育體系下很多課程，比如信息安全現(xiàn)在還是二級(jí)學(xué)科，可能很快有機(jī)會(huì)成為一級(jí)學(xué)科，但是無(wú)論它是一級(jí)還是二級(jí)，它的體系課件是死的。比如說(shuō)像政治、外語(yǔ)等這些課程，學(xué)分很高，課時(shí)占的很長(zhǎng)。我記得在很多高校就問(wèn)信息安全專業(yè)的學(xué)生，你們有多少人是因?yàn)橄矚g信息安全而選擇這個(gè)專業(yè)的，100個(gè)人可能只有幾個(gè)人會(huì)舉手。所以今天你會(huì)看到，過(guò)十幾年或者多年沉淀的，很少會(huì)有科班的，當(dāng)然也有。下面我就跟大家分享一下關(guān)于安全人才觀及安全觀的看法。

泛互聯(lián)網(wǎng)時(shí)代，傳統(tǒng)安全邊界被快速淹沒(méi)

今天是一個(gè)泛互聯(lián)網(wǎng)化的時(shí)代，對(duì)于安全需求有著不同需求。剛才我還在微博上跟小米吐槽，小米安全中心發(fā)了微博，說(shuō)是漏洞懸賞，最低的是200塊錢，高危漏洞給2000塊錢，對(duì)比360的4萬(wàn)2，我就吐槽，我說(shuō)2000塊錢傻瓜才給你呢。今天的環(huán)境真的變了，安全的傳統(tǒng)邊界已經(jīng)被淹沒(méi)掉了，像卡飯論壇這些傳播方式已經(jīng)變了，很多傳統(tǒng)安全的人對(duì)安全的影響是不在意的，這也是傳統(tǒng)安全以往做不起體量的原因，因?yàn)橛脩敉顿Y安全但是不如投資別的來(lái)的實(shí)際。

互聯(lián)網(wǎng)本身的變化，包括社交媒體，現(xiàn)在我們?cè)谖⑿爬锩孢€在聊，像Facebook、Twitter有很多攻擊行為。老美對(duì)中國(guó)國(guó)情的理解跟《反恐24小時(shí)里面》，我們經(jīng)常看到美劇里面反映中國(guó)的，好歹用個(gè)普通話說(shuō)的好點(diǎn)的人，經(jīng)常里面的普通話我們都聽(tīng)不懂，都不知道找的什么人。所以那里面很多層面上反映的問(wèn)題是大家對(duì)傳播性、專業(yè)性的認(rèn)識(shí)不純的問(wèn)題，包括今天各種各樣的數(shù)據(jù)庫(kù)，種種都是為今天的泛安全化創(chuàng)造了客觀的土壤和條件，包括做安全的、安全運(yùn)維的人都不能去理解的。

下一個(gè)是關(guān)于媒體的，現(xiàn)在媒體的邊界也在稀釋，不再是傳統(tǒng)說(shuō)的報(bào)紙，比如我后面一張幻燈片是關(guān)于斯諾登的，大家都知道去年6月份的時(shí)候斯諾登到香港直接受到兩家媒體的采訪，一家是英國(guó)衛(wèi)報(bào)，還有一家是南華早報(bào)，2012年年底的時(shí)候南華早報(bào)整個(gè)郵箱都被破獲了。我們結(jié)合剛剛前面講的，在今天的發(fā)言權(quán)下從移動(dòng)互聯(lián)網(wǎng)到今天的感知，包括對(duì)Twitter的攻擊，還有斯諾登事件影射后面會(huì)看到今天的傳播源、數(shù)據(jù)源已經(jīng)離散化了。在這種情況下，整個(gè)安全的范疇才會(huì)去熱炒APT，APT其實(shí)講白了就是不擇手段或者精心構(gòu)建攻擊。今天看到一個(gè)采訪，談了谷歌以前遭受的攻擊事件，也可以看到這個(gè)發(fā)起點(diǎn)也是通過(guò)社交攻擊進(jìn)行的，是通過(guò)一個(gè)漏洞使谷歌的一個(gè)員工中招，包括一個(gè)中國(guó)員工。

在這樣一個(gè)過(guò)程里，在這樣一個(gè)全球監(jiān)控大的環(huán)境背景之下，這是美國(guó)NSA，通過(guò)他的停車廠的規(guī)模可以判斷他的人員整個(gè)投入規(guī)模，你要有機(jī)會(huì)將來(lái)可以參觀NSA的數(shù)據(jù)機(jī)房，在德州數(shù)據(jù)機(jī)房會(huì)看到整體的規(guī)模，他每天處理的數(shù)據(jù)流量可能會(huì)比很多互聯(lián)網(wǎng)公司都大。

在這種泛監(jiān)化的情況下，無(wú)論從反思還是從整個(gè)管理來(lái)講，所以我后來(lái)一直有觀察，其實(shí)不止中國(guó)的黑客，印度、俄羅斯、中東，每個(gè)后面都有懂相應(yīng)國(guó)家語(yǔ)言的情報(bào)分析員，有人會(huì)采集數(shù)據(jù)、有人會(huì)分析數(shù)據(jù)，你會(huì)看到在今天這種安全體系下，包括整個(gè)各個(gè)國(guó)家所面臨的其實(shí)是一樣的，都是處于脆弱的安全人才狀態(tài)。如果那個(gè)東西是真的只能說(shuō)明我們的攻擊水平很差，說(shuō)明我們這個(gè)水平跟你不在一個(gè)層次上，比如說(shuō)振蕩波、火焰病毒我們知道肯定是國(guó)家隊(duì)的行為，但是我真的是拿不出證據(jù)來(lái)說(shuō)把老美的某個(gè)人找出來(lái)誰(shuí)干的，我沒(méi)有這樣的能力。

云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)迅速流行，而網(wǎng)絡(luò)安全重視程度卻不夠

你可以假象一下，我們今天互聯(lián)網(wǎng)還在快速的發(fā)展，包括可穿戴設(shè)備，包括互聯(lián)網(wǎng)、車聯(lián)網(wǎng)這些都很熱，這些都比我們安全更賺錢、都比安全更吸引人。安全人才的出路在哪里，這些里面有多少在意安全的？

比如我現(xiàn)在在家里面做家庭改造，我去年已經(jīng)建了電站、包括業(yè)余電站、微型電話，包括帶WiFi的電路控制，其實(shí)所有這些穿戴設(shè)備拿來(lái)晚，這些穿戴設(shè)備真的只能做體驗(yàn)用的，要把很多度量放進(jìn)去今天很多穿戴設(shè)備漏洞百出。比如某一個(gè)廠家，他帶WiFi的插座賣的還不錯(cuò)，在京東上我看賣的量還行，但是他那個(gè)上面有一個(gè)APT，是可以被繞過(guò)去的，就意味著如果我要入侵他，可以遠(yuǎn)程關(guān)掉你家里的電腦，相當(dāng)你用了那個(gè)插座，那邊是連WiFi的，這邊APT能上網(wǎng)就能搖動(dòng)那個(gè)WiFi插座，那里面大概有3千多用戶，管理后臺(tái)是超簡(jiǎn)單，就是一個(gè)內(nèi)部用的，因?yàn)樗隙ú皇墙o你用的，但是完全可以拿下，拿下以后我可以對(duì)三千戶的家庭操作他們家的電網(wǎng)，所以我現(xiàn)在都把這種設(shè)備用在家庭非主流上面，可能主要是一些路由器或者輔助的電器上，不會(huì)說(shuō)把主要電路接進(jìn)去。

像這樣的情況如果發(fā)展這么快，再加上大數(shù)據(jù)，如果結(jié)合APT，通過(guò)他的WIFI，如果我對(duì)這個(gè)用戶進(jìn)行定位，就會(huì)精確知道我萬(wàn)濤住在哪兒，對(duì)我家定點(diǎn)進(jìn)行對(duì)一個(gè)個(gè)人數(shù)據(jù)的攻擊，這樣在你認(rèn)為可靠的家庭里一樣是不安全的，而且有可能由于一旦這些設(shè)備上來(lái)了有可能帶來(lái)不是信息安全那么簡(jiǎn)單了，比如連你的門禁，電器。我們?nèi)ツ昴M過(guò)對(duì)電器進(jìn)行攻擊，今年做了一個(gè)實(shí)驗(yàn)，某一個(gè)產(chǎn)品核可以讓他輸出白屏。這種情況，如果說(shuō)我們的安全人才還是局限在過(guò)去的傳統(tǒng)安全，比如我們強(qiáng)調(diào)責(zé)任、專注、堅(jiān)韌、價(jià)值，其實(shí)有很多安全交流會(huì)，但是我們過(guò)去安全人才通常是作為ABC，安全人才里面還是照這樣的模式，工程類的、系統(tǒng)安全類的、管理類的，是這樣來(lái)分的。好像在他不懂這個(gè)業(yè)務(wù)的基礎(chǔ)上就可以培養(yǎng)出安全人才來(lái)，所謂這種職業(yè)安全教育出來(lái)的學(xué)生可用性不強(qiáng)，除非他們當(dāng)中有自我學(xué)習(xí)能力比較強(qiáng)的，就像剛才前面說(shuō)的很多是靠自學(xué)的。

所以在傳統(tǒng)安全人才觀里面，雖然我們出了一些人才，也涌現(xiàn)了很多的安全人才，中國(guó)是一個(gè)大國(guó)，有那么多愿意自愿去學(xué)的，但是也有很多人因?yàn)橥涎由觳簧先ニ圆呸D(zhuǎn)黑產(chǎn)上去了，我們帶出來(lái)的很多孩子轉(zhuǎn)到黑產(chǎn)上去了，但是黑產(chǎn)有時(shí)候不能一味的貶低，很多做黑產(chǎn)的業(yè)務(wù)思維特別好，而我們自己做業(yè)務(wù)設(shè)計(jì)讓，比如程序員或者產(chǎn)品經(jīng)理這塊能力是比較弱的，你沒(méi)有黑產(chǎn)就可以做這塊，他有這種業(yè)務(wù)邏輯、找漏洞能力，所以構(gòu)建或者注入的時(shí)候很多時(shí)候都是你想象不到的方式，你把漏洞給程序員，他知道可以補(bǔ)上。如果傳統(tǒng)的安全人才觀就像我們一味的講我們中國(guó)工夫一樣，我們有很多武俠片，大家都看過(guò)金庸小說(shuō)，我們都把我們自己的功夫想象的出神入化，其實(shí)大家都知道真正實(shí)戰(zhàn)的時(shí)候中國(guó)功夫是不管用的，到時(shí)候就像這種天山武林大會(huì)一樣，包括我們其實(shí)在歷史上，包括我軍現(xiàn)在撤了，以前黑龍江大刀隊(duì)，邊防，現(xiàn)在我們的體工大隊(duì)已經(jīng)撤了，那些做表演行，實(shí)戰(zhàn)不行，真正實(shí)戰(zhàn)的時(shí)候是在PK里面，一定是通過(guò)戰(zhàn)斗打，而不是按照套路來(lái)的。

據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，2012年我們的安全人才在需求上大概是60萬(wàn)，每年的安全人才60萬(wàn)的需求，但是社會(huì)上所謂生產(chǎn)的大概在4萬(wàn)左右，而且這個(gè)還不一定說(shuō)都算合格的安全人才或者滿足需求的安全人才，所以看起來(lái)這個(gè)體量是有的。

新安全人才觀：視野、跨界、平衡觀、藝術(shù)之美

這是我去年在俄羅斯的黑客大會(huì)，藍(lán)蓮花去年沒(méi)有打入俄羅斯的這個(gè)，在這個(gè)比賽里面是得第二，是荷蘭的一個(gè)黑馬殺出來(lái)的，俄羅斯隊(duì)比較多，但是我會(huì)看到俄羅斯的年輕人，他們一邊喝著伏特加一邊去跟你打比賽的時(shí)候那種狀態(tài)，我覺(jué)得國(guó)內(nèi)還是比較拘謹(jǐn)。

臺(tái)灣這個(gè)黑抗對(duì)比較有經(jīng)驗(yàn)，他們差不多有十年的歷史，他們帶隊(duì)打黑抗，他們第一天就決定了優(yōu)勢(shì)，大陸團(tuán)隊(duì)里面有搞滲透的，這些可能不一定差，但是二進(jìn)制這塊比較弱，所以在實(shí)際配比的時(shí)候，這實(shí)際上就是一個(gè)實(shí)戰(zhàn)經(jīng)驗(yàn)，實(shí)戰(zhàn)經(jīng)驗(yàn)一旦上來(lái)以后可以迅速上一個(gè)臺(tái)面，但是再往上跟美國(guó)，在美國(guó)很多安全公司里面都有華人，有大量的安全人才是從大陸出去的。所以這樣的一種局面，我們什么時(shí)候能夠到這樣一種狀態(tài)，在俄羅斯的黑客大會(huì)上包括像開(kāi)鎖這些都可以現(xiàn)場(chǎng)學(xué)，現(xiàn)在可以開(kāi)四級(jí)鎖，開(kāi)不了五級(jí)鎖，現(xiàn)在中國(guó)的鎖還是管制，網(wǎng)絡(luò)上有視頻，家里用的鎖芯是什么樣的，工具也可以做。所以安全的外延有很多。但是很多由于我們一些競(jìng)技或者一些束縛跟我們的安全文化體量也有關(guān)系，除了教育。

在講新安全人才觀的關(guān)鍵詞前面我先會(huì)談幾點(diǎn)關(guān)于安全的認(rèn)識(shí)，我大概總結(jié)了六條：

第一，有業(yè)務(wù)思想的基礎(chǔ)安全。過(guò)去的安全是比較少談業(yè)務(wù)的，我們主要是談技術(shù)，從各個(gè)環(huán)節(jié)，防火墻、IDS、加密。以往看安全教程、課本，無(wú)論是高校的還是外面的，有幾個(gè)談業(yè)務(wù)的，沒(méi)有。但是今天安全如果不跟業(yè)務(wù)去結(jié)合，安全是沒(méi)有價(jià)值的，或者他的價(jià)值體量是不夠的。所以第一個(gè)是有業(yè)務(wù)思想的基礎(chǔ)安全，這個(gè)基礎(chǔ)安全里面必須有業(yè)務(wù)思維，這樣才有可能得到社會(huì)的認(rèn)可。

第二，有態(tài)度的信息安全。所謂有態(tài)度其實(shí)講是一個(gè)全責(zé)，安全關(guān)乎的是面，其實(shí)今天已經(jīng)是延伸了，過(guò)去說(shuō)網(wǎng)站被黑了怎么樣了，傳播那時(shí)候以前大家不要報(bào)就行了，一般也不好報(bào)，所以以往被黑客，包括政府網(wǎng)站黑那么多，不會(huì)報(bào)，因?yàn)槲覀兺ǔ６颊J(rèn)為丑事不能報(bào)。

第三，有效益的社會(huì)安全。今天的信息安全的確不僅僅是一個(gè)技術(shù)層面的，它是有社會(huì)影響面的，不管是小米，還是其他各種各樣的比如開(kāi)房這種數(shù)據(jù)，會(huì)產(chǎn)生社會(huì)影響，這個(gè)數(shù)據(jù)庫(kù)開(kāi)放出來(lái)，可能多少夫妻還有男女朋友關(guān)系就要受到影響了，這種數(shù)據(jù)很難去評(píng)估他的風(fēng)險(xiǎn)，所以你要注重他的社會(huì)效應(yīng)。

第四，藝術(shù)和美的傳播安全。什么叫藝術(shù)和美的傳播安全呢？今天在安全里面我覺(jué)得很多傳播還是洗腦式的，一種是站在廠商的角度，我這樣做就OK了，你把你的安全托付給我，這種我就稱為洗腦式的。打個(gè)不恰當(dāng)?shù)谋确剑斡疽粯樱?dāng)然說(shuō)我可以給你一個(gè)救生圈，你會(huì)游泳可以游的很開(kāi)心，不會(huì)游泳也可以，但是不是所有人都拿救生圈游泳，真正洪水的時(shí)候還能拿救生圈嗎？所以你還得要會(huì)，狗刨也要會(huì)點(diǎn)。

舉個(gè)例子，雖然說(shuō)小日本如何如何，但是有一點(diǎn)，他們做東西的精致和細(xì)致是你必須要敬佩的，比如像井蓋一樣的，我們經(jīng)常說(shuō)井蓋被撬了，但是小日本的井蓋上面都是精美的設(shè)計(jì)，像藝術(shù)品一樣。有一句話說(shuō)一個(gè)城市的下水道是一個(gè)城市的良心，我覺(jué)得安全也是這樣。一個(gè)程序員寫(xiě)的代碼，他在安全的體現(xiàn)就是程序員的良心，你的功能實(shí)現(xiàn)了但安全沒(méi)做好我認(rèn)為你良心有問(wèn)題，你是有心給用戶準(zhǔn)備留一個(gè)坑，大家都用的時(shí)候你就有責(zé)任在這兒承擔(dān)問(wèn)題。所以當(dāng)你追求代碼極致的時(shí)候，為一個(gè)菜單或者為某個(gè)調(diào)度的東西寫(xiě)很多，我會(huì)反反復(fù)復(fù)去寫(xiě)，就是為了他看起來(lái)酷一點(diǎn)，大家都是拿來(lái)主意。就像講開(kāi)源，雖然錘子給開(kāi)源捐了一百萬(wàn)，盡管開(kāi)源在炒作，因?yàn)轳R上就有人報(bào)錘子的漏洞。但是起碼可以看到這么多用開(kāi)源的，他對(duì)開(kāi)源的回饋是不夠的，心臟都出血了也沒(méi)有人誰(shuí)給他輸點(diǎn)血，諾基亞捐了幾百萬(wàn)。

第五，無(wú)邊界、有權(quán)責(zé)的數(shù)據(jù)安全。法律里面現(xiàn)在對(duì)于虛擬資產(chǎn)我認(rèn)為是有問(wèn)題的，信息資產(chǎn)不能是虛擬資產(chǎn)，已經(jīng)不是虛擬資產(chǎn)了，你過(guò)去說(shuō)Q幣被盜了屬于虛擬資產(chǎn)被盜了，但是今天的余額寶、支付寶還是虛擬資產(chǎn)嘛，一張照片如果讓你離婚什么的，能叫虛擬資產(chǎn)嗎。

第六，風(fēng)向?qū)虻慕鹑诎踩?/b>在國(guó)外講安全的時(shí)候有四個(gè)維度：

• 第一，事件導(dǎo)向，出了事我來(lái)擦屁股。
• 第二，技術(shù)導(dǎo)向，就是說(shuō)業(yè)界流程說(shuō)什么我就干什么，今天要防病毒我就防病毒、要防火墻我就防火墻。
• 第三，流程安全，很多標(biāo)準(zhǔn)一旦到了中國(guó)以后，為了過(guò)標(biāo)準(zhǔn)的時(shí)候最后很快成為濫大街，流程控制安全不一定是有效的，他可能形成習(xí)慣，我流程有了，但是沒(méi)有流程反復(fù)確認(rèn)的過(guò)程，這部分是我們不重視的。
• 最后一個(gè)安全角度是風(fēng)險(xiǎn)導(dǎo)向，安全是一個(gè)不斷降低風(fēng)險(xiǎn)的過(guò)程，最后是殘余的風(fēng)險(xiǎn)你可以接受是一個(gè)安全。

這里面有兩個(gè)，第一，不斷的降低風(fēng)險(xiǎn)，安全持續(xù)下降，所以需要持續(xù)改進(jìn)，殘余風(fēng)險(xiǎn)能不能接受，誰(shuí)來(lái)定義殘余風(fēng)險(xiǎn)。比如小米的庫(kù)拿來(lái)分析的時(shí)候，可能37%的用戶是可以匹配的，但是有人很有趣的分析小米的水平，從這里面反過(guò)來(lái)分析出小米的水平用戶有多少。所以有很多東西延展的話，這種殘余風(fēng)險(xiǎn)的定義，其實(shí)主要在于說(shuō)今天可能我們還是在一個(gè)相信自己的PR的能力，而不相信整個(gè)安全最后體量的時(shí)代，這主要是因?yàn)榉缮系木S權(quán)成本太高，然后你要擔(dān)責(zé)任這個(gè)相對(duì)來(lái)講太低，比如國(guó)外300萬(wàn)用戶被拖庫(kù)和平這樣的事件，可能職業(yè)律師就垮臺(tái)了，一個(gè)維權(quán)公司可能上千萬(wàn)美金就出來(lái)了，所以這樣一個(gè)漏洞2千塊錢就可以解決了。

最后談一下，所謂新安全人才觀。其實(shí)我覺(jué)得安全人才的確跟好像學(xué)功夫一樣，我們講學(xué)武本來(lái)是應(yīng)該修身養(yǎng)性，來(lái)防身的，不是讓你去砍人、殺人的，安全也是這樣，所以他怎么能夠出淤泥而不染，就像蓮花一樣，安全人才必須要經(jīng)歷的一個(gè)過(guò)程，你在這個(gè)過(guò)程里面必然要經(jīng)歷各種漏洞，當(dāng)一個(gè)安全漏洞才值2千塊錢的時(shí)候，小米的安全庫(kù)能賣多少，一個(gè)星級(jí)酒店的數(shù)據(jù)庫(kù)在市場(chǎng)上大概能賣50萬(wàn)―150萬(wàn)人民幣，誰(shuí)會(huì)為了2千塊錢去做。所以我剛剛講說(shuō)，如果我們對(duì)安全的價(jià)值估計(jì)不足的話，可能產(chǎn)生一種不好的現(xiàn)象。

談到新的安全人才觀的時(shí)候，今天下午還有一個(gè)論壇我們?cè)诹奶煳膶W(xué)和《三體》，大家都知道是部科幻。《三體》里面有一個(gè)著名的“面壁者計(jì)劃”，因?yàn)槿w是外星人要直面地球，他在地球里面找到同盟者，就是對(duì)地名文明失望的人，而且都是一些科學(xué)家，認(rèn)為地球人不可救，需要更高的文明。人類在那個(gè)時(shí)候還吵的不休，后來(lái)搞了“面壁者計(jì)劃”。《三體》里面可以做這樣的解讀，他可以記錄你的思想，可以監(jiān)視你的一舉一動(dòng)。但是三體人跟地球人不一樣，他不懂計(jì)謀，就是地球人的情感和計(jì)謀是不理解的，就好象說(shuō)美國(guó)人不理解我們一樣，美國(guó)的美軍里面表現(xiàn)中國(guó)人都跟二逼一樣最傻的形象。

為什么到最后不是一個(gè)技術(shù)的人而是一個(gè)哲學(xué)家做了這樣的事情，可以延伸到視野，包括有一些人才能夠成為國(guó)際性的人才，像TK這些，他的視野，他原來(lái)不是所謂的科班出身，鉆研這種視野可能對(duì)他是很大的幫助，跟他們交流什么問(wèn)題都能談。

第二，跨界。今天因?yàn)橹v安全是延伸了，你要玩溝通，要玩可穿戴設(shè)備，你沒(méi)搞過(guò)帶路搞什么所謂的信息安全，電路圖都看不懂，這只是一個(gè)比方，比如工業(yè)設(shè)計(jì)的流程，原來(lái)賣的都是網(wǎng)域媒體，電站、電路公司、通信協(xié)議都不一樣，所以要跨界，未來(lái)的延展是比較寬的，現(xiàn)在還比較窄。

這些跨界就會(huì)帶來(lái)支持，今天可能有人覺(jué)得，看到這么多大牛之后我可能要崛起了，可能要涌現(xiàn)出比如Web安全等領(lǐng)域，你玩微星，起碼在中國(guó)還沒(méi)見(jiàn)過(guò)微星黑客，黑微星的，微星很難黑嗎？我告訴你，不是很難。所以在這樣跨界下面，下面就是平衡。安全有時(shí)候跟踩鋼絲一樣是平衡的藝術(shù)，安全人才的平衡觀是很重要的，有很多安全可能十年磨一劍。

我前面講的藝術(shù)，有一本書(shū)就叫《安全之美》，當(dāng)然翻譯的不太好。你會(huì)看到真正當(dāng)你去理解安全，就好象我們要夸張一點(diǎn)，像《黑客帝國(guó)》，是把黑客的東西和哲學(xué)、故事演繹的很好，即使你不懂黑客，但是里面有一些場(chǎng)景是有一些界面去操作，你要懂的話看起來(lái)會(huì)更有味道，所以你要看到這里面演繹的時(shí)候就會(huì)看到安全之美，這樣的人才觀在這里面也是很重要的。

剛剛大家已經(jīng)吐槽了很多，環(huán)境、政策種種因素，其實(shí)是我們大家今天所看到的問(wèn)題，但是有一點(diǎn)，希望像百度這種還是支持好像CTF這種以賽代練這樣的場(chǎng)合，大家其實(shí)是需要渠道的，每一個(gè)領(lǐng)域都需要渠道把它打開(kāi)。其實(shí)像CTF這些方式，都是為了對(duì)安全有未來(lái)，又能鉆研，又有興趣去創(chuàng)造一個(gè)團(tuán)隊(duì)，打比賽功夫練了這么多不跟人打怎么行，肯定不爽的，如果有一個(gè)比賽給你打，打了比賽贏得了名次或者說(shuō)增長(zhǎng)了經(jīng)驗(yàn)得到了聲望，可能會(huì)找到更好的工作，他可以從事一個(gè)正經(jīng)工作，為什么要做黑產(chǎn)，我不認(rèn)為每個(gè)人都有天生做犯罪這樣的，就好象有很多黑可后來(lái)轉(zhuǎn)白了以后做顧問(wèn)，專門告訴你公司有哪些風(fēng)險(xiǎn)，有的就善于干這個(gè)，比如說(shuō)偷和入侵工作，也能找到事情，在軍隊(duì)，在其他的地方都能找到，所以一定要有比賽的這種環(huán)境。

當(dāng)然教育對(duì)抗我們正在嘗試這種突破，所以“請(qǐng)永遠(yuǎn)不要懷疑，一小撥有思想、不懈追求目標(biāo)的公民，可以改變世界。事實(shí)上，改變從來(lái)就是這樣發(fā)生的。”

所以在整個(gè)安全的過(guò)程里面有一句話，安全本來(lái)是需要未雨綢繆的，所以需要早一點(diǎn)風(fēng)雨同舟，因?yàn)榇蠹以谝粭l船上，我們需要更多的人才才能改變我們整體的生態(tài)，所以一顆黑客的心，自由平等分享和互助的心，加上新安全人才觀和寬廣視野，才能打造出未來(lái)好的安全整體生態(tài)。

生活不易，碼農(nóng)辛苦
如果您覺(jué)得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)