姓名：天憶

身份：網(wǎng)絡(luò)安全研究員，國(guó)內(nèi)知名CTF戰(zhàn)隊(duì)隊(duì)長(zhǎng)

技能：主動(dòng)出擊，探索信息前沿技術(shù);精確防守，守護(hù)網(wǎng)絡(luò)安全底線

電視劇《親愛的，熱愛的》把信息安全競(jìng)賽搬上熒屏，讓更多人對(duì)網(wǎng)絡(luò)安全這一領(lǐng)域產(chǎn)生了好奇。網(wǎng)絡(luò)安全的世界里有著一場(chǎng)場(chǎng)無(wú)聲的戰(zhàn)役，而網(wǎng)絡(luò)安全領(lǐng)域從業(yè)者的生活既有技術(shù)人員的嚴(yán)謹(jǐn)、專注，又有與“黑客”們爭(zhēng)鋒相對(duì)的緊張、刺激。

對(duì)幼時(shí)的我而言，常人眼里枯燥無(wú)味的代碼是我探索世界的鑰匙;對(duì)現(xiàn)在的我來(lái)說(shuō)，精確的算法幫助我架構(gòu)起網(wǎng)絡(luò)安全的防守底線。

用代碼探索世界

在我上小學(xué)前，中國(guó)互聯(lián)網(wǎng)還未實(shí)現(xiàn)民用普及，父親為我買了一臺(tái)價(jià)值不菲的“中華學(xué)習(xí)機(jī)”，讓我提前感受了信息化時(shí)代。那時(shí)的我還不知道什么是編程，只是按照參考手冊(cè)，在學(xué)習(xí)機(jī)上機(jī)械地敲入字母，最后解鎖了《超級(jí)馬里奧》游戲。

真正為我打開信息世界大門的，是我從父親書架上拿下的那本《Pascal語(yǔ)言》，從此我沉浸在代碼的樂(lè)趣中。通過(guò)編程，我可以控制計(jì)算機(jī)去做人力無(wú)法做到的事情，例如高速計(jì)算復(fù)雜的數(shù)據(jù)。比起單純地使用一些機(jī)器或者軟件，知道這些東西是如何被制作出來(lái)的，又是用什么原理在運(yùn)行，顯然能帶給我更大的成就感。

編程幫我養(yǎng)成的思維和邏輯習(xí)慣更是讓我受益終生。每當(dāng)我看到一個(gè)問(wèn)題之后，我會(huì)習(xí)慣性地用一些數(shù)學(xué)或者編程上的思路去把這個(gè)問(wèn)題拆解，然后預(yù)估它的解決步驟，一步一步思考解決的方式，最終攻克這個(gè)復(fù)雜的難題。

2004年，在初中的一堂微機(jī)課上，為了能讓自己的電腦逃脫老師的控制，享受自己的互聯(lián)網(wǎng)時(shí)間，我通過(guò)鍵盤調(diào)出了常見的“智能ABC”輸入法，將鎖屏的電腦成功獨(dú)立于系統(tǒng)之外。這個(gè)現(xiàn)在看來(lái)技術(shù)含量很低的“小技巧”，讓微機(jī)老師注意到了我在編程這方面的興趣與天賦，之后他推薦我去參加了信息學(xué)奧林匹克競(jìng)賽。

現(xiàn)在回想起來(lái)，信息學(xué)奧賽不僅給我?guī)?lái)了榮譽(yù)，還將我對(duì)計(jì)算機(jī)的學(xué)習(xí)能力提升到了更高的層次：這個(gè)比賽不僅僅考驗(yàn)?zāi)銜?huì)不會(huì)編程，更考驗(yàn)?zāi)銜?huì)不會(huì)運(yùn)用編程解決實(shí)際的問(wèn)題。

通過(guò)參加比賽，我開始真正了解我所編寫的代碼，開始思索怎樣才能更高效地解決一個(gè)個(gè)實(shí)際問(wèn)題。隨著對(duì)該領(lǐng)域的深入了解，高中課堂教授的基礎(chǔ)知識(shí)和我父親的編程書已經(jīng)無(wú)法滿足我的需求，我開始大量接觸大學(xué)的高等數(shù)學(xué)和計(jì)算機(jī)方面課程，借此更深入地理解編程算法。高三時(shí)，憑借全國(guó)青少年信息學(xué)奧林匹克聯(lián)賽的全國(guó)一等獎(jiǎng)，我被保送進(jìn)入上海交通大學(xué)的計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，在大學(xué)四年和研究生學(xué)習(xí)生涯中，我嘗試探索更多的可能，鉆研自己感興趣的東西。

演練場(chǎng)上的“研究”

CTF（Capture The Flag）是一種流行的信息安全競(jìng)賽形式，其英文名可直譯為“奪旗賽”。其大致流程是，參賽團(tuán)隊(duì)通過(guò)攻防對(duì)抗、程序分析等形式，從主辦方給定的題目或環(huán)境中獲取一串字符串，從而奪得分?jǐn)?shù)。

這項(xiàng)比賽幫助我在信息安全領(lǐng)域中迅速成長(zhǎng)。彼時(shí)的我正在讀研二，剛轉(zhuǎn)入信息安全專業(yè)數(shù)月。在校內(nèi)比賽中小試身手后，我加入了上海交通大學(xué)CTF戰(zhàn)隊(duì)——0ops戰(zhàn)隊(duì)，并在一年后成為隊(duì)長(zhǎng)。研究生畢業(yè)后，我加入了騰訊安全科恩實(shí)驗(yàn)室，代表騰訊參加各類CTF賽事，并成為了騰訊eee戰(zhàn)隊(duì)的隊(duì)長(zhǎng)。

2018年，對(duì)于eee戰(zhàn)隊(duì)而言是不平凡的一年，在這一年我們參加了三大信息安全國(guó)家級(jí)賽事——“強(qiáng)網(wǎng)杯”“網(wǎng)鼎杯”和“護(hù)網(wǎng)杯”，并相繼斬獲冠軍。最令人記憶深刻的是“強(qiáng)網(wǎng)杯”的決賽現(xiàn)場(chǎng)：整整32個(gè)小時(shí)的比賽進(jìn)程里，我們有31個(gè)小時(shí)都落后領(lǐng)先的隊(duì)伍2000分。包括我在內(nèi)，所有隊(duì)員都頂著巨大的壓力。值得慶幸的是，所有人都沒有去想比賽之外的東西，我們只是把注意力放在題目本身上。最后，我們靠著解出最后一道關(guān)鍵賽題瘋狂得分，終于把分?jǐn)?shù)翻了回來(lái)。

與我們平時(shí)熟悉的電競(jìng)比賽不同，一場(chǎng)CTF比賽往往持續(xù)幾十個(gè)小時(shí)，這對(duì)參賽選手的體力有著嚴(yán)格的要求;除此之外，我們隊(duì)內(nèi)并沒有特別固定的角色和分工，一般會(huì)根據(jù)比賽實(shí)況靈活安排。在團(tuán)隊(duì)內(nèi)，每個(gè)人都有擅長(zhǎng)的方向，而命題人的題目是否貼合自己的方向很難預(yù)料，我們需要做的就是不斷錘煉自己專精的方向，使它涉及的范圍更廣，這樣題目撞上你擅長(zhǎng)方向的概率也會(huì)更大。

CTF對(duì)網(wǎng)絡(luò)安全從業(yè)者成長(zhǎng)的幫助是顯而易見的。一方面，它能幫助初學(xué)者了解網(wǎng)絡(luò)安全到底是做什么的，讓他們能夠真正去實(shí)操;另一方面，CTF里使用的技術(shù)既前沿又貼合實(shí)際，對(duì)于許多較高水平的從業(yè)者來(lái)說(shuō)，CTF能夠促使他們?nèi)W(xué)習(xí)一些本來(lái)不太熟悉，或者是不太愿意學(xué)的領(lǐng)域的知識(shí)。

出于賽制的原因，人們不可避免地會(huì)將其視為與電子競(jìng)技類似的游戲項(xiàng)目。但CTF并不是虛假的游戲，它更像是一場(chǎng)信息安全世界的虛擬軍事演習(xí)，你能說(shuō)軍事演習(xí)對(duì)戰(zhàn)爭(zhēng)不重要嗎？

信息世界里的“呼神護(hù)衛(wèi)”

投身網(wǎng)絡(luò)安全行業(yè)多年，我現(xiàn)在增加了一個(gè)特殊的身份——網(wǎng)絡(luò)安全研究員，負(fù)責(zé)探索網(wǎng)絡(luò)安全的前沿技術(shù)。與其他行業(yè)學(xué)術(shù)性較強(qiáng)的“研究”不一樣，我們的工作更偏向?qū)嵺`，應(yīng)用性更強(qiáng)。拿我現(xiàn)在做得比較多的“漏洞挖掘”來(lái)舉例，我們會(huì)挖掘常用軟件的漏洞，并將其報(bào)告給廠商，讓廠商進(jìn)行修補(bǔ)，從而提高軟件的安全性。

走下CTF的演練場(chǎng)，網(wǎng)絡(luò)安全行業(yè)的從業(yè)者面對(duì)的仍是一場(chǎng)激烈的競(jìng)賽，這場(chǎng)競(jìng)賽的雙方不再是出題方和參賽者，而是現(xiàn)實(shí)世界里的“黑帽”與“白帽”（從事信息安全研究，幫助企業(yè)修復(fù)漏洞的信息安全工作人員）。據(jù)我目前所知，所有的軟件都能被攻破，而攻破關(guān)鍵在于攻擊者愿意為此付出的代價(jià)。我們能做的是根據(jù)他們?cè)?jīng)的攻擊手法，抑或是被別人發(fā)現(xiàn)的攻擊痕跡，推測(cè)他們目前的技術(shù)情況，搶先一步，找出漏洞，及時(shí)修補(bǔ)，或是從設(shè)計(jì)根源上避免這些漏洞。

在這場(chǎng)交鋒中，我們需要有比攻擊者更高的技術(shù)，才能更快發(fā)現(xiàn)漏洞。一旦失敗，我們往往會(huì)付出巨大的代價(jià)，這些代價(jià)超乎我們的想象?，F(xiàn)如今，網(wǎng)絡(luò)安全早已不局限于互聯(lián)網(wǎng)行業(yè)，它已上升到國(guó)防安全的層面，其價(jià)值是難以衡量的。有個(gè)比較典型的案例：因?yàn)楸还粽咧踩肓瞬《净蛘哒f(shuō)是惡意代碼，伊朗納坦茲鈾濃縮工廠數(shù)千臺(tái)離心機(jī)被破壞。而之前引起軒然大波的“斯諾登事件”則暴露了美國(guó)的情報(bào)機(jī)構(gòu)利用網(wǎng)絡(luò)安全的漏洞，或者說(shuō)是他們預(yù)置的“后門”，監(jiān)控其他國(guó)家的政府、企業(yè)和人民，并搜集情報(bào)。

在我們的日常生活中，因?yàn)椴蛔⒁獗Ｗo(hù)隱私，個(gè)人信息泄露的事件比比皆是，這也愈加體現(xiàn)了網(wǎng)絡(luò)安全的重要性。隨著網(wǎng)絡(luò)滲透到社會(huì)生活的各個(gè)角落，網(wǎng)絡(luò)安全成為國(guó)家安全新的制高點(diǎn)。以國(guó)家為主體的網(wǎng)絡(luò)空間的斗爭(zhēng)與較量，直接關(guān)系到國(guó)家安全。在這種情況下，需要有更多的年輕人愿意投身這個(gè)領(lǐng)域。

（采寫：方 昕）