或許，這裡有你的故事：一個普通白帽的安全從業路

02-08

作者 / 廖仲陽

我們聯繫到施澤寰的時候,他正在瘋狂的出差和加班——見到我們，他說：「我很樂意抽出時間和你們講講我的故事，其實，就是一個普通八零後的安全從業故事」。

我不是一個安於現狀的人——我1989年出生在廣州，從事信息安全行業的四年時間裡換了三家公司，從內網公司，到傳統安全公司，後來再到外企。

除了繁忙的正式工作外，我還給自己找了幾份兼職,為私有SRC進行漏洞挖掘、滲透測試、編譯安全類的海外資訊為媒體供稿。

而我與計算機的故事，要從高中講起。

計算機課上的《流星·蝴蝶·劍》

我最早接觸計算機是在高中時期，當時有一款名為流星蝴蝶劍的小說改編遊戲在同齡孩子中十分流行。

學校上計算機課的時候，老師的授課內容以Office、多媒體等計算機基礎應用為主，這類基本的軟體操作，我很早之前就已經掌握，大量的課堂練習時間讓我昏昏欲睡。

班上不少男同學也有類似的煩悶，於是，我和幾個同學一合計，索性就用U盤將流星蝴蝶劍拷貝到學校機房的電腦里，如果老師使用教學模式控制電腦，我就在控制與沒控制之間的幾秒鐘反應時間裡重啟計算機。

重啟界面剛一亮起，我就快速切到任務管理器，關閉教師端的控制系統。由於當時的機房大，使用人數少，所以如果只是少了幾台計算機被控制，老師並不容易發現。

有了一次成功課上遊戲的經歷，之後幾乎一到計算機課，我班級的男生就會成群結隊的玩起流星蝴蝶劍。

突破限制，玩到遊戲的滿足，讓我對計算機產生了濃厚的興趣，和很多計算機愛好者一樣，我由遊戲開始了對編程、破解知識的自我探索。（如德國教育學者跟蹤實驗千次得出的結論：最好的教育是將學習設計成遊戲。）

因為興趣使然，所以我在高考的時候，毫不猶豫的選擇了信息工程專業，接受了四年系統的本科學習。

畢業後從事安全行業遇到的尷尬

2012年，我從廣東工業大學畢業，在校招的時候，我拿到了幾家開發公司的offer，就像當初上計算機課一樣，幾個月零碎的實習生活，讓我感到無比煩悶，我不希望將自己局限於本科課程內的開發領域，而想要學到更多新鮮的東西。

我找到了一家專註於內網的信息安全公司，通過面試，我成為了該公司的技術顧問（公司對外的職稱）——你別看名頭聽起來響噹噹，實際來說，我還只是信息工程專業畢業不久的新人，對安全的專業知識理解並不十分透徹，也缺乏實戰經驗。

果然，剛進公司沒多久，就碰釘子了——公司派給我的活兒正好是我非常不熟悉的銀行內網安全部署工作，而且只有我一個人做技術支撐。相對其他行業，銀行的人員、資產、內網架構比較複雜。

銀行負責人在向我諮詢安全問題時，發現自己一頭霧水，總是被客戶問倒，記得那時候，經常會有種無力的感覺。

有一天，銀行的項目負責人拿出內部的網路結構拓撲圖給我看，項目負責人說：「你能不能從安全形度幫我們分析一下漏洞，做個風險評估。」

「讓我先看一下。」

大概過了半個多小時，我發現，我能做到的只是基於內網知識給客戶一些建議，至於客戶有關安全漏洞、風險評估的問題，我基本像丈二長的和尚，完全摸不著頭腦。

最後，我支支吾吾的打了個擦邊球，回答了一些自己熟悉的內網安全問題。

客戶對我的回答有些不滿意，接著問：「除了內網之外，關於外網、數據安全、應用安全方面，需要我給你什麼內部資料，你才能評估？」

我腦子裡一片空白，像是天上砸下來了一個晴天霹靂，這是以我當時的經驗，根本解不出的難題。客戶問的我幾乎不知道，甚至，除了內網之外，關於安全，我懂得可能還不如客戶多。

那個項目後面比較尷尬，雖然最後額定的內容完成了，但客戶覺得我沒有給他提供額外的增值服務，他覺得我是做安全的，分析評估居然都不懂。

因安全經驗不足而走的彎路

後來，隨著我的客戶圈逐漸擴大，我的短板也愈發凸顯，比如我長期摸著內網，對外網不太熟悉，對傳統的安全分析評估也拿捏不準，一個完整的安全項目自己根本承擔不了。

為彌補外網經驗和安全分析評估經驗上的缺陷，我下決心要給自己換一份工作——到更加全面的平台去學習更多的東西，提升自己的價值。

幾經尋找，一家傳統安全公司向我拋出了橄欖枝。我在這家公司開始正式接觸到了安全風險評估、滲透測試等傳統安全項目。

傳統安全公司里不少安全界的前輩成為了我的引路人，除了讀書自學外，我常常向前輩請教項目疑難。別以為有了老師就萬事大吉了，我遇到的麻煩還真不少。

記得第一次是和移動市級運營商的合作。我要為移動市級運營商做一個風險評估，但在項目進行過程中，對方少給了我兩個月資產清單，我在核對時也沒有發現——這導致許多新增資產（包括新的安全設備、新上線的安全系統）都沒有被記錄在案。

連續工作了十五天，我拿出評估報告給客戶看時，客戶驚訝的問：「資產怎麼少了這麼多？」大家一交流才發現原來有兩個月的清單沒有錄入，這一失誤，讓我不得不再連續挑燈夜戰了五個工作日。

第二次是我去做一個滲透的項目，客戶是一個大的政府部門，客戶想要針對自身安全防護體系做一次初步評估，同時也驗證我當時所在公司的安全支撐能力，要求我方對其web站點進行滲透測試，，我被選做公司的前鋒，率先去試探一下客戶的安全防護能力，只要我能夠攻破對方的系統就算完成任務。

結果幾天過去，我嘗試了多種方法都攻不進去，一開始我以為是客戶在防火牆上重新調整策略，過濾和屏蔽了此前發起的測試數據包，使得任何信息都沒收集到，後面也沒什麼思路，只能通過商務同事，詢問了下客戶，是否有調整防火牆策略？

記得從商務同事手機傳來了客戶略帶嘲諷的聲音「我們沒有調整防火牆的相應策略呢，你們的工程師滲透能力也比較弱吧，還沒有拿到許可權？」

後來商務同事索性利用個人關係聯繫了一個資深黑客——那人一下子就拿攻入了政府部門web站點，拿到了管理員許可權，幫助公司證明了實力，爭取到了項目。

這個事兒對我打擊很大，它純粹是實力差距，但是有一次激發我不斷完善自身技術，了解新的思路。

第三次，我獲得到了一家客戶的授權，被允許對其內部資產進行安全掃描，但我在掃描前，忘卻了與客戶確認，是否可以進行掃描，誰能料想到，我的滲透測試竟把客戶比較重要的三台伺服器掃掛了。客戶對我冒失的掃描行為感到十分不滿。

事後我才得知，其實那時並不是因為掃描引起的，只是剛好客戶的伺服器在更新升級，本就不是很穩定，一掃描就宕機了。

經歷了這三次較為尷尬的事件，我得出了經驗，一方面提升實力是硬道理，另一方面也要學著多和客戶溝通——做安全，就是安全感，不能隨心所欲，開始的時候差一點點，到最後就不知道差到哪裡去了。

舒適了就換個戰場

一年之後，我在傳統安全企業解決了大部分的自身缺點，又在多次打擊中鍛煉了自身的意志力，通過自學和請教前輩我不斷完善自己的知識體系——無論從何種角度，當時的我可以算的上是一個合格的安全新兵了。

於是——我又不安分了，我決定再次挑戰一下自己——去外資安全企業。如果一直在老環境呆下去，我會偏於安逸，那時候進取的念頭就容易被消磨，可要是換個環境，雖然開始會覺得不適應，但回過頭去看會很有價值。

進到外資安全企業，我遇到的第一個困難就是語言關，雖然大部分與計算機相關的英語辭彙在大學裡我都有學習，但放到句子中我就是看不懂——但沒辦法，為了獲得更多項目機會，我必須重新開始學習英文，一點點地閱讀外國的技術類文章。

我覺得做安全思路很重要，不同的人會有不同的經歷，特別是滲透，哪種思路效率更高、更有效，外國的技術文章會給我很多啟發。

長期閱讀外語技術類文章的習慣，讓我獲得了額外的兼職機會，我現在會利用業餘時間翻譯外國的專業技術文獻、新聞，為一些媒體供稿。

總的來說，我始終覺得自己不是一個樂於安逸的人，愛折騰，如果自己感覺舒適了，就換個戰場。

十年愛情長跑：我在未婚妻身上學到很多

為什麼我要用一種不舒服的狀態去提升呢？——是因為我的未婚妻，她給我動力，促使我去主動學習的更多。

我的未婚妻是醫藥科研博士，她對待科研工作的嚴謹性，對事情的規劃能力，對實際操作的把控能力，讓我覺得特別牛。

雖然未婚妻有時候可能會比較急，比較直接，但她特別真實，說的話絕不會跟事實有一點兒偏頗——任何一件事，她會很早去規劃，要花多少時間，投入多少精力，最後大概能夠做到幾分，她事前都能預計得到。

我的話……在這方面就有待提高。我會在一開始比較樂觀的估計自己，一到真實操作的時候就會出現差距，影響到最後的結果。

比如，我原本打算2016年底結束這場從高中開始的愛情長跑，跟未婚妻結婚，但到眼前了，發現房子問題、流程問題、習俗問題還沒有搞定，所以導致整個婚期會往後推延。歸咎原因，其實就是我沒有好好做計劃。

一個普通的安全從業者

這四年來，施澤寰一直在不斷的改變和成長。他在國內知名報刊發表了很多篇論文，包括《信息安全態勢分析在信息安全管理中的應用》、《計算機網路信息安全管理體系的構建探析》等。

在工作期間，施澤寰嘗試擴展研究方向及技術手段，他參與的項目已經涵蓋了中國移動、廣發銀行、農業銀行等企事業單位，還有廣州市地方醫院、地方政府等公共單位。

施澤寰有優點，也有不足，他說自己還在前行的路上——「2017年，我有兩個夢想，一個是和未婚妻完婚；還有一個就是繼續挑戰自我，學習到新東西，在滲透評估、安全諮詢領域成為『永不舒適』的專家。」

這是一個普通的信息安全從業者的故事，他的故事可能不夠迴環曲折，但在安全行業，的確有更多的人是像施澤寰一樣默默無聞，低頭做事，但他們每個人，都為安全行業做出了自己的貢獻。

人物問答：

問：生活上是一個什麼樣的人？

答：「比較喜歡運動，像籃球、乒乓球、羽毛球，小時候還得過獎。但工作後，時間一點一點的被擠壓了，運動越來越少了。

除此之外，看書也比較多，比較喜歡看偵探、懸疑、盜墓類的小說，我挺念舊的，一個東西會看很多遍，比如柯南，還有像盜墓筆記（看了四遍）——因為小時候就喜歡歷史，爸爸書房裡的後漢書、史記、資治通鑒都翻了一遍，對中國古代文化很著迷。

娛樂方面看的比較少，但《愛情公寓》看了又七八遍，我笑點比較低，主要用來調整心態，吃飯的時候看一兩集，看的過程是釋放壓力的過程。」

問：周末時間怎麼利用，會跟朋友出去聚會嗎？

答：「可能聚會去的比較少，我挺宅的，周末也是看書幹活，學習一些技術，會覺得比較充實。而且感覺網路和現實不一樣，網路的感覺會更加自由一點——那種感覺是如魚得水的暢快，但在現實中沒那麼大的自由和滿足感，除了運動、看書、陪家人，生活就比較平凡，如果要做一些熱血沸騰的事情我會去網路。」

問：你覺得你是一個追求極致的人嗎？

答：「算是，比如我要做一項東西，我會很用心的去做，不會因為累就草草的了結，哪怕是兼職寫文章、翻譯，我也不會因為累就放下筆，我會選擇再堅持一下，再檢查一下，最後自己感覺問心無愧了才發稿。」

問：你對安全圈有什麼自己的看法？

答：「需要更多創新性的東西，現在很多內容是參考國外的，國內特別需要敢於自己創新的想法，並付諸實踐。

還包括一些產品，很多企業用一些開源的代碼，打包修改，造出個產品轉手就出去賣，對於企業來說這樣可以創造利潤，但對大環境發展不是很有利。」

問：你理想中的安全圈是什麼樣的？

答：「有一個很開方性的探討的平台，有更多的實驗室（不止是大公司、小公司也可以有創新型的研發實驗室）——可以擺脫商務手段，大家在技術上公平競爭，國內整體上可以和外國的黑客、白帽子可以進行對抗，在競爭中，提升我國安全領域的整體實力。」

問：快到新年了，能不能拜託你給安在君送一句寄語？

答：「在我看來，安在是國內第一家關注人和事的安全媒體，你們關注到了這個圈子的真實生活，讓人們擺脫了對黑客的刻板印象——希望安在可以在新的一年裡，將更加鮮活的黑客生活展現在大家面前，讓人們能夠了解和理解這個群體。」

因為知乎運營規範的要求，安在不再在知乎專欄中談論互聯網黒產相關話題內容，正常完整的內容只在安在微信公眾號AnZer_SH中發布，有喜歡的這部分相關內容的同學請加微信公眾號ID：AnZer_SH。