姓名：天憶

身份：網絡安全研究員，國內知名CTF戰(zhàn)隊隊長

技能：主動出擊，探索信息前沿技術;精確防守，守護網絡安全底線

電視劇《親愛的，熱愛的》把信息安全競賽搬上熒屏，讓更多人對網絡安全這一領域產生了好奇。網絡安全的世界里有著一場場無聲的戰(zhàn)役，而網絡安全領域從業(yè)者的生活既有技術人員的嚴謹、專注，又有與“黑客”們爭鋒相對的緊張、刺激。

對幼時的我而言，常人眼里枯燥無味的代碼是我探索世界的鑰匙;對現在的我來說，精確的算法幫助我架構起網絡安全的防守底線。

用代碼探索世界

在我上小學前，中國互聯網還未實現民用普及，父親為我買了一臺價值不菲的“中華學習機”，讓我提前感受了信息化時代。那時的我還不知道什么是編程，只是按照參考手冊，在學習機上機械地敲入字母，最后解鎖了《超級馬里奧》游戲。

真正為我打開信息世界大門的，是我從父親書架上拿下的那本《Pascal語言》，從此我沉浸在代碼的樂趣中。通過編程，我可以控制計算機去做人力無法做到的事情，例如高速計算復雜的數據。比起單純地使用一些機器或者軟件，知道這些東西是如何被制作出來的，又是用什么原理在運行，顯然能帶給我更大的成就感。

編程幫我養(yǎng)成的思維和邏輯習慣更是讓我受益終生。每當我看到一個問題之后，我會習慣性地用一些數學或者編程上的思路去把這個問題拆解，然后預估它的解決步驟，一步一步思考解決的方式，最終攻克這個復雜的難題。

2004年，在初中的一堂微機課上，為了能讓自己的電腦逃脫老師的控制，享受自己的互聯網時間，我通過鍵盤調出了常見的“智能ABC”輸入法，將鎖屏的電腦成功獨立于系統(tǒng)之外。這個現在看來技術含量很低的“小技巧”，讓微機老師注意到了我在編程這方面的興趣與天賦，之后他推薦我去參加了信息學奧林匹克競賽。

現在回想起來，信息學奧賽不僅給我?guī)砹藰s譽，還將我對計算機的學習能力提升到了更高的層次：這個比賽不僅僅考驗你會不會編程，更考驗你會不會運用編程解決實際的問題。

通過參加比賽，我開始真正了解我所編寫的代碼，開始思索怎樣才能更高效地解決一個個實際問題。隨著對該領域的深入了解，高中課堂教授的基礎知識和我父親的編程書已經無法滿足我的需求，我開始大量接觸大學的高等數學和計算機方面課程，借此更深入地理解編程算法。高三時，憑借全國青少年信息學奧林匹克聯賽的全國一等獎，我被保送進入上海交通大學的計算機科學與技術專業(yè)，在大學四年和研究生學習生涯中，我嘗試探索更多的可能，鉆研自己感興趣的東西。

演練場上的“研究”

CTF（Capture The Flag）是一種流行的信息安全競賽形式，其英文名可直譯為“奪旗賽”。其大致流程是，參賽團隊通過攻防對抗、程序分析等形式，從主辦方給定的題目或環(huán)境中獲取一串字符串，從而奪得分數。

這項比賽幫助我在信息安全領域中迅速成長。彼時的我正在讀研二，剛轉入信息安全專業(yè)數月。在校內比賽中小試身手后，我加入了上海交通大學CTF戰(zhàn)隊——0ops戰(zhàn)隊，并在一年后成為隊長。研究生畢業(yè)后，我加入了騰訊安全科恩實驗室，代表騰訊參加各類CTF賽事，并成為了騰訊eee戰(zhàn)隊的隊長。

2018年，對于eee戰(zhàn)隊而言是不平凡的一年，在這一年我們參加了三大信息安全國家級賽事——“強網杯”“網鼎杯”和“護網杯”，并相繼斬獲冠軍。最令人記憶深刻的是“強網杯”的決賽現場：整整32個小時的比賽進程里，我們有31個小時都落后領先的隊伍2000分。包括我在內，所有隊員都頂著巨大的壓力。值得慶幸的是，所有人都沒有去想比賽之外的東西，我們只是把注意力放在題目本身上。最后，我們靠著解出最后一道關鍵賽題瘋狂得分，終于把分數翻了回來。

與我們平時熟悉的電競比賽不同，一場CTF比賽往往持續(xù)幾十個小時，這對參賽選手的體力有著嚴格的要求;除此之外，我們隊內并沒有特別固定的角色和分工，一般會根據比賽實況靈活安排。在團隊內，每個人都有擅長的方向，而命題人的題目是否貼合自己的方向很難預料，我們需要做的就是不斷錘煉自己專精的方向，使它涉及的范圍更廣，這樣題目撞上你擅長方向的概率也會更大。

CTF對網絡安全從業(yè)者成長的幫助是顯而易見的。一方面，它能幫助初學者了解網絡安全到底是做什么的，讓他們能夠真正去實操;另一方面，CTF里使用的技術既前沿又貼合實際，對于許多較高水平的從業(yè)者來說，CTF能夠促使他們去學習一些本來不太熟悉，或者是不太愿意學的領域的知識。

出于賽制的原因，人們不可避免地會將其視為與電子競技類似的游戲項目。但CTF并不是虛假的游戲，它更像是一場信息安全世界的虛擬軍事演習，你能說軍事演習對戰(zhàn)爭不重要嗎？

信息世界里的“呼神護衛(wèi)”

投身網絡安全行業(yè)多年，我現在增加了一個特殊的身份——網絡安全研究員，負責探索網絡安全的前沿技術。與其他行業(yè)學術性較強的“研究”不一樣，我們的工作更偏向實踐，應用性更強。拿我現在做得比較多的“漏洞挖掘”來舉例，我們會挖掘常用軟件的漏洞，并將其報告給廠商，讓廠商進行修補，從而提高軟件的安全性。

走下CTF的演練場，網絡安全行業(yè)的從業(yè)者面對的仍是一場激烈的競賽，這場競賽的雙方不再是出題方和參賽者，而是現實世界里的“黑帽”與“白帽”（從事信息安全研究，幫助企業(yè)修復漏洞的信息安全工作人員）。據我目前所知，所有的軟件都能被攻破，而攻破關鍵在于攻擊者愿意為此付出的代價。我們能做的是根據他們曾經的攻擊手法，抑或是被別人發(fā)現的攻擊痕跡，推測他們目前的技術情況，搶先一步，找出漏洞，及時修補，或是從設計根源上避免這些漏洞。

在這場交鋒中，我們需要有比攻擊者更高的技術，才能更快發(fā)現漏洞。一旦失敗，我們往往會付出巨大的代價，這些代價超乎我們的想象?，F如今，網絡安全早已不局限于互聯網行業(yè)，它已上升到國防安全的層面，其價值是難以衡量的。有個比較典型的案例：因為被攻擊者植入了病毒或者說是惡意代碼，伊朗納坦茲鈾濃縮工廠數千臺離心機被破壞。而之前引起軒然大波的“斯諾登事件”則暴露了美國的情報機構利用網絡安全的漏洞，或者說是他們預置的“后門”，監(jiān)控其他國家的政府、企業(yè)和人民，并搜集情報。

在我們的日常生活中，因為不注意保護隱私，個人信息泄露的事件比比皆是，這也愈加體現了網絡安全的重要性。隨著網絡滲透到社會生活的各個角落，網絡安全成為國家安全新的制高點。以國家為主體的網絡空間的斗爭與較量，直接關系到國家安全。在這種情況下，需要有更多的年輕人愿意投身這個領域。

（采寫：方 昕）