國內外“黑客”扎堆北京世界級安全會議聚焦網絡安全

作者：姜乐

2018-09-07

本報特約記者姜樂

2018年9月4日，一年一度的ISC互聯網安全大會(簡稱ISC，Internet Security Conference)於北京召開，再度迎來大量互聯網安全行業領袖和從業者，一時間北京的國家會議中心被網友稱為全球“黑客”密度最大的場所。記者走進這一充滿神秘感又和百姓生活息息相關的網絡安全殿堂，感受技術大咖的思想火花，也近距離接觸這一被外界廣泛關注的人羣。

頂級“黑客”為何齊聚中國？

在為期三天的會期內，來自中、美、俄、法、德、以色列、比利時和歐盟等20多個國家和地區的近300位安全專家與國內外近4萬安全從業者參與30餘場峯會論壇，其中包括原美國網絡司令部作戰主任威廉姆斯將軍(Brett Williams)、以色列8200部隊原開源情報分析主管津曼(Roy Zinman)，前俄羅斯聯邦政府通信與信息聯邦總署署長、俄羅斯聯邦國家安全會議前第一副秘書謝爾斯圖克(Vladislav Sherstyuk)。

ISC大會在中央網信辦、工業和信息化部、公安部、國家密碼管理局的指導下，由中國互聯網協會、中國網絡空間安全協會、中國密碼學會、中國友誼促進會、360互聯網安全中心共同主辦，據悉已成為亞太地區規格最高、規模最大、影響力最為深遠的安全盛會。

據ISC大會秘書長韓笑介紹，ISC與其稱之為“黑客大會”，更準確的定位是一個世界級安全對話平台。

“在國際上，ISC的影響力僅次於美國RSA信息安全大會、Blackhat&DefCon黑客大會”，360集團首席安全官譚曉生對《環球時報》表示。他同時表示，ISC之所以有如此“國際大牌範”，不僅在於網絡空間安全本身就帶有很強的國際特性，甚至有外交成份，而ISC大會話題全，有乾貨，還好玩的特點都成了它不可取代的特點。

“從網絡安全攻防技術，到防護技術網絡空間安全治理，再到網絡犯罪預防與打擊和網絡安全教育，整個產業鏈條都能找到自己的同行以及關注的話題，網絡安全國內外從理念到技術還是有差距的，國外嘉賓確實能分享有價值的信息;而且大會不僅僅是開會，還有展覽，有比賽，有黑客破解活動，有Party。網絡安全國際交流需要這樣一種多元化、自由的氛圍和場景，正好ISC具備這種特點，就變成了國際交流的一個‘道場’”，譚曉生説道。

對於網友“黑客扎堆”的評價，譚曉生表示大會上黑客密集的事實本身沒錯，但這與ISC的定位並不符合，他強調參與ISC大會的國內外嘉賓多數是做防禦、安全管理人員，傳統意義上的“黑客”攻擊並不是主流。

中國“黑客”什麼樣？

實際上，國內對於“黑客”的定義仍然頗有分歧，有人談“黑”色變，有人則以“黑”為榮。

360企業安全集團董事長齊向東在新書《漏洞》中表示，如果讓他回答什麼是黑客，答案很簡單，黑客就是追漏洞的人。譚曉生的解釋更為具體：“黑客”是“一種熱衷於研究系統和計算機(特別是網絡)內部運作的人”。

“黑客兵工廠所做的不是惡意破壞，他們是一羣縱橫於網絡上的技術人員，熱衷於科技探索、計算機科學研究。在黑客圈中，Hacker一詞無疑是帶有正面的意義，例如：system hacker熟悉操作的設計與維護;password hacker精於找出使用者的密碼，若是computer hacker則是通曉計算機，進入他人計算機操作系統的高手”，譚曉生對《環球時報》表示。

就此定義來看，此次ISC大會上不僅有受邀參會的system hacker，還有不少computer hacker，而後者普遍有着同一個身份——白帽黑客。

白帽黑客又稱白帽子，是指那些用自己的黑客技術來維護網絡關係公平正義的黑客，測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。

據齊向東介紹，國內的白帽黑客團體有多大目前無人知曉，但僅僅在國內最大的漏洞響應平台補天平台上註冊的白帽黑客就已經超過了4萬5千人，且年平均增長率保持在30%以上，發現的漏洞數量超過25萬個。

360互聯網安全中心統計的數據顯示，從年齡段來看，90後目前是白帽黑客的絕對主力，佔總量的75.2%，而00後正在快速崛起。2016 年，00後白帽佔比只有2.6%，而2017年，17 歲及以下的白帽已經佔到了9.1%。

Adrian到2018年才剛剛擺脱了“17歲及以下”的白帽分類，剛剛成年的他在白帽羣體中卻早已名聲在外。作為補天平台上排名第三的著名“小白帽”，Adrian對《環球時報》表示，“黑客”這個詞實際上被污名化了，令人只能想到黑帽黑客，但實際上黑客精神更多的是關於互助和騎士精神。

這種精神早在2008年就展示出來了。那時8歲的Adrian不小心在上網的時候下載了病毒導致家裏電腦出現了故障，因此而罰站的他從此下定決心要保護自己，也要保護更多和他一樣的孩子們不再被無辜牽連。

但是並不是所有人都像Adrian一樣從一開始就理解黑客精神，甚至有人着迷黑客技術的原因只是想要“QQ藍鑽”。好在大家殊途同歸，最終他們都走到一起為網絡安全查漏補缺，紮緊企業和社會防護籬笆的同時，自己也收穫了不少精神和物質獎勵。

不僅有各大廠商提供的禮物和旅行獎勵，年薪10萬這個在很多90後剛工作的人心中的高薪目標在這些同樣年輕的技術人才面前都是小菜一碟。物以稀為貴在中國黑客的世界裏體現得非常到位。由於網絡安全人才缺口已高達70萬人，高薪搶人的現象在“黑客圈”裏屢見不鮮。24歲的白帽黑客Sqler在畢業三年的時間裏換了兩份工作，目前年薪已過20萬。

總部位於美國舊金山的國際漏洞獎勵平台HackerOne發佈的 2018年度報告顯示，該平台上的頂級白帽黑客平均收入比所在國家的軟件工程師高2.7倍。在中國，這個比例達到了3.7倍。而中國信息安全評估中心的一項調查顯示，2017年中國網絡安全專業人員的平均年薪為12.2萬至17.8萬元，而IT人員的平均年薪為12萬元。

憑着一腔熱情或是被高薪吸引加入白帽子是容易的，難的是堅持。白帽子們對《環球時報》表示由於挖漏洞等測試工作不僅消耗時間和精力，還需要堅持學習更新自己的網絡安全知識，有些人在工作後便放棄了白帽工作，泯然於眾人。那些還在堅持的白帽黑客則表示做“黑客”更重要的是熱愛和興趣。

挖漏洞是很多白帽口中的興趣愛好，這個外人看起來很枯燥的排查工作在他們眼中則是充滿了刺激和榮譽感。修復了一個影響範圍很廣的漏洞的心情“就像是雕刻師的一件作品雕完了最後一筆”，Sqler如此描述道。

和銀屏上的“黑客”形象不同，中國的黑客們沒有戲劇性和引人注目的外表，有的甚至大腹便便滿臉胡碴，看起來不好親近。然而就像還長着青春痘的Adrian一樣，他們其實相處起來很容易，非常友好，帶着一股羅賓漢行俠仗義，要保護世界的夢想，年輕的他們也像其他人一樣聊起天來都是表情包，唯一能看出他們的不同的是他們在擼串喝酒的時候聊起工作和技術不會冷場，因為那是他們生活的一部分。

中國網絡安全往哪裏去？

最新的華住集團個人隱私泄露事件再度引發了人們對萬物互聯時代數據保護的擔憂。對此，齊向東表示，絕大多數企業的網絡安全防護水平其實和華住集團在同一水平，也可能更多的企業數據已經被竊取了，只是絕大多數數據並沒有在公開市場上叫賣。

安全行業裏有這樣一句話：世界上只有兩種人，一種人是已經被攻擊了，另外一種是自己被攻擊了還不知道的。

齊向東表示，傳統的網絡安全技術按用途來進行隔離，物理隔離或者邏輯隔離，但傳統IT網絡已經落後了，今天所有人都在互聯網化，因此需要更進一步的進行大數據化和智能化。同時，應用新技術，包括“互聯網+”、大數據、人工智能，越快的企業，安全的薄弱環節就會越多，暴露在互聯網上的東西也就會越多，就越容易攻擊成功。

“儘管有這麼大的風險，但是很多行業成為大數據、人工智能的先驅不會改變，因為遇到的風險是一部分，這個人工智能和大數據的應用，給他們帶來的好處可能是指數級的，安全應該在發展中”，齊向東説。

在Adrian和Sqler看來，我國的網絡安全形勢和中國黑客的生存環境在不斷優化，國家對網絡安全從立法到大學專業設置的支持已經讓越來越多的人意識到了網絡安全的重要性，也認識了白帽子這個特殊的羣體，正是他們每天努力挖漏洞爭取減少華住集團類似的數據泄露，從而減少老百姓被“精準分析”的詐騙電話。

“這次ISC主題是‘安全從0開始’，我認為現在的飛速發展讓一些人忘了這個行業的初心：做黑客是要有更強的網絡安全能力幫助社會國家發展，抵禦真正的黑帽黑客盜取個人信息，保護個人隱私，讓網絡安全、便捷”，Adrian説。