在大多數人的認知中，黑客總感覺像是幹壞事的。殊不知，其實在真正的黑客世界裡，有“白”也有“黑”。他們所做的內容相似：通過代碼尋找計算機與網路系統中的安全漏洞，其中擁有正義的一方被統稱為“白帽子”。隨著資訊社會的快速發展，網路安全越來越受到國家和大眾的重視，“白帽子”這一職業的隊伍也在不斷擴大，在人才市場更是供不應求。近日，勞動報記者採訪到業內知名“白帽黑客”，聽他講一講這一職業的真實狀況。

　　年輕化、缺人

　　人才缺口70萬，九成35歲以下

　　然而仍有一個現狀不可否認，目前我國網路安全人才嚴重不足。“我國網路安全專業人才的缺口高達70萬，並以每年1.5萬人的速度遞增。”中國網路空間安全協會競評演練工作委員會副主任委員李舟軍曾在某論壇上表示，高校學曆教育培養的網路安全人才只有寥寥幾萬人，遠遠跟不上網路安全需求。

　　背後的原因與人才培養模式滯後於網路發展速度相關。上述專家指出，傳統高校的學科課程，強調基礎理論，忽視培養學生在計算機上的應用能力建設，沒有相關專業設置，大多數“白帽子”黑客都是靠興趣“自學成才”。據《2018白帽黑客調查報告》顯示，90％以上的白帽子都不到35歲，18-24歲的白帽子佔比最多，高達45.3%，其次是25-34歲的白帽子，占37.3%。所有“白帽子”中，58％是自學成才，67%通過書本以及博客、社區等網上資源學習技巧。

　　好奇心、興趣與責任

　　“白帽子”養成三步曲

　　在黑客的圈子裡，“lake2”這一外號小有名氣，這是“白帽黑客”胡珀在他大學時起的網名。11年過去了，他從最基礎的T1助理工程師開始，一路成長，經曆了從Web2.0、移動互聯網，再到物聯網、智能設備的種種浪潮更迭，如今已是騰訊安全平台部總監。而他帶頭成立的騰訊BladeTeam已報告了穀歌、蘋果、Adobe等多個國際知名廠商70多個安全漏洞，得到互聯網行業、廠商以及國際安全社區的廣泛認可。

　　大部分人的職業選擇都充滿著偶然性。胡珀最初對於資訊安全的興趣來自於2002年報刊亭的那一瞥。

　　那時，胡珀才剛上高二，路過報刊亭時，一本叫作《黑客X檔案》的雜誌吸引了他的目光。期期不漏地堅持下來，他從一開始的基本看不懂，到能摸清大部分文章，差不多花了半年時間。就是那本薄薄的雜誌讓胡珀尋得網路資訊安全的大門蹤跡。大學後，他開始更加專心地研究安全技術，也從讀者變成了資深作者，後來轉戰博客寫技術文章，從此將“lake2”這一網名印在了黑客圈子裡。

　　對技術的熱愛和好奇心一始貫之，當問及這麼多年怎麼堅持下來的，他笑稱，唯有“興趣”二字。日常生活中的所有新東西，在他看來都是尚未解開的謎題，等待破解的難關。為了更專註於互聯網最新領域前沿研究，他成立了騰訊BladeTeam，帶領一群興趣相投的小夥伴一頭鑽進網路安全攻防裡。他們在世界頂級安全峰會上，首次向行業披露主流手機基帶的研究方法及工具；IOT時代到來，他們研究過如何遠程式控制制智能樓宇；發現並報告亞馬遜智能音箱echo的威脅漏洞；他們還是穀歌AI框架漏洞的首個貢獻者，並協助穀歌建立起漏洞響應機制。

　　能夠抵禦得住外來的誘惑，也是胡珀在“白帽子”從業規則中劃重點的特質之一。這一職業時時刻刻面臨著各種各樣的誘惑，最大也是最難的便是金錢誘惑，這是一個底線，也是“白帽子”必須堅持的操守。

　　金錢的誘惑有多厲害？他舉了個例子進行說明，“比如說同樣一個手機漏洞，國外黑客組織可以出到200萬美元的價格，而穀歌或者其他手機廠商的價格基本只有20萬美元，這中間相差整整10倍。在這樣的誘惑面前，‘白帽子’能夠抵抗住誘惑，堅持自己的職業底線顯得十分重要”。

　　修補、防守、保障

　　堪稱網路安全“輔警”

　　好奇心、興趣與責任背後，就是物聯網時代下全新的安全挑戰。

　　“過去系統被黑客攻擊，頂多是損失資料。到了支付時代，損失的可能是真金白銀。到了物聯網時代，很可能危害生命安全。如果黑客控制了物聯網設備，很可能會對我們的生命帶來威脅。”胡珀坦言。

　　他向記者舉了兩個例子。第一個案例是2015年的事。那時線上支付還沒有那麼先進，當時會用手機加上POS機的形式來刷卡。“比較有意思的是，我們對比較火的POS機進行了分析，直接把包拿下來，就可以把包解開把參數改掉，比如轉一元錢，可以改成轉一萬元錢，賬號也可以改掉。只要他在這個POS機上刷過卡，我就可以把所有的錢轉到自己的賬號上，這就是一個真金白銀的案例。”

　　第二個案例，胡珀的團隊發現可以通過手機APP控制烤箱的溫度和時間。“我們對烤箱進行分析，發現它存在兩個問題，一個是把密鑰直接寫在程序裡，對APP進行立項。傳輸是明文的，拿到密鑰就可以解開指令，用自己的指令控制它。還有一個邏輯問題，只要把傳輸控制溫度傳過去，就可以繞開溫度限制，使烤箱使用達到溫度極限。當然我們具體沒有進行測試，但烤箱如果空轉，溫度非常高，可能會導致機器的爆炸，這其實就是智能設備影響人身安全的案例。”

　　他把自己和從業者比作維護網路安全的“輔警”，在聊到“白帽子”的成長環境時，胡珀說：“這是一個技術高速發展的階段，我很慶幸自己處於這樣的大環境下，行業發展日漸成熟、日趨完善，也給‘白帽子’提供了更多的研究方向、角度和可能性。快速演變的大環境以及快速變革的技術，讓‘白帽子’的職業有著廣闊的空間進行探索、挖掘。”

　　他同時向記者介紹了騰訊TSRC平台漏洞獎勵計劃。騰訊TSRC作為全國首家企業自建的漏洞提交平台，通過獎勵反饋系統漏洞的安全研究人員，逐漸搭建出一個健康運轉、良性迴圈的生態系統，與“白帽子”們一同捍衛億萬網路用戶的安全。

　　有實力、高薪

　　“挖漏洞”走進光明地帶

　　確實，這是“白帽子”人才輩出的時代。勞動報記者了解到，曾經，即便是“白帽黑客”，也帶著一層曖昧和隱晦的色彩，為了避免“白帽黑客”踩到雷區，2016年11月全國人民代表大會常務委員會頒布了《網路安全法》，於2017年6月1日開始施行。

　　《網路安全法》的頒布徹底扭轉了中國網路安全市場無法可依的窘境，把“挖漏洞”從灰色地帶放到光明地帶。

　　這讓“白帽子”這一職業擁有了更加廣闊的舞台，並湧現出一批領先國際同行的人才。在今年初，穀歌、微軟、蘋果等巨頭公布的2017年漏洞致謝榜中，騰訊、360、百度和長亭等中國白帽黑客團隊組成“中國撒金黑客團”，這四隊中國白帽黑客發現了霸佔了幾大巨頭致謝榜超30%的漏洞。足以見得中國“白帽子”強勁的實力。

　　除此之外，這一職業的平均薪資也是位於前列。中國資訊安全評估中心（ITSEC）的一項調查顯示，2017年中國網路安全專業人員的平均年薪為12.2萬至17.8萬元，而IT人員的平均年薪為12萬元。ITSEC的調查還表明，中國金融機構對網路安全專業人員提供薪酬時最為慷慨，其中80％的網路安全人員年收入超過20萬元，31.8％年收入超過30萬元。（勞動報記者 陳寧）