在大多数人的认知中，黑客总感觉像是干坏事的。殊不知，其实在真正的黑客世界里，有“白”也有“黑”。他们所做的内容相似：通过代码寻找计算机与网络系统中的安全漏洞，其中拥有正义的一方被统称为“白帽子”。随着信息社会的快速发展，网络安全越来越受到国家和大众的重视，“白帽子”这一职业的队伍也在不断扩大，在人才市场更是供不应求。近日，劳动报记者采访到业内知名“白帽黑客”，听他讲一讲这一职业的真实状况。

　　年轻化、缺人

　　人才缺口70万，九成35岁以下

　　然而仍有一个现状不可否认，目前我国网络安全人才严重不足。“我国网络安全专业人才的缺口高达70万，并以每年1.5万人的速度递增。”中国网络空间安全协会竞评演练工作委员会副主任委员李舟军曾在某论坛上表示，高校学历教育培养的网络安全人才只有寥寥几万人，远远跟不上网络安全需求。

　　背后的原因与人才培养模式滞后于网络发展速度相关。上述专家指出，传统高校的学科课程，强调基础理论，忽视培养学生在计算机上的应用能力建设，没有相关专业设置，大多数“白帽子”黑客都是靠兴趣“自学成才”。据《2018白帽黑客调查报告》显示，90％以上的白帽子都不到35岁，18-24岁的白帽子占比最多，高达45.3%，其次是25-34岁的白帽子，占37.3%。所有“白帽子”中，58％是自学成才，67%通过书本以及博客、社区等网上资源学习技巧。

　　好奇心、兴趣与责任

　　“白帽子”养成三步曲

　　在黑客的圈子里，“lake2”这一外号小有名气，这是“白帽黑客”胡珀在他大学时起的网名。11年过去了，他从最基础的T1助理工程师开始，一路成长，经历了从Web2.0、移动互联网，再到物联网、智能设备的种种浪潮更迭，如今已是腾讯安全平台部总监。而他带头成立的腾讯BladeTeam已报告了谷歌、苹果、Adobe等多个国际知名厂商70多个安全漏洞，得到互联网行业、厂商以及国际安全社区的广泛认可。

　　大部分人的职业选择都充满着偶然性。胡珀最初对于信息安全的兴趣来自于2002年报刊亭的那一瞥。

　　那时，胡珀才刚上高二，路过报刊亭时，一本叫作《黑客X档案》的杂志吸引了他的目光。期期不漏地坚持下来，他从一开始的基本看不懂，到能摸清大部分文章，差不多花了半年时间。就是那本薄薄的杂志让胡珀寻得网络信息安全的大门踪迹。大学后，他开始更加专心地研究安全技术，也从读者变成了资深作者，后来转战博客写技术文章，从此将“lake2”这一网名印在了黑客圈子里。

　　对技术的热爱和好奇心一始贯之，当问及这么多年怎么坚持下来的，他笑称，唯有“兴趣”二字。日常生活中的所有新东西，在他看来都是尚未解开的谜题，等待破解的难关。为了更专注于互联网最新领域前沿研究，他成立了腾讯BladeTeam，带领一群兴趣相投的小伙伴一头钻进网络安全攻防里。他们在世界顶级安全峰会上，首次向行业披露主流手机基带的研究方法及工具；IOT时代到来，他们研究过如何远程控制智能楼宇；发现并报告亚马逊智能音箱echo的威胁漏洞；他们还是谷歌AI框架漏洞的首个贡献者，并协助谷歌建立起漏洞响应机制。

　　能够抵御得住外来的诱惑，也是胡珀在“白帽子”从业守则中划重点的特质之一。这一职业时时刻刻面临着各种各样的诱惑，最大也是最难的便是金钱诱惑，这是一个底线，也是“白帽子”必须坚持的操守。

　　金钱的诱惑有多厉害？他举了个例子进行说明，“比如说同样一个手机漏洞，国外黑客组织可以出到200万美元的价格，而谷歌或者其他手机厂商的价格基本只有20万美元，这中间相差整整10倍。在这样的诱惑面前，‘白帽子’能够抵抗住诱惑，坚持自己的职业底线显得十分重要”。

　　修补、防守、保障

　　堪称网络安全“辅警”

　　好奇心、兴趣与责任背后，就是物联网时代下全新的安全挑战。

　　“过去系统被黑客攻击，顶多是损失资料。到了支付时代，损失的可能是真金白银。到了物联网时代，很可能危害生命安全。如果黑客控制了物联网设备，很可能会对我们的生命带来威胁。”胡珀坦言。

　　他向记者举了两个例子。第一个案例是2015年的事。那时在线支付还没有那么先进，当时会用手机加上POS机的形式来刷卡。“比较有意思的是，我们对比较火的POS机进行了分析，直接把包拿下来，就可以把包解开把参数改掉，比如转一元钱，可以改成转一万元钱，账号也可以改掉。只要他在这个POS机上刷过卡，我就可以把所有的钱转到自己的账号上，这就是一个真金白银的案例。”

　　第二个案例，胡珀的团队发现可以通过手机APP控制烤箱的温度和时间。“我们对烤箱进行分析，发现它存在两个问题，一个是把密钥直接写在程序里，对APP进行立项。传输是明文的，拿到密钥就可以解开指令，用自己的指令控制它。还有一个逻辑问题，只要把传输控制温度传过去，就可以绕开温度限制，使烤箱使用达到温度极限。当然我们具体没有进行测试，但烤箱如果空转，温度非常高，可能会导致机器的爆炸，这其实就是智能设备影响人身安全的案例。”

　　他把自己和从业者比作维护网络安全的“辅警”，在聊到“白帽子”的成长环境时，胡珀说：“这是一个技术高速发展的阶段，我很庆幸自己处于这样的大环境下，行业发展日渐成熟、日趋完善，也给‘白帽子’提供了更多的研究方向、角度和可能性。快速演变的大环境以及快速变革的技术，让‘白帽子’的职业有着广阔的空间进行探索、挖掘。”

　　他同时向记者介绍了腾讯TSRC平台漏洞奖励计划。腾讯TSRC作为全国首家企业自建的漏洞提交平台，通过奖励反馈系统漏洞的安全研究人员，逐渐搭建出一个健康运转、良性循环的生态系统，与“白帽子”们一同捍卫亿万网络用户的安全。

　　有实力、高薪

　　“挖漏洞”走进光明地带

　　确实，这是“白帽子”人才辈出的时代。劳动报记者了解到，曾经，即便是“白帽黑客”，也带着一层暧昧和隐晦的色彩，为了避免“白帽黑客”踩到雷区，2016年11月全国人民代表大会常务委员会颁布了《网络安全法》，于2017年6月1日开始施行。

　　《网络安全法》的颁布彻底扭转了中国网络安全市场无法可依的窘境，把“挖漏洞”从灰色地带放到光明地带。

　　这让“白帽子”这一职业拥有了更加广阔的舞台，并涌现出一批领先国际同行的人才。在今年初，谷歌、微软、苹果等巨头公布的2017年漏洞致谢榜中，腾讯、360、百度和长亭等中国白帽黑客团队组成“中国撒金黑客团”，这四队中国白帽黑客发现了霸占了几大巨头致谢榜超30%的漏洞。足以见得中国“白帽子”强劲的实力。

　　除此之外，这一职业的平均薪资也是位于前列。中国信息安全评估中心（ITSEC）的一项调查显示，2017年中国网络安全专业人员的平均年薪为12.2万至17.8万元，而IT人员的平均年薪为12万元。ITSEC的调查还表明，中国金融机构对网络安全专业人员提供薪酬时最为慷慨，其中80％的网络安全人员年收入超过20万元，31.8％年收入超过30万元。（劳动报记者 陈宁）