一切得從我六七歲的時(shí)候說起，那時(shí)候的我喜歡上了在DOS中修改電子游戲，我并沒有意識(shí)到這將成為我如今激動(dòng)人心而又成就感十足的網(wǎng)絡(luò)安全職業(yè)生涯的起點(diǎn)。對(duì)于當(dāng)時(shí)的我，最開心的就是破解游戲，贏得勝利！

1從那時(shí)起，我就對(duì)網(wǎng)絡(luò)安全產(chǎn)生了巨大興趣，而且一發(fā)不可收拾。

十幾歲時(shí)，我穿梭于各大論壇，尋找和我一樣關(guān)注電腦網(wǎng)絡(luò)安全的黑客和程序員。通過在線交流，我們都意識(shí)到網(wǎng)絡(luò)安全正實(shí)實(shí)在在地影響著我們生活的方方面面，大家都希望能夠投身到這個(gè)領(lǐng)域。但對(duì)于當(dāng)時(shí)的我們而言，網(wǎng)絡(luò)安全所涉及的范圍遠(yuǎn)遠(yuǎn)超乎我們的理解，即使我們處在這樣一個(gè)程序員的圈子。

2大學(xué)成為我了人生的轉(zhuǎn)折點(diǎn)。

2009年秋，我考入了達(dá)文波特大學(xué)，主修網(wǎng)絡(luò)安全，輔修電腦網(wǎng)絡(luò)。在這里，我才意識(shí)到原來世界上有如此龐大的一群人，在為網(wǎng)絡(luò)安全而孜孜奮斗。受到教授的鼓勵(lì)，我積極參加專業(yè)會(huì)議，和同學(xué)們創(chuàng)建各種社團(tuán)，參加編程馬拉松，因而結(jié)識(shí)了不少志同道合的朋友。我們個(gè)性相似，有著同樣強(qiáng)烈的求知欲，對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)的工作原理、網(wǎng)絡(luò)破解以及網(wǎng)絡(luò)安全防護(hù)，都有著巨大的興趣。

2011年我成為了德爾福的實(shí)習(xí)生，這是我生平第一次的實(shí)習(xí)。在那里，我與網(wǎng)絡(luò)安全結(jié)下了不解之緣。我進(jìn)入了德爾福IT團(tuán)隊(duì)，從事網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施工作。那是一個(gè)難忘的暑假，公司非常棒，團(tuán)隊(duì)成員都非常優(yōu)秀，最重要的是，我學(xué)到了很多東西。

3每100行代碼中就有4個(gè)漏洞。

畢業(yè)之前，我還在醫(yī)藥和制造行業(yè)的技術(shù)部門工作過。我曾在一家制造廠從事IT技術(shù)支持，確保所有系統(tǒng)正常運(yùn)轉(zhuǎn)。我還擔(dān)任過一家醫(yī)藥公司的安全運(yùn)行分析師，進(jìn)行應(yīng)用程序測(cè)試，確保其不被破解。此外，我們還負(fù)責(zé)安全系統(tǒng)監(jiān)測(cè)，以便及時(shí)補(bǔ)救可能出現(xiàn)的問題。

然而，不久以后我接到了德爾福的電話。

于是我在2014年重返德爾福，但這次是作為一名正式員工——IT安全分析師。我負(fù)責(zé)擔(dān)任“反派”角色，我所在的團(tuán)隊(duì)被稱為“紅隊(duì)”，我們的主要工作就是模擬壞人的思維，發(fā)現(xiàn)公司網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，并幫助IT團(tuán)隊(duì)維護(hù)公司基礎(chǔ)網(wǎng)絡(luò)設(shè)施的安全。一年半以后，我遇到了一個(gè)千載難逢的機(jī)會(huì)。德爾福要組建一個(gè)網(wǎng)絡(luò)安全團(tuán)隊(duì)，這個(gè)團(tuán)隊(duì)將與工程團(tuán)隊(duì)一起為德爾福的產(chǎn)品設(shè)立安全指引、流程和工具，開發(fā)網(wǎng)絡(luò)安全測(cè)試程序。在這個(gè)工作崗位上，我不僅要破解網(wǎng)絡(luò)，還要確保網(wǎng)絡(luò)的安全，一直到技術(shù)成熟進(jìn)入市場(chǎng)，確保那些用來挽救生命的產(chǎn)品和程序能夠安全運(yùn)行。

4那一刻，我恍然大悟，原來我之前的職業(yè)生涯都欠缺一樣?xùn)|西，直到那一刻才完整：以前我總是有意“破壞”東西，再幫助人們修復(fù)，從而設(shè)法確保它的安全。但是，我卻從未“親眼目睹”解決方案投入應(yīng)用。而現(xiàn)在，我明確地知道了自己的工作將產(chǎn)生什么樣的影響，也就能更好地保護(hù)網(wǎng)絡(luò)安全。

無論我們做什么，做好防護(hù)并確保安全都是十分重要的，這已經(jīng)植根于我們的DNA。我們的任務(wù)就是讓安全流程應(yīng)用到各個(gè)平臺(tái)乃至產(chǎn)品生產(chǎn)。為此，我們?nèi)硇耐度氲桨踩敢?、流程和工具的整合，以及網(wǎng)絡(luò)安全測(cè)試實(shí)驗(yàn)室的開發(fā)，以更好地為工程團(tuán)隊(duì)提供支持。

5回顧以往，我們?cè)?jīng)面臨的最大挑戰(zhàn)就是讓公司認(rèn)可我們的工作，并讓大家充分了解到，在早期開發(fā)到后期生產(chǎn)這整個(gè)產(chǎn)品開發(fā)過程中，遵照網(wǎng)絡(luò)安全的流程、指引并進(jìn)行安全測(cè)試是何其重要。開展安全意識(shí)教育、落實(shí)安全管理，并在公司內(nèi)部推行自上而下的安全措施，正是其中的關(guān)鍵。

我們所創(chuàng)建的網(wǎng)絡(luò)安全模型依托于以下三點(diǎn)：

? 設(shè)立合理的流程以確保產(chǎn)品安全，并運(yùn)用合適的工具鎖定系統(tǒng)。

? 從產(chǎn)品開發(fā)初期便與工程團(tuán)隊(duì)遵照這一流程進(jìn)行合作，從樣品到最終產(chǎn)品生產(chǎn)的整個(gè)過程中為他們提供支持。

? 進(jìn)行“紅隊(duì)”滲透測(cè)試和產(chǎn)品檢驗(yàn)，幫助減少產(chǎn)品漏洞，確保產(chǎn)品安全。

6公司所屬行業(yè)正在由傳統(tǒng)的思維向現(xiàn)代思維慢慢演進(jìn)，而我們的團(tuán)隊(duì)也在規(guī)劃進(jìn)一步的安全防護(hù)。入侵系統(tǒng)的企圖從未停歇，系統(tǒng)的不安全性只會(huì)有增無減。我們意識(shí)到，在公司內(nèi)部建立安全文化，幫助塑造安全環(huán)境（包括現(xiàn)實(shí)環(huán)境、數(shù)字以及社會(huì)環(huán)境），是一項(xiàng)至關(guān)重要的使命。這一切對(duì)于關(guān)鍵的安全技術(shù)（比如自動(dòng)駕駛技術(shù)）的實(shí)現(xiàn)尤為重要。

德爾福內(nèi)部以及外部的協(xié)力合作和主動(dòng)出擊是成功的關(guān)鍵，這正是我們參加DefCON Car Hacking Village黑客大會(huì)的原因。對(duì)于確保德爾福網(wǎng)絡(luò)安全，我們滿懷熱情，而DefCON Car Hacking Village給我們提供了前沿工具，這里匯聚了各種新方法、新技術(shù)還有新人才。安全并不是一個(gè)新的話題，但它從1992年數(shù)字安全運(yùn)動(dòng)才真正起步、直到今天，而只有協(xié)作共進(jìn)，我們才能在守護(hù)網(wǎng)絡(luò)安全的道路上變得更加強(qiáng)大，繼續(xù)向前。

右滑查看DefCON Car Hacking Village現(xiàn)場(chǎng)照片

我要感謝德爾福網(wǎng)絡(luò)安全團(tuán)隊(duì)中的每一個(gè)人！感謝你們的努力和奮進(jìn)，在你們的推動(dòng)下德爾福才成為了網(wǎng)絡(luò)安全的領(lǐng)跑者。感謝在全球范圍內(nèi)提升安全意識(shí)的協(xié)會(huì)及舉辦的各種活動(dòng)：DefCON、Car Hacking Village、GrrCON、BSides Events、SANS Events、Blackhat以及SAE Cyber Auto Challenge。此外，我還要感謝你們——所有致力于實(shí)現(xiàn)數(shù)字世界和現(xiàn)實(shí)世界安全的人們。安全防護(hù)，是過程而非結(jié)果。