以攻为守，合法“黑客”为何成了职业技能大赛冠军？

找到网络漏洞，植入木马程序，躲避杀毒软件的追剿，窃取目标文件中的关键信息……这一连串的操作，乍一听似乎是违法的黑客所为，但这其实是北京市第六届职业技能大赛中“信息安全测试员（渗透测试员）”项目实操环节的比赛内容。作为这个项目的冠军，石磊在平时的工作中，也已经不知道重复了多少次类似的操作。

石磊就职于一家网络安全公司，作为一名渗透测试员，他的工作就是根据客户的要求，去进行一系列“渗透”操作。“说是‘渗透’，其实就是通过网络进行攻击，和黑客没有什么不同。唯一的区别，就是我们的所有操作都是经过客户授权的，是合法行为。”

在网络安全行业有一句经典的格言，叫“未知攻、焉知防”。石磊之所以会进行各种攻击，最终的目的都是找到系统中的漏洞。只有攻得越猛烈，漏洞才会暴露得越彻底。将漏洞修复之后，网络系统才会更加安全。

石磊的办公室里，常年摆着一台笔记本电脑和一部台式机。平时的网络攻击，石磊都会通过自己的笔记本进行发起，而一旦遇到一些不常见的系统框架，石磊则会到旁边的台式机上查找和借用合适的“黑客工具”可以借用。在使用工具之前，石磊必须先在台式机的一套安全系统上进行测试，确定没问题后，再转移到笔记本之上。

这套流程看似麻烦，但又十分必要。因为这些黑客使用的工具本身就具有很高的危险性，甚至可能反过来伤害使用者的电脑。如果不经测试直接使用，后果可能不堪设想。“可以说，我们的工作就是时刻跟危险打交道，只不过这种危险涉及的不是人身安全，而是网络信息安全。”

石磊在上大学时，就对黑客技术十分着迷。2002年毕业之后，他进入了一家网络安全公司，可以“名正言顺”地将自己学到的黑客技术服务于网络安全。为了精进自己的技术水平，石磊会时刻关注圈内的“风吹草动”。每当有一项新技术出现，他都会第一时间去了解和学习，这种新鲜感促使着他一直热爱着这份工作。

20多年的从业时间，石磊已经掌握了不知多少种“渗透”技术。平时受邀去给客户讲课的时候，石磊通过总结自己的网络攻击经验，也会反过来教听众们如何做好防御。“我们攻破系统的切口，可能就是一个人设置了一串薄弱的密码，或者是一个人不小心点了我们发送的一个钓鱼链接。反过来说，如果每个人在上网时都能提高警惕，设置一些复杂的密码并定期更换，不点击陌生邮件和任何陌生链接，黑客想要得手，也不是那么容易的事。”

来源：北京日报客户端

记者：莫凡