姓名：天忆

身份：网络安全研究员，国内知名CTF战队队长

技能：主动出击，探索信息前沿技术;精确防守，守护网络安全底线

电视剧《亲爱的，热爱的》把信息安全竞赛搬上荧屏，让更多人对网络安全这一领域产生了好奇。网络安全的世界里有着一场场无声的战役，而网络安全领域从业者的生活既有技术人员的严谨、专注，又有与“黑客”们争锋相对的紧张、刺激。

对幼时的我而言，常人眼里枯燥无味的代码是我探索世界的钥匙;对现在的我来说，精确的算法帮助我架构起网络安全的防守底线。

用代码探索世界

在我上小学前，中国互联网还未实现民用普及，父亲为我买了一台价值不菲的“中华学习机”，让我提前感受了信息化时代。那时的我还不知道什么是编程，只是按照参考手册，在学习机上机械地敲入字母，最后解锁了《超级马里奥》游戏。

真正为我打开信息世界大门的，是我从父亲书架上拿下的那本《Pascal语言》，从此我沉浸在代码的乐趣中。通过编程，我可以控制计算机去做人力无法做到的事情，例如高速计算复杂的数据。比起单纯地使用一些机器或者软件，知道这些东西是如何被制作出来的，又是用什么原理在运行，显然能带给我更大的成就感。

编程帮我养成的思维和逻辑习惯更是让我受益终生。每当我看到一个问题之后，我会习惯性地用一些数学或者编程上的思路去把这个问题拆解，然后预估它的解决步骤，一步一步思考解决的方式，最终攻克这个复杂的难题。

2004年，在初中的一堂微机课上，为了能让自己的电脑逃脱老师的控制，享受自己的互联网时间，我通过键盘调出了常见的“智能ABC”输入法，将锁屏的电脑成功独立于系统之外。这个现在看来技术含量很低的“小技巧”，让微机老师注意到了我在编程这方面的兴趣与天赋，之后他推荐我去参加了信息学奥林匹克竞赛。

现在回想起来，信息学奥赛不仅给我带来了荣誉，还将我对计算机的学习能力提升到了更高的层次：这个比赛不仅仅考验你会不会编程，更考验你会不会运用编程解决实际的问题。

通过参加比赛，我开始真正了解我所编写的代码，开始思索怎样才能更高效地解决一个个实际问题。随着对该领域的深入了解，高中课堂教授的基础知识和我父亲的编程书已经无法满足我的需求，我开始大量接触大学的高等数学和计算机方面课程，借此更深入地理解编程算法。高三时，凭借全国青少年信息学奥林匹克联赛的全国一等奖，我被保送进入上海交通大学的计算机科学与技术专业，在大学四年和研究生学习生涯中，我尝试探索更多的可能，钻研自己感兴趣的东西。

演练场上的“研究”

CTF（Capture The Flag）是一种流行的信息安全竞赛形式，其英文名可直译为“夺旗赛”。其大致流程是，参赛团队通过攻防对抗、程序分析等形式，从主办方给定的题目或环境中获取一串字符串，从而夺得分数。

这项比赛帮助我在信息安全领域中迅速成长。彼时的我正在读研二，刚转入信息安全专业数月。在校内比赛中小试身手后，我加入了上海交通大学CTF战队——0ops战队，并在一年后成为队长。研究生毕业后，我加入了腾讯安全科恩实验室，代表腾讯参加各类CTF赛事，并成为了腾讯eee战队的队长。

2018年，对于eee战队而言是不平凡的一年，在这一年我们参加了三大信息安全国家级赛事——“强网杯”“网鼎杯”和“护网杯”，并相继斩获冠军。最令人记忆深刻的是“强网杯”的决赛现场：整整32个小时的比赛进程里，我们有31个小时都落后领先的队伍2000分。包括我在内，所有队员都顶着巨大的压力。值得庆幸的是，所有人都没有去想比赛之外的东西，我们只是把注意力放在题目本身上。最后，我们靠着解出最后一道关键赛题疯狂得分，终于把分数翻了回来。

与我们平时熟悉的电竞比赛不同，一场CTF比赛往往持续几十个小时，这对参赛选手的体力有着严格的要求;除此之外，我们队内并没有特别固定的角色和分工，一般会根据比赛实况灵活安排。在团队内，每个人都有擅长的方向，而命题人的题目是否贴合自己的方向很难预料，我们需要做的就是不断锤炼自己专精的方向，使它涉及的范围更广，这样题目撞上你擅长方向的概率也会更大。

CTF对网络安全从业者成长的帮助是显而易见的。一方面，它能帮助初学者了解网络安全到底是做什么的，让他们能够真正去实操;另一方面，CTF里使用的技术既前沿又贴合实际，对于许多较高水平的从业者来说，CTF能够促使他们去学习一些本来不太熟悉，或者是不太愿意学的领域的知识。

出于赛制的原因，人們不可避免地会将其视为与电子竞技类似的游戏项目。但CTF并不是虚假的游戏，它更像是一场信息安全世界的虚拟军事演习，你能说军事演习对战争不重要吗？

信息世界里的“呼神护卫”

投身网络安全行业多年，我现在增加了一个特殊的身份——网络安全研究员，负责探索网络安全的前沿技术。与其他行业学术性较强的“研究”不一样，我们的工作更偏向实践，应用性更强。拿我现在做得比较多的“漏洞挖掘”来举例，我们会挖掘常用软件的漏洞，并将其报告给厂商，让厂商进行修补，从而提高软件的安全性。

走下CTF的演练场，网络安全行业的从业者面对的仍是一场激烈的竞赛，这场竞赛的双方不再是出题方和参赛者，而是现实世界里的“黑帽”与“白帽”（从事信息安全研究，帮助企业修复漏洞的信息安全工作人员）。据我目前所知，所有的软件都能被攻破，而攻破关键在于攻击者愿意为此付出的代价。我们能做的是根据他们曾经的攻击手法，抑或是被别人发现的攻击痕迹，推测他们目前的技术情况，抢先一步，找出漏洞，及时修补，或是从设计根源上避免这些漏洞。

在这场交锋中，我们需要有比攻击者更高的技术，才能更快发现漏洞。一旦失败，我们往往会付出巨大的代价，这些代价超乎我们的想象。现如今，网络安全早已不局限于互联网行业，它已上升到国防安全的层面，其价值是难以衡量的。有个比较典型的案例：因为被攻击者植入了病毒或者说是恶意代码，伊朗纳坦兹铀浓缩工厂数千台离心机被破坏。而之前引起轩然大波的“斯诺登事件”则暴露了美国的情报机构利用网络安全的漏洞，或者说是他们预置的“后门”，监控其他国家的政府、企业和人民，并搜集情报。

在我们的日常生活中，因为不注意保护隐私，个人信息泄露的事件比比皆是，这也愈加体现了网络安全的重要性。随着网络渗透到社会生活的各个角落，网络安全成为国家安全新的制高点。以国家为主体的网络空间的斗争与较量，直接关系到国家安全。在这种情况下，需要有更多的年轻人愿意投身这个领域。

（采写：方 昕）