无糖信息酷炫的办公区域
信息安全测试员,人社部发布的9个新职业之一。从某种角度来看,这也是9个新职业中最为“神秘”的一个。单从字面理解,这一新职业与网络安全联系紧密,而大多数人却难以具体说清,脑海里最多能蹦出黑客、网络安全攻防等字眼。
“按照职业划分,我是信息安全测试员,但这只是日常工作的一小部分。比如,利用技术协助警方破获电信网络诈骗等涉网犯罪活动,是我们公司的主要工作之一,这已经超出了对信息安全测试员的工作定义。”7月20日,成都无糖信息技术有限公司(以下简称“无糖信息”)阿斯巴甜攻防实验室成员何立人的这一番话,让记者听出了信息安全测试员这一新职业背后的新故事。
集打防管控研于一体
专业对抗网络犯罪
网络世界里,有种“战争”没有枪林弹雨,没有地理意义上的战略高地,对抗双方使用的“武器”可能是一个漏洞或是防火墙,但双方攻防之间的激烈程度不亚于《黑客帝国》等大片里的情节,其攻防成败意味着某次反网络犯罪的结局。
这便是存在于网络世界里的网络安全攻防战。而在诸如互联网大会、信息安全论坛等活动里,网络安全攻防战总能吸引各种高手和看客。
“向网络犯罪开炮”
从企业的角度来看,网络安全直接关系着企业网站能否及时发现入侵者,保持网站正常运行。对于普通民众来说,网络安全意味着网银被盗刷、数据泄露等风险的防范。
网络安全的专业性、技术性、重要程度和民众的了解不足,使得圈子里的从业者自带了一些“神秘色彩”。那么,这一群体是否果真如此神秘?
工业朋克风气息十足
采访中,一进到无糖信息,大厅装修风格给人的第一印象是酷。地板既不是清新范儿的原色木地板,也不是严肃深沉的厚重地毯,而是拙朴光滑的水泥地面,墙面则是黑色涂料,天花板上的管道、通风口也直接裸露,仅用黑漆喷涂,营造出“我酷我在”的工业朋克风。
何立人
阿斯巴甜攻防实验室的成员何立人穿着显得很“路人甲”,但在圈子里,他的ID“kn1f3”早已声名在外。26岁的他,在圈子里已经混迹10余年。“那时经常在黑客论坛里交流,最大的梦想是在所有网站里来去自如,最爱做的事情就是发起对抗战,去黑掉黑客的网站,并且在对方网站首页留下自己的ID。”说起那时的年少轻狂,何立人的话让人脑补出网络世界里“某某到此一游”的画面。
据了解,无糖信息阿斯巴甜攻防实验室以渗透攻防、前端安全、数据挖掘、威胁情报等技术为基础,建立打、防、管、控、研于一体的反网络犯罪智能自动化实战平台,专业对抗网站诈骗、电信诈骗、网络传销、网络色情、网络赌博等各类网络犯罪,堪称网络犯罪分子的克星。
在2018年首届“巅峰极客”网络安全技能挑战赛上,由何立人带队,阿斯巴甜攻防实验室4名成员组成 4WebDogs战队,同30支全国强队同场竞技,鏖战32小时,最终夺冠。
联合各地公安机关
在反网络犯罪领域输出技术
公司员工既年轻又“资深”
无糖信息成立于2017年7月19日,不久前刚庆祝了三周岁“生日”。别看公司成立才3年,但核心成员却已携手共事13年。该公司核心技术团队PKAV组建于2007年,主要成员均为国内顶尖“白帽子”,曾在国际信息安全技术挑战赛中荣获WEB端全球第一。
拥有如此“大牌”的核心技术成员,意味着能力越大、责任越大。该公司主要致力于反网络犯罪领域的安全技术研究与产品研发,并为国家及各省市公安机关在反网络犯罪领域做技术输出。“电信网络诈骗的劝阻电话(四川)96110的办公地,就在无糖信息和四川省公安厅共同打造的联合实验室内。”何立人介绍说。
“协助警方破获电信网络诈骗等网络犯罪活动,是我们的主要工作之一。”根据数据显示,我国网络犯罪占犯罪总数的1/3 ,并以每年30%以上速度增长。
“只要你使用网络,使用智能手机,网络犯罪就可能隐藏在身边。”何立人说,对于现在的他而言,破获、打击网络犯罪就是他最为自豪、最有成就感的事情。就在数天前,在一起特大跨国荐股诈骗案中提供技术助力的无糖信息,收到了山东省东营市反电信网络诈骗中心送来的感谢信和锦旗。
同其他互联网技术型工作一样,给亲朋好友说不明白“自己是干什么的”也是他们的遭遇,只能含糊来一句“和程序员差不多、懂电脑的”。于是,他们日常最多接到的朋友求助就是“帮忙推荐买电脑、帮忙找QQ和微信密码”。每每遇到此类事情,何立人形容自己有种“高射炮打蚊子”的欲哭无泪感。
不“疯魔”不“成活”
因为是最大爱好,所以不觉辛苦
在网络世界里发现安全漏洞、pk黑客,何立人的工作看起来很酷,但实际上更多的是辛苦。
“这个行业淘汰率很高。只有每天都保持最大热爱,持续更新你的信息储备和技术知识,才能不被淘汰。”对于从事网络安全这一工作,何立人的感受是:“这是我的最大爱好,所以不觉得多辛苦。”
彭文飞
对此,无糖信息研发部运维总监彭文飞也有同感:“要想做顶尖的网络安全高手,必须日日不辍地去疯狂吸收新知识。”
与何立人一样,30岁的彭文飞入行也已经10多年。“我十二三岁进入圈子时,还没有网络安全这个行业,大家经常在对方的网上发起攻防战。”说起现在的工作,他一脸满足:“最幸福的就是能够做自己喜欢的事情,还能养活自己。”
到底有多爱?彭文飞说:“干了10多年还是激情不减,即使是凌晨2点收到一个技术讨论贴,群里马上就活跃起来了。”他向记者展示了手机里一个微信群的聊天记录,各种技术讨论刷屏不止。
“野路子”如今获 “转正”
打造良好的产业生态圈
说起信息安全测试员被官方“认证”的事,何立人笑称:“圈子里都轰动了!大伙儿互相调侃说,以前都是’野路子’,现在都是’正规军’。”
“随着互联网、移动互联网的发展,人们的生活、工作越来越离不开网络。与此同时,信息盗窃、网络诈骗等网络犯罪也充斥其中。在这个大趋势下,我国在2016年发布了《网络安全法》。”彭文飞说,从立法到职业获认证,我国愈发重视网络安全。
记者通过搜索发现,2015年《中华人民共和国职业分类大典》新增网络与信息安全管理员为新职业,该新职业下增设互联网信息审核员为新工种。
网络信息安全,在职业分类上从5年前的“管理员”延展到如今的“测试员”,从中可以看到网络信息安全的发展曲线。在彭文飞看来,信息安全测试员成为新职业,这种自上而下的顶层设计,使得网络信息安全逐渐被大众所熟知和重视,也为网络信息安全行业打造出良好的产业生态圈。
网络安全事关国家安全,涉及社会民生各个领域,随着《网络安全法》《网络安全审查办法》等法规落地实施,信息安全攻防渗透测试和信息审核评估成为网络安全维护的关键环节,信息安全测试员、互联网信息审核员的工作将越来越重要。
信息安全测试员:
是指通过对评测目标的网络和系统进行渗透测试,发现安全问题并提出改进建议,使网络和系统免受恶意攻击的人员。
主要工作任务:
1.分析研究网络与信息系统安全攻防技术,并跟踪其发展变化;
2.利用信息收集工具及技术手段,采集并分析评测目标的相关信息;
3.制定评测目标的安全测试方案及实施计划;
4.利用漏洞检测工具定位、识别评测目标存在的安全漏洞,并进行技术核查与评估;
5.利用渗透工具对评测目标进行深度测试,验证安全漏洞引发的网络与系统安全隐患;
6.编制安全评测报告,协助专业人员对评测目标进行安全恢复及技术改进。
记者:郑其
摄影:梁磊
编辑:吴嘉
校对:申冬夏