撰稿 | 走狗

编辑 | 图图

与凌云谈话间，不时能听到他那声震四野的大笑之声，每到此情景，我不由想起武侠影视中大侠狂笑的场景，如果那时窗外有雪，大概也会像影视中那般被震得簌簌而下。

言归正传。很多人都知道，2015年5月28日，携程发生了一件大事。

那一天，携程网站服务及App全面瘫痪，内部功能均无法正常使用。随后携程官方表示是因服务器遭受不明攻击所致，技术人员正在紧急修复中。随后《法制晚报》微博称，携程的服务器数据全部遭受物理删除，且备份数据也无法使用。

一时之间，各种传言风起云涌，小道消息漫天飞扬，真真假假，鲜有人知。

对此，凌云笑称，携程内部把这件事叫“528事件”，安全圈的人可能觉得是一件安全事件，比如网站被黑了。还有段子说什么携程开发人员被领导绿了，然后把数据库删了就走了等等。

凌云说，真实情况是这样，当时携程的一个运维研发人员，他专门负责所有线上系统健康状态的检测，他开发了一个工具，作用是测试硬盘的IO读写速度，以此判断硬盘寿命健康情况。

那时，携程内部还有很多Windows，现在已开始往Java与Linux转，那研发人员写的程序就是在Windows的D盘生成一个500M的文件，看生成时间是多少，最后再把这个文件删掉。

但是，研发人员删的命令中，他写了D:/后面没跟文件名，于是就把整个D盘的文件全都删掉了，而且还是那种不问Yes or No，直接自动预判Yes删除。

之所以会这样，是因为研发人员自己测试时，D盘原本就很干净，就只生成那一个文件，他测了没问题，就全网发布了。然后这个测试工具就像病毒一样，在整个内网一台一台传播开来。测试一台电脑，就把整台电脑D盘全部删掉。

接下来，删除就像多米诺骨牌一样扩散，最后导致携程线上系统全删干净了，线下系统删干净了，OA系统删干净了，测试的服务器也删得很干净。因为那工具是做一个全网硬盘检测，凡是那台运维发布机能够发布到的主机，硬盘里的东西全都删了，数据就全没了。

说到这里，凌云又忍不住大笑起来，接着说道：“回想起来其实很有意思，这事发生的前一天，支付宝曾断网过一段时间，它是因为光纤被挖断了。5月28日中午，正好京东的朋友过来跟我们做一个拜访，他说他之前刚去了阿里，然后今天来携程。我们中午准备一起出去吃饭，吃饭的时候就是他跟我说携程官网打不开了，我就开玩笑说是不是你跑到哪儿，哪儿的光纤就被挖断了，导致我们这边也没网络！”

“我当时真没意识到出事，就说没事，应该不是安全问题，我们去吃饭，过会就好了。过了十分钟，办公室来消息说好像有黑客入侵，把所有D盘都删掉了，叫我赶紧回去。我只好对京东的朋友说没法陪你吃饭了，我回去看看怎么回事！”

然后，凌云快马加鞭跑到CTO办公室，CTO说D盘一直在被人删文件，但不知道是为什么删的，他要凌云去查，到底谁在拼了老命删他们的D盘。

凌云说，CTO真的很慌，他怀疑是不是有人在放木马，或者内部恶作剧。携程最早发的公告也是说遭到不明的黑客攻击。

凌云便抓紧去查，最后查出是运维那边的自动化程序出的问题。然后马上删除官方微博公告，改称是因为技术原因导致的系统故障。

“我们恢复的时间非常长，因为那测试工具把整个测试的数据库都删得很干净，最后是靠所有开发自己个人pc上的备份整合起来，那个没有被删掉，然后再去把它上线，把整个系统重建起来。”

凌云说，他之前的从业经历，从未遇到这类事情，现在想想，这事也算是一种可遇不可求的经历。

凌云刚到携程，携程安全也有一些线上的服务，他初来乍到，压根不知道那些服务到底跑的是什么东西。未料线上代码全没了，公司只好召集安全部开发人员，把这些代码全部找出来，编译测试通过之后，再跟其他一些大的系统一起，再去做上线，保证服务与服务之间的依赖没有问题。他和部门人员一起鼓捣了很长时间，所以也算是一个与团队快速磨合的契机。

此外，携程安全部很热闹，公安部、工信部以及各种管局都过来询问到底发生了什么事情。凌云得向他们一一解释，互相沟通，达成互相理解。他的电话也非常多，他需要对整个团队以及公司的业务架构快速了解。

在通宵了一个晚上后，凌云就熟悉了公司业务是什么样子，业务跑什么，有多少系统做支撑，具体的开发语言是什么，多少台服务器是属于安全部的……

凌云发自肺腑道： “那次真的是通过一晚上八九个小时的时间，就全都搞清楚了！”

初来携程，携程安全团队发生了很大的变化，相当于以前奠定安全基础的一拨人全走了，凌云需要新建一个团队，挑战非常大。那时安全部共三十几个人，有十几个是Java或者python的开发，有十几个是传统意义上的安全人员，就是做黑客攻防、运维、业务相关的一些人员，然后他们跑掉了一大半，只剩下几个人。

凌云回忆道，那时上海安全圈很小，安全圈小的好处就是，平时圈内人接触会比较密切，也就知道什么样的人可能适合什么样的岗位，只不过他们当初可能没有一个合适的机会。人一下子跑光了，无论是中高端职位，还是高级工程师职位，都空出来了，也不一定是坏事情。

通过亲自面试，大概花了两个月时间，凌云招收了一帮骨干，大概从零招到三十五人左右。骨干产生之后，他就不再亲自面试，放权给骨干，三个月团队就成形，接下来无非就是打磨的问题。一年之后，携程领导层对凌云的能力相当认可。

凌云感慨说，2015年，因为乌云的关系，整个行业对安全其实都非常重视，安全行业的薪资待遇、公司的重视程度，应该都是往上走的。像携程原来的安全团队人马，无论创业的还是被挖走的，其实就体现出安全行业机会相对多了。

当然，携程安全人才能够走得出去，也是因为携程在前期铺垫得多，大家觉得他们在携程有积累，能够孕育出一些新的东西。

说起对安全兴趣的萌芽，凌云回忆称，2001年出现unicode的漏洞，他觉得那个东西蛮有意思，就对黑客技术产生了兴趣。

凌云大笑道，其实他在高二高三的时候，就开始琢磨安全的东西，也没怎么认真读书。后来大学考上了上海大学通讯专业。Unicode漏洞爆发后，空闲时也会到处扫扫，泡泡论坛、逛逛网站，很多网站和论坛现在都关了，也会给杂志社投投稿。毕业后压根没兴趣搞手机信号电磁波，就去了上海绿盟。

其实凌云那时也拿到了华为安全部门的offer，之所以这般顺利，是因为他在大学期间写了一个软件，就是类似360安全卫士的软件，参加《电脑报》的一个比赛获了奖，然后他拿着获奖报道去面试。但华为要他去深圳上班，他是上海本地人，家人不喜欢他跑远，所以就转向了上海绿盟。

看到这些报道和证书，我真有一种恍若隔世的感觉，也很钦佩凌云的细致，一直能够保存妥善。可能从某种意义上证明“细节决定成败”这句名言。

凌云在绿盟工作了一年，之前还实习了一年，然后就转到了巨人网络。这其中也发生了一些故事，凌云在绿盟时，负责巨人的一些项目，包括扛DDos、IPS等产品，巨人有款游戏叫《征途》，但《征途》代码被人偷了，于是就要找人看看为啥被黑了。

绿盟和巨人离得很近，凌云一直帮巨人做安服，出了这事，巨人要凌云再做一次安服的时候，把他叫进一个小房间，要他为巨人做专服。但凌云那时还要经常跟着销售跑其他公司，肯定不能天天跑巨人那边，后来巨人干脆把他挖了过去。

凌云坦言，其实在绿盟进步挺大的，因为是乙方，要跑金融、政府、游戏公司、互联网公司，无论是做渗透测试还是做设备实施，都学到很多东西。

巨人彼时还没专门的安全团队，凌云加入之后，最开始不是做安全，而是帮巨人解决眼前问题，就是代码被偷。不过运气还算不错，偷代码的人很快就被抓住。

后来，凌云的主要工作是配合技术做一些内部安全上的整改，回想起来还是比较粗糙，对安全的理解还是乙方那一套，因为没人告诉你甲方互联网公司安全到底应该怎么做。

2007年，巨人因为美国上市需要做ISO27001安全认证。凌云觉得这个安全体系蛮不错的，最起码安全大脉络比较清晰，这也影响了凌云后来的安全理念。他后面带的几家公司，只要公司比较大，就会去做ISO27001认证。比如携程，他加入之后，第二年就开始推ISO27001认证，也是受此影响。

凌云在巨人待了四年，然后转向了PPTV。他看不出安全有什么出路，所以就转向了运维。在PPTV担任运维副总监，做一部分安全加一部分运维。

后来PPTV被苏宁收购，凌云就去了一号店，那年是2012年，电商正好蓬勃发展，一号店势头相当不错，但也遭到了黑客攻击，发生了账号泄露事件。所以就要招一个安全负责人，看看到底发生了什么状况。

凌云在一号店干了两年多，一号店被被京东收购，此后一号店人事上出现了一些变化，他的直属领导去了平安，几个月后把他也叫去了平安。

凌云说他在平安待得其实很开心，但突然有一天他接到一个老同事电话，问他要不要去携程。他很疑惑，因为携程安全部好像不太在市面上招人，对方说携程安全部老大陈建要走，他就问去哪了，对方说好像是到平安去了。其实陈建尚未离职，只是可能有风声透出。

不得不说，当时的情况很有意思。凌云在平安，携程拉凌云；而携程的安全负责人陈建却要转向平安。

2015年，凌云正式加入了携程。

初来携程第一年，凌云主要工作是做攻防类，主要思想是在整体环境不了解的情况下，首先不能出事，此时乌云还在，携程在乌云上还是会有一些漏洞。

做攻防类，第一个产品是防御类，就是自研的WAF防火墙，这个产品目前在携程每天抵御几百万次黑客攻击。

第二个产品是攻击类，即带侵入性的，做的是被动式的扫描器，那时这类产品比较少，主要还是主动式的。被动式扫描器对携程安全的帮助很大。

第二年，凌云做的第一件事，即前面提到的ISO27001认证，因为第二年感觉底子有了，所以凌云感觉外部不是一个最大的安全威胁，所以想提升一下内部管理。

其实在此之前，凌云也做了各种管理的体系架构，第二年就想再往上百尺竿头更进一步。于是就决定把ISO27001认证给做了。因为携程有商旅业务，专门是对to B的那些客户。凌云就跟商旅部门说，把这个认证做了以后，你出去接单子就有底气了，特别是接欧美客户，信誉度的提升是非常大的。

第二年除了ISO27001认证，凌云还启动了一个比较大的项目，就是做所有用户隐私信息加密。传统意义上，所有互联网公司都会去对密码做加密。凌云认为相对于密码泄漏，个人隐私泄漏危害更大，个人隐私的损伤是不可逆的。因为密码泄漏，还能改密，但身份证、护照、住宅地址等信息一旦泄漏，是没法修改的。你总不至于因泄露了家庭住址而重新买房。

所以凌云就推动公司做了一个全网个人信息加密项目，包括身份证、手机号、固话、家庭地址、护照信息等。这个非常复杂，因为之前都散在外面，各个BU都有海量数据。

那么多分散的数据要做全网加密，只能去跟各部门和渠道去谈，要求他们配合项目做系统改造，还涉及到对接上下游的改造。不然你这边加密完了，对方还没加密完，传过去数据不认。

所以这是一个很复杂的公益项目。除了要求技术很高，而且还要跟架构部门沟通，因为这个系统挂掉，携程可能就挂掉了。

数据加密之后，接下来就是要控制解密。若是所有BU都有解密权限，就会变得不可控。因此只允许最外围的那些应用，比如对供应商和用户的展示，或自动化的一些接口，自动发短信等等，他们应该是有解密权限。但在BU内部的机票和酒店之间互相传输的用户信息还是加密的。

凌云称，他们就是要把整个内部的权限全部收干净，只留下暴露在外部的可能十几个二十几个跟供应商、航司、银行对接的那些接口，他是拥有解密权限，但解密过程中，会知道到底是谁解的密。总之，希望最少的人用最小权限原则去涉及解密。

第三年之初，国家出了网安法、个人隐私法等法律法规，凌云就开始致力于提升携程的安全品牌，以及推动行业乃至国家安全的发展。

比如个人隐私法，当时是有十家互联网公司一起去推动筹办，携程也是发起方之一，并且很早就参与了。

另外一个，携程配合各个部委去做大数据安全的一个调研，2017年部委到携程这边来调研，历时半年，整理一套互联公司的大数据安全方法论。

2017年，凌云还接受上海新闻综合频道采访，参与中国首个网络安全纪录片《第五空间》制作。携程信息安全团队被公安部评选为“网络安全管理优秀团队”、“网络安全保护先进个人”等称号。

2018年携程主动要求去做阿里的DSMM（数据安全成熟度模型），即数据安全的一个标准。阿里准备在2019年推为国标，在此之前，他们希望有试点单位，于是凌云便推动携程成为试点单位，愿意第一个吃螃蟹。

其实，凌云始终都怀有一种共享精神，在能力企及的范围内，尽量惠及更多的公司乃至整个安全行业。

有段时间，乌云上面报github漏洞非常高，某家公司因为密码泄露，导致被入侵。于是凌云就让开发团队做一个检测工具，做完之后，凌云觉得这东西只是携程一家在用，有点可惜。他觉得很多中小型公司并没有很强的研发能力，于是就做了云安全平台，将携程的安全工具提供给大家用。也没想过收费，就抱着一个为行业做点事情的心态来做这个东西，所以携程云安全网站上的slogan就是“让我们一起做一些互联网公司喜欢的安全小工具”。

凌云说，最早上线的安全小工具就是Github的密码扫描，会预置一些规则在里面，能够容易上手，注册完了，就能把对方企业邮箱做password等匹配，再告知对方网上有什么泄露。

哪怕从来没接触过 github，没接触过信息安全。只要注册之后，不需要填写关键字，会自动生成一些关键字，能知道企业有哪些密码放在网上被泄露掉。没想到这款小工具吸引了很多用户来注册，凌云也没打任何广告，到目前为止已有2000多名用户。

第二个小工具叫军火库，起源于凌云跟运维沟通时遇到一个问题，就是ms07010，到底需要多长时间把补丁给fix掉。运维感觉打补丁这事是安全说的，但干活的是运维，安全不会自己上服务器打补丁，很不公平。

凌云举了个例子，比如今天安全说公司3万台服务器，你要在几天之内把补丁打好。安全动动嘴，运维干活就累得要死。因为不能把服务停下来打完补丁再上线，而是需要一台一台拿出来，打完补丁再拿到线上，这样操作会非常复杂。

况且有些DB还不太好打补丁，要打的话需要重启数据库，重启的话就很容易出错。

于是，凌云和运维就讨论这个问题，补丁到底应该多少时间内打完？特别是像携程已有10万台服务器的情况，到底是要求一天打完还是一个月打完？

所以凌云就提议做个规则：如果一个漏洞被安全部证明是有POC的，即我可以黑了你的，你就必须在我规定时间内打完补丁；如果只是微软一个严重警告，我可以再给你定个时间；如果这个漏洞微软没有严重警告，也没有POC，那就可以把时间放得更宽裕些。即把时间分为三档。

这样运维人员便觉得可以接受，尤其是在互联网公司。但这对凌云来说，就得知道一个CVE到底有没有POC。那怎么知道呢？如果安全全靠朋友圈，那肯定不行，而是需要一个更好的机制。

所以凌云就爬国内外所有安全的一些大网站，会公布POC的一些网站，大家把各自收藏夹里收藏的网站合并一下，基本上国内外行业内就是有这些黑市。用户可以把关键词填进去，一旦发现黑市里有人卖相关程序代码或工具软件，就能预警，帮助知道有没有攻击在里面。

此外，凌云还带领团队做了薅羊毛小号的工具，因为黑产已经战线统一，联合作案且分工明确，携程作为防御方，有没有可能做得更开放一点，做一些行业内的数据共享。

就这样，凌云把携程内部的一些黑产数据放在上面，一方面方便兄弟公司，另一方面，方便一些互联网公司、电商平台，它们也会申请权限，去跑一些黑产的数据。

凌云说，，如果一个公司自身目前没有安全团队，又暂时没钱买商业设备，他要提升自己，把企业做好，就可以用携程提供的一些小工具。当然，要完全提升一个企业的安全水平，光靠这些小工具肯定不够。

凌云觉得，他们还是会按照自己的节奏去做一些工具，比较轻的又对一些公司比较有帮助。因为安全需要协同，需要整个产业链共同来维持，信息互通、适当共享是必然趋势。

采访之末，凌云敞开心扉，谈了自己的一些从业感悟与心路历程。

他说，他刚到携程的时候，特别是第一第二年，他信心爆棚，觉得安全厂商都是一坨屎，因为他有一个40多人的Team，20多个开发，有什么东西开发不出来，而且肯定开发得很好。

但这一年来，凌云这种观念彻底改变了，因为安全要做的事情实在太多，况且安全是一个生态，有一套体系，样样都自研，会累死去。而且行业内有更好的更成熟的产品，没必要去自研，完全可以购买使用。

此外，凌云说，作为一个安全负责人，初到一家公司，到底应该做什么？

凌云的想法很简单，最初就是保障公司业务不受损害，第二阶段就是要和公司一起成长，第三阶段就是你要拉着公司跑，要有前瞻性的眼光与想法。

比如，GDPR正式发布之前，凌云就察觉到了苗头，就找业务部门去说，要求启动针对GDPR的项目，否则必将影响海外市场。后来携程收购英国公司、进入海外市场的时候，如果不提前有所准备，今天收购明天合规，那是不可能的事。实际上携程已经提前半年筹划，所有相关法律法规都已了然于胸，所以很多事就进行得很顺。

最后，凌云说他的网名叫linkboy，很多人以为是link和boy是两个不同的单词，实际上linkboy是一个单词，意思是拿着火炬照亮道路的男孩。凌云当时取这名字的时候，就想着怎么能够照亮大家一起往前走的那条道路。

凌云自称是一个理想主义者，比如大学的时候，发现一些黑客技术，就会写一些东西投稿《黑客X档案》、《黑客手册》，告诉大家这个事。现在则是对外进行安全技术演讲，给各大公司，提供一些免费的安全小工具。

“我想做一些好玩的事，帮助大家去做一些东西，也不求回报，反正我的火把已经点在那，大家一起往前走，一起去做好安全。”

与凌云访谈完毕，我胸中回荡着一股意犹未尽、畅汗淋漓的痛快，仿若与一名哲人探究深奥的人生哲理，又似与一位征战沙场的将军畅谈开疆拓土的豪情壮志。

第一次，我见到了凌云这个人；第一次，我认识到linkboy是一个单词，也是第一次知道linkboy是举着火炬照亮黑暗前路的男孩之意，更是第一次深刻理解到“名如其人、人如其名”的现实含义。

生活中，永远不乏理想主义者，但却鲜见持恒实践者。而凌云，恰是一个坚持他理想主义的实践者。虽然现在他在安全道路上的身影还不够高大，火炬还不够明亮，但他已经选择坚定照亮前方道路，并且在他坚定的信念支撑下，终有一日，他会成为某座安全山峰上，举着火炬站得最高的男孩。

愿他永远是那个男孩，执着于信念与理想的男孩。

「推荐阅读」