人物 | 金昊：高屋建瓴，脚踏实地

我国网络安全人才市场缺口仍有150万之多，即使国家的法律法规在不断的完善，对企业的安全监管也越来越严格，但这始终是当下社会较为严峻的问题。因为科技不容停滞，突飞猛进的势头始终要贯彻到底，所以随之而来的“漏洞”、“缺口”、“对抗”就一定需要更多的网络安全人员来支撑。

金昊作为技术型安全专家，他有着对“网络安全”极为热衷的兴趣和信念。“手机、笔记本、网络，一个都不能少。我们做安全的，24小时都得保证沟通顺畅。因为责任在那儿，并不单单只为公司，更因为这一切关乎‘安全’。”

因此，金昊的旅行兼具着诗情画意和恪尽职守，是真正意义上的做到了将工作融入进了生活。访谈中，笔者问至一路走来最感谢的人是谁，金昊毫不犹豫的说道：“当然是妻子啦。能和连旅行都不忘工作的我长相厮守，金某可谓不胜感激啊。”

从查询资料到通讯工具，日渐月染之下，从小学时期的金昊对计算机这样的新兴科技产生了浓厚的兴趣。“在遇见CIH病毒以前，我和他人一样也就只喜欢打打游戏。但电脑病毒给我带来了不一样的计算机概念，原来电脑会出现各种各样由病毒引起的系统问题。”

大学选择软件开发专业后，金昊对网络的理解才算得上登堂入室。“当初宿舍上网需要使用按小时计费的网卡，每台电脑需要一张，宿舍4人就需要4张，但有些宿舍里的舍友却能将他的网络资源分享出来，然后让其他几人共用，类似于现在的无线路由器。这对我来说可太有意思了！”

于是在好奇心的驱使下，金昊翻阅了各种网络资料，通过买来的Hub实现了自己宿舍的网络共享。

如果说“网络资源共享”引起了金昊对网络的兴趣，那“初期的网络对抗”便是他会对安全着迷的最主要的原因。他以2006年、2007年QQ号频繁被盗事件为引讲述了黑客侵害的发展历程。

“挂QQ等级很容易理解，只要QQ保持登录状态就会记录在线时长，所以有些第三方服务能帮忙执行长时间的挂机，但你将自己的账号和密码都告诉了第三方就一定会带来安全隐患，当初一些比较有名的论坛，如HK3800、hacker58等都会教你怎么去做一名黑客，或者直接教你怎么制造攻击软件。”

金昊介绍了那时比较流行的灰鸽子软件。由于处在网络发展的早期，当初人们都采用ADSL或163拨号上网，因此一旦用户拨号上网后，他的电脑终端就会获得一个公网IP，代表着他的电脑就此暴露，攻击者只需通过各种论坛找到一些端口扫描工具，就能扫到相应的终端，通过漏洞实施入侵，而通过这灰鸽子软件就可以植入被控制住的电脑（终端）。

“再和你举个例子。当初许多电脑城发布的WindowsXP系统里，绝大部分都是Ghost版的，其中某一版本植入了个用户名叫new，殊不知这版本系统还开启了远程桌面连接服务端口：TCP-3389，在那个系统安全策略并不完善的年代里，用户不输密码也能远程登陆计算机，也就是说只要谁用adsl拨号上网，通过一些黑客工具扫描发现开了3389端口，不需要输入任何口令，只要一个用户名就能得到这台计算机的控制权。”

在此期间，让金昊兴致勃勃的不仅仅是技术研究，“安全风险”也从那个探索的年代里逐渐为他建立起了认知和理念。他认为，虽然这样的技术、这样的操作很吸引人，但从以上这种种个人意识的角度而言一定都是违法的，因此黑客技术本身并没有对错之分，有些人会因此成为黑客，而有些人则会成为红客、白帽子，而这一切都只看人所运用的方向和目的。

2007年，金昊职业生涯中的第一份工作是在某乙方公司里为公安信息网的边界做安全建设。“怎么说呢，这份工作最大的收获是让我对安全有了系统性的了解。安全，它从广义上分为技术和管理，那这四年我基本上就是围绕着技术在做安全建设。主要是因为这份工作涉及到了一套安全规范体系，然后针对于这套体系我需要建设防火墙、入侵检测、入侵防御，包括网闸等网络安全产品，可以说这些项目的完成让我对安全有了大概的思路和认识。”

问至有何事是让人记忆犹新的，金昊表示“万般皆容易惟有割接难”。比如某个地市的市局计划了一套边界环境升级，考虑到业务系统是对外发布服务的，因此留给他的任务就成了“仅用一个晚上的时间一个人把两个42U机柜里的设备统一切换到新的环境里去”，唉，怎一词通宵了得。

2017年，比特币第一个高峰期悄然而至，诸多云主机被入侵成了矿机，也正是这一年，他来到了某上海保险科技公司担任起了安全运维经理一职，用业内心照不宣的词来修饰，就是“救火”角色。

“核心业务系统的CPU时不时达到100%，主机监控的警报声不断，所以最初我只好通过杀一些进程来解决。之后做了各种分析，逐步溯源、封堵，找出根源进行修复，才保障了业务系统的正常运行。”

他表示，幸好这家企业所有的业务系统都在云上，这为金昊的日常办公带来了很大的便利。在系统性的进行整体业务的资产梳理后，金昊发现了诸多暴露在系统上的风险点，半年的治理使得系统稳健运营的同时，他还逐渐推进了公司互联网平台的安全建设。由于公司缺乏安全的手段，所以得通盘的考虑安全问题，围绕核心的业务点他做了一系列主机上的安全，并对许多方针进行了加固和完善。

然而，即使一切都在有条不紊的运行着，现实中总有源源不断的0day产生，2018年，Oracle照常每季度发布最新的Weblogic漏洞，而随着高危漏洞的更新，攻击竟也不期而至。“漏洞刚发布，业务系统就立马被攻击了，说明什么？说明我们被人盯上了。”

用发动机举例：“车子在行进途中要怎么修引擎？这是不是一件极其危险的事？当时公司有着大量的业务，因此我们不可能为了漏洞而停下运营，就只能在业务系统运行的同时去弥补这些漏洞、抵挡这些攻击。”

公司系统再一次面临了挖矿病毒的威胁，主机计算性能又处在了水深火热之中，然而这一次公司却没有批下安全预算，也无法直接上安全产品。

“很尴尬。我要去治理安全的隐患，但我没有安全的工具。”

巧妇难为无米之炊。面对一次次的攻击，他24小时待命监控。“漏洞发布后的第二天，网上出现了些临时方案，但我们不可能因为这临时方案就直接把生产系统更新了吧？通过对这些应急方案的分析和对比，我想到了一些可行的方式，比如SLB的协议封堵。”

金昊通过SLB的一些设置来有效的屏蔽问题。他解释道， Weblogic里有T3协议漏洞，它是一个基于TCP协议的安全漏洞，当初就把SLB的TCP的协议转发改成了HTTP的协议转发，即不让T3协议从SLB过流量。用一句通俗易懂的话来总结，就是在资源极其有限的情况下，用现有的产品来解决这些新产生的安全问题。最后在24小时内，阻断了来自T3协议引发的安全风险。

随着承兑汇票的电子化，互联网汇票交易平台渐渐覆盖向了全国，也因此成了小众化的羊毛党聚集地。离开保险科技公司后，他来到了现在的这家企业，职位为高级安全技术工程师，安全工作的职能也变得越来越多的在进行业务安全攻防对抗了。

“承兑汇票不能立即变现，所以它会被用来交易，利润就在它的价差上，而我们公司就是专门撮合承兑汇票交易的。整个承兑汇票的年交易产值在20-30万亿，这可不是个小数目。”

金昊介绍说，若一张承兑汇票的交易差价利益足够大，就会有用户通过工具去撮合平台抢单，这样自然而然会对平台业务系统造成负载，导致其他客户在整个业务系统的体验度下降。

“我这部分的工作内容其实就是对抗工具，这是之前我从没有接触过的领域，我觉得很有意思，尤其是通过一些技术手段去进行封堵，这会引来对方的对抗升级。比如我先封了他的恶意IP，他就会升级为采用代理IP的方式进行攻击；我若封了他的终端特征UA，他又会采用自动变换的UA来进行篡改，这些都是基于Http协议的，存在http协议的易被篡改的缺点；再比如我针对于同一个IP访问的接口进行限频，一分钟最多调整为60次，他就会将他的程序调整为一分钟只跑55次。为了躲过我的防御，对方可谓无所不用极其，而这就是攻防上真正有趣的地方。”

金昊将自己的安全工作总结为三个历程，最初接触到的是网络安全，之后是系统安全，一直到当下所任职这份工作，更多围绕的是业务安全，而这恰恰也是当下国内网络安全行业的主流，即更深层次的为业务板块去做体系化的安全架构。

除此之外，金昊也提到了API领域的安全问题，如手机短信轰炸、接口未授权访问等。究其原因一般缘于API接口没有做好安全风控机制，所以才会被第三方有机可乘。因此，他建议一定要加强企业的安全运营建设，而不是只用以逸待劳的态度去面对安全隐患，等事件爆发后再去救火、再去弥补，这便很可能为时已晚。

经历尽述后，对于安全行业的未来金昊也有着深入的认识。他认为，从业务安全的角度思考未来，之后容器化安全和API接口安全会逐步在市场上被放大，为此他还例举了不少安全厂商，比如永安在线、瑞数信息、小佑科技等；同时，随着云原生的涉及面越来越广，对企业而言，关于云原生架构的设计和安全建设就会越来越多的出现问题，因此云安全也会是未来主要的趋势之一。

“而从办公安全的角度来考虑，疫情影响也好、办公效率也罢，以后居家办公的比例肯定会越来越大，那像这两天上海疫情反弹，我们也能从中看到一些情况。上海某金融机构采用传统VPN方式进行远程办公，结果员工居家办公期间打开任何业务系统都卡，这些其实都能归结为安全上的问题，即能不能真正帮助到业务人员去安全使用、去稳定运行。”

金昊为此引申出了零信任框架。他表示在异地场景的办公趋势下，零信任框架在未来会有很大的发展空间，像许多安全厂商也逐步开始推广起了这类架构产品，如深信服、腾讯、阿里等。年初，金昊接触到了某云厂商的IOA零信任安全解决方案，并在短短几天内将所有的建设方案都落实好了。他认为，作为公司安全部门的安全技术人员，自身也有义务去测试和关注各类安全技术发展，争取能找到最适合公司发展的那一个，这对他个人、对公司来说都是最好的选择。

对于我国安全市场的人才缺口，金昊表示很大的担忧。“我每年都会实时关注安全领域人才在国内的定位和定价。目前来说，安全圈子里的人还是非常非常少，因为信息安全和软件开发不一样，他需要更全面的技术知识、更大的大局观，否则就会存在水桶效应，安全人员的短板会给公司带来很大的影响。”

他将安全分为管理型和技术型，而他自己就是典型的技术型安全人员。国内甲方做安全的还是管理人才较多，下沉去做技术的比较少，因此大部分安全工作者所掌握的知识面相对会比较局限，而国内安全行业发展错综复杂。金昊认为，安全人员若只解决单一的安全问题，比如渗透测试，那就意味着他并没有深层次的去理解安全，因为安全所涉及的知识、领域实在太广了。

所以，他建议诸位安全从业人员：“若你愿意在这行里生根下去，除了要对信息安全技术有着全面的了解学习外，最重要的还是四个字，脚踏实地。建立在这样的基础上，再逐步加深自己对各领域里的知识面，把握好大局观，那你就一定会成为成功的安全专家！”

齐心抗疫 与你同在