SQL,安全飞人
很难一句话说清楚SQL到底是怎样一个人。本来我是想写一些关于他的介绍的,但是由于时间原因迟迟未能动手,于是便找了个理由让他自己写了,事实证明他写比我写好的多。
SQL给我最强烈的感觉,就是他整天飞来飞去。差不多每次在网上见到他的时候,他都不在北京,然后他告诉我他马上要离开那个地方,但却不是回北京。
他不是属于某一个城市,而是属于他的安全事业。 自我介绍
曹鹏(网络ID:SQL),大学时代接触网络安全,加入过当年知名的网络安全小组"傲气雄鹰",后来自己创办了收集黑客工具和文章的站点"熏衣草乐园",正式工作后思考的方向有了很大的转变,重新制作出isfocus.net 主要内容为安全产品和安全服务在实际实施中的经验交流。毕业后先后加盟国内顶尖网络安全产品厂商天融信公司和东软公司。
好象所有的安全爱好者一样,开始的时候我也是被一些神奇的"黑客软件"吸引到了这个领域,当时国内还没有这么多所谓的"红客"找一些软件和攻击方法还是很困难,我这个一直喜欢收集整理点东西,看着自己的收藏逐渐增多加上自己也在写一些简单的攻击工具我就自己做了一个自己的个人主页"熏衣草乐园",不知不觉就坚持的做了下来每天把在网络和朋友那里搜集到的工具和好文章整理出来发布在自己的站点上,当时很多朋友喜欢我的站点的原因是我更新出来的文章和软件我肯定要自己事先测试成功才会发布。
即使现在网络安全这个圈子很多人看来好象还是非常非常高科技的领域和行业,但接触多了就会发现有些时候攻击者去黑掉一个站点步骤其实非常简单,利用现成的软件和别人总结出来的方法,实施起来可能比用WORD写篇文档还要简单。入门并不难,很多人成功的用"木马"软件进入别人的计算机的时候可能就已经认为自己算是一个"小黑客"了,难在你是否能坚持下来,越往里面钻所涉及的知识面越广,简单举个例子攻击一台CISCO路由器有时候不算难,但如果想了解整个原理就需要从路由知识和CISCO产品的硬伤两个方面去下手学习,里面要搞懂的知识面就更大了,很多人有感觉学的东西越多越感觉自己"实在是什么也不懂"。
大学四年在网络上的"摸爬滚打",我收获很大付出也不少,包括要面对每月近千元的电话费,颠倒的作息时间规律,非计算机学科成绩的大幅滑落等等。我在大三的时候开始了自己半工半读的经历,先后到过几家公司做网管,最后去了"黑客防线"杂志的编辑部,在那段时间,我开始学习把自己这段时间的经历总结出来逐渐写成文章在杂志和网络上发表。直到毕业的那天我想自己应该开始认真考虑自己的将来了,最后我决定还是到专业的安全公司去发展自己新的空间。经好朋友介绍我进了国内防火墙的领头羊厂商天融信公司,我开始接触真正意义上的安全产品,领悟到了看安全应该从整体考虑而不是从一两个漏洞着手,同时我也发现自己原来积累下来的知识也有了真正用武的地方,在测试入侵检测和安全评估扫描类产品的时候我总能提出很多好的方法。偶然的机会我告诉公司说一个重要客户的网络中存在一个高风险漏洞并且演示如何进入对方的服务器,就这样我从公司的研发部调入了安全服务部,从实验室的测试环境出来后感觉接触的空间和人一下子多了很多,我开始为公司的一些大客户国家统计局、外交部、人民银行等做安全服务。那时候印象比较深的是有时候客户会把对公司产品的不满发泄到自己身上,但后来自己逐渐体会和理解到客户的难处使自己的工作思考角度也发生了改变。加盟东软公司后给我发挥空间更大了,我不停在全国飞来飞去的做项目,不管在酒店里面对几百人宣讲公司的产品或者培训安全实用技术,还是单独去拜访客户我总能使自己很快的兴奋起来。我发现自己已经是个工作和生活不分的人了,我不喜欢被人说是工作狂,我从心底喜欢这份工作享受它带给我的满足感。
好的道德标准是一个合格的网络安全专家必须无条件遵守的,ISC2发起的CISSP和SSCP网络安全从业认证就专门有一组道德章程,要求他的成员必须完全遵守并保证自己的行为体面、诚实、公正、负责、合法。网络安全行业现在最需要的就是具有良好道德准则的从业者,由于职业的特殊性质我们经常会直接面对客户脆弱的安全防护和里面极具价值的资料软件,只有好的道德操守才会原来客户对你的尊重。正如安全是个持续过程,作为安全行业的从业者也需要不断的关注最新的安全漏洞和新的攻击手段才能使自己保持合格的技术水平,同时对于国内的安全产品的了解和对新的安全理论的关注对工作也会有很好的帮助。但这些其实还不够,好的安全专家有时候也是需要一点个人英雄主义的,有时候必须稍微露一手客户才能对你信服,有时候去面对客户一些不合理或者被误导的要求的时候,也必须耐心的去和客户解释。一个优秀的安全专家不仅要有书呆子似的对安全知识的痴迷还要有灵活的头脑,可以用显微镜去发现安全漏洞掌握细节,也应该能够登高望远从整体安全框架上去设计实际的安全网络。套用给客户做CIW培训时常讲的一句话;象一个黑客一样的思考还不够用,也应该站在投资网络建设的运营商和真正使用网络的员工的角度去思考,你需要更多的去考虑在安全产品上的投资和回报,你需要了解你设计的安全结构带来安全性上的提高是否可以和给网络的真正使用者带来的操作不方便性和性能速度上的降低达到很好的平衡。不追求所谓的安全极品不强调夸大单一漏洞的风险,为客户寻找安全、性能、投资最佳的平衡点才是我们工作的根本。