“在最初的一年多里，腾讯并没有考虑到安全问题，OICQ 的通讯协议是不加密的，协议脆弱，明码传输，如果有黑客要捣乱，可以任意地调取用户的资料。后来，马化腾发现这是个问题，便命程序员黄业均开发加密软件。两个多星期过去了，马化腾想看看程序写到哪个阶段了，于是就跑去找黄业均，黄出去打球了，不在座位上，桌子上倒扣着一本《加密原理》的书籍，马化腾拿起，翻过来，不禁大惊失色：黄业均正在读第一章第一节，标题是：什么是加密。”

这个关于安全的段子在腾讯内部流传已久，后来还被写进了《腾讯传》中。

而腾讯真正开始把安全当回事，差不多可以定格在2005年。时年10月27日的QQ 2005新品发布会上，马化腾首次提出了通信产业发展的6大趋势，其中第5条即是安全性，在这次演讲中，他将安全性上升到了未来即时通信保障基础应用的根本之道的地位。

腾讯安全平台部总监胡珀大学毕业就进入腾讯，一待就是11年。从最基础的T1助理工程师开始，他一路成长，经历了从Web2.0、移动互联网，再到物联网、智能设备的种种浪潮更迭，也看着腾讯安全团队如其母公司一般，达到和超越国内的同侪，成为引领业界先进标准的排头兵。

腾讯安全平台部总监胡珀

黑客的养成

在上世纪六十年代的美国，麻省理工、斯坦福中活跃着一群学生，他们爱好计算机技术，喜欢编程，在车库里拼装计算机，不同于传统意义上的好学生，他们被冠以Hacker之名。比尔·盖茨、沃兹·尼亚克都是其中佼佼者，并推动了美国个人计算机的普及化。

苹果联合创始人沃兹·尼亚克

这张就不用介绍了

回首黑客们五六十年短暂的历史会发现，对技术的热爱和好奇心一始贯之。而胡珀最初对于信息安全的兴趣来自于 2002年报刊亭的那一瞥。

彼时，胡珀才刚上高二，路过报刊亭时，一本叫做《黑客X档案》的杂志吸引了他的目光。期期不漏地坚持下来，他从一开始的基本看不懂，到能摸清大部分文章，差不多花了半年时间。

如今看来，那本薄薄的杂志让胡珀寻得网络信息安全的大门踪迹。自此，他便一发不可收拾。大学后，胡珀开始更加专心地研究安全技术，也从《黑客X档案》的读者变成了资深作者，后来转战CSDN博客写技术文章，“lake2”的网名从此开始在圈子里小有名气。

这曾是国内发行量最大的网络安全（电脑黑客）类杂志，在2013起因不明原因停刊，有趣的是，对抗腾讯（尤其是QQ）是杂志上常见的主题

黑客与网络安全恰似一枚科技硬币的两面，但相同的是对技术的热忱，“知兵非好战”。大学毕业之后，胡珀加入了腾讯，当问及这么多年怎么坚持下来的，他笑称，唯有“兴趣”二字。日常生活中的所有新东西，在他看来都是尚未解开的谜题，等待破解的难关。为了更专注于互联网最新领域前沿研究，他成立了Tencent Blade Team，带领一群兴趣相投的小伙伴一头钻进最新科技里。新手机上线了，他们劫持过流量；智能设备火了，他们研究过如何修改摄像头实时视频；智能楼宇成为大流，他们更是破解了办公室门禁、绕过停车场识别系统……

而这些兴趣背后的，就是物联网时代下全新的安全挑战。

现在已经成为腾讯安全平台部总监的胡珀，除了全盘操控，保证应用运维安全之外，还负责国际范围内的前沿安全攻防技术、黑客攻防技术对抗研究，包括人工智能（AI）、物联网、移动互联网、数据安全等。

在信息安全领域，有着攻防型人才和运营型人才的分野，而对于前者，天赋和性格比后天培养更重要。胡珀说，目前他们也是是选人为主，育人为辅。“有一些真正优秀的人，其实并不需要怎么，给他一个合适的环境，他自己很快就成长起来。我不太清楚其他领域是不是这样，但是安全领域，培养相对次要一点，（重要的）就是有一个环境，把合适的人聚在一起。”

那么，问题来了，什么样的人才是合适的人呢？

在胡珀看来，首先是需要有好奇心，而当时掌握的技术反而不是那么重要。不止一次发生过，招过来各项评估都差不多的两个人，最后个人成长发展却大不相同，在信息安全的职业路径上，真正的需要的素质往往是HR所看不到的。

其次是诱惑，实际最早的Hacker多是出于技术热爱，但随着科技，尤其是个人计算机和互联网的普及，让成为Hacker的门槛大大降低，而经济上的诱惑，让不少人从占小便宜蜕化到了经济犯罪。国外有黑帽子和Cracker的分化出现，而时间稍后的国内则将Hacker翻译为黑客。一个趋势是，以往单个的黑客行径，正变成有组织化的黑产，虽然安全能力的普遍上升让其门槛提高，但新的黑产体系让其破坏性和利润也提高了。

一个漏洞可以卖多少钱？有的资深黑客回忆，在世纪之初，将找到的漏洞无偿分享还是一种良好的风气，而现在，在黑市上一个漏洞甚至可能被卖到200万美元的高价，然后被黑客组织用于军事等目的；与之相对的是，一些厂商如谷歌，基于白帽子的形式手机漏洞，最高的奖励是20万美元。所以正直是胡珀尤为看重的基础素质，而在此之外，无论是学习能力还是花在学习上的耐心，都可以靠后天的培养获得。

网络安全进阶课

好了，有了这些基本的素质，我们可以考虑些进阶的要求。

对于像腾讯这样的公司，他们招聘安全人员的直接动力视为自己的业务保驾护航，因此最希望的事情莫过于，招聘进来的人立刻就能开始工作。

所以选人很重要，素质也很重要，但你多少要会点。一个公认的观点是，安全技术绝不是只在课本上就可以学到的，这是一个极为重视实践的行业，所以在贸贸然去参加招聘之前，找地方好好实习下是有必要的。这能为你的应聘保驾护航，或者让你早点学会放弃。

在计算机领域，天才和一般人的差异，被极度的放大，看过美剧《硅谷》的朋友都知道，低情商优柔寡断的男主角，靠着在压缩领域的天才算法，就足以对抗一众硅谷的大人物。在不久前的强网杯上，一位复旦的学子一个人对抗了全场，复旦大学软件学院的陈辰老师就认为，如何培养这样优秀的精英人才，是大学教育目前最重要的问题。

不过，让你稍微感到安慰的是，这样的人往往不会是你的竞争对手，他们更愿意去自己做点什么，比如复旦的那位学子，就在开发系统，而他的理由是——不愿意去给那些写垃圾软件的人擦屁股。是的，这会是你未来面临的重要工作之一，即使有一天你已经是精英级别的安全人员，还是要为那些远不如你的人写的东西打补丁。

还好社会也在进步，程序开发者们的水平渐长，百度安全的欧阳强斌分享过目前互联网企业的漏洞分布，其中很明显的安全设计缺陷，也就是常说的逻辑漏洞，这些在设计、实现阶段由于缺乏考虑和测试导致的问题占比20%，越权，包括水平、垂直越权和许多历史遗留原因造成的API未授权访问导致信息泄露等有25%，XSS是18%，信息泄漏有12%，其他漏洞占比25%。传统的高危漏洞占比正不断减少，而且用扫描器检出的效果也很好。

实际上，在腾讯，发现漏洞已经对攻防人员最基本的要求，更重要的是把发现漏洞的能力，转化成对腾讯能够通用的能力，“腾讯这么多服务，这么多网站，发现漏洞不可以一个一个去做，而且每天会有新同学、新的开发代码，人工去挖是不现实的，我们更关注怎么把智慧能力转成自动化或者是部分自动化的系统，解决公司层面的问题。”胡珀在腾讯的十余年间，就和战友们一起走出了腾讯漏洞扫描系统的自研之路。挖漏洞只是辅助性工作，如何在上线前自动化发现漏洞、解决漏洞，才是重中之重。

当然，对于一个新人，挖掘一个漏洞依旧是有挑战性而且可以让你快速成长的一件事情。

以胡珀的经验来看，挖第一个漏洞的时候，是比较难但也可以快速延伸知识体系的阶段，在这个阶段之后，就可以形成良性循环，能够比较“爽”的挖漏洞。再往后，到可以挖到全球顶级公司安全性更高的系统的漏洞之间，又会有新的瓶颈期，而那就需要多多少少靠天赋去突破了。至于在这个过程中所需要学习的东西，只能说多多益善，尤其在技术快速发展的阶段，每一次演进都会带来无数的问题，而这也是安全人员发挥才智的空间。

最后，用《硅谷》中负责安全的Bertram Gilfoyle的一段自白来总结下安全工作的重要性：

作者：李昊原

审稿编辑：茉莉

排版编辑：周星如

想查看更多精彩内容、下载更多干货白皮书，就快来扫我吧！