如果我有應聘騰訊安全平臺部的攻略，你想看嗎？

“在最初的一年多里，騰訊並沒有考慮到安全問題，OICQ 的通訊協議是不加密的，協議脆弱，明碼傳輸，如果有黑客要搗亂，可以任意地調取用戶的資料。後來，馬化騰發現這是個問題，便命程序員黃業均開發加密軟件。兩個多星期過去了，馬化騰想看看程序寫到哪個階段了，於是就跑去找黃業均，黃出去打球了，不在座位上，桌子上倒扣着一本《加密原理》的書籍，馬化騰拿起，翻過來，不禁大驚失色：黃業均正在讀第一章第一節，標題是：什麼是加密。”

這個關於安全的段子在騰訊內部流傳已久，後來還被寫進了《騰訊傳》中。

而騰訊真正開始把安全當回事，差不多可以定格在2005年。時年10月27日的QQ 2005新品發佈會上，馬化騰首次提出了通信產業發展的6大趨勢，其中第5條即是安全性，在這次演講中，他將安全性上升到了未來即時通信保障基礎應用的根本之道的地位。

騰訊安全平臺部總監胡珀大學畢業就進入騰訊，一待就是11年。從最基礎的T1助理工程師開始，他一路成長，經歷了從Web2.0、移動互聯網，再到物聯網、智能設備的種種浪潮更迭，也看着騰訊安全團隊如其母公司一般，達到和超越國內的同儕，成爲引領業界先進標準的排頭兵。

騰訊安全平臺部總監胡珀

黑客的養成

在上世紀六十年代的美國，麻省理工、斯坦福中活躍着一羣學生，他們愛好計算機技術，喜歡編程，在車庫裏拼裝計算機，不同於傳統意義上的好學生，他們被冠以Hacker之名。比爾·蓋茨、沃茲·尼亞克都是其中佼佼者，並推動了美國個人計算機的普及化。

蘋果聯合創始人沃茲·尼亞克

這張就不用介紹了

回首黑客們五六十年短暫的歷史會發現，對技術的熱愛和好奇心一始貫之。而胡珀最初對於信息安全的興趣來自於 2002年報刊亭的那一瞥。

彼時，胡珀纔剛上高二，路過報刊亭時，一本叫做《黑客X檔案》的雜誌吸引了他的目光。期期不漏地堅持下來，他從一開始的基本看不懂，到能摸清大部分文章，差不多花了半年時間。

如今看來，那本薄薄的雜誌讓胡珀尋得網絡信息安全的大門蹤跡。自此，他便一發不可收拾。大學後，胡珀開始更加專心地研究安全技術，也從《黑客X檔案》的讀者變成了資深作者，後來轉戰CSDN博客寫技術文章，“lake2”的網名從此開始在圈子裏小有名氣。

這曾是國內發行量最大的網絡安全（電腦黑客）類雜誌，在2013起因不明原因停刊，有趣的是，對抗騰訊（尤其是QQ）是雜誌上常見的主題

黑客與網絡安全恰似一枚科技硬幣的兩面，但相同的是對技術的熱忱，“知兵非好戰”。大學畢業之後，胡珀加入了騰訊，當問及這麼多年怎麼堅持下來的，他笑稱，唯有“興趣”二字。日常生活中的所有新東西，在他看來都是尚未解開的謎題，等待破解的難關。爲了更專注於互聯網最新領域前沿研究，他成立了Tencent Blade Team，帶領一羣興趣相投的小夥伴一頭鑽進最新科技裏。新手機上線了，他們劫持過流量；智能設備火了，他們研究過如何修改攝像頭實時視頻；智能樓宇成爲大流，他們更是破解了辦公室門禁、繞過停車場識別系統……

而這些興趣背後的，就是物聯網時代下全新的安全挑戰。

現在已經成爲騰訊安全平臺部總監的胡珀，除了全盤操控，保證應用運維安全之外，還負責國際範圍內的前沿安全攻防技術、黑客攻防技術對抗研究，包括人工智能（AI）、物聯網、移動互聯網、數據安全等。

在信息安全領域，有着攻防型人才和運營型人才的分野，而對於前者，天賦和性格比後天培養更重要。胡珀說，目前他們也是是選人爲主，育人爲輔。“有一些真正優秀的人，其實並不需要怎麼，給他一個合適的環境，他自己很快就成長起來。我不太清楚其他領域是不是這樣，但是安全領域，培養相對次要一點，（重要的）就是有一個環境，把合適的人聚在一起。”

那麼，問題來了，什麼樣的人才是合適的人呢？

在胡珀看來，首先是需要有好奇心，而當時掌握的技術反而不是那麼重要。不止一次發生過，招過來各項評估都差不多的兩個人，最後個人成長髮展卻大不相同，在信息安全的職業路徑上，真正的需要的素質往往是HR所看不到的。

其次是誘惑，實際最早的Hacker多是出於技術熱愛，但隨着科技，尤其是個人計算機和互聯網的普及，讓成爲Hacker的門檻大大降低，而經濟上的誘惑，讓不少人從佔小便宜蛻化到了經濟犯罪。國外有黑帽子和Cracker的分化出現，而時間稍後的國內則將Hacker翻譯爲黑客。一個趨勢是，以往單個的黑客行徑，正變成有組織化的黑產，雖然安全能力的普遍上升讓其門檻提高，但新的黑產體系讓其破壞性和利潤也提高了。

一個漏洞可以賣多少錢？有的資深黑客回憶，在世紀之初，將找到的漏洞無償分享還是一種良好的風氣，而現在，在黑市上一個漏洞甚至可能被賣到200萬美元的高價，然後被黑客組織用於軍事等目的；與之相對的是，一些廠商如谷歌，基於白帽子的形式手機漏洞，最高的獎勵是20萬美元。所以正直是胡珀尤爲看重的基礎素質，而在此之外，無論是學習能力還是花在學習上的耐心，都可以靠後天的培養獲得。

網絡安全進階課

好了，有了這些基本的素質，我們可以考慮些進階的要求。

對於像騰訊這樣的公司，他們招聘安全人員的直接動力視爲自己的業務保駕護航，因此最希望的事情莫過於，招聘進來的人立刻就能開始工作。

所以選人很重要，素質也很重要，但你多少要會點。一個公認的觀點是，安全技術絕不是隻在課本上就可以學到的，這是一個極爲重視實踐的行業，所以在貿貿然去參加招聘之前，找地方好好實習下是有必要的。這能爲你的應聘保駕護航，或者讓你早點學會放棄。

在計算機領域，天才和一般人的差異，被極度的放大，看過美劇《硅谷》的朋友都知道，低情商優柔寡斷的男主角，靠着在壓縮領域的天才算法，就足以對抗一衆硅谷的大人物。在不久前的強網杯上，一位復旦的學子一個人對抗了全場，復旦大學軟件學院的陳辰老師就認爲，如何培養這樣優秀的精英人才，是大學教育目前最重要的問題。

不過，讓你稍微感到安慰的是，這樣的人往往不會是你的競爭對手，他們更願意去自己做點什麼，比如復旦的那位學子，就在開發系統，而他的理由是——不願意去給那些寫垃圾軟件的人擦屁股。是的，這會是你未來面臨的重要工作之一，即使有一天你已經是精英級別的安全人員，還是要爲那些遠不如你的人寫的東西打補丁。

還好社會也在進步，程序開發者們的水平漸長，百度安全的歐陽強斌分享過目前互聯網企業的漏洞分佈，其中很明顯的安全設計缺陷，也就是常說的邏輯漏洞，這些在設計、實現階段由於缺乏考慮和測試導致的問題佔比20%，越權，包括水平、垂直越權和許多歷史遺留原因造成的API未授權訪問導致信息泄露等有25%，XSS是18%，信息泄漏有12%，其他漏洞佔比25%。傳統的高危漏洞佔比正不斷減少，而且用掃描器檢出的效果也很好。

實際上，在騰訊，發現漏洞已經對攻防人員最基本的要求，更重要的是把發現漏洞的能力，轉化成對騰訊能夠通用的能力，“騰訊這麼多服務，這麼多網站，發現漏洞不可以一個一個去做，而且每天會有新同學、新的開發代碼，人工去挖是不現實的，我們更關注怎麼把智慧能力轉成自動化或者是部分自動化的系統，解決公司層面的問題。”胡珀在騰訊的十餘年間，就和戰友們一起走出了騰訊漏洞掃描系統的自研之路。挖漏洞只是輔助性工作，如何在上線前自動化發現漏洞、解決漏洞，纔是重中之重。

當然，對於一個新人，挖掘一個漏洞依舊是有挑戰性而且可以讓你快速成長的一件事情。

以胡珀的經驗來看，挖第一個漏洞的時候，是比較難但也可以快速延伸知識體系的階段，在這個階段之後，就可以形成良性循環，能夠比較“爽”的挖漏洞。再往後，到可以挖到全球頂級公司安全性更高的系統的漏洞之間，又會有新的瓶頸期，而那就需要多多少少靠天賦去突破了。至於在這個過程中所需要學習的東西，只能說多多益善，尤其在技術快速發展的階段，每一次演進都會帶來無數的問題，而這也是安全人員發揮才智的空間。

最後，用《硅谷》中負責安全的Bertram Gilfoyle的一段自白來總結下安全工作的重要性：