安全是個(gè)復(fù)雜互聯(lián)的網(wǎng)絡(luò)。這個(gè)包羅萬(wàn)象的領(lǐng)域中有很多細(xì)分門(mén)類(lèi)，但有些經(jīng)驗(yàn)是跨界適用的。物理安全很大程度上可被視為網(wǎng)絡(luò)安全超然元素的代表。無(wú)論數(shù)字安全還是物理安全世界，都依賴相同的基本原則。雖然可能需要不同的工具和技術(shù)才能真正理解，開(kāi)鎖匠確實(shí)有些經(jīng)驗(yàn)是可以教給網(wǎng)絡(luò)安全從業(yè)者的。

[[187920]]

1. 行為準(zhǔn)則

開(kāi)鎖匠首先要學(xué)的，就是開(kāi)鎖的兩大基本原則。首先，別碰未經(jīng)主人允許的鎖。這是開(kāi)鎖的行規(guī)，是好奇與法律之間差異的備忘。大多數(shù)地方都有對(duì)開(kāi)鎖職業(yè)的法律監(jiān)管，所以道德開(kāi)鎖匠必須時(shí)刻記得自己那點(diǎn)小愛(ài)好可能招致的殘酷后果。相同的原則適用于網(wǎng)絡(luò)安全從業(yè)者。都必須遵從法律行事。

第二條準(zhǔn)則相對(duì)不那么直接易懂。別撬正在使用中的鎖。開(kāi)鎖匠需要認(rèn)識(shí)到，自己是在破壞手頭那把鎖的安全。挑戰(zhàn)設(shè)備核心本質(zhì)的時(shí)候，總是帶有毀壞設(shè)備的風(fēng)險(xiǎn)。職業(yè)鎖匠會(huì)遇到需要撬在用的鎖，這條原則作為破壞安全危險(xiǎn)的提醒而存在。

白帽黑客知道，如果非必要測(cè)試網(wǎng)絡(luò)安全，網(wǎng)絡(luò)可被破壞，文件會(huì)被侵染，公司會(huì)遭遇宕機(jī)……安全測(cè)試自帶固有風(fēng)險(xiǎn)。你在做的一切所產(chǎn)生的后果，必須總是正面的。

2. 興趣即能力

鎖匠總在找新方法開(kāi)鎖。廠商總在推出產(chǎn)品修復(fù)新漏洞。最終結(jié)果就是一個(gè)動(dòng)態(tài)研究的領(lǐng)域。鎖匠必須保持知識(shí)和技術(shù)總是處在最前沿，只要不能解析新設(shè)備，就會(huì)被時(shí)代無(wú)情拋棄，只要學(xué)不會(huì)避開(kāi)鎖頭的***方法，下一波演進(jìn)會(huì)把你拋得更遠(yuǎn)。要搏擊不斷變化的浪潮，鎖匠必須對(duì)工作興趣滿滿。

興趣是***的老師，往往還能激發(fā)你去學(xué)習(xí)更多東西。沒(méi)有興趣，就沒(méi)有了讓鎖匠學(xué)習(xí)必要知識(shí)以保住地位的動(dòng)力。電子和軟件安全飛速變化，不保證興趣，太容易被時(shí)代甩下，甚至僅僅是脫離實(shí)踐一段時(shí)間，技能也會(huì)萎縮衰退。

開(kāi)鎖是門(mén)很容易過(guò)時(shí)的技術(shù)，啥都不干，你的能力就作廢了。鎖匠自己清楚，失去興趣不僅意味著落后，還意味著之前所有都蒸發(fā)了。興趣越濃厚，技術(shù)越安全。

3. 啥都能被打開(kāi)

鎖就是用來(lái)開(kāi)的。它也能關(guān)，但不能永遠(yuǎn)關(guān)著。讓正確的人進(jìn)入的鎖才是鎖。誰(shuí)都不讓進(jìn)，那必然是把壞掉的鎖。鎖匠知道這是所有安全領(lǐng)域的固有缺陷。鎖的意義，不在于讓所有人都進(jìn)不來(lái)，而是讓正確的人能進(jìn)來(lái)。你要做的，就是讓鎖為你開(kāi)啟——即便在不應(yīng)該開(kāi)啟的時(shí)候。但是，鎖頭未必要按既定方式打開(kāi)。鎖匠知道鎖頭終會(huì)被打開(kāi)，沒(méi)什么東西是完全安全的。

這就是保持鎖匠不斷研磨自身的教義，但有時(shí)也會(huì)引發(fā)沮喪。你不能再因?yàn)樽约鹤霾坏?，或者?dāng)前還沒(méi)人能做到，就說(shuō)“做不到”。網(wǎng)絡(luò)安全專家必須清楚，自己做的或者嘗試?yán)@過(guò)的任何東西，從一開(kāi)始就是有漏洞的。

每把鎖都有鑰匙，鑰匙工作方式能告訴你精煉繞過(guò)方式所需的所有知識(shí)。

4. 每個(gè)敵人的進(jìn)攻方法都想到

開(kāi)鎖方法多種多樣。你可以拆了它，把每個(gè)部件弄下來(lái)，用梳鎬、撞匙等工具。如果真的想進(jìn)去，直接切了，或者用錘子砸爛都行。重點(diǎn)是，最復(fù)雜的方法往往不是進(jìn)門(mén)的方法。作為鎖匠，就是嘗試哪種辦法能行。對(duì)付以前從未見(jiàn)過(guò)的鎖頭時(shí)，像新人一樣不斷測(cè)試。鎖孔里轉(zhuǎn)動(dòng)無(wú)礙了嗎?那就可以開(kāi)始更準(zhǔn)確的實(shí)驗(yàn)了。

太多人告訴你換位思考，但極少有人跟你說(shuō)要把每一個(gè)可能進(jìn)攻你系統(tǒng)的人都考慮到。這能防止你局限在自己的思維中。像看過(guò)YouTube視頻教程的罪犯一樣思考能擴(kuò)展思路，幫助料敵機(jī)先，防范真正的威脅。有人可能就是很走運(yùn)，你的部分工作就是找出他們需要多走運(yùn)才能登堂入室。

作為專家，就是要能夠以專業(yè)領(lǐng)域內(nèi)各個(gè)層次的人的思考角度出發(fā)想問(wèn)題。這才是專家優(yōu)勢(shì)所在。鎖匠能像每一種偷兒一樣對(duì)鎖下手，網(wǎng)絡(luò)安全人員也需要能夠理解黑帽子的思路想法。

5. 耐心

開(kāi)鎖必須十分專注且耐心。太急躁容易導(dǎo)致弄壞工具，甚至直接把鎖廢了。不過(guò)，***情況下，不耐煩僅僅是讓開(kāi)鎖過(guò)程大幅延長(zhǎng)而已。越急躁，越容易忽略某些東西。越耐心，失誤越少。

鎖頭會(huì)隱晦地透露給鎖匠一些信息，所謂的反饋。輕微的滴答聲，內(nèi)部機(jī)制的運(yùn)轉(zhuǎn)等等，都會(huì)出賣(mài)裝置隱藏的秘密。耐心讓你可以注意到這些微小的信號(hào)。

可以快，但不能是趕工那種快。在網(wǎng)絡(luò)安全上，向時(shí)間投降只會(huì)讓事情更麻煩，而這是失敗的一大誘因。時(shí)間框架不是問(wèn)題，思想態(tài)度才是。越是時(shí)間緊，越不能匆忙行事。缺乏耐心的鎖匠，成功只能靠運(yùn)氣。事情總會(huì)花去它該花費(fèi)的時(shí)間。即便要用到六種不同方法，你也必須一種種冷靜運(yùn)用。

精明管理時(shí)間，要知道：失去冷靜是全盤(pán)皆輸?shù)慕輳健?/p>

結(jié)論

不同安全領(lǐng)域能相互學(xué)習(xí)的經(jīng)驗(yàn)很多。鎖匠看待自身道德責(zé)任的態(tài)度，對(duì)深入理解安全漏洞查找的意義也有幫助。它還能提供對(duì)自身領(lǐng)域固有缺陷的認(rèn)知，賦予你像每一個(gè)試圖侵害系統(tǒng)的人一樣思考的能力，讓你能夠清醒耐心地搞定自身責(zé)任。有了這些深入了解，你就能成為更全面發(fā)展的安全專家了。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文