打怪升级：一个普通白帽子的安全从业之路

我们联系到施泽寰的时候,他正在疯狂的出差和加班——见到我们，他说：“我很乐意抽出时间和你们讲讲我的故事，其实，就是一个普通八零后的安全从业故事”。

我不是一个安于现状的人——我1989年出生在广州，从事信息安全行业的四年时间里换了三家公司，从内网公司，到传统安全公司，后来再到外企。

除了繁忙的正式工作外，我还给自己找了几份兼职,为私有SRC进行漏洞挖掘、渗透测试、编译安全类的海外资讯为媒体供稿。

而我与计算机的故事，要从高中讲起。

计算机课上的《流星·蝴蝶·剑》

我最早接触计算机是在高中时期，当时有一款名为流星蝴蝶剑的小说改编游戏在同龄孩子中十分流行。

学校上计算机课的时候，老师的授课内容以Office、多媒体等计算机基础应用为主，这类基本的软件操作，我很早之前就已经掌握，大量的课堂练习时间让我昏昏欲睡。

班上不少男同学也有类似的烦闷，于是，我和几个同学一合计，索性就用U盘将流星蝴蝶剑拷贝到学校机房的电脑里，如果老师使用教学模式控制电脑，我就在控制与没控制之间的几秒钟反应时间里重启计算机。

重启界面刚一亮起，我就快速切到任务管理器，关闭教师端的控制系统。由于当时的机房大，使用人数少，所以如果只是少了几台计算机被控制，老师并不容易发现。

有了一次成功课上游戏的经历，之后几乎一到计算机课，我班级的男生就会成群结队的玩起流星蝴蝶剑。

突破限制，玩到游戏的满足，让我对计算机产生了浓厚的兴趣，和很多计算机爱好者一样，我由游戏开始了对编程、破解知识的自我探索。（如德国教育学者跟踪实验千次得出的结论：最好的教育是将学习设计成游戏。）

因为兴趣使然，所以我在高考的时候，毫不犹豫的选择了信息工程专业，接受了四年系统的本科学习。

毕业后从事安全行业遇到的尴尬

2012年，我从广东工业大学毕业，在校招的时候，我拿到了几家开发公司的offer，就像当初上计算机课一样，几个月零碎的实习生活，让我感到无比烦闷，我不希望将自己局限于本科课程内的开发领域，而想要学到更多新鲜的东西。

我找到了一家专注于内网的信息安全公司，通过面试，我成为了该公司的技术顾问（公司对外的职称）——你别看名头听起来响当当，实际来说，我还只是信息工程专业毕业不久的新人，对安全的专业知识理解并不十分透彻，也缺乏实战经验。

果然，刚进公司没多久，就碰钉子了——公司派给我的活儿正好是我非常不熟悉的银行内网安全部署工作，而且只有我一个人做技术支撑。相对其他行业，银行的人员、资产、内网架构比较复杂。

银行负责人在向我咨询安全问题时，发现自己一头雾水，总是被客户问倒，记得那时候，经常会有种无力的感觉。

有一天，银行的项目负责人拿出内部的网络结构拓扑图给我看，项目负责人说：“你能不能从安全角度帮我们分析一下漏洞，做个风险评估。”

 “让我先看一下。”

大概过了半个多小时，我发现，我能做到的只是基于内网知识给客户一些建议，至于客户有关安全漏洞、风险评估的问题，我基本像丈二长的和尚，完全摸不着头脑。

最后，我支支吾吾的打了个擦边球，回答了一些自己熟悉的内网安全问题。

客户对我的回答有些不满意，接着问：“除了内网之外，关于外网、数据安全、应用安全方面，需要我给你什么内部资料，你才能评估？”

我脑子里一片空白，像是天上砸下来了一个晴天霹雳，这是以我当时的经验，根本解不出的难题。客户问的我几乎不知道，甚至，除了内网之外，关于安全，我懂得可能还不如客户多。

那个项目后面比较尴尬，虽然最后额定的内容完成了，但客户觉得我没有给他提供额外的增值服务，他觉得我是做安全的，分析评估居然都不懂。

因安全经验不足而走的弯路

后来，随着我的客户圈逐渐扩大，我的短板也愈发凸显，比如我长期摸着内网，对外网不太熟悉，对传统的安全分析评估也拿捏不准，一个完整的安全项目自己根本承担不了。

为弥补外网经验和安全分析评估经验上的缺陷，我下决心要给自己换一份工作——到更加全面的平台去学习更多的东西，提升自己的价值。

几经寻找，一家传统安全公司向我抛出了橄榄枝。我在这家公司开始正式接触到了安全风险评估、渗透测试等传统安全项目。

传统安全公司里不少安全界的前辈成为了我的引路人，除了读书自学外，我常常向前辈请教项目疑难。别以为有了老师就万事大吉了，我遇到的麻烦还真不少。

记得第一次是和移动市级运营商的合作。我要为移动市级运营商做一个风险评估，但在项目进行过程中，对方少给了我两个月资产清单，我在核对时也没有发现——这导致许多新增资产（包括新的安全设备、新上线的安全系统）都没有被记录在案。

连续工作了十五天，我拿出评估报告给客户看时，客户惊讶的问：“资产怎么少了这么多？”大家一交流才发现原来有两个月的清单没有录入，这一失误，让我不得不再连续挑灯夜战了五个工作日。

第二次是我去做一个渗透的项目，客户是一个大的政府部门，客户想要针对自身安全防护体系做一次初步评估，同时也验证我当时所在公司的安全支撑能力，要求我方对其web站点进行渗透测试，，我被选做公司的前锋，率先去试探一下客户的安全防护能力，只要我能够攻破对方的系统就算完成任务。

结果几天过去，我尝试了多种方法都攻不进去，一开始我以为是客户在防火墙上重新调整策略，过滤和屏蔽了此前发起的测试数据包，使得任何信息都没收集到，后面也没什么思路，只能通过商务同事，询问了下客户，是否有调整防火墙策略？

记得从商务同事手机传来了客户略带嘲讽的声音“我们没有调整防火墙的相应策略呢，你们的工程师渗透能力也比较弱吧，还没有拿到权限？”

后来商务同事索性利用个人关系联系了一个资深黑客——那人一下子就拿攻入了政府部门web站点，拿到了管理员权限，帮助公司证明了实力，争取到了项目。

这个事儿对我打击很大，它纯粹是实力差距，但是有一次激发我不断完善自身技术，了解新的思路。

第三次，我获得到了一家客户的授权，被允许对其内部资产进行安全扫描，但我在扫描前，忘却了与客户确认，是否可以进行扫描，谁能料想到，我的渗透测试竟把客户比较重要的三台服务器扫挂了。客户对我冒失的扫描行为感到十分不满。

事后我才得知，其实那时并不是因为扫描引起的，只是刚好客户的服务器在更新升级，本就不是很稳定，一扫描就宕机了。

经历了这三次较为尴尬的事件，我得出了经验，一方面提升实力是硬道理，另一方面也要学着多和客户沟通——做安全，就是安全感，不能随心所欲，开始的时候差一点点，到最后就不知道差到哪里去了。

舒适了就换个战场

一年之后，我在传统安全企业解决了大部分的自身缺点，又在多次打击中锻炼了自身的意志力，通过自学和请教前辈我不断完善自己的知识体系——无论从何种角度，当时的我可以算的上是一个合格的安全新兵了。

于是——我又不安分了，我决定再次挑战一下自己——去外资安全企业。如果一直在老环境呆下去，我会偏于安逸，那时候进取的念头就容易被消磨，可要是换个环境，虽然开始会觉得不适应，但回过头去看会很有价值。

进到外资安全企业，我遇到的第一个困难就是语言关，虽然大部分与计算机相关的英语词汇在大学里我都有学习，但放到句子中我就是看不懂——但没办法，为了获得更多项目机会，我必须重新开始学习英文，一点点地阅读外国的技术类文章。

我觉得做安全思路很重要，不同的人会有不同的经历，特别是渗透，哪种思路效率更高、更有效，外国的技术文章会给我很多启发。

长期阅读外语技术类文章的习惯，让我获得了额外的兼职机会，我现在会利用业余时间翻译外国的专业技术文献 、新闻，为一些媒体供稿。

总的来说，我始终觉得自己不是一个乐于安逸的人，爱折腾，如果自己感觉舒适了，就换个战场。

十年爱情长跑：我在未婚妻身上学到很多

为什么我要用一种不舒服的状态去提升呢？——是因为我的未婚妻，她给我动力，促使我去主动学习的更多。

我的未婚妻是医药科研博士，她对待科研工作的严谨性，对事情的规划能力，对实际操作的把控能力，让我觉得特别牛。

虽然未婚妻有时候可能会比较急，比较直接，但她特别真实，说的话绝不会跟事实有一点儿偏颇——任何一件事，她会很早去规划，要花多少时间，投入多少精力，最后大概能够做到几分，她事前都能预计得到。

我的话……在这方面就有待提高。我会在一开始比较乐观的估计自己，一到真实操作的时候就会出现差距，影响到最后的结果。

比如，我原本打算2016年底结束这场从高中开始的爱情长跑，跟未婚妻结婚，但到眼前了，发现房子问题、流程问题、习俗问题还没有搞定，所以导致整个婚期会往后推延。归咎原因，其实就是我没有好好做计划。

一个普通的安全从业者

这四年来，施泽寰一直在不断的改变和成长。他在国内知名报刊发表了很多篇论文，包括《信息安全态势分析在信息安全管理中的应用》 、 《计算机网络信息安全管理体系的构建探析》 等。

在工作期间，施泽寰尝试扩展研究方向及技术手段，他参与的项目已经涵盖了中国移动、广发银行、农业银行等企事业单位，还有广州市地方医院、地方政府等公共单位。

施泽寰有优点，也有不足，他说自己还在前行的路上——“2017年，我有两个梦想，一个是和未婚妻完婚；还有一个就是继续挑战自我，学习到新东西，在渗透评估、安全咨询领域成为‘永不舒适’的专家。”

这是一个普通的信息安全从业者的故事，他的故事可能不够回环曲折，但在安全行业，的确有更多的人是像施泽寰一样默默无闻，低头做事，但他们每个人，都为安全行业做出了自己的贡献。

人物问答：

问：生活上是一个什么样的人？

答：“比较喜欢运动，像篮球、乒乓球、羽毛球，小时候还得过奖。但工作后，时间一点一点的被挤压了，运动越来越少了。

除此之外，看书也比较多，比较喜欢看侦探、悬疑、盗墓类的小说，我挺念旧的，一个东西会看很多遍，比如柯南，还有像盗墓笔记（看了四遍）——因为小时候就喜欢历史，爸爸书房里的后汉书、史记、资治通鉴都翻了一遍，对中国古代文化很着迷。

娱乐方面看的比较少，但《爱情公寓》看了又七八遍，我笑点比较低，主要用来调整心态，吃饭的时候看一两集，看的过程是释放压力的过程。”

问：周末时间怎么利用，会跟朋友出去聚会吗？

答：“可能聚会去的比较少，我挺宅的，周末也是看书干活，学习一些技术，会觉得比较充实。而且感觉网络和现实不一样，网络的感觉会更加自由一点——那种感觉是如鱼得水的畅快，但在现实中没那么大的自由和满足感，除了运动、看书、陪家人，生活就比较平凡，如果要做一些热血沸腾的事情我会去网络。”

问：你觉得你是一个追求极致的人吗？

答：“算是，比如我要做一项东西，我会很用心的去做，不会因为累就草草的了结，哪怕是兼职写文章、翻译，我也不会因为累就放下笔，我会选择再坚持一下，再检查一下，最后自己感觉问心无愧了才发稿。”

问：你对安全圈有什么自己的看法？

答：“需要更多创新性的东西，现在很多内容是参考国外的，国内特别需要敢于自己创新的想法，并付诸实践。

还包括一些产品，很多企业用一些开源的代码，打包修改，造出个产品转手就出去卖，对于企业来说这样可以创造利润，但对大环境发展不是很有利。”

问：你理想中的安全圈是什么样的？

答：“有一个很开方性的探讨的平台，有更多的实验室（不止是大公司、小公司也可以有创新型的研发实验室）——可以摆脱商务手段，大家在技术上公平竞争，国内整体上可以和外国的黑客、白帽子可以进行对抗，在竞争中，提升我国安全领域的整体实力。”

问：快到新年了，能不能拜托你给安在君送一句寄语？

答：“在我看来，安在是国内第一家关注人和事的安全媒体，你们关注到了这个圈子的真实生活，让人们摆脱了对黑客的刻板印象——希望安在可以在新的一年里，将更加鲜活的黑客生活展现在大家面前，让人们能够了解和理解这个群体。”

安在关注网络安全领域的价值发现和趋势，关注该领域的大小人物和大小公司，如果您希望寻求报道，或者爆料，欢迎随时和我们联系。我们将以最专业的自媒体团队，做出有价值有看点的报道。让您的故事被更多人了解，让您的项目第一时间受到投资人的关注。

可以发送相关请求到[email protected] ，也可以添加小编微信，提交报道申请，需要强调的是，我们不做任何收费报道，不接受任何软文请求。