我看信息安全从业者

互联网公司里，如果你是负责信息安全的，估计在一些老板眼里，你的工作很难体现出来价值。如果公司信息安全不出问题，有些人认为你什么都没做，如果出了问题，比如数据被盗，你又要承担责任。

不少企业负责人的心态如这张漫画所示(这张图是一位安全从业者给我的)：上帝呀，你该保佑我。我都祈求你保佑我了，怎么还会被石头砸？可是，上帝帮你挡了太多石头了，漏掉了一块而已。

这些石头就好比网站漏洞或是流程中的风险，从概率上看，任何系统都会一直有漏洞(正如同足球场上守门员再厉害也会被破门一样)，有漏洞就有风险，必须持续投入降低这些风险。

信息安全领域，有很多「白帽子」黑客，他们乐衷于寻找各种系统的安全漏洞，自己并不利用漏洞牟利，而是选择联系厂商修复漏洞或是提交到第三方漏洞平台。我一向认为，这样的黑客是非常值得敬重的，从另一个角度上看，他们有破坏性的力量，可以用来攻击系统或是用漏洞在黑市上牟利，但他们做了另外的选择，他们选择不做破坏，这足够了不起。

每个接到漏洞报告的厂商应该高兴才是，我甚至认为应该给予漏洞报告者足够的物质奖励(即使那奖励对于他们的投入不成正比)，对于他们反馈的信息，应该给予正向的回报激励。不过，也有的厂商会把白帽子黑客看做是带来坏消息的「花剌子模信使」，甚至报警抓白帽子，非常令人遗憾。不少白帽子年纪不大，对信息安全的法律条款不够重视，不排除白帽子有的时候也会越界，毕竟很多地方都是模糊地带。

我相信一点，有白帽子被抓(别误会，铤而走险违法的不算)，就有更多黑客选择不做白帽子，甚至不做网络安全这一行。更何况，作为企业管理者，抓住报告漏洞的人，就没有安全问题了吗？我想你会有自己的答案。

题图：来自互联网