资深信息安全工作者江海客解读学子困惑

江海客，真名肖新光，安天实验室首席技术架构设计师，知名信息安全专家。《计算机教育》杂志本期特援引哈尔滨工业大学（以下简称哈工大）计算机学院信息安全专业2004级学生与江海客老师的对话，相信其内容不仅能让信息安全专业的学生获益，也能让其他专业的同学有所裨益。

对话一

肖老师：

近期我们班级准备举办一个黑客工具展示的活动，我们想请您为我们作一些技术上的指导和策划。

先说说我们的班级吧。当初我们班的同学报这个专业，很大程度上是冲着“信息安全”这个名字来的，我们对信息安全都有着浓厚的兴趣，我们也期望能在这个行业中有所作为。于是刚上大学的时候，我们勤奋学习，第一学期我们班级的成绩是全院最好的，但是在第二个学期，我们的成绩却出现了严重的倒退。我们在想，是不是我们在平时太少真正地接触本专业的知识了，对自己的专业不再那么感兴趣了，更没有了那种“我们是搞安全”的优越感。以前要是在别的同学面前提到我们是学信息安全的，我们好像都很自豪，但是一年来的学习，我们却没学到多少这方面的知识，我们感觉好像被信息安全骗了，我们不再勤奋学习，更多的同学将大量的时间花在游戏、电影、电视剧上，学习全被耽搁了。

这学期，我们选了一些新的班委，我们都很有激情，都非常希望我们的班级能像大一第一学期那样辉煌，因此我们想到了这个活动。希望从这个活动中，大家能更多地了解一些信息安全知识，让大家对自己的专业能更加感兴趣。

曾听说您提到“工具收集狂”和“源代码抄袭狂”的问题。在这个问题上，我绝对支持您的观点。作为一个计算机专业的学生，我们绝对不允许自己仅限于能用别人的工具，能看得懂别人的代码，我们应该拿出自己的东西，所以我们绝对要扎实自己的知识。

现在我想为我们的这次活动做一些“狡辩”。我有一个高中同学，他不是学计算机的，但是他对计算机有很大的兴趣，特别是对“黑客”之类的东西有着很浓厚的兴趣。刚开始的时候，他是自己学习使用一些小软件，他也很有能耐，从51、唐悦等人那里弄了一些工具来，然后自己钻研，又自学了DOS、Unix等，他看起来好像对黑客这类东西很精通。有时候我和他讨论一些问题，对于他提出的一些名词，我闻所未闻。我感到很自卑，学计算机的居然被一个外行考倒了。

我们希望通过这次活动，先对一些工具有一个大概的了解，之后再逐步地深入了解更多信息安全的知识。恳请您能给我们一些帮助，例如某些工具的使用，使用某些工具后会造成什么样的后果等。同时也希望您对我们的活动提出建议和意见。不胜感激！

陈天钰

牐

信息安全专业的各位同学：

很抱歉这么晚才回信，无奈连日来的工作实在过于紧张，今晚返回北京，因此在路上给你们写了回信。

你们的状况其实很典型，专业的优越感如果不加以良好引导，则会转化为失落和下滑。大学生成长心理是微妙的，而其中比较可怕的是专业梦想的幻灭，这将是巨大的挑战和挫折。

在今年招聘时，我和武汉大学信息安全专业的同学们交流的过程中，我就感受到这一点，一个同学说，直到大三，他才知道这个专业不是培养技术间谍的……

想想我自己，当年带着对航天事业的神圣使命感来到了哈工大的自控专业，如果不是因为某事突发，毁灭了这种幻想，我不会改弦易辙选择做程序员的道路。我深知这种幻灭对人的影响。

但同时，我也希望向你们指出的是，无论一个人高中时代是否出色，其对专业的选择和理解，都是幼稚而浅薄的。凡是在自己所选择的方向上有所发展的人，都无法不经历彷徨与茫然、反思与自新的凤凰涅磐，浴火重生。而这个过程其实不是仅仅依靠校方的专业引导就能实现的，要靠大家自己。

在此我要强调一下，我并不反对你们积极地投身于很具体的安全实践。我很不喜欢那种只会纸上谈兵的安全工作者，云晓春老师曾忧心忡忡地慨叹：“全国每年以入侵检测课题毕业的学生这么多，却没有几个能完成一个规范的入侵现场勘查和事后取证。”我深以为然。

对于你们的活动，我也是很支持的。信息安全专业的学生，如果连一些常见的安全工具都没有接触过，当然是不可想象的。当然我的确有一些担心，但这种担心不在活动本身，而在于任何事情都有其潜在的结果。

我希望这个活动达到的目的是，增加同学们对信息安全的感性认识和理解，增强对安全本质与体系的思考，增强实际分析问题、解决问题的能力，在成长为一个全面的信息安全工作者的路上，打开兴趣的大门。但另外一些引导也是需要在活动中贯彻的，那就是信息安全的全景视图和信息安全工作者的从业道德。

我过去批评过几类人，入侵迷、工具收集狂和bugtraq的fans。而这种人所以能大量涌现，的确是相关的活动能带给实施者难以名状的快感。

从那些每日比拼着肉鸡数量、比拼着所进入的站点、比拼着所拥有的独门暗器、比拼着自己所了解漏洞的多少的所谓小红客们身上，不知道你们是否能读出我的忧虑。这些东西无不带给人极大的快感。这也是一个江湖，甚至这个江湖还支撑着一个地下产业。但这里是否是一个信息安全工作者的正途？这难道不是一种狭隘而偏执的安全观么？

我不禁想起周光召院士的一句话，“只有纽约贫民区的黑人杀手才比金项链的粗细。”在我小时候，身边有些同学津津乐道于他们打打杀杀的英勇，但他们并没有成长为大侠，当然，也没有成长为黑社会老大。

信息安全技术是体系化和层次化的，我从不否认实际环境下渗透攻击和测试也是一种艺术，犹如人的双手，重要、灵活，但决不是信息安全体系的全部。

如我在一篇文章中所说，钱学森比得上五个师，不是说钱老能手刃五个师的美国大兵，而是说技术的价值。而确有一些人在说什么让博士和高中生各配一台服务器互相黑一下，看看谁更牛，这就有如让钱老和美国大兵一对一掐一下，实在幼稚可笑。

而一些青年则确实乐此不疲，在这些重复的事情被以高度的热情和不懈的努力进行时，信息安全技术体系进展飞速，安全产品步入整合时代，漏洞发掘走向对方法论的探讨，MD5算法被破解，而一些新的算法正在被构造。这也是一个江湖，一个真正庞大、深邃，值得我们凝视深思并为之奉献一生的体系。

信息安全需要去避免浮华和虚荣，避免那种相互交流中变得虚泛和夸夸其谈，避免那种可能因一城一地的得失，一两个新名词，一两个新漏洞的不知晓带来的沮丧。安全是一个庞大的体系。2000年，我能就每一个领域和朋友们探讨，但如今大家在一起的时候，已变成如果不确实从事同一方向，基本无法深入到细节交流的情形。这种分化本身就是一种进步。

在和高校信息安全专业老师们的交流中，我表达了这样一个观点，即信息安全专业的学生和对普通计算机专业学生的要求应该是同质基础，更高要求。如果说一个计算机专业的本科生能编写合理、稳定的程序是一个基本的要求，那么信息安全专业的本科生的要求就是编写合理、稳定、安全的程序，而不是现在我们所看到的一些认为自己是“搞安全的”毕业生，居然写不出合格的程序。

一个信息安全工作者的成长需要经受深刻的寂寞的考验，需要经受诱惑的洗礼。

预祝你们的活动取得成功。

江海客

对话二

肖前辈：

我是一个文学趣味颇浓的女生，对于一些理性的东西，我常常感性化处理，这也造成了我对于这样理性的一种学科的一种抵触，谈不上有多不喜欢，但也无甚好感。所以我常常只是顺从地学，而非自发地学。对于这点，我很遗憾，偶尔对于编程的兴趣，也仅是一种日渐生情。

来学信息安全，当时的想法就是，既然我不能去学我最喜欢的清华的信息系统与信息管理，那么学其他的都不再重要了。于是我就来到了这里，晕晕沉沉地过完了我的大一。在其他人眼中，或许我已经够出色了。但是我自己明白，我根本不知道自己该干什么，也根本没有真正意义上地去了解我要学的内容，而把大多数时间用在英语上。我去看原版的C语言教材、Internet 技术教材，并不是为了学习计算机，而是对其中深入浅出的英语内涵更感兴趣。我好像迷失了。

前辈，有的时候，我很向往武侠小说的那种独自拼闯受伤，一个人坎坷地走过终成大器的境界，但是现在我似乎想坎坷都不知道到哪里坎坷。很憋闷的一种感觉。

作为计算机学院报纸“精彩e生”的编辑，我很想征求您的意见，您认为像我们这种院报，应该把科技资讯这个版面定位成什么样子？对于这点，我百思不得其解，一个版面容量只有五六千字，登不了十分详细的操作解疑类的文章，大家又不看专业性特别强的，这个度我实在拿捏不好，您能给我一点建议吗？

Apirl

Apirl同学：

你好！

从你的信里，我看到三个部分：第一，是你道出对现状的迷惑和思考；第二，是你对未来有些彷徨，以期望我给与一些道路的看法；第三，是你期望我对你们院报的一个版面提出参考。那我就逐一谈谈我的观点吧。

首先，我要小小地打击你一下，就是你对“清华的信息系统与信息管理”真的是一种理性的喜爱么？

我的意思是，专业失落感，不只发生在那些因为种种原因没有成功选择自己感兴趣的学校专业的人身上，而是一种普遍的需要经历的阶段，因此这也不应成为一种不热爱乃至不作为的借口。

虽然我承认，20世纪80年代的人要比我们更成熟，有更宽阔的知识面，但我相信在专业选择过程中，我们的彷徨和疑惑一样要浮现在你们身上。很多微小的东西都可能默然决定我们的好感或者厌倦。

高一的时候，我曾经想报考化学专业，因为我的化学老师对我那样好，把她所有大学时代的书，都拿来给我看,包括在不教我之后，也不顾我们班任课老师有些不满的目光，解答我关于一些有机化学的知识。高二、高三我坚决地要读国防相关院校，为此我母亲还哭了几次，但我还是报考了哈工大的自控。

高考结束，哈工大来招生的老师看我的计算机学习是从小学开始的，就问我是否愿意去三系，说搞导弹也需要计算机。我拒绝了，我心里还有一个小算盘，因为我同校也有一个同学，保送工大三系，他在历次吉林省信息学竞赛中都获得了前十名的成绩。我当时觉得，就算我去了三系可能也无法超过他，还是去四系做个计算机比较突出的学生吧。现在想来，那时多么幼稚可笑。

大三那年，和我同届的一个吉林大学生化专业的同学因为热爱兵器，找到老师要换专业。听到此事我一直在想，如果他知道搞导弹的人50%一生都没见过实弹，每天只是和数模打交道他是否还这样想。

其实，每一个专业都是一个独立的帝国与王朝。我记得当年来高中招生的是一个九系的女老师，关于焊接专业的描述，她涓滴若水，娓娓道来。我能深切地感受到她对专业的热爱与痴迷。后来我曾经问她这是她当年的第一专业选择么？她说不是，是专业调剂的结果。今天想起来，当一个女孩子被调剂到焊接这样的专业时，该有何等的沮丧？但她未能选之所爱之后，则能爱之所选，且仰之弥高，钻之弥坚。我想，这对于在阴差阳错之后感到失落的人们来说，是一个通解。

你说对于编程你已经“日渐生情”，这是一个很好的开始，希望你能坚持走下去。在安天研发部的墙壁上，有这样一段话，“在我们生存的世界之外，有一个信息世界独立存在着，我们对他凝视深思，热忱地献出我们的智慧与汗水，这是最高的幸福，是天堂。”这个世界何其瑰丽奇伟，而为了保障这个世界秩序的信息安全事业何等崇高庄严，值得我们为之奉献一生。

你信中所言，你文学趣味颇浓，你不应为自己选择了一个纯理工专业而苦恼。在我看来，对于从事理工技术的人来说，这是何其大幸。翻开计算机鼻祖们留下的典籍，理性之中何尝没有激情感性的光芒。控制论的作者维纳热忱地赞美他的父亲，说他具有“德国的思想、犹太的智慧和美国的精神”，也热忱地夸奖她的母亲，说她“把一个桀骜不驯的落魄才子(指他的父亲)，改造为一个可以为社会所接受的人”。于是，一个精通二十国外语的斯拉夫语教授和一个名门的大家闺秀，把他们书卷气浓郁的儿子，培养成19岁的数学博士，培养成30岁的美国数学学会会长，培养成控制论的创始人，计算机技术的三大鼻祖之一。

不知道你们看侯捷老师的书与大陆一些干瘪抽象的计算机教材相比又有什么感受，是否有余香之感？相比之下，一些新生代程序员，是喜欢捞干的，他们不原意看《勿在沙滩筑高楼》这种感悟，而有着一种狂妄的唯技术崇拜，这，何其单薄。

从你描述的现状来看，我倒是看到了一些具有普遍性的东西。你的现状让我联想到了认识的多位师姐师妹。我发现一些典型的共性，那就是，对专业没有达到痴迷，但同时又有着良好的学习成绩。我想，这得益于女孩子良好的学习习惯、刻苦精神和上进心。而比起那些在校平平，后来在方向上作出成绩的男孩子来说，他们更多的依靠于胆识、冲击力和动手力。

做这样的对比，是因为我希望你意识到，扎实的理论功底真的是一种令人羡慕的东西。2001年在我做基于成分分析的未知病毒判定这个方向的时候，我才感到我的数学功底多么差。而你实在有着比我们这批人更好的起点。虽然良好的学习成绩不能完全等同于理论功底，但毕竟相隔已经不远。就像我在2003年给哈工大病毒组的公开信中所论述的，科学成果来自“科学理论体系+科学实证精神+科学理想”的结合一样。

如果你能把七分对基础知识的学习深化为理论体系的基础，如果你能把一分书卷之气演变为一种科学理想，如果你能通过类似这样的技术活动获得两分科学实证精神，那么就会有一条十分稳健的“大师之路”。

下面说说你们的杂志，我觉得对于综合性杂志里面的专业内容，与其在专业、普及之间勉强定位，不如更宏观一点。

从一定程度上说，我期望学生刊物或者就是技术的，或者就是人文的，纯粹一些更好。虽然天下殊途同归，虽然技术未必不散发着文化的魅力，而文化也未必不洋溢着技术的风采，但让文化杂志更开放、更张扬、更POP一些，也许会有更好的收获。对于“科技资讯”这样的版面，我觉得应该是产业面的，是你们自己对于产业的系统描述、看法和理解。其最终着眼点是在于从一些情况出发，学会系统地采集资料，作出判断，形成观点，予以论证。

扎实的技术功力、丰富的实践经验，如果能辅以产业化的视野，往往能绽放更多的光华。有时梳理一些大公司的发展道路，你会惊叹其技术体系上的一脉相承中，仿佛有着后知十年的预判。

母校有务实严谨的技术风格，但深度令人满意，广度则显得不足。记得我在校时，一个师兄假期到清华园小住，回来慨叹清华同学广泛讨论着尼氏的《数字化生存》，而我们的同学多数对此一无所知。

目前，安天的内部杂志《盾牌》的主编也是哈工大毕业生，若非安天有制度，内部杂志不允许外流出公司，不然倒也可以给你参考一二。

我手里有我在大学时主编的一期《计算机学友》，仅作为一点对比和参考吧！下载地址：

http://www.antiy.com/temp/cfriends.rar

你们的创造力、活力和现有的条件都不是我那个时候所能比拟的，如果被嘲笑为老朽，那不是我们这批人的悲哀，而是我们的幸福。

江海客