ISG | 姜开达:安全需要耐得住寂寞,日积月累地做下去

2018-06-23 20,602



文 | 蓝河

编辑 | 图图



安在引言:


ISG,全名为中国信息安全技能竞赛,从2009年第一届举办至今,迎来了第十个年头。


值此十周年之际,安在新媒体特邀专访了十位曾经和ISG共同成长发展的专家、选手与合作伙伴代表,希望以此作为回顾系列,向ISG十周年致敬。


正文

安全是一个需要耐得住寂寞的事业。


过去的很多平常日子里,人们往往不会想象到当时所做的工作会在未来起到什么样的作用,对自己有多大的帮助,具有多么长远的意义。


但当未来降临之际,人们又会发现,回想起那些曾经所做的铺垫,一切又都是具有价值的,而当下的收获也得益于那些平凡而扎实的基础性工作。

日积月累地接触安全

2000年,姜开达还只是上海交通大学材料科学系的一名大四学生。中学时从未接触过电脑的他,自然也没有把计算机与网络纳入到人生规划。


直到最终入行了安全,他经历了一个非常漫长而又日积月累的过程。



姜开达回忆,当年国内互联网远不如现在普及,但学生对互联网的需求却日益增强,所以上海交大决定大规模建设学生宿舍网络,并免费向学生开放。当时他在交大的饮水思源BBS上看见了学校准备筹建学生网络管理部门的通知,需要学生参与相关工作,也就试探性报了名。没想到,这条路一走就是十多年。


在整个学生宿舍网的发展过程中,姜开达主要负责协助学校相关部门开通宿舍网络,并参与学生网管员队伍的建设。这在当时对他而言是一件非常新奇的事情,也是一个由浅入深去熟悉网络的过程。


虽然计算机在大学阶段已经成为基础课程,但是相对于实际应用所需,教材知识还远远不够。所以他通过去图书馆查阅资料,向老师和校内外专家虚心求教,提升自己的能力去适应工作的需要。


从知识技能的积累,到参与信息管理系统的设计和开发,再到网络运行、维护和安全问题的处理,姜开达见证了交大宿舍网络从小到大的过程,也从最初一直坚持到最后。


经历了大四一年的学习,姜开达对计算机和网络的兴趣与日俱增,隐约间也对未来的人生有了目标。当2001年毕业在即的时候,他没有犹豫,就这样留在了交大的网络信息中心。


留校初期,姜开达从事的还只是学生宿舍网络管理相关工作,到后来慢慢扩大到全校的网络运行服务和管理,在2006年,他同网络安全接上了轨。


姜开达认为,触电安全,其实也是工作中日积月累的结果。因为负责网络管理的日常工作,平日里自然而然地就会遇到很多安全方面的问题。由于早年间交换机、路由器等网络设备的性能有限,往往一次攻击和病毒就会导致全楼网络瘫痪,严重时甚至会波及到全校网络异常。


当工作中无法避免涉及到安全问题的时候,就会在日常处理过程中,希望更进一步去挖掘出规律和本质。从简单到复杂,姜开达开始进一步从多维度研究安全问题出现的原因以及如何防止可能产生的负面影响。


姜开达说,如果当初在报名宿舍网络建设时没有被学校选中,可能也就不会从事IT,人生完全又是一个方向。


所以,从某种角度讲,姜开达与网络安全,其实存在一定的偶然性,但他一步一步坚持到今天,并且在网络安全上有所成就,则是日积月累的必然。

日积月累地参与竞赛

从2006年接轨安全之后,在很长的一段时间里,姜开达其实并不清楚自己在安全上能力是怎样的,所在团队在网络安全的研究上又处于什么样的水平,而对于这一切的衡量,都需要一把外界的标尺。


正好此时交大收到了参加ISG竞赛的通知,这项任务自然而然地就落到了姜开达所在的网络信息中心上。2012年,带着检验自己安全能力以及练兵的初心,姜开达代表交大带队参加了ISG的团体运维赛,并最终斩获二等奖。


姜开达参加ISG竞赛


上海交大队获得ISG首届管理运维赛二等奖


通过那次比赛,姜开达最大的感受就是视野被打开了。一直以来他都局限于学校或是教育系统的网络安全领域,而当通过竞赛与更多行业有了接触和交流之后,让他明白虽然行业不同,但大家在安全上都在朝着共同的方向去努力前进。而他所做的工作可以向社会、向其他行业进行一定的输出,也可以吸收各行业的先进成果和经验,这也给未来的工作做出了铺垫。


在那年参赛之后,姜开达以及交大团队的成绩和安全能力被得到广泛的认可,因此ISG向姜开达抛出橄榄枝,希望他们能够参与到ISG未来的发展和建设。


得益于ISG的姜开达感受到了通过竞赛的方式来提升安全能力的价值,因此在2014年,姜开达和他的团队便参与承办了ISG的第一次CTF赛制的技术挑战赛。


说到那次技术挑战赛,就不得不提除了姜开达以外,参与到竞赛支持的交大0ops安全战队。


0ops是在全球都有着极高声誉的CTF战队,而对于姜开达来说,0ops算得上是他看着长大的。


CTF赛事当年还没有现在这么火,两位交大ACM班的学生找到姜开达,提出了想要组建交大自己安全战队的想法,姜开达非常认同他们的想法,并积极支持同学们,于是就有了0ops的成立。


而2014年的那次技术挑战赛,正是姜开达带着刚刚成立不久的0ops战队,共同负责了比赛的命题与设计。


除此以外,姜开达还受组委会之邀开发了ISG竞赛平台,一个以题库为核心,知识体系为基础,基于SaaS模式集报名、比赛、积分、公告、证书等功能为一体的信息安全技能鉴定系统。


平台由报名公告、知识测试、配置操作、过关对抗、学科课程、技能课程、意识教育、视频资料、积分证书等多个功能模块构成。同时首次将CTF赛制完整引入ISG竞赛,使得平台能够支持理论测试、CTF两种竞赛形式,通过竞赛全面考核员工安全素养和技能,提供竞赛公共服务与企业内部能力鉴定服务。


该平台一直被沿用至今,除了支持每年度的ISG竞赛外,还面向行业、企业提供内部竞赛与人员能力测评服务。



我问他,同样是网络安全相关的竞赛,ISG和目前流行的CTF比赛有何不同?


他告诉我,ISG更多是面向企事业单位、甲方的IT部门,通过团体运维赛和技术挑战赛,来考量这些企业IT团队的基本安全能力,尽量全面覆盖各种类型和难度的题目。而参与的企业安全人员,如果想要在竞赛中取得不错的成绩,就需要一定时间的培训,安全的能力和素养就能够在培训过程中得到提高,因此竞赛就成了提升安全专业能力的催化剂。


对于姜开达他们竞赛命题组织团队来说,通过竞赛得到的收获其实要更多。别人几小时解出的题目,可能是经过了几天甚至几周的精心设计,不仅要考虑到一道题目所有的可能性解法,也要保证新意,这也会是一次巨大能力提升的过程,也是日积月累提升安全素养的一部分。

日积月累地立足教育

在网络安全成为一级学科以前,过去不少学生在读完信息安全专业本科后,在研究生阶段就会选择转到计算机系或其他专业,攻读博士。


我问他,是不是网络空间安全成为了一级学科,有了博士点,学校的重视程度以及生源增加了后,就能给网络安全教育的现状带来改变,帮助整个社会的安全能力得到提升呢?


姜开达摇了摇头,他觉得教育的成效,也是一个日积月累的过程。


因为虽然学科的等级得到了重视和提升,但如果老师、学生和教材还都和过去比没有显著变化,短期要带来革新和变化,是不足以实现的。


但基于优质政策的引导,在未来,自然会吸引更多更好的学生选择这一方向学习,也会促使更多有能力的教育工作者开始偏重安全的方向,加之新版教材的普及,课程体系的重建,势必会对网络安全的教育和整个社会安全能力的提升带来明显的影响。


姜开达感叹,安全教育这条路,要做的事情还有太多。一直以来所说的安全人才紧缺,很大一部分原因是许多安全专业的学生,在离开校园以后,并未继续从事安全方向工作。


怎么样才能让学生热爱安全这个行业,如何让安全专业的学生在四年学习结束后,继续留在这个行业,是姜开达一直在努力做的事情。



他认为,对于安全从业的兴趣,是可以通过点滴积累的。有的学生喜欢参加竞赛,就要鼓励他们,并给他们提供支持,在这个过程中,学生慢慢对安全有了兴趣。同时随着竞赛的参与深入,团队由小到大,身边志同道合的人越来越多,终归会有一批人,长久地在安全这条道路上一直结伴走下去。


所以他觉得,通过竞赛的方式来帮助安全的教育,提升安全人才的能力,是非常有必要的。因为在参与竞赛的过程中,来自世界各地,各行各业的参赛者会形成一个能够密切沟通和交流的圈子,也会充分开阔参赛者的视野。同时,互相较量的过程能够带给人们对于自身安全能力的正确定位,不甘落后,你追我赶的局面会催人进步。


对于学校而言,要继续日积月累地立足于教育。一方面,培养出更多具有足够安全素养的学生,成为领域内的从业人员;另一方面,在安全研究上走在前面的学校,需要从模式和能力上对外进行输出,影响更多的学校培养更好的安全方向的学生,影响更多优秀的教师重视安全,重视学生的培养。


同时,继续合作举办更多像ISG这样的安全竞赛,开展安全知识的培训和讲座,通过不同层次的能力输出,带动全社会安全能力的普遍提升。

安全是需要日积月累的事情

安全是一个需要耐得住寂寞的事业,这句话是我在文章开头所提到的,是因为在姜开达看来,安全是一个需要日积月累的事情。


安全能力的提升其实是很慢的,成长曲线平缓,也很难出立竿见影的成绩。需要在很长的时间周期内,持续投入时间和精力,持续保持学习、更新和交流。在这个漫长过程中,很多人选择了放弃。


姜开达站在一个安全从业者以及教育者的角度,他所看到的不论是他个人还是校园里青春洋溢的学生,如果想要成长为一个优秀的人,一定是有很多前提条件。


一方面,基础和天赋好的人可能成长的速度会更具优势,但同时,空有基础和天赋,不去投入足够的时间,未来的发展也会严重受限,一定时间后就会撞到天花板。


另一方面,当有了足够的自身努力之后,团队和机遇就显得尤为重要。有的人能力很强,但总是孤军奋战,一次次碰壁和走弯路,但在有了团队之后,就能够获得及时的纠正和帮助,始终保持正向积累,和团队一起成长。


而这一切,都是为机遇的到来所做的基础,因为只有这些长足的积累,才能够不让机遇从手中溜走,才能够抓住机遇迎来职业生涯的拐点。到那时,一直以来积攒的能量,都将转化为丰硕的成果。



姜开达说,从2006年到2018年,他也算是在安全圈深耕了十余年的老兵了。让他遗憾的是,这么多年,安全依然还只是一个很小的圈子,但如果想要让安全受到足够的重视,就必须要改变这个小圈子的现状,就需要吸引更多的人来关注安全。


所以他一直在努力推动更多的人员和团队,去涉及更多的领域和方向,创造更多的机会,影响更多的学校、教师和学生,让更多的人觉得做安全是有意义的,并愿意投身其中。


当然,在他看来,这都是需要耐得住寂寞,日积月累做下去,功夫不负有心人。

写在最后

通常的在文章的结尾,我都会写一些关于主人公的八卦轶事,不过姜开达似乎,除了工作和学习,也没有什么其他的爱好了。


他说他需要学习,因为网络和安全需要与时俱进,即使现在流行的东西,一两年后说不定就会落伍被淘汰,没有面向未来的思考和研究,没有与时俱进的知识更新,就不是一个合格的IT人。


所以要不停的学习新的知识,不断地去探究新的领域,既要日积月累,也要不断更新,才可能跟得上时代的发展。

主办方总结
王怀宾

ISG竞赛组委会负责人



ISG 竞赛发展过程中,涌现了以姜老师和0ops为代表的优秀团队,其中多支以技术为专长的队伍后来出展成为业内著名企业,为产业发展做出贡献;更多的团队像姜老师这样,把竞赛所倡导的体现安全价值的精神,在本行业内发扬光大,为行业人才培养和安全意识普及做出默默的奉献。




本文作者:安在_anzer

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/72859.html

Tags:
评论  (0)
快来写下你的想法吧!

安在_anzer

文章数:5 积分: 5

信息安全新媒体

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号