網絡安全衛士張琳：“挖漏洞”要腦洞大開

　　有人在網上問，出門不帶手機是一種什么體驗？也有人問，手機丟了是一種什么體驗？但很少有人提問，手機在你手里，但其實已經不是你的，是一種什么體驗？

　　在張琳看來，第三種情況發生時，有些人能感受到，有些人可能感覺不到。人們離不開的手機、互聯網，同時也有可能讓人身處“險境”。

　　作為中國電信安徽網絡監控維護中心網絡安全團隊總監，張琳的任務就是堵住這類險境。上班對張琳來說，就像“戰場”，他很難看見“敵人”，但在一次次過招時會感受到對方的存在。

　　誤打誤撞成網絡安全“衛士”

　　張琳成為網絡安全“衛士”，純屬偶然。

　　2011年進入中國電信安徽分公司，他被調劑到網絡安全這一崗位。

　　此時，在公司負責網絡安全的只有他和另一名同事兩個人。

　　“我過去的工作中，涉及網絡安全的并不多”，張琳回憶。剛接觸網絡安全，能看到別人看不到的“風景”，張琳著實興奮了一陣，但隨后這種看不見的危險，讓他開始感到緊張和害怕。

　　“只能從頭做起，看書、學習、請教，啃了不少大塊頭的書”，張琳說的很輕松，但同事說他過的是“白加黑”的生活。

　　一年多后，這個只有兩個人的團隊外加一個同事拿回了工信部首屆網絡安全技能競賽團隊三等獎獎牌，“埋頭學習一年多時間，這個獎項肯定了我的努力。”張琳說。

　　邊工作邊鉆研，再通過競賽檢驗成果，一座座獎杯見證了張琳和團隊的進步……

　　更為重要的是他和同事通過努力，最終構建出覆蓋事前發現預警、事中防護管控、事后溯源追責的綜合化立體防御體系。

　　他曾在第一時間發現了2015年1月的“歡樂照”、2015年2月的“CTB-Locker敲詐者”等多個病毒程序，并牽頭開展惡意程序分析、處置，及時控制此類惡意程序在省內的傳播和危害。

　　他帶領的團隊，從2011年至今，先后評估和整改主機逾300萬臺次，使得漏洞主機占比從最初的近20%降低并平穩控制在0.1%以下，安徽省的網絡安全水平大幅提升，實現了迄今為止重大網絡安全事件零發生的優異成績。

　　他提出和構建的安徽電信特有的網絡安全產品體系，目前已為幾十家黨政軍客戶群、金融大客戶提供安全防護服務，首年即為企業創收超過500萬元，節省客戶投資超過1200萬元，在安徽互聯網行業中帶頭走出了一條用戶與企業雙贏的安全之路。

　　發起懸賞令鼓勵團隊“挖洞”

　　沒有系統是完美不可破的。大多數安防系統的思路是，提高破壞者突破的時間和技術成本，從而迫使攻擊者放棄。

　　剛開始，張琳和同事做的是努力防守對方的攻擊，“這樣有點被動”，在網絡安全領域，他們和攻擊者如同攻守雙方，對破壞者來說，發現一個漏洞并成功攻擊就成功了。但對張琳他們來說，贏一次不能算贏，輸一次就永遠輸了。

　　正因如此，發現漏洞便有了價值。所謂漏洞，即在網絡系統中可以被利用的缺陷。

　　“不可能時時都在過招”，張琳說，很多時候，他需要和同事做的是努力找出漏洞，并想辦法堵住漏洞。

　　“找漏洞要靠‘腦洞’”，張琳說。網絡安全團隊拿出一筆錢，發起尋找漏洞懸賞令，每年漏洞提交者能平分這筆錢。

　　“錢其實并不多，但大家積極性很高”，張琳將其形容為“挖洞”行為，“挖洞其實就像打怪升級，會上癮的”，據說，這些人甚至連自家公司的漏洞都沒放過。

　　修復漏洞，是他們最主要的任務，但如果根據痕跡順藤摸瓜甚至找到攻擊者，成就感就會“翻倍”。

　　和攻擊者真正過招的時候，張琳開玩笑說，玩的就是誰的套路深，攻擊者一旦發現漏洞便可迅速展開攻擊，而張琳他們，同樣也可能會使用攻擊手段——在入侵者的網頁中植入木馬，當其試圖操作時，定位入侵者。

　　為提高安全意識他曾“欺騙”老婆

　　在網絡世界中，危險是看不見的，很多人會覺得這是網絡的事情，只有發生在自己身上，才明白網絡安全有多重要。

　　QQ號、微信號、信用卡密碼、企業核心數據庫，人們越來越離不開手機、互聯網，就可能越是身處險境。

　　在攻擊者眼中，一切信息都有可能成為他們牟利的工具。

　　幾年下來，張琳感覺守護網絡安全，技術手段只是一種方式，更為重要的是提高人們的網絡安全意識。

　　張琳身上也有了“職業病”，沒事兒就要提醒周圍的人注重保護隱私，提高網絡安全意識。

　　張琳的老婆曾嫌麻煩，家里電腦的密碼設置非常簡單，支付寶等工具的也比較簡單，“只有三位數，不可想象吧”，為此，張琳故意從支付寶轉出一筆錢并隱瞞了妻子，妻子知道錢這么容易就被轉走，才改變了想法。

　　“目前，密碼設置方面有了一點進步”，張琳調侃說，雖然還沒達到要求，至少比過去好很多。

　　為了提高大家的網絡安全意識，他也和團隊一起通過實際操作展示危險，“外出時有些人會連接無線網，但并未想到網絡是否安全”，張琳介紹，他們向大家展示，手機連接不知名無線網后，對方手機中的信息清清楚楚地顯示出來，“顯然，人們驚訝的表情顯示，很多人并未想到如此可怕。”

　　基于優異的表現，2016年，張琳被安徽省總工會授予“五一勞動獎章”，他牽頭的“翼安天下”工作室也被評為“安徽電信十大創新工作室”。

　　對于這一稱號，張琳卻說，他在網絡安全做的還遠遠不夠，距離安全防護還特別遠。