这些观点阐明了黑客思维，并引出黑客思维在保护机构业务中的关键作用。

在企业或说机构中，有一种普遍的错误观念，业务部门与IT部门是两个完全不同的概念。但实际上，随着数字空间全面渗入人类的生活，机构的业务与安全处处存在交叉。想要做好安全工作，就需要用系统的观点进行全盘考虑，理解业务的管理和运营，核心价值在何处，关键资产是什么，系统弱点在哪里，它能被怎样的利用和如何去保护。安全人员不考虑到这些，则几乎无法抵挡得住黑客的攻击。

试想，如果一个安全人员连自己公司的业务都不了解，又怎能希望他很好去保护它呢？

　　黑客与自由

诚然，黑客与安全人员有着很大的区别。前者非常独立，总是一个人在不分昼夜的编写代码，测试程序，寻找机会，追逐利益，甚至任性妄为。而后者则是团队的一份子，有着各种规定或纪律的约束，包括资源使用，部门配合，公司政策等。一个从安全角度考虑的想法，即使再优秀再完备，也不得不让位于产品研发，市场推广，战略架构……

作为安全从业人员有着太多的束缚，很难跟的上哪些凭着自己的兴趣和激情自由发挥，并将自己的想法付诸于行动的优秀黑客们。

就在近期国内首次举办的苹果系统越狱黑客大会上，被全球越狱粉丝视作“大神”级的Comex，在回答安全牛记者的提问时承认，自从进入苹果公司工作后，给追求自由和探索欲望的黑客精神带来限制，并对个人的技术能力进步有所阻碍。而安全牛就此进一步发问时，Comex选择了拒绝回答。

 

越狱大会上的Comex

谈到这里，似乎有些无奈。黑客思维只能停留在安全人员的口头上吗？

　　鸟群的安全机制

有人曾举出一个鸟群自我保护机制的例子。鸟类有着许多天敌，除了能够飞翔以外，它们又是如何避免成为捕食者的口中的美味呢？简单的很，当有危险接近任何一只鸟时，这只鸟会向其他伙伴发出警报，从而避免伤害扩大。

同样，安全从业者也可以学习鸟群的这种警报信息共享的保护机制，共同检测并防止危险的扩大。许多人已经明白，这里谈的是威胁情报。

威胁情报共享机制目前已经成为安全生态系统中的重要一环。

　　像黑客那样的攻击？

还有一些安全圈子的人士认为，只有参与到黑客攻击的活动中，才能真正的像攻击者一样地思考，并从活动中取得第一手经验，从而更好的实施防御和保护工作。未知攻，焉知防！但这种模式的问题在于，真正的攻击会带来负面影响，其程度有可能超过正面的意义。而且，这种想法的逻辑上也容易遭到诟病。

比如，刑侦人员需要做过罪犯才能理解罪犯的思维模式并破案吗？同理，你能为了做好安全工作的目的而跑去入侵别人的网站吗？如果回答是肯定的，那你就要小心了。这种行为毫无疑问是恶意的，未经事主允许则是违法的。

至此，似乎又到了两难的地步。像黑客那样的思维需要做个黑客(如同像医生那样的思维就要从事医生的工作)，而做一个真正的黑客则意味着付诸于一定的黑客行动，否则岂不是纸上谈兵？

　　一种解决方案

在信息安全培训中，经常会有一些模拟仿真类的课程学习。这种实战性质的教学环境，保证了学员不用参与任何有嫌疑的非法活动，就能将所学到的各种原理应用到日常工作当中。

“每堂课后，讲师都会留下各种作业让学员攻击训练营建立的测试网站，包括密码破解、漏洞扫描、SQL注入、代码分析等。”--星火计划：互联网安全人才训练营课程经理赵毅

近年来逐渐流行的各种攻防夺旗(CTF)赛事也是一个非常不错的黑客技术模拟仿真平台。中国的参赛队伍已经在国际CTF赛事上取得了不俗的成绩，同时国内的网络安全技术对抗联赛XCTF也正在如火如荼中。其中，刚刚落下帷幕的北京选拔赛，共吸引89个国家和地区的1770支战队、近4000位选手报名参赛。

　　另一种解决方案

在管理人员的许可下，安全人员对内部系统实施的入侵活动，称为渗透测试。它本身并不是一种非常前沿的安全检测手段，但目前渗透测试已经从内部发展到外部，从个人测试发展到小组甚至是群体测试，并形成了一种新兴的安全业务市场--漏洞众测。

漏洞众测的好处是摆脱了内部和单一人员的局限性，在保障受测方安全的情况下，由优秀的白帽子黑客群体进行渗透测试，从而尽可能地从最真实的场景中，集群体专业人员的合力找到系统漏洞。优秀意味着寻找与挖掘漏洞的质量和深度，受到信任则是确保客户的秘密不会被利用和公开。

乌云网创始人方小顿曾表示，漏洞众测的兴趣极大的改观了过去企业与白帽黑客之间的冷战态度，帮助了企业更好的防护恶意黑客的攻击。这意味着企业安全观更加成熟，“对整个安全行业都是好事”。

(责任编辑：安博涛)