安全是個複雜互聯的網絡。這(zhè)個包羅萬象的領域中有很多細分門類，但有些經(jīng)驗是跨界适用的。物理安全很大程度上可被視爲網絡安全超然元素的代表。無論數字安全還(hái)是物理安全世界，都(dōu)依賴相同的基本原則。雖然可能(néng)需要不同的工具和技術才能(néng)真正理解，開(kāi)鎖匠确實有些經(jīng)驗是可以教給網絡安全從業者的。

1. 行爲準則

開(kāi)鎖匠首先要學(xué)的，就(jiù)是開(kāi)鎖的兩(liǎng)大基本原則。首先，别碰未經(jīng)主人允許的鎖。這(zhè)是開(kāi)鎖的行規，是好(hǎo)奇與法律之間差異的備忘。大多數地方都(dōu)有對(duì)開(kāi)鎖職業的法律監管，所以道(dào)德開(kāi)鎖匠必須時(shí)刻記得自己那點小愛好(hǎo)可能(néng)招緻的殘酷後(hòu)果。相同的原則适用于網絡安全從業者。都(dōu)必須遵從法律行事(shì)。

第二條準則相對(duì)不那麼(me)直接易懂。别撬正在使用中的鎖。開(kāi)鎖匠需要認識到，自己是在破壞手頭那把鎖的安全。挑戰設備核心本質的時(shí)候，總是帶有毀壞設備的風險。職業鎖匠會(huì)遇到需要撬在用的鎖，這(zhè)條原則作爲破壞安全危險的提醒而存在。

白帽黑客知道(dào)，如果非必要測試網絡安全，網絡可被破壞，文件會(huì)被侵染，公司會(huì)遭遇宕機……安全測試自帶固有風險。你在做的一切所産生的後(hòu)果，必須總是正面(miàn)的。

2. 興趣即能(néng)力

鎖匠總在找新方法開(kāi)鎖。廠商總在推出産品修複新漏洞。最終結果就(jiù)是一個動态研究的領域。鎖匠必須保持知識和技術總是處在最前沿，隻要不能(néng)解析新設備，就(jiù)會(huì)被時(shí)代無情抛棄，隻要學(xué)不會(huì)避開(kāi)鎖頭的最新方法，下一波演進(jìn)會(huì)把你抛得更遠。要搏擊不斷變化的浪潮，鎖匠必須對(duì)工作興趣滿滿。

興趣是最好(hǎo)的老師，往往還(hái)能(néng)激發(fā)你去學(xué)習更多東西。沒(méi)有興趣，就(jiù)沒(méi)有了讓鎖匠學(xué)習必要知識以保住地位的動力。電子和軟件安全飛速變化，不保證興趣，太容易被時(shí)代甩下，甚至僅僅是脫離實踐一段時(shí)間，技能(néng)也會(huì)萎縮衰退。

開(kāi)鎖是門很容易過(guò)時(shí)的技術，啥都(dōu)不幹，你的能(néng)力就(jiù)作廢了。鎖匠自己清楚，失去興趣不僅意味著(zhe)落後(hòu)，還(hái)意味著(zhe)之前所有都(dōu)蒸發(fā)了。興趣越濃厚，技術越安全。

3. 啥都(dōu)能(néng)被打開(kāi)

鎖就(jiù)是用來開(kāi)的。它也能(néng)關，但不能(néng)永遠關著(zhe)。讓正确的人進(jìn)入的鎖才是鎖。誰都(dōu)不讓進(jìn)，那必然是把壞掉的鎖。鎖匠知道(dào)這(zhè)是所有安全領域的固有缺陷。鎖的意義，不在于讓所有人都(dōu)進(jìn)不來，而是讓正确的人能(néng)進(jìn)來。你要做的，就(jiù)是讓鎖爲你開(kāi)啓——即便在不應該開(kāi)啓的時(shí)候。但是，鎖頭未必要按既定方式打開(kāi)。鎖匠知道(dào)鎖頭終會(huì)被打開(kāi)，沒(méi)什麼(me)東西是完全安全的。

這(zhè)就(jiù)是保持鎖匠不斷研磨自身的教義，但有時(shí)也會(huì)引發(fā)沮喪。你不能(néng)再因爲自己做不到，或者當前還(hái)沒(méi)人能(néng)做到，就(jiù)說(shuō)“做不到”。網絡安全專家必須清楚，自己做的或者嘗試繞過(guò)的任何東西，從一開(kāi)始就(jiù)是有漏洞的。

每把鎖都(dōu)有鑰匙，鑰匙工作方式能(néng)告訴你精煉繞過(guò)方式所需的所有知識。

4. 每個敵人的進(jìn)攻方法都(dōu)想到

開(kāi)鎖方法多種(zhǒng)多樣。你可以拆了它，把每個部件弄下來，用梳鎬、撞匙等工具。如果真的想進(jìn)去，直接切了，或者用錘子砸爛都(dōu)行。重點是，最複雜的方法往往不是進(jìn)門的方法。作爲鎖匠，就(jiù)是嘗試哪種(zhǒng)辦法能(néng)行。對(duì)付以前從未見過(guò)的鎖頭時(shí)，像新人一樣不斷測試。鎖孔裡(lǐ)轉動無礙了嗎？那就(jiù)可以開(kāi)始更準确的實驗了。

太多人告訴你換位思考，但極少有人跟你說(shuō)要把每一個可能(néng)進(jìn)攻你系統的人都(dōu)考慮到。這(zhè)能(néng)防止你局限在自己的思維中。像看過(guò)YouTube視頻教程的罪犯一樣思考能(néng)擴展思路，幫助料敵機先，防範真正的威脅。有人可能(néng)就(jiù)是很走運，你的部分工作就(jiù)是找出他們需要多走運才能(néng)登堂入室。

作爲專家，就(jiù)是要能(néng)夠以專業領域内各個層次的人的思考角度出發(fā)想問題。這(zhè)才是專家優勢所在。鎖匠能(néng)像每一種(zhǒng)偷兒一樣對(duì)鎖下手，網絡安全人員也需要能(néng)夠理解黑帽子的思路想法。

5. 耐心

開(kāi)鎖必須十分專注且耐心。太急躁容易導緻弄壞工具，甚至直接把鎖廢了。不過(guò)，最好(hǎo)情況下，不耐煩僅僅是讓開(kāi)鎖過(guò)程大幅延長(cháng)而已。越急躁，越容易忽略某些東西。越耐心，失誤越少。

鎖頭會(huì)隐晦地透露給鎖匠一些信息，所謂的反饋。輕微的滴答聲，内部機制的運轉等等，都(dōu)會(huì)出賣裝置隐藏的秘密。耐心讓你可以注意到這(zhè)些微小的信号。

可以快，但不能(néng)是趕工那種(zhǒng)快。在網絡安全上，向(xiàng)時(shí)間投降隻會(huì)讓事(shì)情更麻煩，而這(zhè)是失敗的一大誘因。時(shí)間框架不是問題，思想态度才是。越是時(shí)間緊，越不能(néng)匆忙行事(shì)。缺乏耐心的鎖匠，成(chéng)功隻能(néng)靠運氣。事(shì)情總會(huì)花去它該花費的時(shí)間。即便要用到六種(zhǒng)不同方法，你也必須一種(zhǒng)種(zhǒng)冷靜運用。

精明管理時(shí)間，要知道(dào)：失去冷靜是全盤皆輸的捷徑。

結論

不同安全領域能(néng)相互學(xué)習的經(jīng)驗很多。鎖匠看待自身道(dào)德責任的态度，對(duì)深入理解安全漏洞查找的意義也有幫助。它還(hái)能(néng)提供對(duì)自身領域固有缺陷的認知，賦予你像每一個試圖侵害系統的人一樣思考的能(néng)力，讓你能(néng)夠清醒耐心地搞定自身責任。有了這(zhè)些深入了解，你就(jiù)能(néng)成(chéng)爲更全面(miàn)發(fā)展的安全專家了。