什么是黑客精神？零基础入门到精通，收藏这一篇就够了

本文链接：https://blog.csdn.net/A1_3_9_7/article/details/145125024

在互联网领域，黑客和安全就像一对反义词，常呈水火之势。然而，站在天平两端，当彼此都望向对方、审视对方时，作为对网络技术充满热情的爱好者而言，很多时候其实很难割舍掉这份“惺惺相惜”。为什么？因为无论再怎么“道不同不相为谋”，黑客和安全人员的心里从来都支撑着一份初心，那就是“黑客精神”。

0****1

堕落的黑客精神

现实中，有这么个简单的问题却常常被人误解。提问：什么是黑客？

大多数人对黑客的理解是有所偏颇的。黑客，由英语Hacker音译而来，其狭义是指专门研究、发现计算机和网络漏洞的计算机爱好者。看到没？是计算机爱好者。而根据黑客的原始定义，黑客对计算机有着狂热的兴趣和执着的追求。国外黑客群体曾提出，黑客不应该受政治和利益驱使，而是应该肩负推动计算机和网络发展的重任。

国内知名黑客老鹰也曾对黑客群体进行过定义：首先是自由，不要那么多控制、那么多规则；其次是义气，就是哥们之间互助；然后是平等，不管你是老是少，不管是70后、90后还是00后，我们都是平等的；最后是具备博爱、共享、分享的精神。

也就是说，真正的黑客精神基于热爱，同时执着于创新和进取。而真正的黑客，则致力于让这个世界更美好。

然而，让人遗憾的是，当下的黑客们似乎不再具备这层精神。黑客们似乎走向了堕落。

从数据加密事件、供应链攻击事件、APT组织利用0day漏洞或高复杂入侵框架进行持续性攻击活动等，再到近年来最火爆的勒索软件攻击事件。这所有的黑客行动、网络威胁活动都只基于一个目的，那就是利益。曾经米特尼克给予全世界黑客的精神信仰—分享、自由、免费，似乎也一去不复返了，只剩下些唯利是图的威胁行为者，践踏着独属于黑客的尊严和文化。

“对黑客来说，最有价值的不是技术吗？！最重要的目标不是让世界更美好吗？！我们现在所做的这一切就只是为了从破坏中得利吗？我们的初心和精神呢？”这话出自于Jesse William McGraw，他曾是一名黑客，如今他成了一名人道主义活动家，平时他会利用自己的知识来提高人们对安全风险的认识。

0****2

William的叙述

2012年，William曾被单独监禁在联邦监狱。他说自己曾收到过一条完全匿名的编码信息。“这很奇怪，因为我不常收到匿名的邮件，但这份邮件告诉我，有人研究了我过去经常使用的代码方案。”

William表示，编码信息描述了第三方从一名目击者那里看到的事件，目击者详细描述了一名美国政府检察官的电子邮件。据William推测，这是从司法部使用的邮件服务器中所提取的。“如果邮件上的信息是真实的，那这些邮件可能会引发一连串的反动后果，甚至会在全世界引起轰动。我敢保证，每个国家的媒体都会滚动播出这条新闻。而遗憾的是，由于我从未亲眼见过这份数据转储，所以无法深入相关细节，就只是听说这起数据转储事件，是十多年前由一些身份不明的黑客行动主义者实施的。”

让William感到奇怪的是，这份邮件的内容从未被公开。作为一名司法改革活动家，William认为这一事件本可以改变世界，并让世界变得更美好，用William的话来讲，就是可以让无数人从越权的司法系统中解脱出来，同时让无数不良分子为自己的行为负责。

William表示，回忆这起事件的目的其实很简单，当前的黑客们似乎并没有像他们所推崇的活动家，比如 Julian Assange 和 Edward Snowden那样，拥有相同的价值观和认知。“这两位黑客领袖愿意冒着生命危险为更透明的政府，为更多陷入困境的人民而战，你们呢？”

William义正词严地指出，当下的黑客们只会花费更多时间针对那些随机的目标，比如大多数无辜的人民，而不是将网络技术用在更值得实施的领域，这样的做法着实令人鄙夷。“新时代的黑客更喜欢摘取低廉的果实，看到那些‘手无寸铁’的目标，他们就好似自己具备了全世界最独特的技术和最聪明的脑袋，为了一些蝇头小利就愿意放低自己，也不知有何脸面称自己为黑客。”

0****3

曾经的黑客

William回忆起了往事。他说，在1995年的电影《黑客》中，Phantom Phreak曾对Joey Pardella说：“如果你想成为黑客精英，你就必须进行一次正义的黑客行动。而不是靠运气或偶然的黑客行为来证明自己。”

电影中，当时的Joey正在试验不同的命令，他并不知道它们的作用。而尽管如此，他还是设法黑进了一家银行，导致一台自动取款机吐出了700美元，最后Joey被特勤局逮捕了。

William说：“Joey是我最喜欢的角色。他让我想起了大多数黑客的起点是从哪里开始的。Joey是黑客团体中的一员，最初他加入团队时就只是个菜鸟，团队中的其他人会嘲笑他为脚本小子。Joey对于黑客工具，以及对于使用黑客工具可能带来的后果一无所知。尽管他从那次对银行的攻击中学到了技术，并能在电影后期用它来帮助他的朋友，但他还是因为缺乏行动安全（OPSEC）而被戴上了手铐。”

William总结道，电影里的Joey是那个技术高超的黑客团队中的一员，然而在现实中，情况恰好相反，因为现在技术高超的黑客成了少数，这意味着很多黑客虽然野心较大，但执行黑客活动的能力却并不高。而一旦有人成功实施了一次与众不同的攻击，这种攻击的水准要高于大多数普通的黑客，那么其他团体和个人就会竞相模仿。比如勒索软件攻击，其在主流黑客的世界中就像野火一样能迅速传播。

“而真正的问题在于，当下的这些团体只会追逐名气和利益，他们不会去构思、策划能够帮到社会的策略，他们完全忘了黑客行动主义的精神所在。很多人看似在追求技术，其实更多的只是在关心自己的口袋，他们身上早已没了作为黑客的尊严，作为技术人员的尊严。我们的初心从来都是为了构建更美好、更自由的国度，而不是向金钱低头，被利益驱使。”

0****4

当黑客行动主带来正义时

William介绍，2017年初，黑客世界里发生了一件前所未有的大事，其在暗网上引起了轩然大波：一名神秘的黑客击垮了由暗网托管服务Freedom Hosting II托管的1万个洋葱网站。这些网站的内容包含儿童色情市场、黑市枪支、毒品，甚至雇凶杀人等服务。这名黑客声称，儿童性虐待材料（CSAM）占整个网站数据的50%以上。这事发生后过了很久，新闻来源方才透露“某匿名组织声称对此次攻击负责”，但真相仍然存疑。

“这次攻击导致20%的洋葱网站瘫痪，占整个暗网的5%。这名黑客转储了托管服务器的内容，总计近80GB，包括系统文件，但不包括用户数据，因为其中包含了大量儿童色情内容。现在这些数据已被送到了执法部门。”

William联想到，在2021年，自由托管的创始人被捕并被引渡到了美国，此人随后因运营“世界上最大的儿童色情网站”而被判处27年有期徒刑。

“当然，我们也不能忘记LulzSec黑客行动主义者Jeremy Hammond的案例，他在2011年12月对战略预测公司（Stratfor）的电子邮件数据库进行了黑客攻击，并因此面临了终身监禁的判罚。最终，他在监狱中度过了十年。他的牺牲揭露了美国政府针对占领运动（Occupy Movement）所进行的监视活动，其涉及到了三百万条私人信息，以及Stratfor针对包括匿名组织在内的各种激进运动所进行的数据收集行为。”

还有Deric Lostutter，William介绍说，此人在2012年揭露了斯蒂本维尔（Steubenville）足球强奸案的丑闻，当初这起黑客事件震惊了全世界。William对此表示，尽管 Lostutter的服刑时间比他所揭露的强奸犯还要长，但像他这样的黑客提醒了我们：真正的黑客精神意味着什么，代表着什么！

“我们需要像Aaron Swartz这样的黑客站出来，同时我们也希望将世界塑造得更美好。我们不能让那些戴着面具、穿着角色扮演服、制作虚伪视频和抱有狂妄幻想的人在社会上张牙舞爪。真正会给社会带来益处的黑客都善于跳出思维定式，并不会以随波逐流为自己的处世准则。我们要牢记，黑客永远都会存在，即使互联网崩溃，社会陷入混乱，黑客也不会消失。因为黑客永远会带着对技术、对未知事物的热情和偏爱，坚持探索，推动边界，或者就纯粹去寻找能让世界变得更美好的方法和事物。系统、计算机、网络，就只是我们热爱这个世界的一种途径和工具，这才是真正的黑客精神！”

0****5

黑客和安全

William的话语同样适用于安全行业，对安全人员而言，“黑客精神”一样意味着不变的初心。因为对技术热爱，对未知事物有着探索欲，所以才投身于安全行业，同时当自己身处攻防两端时，也确实想一睹网络领域的多姿多彩，这才是作为安全人员的初心。比之生活中的蝇营狗苟和养家糊口，这份热爱到底值几斤几两，那就只能靠身处现实中的各位扪心自问了。

此外，除了拥有能相互借鉴的精神，黑客性的思维也有助于制定安全策略。Nash Squared和Harvey Nash USA的CISO Jim Tiller表示：“如果你不能像黑客一样思考，你就无法采取适合于各种场景和环境的安全策略。你对威胁了解得越多，你就越能有效地应用这些安全技术。一般而言，安全团队对黑客会如何攻击我们的网络存在误解，许多安全团队过于关注漏洞的管理，并以尽快修补漏洞为最终目标，因为他们认为黑客常有的手段就是利用这些漏洞。而实际上，这并不能降低企业的风险，因为这与黑客的实际行为不符。”

Tiller指出，通常黑客在入侵了企业的IT环境后会建立活跃的连接，他们会收集用户名、IP地址和电子邮件等数据，他们会用这些来评估该组织网络安全态势的成熟度，然后他们会进行更深入的挖掘，以寻找开放的端口和保护不力的区域，比如报废的系统或管理不善的资源。斯皮瓦科夫斯基说：“当黑客了解到了操作系统的运行情况后，他们才会开始研究有什么漏洞能用来发起黑客攻击。”

国内安全专家赖东方也说过：“安全从业人员，无论是红队角色还是蓝队角色，都需要考虑到真正的攻击者会做什么，想做什么，能做什么，攻击来源、目的、手段、成本、收益、风险都要考虑到。安全从业人员了解一些攻击细节有助于清晰地认识攻击的性质，从攻击者的角度看安全有时候能让我们找到最直接有效的防护方法。全盘来说，攻击者视角有助于形成一个比较直观清晰的防护矩阵，也就是大家常提到的攻击面管理。但是，作为安全从业人员，要考虑的角度还有很多，攻击只是一个方面，或者说攻击只是防护要考虑的一个点，防御面管理也值得考虑。”

0****6

正确的黑客之路

纵观国内的黑客历史，从最初的林正隆(CoolFire)，他在1995年撰写了中国最早的黑客教程《黑客入门教程系列》八篇；到1997年中国黑客团体“绿色兵团”的诞生；再到tombkeeper，江湖人称“TK教主”，曾在Black Hat、CanSecWest、HITCon、XCon、xKungfoo等知名安全会议上发表演讲；再到Yuange，其从事漏洞挖掘和漏洞攻防研究近20年，是国内公认的顶级白帽黑客。

这些大名鼎鼎的业内翘楚，都是最早的爱国群体，他们算是黑客中的一员，但他们有底线，有道德，有民族荣誉感，总想着基于外国先进发展，将更好的计算机技术和理念带回国内，然后促进国内的计算机领域不断成长，以跟上全球互联网的发展道路。

之后，以这些群体为基础，国内的安全产业逐渐发展，赫赫有名的大咖们陆续创业成立起了安全公司，此时他们的身份不再是黑客，而是为推动行业，响应国家号召，毅然而然决定为自己和后人设立起“安全从业人员”这样积极的形象。其中，更多的人入行成为了安全专家，他们会把自己的能力，自己长久以来所具备的“高尚正确”的黑客精神，一起融入到国内安全产业的血液中，他们的目的很简单，就是为了壮大国内计算机领域的发展，并坚定信念，立志要让国家在安全的环境中不断成长，这才有了今天百花齐放、欣欣向荣的局面。

如今，这一代代人悄然褪去，有的选择了隐退，只在虚拟世界几处不起眼的角落里，继续坚持自己那默默地守护；有的则依旧在各自的领域里，为让年轻的白帽子们、爱好者们茁壮成长而不懈努力，他们的教导始终是那“走正确的路，坚持正确的信念和价值观”，他们会说，黑客也好，技术人员也罢，意义不在于发光发热，而是在于如何将技术付诸于伟大复兴，如何帮助人民、社会、国家更好地开创出远超他国的信息时代和数字时代。因此，他们也希望更多的安全新人能够涌现，安全行业也应该注入更多、更新鲜的血液，这样才能让国内安全产业始终保持活力，而真正正确的黑客精神才能永远传递下去。

可见，这每一代的安全人员都将他们最为重视的黑客精神传承至今，以至于到了这一代，因受益于前几代黑客所分享的技术以及对安全体系的建设，这一代才能在原有的基础上进行最新的安全技术研究，并对下一代安全人员进行培养，并不断为信息安全领域持续输送网络安全人才。而正是这样一个良性的共享闭环，才更符合黑客精神的精髓，同样也是安全人员愿意继续努力下去的根本所在。

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：