人物|陈鹏有：言简意赅，矢志不渝

什么是成就感？

挖到一个很有意思的漏洞会有成就感；从渗透测试人员转变为红队人员会有成就感；从乙方逐渐转变为甲方也会有成就感。

其实什么是成就感？

陈鹏有说：“在每个阶段都能做到‘从零到一、从无到有’的转变或者发挥自己的价值所在，这些往往会使我感到无比自豪，我想这大概就是最纯粹的成就感，我相信自己的这一认知永远不会改变。”

确实，这话从陈鹏有的嘴中说出一点也不违和，当笔者问至“为何即使行业不景气，君也不愿与世浮沉”时，陈鹏有哂然一笑：“不觉得攻防很有趣吗？趋利是共性不是特性，对我而言，意义、乐趣、生活等，更为重要。”

才明白为何十年来陈鹏有与女友之间始终能做到相濡以沫、情投意合。不禁联想，人对自己喜爱的工作也确有相同的情感，大概这才是真正意境相通的不忘初心吧。

被攻防吸引

和大多数IT专家的过往一样，陈鹏有也是从游戏开始逐渐了解计算机的。论坛上所概述的反编译非但没让年幼的陈鹏有误入歧途，相反奠定了他步入信息安全的理念，这或许就是所谓的“个人意识”有所差异，同样的技术在不同的人手上就会有不一样的运用方向。

而真正接触到“信息安全”是在陈鹏有大三的时候，奇安信公司和他的学校做了一次校企合作，倍感兴趣的陈鹏有参加了他们的课程培训，用陈鹏有的话来说：“虽然他们的培训内容有很多，产品、设备等等，但我最感兴趣还是攻防。黑客、红客、白帽子，没有比这些更酷的职业了。”

专业虽关乎于物联网，但一心想研究攻防的陈鹏有岂能满足于现状？于是秉持着笃信好学的精神，陈鹏有愈发将所学、自学的计算机知识融会贯通。他指出，当下的工控安全就结合了物联网和信息安全，嵌入式的软硬件结合体系是我们安全行业该关注的重点。

随机应变和觉悟

陈鹏有的第一份工作就职于奇安信科技有限公司，职位为渗透测试工程师。

“我加入安全行业后，一开始面向的客户都是些交通银行、招商银行之类的金融单位。众所周知，金融行业的客户通常比较注重安全，即使是危害较小的安全漏洞他们也会比较关注，因此，可以说这个就职过程也让我自己树立起了一个比较雏形的安全意识观吧。”

为了更好的完成工作，初入公司还不怎么熟悉流程的陈鹏有就只能边询问着前辈、师傅，边亦步亦趋的学习操作。“做重复的事可能并不能算作困难，但做‘从未接触过的事’可能就是另一种概念了。比如应急测试，你得在实际操作的过程中去学习、去成长，而最主要的是不能让客户觉得你不够专业，因此我们得学会随机应变。”

而对于渗透测试的学习，陈鹏有则更多的认为，做好自己擅长的事并不重要，重要的是该有“从零到一”的建设觉悟，这是一种转变，不仅仅是工作上的、技巧上的，也是为人处世的一种态度。

“我们得把经历看作一项任务，所有承受下来的人才能成功。”

工作外，作为兴趣爱好，陈鹏有也喜欢在漏洞响应平台上领取任务。“刚接触安全行业的时候学习了一个安全漏洞，从此喜欢上了挖出漏洞后的快感，这就像是发挥了自己的价值所在，一方面能够为企业、为行业、为信息技术业找出潜在的威胁，另一方面还能通过挖src来加深自己对于漏洞的理解，同时也让自己知道了这个漏洞是在什么场景下产生的，各种丰富的知识和领域让我兴奋不已。当然，在挖src的同时能够获取到一部分赏金，这点也尤为重要，这就像游戏里面的任务榜单，非常有意思。”

对于第一份工作的总结里，陈鹏有也提到了让他惋惜的内容，比如实实在在的看到了客户被勒索、被挖矿，或者因为黑客攻击造成了大额的经济损失等，因此他意识到了安全真的是把双利剑，他提出所有的安全人员都务必得保持好初心，尽可能的发挥自己的价值所在，这样无论是对企业还是对个人都会是最好的选择。

参与攻防

不同于身处乙方只做安全服务，陈鹏有的第二份工作就职于某环保领域企业，职位为应用安全负责人。用陈鹏有的话来说，其工作内容就是协助甲方安全建设的落地和实施，负责好项目上和实验室的具体内容。

和当初接触到新工作时的概念一样，第一次从乙方变为甲方也需要在思维上有所转换，而最主要的还是“从无到有”的搭建精神，得知道自己哪里需要重新认知，而哪里又可以适用于从前。

“虽然现在我转变为了甲方公司，但所做的事情，可能乙方、甲方都有，比如会打HW呀、会打CTF呀、会去客户现场呀等等；当然也会考虑落地IAST、安全左移这些事情。但是最主要的是，我能看到大家都在努力寻求安全上的突破，寻找一种更高效、可靠的解决问题方式，这点值得欣慰。”

于是笔者不禁好奇，护网行动、CTF、IAST此三者活动对陈鹏有来说哪个更具意义，陈鹏有对此回答：“我觉得缺一不可，因为甲方、乙方都是不可忽略的。身处甲方，你需要为自己的企业去做一些安全架构，或者为企业在原有基础上做一些提升、一些转变等；而身处乙方，你可能面对的是各种其他的企业，你需要为他们做一些安全测试或者安全服务，你更多的会去关心整个行业的安全问题。老话说的好，‘以我知彼，以表知里，以观过与不及之理，见微得过，用之不殆’，因此无论身处哪个角度，这些视角我们都得具备，所以这些活动才各有意义。”

陈鹏有介绍说自己第一次的红蓝对抗不尽人意，因为是第一次参加，人员也未能配备齐全，所以没啥头绪去竞争。而经过这次的教训，在做足了准备后，陈鹏有有幸在第二次的护网行动中荣获第二名的好成绩。

对此，作为带队，陈鹏有有些建议希望其他安全人员能够共勉。“首先，从渗透测试人员转变为红队人员后，就完全不能用之前的思维来看待问题了，但之前相关的经验却可以借鉴，因为信息安全或说信息技术之间是一通百通的；其次人员分工很重要，每个人都该清楚自己负责的是哪个版块，针对于这些版块可以做一些相关的调查，既然是带队，就该清楚的了解到每个人擅长什么，你只有根据每个人的特性去安排工作，他们才能发挥好自己；再有就是配合和策略。”

陈鹏有指出，切不可无脑的将“漏洞提交上去”，这会给自己队伍带来破绽，对方会在我们松懈的时候突然攻击，这样就会被反超了。再比如把握好双倍得分的开启时机，这也是赢得比赛的关键。

为了更好的迎接比赛，陈鹏有会在平日里督促队友多做一些定期整理，比如观察渗透的一些变化、及时的去了解一些安全漏洞等，实时跟踪、实时更新自己的安全工具都是非常必要的准备。“这就好像上战场前，是不是得保证武器的锋利度？”

而关于CTF的比赛，由于参加的次数并不多，陈鹏有就只能以个人经历来指出它的特点。“CTF更讲究对脑回路的考验，它会以出题的方式让我们作答，而所出的题目往往会违背我们正常渗透测试时的真实环境，比如他会模拟出一个考试环境，然后他想把Flag放到哪儿就放到哪儿，因此我建议大家可以常去关注一下网上的各大比赛，这些比赛常会留有相关的文档，我们可以参照其上的一些思路，这也是出题人常会去关注的，这样我们就能从源头上去了解一些问题。”

而即使参加次数并不多，陈鹏有还是获得过重庆小组第二名的好成绩。

最后对于IAST的安全架构，陈鹏有建议在公司需要有所改变的时候，安全人员得多作一些筹备，比如涉及安全产品或落地一些相关内容时，公司可以多作市场调研，或者多了解其他公司的一些落地经验等。

对于当下的这份工作，陈鹏有十分感谢自己的领导，他如此说：“只有亦师亦友的领导才会将你的工作融合进你的生活中，因此你不会感到压力，而是会觉得充满干劲。我们总会有迷茫的时候，不管是面对工作还是生活，而我的领导他特别能理解我又会为我排忧解难，可称得上人间一大幸事。”

云安全将是趋势

“云安全”是借助“云计算”的理念应用在安全领域。根据推出此概念的杀毒厂商的解释，将用户和杀毒厂商技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个用户都为“云安全”计划贡献一份力量，同时分享其他所有用户的安全成果。初听起来，这个概念是很好地将“云计算”的思想应用在安全领域，似乎非常具有创新性和实操性，具有一定的诱惑力，但仔细一琢磨，发现其目前只停留在概念阶段，离实现真正意义上的“云安全”还有相当的距离。

对此，陈鹏有认为，虽然目前只停留在“概念阶段”，但在最近几年中，云应用开始变得越来越多，很多业务都在往云平台迁移，因此云安全必然是需要关注的重点之一。而其根本原因在于，伴随着网络安全形势的变化，传统的反病毒模式面临着诸多无奈，近年来，恶意软件的增长率首次超过正常文件，病毒的网络化攻击、混合式攻击愈加明显，而且过程更为隐蔽，使用底层技术的病毒开始公然与杀毒软件对抗。在这种形式下，传统的“获取样本、分析特征码、更新部署”的方式已无法满足日益变化及增长的安全威胁，必须通过更有效的方法来弥补传统方式的不足，而“云安全”便是为此而发展。

除了对云安全有所展望外，陈鹏有觉得大数据时代之下，肯定的数据和信息对用户来说也是尤为重要的，是需要放在首要位置去考虑的！

“前瞻性的想法和举措谈不上。一方面国家也有较为完善的数据和信息安全法可以形成制约，所以除了以往的攻防层面，拿下服务器、发现安全漏洞可能会更关注一些数据的显示是否合理、敏感信息是否脱敏输出等等。而就个人而言，我对我们安全行业有着无比坚定的信念，我相信网络安全的机制肯定会不断完善，一定能有、也一定会有一种比较好的网络安全机制及时出现，以应对于各种问题。”

最后

即使坚定不疑，陈鹏有同样觉得当下的行业状况不容乐观。“应用防火墙的成本越来越低，安全越来越难做了！”

而对于将要迈入安全行业的新人来说，陈鹏有建议道：“多研究一下新技术吧，多做一些突破吧，我们不能够停滞不前，因为只有不断进步才能使我们打破行业的束缚！”

作为安全人员，陈鹏有完全拥有了身为安全从业人员的觉悟，他不止一次提出，不管遇到什么问题都一定要带着专研的精神去解决。

在如今这个疫情肆虐的年代里，各行各业都受到了比较大的影响，很多中小型企业也因为扛不住巨大的压力而直接消失。陈鹏有面对这样的境况由衷的说道：“敬佩每一位防疫战士！作为公民，我们首先得做好自己的防疫工作，不给国家添麻烦；而作为安全人员，我们得和防疫战士们一样，有着不畏艰难的精神，我们能够做的，也是务必得做到的，就是实实在在做好当前的每一份工作！”

详情请关注安在新媒体—人物、热点、互动、传播，有内涵的信息安全新媒体。