人物 | 白玉堂：壮志略酬，返璞归真，最希望技术能发展得稳些

评价白玉堂为聪明特达并非毫无根据，初拿课本的他就在短短的时日内将小学课程都学会了，因此从小在农村长大的白玉堂凭着自己卓越的才智成功跳级，提早进入了初中就学。

所谓有得必有失，起跑线的超前意味着学习压力会随之增大，叛逆期也就来得“不同凡响”。白玉堂这一疏忽，便是连续多年误了正途。好在他聪慧过人、迷途知返，几经波折后凭借着不懈的努力终是调配去了湖北的医学院。

“还是挺遗憾的，本来报考的是哈尔滨工大和九江学院，那是些具备历史年代感的地方，我特别想去看看以前革命先贤奉献过的土地，想走在那些街道上，穿越时空，与他们对话。”

农村学子对计算机是怎样的好奇呢？就是去了网吧之后不会留恋于丰富多彩的游戏世界，而是会思考眼前这小小的“科技盒子”是怎样包罗万象的，用白玉堂的话来说，就是计算机的出现颠覆了自己的认知。

因此，毅然而然的白玉堂在去医学院的当天就要求了转系，计算机或说信息技术早已在他的心底埋下了求知的种子。皇天不负有心人，医学院最后让他转去了信息管理系。

大二，一头扎进信息技术的白玉堂泡起了各大黑客论坛，他于知识海洋中享受着自己的归属。“面对各种技术，原来还能这么思考问题，不得不说网络上的大牛实在太多了，这对我来说特别有意思，但由于所涉及到的内容对当时的我来说，可能觉得不太好公开，所以每次只能悄悄地研究。”

然而，一次不经意间的发现改变了白玉堂的看法。那天，教数据库原理的老师为学生们放映着视频教程，却正巧被白玉堂发现了桌面上1433端口爆破的截图，这偶然的一眼立刻让白玉堂“澎湃”了起来，原来自己多日来只敢在午夜12点后研究的秘密技术竟也会出现在老师的桌面上，原来“这”真的没有好坏之分，完全也能成为正向的学术。

“哈哈，才发现原来大家都这么玩儿。自此之后我越发地迷恋着计算机技术，它给我一种强烈的成就感，就是在这样未知的领域里、虚拟的环境中，我可以领先于他人，可以真的做出一些表态，或声明一些立场。”

当初在思想上还不那么成熟的白玉堂会在“进步”时“教育”他人，比如在拿下谁的网站后添加些斗志昂扬的轻音乐，用白玉堂的话来说，这就算是一种告诫了，即希望所有网站拥有者都能够重视起网络安全的重要性。

“我们不会去破坏或窃取，就纯粹是想说‘我们来过，请您提高警惕’。当然，也有站长找过来的时候，因为我们会把安全小组的信息都留全，所以也不难找，而面对那些站长我们也只能说是所教的徒弟没管好，会赶紧给他们恢复，让他们放心。”

随着对技术的认知越来越完善，随着对界线的解读越来越深刻，白玉堂不再只做些“自鸣得意”的举措，而是将眼界放得更高，寻找起了大网站的漏洞。“当初土豆网视频编辑的后台里有漏洞，找到后可以增加视频的权重或者越过审核发布各种视频。那时谁能认识土豆网的技术人员，所以我也就当是抱着‘小炫耀’的初衷在QQ群里发布了，最后果然在一两个小时之内得到了修复。”

2010年毕业时，带着满腔热血的白玉堂申请去做西部计划志愿者，他有两点初衷，其一当然是为汶川做灾后重建，因为08年灾中救援时医学院派去了两支医疗队，而身处信息管理系的他却被告诫不要去“添乱”，所以这次他不想再错过；其二，对白玉堂来说，四川的成都信息工程学院能让他的信息安全技术更上一层楼，所以他打算在做志愿者的同时于工程学院读个在职研究生。

“绿盟科技的安全竞赛让我意识到了什么叫‘天外有天、人外有人’，这世界原来那么广阔，自己真的就是沧海一粟，和其他高手之间的距离实在太远了，所以我得去进修、得去深造。但没想到的是，我上报材料之后，湖北相关部门给我拦下来了，他们说湖北也很穷，也需要志愿者服务，于是就把我的档案直接留在了湖北十堰市。”

未能如愿的白玉堂只好在湖北的县团委里“半工半读”，好在和自己的意愿差别不大，也是能在为国家建设的同时提升个人的技术能力，因此白玉堂潜心学习、发奋图强。

当初在县团委的工作内容并未涉及到太多信息安全，做的是网站运维和一些相关的测试工作，白玉堂说，这也为他之后的信息安全工作带来了一定的帮助。“做了甲方的安全人员后发现，安全测试、渗透测试可以理解为是测试工作的一部分，只不过要比以前工作的内容更深入。所以，出学校后这几年的工作经历可以说使我在看待问题时变得更全面了。”

在天融信工作后，白玉堂正式接触到了信息安全，职位为安全服务工程师，工作内容是为客户做好相关的安全服务。在此工作期间，白玉堂得到了领导的认可。“领导说我虽然不是技术最好的，但却是最让人放心的，因为不管什么活儿交到我手里，我从来不推辞，只要是任务我定会想办法完成。怎么说呢，我倒更希望领导能说我是技术最好的。”

工作之余，白玉堂会将安全界知名人物诸葛建伟的专业教材买来钻研，以拓展更好的技术和眼界。

或许是应着白玉堂的这份求知欲，机缘巧合之下，正好碰到瑞星科技要建设攻防实验室，对白玉堂来说，若能在实验室工作可以沉淀更多的技术知识，同时能静下心来钻研更多的学术内容，于是白玉堂告别了天融信，来到了瑞星。

瑞星六、七个人的实验室里可谓卧虎藏龙，虽都来自于不同的领域，但每个人都能独当一面，而最有意思的事莫过于茶余饭后的“自我吹嘘”。

“实验室附近有很多办公场所，我们午后在周边溜达时就会拿各种公司闲聊，一会儿这个说‘那不是谁家嘛，我有过他家的库’，一会儿那个说‘他们老总和我啥啥关系，以前让我帮忙修补过漏洞’。可以从他们的互动中得到许多小道消息，当然，无论是对技术还是眼界都能有不小的提升。”

而在瑞星工作年间，最让白玉堂记忆犹新的是3W咖啡馆里那位远道而来的安全专家“老鹰”。当初好多创业者云集的3W咖啡馆里常会举办一些分享会，白玉堂没想到自己还能遇见少时的崇拜对象，于是他抓住了那次机会，并从“老鹰”分享的社会工程学里收获良多。这对白玉堂之后在安全意识上的培训有着不小的启发。

白玉堂指出，社会工程学里提到“攻击者会不断利用人的弱点去做突破边界的事”，这对社会和人性来说是不可避免的，只能更多地去规范流程或防范人的贪念。而在公司里，白玉堂认为得培养员工的边界感，比如让员工们警惕尾随或陌生人的聊天意图。

“其实所涉及的领域是非常多的，攻击者的方式也是层出不穷的。举个经典的例子，打客服电话。通常而言，只有公司的用户才能看到公司里一些特别的内容，这是其他游客所看不到的，因此攻击者就会通过打客服电话、伪装成用户的形象来套取相关的信息，比如以提交资料为由获得公司内部的网址，而这些网址往往是非公开的，没有域名只有一个IP地址，只有买过公司产品的用户才会需要。拿到网址后，攻击者会发现这些网址一般缺少相关的安全防护，于是就能成功打穿，获取大量的重要信息。”

除此之外，白玉堂更是告诫，任何技术都得建立在信念之上，不可为了一己私欲而为非作歹，得明确自己的技术是为了什么而用，比如作为安全人员的他，就一定会把技术运用在“保家卫国”上。“哪怕就是做一个小小的软件，也得衡量自己的初衷和意图，否则必然会越陷越深，直至万劫不复。”

瑞星之后，在易宝支付这一年半的工作时间里，白玉堂经历了所有安全人员都会经历的阶段，业内称其为“安研战争”，即安全和研发之间有了各种碰撞。

“那时大多数企业还不怎么重视安全，所以我到了易宝支付后找出了他们许多的安全问题，这都还好。主要是当一些产品面临着上线时，我作为安全人员必然会提倡做安全测试，因此研发部就会害怕测试耽搁上线时间，到时难以和用户交代。好在我直属领导会为我们去沟通，强调安全的重要性，那时其实也不知道测试具体需要多长时间，但总归认为，哪怕是耽搁上线时间也一定比上线时‘带着安全隐患的产品’要强。”

和直属领导间的紧密配合让白玉堂成功完成了安全测试，不但较为严重的安全问题得到了修复，同时也没有耽搁上线时间，自此之后，白玉堂所在的安全部门才和研发部之间有了较好的互动。白玉堂表示，如今数字化转型的发展越来越快，各大公司都需要在产品上做好安全防护、安全测试，否则给企业带来的灾难是巨大的，同时也会为用户、为社会带来风险和威胁。

在甲方乙方都风生水起的白玉堂始终不忘作为“安全人员”、“技术人员”的初心，易宝支付年间，白玉堂又为阿里找到了严重的漏洞。由于在安全边界上的疏忽，通过此漏洞，淘宝网上可以翻阅任何与用户相关之人的详细地址、购物清单、关注和被关注人群，阿里因此颁发给了白玉堂安全专家的证书。白玉堂说，这就相当于和业内有名的安全团队进行了一次对线，并且赢了一招半式，非常具有成就感。

由易宝支付时期的直属领导所带领，一年半之后，白玉堂来到了民生金融。据白玉堂介绍，民生金融是泛海集团底下新创的一家金融公司，虽隶属于泛海集团，但实际上是家小公司，因此当领导要求将内部自己所研发的软件推广向集团的其他公司时，每个技术人员都愁容满面。

“让我们每个人都发展一个部门，这根本是不可能完成的任务，连在内部做一些广告都比这种强制要求要来得好。那天回家的路上我就在想，要不直接把集团里其他公司用户的信息给拖出来再联系吧，第二天，我跟领导展示了获取的信息。我们leader看到后说，这才是一个互联网公司应该有的样子。”

此间工作之余，白玉堂仍旧喜欢浏览各大论坛，当初他还参加了某个安全众测，就是为各大公司做安全检测，检测后所报的漏洞越多，得到的奖励就越多。通过在建设银行上的安全项目，白玉堂发现了不少问题，于是他想顺便看看中国银行会不会也有类似的漏洞，结果真被他发现了严重的风险。

“一家大型企业，最忌讳的就是在新的项目和业务上有所疏忽。中国银行本身的官网没有任何问题，但它旗下有一商行名为中易商行，在中易商行的网站上重置密码时，它所需验证的短信验证码可被绕过，这也就意味着我只要知道任意一位中国银行用户的手机号，就能直接登陆他的账号，并可在其账户里进行任意操作。”

这样的漏洞对银行而言有多么可怕，对用户、对老百姓而言又多么危险，若没有白玉堂的及时发现，在这个过程中会有多少受害者、多少家庭经历意外的摧残。

类似于这样的例子，在2018年白玉堂进入神州优车后也遇到过，比如以游客身份竟能通过某公司WIFI连接到其公司的内网进行破坏，因此白玉堂再三强调，大公司在拓展项目、业务或收购小公司时，组织架构、网络架构一定会发生较大的变化，这时得保证每一个区域都有独立的安全，然后才能把它们连接起来，否则就好比狗尾续貂，本来是为了加大规模、提高公司市场份额，却因为新业务的安全问题而导致公司陷在了严重的安全隐患里，得不偿失。

在神州优车的工作期间，白玉堂也做了许多内部分享，因此还得到过内部技术团队艳羡的码里傲奖和2000块钱的京东卡，算是公司内部对他技术上一次极大的认可。

之后白玉堂便来到了松果出行担任安全负责人，负责公司多条业务线的安全框架搭建、评审、测试与线上运营等。白玉堂表示，初来乍到，松果出行的内部体系有着较大的缺陷，各部门的边界都是模糊的，哪些属于安全、哪些属于内控、哪些属于运维都未清晰，因此他需要为公司从零到一将整个框架体系搭建好，这样公司才能顺利的运作下去。

关于团队文化是怎样的，白玉堂介绍说：“安全团队的每个人都是我亲自面试的，我不会在技术或文凭上过多要求，而是一定得知道他们是不是真的热爱安全，因为这份工作并不轻松，若你只是为了赚钱便很难坚持下去，我需要他们享受其中，这样我们的团队才会成长、才会强大。”

白玉堂指出，安全行业已经变得越来越成熟，它早已没了“初学者红利”，并不是那“只要懂一点安全就能游刃有余吃好几年老本”的年代了，安全已经有了完善的系统，也有着明确的职业范畴和职业方向。“所以你不喜欢就不要来了，如果真的喜欢，那就不要浮躁，踏踏实实地找准自己的定位，然后深耕下去。此外，热爱这份工作，为网络环境做出一些贡献，自然会赢得一些社会价值的体现，这是一件水到渠成的事，切不可热衷于追逐这些个名利，而是要更多的回归技术。”

至于在松果出行的管理手段，白玉堂介绍，向上管理要给出可视化可量化的成绩；部门衔接，要给出细致、清晰的责任边界与解决方案；内部管理，要做到细分工作、卡关键节点。

每一个行业，在它刚开始发展的时候，在它还没有职业化道路的时候，一定是最有趣、最轻松的，虽然它带来的利益不多，但每个人都乐在其中。之后渐渐有了资本，行业有了阵痛，但不管怎么说，总是在进步，总是在磕磕绊绊地往前走。

“所以我想说点心里话，希望大家能给技术让条路，尊重技术，让技术走得更慢些、更稳些、更深入些，而不是只在乎市场份额。”这是白玉堂在回答展望时所说的话。

他还说，任何科技行业只能靠技术取胜，否则不可能长久。安全虽是新型领域，但早已在资本的入场后成为了红海，而如果国民能将它视为一个技术比拼的领域，那在某些细小的分支上，安全依旧有着蓝海市场，大数据、个人隐私等就是很好的例子。

安全对于白玉堂来说更像是什么呢？更像是那“白玉堂前一树梅，为谁零落为谁开”，在此，愿所有安全界的新人、老人、专家并所有重视安全的用户、企业都能惺惺相惜，不让安全在春风中独自凋零，这样我们的社会、我们的国家才会越来越强大，才会越来越繁荣昌盛。