本文讲的是开锁与网络安全的5个相通之处，安全是个复杂互联的网络。这个包罗万象的领域中有很多细分门类，但有些经验是跨界适用的。物理安全很大程度上可被视为网络安全超然元素的代表。无论数字安全还是物理安全世界，都依赖相同的基本原则。虽然可能需要不同的工具和技术才能真正理解，开锁匠确实有些经验是可以教给网络安全从业者的。

1. 行为准则

开锁匠首先要学的，就是开锁的两大基本原则。首先，别碰未经主人允许的锁。这是开锁的行规，是好奇与法律之间差异的备忘。大多数地方都有对开锁职业的法律监管，所以道德开锁匠必须时刻记得自己那点小爱好可能招致的残酷后果。相同的原则适用于网络安全从业者。都必须遵从法律行事。

第二条准则相对不那么直接易懂。别撬正在使用中的锁。开锁匠需要认识到，自己是在破坏手头那把锁的安全。挑战设备核心本质的时候，总是带有毁坏设备的风险。职业锁匠会遇到需要撬在用的锁，这条原则作为破坏安全危险的提醒而存在。

白帽黑客知道，如果非必要测试网络安全，网络可被破坏，文件会被侵染，公司会遭遇宕机……安全测试自带固有风险。你在做的一切所产生的后果，必须总是正面的。

1. 兴趣即能力

锁匠总在找新方法开锁。厂商总在推出产品修复新漏洞。最终结果就是一个动态研究的领域。锁匠必须保持知识和技术总是处在最前沿，只要不能解析新设备，就会被时代无情抛弃，只要学不会避开锁头的最新方法，下一波演进会把你抛得更远。要搏击不断变化的浪潮，锁匠必须对工作兴趣满满。

兴趣是最好的老师，往往还能激发你去学习更多东西。没有兴趣，就没有了让锁匠学习必要知识以保住地位的动力。电子和软件安全飞速变化，不保证兴趣，太容易被时代甩下，甚至仅仅是脱离实践一段时间，技能也会萎缩衰退。

开锁是门很容易过时的技术，啥都不干，你的能力就作废了。锁匠自己清楚，失去兴趣不仅意味着落后，还意味着之前所有都蒸发了。兴趣越浓厚，技术越安全。

1. 啥都能被打开

锁就是用来开的。它也能关，但不能永远关着。让正确的人进入的锁才是锁。谁都不让进，那必然是把坏掉的锁。锁匠知道这是所有安全领域的固有缺陷。锁的意义，不在于让所有人都进不来，而是让正确的人能进来。你要做的，就是让锁为你开启——即便在不应该开启的时候。但是，锁头未必要按既定方式打开。锁匠知道锁头终会被打开，没什么东西是完全安全的。

这就是保持锁匠不断研磨自身的教义，但有时也会引发沮丧。你不能再因为自己做不到，或者当前还没人能做到，就说“做不到”。网络安全专家必须清楚，自己做的或者尝试绕过的任何东西，从一开始就是有漏洞的。

每把锁都有钥匙，钥匙工作方式能告诉你精炼绕过方式所需的所有知识。

1. 每个敌人的进攻方法都想到

开锁方法多种多样。你可以拆了它，把每个部件弄下来，用梳镐、撞匙等工具。如果真的想进去，直接切了，或者用锤子砸烂都行。重点是，最复杂的方法往往不是进门的方法。作为锁匠，就是尝试哪种办法能行。对付以前从未见过的锁头时，像新人一样不断测试。锁孔里转动无碍了吗？那就可以开始更准确的实验了。

太多人告诉你换位思考，但极少有人跟你说要把每一个可能进攻你系统的人都考虑到。这能防止你局限在自己的思维中。像看过YouTube视频教程的罪犯一样思考能扩展思路，帮助料敌机先，防范真正的威胁。有人可能就是很走运，你的部分工作就是找出他们需要多走运才能登堂入室。

作为专家，就是要能够以专业领域内各个层次的人的思考角度出发想问题。这才是专家优势所在。锁匠能像每一种偷儿一样对锁下手，网络安全人员也需要能够理解黑帽子的思路想法。

1. 耐心

开锁必须十分专注且耐心。太急躁容易导致弄坏工具，甚至直接把锁废了。不过，最好情况下，不耐烦仅仅是让开锁过程大幅延长而已。越急躁，越容易忽略某些东西。越耐心，失误越少。

锁头会隐晦地透露给锁匠一些信息，所谓的反馈。轻微的滴答声，内部机制的运转等等，都会出卖装置隐藏的秘密。耐心让你可以注意到这些微小的信号。

可以快，但不能是赶工那种快。在网络安全上，向时间投降只会让事情更麻烦，而这是失败的一大诱因。时间框架不是问题，思想态度才是。越是时间紧，越不能匆忙行事。缺乏耐心的锁匠，成功只能靠运气。事情总会花去它该花费的时间。即便要用到六种不同方法，你也必须一种种冷静运用。

精明管理时间，要知道：失去冷静是全盘皆输的捷径。

结论

不同安全领域能相互学习的经验很多。锁匠看待自身道德责任的态度，对深入理解安全漏洞查找的意义也有帮助。它还能提供对自身领域固有缺陷的认知，赋予你像每一个试图侵害系统的人一样思考的能力，让你能够清醒耐心地搞定自身责任。有了这些深入了解，你就能成为更全面发展的安全专家了。

原文发布时间为：四月 8, 2017
本文作者：nana
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛
原文链接：http://www.aqniu.com/learn/24106.html