热门资讯

优秀东软人 | 每天进步一点点的“白帽子”——刘勇杰

大学作者：成都东软学院 2021-06-30 10:01:04

欢迎大家来到

【优秀东软人】特别栏目

今天给大家介绍的学长是一位

低调“白帽子”——刘勇杰

高级安全研究员刘勇杰

成都东软学院计算机科学与技术系

信息安全专业2018届毕业生

个人简介

刘勇杰，2015级信息安全技术专业毕业生，高级安全研究员，四川省技术能手，世界技能大赛网络安全项目四川省集训队选手。

2017年以专业第一的成绩获得国家奖学金；2018年获得成都东软学院优秀毕业生，三好学生；成都东软学院信息安全协会“先进个人”。曾任成都东软学院信息安全实验室学生负责人，小虎鲸安全战队队长。曾参编 i 春秋期刊《SQL 注入》《代码审计》《Python 应用之道》《进击的 XSS》等。

曾获荣誉包括：

“之江杯”工业互联网内生安全防御国际精英挑战赛二等奖；

第15 届全国大学生信息安全与对抗技术竞赛个人挑战赛全国一等奖；

2016-2017 赛季信息安全铁人三项赛全国总决赛全国三等奖；

第十一届全国大学生信息安全竞赛创新实践能力赛全国三等奖；

2016-2017赛季信息安全铁人三项赛“企业环境赛”西南赛区亚军；

2017年四川省大学生信息安全技术大赛二等奖；

2021年被四川省总工会授予五一劳动奖章……

背景插播

信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

△刘勇杰历年参赛证件及荣誉证书

兴趣即专业，专业即生活

刘勇杰认为自己是幸运的

在很多同学还在为兴趣和专业不符烦恼时

自己的专业打开了他新世界的大门

而这个新世界里的每一个事物

都引起了他极大的兴趣

专业对“胃口”

刘勇杰端好这盆“菜”

开始“埋头苦干”

因为对专业的兴趣，刘勇杰在大一时便进入学院信息安全协会，经过严格的技术选拔考核后，顺利进入实验室。作为实验室中的主力一员，刘勇杰主要从事网络安全加固和渗透测试等方面的工作。通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性，完整性和保密性。简而言之，就是指网络系统的硬件、软件及其系统中的数据保护。

曾经很流行一句来自科比的提问：“你见过凌晨四点的洛杉矶吗？”对于刘勇杰来说，他见过东软的二十四时。刘勇杰曾在很长的一段时间里，不惜耗费所有的课余时间，沉浸在实验室里搞研究、做实验，有时候一待就是一天。用他自己的话说，“每天不是在实验室，就是在来实验室的路上”。他见过东软最美的破晓，也见过东软最安静的夜晚，经历过冬天凌晨的寒风，也被早春的第一缕阳光温暖……

“实验室里有团队，有氛围，还有志同道合的人一起研究代码。”刘勇杰坦白，实验室的氛围，是他那段忙碌日子里始终坚持的动力。那段日子，他就像是一个苦行的背包客，背着电脑，打着代码，不断失败，又重新再来。攻克了一个又一个的技术难关，征服了一个又一个的专业问题。

也是因为兴趣，学习也可以变成一种“游戏”。大学时期的刘勇杰和学长学姐一起通过专业知识写代码研究股票等金融方面的趋势走向，通过自己编写的程序来进行金融投资。或许在旁人眼里，这只是一场天马行空的设想，但是，这群年轻人把自己的专业实实在在运用到了自己的生活中，并帮助自己不断成长。刘勇杰还开设了自己的私人博客，经常发表技术文章，在网络上与志同道合的朋友一起分享讨论。这何尝不是学习的一种方式呢？许多人把学习看的很苦，而刘勇杰却看成了一个有趣的“游戏”，他把学习渗透到生活中来，无处不学习。

因专业而自豪，更因专业而成就

在信息安全领域里，跟刘勇杰从事同样工作的人们有一个特别的名字，他们被称作是“白帽子”

名词科普

“白帽子”是指正面的黑客,他们可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞。

在“白帽子”们的工作中，所谓的防御对抗多指跟“黑客”们的对抗。因此，他们会经常扮演成“黑客”，模拟“黑客”攻击来发现计算机系统或网络系统的脆弱面。可谓古有周伯通左右互搏术，现有“白帽子”自我攻防。然而，周伯通的左右互搏，是自己的天性使然，而“白帽子”们除了因为兴趣，更是正义的化身，他们将责任和使命抗在肩上，一串串代码就如子弹一般，精准发射，保障着信息安全。

而刘勇杰对专业的热爱，也是对正义的坚守，他认为作为一名“白帽子”就是一种荣誉，而肩负的责任感让他坚定要不断提升自己的业务水平，争做一名优秀的安全研究员。因此，在大学期间他不断参加各种专业比赛，平均每年参赛至少5 次，团队和个人获奖无数。在刘勇杰眼中，最值得纪念的便是参加2017 年信息安全铁人三项竞赛。“那是一次非常宝贵的，与强者交锋的比赛经历。”参与此次比赛，是刘勇杰所在团队第一次全体出动。一群斗志昂扬的年轻人作为西南分赛区的第三名，代表学校入围总决赛。值得一提的是，那一年，学校也是全国决赛21 所高校中唯一一所民办院校。刘勇杰的团队在西南分区赛中获得两次亚军，最终在总决赛中取得了全国第十二名的成绩。比赛虽然没有拔得头筹，但却获得了很多难得的经验，刘勇杰对于专业的热情，也越发浓厚。

除了比赛，大学期间的刘勇杰也连续多年参与国家相关机构的网络安全检测工作，并找出了30 多个系统漏洞，在国家网络安全的维护上，贡献了自己的力量。

生命不息，奋斗不止

2018年，毕业的刘勇杰就职于一家信息公司，从事信息安全相关工作。他认为，业精于勤而荒于嬉，工作以后的他还是选择不断参加各级比赛，不断提高自己的专业技术。2021年，刘勇杰入选四川省技术能手，曾参与第45届世界世界技能大赛网络安全项目四川省集训；2020年，被评定为高级安全研究员，同年参加“之江杯”工业互联网内生安全防御国际精英挑战赛，与来自美国、俄罗斯、德国、英国、日本、新加坡、韩国等国家的国际知名战队，以及来自清华大学、北京大学、EversecLab等国内高校和企业的共40支顶尖“白帽黑客”战队齐聚云端，对基于内生安全理论及技术研制的工业互联网拟态防御系列设备进行为期三天的高强度攻击，最终获得二等奖。

背景插播

2020年“之江杯”工业互联网内生安全防御国际精英挑战赛设置了CTF竞速赛、AWD竞技赛、人机对抗赛和巅峰挑战赛四道关卡。CTF又称夺旗赛，是全球网络安全圈流行的竞赛形式，参赛选手需在有限的时间内解答工控CTF赛题。AWD竞技赛以“某省会城市”电力系统为攻击目标，对该系统进行全方位渗透测试，找到系统的安全漏洞和隐患，并对发现的安全问题开展应急处置和防护加固。与AWD竞技赛同时开启的是工业互联网人机对抗赛——黑盒测试和白盒测试。

毕业后的刘勇杰把每天进步一点作为自己的目标，严格要求，刻苦勤奋，继续奋斗在信息安全一线，在不断提升自我的同时，为信息安全事业贡献着自己的力量。

经验分享

经过大大小小数十场比赛的“洗礼”

刘勇杰也积累了丰富的参赛经验

他希望借此机会

分享给学弟学妹

希望大家在未来的学习和竞赛中

冷静对待，不畏艰难

勇往直前！

网络安全竞赛目前种类也很多，包括传统的CTF解题模式，AWD沙盒攻防模式，靶场闯关模式等等。以传统AWD模式为例，每支队伍会维护若干的Gamebox，参赛队伍挖掘网络服务漏洞并攻击对手服务获取 flag 来得分，修补自身服务漏洞进行防御从而防止扣分，Gamebox 漏洞服务会定时更换。与常规渗透不同的是，CTF的AWD模式往往参赛队伍比赛环境相同，我方服务器存在的漏洞，对方也存在，所以一旦发现己方漏洞，可以使用该漏洞攻击其他队伍。比较考察快速的漏洞反应能力、快速的编写脚本能力（大部分脚本赛前就已经准备好）、团队配合能力，明确不同队友之间的分工（攻击与修补）。在攻击成功后，需要通过多种手段维持权限。包括内存木马，混淆木马，回弹木马，RSA公钥加解密木马等等。防守时需要排查服务器上的木马，通过日志与流量快速分析侵入点。最好使用文件实时监控，流量抓取等手段。并检测高权限进程、sh/bash进程、网络连接等进行排查。流量与日志捕获可能正在发生的攻击，从而规避存在的安全风险，还可以还原攻击者的攻击路径，从而进行修补。相比于以前的CTF竞赛，近年来Pwn类型题目在CTF解题模式与AWD模式权重逐渐变高，更加考察选手的漏洞分析与利用能力。

大家加油！