您现在的位置: 
黑客洗手(2003-02)
作者:软件工程师 人气:
【字体:大 中 小】
发布时间:2006-10-20 20:31:17
黑客洗手
被黑客搅闹得心烦意乱的IT企业,发现自己真正需要的正是自己的死对头——那些互联网上最有智慧的黑客
文金凡(上海)
在“病毒”无处不在,“黑客”防不胜防的今天,“信息安全”也同“IT”、“学习”、“信息化”等流行词汇一样,成为一个出现频率极高的概念了。市场对此反响强烈,除了对防毒杀毒软件及相关解决方案的需求不断加大外,对“防黑打黑”的人才也是求之?渴。很多IT企业还设立了一个新职位——CHO(Chief Hacking Officer),首席防黑执行官。能担此重任的,固然不乏有深厚教育和从业背景的技术精英,但其中一部分CHO的身份却耐人寻味,他们曾经是——黑客。休 闲居 编 辑
以黑防黑
大多数时候,黑客及其破坏性的行为是反社会的。公众对数字英雄的狂热式崇拜消退之后,黑客的活动就很容易引起人们的反感。事实上,不少黑客的行为就是以颠覆秩序为乐,以哗众取宠为荣的。
2002年10月21日,互联网的心脏——位于美国、瑞典、英国、日本的13台根服务器遭到了来历不明的“网络分布式绝服务”的攻击,有9台服务器因此陷入瘫痪,造成服务中断1小时。这是全球互联网核心服务器历来遭遇的最大规模且最精密部署的一次攻击。
2002年5月18日,江苏省普通高中信息技术等级考试试点上机考试。黑客入侵了考试网络的两台服务器。在两次攻击之后,共删除考试文件100多份,造成85所学校9991名考生的成绩被删除。虽然警方迅速逮捕了黑客罗某,但仍造成了各种间接经济损失近6万元。
如何防御黑客、驾驭黑客,其实是IT产业的一块心病。百般?闷之后,行业内提出“以黑防黑”、“以毒攻毒”的思想,经过改造,黑客可以成为一种正当职业,一种新的高端IT人才的市场需求诞生了。
被黑客搅闹得心烦意乱的IT企业,发现自己真正需要的正是自己的死对头——那些互联网上最有智慧的黑客。海外把黑客群体分成两部分:一种是“黑帽黑客”,即破坏性的网络作案人,他们通常难以控制;另一种是“白帽黑客”,他们同样是技术高手,但是他们的行为比较谨慎,破坏性也比较小。
经过严格的资格审查后,“白帽黑客”中的相当一部分目前在包括安全公司、咨询公司和IT企业在内的各类企业中找到了高级职位,甚至担任了CHO。
IT行业现在有不少从事正当反黑活动的前黑客,他们的主要工作就是进行黑客入侵测试。很多企业都聘请了网络黑客并赋予他们很大的权力。例如,在美国黑客圈内排名前十名的佩特·扎科(Pei?er Za?iko),现在就是一家知名的安全公司的首席科学家,他经常为政府官员做讲座、主持网络安全论坛,还编写了一个NT密码的检测工具。此前,佩特曾宣布脱离黑客群体,现在他有了一份像样的高级职业,收入也很可观。
据说,因为黑客能攻善守,对企业信息安全贡献很大,所以他们虽然可能学位不高,一般只有学士,但是其薪水却比正统IT行业的高级技术人员还要高出20%~30%,好的黑客专家年薪达到50万美元,真是“越黑越值钱”。
反黑培训在行动
既然市场产生了相关的人力资源需求,高端IT培训便迅速分化出高级黑客、网络信息安全方面的培训。这类培训通常都是从培训黑客技巧着手,培养学员的信息安全技能,“以其人之道还治其人之身”是此类培训的最大特色。
美国加州的“FoundS?one”黑客学习班是其中影响力比较大的一个。这个学习班的教员全部由前黑客成员组成,教授的内容包括从电子学到网络密钥到通讯框架等基本的黑客知识,课程横跨多个学科,黑客技巧层出不穷,都是经过“网络实战”检验的,较高校的计算机系课程有很大区别。
FoundS?one只接受经过系统计算机编程培训的程序员参加该学习班。在开设的课程中,学生们可以学习到如何识别开放的接入端口、如何查找常用软件中的安全缺陷、猜测主机的密码、如何在文件传输过程中捕捉密码、如何使那些用来监视非法进入者的软件陷入瘫痪等技巧。
在掌握了一定的知识后,学生们可以两人一组,利用系统管理员通常都会?下的蛛丝马迹来互相攻击对方的电脑。从这种实践中,他们可以更好地体会黑客设计和完成一次攻击的全部过程。
传授高端IT技能,自然学费也是不菲。FoundS?one每期学习班的时间为3~4天,每名学生收费3500美元。但即使是如此高昂的费用也没有挡住人们学习的热情,该学习班从2001年3月份开办以来,现在已经有3000多名学生参加了学习。
在这种培训中,除了有传说中的黑客高手当面授教外,网络入侵的实战演习也是吸引众多求学者慕名而来的一大重要原因。
另一家小有名气的培训机构El Paso Energy公司位于休斯顿,该公司曾经为来自于摩托罗拉、电子数据系统公司以及州农业保险署的网络管理员、核算师和安全专家们组织培训课程。既然是“以黑防黑”,它的考核索性更加直接:让学员们运用课程中学习的黑客技巧进入一台Windows NT服务器,然后复制系统密码,随心所欲地取走数据。
这家公司的短训班学期仅为4天,费用为3800美元,但仍吸引了大批同道者前来报考。一位从事计算机安全技术规划的学员在接受培训后深有体会,“我们这样做,是为了在将黑客赶出网络系统的斗争中向对手学习。这个课程使我们能够更深入地洞察入侵者的心态和能力。”
黑客制造双刃剑
随着反黑培训推向商业化,其相关技巧也日趋透明。于是,有人指出,这种反黑培训会不会成为黑客批量制造的流水线,或者孕育网络破坏专家的摇篮?
设在华盛顿的美国国家网络信息安全中心的专家认为,现在给这些高级信息安全培训下定论还为时过早,但是他们也承认,某些黑客技巧被教授后,如果流传出去,在公众中普及化,其造成的后果将不堪设想,严重的话将酿成新的网络恐怖主义。
由于对这种IT培训认识还存在分歧,各国对待黑客培训都比较谨慎。一些地下的不规范的反黑培训遭到了取缔。2002年3月中旬,台州市公安局公共信息网络安全监察部门接到一网站报警,称该网站服务器受到外部的黑客扫描攻击。经调查,这恰是台州某单位举办的一次面向公众的“黑客攻击原理”培训的实战演示所致。该培训还包括其它基本黑客网络攻击法和网络防范知识等。台州市当场责令承办单位暂缓举办此次培训,并将培训有关事项书面向市公安局申报备案。“台州案例”也是我国IT培训行业第一次因为涉及黑客培训而遭到查禁的案例。
黑客,这个充满社会道德风险的词眼,会给成长中的IT培训产业带来什么?是井然有条的高级IT人才培训秩序,还是对IT技术、社会伦理和公众安全的彻底颠覆?这样的责任似乎并不是一个培训产业所能够负担的,实在需要全社会共同的支持与理解。
四轮驱动:E-learning是企业必趋之势
文Brandon Hall 编译毛向辉(上海)
最佳实践组织的测量指标调查
在2000年7月,brandon-hall.com完成了对应用E-learning效果最佳的组织的测量指标研究,标题为《E-Learning在企业中》。这次深入的研究覆盖了美国国内外11家最成功应用E-learning(其中包括在线员工培训、指导和教育)的组织。这些组织包括思科、IBM、Dell、GTE、Shell、Unipart、Rockwell Collins和美国海军。
这些组织完成了一份详尽的问卷,内容包括许多有关E-learning各方面的深入的问题,还有一些基本的背景信息。设计最佳实践调查的目的,在于衡量不同类型组织中E-learning的有效性和进展,并指出其中的弱点和潜力,帮助进一步定义E-learning行业。
测量指标研究识别出实现大规模系统的最佳实践方法,记录了企业范围的E-learning的最新应用。《E-learning在企业中》描述了所调查公司的最佳实践,它们是如何克服?战登上顶峰的。参加调查的组织是当今企业的一个集中反映,它们涵盖了许多类型、多种规模、市场和领域的行业、各种对E-learning的需求。该报告可以用于给E-learning设立评价标准,评定其质量、数量和对企业的影响,这将使整个E-learning行业受益。下面的内容摘自该研究。
最佳实践的组织正在转变观念,从把学习当成一种成本到将其作为价值最大化的一种方法。它提升了在更短的时间周期内对技能和知识的需求——就是对访问和速度的更大需求。
总的来说,公司E-learning的驱动因素是出于商业的原因(访问、成本、速度)。 其行为必须考虑到公司的财务表现(业务表现、灵活性、可靠性)。
巨大的时间成本节约 为什么最佳实践的组织都大规模地实现E-learning呢?一位参加调查者简洁地说明道,这是由于“花更少的成本,能给更多的员工随时随地提供更多的培训。”
所有参加调查的企业中如果度量节约的成本或者投资回报率的,都有正面的反馈。其中,IBM每年通过E-learning节省2亿美元,通过它的管理发展培训系统,花过去13的成本就能提供从前5倍数量的培训。
计划E-learning 实现E-learning会是困难的。因此,最佳实践的组织都在计划和战略制定上花了大力气。他们提醒我们,每一个组织的E-learning计划都有所不同,各有各的特点。
管理层的支持是关键 由于E-learning对企业的迫切重要性和影响,最佳组织的执行管理层对它的高度支持就不足为怪了。其中一家组织说,高级管理层“支持E-learning,因为它能在需要时提供所需的东西。”
所有最佳实践的公司都认为高级管理层的支持对实践的成功非常关键。其中一家说,“如果没有高层支持,我们的项目可能就会在各个不同优先级的项目评估中取消。”
管理层不仅仅是“支持”,这些组织通常用“承诺”这个字眼来描述管理层的参与程度。 在其中一家组织中,项目得到了高层领导的支持,包括首席执行官、副总裁和执行委员会,他们都可能在管理教育计划中任教。 该公司在线系统的核心是一个特别的直接面向客户的途径。课程的内容通过一系列深入的面谈开发出来。当公司决定转向E-business时,首席执行官让他们制作了在线培训的模块来给大家传授公司的In?erne?战略。由此,E-learning为公司的改革出了一份力。
在另外一家组织中,首席执行官很早就声明,E-learning将对组织的成功和保持竞争优势起到决定性的作用。高级管理层迅速行动,决定所有教育培训的50%将通过E-learning完成。
在一些组织中,由单个倡导者负责开始E-learning的实现。不过,大部分参加调查的公司建议,由于 E-learning对组织的影响重大,会迫使一些领域发生改变,例如财务流程、IT和培训员工的任命及其应具备的技能。因此,大部分组织通过由大部分部门经理组成的学习促进委员会,来不断地改进E-learning的实现,以满足业务的需求。
学习和培训 学习和培训终于有了一席之地。大部分参加调查的组织认为,由于E-learning的出现,培训至少已被视作组织整体战略的一部分。将 E-learning作为实现e-文化的驱动力的组织,还发现E-learning、知识管理、表现支持和高度承诺的管理实践之间是互相协同作用的。 为有效实现E-learning,这些组织首先制定一个清晰、有目的的计划,目的在于把学习、知识和表现最佳化,而且要考虑当前的技术如何帮助实现该计划。他们使所有的股东相信这个计划,使股东们愿意接受改变。毕竟,改变既是E-learning的原因,也是E-learning的动力。
持续有目的的交流 高级管理层接受E-learning相对容易一些,让员工们都接受就不一定是一帆风顺的。最佳实践的组织都是一直通过各种交流方式,以及有目的、令人信服的讯息,来告知、教育和激励各线的经理们、教师们、雇员和其他受E-learning影响的股东。
本地和全球化的行动 成功的E-learning实践者都认为,要将标准的企业活动,和灵活、迅速的本地革新相互结合。这样的计划就需要将复杂的课件用于迅速投入应用、时间?感的信息和知识。
全球性的组织在E-learning的实现上,还注意了地区和文化的问题,将内容和实践有效地与之相适应。总的来说,最佳实践的组织将E-learning应用于各个方面——新产品培训、管理发展、领导能力、销售、服务、制造、安全。只要你想得到的,他们都有。
内容来自任何地方 在E-learning领域领先的组织,其E-learning内容来源于三个方面:成套课件的供应商、提供定制的开发人员,和自己的内部开发。大多数组织根据内容、听众、资源的可获得性、战略因素等一套明确的准则,决定哪些内容由外部开发,哪些由自己或合作伙伴处理。构筑良好的管理高成本内容的战略包括,内容的联合管理,参加共享内容的联合协作,与愿意共享或出售其知识资产的开发机构合作。
基本、快速的指令设计 希望从E-learning确实获得效果的组织还认真对待指令的设计,认真进行选择,防止遗漏任何死角。
聪明的组织同样了解快速实现有时候较严密的设计更重要。因此,他们指导过程简洁,有时还会带来意想不到的开发上的节省。当员工需要更多的内容,例如最新产品的说明,他们会立即加入相关的信息(和主要为交互的培训不同)。确实,对共享信息和培训的清晰理解,让这些最佳实践的组织在不影响其指令的设计标准的同时,还能迅速提供时间?感的内容。
使用模板 在本次测量指标研究中,控制成本、加速重要知识的传播是许多组织的关键目标。通过使用模板和“学习对象”可以帮助实现这些目标,它们可以被不同的课程重复使用。
结合在线和教室培训的优点 参加调查的一家组织指出,E-learning不是用最新的技术来代替教室,也不是将内容放到Web上供下载和阅读。E-learning提供了一套新的工具,给所有的传统学习方式增值,包括从教室和书本学习。
随着学习更多地和工作相关,需要更多的及时、基于项目的学习、表现支持、开放和远程学习、专家帮助,以及更多种类的事件和体验。
新兴的E-learning模型,综合了用于信息传递和过程性的技能培训的在线学习,可以用到角色扮演和面对面讨论的教室学习、在职学习,还有知识管理和能力评估。
这些最佳实践的公司说,基于教室的培训还将继续扮演重要的角色,理由在于:对于某几种高层次的学习,这还是最佳的方式;这是某些人愿意选择的方式;它仍是许多培训教师喜欢的方式。
能力管理:把“推动”变成“拉动” 与工作?密联系是E-learning系统的关键,大部分参加调查的组织都实现了能力管理,或是学习档案。通过让员工自己对自己的学习负责,能力管理加速了E-learning的使用。一家公司称,“通过E-learning,你可以给学习者更多的权力——学习者成为了知识的经纪人,因此也是权力的经纪人。学习者和教学系统都要自己负责。”一家公司通过职位任命的开放资源系统实现了这个原则,每个人必须在内部推销自己,大家知道如果有能力,就可以获得相应的工作。职位任命的机会能够让大家更积极地应用 E-learning。
最佳实践的组织正在转变观念,从把学习当成一种成本到将其作为价值最大化的一种方法。它提升了在更短的时间周期内对技能和知识的需求——就是对访问和速度的更大需求。