故事网络安全6 分钟

守夜人

安全工程师守护的并非代码,而是人们留在数字世界里的微小痕迹。

林海是学网络安全的,博士毕业之后进了国内一家很大的互联网公司,做安全工程师。

他的工作听起来很高深——渗透测试、漏洞挖掘、攻击溯源、威胁情报分析。但实际上,日常最多的任务就是两个字:补漏。

系统有漏洞,他补。代码有隐患,他改。员工被钓鱼邮件骗了,他去处理。他像一个在堤坝上来回巡逻的人,每天弯腰检查每一个缝隙,看有没有蚂蚁窝,有没有渗水点。这个工作极其枯燥,做好了没人夸,做不好就是灾难。

林海曾经跟朋友自嘲:“我们做安全的,在公司里的存在感约等于灭火器。平时没人想起你,着火的时候如果发现你坏了,那就完蛋了。”

朋友笑他:“那你还做?”

林海当时没回答。后来他给我讲了一个故事。

他刚入行那年,参与处理过一次数据泄露事件。那件事不大,某个测试服务器因为没有设置密码,被境外的一个黑客组织扫到了,拖走了几万条测试数据。数据本身不敏感,都是模拟生成的假用户信息,没有真实隐私。但按照流程,安全团队还是连夜做了应急响应。

那天晚上林海负责写事件报告。他在报告的最后一行,看到了一个让他震住的数字。

那条测试数据里,有将近两千条记录属于一个特殊群体——已故用户。

这是怎么回事?原来公司有一个老产品,用户注册之后如果长时间不活跃,系统会自动标记。如果用户确认已经去世,家属可以申请账号注销。但有些家属不知道这件事,或者知道了但懒得操作,于是那些账号就留在那里,变成了数据库里一行沉默的记录。测试人员随机抽取了一批数据做模拟,恰好抽到了他们。

这两千个人的账号里什么都没有。没有聊天记录,没有支付信息,没有照片。空空如也。只有注册时填写的昵称和头像,安安静静地躺在那里。

但林海被那个昵称列表击中了。

有一个昵称叫“等一场雪”,头像是卡通雪人。注册时间显示是十一年前的冬天。那可能是一个在南方长大的女孩,从来没有见过真正的雪,所以给自己取了这样一个名字。十一年过去了,她可能已经不在了,但这个昵称还活着,活在一个没有人维护的测试服务器里,像一盏没有人关掉的灯。

还有一个昵称叫“老张爱钓鱼”,头像是一条鲤鱼。注册时间是九年前,四月,正是钓鱼的季节。那可能是一个退休的大爷,每天早上去河边,傍晚拎着鱼回来,老伴骂他又晒黑了,他嘿嘿笑。现在他不在了,但“老张爱钓鱼”这五个字留了下来。

林海坐在深夜的机房里,盯着那个列表看了很久。这些只是一些字符串,没有数据价值,没有任何人会在意它们的安危。如果那个黑客组织把它们公开到暗网上,不会有媒体关注,不会有监管处罚,不会有任何人来找他问责。

但林海觉得不能这样。

他把这件事报给了自己的直属领导。领导是个在安全行业干了二十年的老江湖,听完之后沉默了一会儿,说了一句:“这个不在应急响应的范围之内,但我支持你。”

林海花了一整个通宵,把那两千条数据从被拖走的文件包里一一找出来,逐条核对,逐条做标记。然后他联系了法务、隐私、数据管理、产品运营,在接下来的一周里开了一个跨部门协调会,推动了一个小项目上线:清理所有已故用户的数据残留。

这个项目没有KPI,没有业务价值,甚至没有人知道它的存在。从头到尾,只有安全团队、法务和几个相关团队的工程师知道这件事。它不会出现在任何季度总结里,不会给林海带来晋升或奖金。

但那个项目结束那天,林海在凌晨三点写完最后一行代码,关上电脑,走到公司楼下的便利店买了一罐啤酒。他坐在路边的台阶上,对着空无一人的街道喝完了那罐酒。

他跟我说:“你知道吗,那两千个人,我都不认识。他们可能一辈子都没被世界在意过什么。但我觉得他们应该被在意。哪怕只是数据层面上的在意,哪怕只是一行干干净净地被删掉的记录。”

“他们来过。这个世界的数据里,有他们存在过的痕迹。我可以把这些痕迹删掉,因为那是他们家人的愿望。但我不能在它们被偷走的时候假装没看见。如果我没有保护好这些痕迹,如果它们被挂在一个谁都能看到的暗网上被人嘲笑、被人恶意利用——那我在这个行业的意义是什么?”

他喝了一大口酒,说了一句让我记到现在的话:

“安全工程师守的不是代码。代码丢了可以重写。我们守的是人留在数字世界里的那一点点痕迹。那些痕迹不值钱,但它们不可替代。”

那次事件之后,林海再也没有抱怨过自己的工作枯燥。他依然每天弯腰补漏,像一个在堤坝上巡逻的人。他知道大部分时候堤坝不会决口,但他也知道,只要他在,那些住在下游的人就可以安心入睡。

数字世界里的守夜人不需要被看见,他们只需要在天亮之前,把一切安顿好。