總編下午茶：自由的力量

2016年春節剛過，網絡安全圈子就傳出一個好消息。清華大學博士生陳建軍等研究者在美國舉行的學術會議NDSS'16 上發表的論文 「Forwarding-Loop Attacks in Content Delivery Networks」 (CDN的轉發循環***)被評爲傑出論文 (Distinguished Paper)。

這個「傑出論文」的份量有多重?答案是很是重!要知道，NDSS(Network and Distributed System Security Symposium)是國際公認的網絡和系統安全四大頂級學術會議(BIG4)之一，本次的4篇「傑出論文」是從389篇全球的研究論文中錄取的，份量至關重。此外據業內人士介紹，此次是中國科研機構在網絡和系統安全領域國際頂級會議上首度得到最佳論文獎，具備標誌性的意義。

值此契機，老楊約見了本次論文研究團隊負責人、清華大學網絡科學與網絡空間研究院段海新教授。3月的一個下午，在段教授回國的次日，咱們在清華大學東門外的一個咖啡廳見了面。

段海新是誰?

雖然是第一次見面，但「段海新」這個名字在我接觸網絡安全領域這些年中絲絕不感受陌生。查詢一下百度就能知道段海新的「份量」：做爲安全圈裏年輕的教授，他如今已是清華大學網絡與信息安全實驗室主任、博士生導師，仍是中國教育和科研計算機網緊急響應組(CCERT)負責人，承擔過國家 973 、 863 、天然科學基金等多項國家級科研項目，在國際頂級學術會議或期刊上連續發表了多篇研究論文。

段海新（左二）和他的學生們 （圖片來自於網絡）

段海新不只在國內外的科研界名氣響亮，對產業的敏感度和影響力也是一流。做爲一個規範的科研人員，段海新團隊在作事方式上和傳統的漏洞挖掘有不小的差異。在文章發表以前，他們通常都和相關廠商進行聯繫，事先修正問題，而後再行公佈。不管國際和國內，業界人員提起段海新團隊，對其研究水平以及負責任的態度也都是承認的。曾經有微軟全球應急響應中心的人員收到了他們的報告，就其真實性找同事諮詢，而後被告知，這個團隊報過來的問題，百分之百是準確的。

其實本次獲獎論文自己就足以說明段海新和他們團隊的風格。從選題上講，他們的研究很是結合實際：做爲目前網站加速和防範DDoS***最佳實踐方案的CDN自己，居然存在着嚴重的結構性問題和被DoS***的風險!論文研究團隊成員之一鄭曉峯曾經在一次介紹這個論文的演講時用了「咱們如何差一點拯救了互聯網」這個題目，可見這個選題的實用性!

但值得一提的是，段海新團隊並無「悄悄」地用這個事情擡高本身打擊別人，而是很是嚴謹負責地同廠商進行聯繫和協商。他們先後測試了16個商業CDN產品，並通知了全部商家，同時和他們——包括Akamai、百度、CloudFlare、阿里、騰訊和Verizon等多家公司——的技術人員進行了普遍的溝通和交流，共同探討解決方案;此外，因爲防範這種***須要多個廠商統一協調的行動，清華團隊計劃做爲公益性第三方的角色協調各廠商的安全防範技術規範。從宣傳效果上講，這些事情使得論文的震撼效應下降了不少，但這也許就是段海新的風格所在。

自由和純淨地向前走

老楊和段海新的會面是經過微信聯繫的。原本約的是中午，但段老師前一天晚上告訴我，說當天下午還要開會，擔憂時間侷促，建議改在下午5:00。而當老楊剛剛趕到會面地點，距離見面還有兩三分鐘，收到了他的信息，說他晚到一會，大約5分鐘;而等老楊找到座位回覆信息以後沒兩分鐘，一位一身休閒裝的紳士已經在門口叫個人名字了。

和在網上的照片相比，坐在我面前的段海新略顯憔悴，但保持着風度和熱情，這讓我看到了一種長期揹負責任感的習慣。過後我才瞭解到，段老師夜裏從美國返回，當天下午就上課，而後回家補覺，結果夜裏三點就醒了怎麼都睡不着。但段海新當時沒有太多解釋，只是說時差還沒倒過來，因此有點累。

談到上課，因爲老楊也作過教師，咱們的話題就從這裏開始。

段海新是安全領域的知名「教師」。這些年來，他的多名弟子已經成爲業內的明星級人物。且不說前幾年在學術界引發轟動的DNS協議漏洞發現者江健博士、發現HTTPSCookie注入問題的鄭曉峯，就說這兩年間，楊坤、朱文雷等創辦了長亭科技，還有一批「藍蓮花」戰隊的小夥子被業內各明星企業盯得牢牢的。

可是，中國的網絡安全人才培養一直是個大問題，雖然這幾年有所提高，但依然差距明顯。最關鍵的是，咱們依然沒有看到一個成體系的安全培養方式。就拿大學來說，目前能達到像段海新團隊這樣在國內外有影響力的研究團隊其實還不太多。那麼做爲團隊的領頭人，段海新本身認爲，他們的最大特色、或者說經驗，究竟是什麼?

面對我拋出的這個問題，段海新脫口而出：自由!

這是一個令我很是意外的詞，但從一貫以「敢言」著稱的段海新口中說出，我倒不以爲吃驚。我想起來，加段海新微信的時候，他的簽名檔上寫的就是：「原諒我不羈放縱愛自由」。我腦子裏又閃出「藍蓮花」，這個一直表明着中國出征全球網絡安全競賽的「藍蓮花」戰隊，正是在段海新所負責的實驗室中誕生。

我問段海新：「‘藍蓮花’這個名字是您起的嗎?這個名字和許巍那首歌有關係嗎?」

段海新點頭認可。2010年藍蓮花組隊，段海新一方面很是喜歡許巍歌裏的那句「沒有什麼可以阻擋我對自由的嚮往」，另外一方面也喜歡蓮花的那種出淤泥而不染，所以就用了這個名字。他但願本身的學生可以在這個充滿誘惑的環境裏，乾淨而自由地向前走，不沾染那些壞的東西。段海新認爲，學術的研究應該只是爲了知足人的好奇心，興趣是最大的驅動力。

段海新認爲，安全領域不一樣於對天然現象的研究，大天然不會故意和你做對；但安全是人和人的對抗，這種對抗是無止境的。這種狀況下，讓學生保持持續研究的關鍵，應該是興趣，就是說讓學生作本身喜歡作的事情。

在這方面，段海新的感覺很深。他本身在讀書的時候，經常苦惱於沒法作本身感興趣的事情，只能根據導師的要求完成任務;同時一個很大的苦悶就是沒有交流，也沒有人能夠交流。所以，在作了老師、特別作教授有了必定自主性以後，段海新就很是喜歡跟學生討論具體的技術問題，若是能找到一些很是好的主意和點子，就會鼓勵學生繼續作下去，同時也在國際上尋找最領先的合做者。例如藍蓮花戰隊隊長楊坤的研究重點實際上是軟件安全，這並不是段海新的專長，可是他仍是鼓勵楊坤沿着本身的興趣作研究，而且把他推薦到美國加州Berkeley著名教授Dawn Song那裏參加美國國防部的CGC(Cyber Grand Challenge)項目，在那裏經受更多的鍛鍊。

自由，也是科研的重要原則

可是，除了在幫助學生成長方面重視他們的「自由」，安全研究和「自由」有關係嗎?段海新也給了我一樣確定的答案。

段海新用他本身的親身體會告訴我，中國的學術研究機制和強調集體做戰，年輕教授沒有獨立的地位，每一個人都屬於一個大的團隊，下級服從上級;這樣的結果是每一個人都喪失了本身的獨立性，也就沒有了自由，沒有了獨立的學術思想。

段海新強調，每一個人作本身喜歡作的事情，這是很是重要的，若是每一個學校、每一個院系都可以保持這樣的激情，每一個教授都獨立的作本身喜歡作的事情，也許不必定在CTF比賽或者學術論文上取得重大突破，但極可能在其餘領域裏嶄露頭角。事實證實，國際上出成績的不少院校，就是在這種狀況下取得使人矚目的成績。段海新強調，一個學術研究團隊，核心的評價指標究竟是什麼?是看拿到了多少國家項目、給學校掙了多少錢，仍是做出了多少創新成果?

我問他，國家項目和科研創新，應該是不矛盾的呀?這裏面有什麼問題嗎?

段海新回答說，如今的問題是，如今面向自由研究的項目愈來愈少，大規模的集團做戰愈來愈多，在這種狀況下，年輕人的機會愈來愈少，每每須要依附某些大牌教授才能進行。年輕人缺乏資源、成果被淹沒，只能等到「多年的媳婦熬成婆」。另外，學校有還有各類短時間的考覈指標，有時年輕人疲於應付，碰到什麼項目就作什麼，失去了本身的研究方向。

我不知道該說什麼。沉默一會，我問他：「這種狀況，如今有改善嗎?」

他很確定的回答：「目前沒有，並且愈來愈糟糕。」

「那麼，你想給年輕教授們說些什麼?」

「咱們都是在體制內生存，確實沒法像國外教授那樣獨立自主作研究。可是，在基本知足了現有體制的基本要求之後，仍是要投入一些精力作一些本身喜歡的研究，特別是跟蹤國際研究的前沿。一開始也許可能沒有成績或者不被認可，可是堅持下來總會有收穫。若是全世界都認可你的成果了，現有的體制天然也就承認你了」，段海新如是說，研究也不能只是眼前的苟且，只是迎合現有條條框框來作研究，很難做出有影響力的成果。

【總編約茶】

「總編下午茶」是老楊主持的關注技術應用和IT前沿的訪談欄目。想和老楊一塊兒喝下午茶?歡迎聯繫yangwf@51cto.com。