总编下午茶：自由的力量

2016年春节刚过，网络安全圈子就传出一个好消息。清华大学博士生陈建军等研究者在美国举行的学术会议NDSS'16 上发表的论文 “Forwarding-Loop Attacks in Content Delivery Networks” (CDN的转发循环***)被评为杰出论文 (Distinguished Paper)。

这个“杰出论文”的份量有多重?答案是很是重!要知道，NDSS(Network and Distributed System Security Symposium)是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一，本次的4篇“杰出论文”是从389篇全球的研究论文中录取的，份量至关重。此外据业内人士介绍，此次是中国科研机构在网络和系统安全领域国际顶级会议上首度得到最佳论文奖，具备标志性的意义。

值此契机，老杨约见了本次论文研究团队负责人、清华大学网络科学与网络空间研究院段海新教授。3月的一个下午，在段教授回国的次日，咱们在清华大学东门外的一个咖啡厅见了面。

段海新是谁?

虽然是第一次见面，但“段海新”这个名字在我接触网络安全领域这些年中丝绝不感受陌生。查询一下百度就能知道段海新的“份量”：做为安全圈里年轻的教授，他如今已是清华大学网络与信息安全实验室主任、博士生导师，仍是中国教育和科研计算机网紧急响应组(CCERT)负责人，承担过国家 973 、 863 、天然科学基金等多项国家级科研项目，在国际顶级学术会议或期刊上连续发表了多篇研究论文。

段海新（左二）和他的学生们 （图片来自于网络）

段海新不只在国内外的科研界名气响亮，对产业的敏感度和影响力也是一流。做为一个规范的科研人员，段海新团队在作事方式上和传统的漏洞挖掘有不小的差异。在文章发表以前，他们通常都和相关厂商进行联系，事先修正问题，而后再行公布。不管国际和国内，业界人员提起段海新团队，对其研究水平以及负责任的态度也都是承认的。曾经有微软全球应急响应中心的人员收到了他们的报告，就其真实性找同事咨询，而后被告知，这个团队报过来的问题，百分之百是准确的。

其实本次获奖论文自己就足以说明段海新和他们团队的风格。从选题上讲，他们的研究很是结合实际：做为目前网站加速和防范DDoS***最佳实践方案的CDN自己，居然存在着严重的结构性问题和被DoS***的风险!论文研究团队成员之一郑晓峰曾经在一次介绍这个论文的演讲时用了“咱们如何差一点拯救了互联网”这个题目，可见这个选题的实用性!

但值得一提的是，段海新团队并无“悄悄”地用这个事情抬高本身打击别人，而是很是严谨负责地同厂商进行联系和协商。他们先后测试了16个商业CDN产品，并通知了全部商家，同时和他们——包括Akamai、百度、CloudFlare、阿里、腾讯和Verizon等多家公司——的技术人员进行了普遍的沟通和交流，共同探讨解决方案;此外，因为防范这种***须要多个厂商统一协调的行动，清华团队计划做为公益性第三方的角色协调各厂商的安全防范技术规范。从宣传效果上讲，这些事情使得论文的震撼效应下降了不少，但这也许就是段海新的风格所在。

自由和纯净地向前走

老杨和段海新的会面是经过微信联系的。原本约的是中午，但段老师前一天晚上告诉我，说当天下午还要开会，担忧时间局促，建议改在下午5:00。而当老杨刚刚赶到会面地点，距离见面还有两三分钟，收到了他的信息，说他晚到一会，大约5分钟;而等老杨找到座位回复信息以后没两分钟，一位一身休闲装的绅士已经在门口叫个人名字了。

和在网上的照片相比，坐在我面前的段海新略显憔悴，但保持着风度和热情，这让我看到了一种长期背负责任感的习惯。过后我才了解到，段老师夜里从美国返回，当天下午就上课，而后回家补觉，结果夜里三点就醒了怎么都睡不着。但段海新当时没有太多解释，只是说时差还没倒过来，因此有点累。

谈到上课，因为老杨也作过教师，咱们的话题就从这里开始。

段海新是安全领域的知名“教师”。这些年来，他的多名弟子已经成为业内的明星级人物。且不说前几年在学术界引发轰动的DNS协议漏洞发现者江健博士、发现HTTPSCookie注入问题的郑晓峰，就说这两年间，杨坤、朱文雷等创办了长亭科技，还有一批“蓝莲花”战队的小伙子被业内各明星企业盯得牢牢的。

可是，中国的网络安全人才培养一直是个大问题，虽然这几年有所提高，但依然差距明显。最关键的是，咱们依然没有看到一个成体系的安全培养方式。就拿大学来说，目前能达到像段海新团队这样在国内外有影响力的研究团队其实还不太多。那么做为团队的领头人，段海新本身认为，他们的最大特色、或者说经验，究竟是什么?

面对我抛出的这个问题，段海新脱口而出：自由!

这是一个令我很是意外的词，但从一贯以“敢言”著称的段海新口中说出，我倒不以为吃惊。我想起来，加段海新微信的时候，他的签名档上写的就是：“原谅我不羁放纵爱自由”。我脑子里又闪出“蓝莲花”，这个一直表明着中国出征全球网络安全竞赛的“蓝莲花”战队，正是在段海新所负责的实验室中诞生。

我问段海新：“‘蓝莲花’这个名字是您起的吗?这个名字和许巍那首歌有关系吗?”

段海新点头认可。2010年蓝莲花组队，段海新一方面很是喜欢许巍歌里的那句“没有什么可以阻挡我对自由的向往”，另外一方面也喜欢莲花的那种出淤泥而不染，所以就用了这个名字。他但愿本身的学生可以在这个充满诱惑的环境里，干净而自由地向前走，不沾染那些坏的东西。段海新认为，学术的研究应该只是为了知足人的好奇心，兴趣是最大的驱动力。

段海新认为，安全领域不一样于对天然现象的研究，大天然不会故意和你做对；但安全是人和人的对抗，这种对抗是无止境的。这种状况下，让学生保持持续研究的关键，应该是兴趣，就是说让学生作本身喜欢作的事情。

在这方面，段海新的感觉很深。他本身在读书的时候，经常苦恼于没法作本身感兴趣的事情，只能根据导师的要求完成任务;同时一个很大的苦闷就是没有交流，也没有人能够交流。所以，在作了老师、特别作教授有了必定自主性以后，段海新就很是喜欢跟学生讨论具体的技术问题，若是能找到一些很是好的主意和点子，就会鼓励学生继续作下去，同时也在国际上寻找最领先的合做者。例如蓝莲花战队队长杨坤的研究重点实际上是软件安全，这并不是段海新的专长，可是他仍是鼓励杨坤沿着本身的兴趣作研究，而且把他推荐到美国加州Berkeley著名教授Dawn Song那里参加美国国防部的CGC(Cyber Grand Challenge)项目，在那里经受更多的锻炼。

自由，也是科研的重要原则

可是，除了在帮助学生成长方面重视他们的“自由”，安全研究和“自由”有关系吗?段海新也给了我一样确定的答案。

段海新用他本身的亲身体会告诉我，中国的学术研究机制和强调集体做战，年轻教授没有独立的地位，每一个人都属于一个大的团队，下级服从上级;这样的结果是每一个人都丧失了本身的独立性，也就没有了自由，没有了独立的学术思想。

段海新强调，每一个人作本身喜欢作的事情，这是很是重要的，若是每一个学校、每一个院系都可以保持这样的激情，每一个教授都独立的作本身喜欢作的事情，也许不必定在CTF比赛或者学术论文上取得重大突破，但极可能在其余领域里崭露头角。事实证实，国际上出成绩的不少院校，就是在这种状况下取得使人瞩目的成绩。段海新强调，一个学术研究团队，核心的评价指标究竟是什么?是看拿到了多少国家项目、给学校挣了多少钱，仍是做出了多少创新成果?

我问他，国家项目和科研创新，应该是不矛盾的呀?这里面有什么问题吗?

段海新回答说，如今的问题是，如今面向自由研究的项目愈来愈少，大规模的集团做战愈来愈多，在这种状况下，年轻人的机会愈来愈少，每每须要依附某些大牌教授才能进行。年轻人缺乏资源、成果被淹没，只能等到“多年的媳妇熬成婆”。另外，学校有还有各类短时间的考核指标，有时年轻人疲于应付，碰到什么项目就作什么，失去了本身的研究方向。

我不知道该说什么。沉默一会，我问他：“这种状况，如今有改善吗?”

他很确定的回答：“目前没有，并且愈来愈糟糕。”

“那么，你想给年轻教授们说些什么?”

“咱们都是在体制内生存，确实没法像国外教授那样独立自主作研究。可是，在基本知足了现有体制的基本要求之后，仍是要投入一些精力作一些本身喜欢的研究，特别是跟踪国际研究的前沿。一开始也许可能没有成绩或者不被认可，可是坚持下来总会有收获。若是全世界都认可你的成果了，现有的体制天然也就承认你了”，段海新如是说，研究也不能只是眼前的苟且，只是迎合现有条条框框来作研究，很难做出有影响力的成果。

【总编约茶】

“总编下午茶”是老杨主持的关注技术应用和IT前沿的访谈栏目。想和老杨一块儿喝下午茶?欢迎联系yangwf@51cto.com。