撰稿
蓝河
编辑
草草
年,法国世界杯如期而至,罗纳尔多、齐达内、博格坎普、贝克汉姆、欧文、苏克、劳尔、劳德鲁普、罗马里奥、巴乔、巴蒂斯图塔......一个又一个如雷贯耳的名字,共同书写了那个夏天的传奇故事。
年,《仙剑奇侠传》的名字传遍大江南北,出现在几乎每一台计算机中。侠之大者的李逍遥,蕙质兰心的赵灵儿,外刚内柔的林月如,烂漫天真的阿奴,共同谱写了一段爱与牺牲的凄美颂歌。
这原本看似毫不相关的两件事情,却成为了一个名叫孙琦的15岁少年一整个暑假的回忆;而除了足球与游戏,孙琦也在那一年,第一次和安全相遇。
法国世界杯与计算机病*
7月初的上海天气已渐渐炎热,屋外满是知了的叫声,电视里时不时传来进球的呐喊,而站在电脑前,望着漆黑一片的显示器发呆的孙琦,却似乎与这一切的热闹无关,浸湿了一身的冷汗:
“电脑中*了。”
幸运的是,电脑病*成功阻止了他亲身经历锁妖塔崩塌的惨剧;不幸的是,一万块一台的电脑对于任何一个家庭来说都是一件非常贵重的东西。所以彼时还不知道电脑病*是何方神圣的孙琦,自然觉得迎接着自己的将会是一顿“暴打”。
多亏了父亲有一位“神通广大”的朋友,揣着一本厚厚的光盘夹登门拜访,在一通神乎其神的操作之后,Windows3.2的图标终于再度亮起。望着那位叔叔的背影,孙琦的心里只留下了两个字“好帅”。
经过这件事,两个新概念在他的心中逐渐形成:计算机病*和网络安全。
只不过当时的他并未对安全产生强烈的学习兴趣,而他也更希望自己能够在将来从事与软件工程相配套的工作,所以在求学的时候,他选择了就读计算机专业。
毕业以后,孙琦来到了一家位于外滩中心的外资公司从事IT技术工作,在那个外企还闪烁着“金光”的年代,孙琦对于这里的一切都充满着好奇,也对自己的未来充满憧憬。
只不过最先带给他震撼的,却是公司对于信息安全的重视和管理。
孙琦说,从入职培训开始,他就受到了大量关于安全管理和安全意识的教育,对于日常工作中的安全要点已经形成了初步的认知;而在正式的工作当中,不论是办公电脑的统一管控、杀*软件的统一启用还是《员工手册》里详细列出的各项规章,都让他在感叹之余,对信息安全有了深更加刻的认同。
虽然在最开始,他也会觉得这样的管理限制很多,但当他与同学们在聚会上谈论起各自的现状时,看着别人听完他描述后表露出来的不可思议,他才意识到,原来公司对于信息安全的管理和理念,竟然如此领先。
因此,他不再羡慕那些略显宽松的管理模式,并开始重新审视安全工作的必要性和价值。他第一次意识到安全是一件非常具有“使命感”的事情,再回想年夏天那个帅气的背影,孙琦产生了想要从事安全的念头。
而这个念头,也彻底改变了他的人生。
高压下的飞速成长
对安全感兴趣很容易,但决心做安全却很难。作为IT领域下的细分版块,信息安全至今还在为证明自己的价值而苦苦挣扎,安全从业者无论是待遇、发展前景还是话语权,也都存在一定的落后。
所以转行做安全,笔者起初是抱有怀疑的。
不过在孙琦看来,从事安全就意味着要主动对整个IT产业链有更多的涵盖,不仅要会写代码,还要具备与其他团队沟通协作的能力,成为一个全能型的人才,远比在单一的IT部门里工作要更有挑战。
尤其随着近几年信息安全的发展,相较于过去,安全需要面对更多来自法务、合规的挑战,安全从业者需要具备更加全面的知识的全局视野,才能够帮助企业构筑全方位的安全防护体系,这能极大地帮助一个人的能力养成。
更多的挑战就意味着要背负更多的责任,面临更多的困难,也承载了更重的使命。但这恰恰是孙琦所追求的,所以明知前路坎坷,他还是义无反顾地选择了从事安全这条路。
从外企离职后,孙琦进入到一家互联网公司开始自己第一段安全之旅。只不过真正领导团队和纸上谈兵比起来,的确存在着天差地别。
孙琦说,企业当时所面临的最大问题,就是来自外部大量的网络攻击,这对应急响应和处置能力提出了非常高的要求。但由于信息安全建设的滞后,安全团队不得不在初期花费了大量的时间来填补空缺,每到电商节临近,更是需要提前近半年准备应急预案,并在这个过程中与其他部门激烈碰撞、反复摩擦。
所以如果要用两个字来概括这一段经历,那就是“疲惫”。
但是,巨大的压力反而鞭策了孙琦快速的成长,正所谓一分耕耘一分收获,他此前所付出的成倍的精力,最终都兑现了成倍的能力提升。
孙琦告诉我,在这一段“极限挑战”的过程中,他形成了自己理解业务的逻辑,懂得了站在用户视角想问题的思维,清楚了安全要保障业务更好运行的意识;同时,一次次与其他部门之间的碰撞磨合,也提升了他资源调度、协同合作的能力;最重要的,他养成了“安全要以技术为基础进行整体建设”的习惯。
在极短的时间里,他就从一个初出茅庐的毛头小子,一跃成为能够承担重任的合格的信息安全负责人。
从0到1的企业安全建设实录
孙琦正式加入现在的公司,是在和领导的一次彻夜长谈后。因为公司当时的安全还处在一穷二白的阶段,他深知这种安全建设的空白和安全意识的缺失,会对安全工作的开展造成非常大的阻碍。
因此,直到“舌战”了几个小时,人力、预算和资源的要求都得到了承诺之后,他才下定决心,从0到1实现一次成功的信息安全建设。
只不过就像许多年前他第一次面对安全的各种限制所流露出的不理解一样,当他满腔热血准备大展拳脚的时候,也给其他部门带来了很大的困惑。
孙琦说,任何企业安全改革都一定会是个非常痛苦的过程,所以当他每一次拿着沉甸甸的渗透测试报告和漏洞整改通知走进其他部门办公时的时候,“杀气”总是会从四面八方传来。
事实上,安全工作起初确实收效甚微,为了赶工期,一份份的安全整改通知被忽略,最终导致了勒索病*事件的发生,连续数天无法正常服务,最后不得不冒着损失部分数据的风险尝试重建了整个系统。
这对于每一个安全从业者来说都是职业生涯中极其耻辱的事情。因此从这件事之后,他不仅吸取此前存在的教训,也更加强硬了自己在安全管理上的态度。当然,整个集团也开始更加重视安全的价值,各个部门也逐渐与安全之间达成了“和解”,并愈发积极地配合安全部门进行系统和能力的建设。
因为惨痛的教训证明了:现在的“蚁穴”不消除,将来的“大堤”会存在毁于一旦的风险。
既然是从零开始,那么第一步要补全的就是漏洞发现的能力。通过资源投入,寻求合作伙伴的帮助,孙琦成功从内部和外部完成了整体的漏洞发现工作,并开始定期开展对数据资产的扫描。
在重新梳理了所有的数据中心之后,孙琦第二步则是在企业内部全面部署WAF应用防火墙,将安全的防护边界进一步扩大到应用层面,从而应对更多的外部攻击,并用时一年,实现三个数据中心的全部上线。
针对评审环节,孙琦要求必须要在其中设置信息安全的控制点,并在项目评估的过程中将安全赋能矫正问题,同时明确地告知每个项目当中包含多少安全成本,能实现多少收益,达到怎样的目标。
他还与审计部门达成协议,使安全团队具备独立信息安全审计的能力,从而帮助企业更好地进行安全审计和合规管控。除此以外,安全培训、安全渗透和安全巡检,都帮助集团从0到1搭建起了完整的信息安全体系,也让安全渗透进了每一个系统的建设当中。
历时三年,终于完美实现了快速上线到安全上线的转变。
不同凡响的三年
如果让孙琦用一个词来形容集团目前的信息安全建设,那就是“全面”。
从安全评审到渗透测试,已经形成了基于项目的安全管理闭环;从每周的安全扫描到每月的人工渗透测试,也同步构建了主动威胁发现的能力建设;而从边界防护到终端防护,更是实现了数字资产分级分类的防护。
信息安全体系的形成,就是一个公司从快速上线到安全上线转变的基础。而在安全合规等方面,孙琦表示他们近年来也取得了非常出色的成绩。
作为普陀地区最早一批落实等保合规的企业,集团目前已经取得近10个三级等保证书的项目,并在自我合规的基础上,赋能兄弟公司,帮助其落实核心系统的等保合规,还通过了ISO的认证。后续,孙琦还计划在今年帮助整个集团的信息版块通过ISO的能力证明。
从最初孙琦一个人单枪匹马,到今天建立起一支人数可观的安全团队,安全在集团内部的话语权逐步提升。
孙琦告诉我,尽管安全目前只是信息技术中心下面的二级部门,但却已经对技术版块实现了全方位的深入渗透,任何业务系统在上线之前都必须要通过安全的检测,且安全拥有“一票否决权”。
而在意识层面,安全已经与其他版块之间形成了非常健康的融合状态,各个部门已经逐渐将安全作为原生的组件,融入顶层设计当中,贯穿企业发展的整个生命周期,帮助集团更好地应对新风险,为业务创造价值。
当然,更多的成绩也就意味着更多的责任,更大的话语权也带来了更多的挑战。
孙琦告诉我,集团正处于数字化转型的进程当中,已经通过数字化的工具,基本实现了企业内部的信息化。而在ToC层面,不管是统一的营销管理平台,还是对于整个集团下所有实体商业中心的管理,也已经处于地产垂直领域里相对领先的位置。
在这个过程当中,安全与每一个版块之间都产生了非常紧密的联系。
万幸的是,在前三年的铺垫下,集团各部门都已经习惯于将安全预置在项目之中,并主动与安全团队进行前期的沟通;安全团队也非常成功地在项目管理等环节与各部门达成约定,让安全越来越早地接入到各个环节当中。
随着《个人信息保护法》通过,《数据安全法》即将实施,以及网络安全审查日趋严格,安全在未来将面临来自法律合规的巨大挑战。为此,孙琦在内部起草了个人隐私信息管理的相关制度,并聘请了专业的咨询机构进行整体框架的制定,积极布局,主动落实法律合规的要求。
而从集团所处的行业属性来看,孙琦认为实体门店在未来依然非常重要,同时会更多地从人的需求出发,通过创造需求让消费者买单,以一种“全接触”的方式来促进交易转化,这也是未来的必经之路。
届时,安全的问题将会贯穿整个交易链,数据的使用和保护就成为了自己将要面临的最大问题。因此孙琦目前已经把数据安全制定为未来的重点目标,也开始在内部探索基于数据安全交换的技术和管理手段。
在过去的三年里,孙琦和整个安全团队都取得了不同凡响的成绩,这也让他稍微有了一点小小的成就感。但他心里清楚,未来的挑战还有很多,要做的事情还有更多。
安全需要同理心
回想自己初识、从事安全,再到历经困难取得成绩,已经足足过去了十几年。如果说当初决定从事安全凭借的是对于安全的热爱,那么如今再度审视自己曾经的选择,孙琦依然认为他遵从了自己最真实的内心。
因为在他看来,国家对于信息安全的重视,不仅印证了自己的选择是正确的,也让他未来的人生充满了更多的挑战和机遇。所以他不仅会在安全的道路上继续走下去,他还打算把安全和业务带到更高的环境当中,朝更业务的方向去发展。
孙琦坦言,在自己安全从业的生涯中,最大的感受莫过于一点——在国内从事信息安全工作特别困难。
这当中最主要的原因其实来自于信息安全认知的普遍缺失,而随着近几年国家大力宣传“网络安全就是国家安全”的理念,安全也在潜移默化中深入人心,融入到每个人工作生活的方方面面。所以无论是整个信息安全行业,还是安全从业者的工作环境和前景,也都在朝着更好的方向发展。
而安全之所以能够愈加广泛的融合,与“同理心”息息相关。
孙琦告诉我,他现在偶尔会陪着孩子一起玩电子游戏,因为在他看来,对于这些数字孪生时代的小原住民来说,将自己置身其中,找到自己和孩子之间共同的乐趣,才能够更加懂得他们的感受,陪伴他们更好地成长。
安全也正是如此,孙琦一直有一个观点叫做“放心做业务,安全的事情交给我”,而实现这个观点的前提,就是要能够真正懂得业务的诉求。这其实就要求了安全要带着“同理心”去倾听业务真实的声音,从而给企业发展带来最大的助力。
对于甲方企业安全建设的现状,孙琦提出了两点看法。
第一点,他认为甲方一直以来都在寻找一种类似信息安全保险的能力,可以让企业不再纠结安全到底重不重要,应该做哪些,应该怎么做的问题,全权托管,就能够对企业信息安全实现全方位的负责。
第二点,他认为甲方企业目前需要一种能够把安全管理和安全技术融合在一起的解决方案。通过这种解决方案,可以帮助企业把安全人员打散到各个业务部门当中,以综合的安全能力和供应平台为各个部门、子公司或是分布在各地的机构,输出安全能力。
孙琦表示自己正在阅读一些法律和财务相关的书籍,因为他预判:未来的信息安全管理人员=安全技术能力+安全管理能力+合规管理能力+基础法务能力+业务理解能力。
所以他认为安全从业者要从现在开始具有相应的意识和行动计划,就像从零开始搭建企业信息安全体系那样,从0到1一步步将自己塑造成更加全面的人才。
写在最后
孙琦是一个喜欢挑战自我的人,相信读到这里的你们都和笔者一样深有体会。无论是明知困难重重毅然决定从事安全,还是一步一个脚印克服无数困难走到今天,都是他一次次的自我突破。
他觉得自己是一个非常简单的人,他热爱技术,向往着成为一名以技术为支撑的商业领导者,做一些没做过的事情,探索更多未知的领域,并把自己在工作中的所见、所闻、所思、所想都一点一点地记录下来,在总结自身的同时,分享给更多的人。
一路走来,他就像是那个在十里坡苦练御剑术的余杭镇小伙,不停地打怪升级,在贯彻自己理念和精神的道路上,头也不回地向前奔跑。
他说现在依然会一场不落地的收看世界杯的比赛,闲暇至于也会踢上两脚;尽管过去了十几年,他依然没能戒掉对游戏的喜爱。当他站在镜子,满眼望去依然是年的夏天那个少年的模样。
因为时间能带走我们的年纪,却永远带不走我们的纯真。