撰稿| 藍河
編輯| 圖圖
耀疆總有個老朋友,叫陳顥明,海航集團的資訊安全負責人(曾經)。
每當耀疆總聊起他的時候,總會唏噓不已。
十八年的資訊安全職業經歷,說來也確實神奇,怎一個“衰”字了得。職業生涯前半段任職的公司,前脚離開,後腳就上市(如:啟明和泰嶽)。職業生涯後半段,原本想穩定堅守的世界500强企業,也都神奇的發生巨變,被迫面臨重新選擇。
在惠普最tough的部門,熬走了八個領導,卻因中國區企業業務被紫光合併,而遺憾被迫離開。
原本想避開乙方的硝烟,歸隱於甲方的城堡,積糧屯兵,構建防禦,海航集團卻進行重大戰畧調整,聚焦主業,健身瘦身。
回首職業生涯,好像每一段都是,拓荒時進入,披荊斬棘,開拓局面,兵強馬壯,業務貞貞日上時離開。往好點說是:開拓精神可嘉;但似乎更像是前人栽樹的前人。
用他自己的話來說:“也許,這就是命。”
但在採訪中,我們除了看到他的坎坷經歷,更看到資訊安全老兵對於這個事業的熱愛和堅守。
因一套書“誤入其途”
2000年夏天,像所有來京謀發展的新人,迷茫與人海中,在蓬勃而紛繁的IT市場中,苦苦找尋屬於自己的職業入口,無意中來到書店,
當看見啟明星辰出版的《信息安全叢書》的時候,他像是被電到了一樣,也許這就是自己的方向,心裡狂喜,之後的一年這些書就沒有離開過他的書桌。
有些時候,真的是心想事成,轉年春節一過,新一年的北京國展人才招聘會,他只投了一份簡歷,就順利被錄用了,這家公司就是啟明星辰,他日夜心心念念的公司,就這樣進來了。
正值啟明星辰剛剛組建售前部門,主打IDS、漏掃和防病毒,陳顥明就這麼兩手提著2U的IDS設備,奔走在全國的各大火車站和機場,經常被經過的旅客叫住,“小夥子,門字裏一個真字,怎麼讀啊”(用生僻字做產品名稱,真的是需要很大的勇氣,但當公司和產品出名之後,其實也是對中國文化的推廣和傳播。)
勤勤懇懇地賣了近四年的安全產品,成功打入了政府、金融、央企等重要客戶,同時幫助啟明在深圳的市場打開了局面。
等到2004要簽新勞動合同的時候,陳顥明看了眼當中夾帶的期權,但還是覺得自己應該出去看看,去尋找新的挑戰。此時,神州泰嶽正在組建安全團隊尋求在資訊安全領域的發展,於是他選擇了離開。
“腦子被驢踢了”
進到泰嶽,陳顥明主要負責售前和諮詢工作,定位資訊安全集成服務商。此時,啟明在業內已經鼎鼎大名,而泰嶽做安全並不為人所知,而且並無安全產品,與客戶溝通交流,需要付出更多的精力,甚至需要精益求精,通常給客戶的幾百頁方案都是一個字一個字的敲出來的,並不是業內大家說的“Ctrl+C”“Ctrl+V”,沒有辦法,因為老闆要求科技評分必須第一。
就這樣,在公司的極致追求和倒逼之下,安全團隊飛速成長,迅速成為公司重要支撐業務之一。
記得有一年,泰嶽安全全年項目得標率100%。看到了老闆對利潤的要求,陳顥明决定主動出擊,推動公司資訊安全產品自主化,SOC和4A產品相繼推出,並逐步打入市場。閒不住的他,突然對ISO27001產生濃厚興趣,帶領團隊摸著石頭過河,硬是完成了國內能源行業第一個ISO27001諮詢專案。(那年代,安全諮詢的利潤還是很高的)
泰嶽四年,陳顥明親眼見證了泰嶽的安全從無到有,從集成商到專業安全產品和服務商的轉型,一切都向好的方向發展之際,但他的心裡又仿佛被抽空了一般。
第二年,泰嶽上市,可惜他沒等到開花結果這一天。記得離職那天,被老闆說:“從經濟學角度講,你的决定是腦子被驢踢了。
在經歷了兩段打了雞血一般的青春後,陳顥明希望到更大的平臺,去真正瞭解IT全貌,IT巨頭就成了他的努力方向。
熬走八個領導的傳奇
2007年,陳顥明如願來到了惠普,當年惠普是全球最大的IT公司,但真正進入後才發現,相比較其他IT業務熱火朝天的景象不同,資訊安全在中國區並沒有專門的部門,還沒過試用期,國內懂安全的就只剩他一個人了,蒼天!!!這是又一次要重新開拓了?
為了生存下去,根本不容考慮,直接把疑問句變成肯定句,馬上開始跑客戶,找項目,打單,這一次的開拓來得更徹底,一個人戰鬥!
最開始,惠普沒有安全產品,只能對外做一些諮詢專案。也算是趕上了安全諮詢最火的時候,逐漸拿下幾個諮詢專案,有了項目底氣足了,直接和領導拍了個業績承諾,成立了資訊安全部門。(在惠普,有項目就有人,有人就有業績,有業績就可以成立業務部門)。在惠普的企業管理模式下,他開始懂得了生意之道,從一名安全技術專家,蛻變成了科技型懂生意的管理者。
經過兩年時間,陳顥明帶著資訊安全團隊,先後幫助證券行業、保險行業、車企以及多家製造、能源企業和運營商完成了符合國家標準的安全管理體系。
隨著逐步地切入客戶,以及良好的項目口碑,陳顥明開始根據客戶業務的不同需求,拓展有針對性的安全解决方案和集成方案。
憑藉對客戶們需求的瞭解,他對安全未來趨勢和判斷有著自己獨到的邏輯,他形容:最開始,惠普的資訊安全團隊像是中醫大夫——診斷、開方,收個諮詢費,我就不管了。到後來,逐漸成熟為綜合性的全科醫院,不管遇見任何問題,都能給出整體的解決方案。
就此陳顥明帶領不到十人的團隊,,往後的每一年的收入都沒有低於500萬美元,找客戶,售前,實施,驗收,客戶服務和響應,全都是團隊自己搞定。雖然工作並不輕鬆,但也過的自得其所,儘管領導不斷更迭,但還是樂於其中。
正當陳顥明覺得,自己可以在惠普做到退休,且前路可期的時候,惠普把在中國的業務出售給了紫光,合資成立新公司紫光華三,也就是大家熟知的新華三。
不同的企業文化相互融合太難了,包括陳顥明在內的這群老惠普人,對此並未抱有任何希望,惠普之道已經深入他們的血液,他們真的不願親歷它的瓦解和消亡。
在惠普工作了整整八年,熬走了八個領導之後,陳顥明黯然離去。人生就像過山車,有太多的起伏。
乙方轉甲方
2016年,海航準備籌建安全部門,領導找到陳顥明,希望他可以張羅這件事情。
陳顥明心想:
“得,還是開拓的命”
陳顥明和海航之間其實是有淵源的。之前,他的團隊曾幫助海航做過資訊安全諮詢和規劃項目。
但海航的業態在這四年裏發生了翻天覆地的變化——從過去的航空主業為主,一躍變成了集多元化多業態於一身,包括航空、物流、飯店、金融全行業多業態的龐大企業。
這對安全管理來說,提出了巨大的難題:不同業態的安全要求是不一樣的,像航空、金融,監管力度大,合規要求非常高;而涉及到傳統行業業態的企業,安全水准和要求卻又普遍偏低。
在這樣一個層次不齊的體系下,想要做一個全面的安全管理,確實是非常有挑戰性的。
正當陳顥明好不容易克服壓力,躊躇滿志準備大幹一場的時候,才發現,自己過去十幾年的安全工作經驗裏,竟然從來沒有真正以甲方的視角去思考過問題。而當真正以甲方身份開展安全的工作後,他才意識到,甲方和乙方的安全認知完全不同。甲方時刻考慮業務不出事兒,免責,安全事件的可控性以及業務價值體現,在甲方沒有時間等你一步步諮詢、規劃、落地、整改。
而且甲方的安全風險是時刻動態變化的。引起變化的原因,有可能是監管的要求,也有可能是業務戰畧的調整,還有可能是領導人為的關注。甚至於說,他作為乙方時曾認為的嚴重安全風險,有時在企業未必會觸動他們。
甲方的安全,必須要將風險的視圖動態地裝進腦子裏。
在經過一段時間的甲乙方思維的轉換後,陳顥明逐漸適應了甲方的工作模式,並不斷摸索,開始有了自己的管道方法,尤其適用於大型多業態企業。
陳顥明認為,安全是複雜的巨系統,對甲方而言要化繁為簡,首先把IT資產分為三類:資料中心基礎設施、應用和數據,辦公和終端。分別對這三類資產進行風險,漏洞和安全事件的管理,形成清晰的三橫三縱的管理矩陣,所有日常安全管理活動都基於此模型推進。
也可以把這三類資產理解成球場上的:前場(應用和數據),中場(資料中心基礎設施)和後場(辦公和終端),企業的安全性原則要做到,前場要靈活,中場要强,後場要穩。
他總結了十點經驗分享給大家:
1.企業日常安全運維管理,一定要花大力氣抓好監控和響應,記住:
監控和響應大於防禦;
2.企業安全負責人一定要重視各種安全性記錄檔和記錄,以及構建强大的事件溯源能力;
3.資訊安全管理流程和機制的建立和完善遠比產品部署更重要;
4.企業要把內部的資訊安全合規和稽核做到真正落地,應該由內部獨立的部門進行安全合規和稽核管理;
5.資訊安全是企業所有人的職責,作為安全負責人除了讓安全責任意識推廣到企業的每個角落外,還要讓企業的每個層級每個人擔負起該有的職責;
6.大型企業資訊安全管理部門,既是監管部門也是服務部門,也要花大量的精力,構建資訊安全服務平臺,以集中化的雲平臺為各單位提供專業,標準化的安全服務;
7.資訊安全管理工作要能做到可量化考核,既要定好對自己的考核,也能對他人進行考核;
8.大型企業一定要建立自己的資訊安全滲透測試機制,或自建滲透測試團隊,或交給SRC,白帽子,定期要進行紅藍對抗;
9.企業不怕出安全事件,但要在事件中提高,在應對事件中完善安全防禦體系,在事件處置中完善資訊安全管理體系,持續改進持續完善;發生安全事件不可怕,可怕的是沒有借助事件進行整改;
10.多業態大型企業,要考慮抓大放小,分而治之。
說起來重要,做起來次要,忙起來不要
甲方不重視安全嗎?答案肯定是重視的。陳顥明經常發現,似乎很多人都喜歡把“安全”掛在嘴邊,但很多時候,卻沒有把這份所謂的重視,落實到具體的工作任務、流程和人的身上。
更多的企業是:說起來重要,做起來次要,忙起來不要。
囙此,作為甲方的安全負責人,除了要做好安全建設的本職工作,還要同時思考,如何把組織有效地串聯起來。
陳顥明說,過去在乙方的時候,自己接觸到的通常都是甲方的CIO、CSO或者安全管理員,和這群人講清楚安全,是再容易不過的一件事了。只要把積累的科技能力充分展示,並且價格合理,那這樁生意也就成了。
但當真正開始在甲方做安全的時候,他才發現,當牽扯到不同業務部門、不同業務人員、不同領導的時候,如果沒有事件的驅動,是沒有辦法讓別人認可自己所說的安全問題和風險的。甚至有的人會不理解,覺得安全團隊總是在沒事找事罷了。
說實話,安全這個在企業裏只占整體業務比重不過千分之一,又不產出效能的部門,事實上是沒什麼地位的。所以陳顥明就只能想辦法,如何才能和領導溝通,讓領導去設身處地地瞭解安全的整個過程,重視風險,落地安全措施。
他記得一件很有趣的事情:
成立SRC團隊之初,安全部門內部每個人也都幹勁十足,覺得幫助企業內部發現各種應用系統漏洞,給企業挽救了可能的巨大損失,是一件特別有使命感和成就感的事情。
直到有一天,當陳顥明將一個放在外部SRC市場價值好幾萬的漏洞報告給公司管理層,並沒有得到高度重視和快速回復,才讓他意識到,原來大家真的沒有真正意識到系統漏洞的價值和風險。
他深知,沒有高管重視的安全,是偽命題!無論多難,必須先把此事做了。
於是他想了個辦法,挑了公司的幾個重要應用系統,把利用這個漏洞攻擊系統的後果錄成視頻,展示給管理層,讓領導直觀地意識到:如果漏洞像視頻中演示的那樣被人利用,損失將非常慘重。
就這樣,資訊安全漏洞彙報上了高級別的辦公會,漏洞修復變成了行政指令,被計入考核,並進入常態化運營。
甲方做安全,覈心還是要適應企業文化和行政管理管道,把資訊安全管理融入其中!
所以,如果你要問陳顥明在甲方的兩年裏收穫了什麼,我想,一個是怎麼在甲方做安全,另一個,就是怎麼適應甲方的企業文化做安全。
鐵定的背鍋俠
說到海航集團的健身瘦身會不會對資訊安全有所影響,如果安全團隊囙此受到了裁撤或減員,海航的安全能力是否會大打折扣。
經歷過三番五次的起起伏伏,陳顥明反而變得淡然了許多。就好像“從未擁有過,也就不曾可惜過”一樣,雖然苦澀,但還是要在難過的日子裏笑出聲來。
所幸的是,雖然海航從企業整體上發生了比較大的改變,但安全工作和企業文化,並不會受到過多的影響,用陳顥明的話說,就是“該幹啥還幹啥”。
至於海航內部的安全能力問題,就像陳顥明說的那樣,安全工作並沒有囙此被弱化,所以,更不會像網上說的那麼誇張就是了。
不過既然提及了航空行業的安全工作,陳顥明還是不得不感歎——數據,對任何一個企業來說,都是最頭疼的問題。
每個企業都希望實現自身的發展和業務的增長,但資料安全與業務發展本來就是背向的關係。很多企業在做數據防護的第一步,就邁不出去。
這一步叫“敏感數據視圖的繪製”。可是要知道,如果企業規模較大,數據總量難以估計,繪製敏感數據地圖就變成了一件非常困難的事情。首先,數據散落在各個地方,其次,基於敏感地圖所做數據的防護、脫敏、轉移等一系列工作,以及基於大數據基礎的非結構化數據,還將會牽扯到更多複雜的科技問題。
作為航空企業的安全負責人,陳顥明覺得自己幸運得多,因為數據使用相對保守,只要把企業內部存取控制和脫敏做好,基本也就可以有效保護用戶的資訊安全。
如果要給甲方企業的安全能力評個級,陳顥明覺得,除互聯網公司外,銀行等金融行業做的最好,運營商次之,航空和交通運輸業,應該排在他們後面。為什麼呢?其實這裡有個有趣現象,因為企業的安全防護能力基本都是事件和業務倒逼出來的:
銀行業資訊安全問題發生得最早,運營商也經過前些年的3.15曝光,開始逐漸重視用戶的隱私保護。一直到今天,當數據越發成為具有極高價值的資產以後,存儲了大量用戶資訊的飯店和航空行業,就成為了黑產眼中的獵物了。
隨著《網安法》、GDPR、《個人隱私保護法》的相繼出臺,企業受到的監管壓力也越來越大,各大企業都會在政策上和科技手段上不斷的加强數據管控和安全。
兩年的心路,陳顥明除了感受到甲方的安全,從外面看和裡面看,真的不太一樣之外,也完全理解了每個企業安全負責人的不易,資訊安全在國內還是任重道遠。
他漸漸熟悉瞭解了甲方安全人的苦衷,也學會了如何適應甲方安全的管理管道,從溝通、處事,調整自己的管道,克服需要衝破的點。
但唯一不變的,就是這鐵定的背鍋俠身份。
甲乙方邊界越來越模糊了
在和陳顥明交談的過程中,我們聊到了一個值得甲乙雙方都非常感興趣的話題:那些初創的和創新型的安全公司,所做的產品,到底能不能被企業接受。
其實,企業發展到今天,但凡有些名氣或是相對體量較大的企業,幾乎都在烦乱同一個問題——到底哪些產品要採購,哪些要自研。
事實上,很多創新型安全公司的創新產品,和企業思考準備自研的東西,往往都是重疊的。對企業來說,這些產品有沒有用?有,但又似乎不那麼明顯。能不能自己做?能,不過是人手和時間早晚的問題。
處在這樣一個抉擇的狀態,除非產品本身具有一定的科技先進性,並且能很好地結合使用場景,在時間緊迫的前提下,甲方才有可能選擇使用。如果明明場景結合度就不够高,還整天打著“定制化”的旂號,需要甲方再花費時間等待定制的話,那在陳顥明看來,還不如自己去做。
所以,如果一家創新型安全公司,既不具備行業性,又做不到場景的結合性,那肯定無法打動甲方的心。
與此同時,甲方安全團隊的這群人一直也都在蠢蠢欲動,大家也在探討這麼多年自己沉澱的科技,能否轉化為對外輸送的產品和能力。要知道,甲方本來就比乙方更懂需求,再加上把自己一直以來的應用作為實際場景和成功的案例,任誰都會相信這份說服力。
這樣一來,甲方和乙方的邊界就變得更加模糊,對創新型安全公司的衝擊也將越來越大。
就以陳顥明來說,他更多地開始思考,如何把資訊安全部門,從過去的成本中心,變成未來的利潤中心。作為資訊安全管理的職能,可否提升成兼具管理和服務,管理的同時,在內部建立服務平臺,為下屬企業提供安全服務,再以合理的收費模式實現運營和利潤。
因為他覺得,即便作為甲方,也要具備乙方的視角,要通過乙方的思維把甲方的安全能力對外輸送出去,只有甲乙方思維融合,才是安全的全部。不管安全管理還是輸出安全能力,需要甲乙方全生命週期都照顧到,才能够算是一個比較客觀完整的安全觀。
那麼乙方安全怎麼做?陳顥明說,MSSP(安全託管服務商)模式也許會是未來的趨勢。
就甲方視角來看,如果架構的安全越來越標準化,那麼的確可以將其外包出去。不僅省錢,
而且乙方在這方面更有經驗和資源,管理流程和管道也會更好、更專業。只要簽訂SLA,考核最後的結果就可以,無論多複雜的問題,都不用操心,乙方自然會幫忙解决。而甲方則應該騰出時間,把經歷更多地放在數據和應用上。
說白了,不管是互聯網企業還是傳統企業,安全是需要兩條腿走路的:基於底層的安全產品以及成熟的網路層產品,可以採購,但跟實際場景結合得比較緊密的需求,還是要自己開發,而且企業一定要有安全研發團隊。
陳顥明告訴我,國內企業的安全管理模式應該做出改變,也到了改變革的時期了。
從2001年進入啟明星辰開始,陳顥明在這個不大的圈子裏,摸爬滾了整整18年了。這些年裏他把安全的各種角色都擔任了一遍,也參與過各種決策,但每次都把種子埋好,結出果實就離開了。
對他來說,這也許都是還沒兌現的積蓄,但也可能就僅僅只是經歷。
站在40歲的節點上,他很認同馬雲曾經說的“40到50歲,要做自己擅長的東西”這句話,無非還是把這麼多年積累的經驗、對行業的瞭解,繼續用在未來的時間裏。
同時,他也想借安在平臺,祝福他用心和汗水服務過的公司:啟明星辰、神州泰嶽、中國惠普、海航集團,業務蒸蒸日上,健康發展。也感謝每一位老闆和領導,以及共事過的同事和戰友,感謝他們的提攜和幫助。
明天的日子很簡單,給公司也好,行業的客戶也罷,只要能把自己的這份能力分享出去,就足够了。
看著陳顥明,我想起了《奧德賽》裏的一句話:“當太陽漸漸升起,離開絢麗的海面,騰向紫銅色天空,照耀不死的天神和有死的凡人,高懸於豐饒的天野之上。”
這個從未享受過片刻回報,卻仍在這條旅途上不知疲倦的傻子,可能最接近太陽吧。
我是藍河,藍溪閣第一小劍客,葉不羞的小跟班,科技媒體的小學生,你們的小天使。我不善交際,如果不介意的話,可以加微訊號guoduo1992120碰碰運氣。
「推薦閱讀」
網路安全新媒體聯盟,由聚焦網安行業的包括安在、E安全、Freebuf、看雪論壇、數說安全、安全村、網安視界、遊俠安全網、一本黑等在內的新媒體或自媒體共同發起成立,同時有《中國資訊安全》顧問支持,是非營利非實體性質的新媒體聯絡協調和合作互助機制。
人物 ∣ 熱點∣ 互動 ∣ 傳播
投稿及商務合作請在後臺回復關鍵字即可