撰稿 | 流蘇
編輯 | 圖圖
辯證唯物主義說,現實世界中的任何事物、任何關係、任何過程都具有必然和偶然的雙重屬性。必然性總是要通過大量的偶然性表現出來,沒有純粹的必然性。
對此,蔚晨深以為然。雖然他從未設定自己「一定」要學什麼專業,從事什麼職業,但是和網絡安全的緣分似乎怎麼也拆不散。他笑稱,自己在網絡安全領域的十幾年,其實是緣於一次次的「偶然」:在西安交通大學攻讀研究生時,偶然選擇了網絡安全專業,師從中國科學院院士管曉宏教授;畢業時,因非典錯過了校招季,誤打誤撞進入了鐵道部,參與建設了鐵路認證安全平臺項目,至今該系統仍然是鐵路信息化網絡安全防護核心系統;隨後又接到光大銀行拋出的橄欖枝,在金融業的安全管理領域,一幹就是九年。在他近二十年的安全生涯中處處充滿了令人意想不到的偶然,這些偶然疊加在一起最終成為必然。
曾任中國光大銀行數據安全技術專家、海航科技集團信息安全技術總架構師等職務。現任光大科技有限公司信息安全負責人,十餘年金融業、鐵路交通業、民航業工作經歷。一直從事信息安全、數據管理、風險管理等領域,曾獲得銀監會風險管理課題研究成果、人民銀行科技發展獎等多項行業獎項,在數據安全領域有深入研究和實施經驗,對網絡安全法、GDPR、等保等法律法規有深刻理解。
回顧網絡安全生涯,他可謂是品嘗了行業的酸甜苦辣,歷經了行業發展的起起伏伏。他曾在十七年前潛心研究主動防禦技術,也曾在北漂求職過程中屢屢碰壁;曾為了解決系統問題不眠不休七十多個小時,也曾為了職業發展茫然不知所措......這一切回頭看是那麼的虛幻而又真實,而這一次次的選擇與經歷才真正造就了現在的蔚晨。
十七年前的主動防禦
2001年,蔚晨做了一個影響他一生的決定,本科學習通信工程的他,就讀研究生時,選擇了當時十分冷門的方向——網絡安全,這是他踏入安全領域的第一次「偶然」。當時我國的網絡行業剛剛起步,上網還需要撥號,即便是大型企業也未設置獨立的網絡安全崗位。當被問及為何選擇「網絡安全」專業時,蔚晨覺得那是偶然,也是緣分。
當時,他正為選擇專業而迷茫時,恰逢管曉宏院士,也就是他後來的導師剛赴美深造歸來。管曉宏院士是國內較早研究網絡安全的院士之一,為填補網絡安全領域的專業空白,開設了網絡安全研究方向。
回憶起當時選專業的情景,蔚晨沒有任何的避諱,反而自嘲的笑了笑,「那一次研究生專業的選擇並沒有多少先見之明,可能偶然的成分更多一些,那時候的我對於網絡安全也沒有非常清晰的認識,只是覺得是一件很有意思,值得研究的事情。」
研究生期間,蔚晨一邊汲取著系統化的網絡安全理論知識,一邊跟著導師、師兄弟們研究國外先進的網絡安全技術,其中就包括IDS技術和網絡行為檢測技術之間的聯動效應。
「用現在的說法,我們會把基於網絡的、主機的IDS告警信息進行大數據分析和處理,按照既定的規則進行聯動處理,包括阻斷、響應等」。
2003年非典爆發,蔚晨也被迫封閉在學校。此時,全國挑戰杯大學生課外學術科技作品競賽正在進行申報,他心想反正這會也出不去,不如報名鼓搗鼓搗項目。
很快蔚晨就和另外兩個師兄弟組成了一個隊伍,報名參加比賽。當時黑客、入侵等概念剛剛在國內流行,於是他們想要在這些方面進行研究,項目名稱為「基於Honeynet的黑客行為跟蹤系統」。
以現在的眼光來看,項目的原理並不複雜,無非是利用多個蜜罐組成一張蜜網,然後引誘黑客對蜜網進行攻擊,從而獲取黑客的攻擊行為,並分析黑客的攻擊邏輯和手段,其實和現在很多企業使用的蜜罐非常相似。
但值得注意的是,這一設想出現在17年前,在那樣的網絡環境和網絡安全的基礎上,能夠以一種主動防禦的思維來設計安全產品,尤其在當時以被動防禦為主的基調下更是殊為不易。
蔚晨和師兄弟向評委展示蜜罐的原理和作用
而後,蔚晨等人利用開源技術製作了簡單的model進行展示,效果得到老師們的一致認可。2003年11月,隨著非典基本被控制住後,他們前往華南理工大學參加比賽,和來自全國各地的大學生同臺競技。最終,蔚晨組的項目獲得了挑戰杯競賽陝西省特等獎,全國三等獎。
年輕的蔚晨獲得全國挑戰杯
大學生課外學術科技作品競賽三等獎
有意思的是,在比賽現場除了大學生和評委外還有一群別樣的「天使投資人」,他們的目的就是希望發掘自己感興趣的項目並進行投資,其中就包括蜜罐項目。
只是當時蔚晨完全沒有這方面的想法,於是投資一事也就不了了之。但這次創業大賽極大地增強了蔚晨等人對於網絡安全行業發展的信心,也讓他第一次意識到,原來網絡安全還可以這麼有意思。
「現在回過頭看確實是一次好的創業機會,但是當時的我們作為90年代的大學生,確實也沒有多少創業的勇氣和市場敏感度,當然,我個人並不後悔,錯過了一次機會並沒有什麼大不了,人生未來的路還很長」。
令人惋惜的是,此次大賽之後,蔚晨組的成員便各自找工作了,蜜罐項目也因此被封存,多年來再也沒有碰過,師兄弟們再也沒能一起並肩作戰。
上帝預留的那扇窗
常言道,「禍兮福之所倚,福兮禍之所伏」。雖然這次大賽對於蔚晨而言意義重大,但是卻也給他帶來了苦惱——等他們從廣州參賽回校後,企業校招已經結束了,大學畢業最好找工作的一個機會就這樣錯過了。
但是,從最後的結果來看,這似乎也不是什麼壞事。
假如蔚晨參加校招,認認真真找工作的話,那麼大概率和網絡安全劃上了句號。前面已經說了,2003年我國網絡安全還停留在非常初級的階段,很多企業基本沒有設置網絡安全崗位,自然也不會有這方面的招聘訴求。因此,校招時蔚晨大部分的師兄弟都去了微軟、IBM、惠普、華為等IT企業,從事的工作基本和網絡安全沒有任何的關聯。
因為疫情和大學生創業大賽,蔚晨回到學校已經到了11月底,所以只能等到過完年再去找工作。2004年,過完年後的他帶著自己西安交大網絡安全專業的研究生證書和獲獎證書,隻身一人開啟了自己的北漂生活,頗有風蕭蕭兮易水寒之感。
然而此時求職豈有那麼順利,在北京應聘時屢屢碰壁和不如意。正當他苦惱之時,命運之輪緩緩轉動,第二次偶然(緣分)悄然來臨。2004年3月,恰逢鐵道部正在進行路網改造,其中一部分內容就是要建立網絡準入和身份驗證機制,而這正是他的強項。
憑藉著在網絡安全領域紮實的理論知識和不錯的技術能力,蔚晨順利進入了鐵道部信息中心網管處,得以有幸參與當時國內規模最大的網絡改造項目,並負責其中網絡、信息安全相關部分的工作。
這是蔚晨和網絡安全之間的第二次偶然(緣分)。而在這個巨大的網絡改造項目中,首次參加工作的蔚晨站在一個更高的起點上,直觀、全面地了解到了網絡安全,親身參與身份驗證等網絡安全項目的落地。
這樣的機會不是每個人都能遇見,在這個項目中使用的都是最新、最先進的網絡安全設備。要知道那時候很多網絡安全的設備價格非常昂貴,大部分企業都無力負擔,只有大型國企、央企以及金融企業才會進行如此大的資金投入完成網絡改造和升級。
蔚晨表示,在鐵道部的工作經歷對於他來說非常關鍵且重要,甚至對他後面十幾年的職業生涯都產生了非常大的影響。毫不忌諱的說,和大多數安全人士相比,那時候他的履歷、經驗和眼界已經處於領先地位,也讓他具備了當時很多人沒有的網絡安全大局觀。
不得不說,有時候人生就是如此奇妙,正如那句話所說,上帝關上了一扇門,但是會為你預留一扇窗。
錯過了校招,獨自北漂,四處碰壁的求職,以及可遇不可求的網絡改造項目讓他能夠在2004年的時候開始網絡安全工作,在一個高起點,接觸、了解網絡安全行業。
才能和網絡安全邂逅那一份「偶然」。
九年銀行生涯
四年之後,鐵道部網絡改造項目基本已經完成。相對封閉的環境和緩慢的工作節奏讓不安於現狀的他,很想去看看外面的世界,檢驗一下自己的技術和能力。
於是,蔚晨萌發了辭職的想法,並開始向各個公司投簡歷,有意思的是,這時候他選擇的崗位基本和網絡安全沒有任何關係。這也很好理解,相對於其他IT類工作職位,2008年的網絡安全行業還未成氣候。
很快,蔚晨就收到了一份滿意的offer,然而就在他準備入職時,一個意外出現了,對方高管經歷了一場大的人事調整,之前所有發出的offer全部作廢,他也就去不成了,只能繼續找工作。
這時,蔚晨和網絡安全的第三次偶然(緣分)來了。
正好光大銀行的安全管理崗位正在招聘,於是蔚晨就去試了試,沒想到和這個崗位需求非常契合,隨即加入了安全管理處。如果不是前面一家公司的offer臨時作廢,蔚晨很有可能就離開了網絡安全行業。
蔚晨在光大銀行一待就是9年。在這段時間裡,他經歷多個工作崗位,包括安全管理、風險管理、數據管理等,唯一不變的就是一直從事跟安全和風險管理相關的工作內容。
九年的時間,也讓蔚晨和網絡安全之間的偶然最終成為了必然,如果說之前他還是站在十字路口進行選擇,那麼現在就只能在網絡安全領域裡飛奔。回顧前面三次的「偶然」,冥冥之中似乎真的有著某種聯繫。
正如蔚晨在採訪中所說的一樣,「前面三次選擇,只要有一次選擇了其他的方向,我可能都不會在這個行業裡了,有意思的是,哪怕我選擇的不是這條路時,它(網絡安全)也能想方設法把我推回來」。
九年的銀行工作生涯,對於蔚晨而言無比重要。「事實上,我現在的信息安全價值觀,以及一些理念和思考都是在銀行的九年時間中逐漸形成,真正的職業生涯也是從銀行開始」。
2008年光大銀行安全管理處剛成立,恰好又遇上了光大銀行整體信息安全體系規劃項目,所以一進來就扎到項目中了,每天跟著四大的頂級諮詢師們一起討論、交流。
很快,蔚晨就發現了自己的短板,對於信息安全的知識體系和框架缺乏具體的概念。他開始有意識的惡補這方面的知識,將原有的零星知識碎片串聯成整體,慢慢地形成自己的網絡安全理論知識體系。
2013年光大銀行數據服務中心成立,數據安全管理崗位設立。這既是光大銀行首次提出將數據安全工作獨立出來進行崗位設置,也是行業內首次對於該「如何做好數據安全」的一次重要嘗試。當時很多企業包括大部分銀行還不認為數據安全是一個獨立的業務工作領域,依舊從信息安全的角度審視數據安全。不得不說,光大銀行的大膽嘗試確實是一次極具前瞻性的創新。
而「數據安全」的概念也吸引了蔚晨的注意,隨後便換崗至數據中心,專職進行數據安全治理規劃工作。「剛剛進入數據中心時,我的內心有點慌,畢竟之前沒有做過,也不了解數據治理視角下的安全具體該做什麼」。
於是,蔚晨只能倒逼自己再去學習數據治理的相關知識體系。很快他就在數據安全領域有所心得,2016年他主導的課題「銀行業重要業務數據安全管控體系研究」在銀保監獲得了三等獎的成績。多年來,在數據安全領域,蔚晨進行了深入的研究和豐富的實踐,也取得了不俗的成績,還曾多次組織參與銀行業數據安全相關制度規範及技術標準的制定和評審工作。
蔚晨坦言,有一段時間工作確實非常辛苦,但是也給自己錘鍊出了強大的內心和解決安全問題的思路。
那時他負責的系統對光大銀行業務數據進行底層安全處理,幾乎所有的業務數據都需要經過他們這個系統才能完成正常的業務邏輯,重要性不言而喻,一旦這裡出現問題,甚至有可能造成業務停擺。
這件事本身似乎並沒有那麼難,但是一旦加上銀行恐怖的數據吞吐量就非常困難。作為業務支撐系統,它每時每刻都有大量的數據通過,而且還要保證不出任何問題。為了維護好系統,那段時間過的非常辛苦,周末加班、半夜值守都屬於常態,甚至是在婚禮彩排現場進行遠程支持。
「那段時間確實非常累,系統24小時全天運轉,幾乎沒有休息時間,但是也讓我的抗壓能力、心理素質和職業操守得到了很大提升。臨危不亂說起來很容易,但是做起來千難萬難,唯有經歷過一次次的事故處理和通宵加班才能一點一點錘鍊出來」。
從大金融到大科技
9年的銀行生涯一晃而過,蔚晨也即將奔四。「如果此時不考慮動一動,那麼這輩子大概會一直在銀行體系退休了」。
事實上,網絡安全行業自2012年後開始進入高速發展階段,和之前相比,不論是網絡安全產品還是理念都發生了巨大的變化。企業對於信息安全管理與技術的需求快速增加,安全人終於迎來了期待已久的「春天」。
這時的蔚晨無法抑制出去闖闖的衝動,他想在40歲之前再選擇一次,開啟一段新的升級打怪的修煉。
基於此,蔚晨離開銀行後就加入了海航科技集團擔任安全技術總架構師的職務,很快就被企業的創新基因以及對於前沿技術的探索、嘗試給徵服了。
在這裡,蔚晨感覺充滿了機遇與挑戰。因為企業業務不斷創新,因此信息安全也必須不斷創新,不斷進行新品嘗試。一年多時間裡,他接觸了大量的創新性的解決方案和新興技術,甚至是一些在傳統行業看來非常不可思議的解決思路。
但是,蔚晨卻隱隱感覺這些「離經叛道」的產品和思路有很多是可行的,且值得花時間和精力進行深入研究。在海航信息安全部門的同事來自各行各業,不同的理念、不同的思路總是會給他帶來不一樣的收穫。
「如果說在光大銀行的9年時間,我是在一個比較安全的環境中不停的錘鍊技能,那麼在這家企業就像是學成下山,行走於江湖,對於我後面的職業發展無比重要」。
從大金融到大科技,給蔚晨帶來完全不一樣的感受,也更讓他明白自己想要的是什麼。2018年,蔚晨重新回到光大集團,在光大科技任信息安全負責人,再次回到了管理者的崗位。
蔚晨表示,安全管理是一個很難出成績的行業,沒出事情是本分,出了事情要負責,員工很難從這上面獲得成就感,所以我們必須要給團隊進行良好的心理建設。
第一,讓他們意識到自己的價值,安全其實是一份對綜合素質要求非常高的職業方向。安全工作不但需要企業內部的認可,同時還需要通過第三方發出自己的聲音,這就是我一直都非常鼓勵大家參加各種活動的原因所在,既可以了解別的企業的成功經驗,還能分享自己的心得體會。
第二,給予團隊成員充分的信任和發展空間。另外,企業安全中很多事情非常瑣碎,長時間忙於瑣碎的工作容易讓人麻木,因此可以內部定期輪崗,時常轉換下方向和跑道,充分調節員工的韌性。
適度的安全非常重要
在十幾年的網絡安全生涯中,蔚晨最深的一個感悟就是「安全一定要適度,一定要在投入成本和產出效果之間取得平衡,世間不存在絕對的安全,極端的理念對於安全而言本身就是極端的錯誤」。
舉個簡單的例子。
比如我們要造一艘戰艦,為了確保它不會被敵人輕易地擊垮,我們會在戰艦上面加裝各種各樣的裝甲、防護措施和探測工具,讓它能夠活的更長久。
但是不要忘了,活下來並不是它的最終目標,作為一件武器,它的作用是攻城略地,在戰爭中打垮對手。企業也是如此,信息安全系統的最終目的是為了更好地發展業務,幫助企業儘可能地擴大營收,賺取更多的利潤。
所以安全一定要適度,萬萬不能為了安全而去安全,不顧及企業的實際情況而盲目投資,上線各種安全設備和措施。
而適度安全的另外一層意思是,安全沒有一個標準的樣子,一定要符合企業自身實際情況,決不能簡單的照搬照抄。比如A行業的某個成功案例不一定就適合B行業,事實證明,每一個成功的安全方案都是針對具體企業量身進行打造,根據企業現有的安全設備、安全體系以及面臨的問題給出的最優解。
適度安全最後一層意思則是,了解高層領導或者企業對於安全的真正訴求。一般來說,高層對於安全的期望和訴求直接決定了安全未來的發展。
簡單來說,有企業高層的支持,了解業務的訴求,則事半功倍;不契合業務發展訴求的安全,則事倍功半。
總的來說,適度的安全對於企業來說非常重要,不管是哪種形式的過度安全,最終的結果都是把拖累業務發展,最終還是害了自己。
大數據安全和安全大數據
而當蔚晨提出這個有意思的理念時,筆者稍稍愣了愣神,這兩者難道不是同一個概念,不過很快他就解開了我的疑惑。
隨著大數據分析技術的發展和應用,數據的價值逐漸提升,金融企業自然也希望通過對數據進行二次營銷來增加企業的利潤。這也是時代發展的必然趨勢,也是企業信息技術支撐的有力體現。
和10年前相比,目前數據使用的頻率大大提高,涉及數據流轉、處理、分析、建模和用戶畫像等多個環節。同時,不少企業還會引入內部數據、外部數據和第三方數據共同進行分析,將數據的價值最大化。
「這裡面就產生了一個問題」,蔚晨說到,「網際網路網上的黑灰產也知道了企業的大數據可以賣大價錢,於是也盯上了這塊肥肉」。
於是數據安全就被提上了新的高度,慢慢成為業務的主動訴求,不再像以前一樣僅僅是被動的合規要求。隨著數據的價值越來越大,數據在業務流程中的防護訴求也越來越高,數據防洩漏、防篡改等各種數據防護手段逐漸加入,最終形成全生命周期的閉環。
這就是大數據安全。其實是企業為了挖掘數據的價值而把大量的數據集中在一起,並且保證這些數據的安全性。
接下來再說說安全大數據。為了保護大數據的安全,所以企業必須要上線各種安全設備和各種處理措施,而在處理大數據的過程中又產生了新的、安全類的數據,比如網絡流量、系統日誌、防火牆配置策略等,當安全類的數據積攢到一定程度時同樣也變成了大數據,因此稱之為安全大數據。
很明顯,大數據安全和安全大數據兩者相輔相成,若是能夠將兩者進行打通,將可以有效提升大數據的使用和防護水平。
後記
十七年的陪伴,蔚晨和網絡安全之間的偶然(緣分)具體如何似乎道不清說不明,只知道網絡安全在國內剛剛形成概念,蔚晨就選擇了它;而當蔚晨想要偏離這個方向時,它又總是伸出手一把給拽回來。
而面對人人色變的壓力,蔚晨卻似乎並不放在心上。在他看來,一個紮實的理論基礎,一個不鬆懈的學習態度,就足以把圍牆砌起來。接下來要做的就是不停的檢查、防護、維修你的圍牆,並把它當成自己的立身之本。
說到這裡,蔚晨笑了笑,「如果這些都做好了,不敢保證百分百安全,但是晚上一定可以睡個好覺,沒有什麼壓力是睡一覺不能解決的。」