人物 | 杜建荣:安全就是等待谜底揭晓的推理现场
阿加莎·克里斯蒂的人生也许可以说是一部神秘的推理小说,她在创作上百部优秀侦探作品的同时,也在编织着自己人生的“谜团”,等待几十几百年年后的某一天,有人能破解这个“棘手的案件”。
不仅仅是阿加莎,我们每一个人的人生,又何尝不是一次等待解谜-推理-碰壁-反思-再推理,最终或寻得答案,或将秘密深埋的过程。而在这个过程中,我们所经历的每一件事,也都可以用推理的视角来发掘它不为人知的密语。
作为一个热爱动脑,痴迷解谜,时常沉浸在密室逃脱中的人,杜建荣很乐于将每一次对安全事件的剖析、溯源,幻化成一场布满荆棘,充满挑战,却又难掩狂热的推理之旅。
而这段旅程,一行便是十年。
等号两端的安全和阅历
十年前,杜建荣还在乙方公司从事基础架构的工作,非科班出身的他并不知道网络安全到底意味着什么。一个偶然的项目,让他与网络安全产生了第一次的接触,也正是那转瞬即逝的回眸,在他的心中埋下了“自己属于安全”的念头。
只不过对安全感兴趣很容易,但决心做安全却很难。即使时至今日,网安人还在为证明自己的价值而苦苦挣扎,更别说在那个大部分企业都不重视安全的环境下,选择安全这条道路,就意味着要承担高昂的沉没成本。
但杜建荣却不这么认为。在他看来,虽然安全技术会日新月异,安全产品也在持续不断地更新迭代,但对于一名安全从业者,尤其是安全管理者来说,资历和经验反而更加决定了他的视野和价值,才能够更及时、更准确地判断网络安全的前沿趋势和潜在风险,才能够在企业安全建设上更加成熟稳健,才能够在安全从业的道路上走得更远。
与此同时,来自外部网络攻击的趋势越演越烈,互联网化和移动化的大势所趋也让杜建荣坚信网络空间必将面临越来越多的威胁,网络安全终将成为每个人、每个企业乃至全社会都必须要重视和正视的命题。越早积累相关经验,就能够在未来获得越多的机会。
因此,他最终决定,要站到这条赛道的前端,一睹网络安全真正的风采。
从乙方公司离职后,杜建荣开始潜心学习网络安全的专业知识,只不过他的这段学习经历和其他人有所不同,并不来自于书本,而是一次从0到1的企业安全建设。
他告诉我,尽管自己丝毫没有网络安全的相关经验,仅仅只是凭借着一腔干劲和对于网络安全的憧憬,但他依然非常幸运地被一家外资企业所赏识,并被委任了承担该企业在中国本土网络安全建设的重任。
简单来说,这家企业在国外本部网络安全建设已经非常成熟,甚至包括框架、制度、流程和理念等在内,都与今天的GDPR如出一辙。尤其围绕数据安全,更是走在行业的前列,在网络安全建设上投入了大量的成本,形成了非常完整且成功的体系。
而杜建荣要做的,就是将这一成功的案例,原封不动地复制到国内,再依据国内的业务场景和现状,进行本土化的改造。
正是在这样一次“复制粘贴”的过程中,让他彻底看清了企业安全建设的全貌,对如何从0到1,从无到有地在企业内部搭建网络安全框架有了完整且成功的认知。正因如此,杜建荣从一个初出茅庐甚至还不具备网络安全专业知识的“菜鸟”,在极短的时间内完成了自我的成长和蜕变。
他坦言自己是幸运的,因为对于刚刚决心踏入安全行业的他来说,方向的选择和学习的重点一定会充满迷茫和试错。但他却在亲自见证、参与甚至主导一个庞大的网络安全架构平地而起的过程中,极其快速地积累了专业的技能和知识,形成了自己在管理上最宝贵的经验和能力,树立了他的信心,更坚定了他要一路走下去的念头。
自此,杜建荣正式开启了属于他的安全人生。
人是安全永恒的命题
在那个国内对于网络安全还没有足够重视的年代,杜建荣能够在一家企业内部从0到1地实现一次网络安全建设实属不易,即便那只是一次对于国外成功案例的引进。但这却并没能给他带来事业上的成功,因为对于一名安全从业者来说,安全工作的成果如何量化一直以来都是难以解答的“灵魂命题”。
杜建荣告诉我,由于企业内部并没有建立安全的相应指标,安全体系的建立更像是一个概念和名词,仅仅只停留在表现,并没能很好地让安全工作的价值在企业的发展中得以体现,而他存在的价值,似乎在很长一段时间里也只是一名成功的“搬运工”而已。
不过,就像是存在于时间轴上的蝴蝶效应一般,安全体系的建立实际上一直都在潜移默化地影响着企业的变迁,只是需要在适当的时候触发,就能够让它的价值得以倾泻。
杜建荣清楚地记得,由于安全建设的不足和安全意识的缺失,国内企业在一段时间内频繁发生安全事件,病毒感染率也一直高居不下,包括他所在的公司,也在很长一段时间内高频率地发生安全事件。
但在安全体系建立之后,杜建荣杜建荣明显地感受到安全事件的响应速度得到了极大的提高;而通过员工安全意识的培训,企业内部因人员操作不当而导致的安全事件在极短的时间内降低到了非常理想的水准。
安全事件的明显减少让企业内部对网络安全工作有了重新的认识,也让大家开始认同网络安全的意义和价值,这也是第一次,杜建荣在自己的安全生涯中,收获了存在和成就。
得益于这段经历,杜建荣总结出了两个观点:一是网络安全要遵循“木桶理论”,只有找到企业安全建设中最薄弱、最需要补足的短板,才能够让安全的水位得到提升。
二是人对于网络安全来说非常重要,安全意识才是永恒的命题。企业的安全建设不仅仅只是体系和制度的打造,因为再好的制度也需要有人遵守,再好的体系也需要人来执行。而对安全的强烈意识和深刻认同,才能真正发挥网络安全建设的价值,才能让企业整体的安全能力得以提升。
从2011到2017,杜建荣在这家外企坚守了整整六年。这是对于他的安全从业影响最大的六年,也带给了他无数美好的记忆和最宝贵的财富——阅历。他从一个初出茅庐的“菜鸟”,成长为了真正能够独挡一面的安全管理者,用他自己的话来说,那就是“对安全有了理性的感知能力,做安全变成了一件不再复杂的事情”。
在之后的几年时间里,他又先后去了几家甲方企业,涉猎了金融、互联网等领域。他会有意选择一些处于网络安全空白期的公司,将自己积累的阅历和成功的实践带入到这些公司当中,帮着他们快速地将迫切需要的安全体系从无到有的搭建起来。
在他看来,只有这样,才能够在网络安全越来越重要的时代面前做好充足的准备,才可以从一家企业发展的整个生命周期中让安全成为一种原生的能力,时刻伴随并保护的着企业的成长,才能够让业务更加平稳健康地运行,才能够在威胁来临之前,更加从容,更有安全感。
有关安全前沿的思考
杜建荣当前的工作,是负责一家保险企业的云上安全,参与这家企业云上安全体系的设计、规划和落地。他告诉我,公司目前还存在不少本地化的应用,因此制定了五年规划,力求在这个时间里实现本地应用的全部上云。
和其他人有所不同的是,杜建荣对于上云抱有着非常认可的态度,他认为云上比本地更加安全。他告诉我,因为金融行业强监管的特殊性,从一开始就选择了以四级等保标准建设的行业云,不仅平台本身具有非常强大的安全属性,同时也能够更好地满足合规的要求,风险更加可控。
因此,所需要解决的只是上云过程中遇到的安全问题,并提前在云上做好合理的安全规划。这样一来,云上的安全风险就会远比本地小的多。
在这个过程中,安全建设的难点主要在于人员权限的配置、云上安全产品的选择、安全配置项的设置以及在跨云场景里安全制度的落实合保障。当解决这些问题后,他也开始着眼关注新的安全问题,并准备开辟新的安全战场。
从去年年初特殊的社会环境开始,移动化和碎片化成为了大势所趋,基于API的方式成为了系统之间交互的主流,API和移动端逐渐产生了新的安全问题,也成为了杜建荣未来重点关注的方向。
他认为,只要API的渠道更加健全,加以权限的控制,会比以往的交互方式更方便、更可控,也更容易进行隔离。在他看来,只需要搭建一个统一的API网关作为系统之间交互的桥梁,就能够将系统之间完全分割,实现良好的东西向隔离,做好访问控制。
对于移动端安全,杜建荣表示十分重视,尤其是当前业界对于移动端安全的讨论和关注度并不多,这让他对未来移动端安全产生了更多的担忧。
他给我打了个比方:当一款APP被攻击者篡改之后,开发者是否还能够访问该APP的后端?假设遇到这样的问题,数据应当放在移动端还是后端?如何保障数据传输过程中的安全?
如果数据放在移动端,应该用什么方式加密?密钥又该如何保管?与此同时,如果用户的设备存在越狱的情况,导致其他应用也可以接触到该APP的机密数据,那此时又该如何对数据进行保护?
种种这些疑问都是杜建荣所关注到的移动端安全当前存在的风险。但大部分的安全工作者依然把视野和关注度集中在传统安全上,尽管当前也有许多专门面向移动端安全的产品,但无论是产品功能,业界的重视程度以及保护力度,都还远远不够。
所以他希望自己能够主动关注到API和移动端的安全当中,也希望能够有越来越多的安全从业者加入进来,一同探讨网络安全更前沿的未来趋势。
先站起来,再富起来
回望十年的安全从业,杜建荣的经历虽然并没有波澜壮阔,但也亲自参与、建立并见证了许多个企业网络安全从无到有、从0到1的过程,并且在我国网络安全事业发展最为蓬勃的十年里收获了自己的阅历和成长。
每一段经历都带给他深刻的回忆,而无数个深刻的回忆,让他从初见安全、初入安全、融入安全再到如今真正地扎根安全、坚守安全。杜建荣的名字,也永远地刻上了“安全人”的烙印。
图为杜建荣考取的网络安全资质证书
在这十年里,他深切地感受到了网络安全技术和威胁的变化。随着安全工作的左移,每个企业都需要更加重视开发安全,事实上已经有成熟的最佳实践开始将安全的能力融入到项目开发的流程中,完成了从开发上线到安全上线的转变。
与此同时,安全也进入到了联防联守的阶段。就像“木桶原理”一样,不能只局限于某一个点,而是要通过各个节点各种安全工具联防联守的配置,实现整合,才能够最大化地发挥安全建设的作用。
站在十年的节点上,杜建荣再一次庆幸并感谢自己曾经做出的决定——从事安全。因为在他看来,如果自己选择留守在当初的岗位,今天或许已经成为了一名光鲜亮丽的顾问,拥有更为丰厚的收入。
可这真的是他想要的吗?答案显然是否定的。
如果自己当初选择成为一名程序员,那么今天就可能正在经历着裁员和中年危机。因为在后起之秀的冲击下,年龄会成为自己最大的阻碍,当青春的余温褪去,留下的或许只有鲜有人欣赏的阅历。
所以,杜建荣感谢安全这个并不高傲的行业接纳了自己,包容了无数个像他一样的年纪,尊重了一个人经历岁月和时间考验所积累的弥足珍贵的经验和阅历,给予了每一个人在任何年龄段平等展示自己的舞台,实现自己的价值。
杜建荣深知,作为一名安全工作者,也许没有发生事故就是安全工作最好的价值体现。但他并不会感到沮丧,因为他曾经切实地感受过企业经历安全建设后所产生的的明显的变化,这个变化不仅让其他人养成了安全的意识,也对企业的发展产生了非常重要的意义。
所以,这就是作为一名安全工作者使命感和成就感的来源。也正是因为这种强烈的使命感和责任感,才让杜建荣明白,即使安全是一条永远难以证明自己的道路,即便安全永远无法成就自我,但他依然愿意在业务这条长矛大放异彩的时候,默默地成为企业发展最坚实的后盾。
我们总说“要先站起来,才能富起来”,安全也是一样。杜建荣坦言,安全行业当前依然面临人才极其短缺,攻守非常不对称的局面,究其原因,还是在于很多企业甚至很多行业依然没能真正重视安全,投入安全。安全还只停留在表面,停留在政策,领导人的一句话,一个概念,甚至是一场资本的狂欢。
但只有对于安全的重视真正能够在每个人的意识里先树立起来时,安全行业才能真正实现健康快速的发展,才能够富起来。网络安全才能够成为保护个人、企业、社会乃至国家发展的重要基石,而不是狂欢散场,幻灭在天际的泡沫。
写在最后
闲暇之余,杜建荣很喜欢桌游和密室,他非常喜欢从每一个细节进行推理,抽丝剥茧最终发现真相的过程,而安全就是如此。所以就像文章开头所说的那样,安全就是他最大的热爱,而他的热爱就是安全。
对于未来,他认为学习是一个人亘古不变的目标,他希望自己能够在打磨自己安全能力的同时,以一种顾问或咨询的方式,无偿地帮助更多安全处于空白期的中小企业用户,将他对安全建设的丰富经验和成功实践一一地复制过去。让这些企业可以不再重蹈自己踩过的坑,让安全贯穿始终,时刻陪伴着企业的发展和成长。
下一个十年的旅程,杜建荣正在路上......
推荐阅读
人物 | 张殿勇:事事真何,人间清欢
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 勾股后台开发系统轻量级极速后台开发框架
- Pwn零基础入门教程,下一匹CTF黑马就是你!
- “拯救 Linux 桌面”的 Valve 给开源开发者发薪资!
- 月费 19 美元,GitHub Copilot 企业版上线,你乐意买单吗?
- 大型机操作系统与残留到现代的古老技术
- 这些人用华为手机的镜头造了一个梦
- 有自带Buff的专属摄影师是种什么体验?
- 诸子笔会2022 | 王忠惠:安全没有神秘感,但处处是错觉
- 在Z|德国电信咨询中国区(高至35K/月14薪)诚招安全策略及治理高级咨询顾问
- 最弱密码排行榜,肯定有你曾用过的
- Python 之父:移动设备中的 Python 应用“又大又慢”!
- 张一鸣讽刺“互联网八股文”;苹果官宣 6 月召开 WWDC;华为 MatePad Pro 2 入网 | 极客头条