人物 | 王晶晶:守望相助,安全不能被“卡脖子”

资讯 作者:安在 2023-01-30 19:11:02 阅读:230




据教育部最新公布的数据显示,到2027年,我国网络安全人员缺口将达327万。


“确实,我也觉得安全人员不好招,物以稀为贵嘛。行业内确实有很多大牛,一般人请不起。但很多时候,也有部分应聘者的能力一般,却动辄就要求几十万的年薪,这个信息安全行业陷入一种怪圈,招聘者普遍反馈合适的人找不到,不好招,但求职者却又在抱怨招聘者薪资给不起,错配严重!”王晶晶语重心长,对行业未来有着相当的担忧:“所以我建议,不要太频繁地跳槽,你得先有些积累,多在企业里沉淀个三到五年,真正地去学到一些技术,服务器、操作系统、网络、安全基础、攻防、区块链,甚至物联网,等你真正具备价值了,再去名副其实地提出要求,这不管是企业还是行业都会欣然接受。而不是像现在这样‘趁火打劫’,仗着安全逐渐被重视,安全人才奇缺的当下,去提过分的薪资。市场的正向引导是很重要的!”


这便是王晶晶在访谈中强调的,行业需要维持健康的生态。同时为了更好的相助于业内,他提出,安全业可以多做线下交流,比如多组织一些安全的实践群,多举办一些安全的研讨会,大家可以聊聊行业的发展和现状,各自企业遇到的实际问题和应对,这对彼此的就职、学习、提高都有极大的帮助。


不得不说,王晶晶此等建设性的提议和安全新媒体的宗旨不谋而合,双方都有股“为安全业建设文化圈子”的冲劲。而访谈正是在这样的氛围下,拉开了序幕。



(王晶晶,某证券公司信息技术部副总经理)



01
初次接触计算机,很奇妙


时间回到了2002年,很遗憾,即使经历了没日没夜焚膏继晷的高三,王晶晶的高考还是发挥失常了。抱着“宁为鸡头不做凤尾”的初衷,王晶晶选择了西安电子科技大学。他表示,这是所211学校,虽然不是985,但它有着自己的特色,它的通信和计算机专业是国内首屈一指的。

2004年,全国示范性软件学院刚成立不久,国内要大量推动软件产业的发展,软件工程便自然而然地从计算机体系里剥离而出,而西安电子科技大学也紧随局势,成立了自己的软件学院,并开始在校内各系招收学员,王晶晶正是在这个时间点,踏入了软件工程专业,从此与计算机结下不解之缘。

对于在大学之前从未接触过计算机的王晶晶来说,似乎也只有一句“学好数理化,走遍天下都不怕”的口号是他从小到大的指引,所以一直以来只投身于数学竞赛、物理竞赛的王晶晶,对“计算机市场”并未有过预期,甚至可以说对“将来要干啥”没有任何概念,直到他真正接触到了电脑,接触到了计算机,接触到了网络。

“你知道DOS操作系统吗?就黑屏白字、黑屏绿字的那种,你能想象之前从未看到过、接触过计算机,但突然间有个玩意儿可以让你操作、让你编辑的奇妙感吗?你可以编表格,可以输入文字,可以画画,还可以将这些内容存到软盘,这对我来说是全新的世界,和纯理论的算法、数据结构完全不同。于是我想,计算机可能是属于自己的未来。”

在高规格、高配备的学习环境下,经过计算机原理、操作性原理、网络基础的系统性学习,王晶晶对应用计算机的兴趣越发浓厚,但他提到,虽然大学里的计算机专业都会涉及到关于“安全”的章节,但对于大多数学子来说是没有具体概念的,更多的只是理论知识。

“好比熊猫烧香,当初我们学校很多计算机都中招了,连图书馆的机房都中了,那这是不是关乎安全?但也只是停留在病毒的概念,最多也就是让人们觉得‘原来网络也是不安全的’,‘原来虚拟世界也是有安全这个说法的’。从那时才知道有杀毒软件,才会去网上找各种免费的杀毒软件,而真正的信息安全远不止如此,它是具备体系、具备规模,并同时能影响虚拟和现实世界的。”


02
刻骨铭心的回忆


2006年,成功通过笔试和面试的王晶晶来到了某大型科技公司,当初在他面前有三个选项:软件开发、数据分析、操作系统和网络。想对操作系统一探究竟的王晶晶毅然而然选择了第三项,于是他便来到了基础架构部主要负责操作系统。

没想到的是,这份工作极其枯燥,用王晶晶的话来说,就是每天都在建用户、删用户,要不就是改权限,更新资产清单。而其中最不能让他理解的就是每个季度都要给几百台的小型机打补丁,这意味着两件事:其一是所有业务要暂停,因为系统要重启;其二是如果业务不暂停,就要等到晚上11点后才能打补丁。


“真的很累人,几百台小型机,基本上一个季度刚打完,下个季度的补丁又来了,这周打三台,下周打五台,再下周打八台,不久后又是一个轮回。我当时就提到,这系统这么稳定干嘛每季度都要打Patch,又要暂停业务又要加班的。那时候我只知道这是审计所要求的,现在才明白,原来这就是所谓的关乎于‘安全’,怪不得当初每次打补丁都先找不那么重要的机器,因为我们也不知道新补丁安不安全,只有等这些测试机安全了,才能打在关键的机器上。”

笔者问:“在这段工作期间有无什么宝贵的经验?”王晶晶答:“从啥都不懂的毛头小伙子,变成了了解流程、了解操作、了解实际系统的职场人,对我来说有太多的成长,而其中最让我刻骨铭心的回忆,就是让我知晓了何为规范。”

2008年底,业务部门要求在小型机上建一个关于呼叫中心的用户,而仔细的王晶晶恰恰发现其中一个应用系统的用户不规范,其家目录和用户不同名,于是好心的他就将其改了,没想到这一举动引发了大问题:大型科技公司刚建没多久的呼叫中心,因这突然而来的权限变更,使得系统无法再正常使用。

经过各种补救,系统虽然恢复了常态,但公司的追责不可避免,王晶晶被带到了风口浪尖。面对“为啥要改动”的问话,王晶晶提到了不规范,而当他面对“为啥不请示就改”、“有没有人让你改动”的问话时,他陷入了沉思:唉…变更、改动时要具备的流程意识,多么痛的领悟啊。

“现在回想起来,我觉得应该算是好事,过去不成熟时一直挂在嘴边的意识、流程、标准,不经历实事其实根本没这概念,没有这惨痛的教训能记住吗?这就叫事教人一教就会。从那以后,无论什么流程,我都会重视审批二字,一定要做到向上级确认,即便很多事你觉得理所当然,也一定要经过领导的同意,因为他们的经验更多,可以看到你所看不到的风险点。”

除了此事外,另有一件发生在他人身上的事也让王晶晶“获益匪浅”。一负责代码的同僚,在大数据中心切换生产环境和开发环境时,不小心将生产环境里的数据库删了。不同于开发环境,开发环境是程序专门用于开发的服务器,配置可以比较随意,为了开发调试方便;而生产环境是正式对外提供服务的,一旦出问题就有严重的后果。

因为被这极大的恐惧所笼罩,该名同僚非但没有及时补救,而且还执行了一系列“自作聪明”的毁证行为,他清空了系统后台的日志,连登陆日志和系统操作日志也删了,之后还伪造了一个登陆痕迹。

“本来第一时间正常地处理这事,不会有多大的影响,因为我们公司整个备份体系是很完善的,数据库每天都有备份,可以随时弥补,半个小时就搞定了。但就因为他的这种逃避处理方式,导致很多人力、物力都白白消耗了。”

王晶晶说,最后还是通过“物理方式”排查出来的,从拥有权限的五个人里,去除开会的、不在公司的,最终证明只有这位同僚有机会操作系统,结局当然也免不了劝退处理。王晶晶表示,此事在当时那个年代里尤为震撼,给许多人带来了警示,也让企业看到了“安全意识”的培训有多重要。


03
物理隔离才是最好的安全


2009年,王晶晶来到了某生物医疗企业,担任IT基础架构部项目经理一职。相比于拥有数千号IT人员的前公司,该企业的IT团队就只有十余人,所以哪怕作为一名项目经理,王晶晶也是“事必躬亲”,在IT部门几乎啥事都干。

而在医疗公司就职的这一年里,让王晶晶有所感触的是,对于医疗技术公司而言,其研发的安全性非常重要,重要到研发得有专门的IT部门,和王晶晶所在的IT部门是隔开的,而且姿态要比王晶晶他们高很多。


“医疗器械全靠研发,比如啥超声仪、血液分析仪,研发出来都是卖钱的,所以也不怪他们昂头挺胸,能为公司带来利益的部门一定不同凡响啦。这就是两条线,我们是公司的中后台,用的是内部办公网络,他们是业务相关的前端,用的是研发专网。”

王晶晶解释,从安全角度来看,医疗器械一定要做到隔离管理,因为知识产权对他们而言是最重要的,而最好的隔离就是物理隔离,让研发网络单独存在,不与任何网络相连接。

王晶晶补充说,研发的IT部门里所有电脑的USB口都是封掉的,所有主机电脑都是加锁的。这是因为一款医疗器械的生产涉及到许多内容,物理、化学、数学、微电子、计算机、生物医学等等,数十门学科,所有相关的专家、高端精英人士要通过三五十年才能研发出来的医疗设备,若没有一定的安全保护,某个产品的所有图纸、理论、研究成果都会被带走。

“过去不常会发生这样的事嘛,一个研发总监带走一个团队,企业花八年、十年研发出的机器,被人换个logo就拿出去卖了,而且还没有任何研发成本,这就是物理隔离的逻辑所在。现在这样的安全管理是越来越严格了,因为哪怕物理隔离了,有人也会通过打印拿走资料。”

于是2010年时,“花一千多万做云桌面”这事又让王晶晶吃惊不已。当初的云桌面还未发展得很好,其上许多内容都是缺失的,连U盘、鼠标、键盘相关的都没有完善,但公司还是执意要在其上运行研发,不为别的,就只为两字:安全。

“有时候比起效率,安全更重要!”王晶晶对此深以为然,他说企业花了数年才研发出来的成果能轻易被人拿走吗?不能,所以当初改生物医疗企业放弃了效率,为的是让企业不用经受难以挽回的损失。同时,这些经历也加深了王晶晶对于安全的看法,原来企业真的需要为了安全放慢进度和步伐。


04
做人、做事、做秀


从医疗企业离职后,王晶晶来到了某金融机构,两年后他晋升为了主管,四年后成为了生产运维负责人,这六年的时间里,王晶晶从一名基层员工成长为了管理者,对他来说,也将过去管事的重心慢慢移向了管人。

“过去作为员工,要明确的是工作事项、流程、职责,方案之类的要清晰全面,不能出问题,更多考虑的是工作过程中的内容。现在作为管理者则不同,根本没有心思把精力都放在每一件事上,每天不是在开会就是在开会的路上,各种汇报,业务汇报、领导汇报、工作汇报、项目沟通汇报,能坐在电脑前处理审批的时间只有中午午休,要么下班之后。一天不看电脑,就是几百封未读邮件。”

王晶晶表示,从严格意义上来说,在该金融企业当科室经理时,才开始真正接触了安全行业,只是所管理的是运维团队有120号人,其下分为九个小组,而信息安全组是其中之一,5人左右。王晶晶说,以前自己的技术领域都是在小型机、X86服务器、Unix&Linux操作系统、存储备份、虚拟化这些方面,没有真正在安全一线摸爬滚打过(杀过毒、熬过夜、拔过网线等),从2015年走上管理岗位之后,才算和安全有了不解之缘,分管的领域包含网络安全、数据安全、信息安全等。

在金融机构工作的这几年里,王晶晶发现安全其实和运维同病相怜,都是投入的人多、钱多(当然是领导认为的)、事情多,却见不到明显的成效,说白了,就是投入产出比差。


“做得好,会认为是系统本身就没问题;一旦出问题,就会认为花了这么多钱,还有问题,你们是怎么做的? 导致工作的认同感比较差,远不如开发人员的岗位价值高。开发人员做一个需求,实现了一个业务功能,解决了一个业务痛点,效果就能很好地体现在业务层面。”

而安全岗位价值得不到认可,导致待遇比不上开发人员,工作认同感差,情绪易受影响,所以流动性也就比较大。王晶晶认为,这是一个行业的通病问题,而频繁跳槽其实并不能带来什么改变,反而会使安全行业所受的伤害更大。

此外,王晶晶指出,虽身处于强监管的金融机构,从上至下的领导们也都在口口声声反复强调安全的重要性,但投入却始终不见增大,工具、预算、人员配备等各方面都是缺失的,说明什么?说明仍旧不够重视。因为产出不明显,所以安全投入在整个IT预算里的比重就会小,看到公司基本没问题就得过且过,一定要出问题了,才会磨磨蹭蹭批点预算。

“就像打补丁一样,只会东一锄头、西一棒槌的去补安全架构,却不愿意做系统性、整体性的安全架构建设。都觉得安全涉及的领域太多了,什么物理安全、网络安全、开发安全、测试安全、机房安全、运维安全,甚至职场安全都能和安全扯上关系,所以哪儿都不愿入手。再者,安全的边界本来就很广,再加上投入小,所以出问题的概率很大,只是很多时候没发现而已。”

基于这种种现状,王晶晶不得不对底下传导这样的思想:做人、做事、做秀。既要埋头做事,也要抬头看路。要懂得和人接触,要会处理工作,同时也要会体现价值。

比如,王晶晶会让底下每周通过OA发个演练通报或者新闻稿,将期间安全的运行情况进行复述,表达自己是如何保障企业安全和运行的,只为向大家展示团队到底做了多少贡献,团队的价值究竟如何。 

在金融机构的这几年里,王晶晶还曾带领过团队和开发有过一次PK。某一天,通过安全监控,王晶晶发现交易系统相关的平台上竟能截取到客户们的明文信息,手机号、身份证、卡号,甚至密码,都是公开的,王晶晶立时就报警了。

“在互联网上传递明文信息,这被人抓到还得了?!而且这还不是黑客攻击,是自己内部出的问题,公司上上下下的领导都急了,这可是要丢乌纱帽的大事,于是我们马上报给开发,开发的老大亲自带队就下来了。”

经过众人火急火燎地分析,结果发现,原来安全监控工具被布置在了内网,只有内网能看到用户的明文信息,在外网是加密看不到的。王晶晶表示,此事给他带来的触动很大,他才发现原来安全需要讲究一套整体的方法论和合作体系,不是单单只靠一个工具就能实现的,需要做更多精细化的调整。


05
不会因为你“小”就放过你


2016年,王晶晶在机缘巧合之下,来到了某券商担任信息技术部副总经理一职,相当于创业了。他分管IT系统运行、基础架构和信息安全管理工作。 

“我们是小券商,安全投入非常少。今年我把安全规划都写好了,但因为成本问题没法落地,这不,正因为如此,我们不就被黑客攻击了嘛。”

印象中是前几年,系统管理员在系统巡检时,发现手机APP系统后台的某个文件存在问题,于是就把这事反馈开发商进行协查,开发商经过分析后发现,怀疑这是被黑客攻击了,文件被篡改了。

带着各种疑问,公司上下开始了彻底地查验,最后得出结论,此攻击要满足三个苛刻的条件,一是要用到软件里某个开源组件,二是此开源组件的参数设置要为NO,三是开源组件的版本需要小于某个版本。很遗憾,王晶晶他们公司正好满足了这三个条件。


最后,由于公司本身并不具备处理此攻击的经验,于是通过关系找来了安全厂商相助,最终才得以逃脱风险。王晶晶对此感叹:“我们是交易客户量如此小的小券商啊,这也能被盯上啊!”

对此,王晶晶告诫道:“这和攻防演练不一样,攻防演练是不会找你小公司的,因为攻进去也不能代表什么,没有意义。而现实中,比如勒索病毒,他们是不会管你公司体量的,他们在网上一扫描,哪些IP有漏洞就直接攻击了,就是用这种广撒网的方式来逼迫企业,总会有受不了掏钱的。所以不管你是大企业还是小企业,一定要注意企业的安全防护,落实基本的安全措施,否则不知道哪天就轮到你了。”


06
尾声


在对业内展望方面,王晶晶和其他安全同僚都有一样的观点,他说接下去国内一定会大力加强网络安全上的投入,这是必定的发展趋势,网络安全强国的宗旨必定会贯彻下去,这无论在国际形势还是行业领域里都是不可动摇的信念。

从实际出发,可以看到信创和国密改造都有着大量投入,这些都属于国家安全。“国家甚至在做着‘吃力不讨好’的事,投入增大,但响应很小,许多企业买了信创也不用,因为当下信创的生态环境太差,许多内容无法在其上建设,而且还会出现一大堆问题,更别说各种操作习惯了,这也不怪那些企业买了不用。但国家还是会不断推动,为什么?因为自主可控一定是正确的道路,国家是在为我们的未来做建设,让各位的未来不会再被其他国家‘卡脖子’。”

在成就方面,王晶晶认为,即使领导没能批下任何的预算,也要让他们认可安全部门的作为,要让他们看到安全部门的成绩和价值,这就足够了,因为至少能让多一点人重视起安全。

王晶晶说,安全这个圈子其实很闭塞,技术性太强,所以需要全行业共同的努力,这样在国家网络安全强国的大战略下,彼此都可以更好地提升信息安全行业的地位,可一起实现人生价值。就像王晶晶最后所呼吁的那样:“安全界的各位,我们要凝聚力量,守望相助,这样才能一起共创安全界美好的未来!”



往期精彩回顾



对话毕裕:永安在线“API安全”的价值论

人物 | 白玉堂:壮志略酬,返璞归真,最希望技术能发展得稳些

人物 | 日丰企业集团邵桂昌:“救火队员”的成长历程

END





齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接