撰稿
狗哥
编辑
图图
“人生不在于你打出多重的拳头,而在于你能承受多大的打击并继续坚持下去。”
夏末之时,笔者拜访了光大证券信息技术总部首席安全官刘嵩,一番畅谈足足三四小时。时隔许久,笔者依旧记得刘嵩提及上述这句话时的神态表情,宛若一个阅尽千帆、却依旧纯良的少年,虽已有华发,但性情之中未曾沾染半点沧桑,始终满身坚毅,满怀热情。
此次拜访,也是笔者迄今为止,最为轻松的一次。宛若两个久别重逢的老友,不但聊了安全诸事,还畅叙了天南地北、古今中外,可谓大开眼界、获益颇丰。
而开头那句励志之言,乃是刘嵩引用年史泰龙主演的《洛奇》电影中的一句台词,原词是“Itaintabouthowhardyouhit,Itsabouthowhardyoucangethitandkeepmovingforward”,或许这恰如他学习和工作一直以来的心性写照,用他自己的话说,他是一个“攻击性不强但承受力较强的人”。
笔者亦有同感,无论是工作还是生活,身为男儿,大多时候理应是默默承受。只是这种承受,并非逆来顺受,而是肩负起一种使命,撑起一片天空。
踏入安全领域源自对打字感兴趣
刘嵩是一个“80后”。犹记多年前,“80后”还是新生代的代名词,寓意着年轻与朝气,然而今年的刘嵩,已经到了不惑之年。
但是实际上,笔者在见到刘嵩第一印象,他还是个三十出头的小伙子,年富力强,朝气蓬勃,完全没有世俗眼中不惑之年的暮气沉沉与老气横秋。
听到笔者的溢美之词,刘嵩微笑地摇了摇头,指着自己的头发说:“你看我现在,已经有了许多白发。其实我三十六七岁的时候,头发还是乌黑乌黑的,只是最近几年,一下子突然白了许多。”
确实,时光可以轻易改变人的容貌,让“青春永驻”永远是一种奢望,但是,藏于灵魂深处的本性,却可以抵御时间的消磨,依旧纯良如初。
年,刘嵩就开始接触计算机。那年,微软已有windows系统,电脑还是稀有物件,电子游戏还是像马赛克一般的粗线条,装个系统,还需要十张左右的软盘。计算机内存才以几十M来计算,而硬盘存储,1个G就已经是海量空间。
也正是那一年,微软(中国)有限公司正式成立;建在中国教育和科研计算机网(CERNET)上的水木清华BBS正式开通,成为中国大陆第一个Internet上的BBS。
可以说,刘嵩是较早接触计算机的80后,也是从枯燥的打字开始学起。为此,刘嵩报了一个五笔打字培训班。
于是,刘嵩迈进了计算机与网络大门,从此一发不可收拾。他接着又学习CCED、WPS、DOS操作系统等,没老师教,他就自己买书自学,如痴如醉,乐在其中。产生浓厚兴趣是从95年DOS版仙剑奇侠传开始的,那时候没有自动化调试工具,刘嵩就通过研究摸索,使用Debug进行手工修改游戏配置增加功力和物品,不亦乐乎。
年,刘嵩就深入开始接触安全相关的东西,针对单机版病毒进行深入研究,尤其着迷于硬盘引导型病毒和BIOS病毒。这些东西并非在学校里学到,而是从各种书籍中自学总结。从那以后,刘嵩脑海中就有了计算机与网络安全的雏形。
到了年左右,刘嵩就开始从事一些网络安全相关的工作。此时他还在上大学,安全工作多为兼职,基本上都是利用周末的时间,做的事也都是一些单机本地化的工作,比如查杀病毒、恢复系统等。
年,刘嵩大学毕业踏入社会之后,当许多同龄人还在茫然四顾的时候,他的目标十分明确,就是要做网络安全相关的工作。因为他不但对此有着浓厚的兴趣,而且还有多年的经验积累。
但是刘嵩也深知,那时的网络信息安全尚处于萌芽阶段,工作机会不是很多。所以他毕业后一直做培训讲师,但也一直寻找自己有兴趣的岗位。
年,刘嵩加入了北大青鸟APTECH培训机构,担任高级安全讲师的职责。在北大青鸟,他主要讲信息安全,很多求学者往往是第一次听到网络信息安全的概念,对于新知识,大多人听得如饥似渴,让他产生了莫大的荣誉感与使命感,更为加深了他对信息安全工作的喜爱。
年,刘嵩转去了慧聪网,担任网络安全主管的职位。
年,刘嵩又加入网御神州科技安全公司,担任安全经理的职位,主要工作是做渗透测试。工作期间,他又接触到了安全更广阔的空间,觉得自己的见识还是有些狭隘,为了能跟上安全的发展步伐,在网御神州工作期间,他又攻读了北京经贸大学的在职研究生,并成功拿到硕士学位。
年,刘嵩机缘巧合之下,加入了光大证券。此后十一年,刘嵩便勤勤恳恳,发光发热,见证了光大证券网络安全从弱到强的过程。
在光大证券十一年如一日
加入光大证券,确实是机缘使然。当时刘嵩在乙方工作,年正值北京奥运会,刘嵩担任奥组委安全顾问,从事奥运网络安全保障工作。那年刘嵩也正好同时给光大证券做信息安全项目,双方合作久了,刘嵩就对光大证券的信息安全工作有了兴趣。
正好,光大证券也看中了刘嵩的信息安全服务和保障能力。经过一系列协商之后,刘嵩几经权衡,决定正式加入光大证券。
初来乍到,刘嵩并未像其他新加入者一样对工作感到陌生棘手,反而轻车熟路,很快上手。这主要得益于先前刘嵩给光大证券做过很多项目。
不过,虽说上手不是问题,但彼时光大证券做信息安全的专职就刘嵩一人,所以等于要白手起家,从零开始。
“那时证券行业对信息安全还不算重视,基本上没有信息安全专职人员,好多公司都是兼职,就算是大公司,也多为网络运维人员兼管安全。而且上海这边的安全公司也没多少家。我当时来光大证券则是专职做信息安全,说明光大证券那时就已经开始重视信息安全。”
刘嵩很实诚地说,光大证券网络安全团队的组建,他虽然出力不少,但非他一人之功。即随着网络安全工作的越来越多,他一个人忙不过来,自然而然就慢慢增加人手。
刘嵩也坦率地称,大型企业往往不适合个人英雄主义,因为大量工作,都并非一人之力可以独立完成,而是需要彼此通力协作,共同完成。
所以,刘嵩在光大证券的十一年来,他几乎很少有波澜壮阔的个人举动,大多时候,他都是勤勉踏实地做好网络安全各项工作,同时适当地追求创新突破,以免对网络安全的稳定性产生负面影响。
因此,刘嵩觉得将他这十一年来(年-年)所做的工作,简单梳理一下即可,无需浪费太多笔墨去讲述。毕竟网络安全工作以稳为主,兵出险招、剑走偏锋等动人心魄的套路,往往极少用得上。
以下便是简要梳理的刘嵩十一年信息网络安全发展工作历程:
网络安全防护建设初期阶段(~)在合理规划网络设计,监控主机及终端,保障业务系统安全稳定运行的同时,制定基本的安全管理制度,满足监管的各项合规要求,达到信息安全防护的基本要求阶段。
网络安全体系化建设完善阶段(~)通过对信息安全技术和管理体系制度化建设,将各项安全防护策略及安全防护手段落于规范,将安全基线、审计、事件、应急管理等工作落于流程,将用户安全、基础安全、应用安全、数据安全落于架构,将组织保障、安全方针落于制度,从而全面的从制度流程规范完善安全体系建设。
被动防御向主动防御转型阶段(~)通过源代码审计、威胁情报、移动威胁态势感知等项目的建设,在不断提升我司网络安全防护水平的同时,在开发、运维等各个环节构建纵深防御体系,增强信息采集能力,提升整体安全感知水平,进一步的将我司的防御体系从被动向主动转型。
近几年来,随着工作经验的积累,以及博采众长,刘嵩也逐渐对网络安全形成了自己独特的见解,完成了多篇论文和文章的撰写与发表。
自年至今,刘嵩已在《交易技术前沿》、《金融电子化》等刊物上,发表了十余篇论文。一字一句,皆是他深刻的工作学习结晶。如《移动证券交易安全风险防护实践》、《互联网金融安全探析》、《证券行业移动应用安全技术分析》、《浅谈移动安全感知平台在证券行业的部署》等,可见在证券行业移动应用安全技术、感知平台、安全建设等层面,钻研颇深。
前些年,刘嵩在安全工作上成就颇多,也是因为责任更大之故。随着公司安全团队组建完善,领导决定将网络与安全合并,统一交给刘嵩负责。
事实上,一直从事安全工作的刘嵩,在最初负责管理网络工作时,压力很大。
“其实做安全的人,对网络这块并没有那么深入。然而网络产品的一些选型、网络优化,包括网络人员的工作安排、事件处理等,都需要向我汇报,然后再做决策。此外网络工作还要做网络故障的排查,因为任何业务都与网络相关,比如业务突然出现闪断,跟安全关系不大,但网络就得排查,是网络设备的问题,还是应用的问题?很多都需要我慢慢学习,慢慢摸索。”
最近几年,刘嵩也常感觉到安全工作比以前压力更大。因为证监会对证券行业的要求越来越多、越来越严。国家网信办在安全层面,监管力度也很大,光大证券每年都要接受各项网络安全检查。
这两年一直都有监管单位的检查,但都圆满完成。去年刘嵩代表光大证券,获得了中共上海市委网信办评选的“年CSO首席安全官”荣誉。
当然,刘嵩获得的殊荣也不仅于此,远的不说,年带领网络安全团队参加了中国网络安全技能竞赛ISG(ISG竞赛由上海市网信办作为指导单位),获得上海市证券行业组的第一名,并在总决赛中获得了铜奖。
其实,在这些荣誉与光芒的背后,刘嵩付出了大量的精力和无数的时间。
光大证券对网络安全特别重视,,有责任就会有压力,但刘嵩可以做到一丝不苟,严谨务实,这与他的性格有关。
“我早期是做技术的,有些技术人的一些特性,比如内敛、专注、独立等等,基本上没什么娱乐活动,下班就回家,偶尔健健身,不喝酒不抽烟,这些特性恰恰让我做安全管理工作时,比一般人更加细致耐心。”
工作感悟:必须要善于并及时汇报工作
刘嵩觉得,网络安全与很多业务系统有着千丝万缕的联系,如何平衡业务发展与安全的关系,他也一直在摸索。
随着不断推出新业务,各个部门的会议也会剧增,并且经常几个部门拉在一起开会讨论,讨论项目要怎么做,到底安不安全,网络安全如何实现,怎么规划业务与安全的内容……
“我发现,往往技术问题其实都不是问题,大部分都是沟通的问题。不同部门之间需要沟通,但不能把时间和精力全浪费在沟通上,有时还会遇到表述不清的情况,很容易拖拉时间、耽误进度。所以,怎样化繁为简?我摸索了许久,最后决定,我把我要问的问题,浓缩为几个核心问题,把这几个核心问题问一下,把握住几个核心点即可。同时也要求对方这么操作。如此一来,大大提升了沟通效率,不必在琐碎的事情上浪费时间,还提高了大家总结核心问题的能力。”
此外,刘嵩说他们面对的网络安全厂商非常多,在采访时,并且还有人不断打电话过来,推荐一些安全产品。
换做别人,肯定会感到厌烦,但是刘嵩则不会,反而乐于去了解一些可能适用的网络安全产品。
“我希望多了解一些安全产品,掌握安全产品的最新状况动态。因为安全总会面临各种新问题,往往某一套安全产品并不能包治百病。一旦你遇到新的安全问题,你若是知道什么产品能解决这个问题,这也是一种能力。你要是谁也不见,把安全厂商拒之千里,你就完全不知道市面上有什么安全产品,我们做安全绝不能闭门造车。”
其实,刘嵩在网络安全工作中最深的感悟是,要及时汇报安全工作。
刘嵩举例说,光大证券的节奏比较快,领导安排任务给你,规定时间内你没完成,但你又不提前汇报工作,领导其实挺着急的。因为领导觉得你不沟通,你就是一个黑盒,对你什么都不清楚,什么都不知道,完全没有把控,工作进程如何,事情发展到哪里,完全不可预知,就无法领导正常工作。
刘嵩认为,团队中的每个人,做事做到什么程度,达成了什么质量,都要及时共享,汇报给领导,让自己变成白盒,让工作透明化。
但是,你若是什么都不说、不汇报、不沟通,一直埋头苦干,而突然出了问题,那肯定就是你的失职,领导也会跟着“背锅“。因为你没有及时沟通,没有争取更多的资源去协调解决问题。
刘嵩觉得,做技术的有很多优点,但也存在一些普遍的缺点,其中之一就是容易盲目自信,甚至自视甚高、自以为是。
刘嵩又举例说,比如出现一个bug,要技术人员马上查。某技术人员查了一个小时,还没解决问题。正常来说,应该变换一个思维,要不要改变方向,汇报领导,寻求一些资源支持来解决问题。或者沟通碰撞,群策群力。
但是,往往技术人员并不会这么想,他会觉得才过一个小时,再花一点时间,应该马上就能查出来,可能很快就会有结果。结果,查两三个小时,还是没能解决问题,却由此引出了一个更大的问题,就把控不住了。
“技术人员性格往往很直接,会觉得自己很厉害,水平很高,拉不下脸去说自己解决不了问题,所以就会一直研究一直搞,最后钻进了牛角尖里去了。他没有意识到公司的第一责任人是领导,出了大问题则是领导的责任,大锅都需要大领导来背。其实及时汇报工作,提出不同的解决方案,才能体现你的专业性。”
刘嵩这番话说得很实在,这其实也是员工和领导思维层面和工作方法的不同。
尾声:人要抗打击、能承受、多坚持
访谈至末,笔者已然知晓刘嵩平时没什么娱乐应酬活动,所以就好奇他除了工作,还喜欢做什么。
刘嵩微微笑道,他的业务爱好之一就是看书。随后,他话锋一转,颇为无奈道,做了领导工作之后,平时看书学习的时间真的少了许多。以前喜欢看经济、安全、历史方面的书,而现在,工作上的事不能放松,妻子刚生下二胎,所以里里外外事情很多。
不过,这也不代表刘嵩毫无学习看书的时间。他每天都会开车上下班,每天一来一回,需要两三小时。而这两三小时,正是他极为难得的自我掌控的时间。在开车途中,他就会充分利用这段时间,选择听书。听一些历史记录、古典名著,如此一来,在做安全与技术的路上,也未曾忘记积累人文学识。
刘嵩认为,各类知识最终是可以融会贯通的,如果一直只接受单一的知识,形成狭窄的思想体系,最终在工作中也会变得狭隘。
最后,刘嵩深吸一口气,好似在回顾整个访谈历程,实则也是一种对自我的宏观观照。沉默少许,他才缓缓说道:
“很多人都说,做安全就像救火一样,挺辛苦的。但是回过头来看看自己走过的路,以及如今所得所获,想想也觉得非常值得。苦中作乐,坚韧而行,想要在重要的岗位上走得很远,做得不错,就需要这样的精神。年史泰龙主演的《洛奇》电影中有句台词令我记忆犹新,就是‘人生不在于你打出多重的拳头,而在于你能承受多大的打击并继续坚持下去。’在拳台上,在工作上,在人生中,均需如此。抗打击,能承受,多坚持!”
此刻,刘嵩说到了这句让笔者记忆犹新的话,在如此古老的电影中,竟蕴藏着如此深层的人生道理,并在几十年后的今天,同样适用,并印证了自己的工作与人生。这大概就是刘嵩推崇备至的缘故吧。
此刻刘嵩的笑容,正是年少纯朗的笑,纯粹而又豁然,一如这夏日骄阳。
随后,刘嵩又颇为自豪地说,自从加入光大证券以来,从未发生过一起重大安全事件,也没有一次黑客成功渗透进来。严谨、严格、严苛,也是光大证券对外防护的重要组成部分。
一番畅谈,百感交集。其实笔者和刘嵩还聊了大量虚无缥缈的东西,职场、哲学、经济……只是若要一一道来,怕会显得格外累赘,同时亦有故意卖弄之嫌,毕竟皆是一家之言,故而皆不复赘言。
刘嵩是一个热情纯粹的人,他身高挺高,但却没有高高在上的盛气凌人,事实上,他很容易成为朋友,可以饶有兴致地与你探讨许多荒诞不羁、不着边际的话题,像极了一个思绪天马行空的少年。
做安全很枯燥,所以需要一个有趣的人。愿这个有趣的人,继续守好光大证券的安全大门。
