撰稿 | 蓝河

编辑 | 图图

陈勤伟的网名是“勤大树”。

大树有很多象征的意义，可以是坚强的支柱，也可以是伟岸的臂膀，总之，都能给人以安全和温暖。

在银行做安全的人很多，但像“勤大树”履历这般精彩的却很少。2014年，他选择加入那时还在筹备期“襁褓”里的上海首家民营银行，打算陪着一群有执念的人大干一场，而他放弃的，是已经将自己过去十几年青春全部托付的传统银行。

股份制也好，外资也好，国企背景也罢，都没能让“勤大树”在当时有过一丝动摇。

“我想在我将来退休的时候，可以很骄傲地对自己的孩子说，你爸爸曾经在中国民营银行的发展历程中，承担了一定的角色。”

这是他给我的回答。

他在想给银行业的安全领域特别是民营银行的安全领域带来一些改变，也想给自己的人生再增添一点色彩。

所以“勤大树”的确如大树一般，在努力用自己作为一名安全人的身躯支柱着安全的事业，也在作为父亲的臂膀给家庭和孩子温暖。 

2014年11月，“勤大树”加入的时候，正好是银行的筹备期，核心系统和数据中心都还在建设中，安全体系更是一片空白，没有人员、没有制度流程、没有系统设备，绝对的一张白纸、“三无”状态。

用“勤大树”的话说：“一张白纸意味着两层意思：一是想怎么画怎么画，给了我足够的空间来施展；另一方面，白纸上如果稍不留神落笔随意了，容易把一张宣纸画成了草纸”。

当时整个银行一共只有三十来个人，科技员工就占了一半，到目前也还保持了接近四分之一的科技人员比例，这在传统银行是很难想象的，即使在已开业的17家民营银行里面，也是排名很靠前的。这是因为相对于传统银行，所在银行从开业到现在，一直坚定的在走全行业务互联网化的道路。

民营银行从出生之日起，就注定要走金融科技的道路，立足科技几乎成了各家民营银行的唯一出路。

“勤大树”说，应该把所在银行理解成一家具有一定互联网银行基因的民营银行。虽然从牌照性质来看，银行是注册在上海自贸区的一家可从事传统银行业务的民营银行，但是实际上民营银行从“出生”起就有一个先天的缺陷——不能跨区域经营，不能开设超过一个网点。

一个网点能做什么？放眼每个社区、商贸区和十字路口遍布的传统银行网点，所在银行即使几易其地，其网点已搬迁至繁华的陆家嘴附近，但其招牌在“银行多如米铺”的上海仍不过只是匆匆过客过目就忘的四个字而已。这也就导致了获客成为了摆在“勤大树”他们面前的最大难题。

他问我，你一年去几次银行？我想了想告诉他，一次都没有。

越来越多的人已经习惯通过手机银行生活和消费，更别说在我们身后的年轻人，可能会更加难以接受实体网点的银行业务。所以通过网点获客的模式已经过时，这也就是为什么这几年传统银行开始裁撤网点的原因。

在这种情况下，发展互联网业务特别是移动金融业务，通过服务线上客户，成为了以“勤大树”所在为首的这批民营银行，在竞争中生存的唯一也是最后的途径。

既然作为自贸区的民营银行需要有让自己“活下来”的传统业务，又需要有让自己未来“活的精彩”的线上业务，那么银行的业务发展和系统建设、安全体系都必须双线发展。因为有网点，所以传统业务不能丢，对于“勤大树”而言，就意味着支持传统业务的系统安全体系必须按照传统银行的思路搭建起来。同时在互联网业务上，又需要搭建一个支持线上互联网银行系统的全新的移动安全体系。

在没有机房、没有系统，只有几个人的状态下，只用了短短三四个月，就建立了自主运维的机房，搭好了服务器、操作系统和数据库，又投产了传统银行必须的一整套核心业务系统，将传统银行业务部署完成，正常运行。同时期，“勤大树”除了参与了整个机房和核心系统投产过程，还担当了整个系统投产前的八轮演练指挥工作。

从2014年加入民营银行到去年第一个三年战略规划结束，“勤大树”在这三年的时间里组建了银行的安全团队，完成了传统银行等级保护制度、数据中心的安全基线以及行内安全标准的搭建，把从物理安全、网络安全到数据安全、应用安全这一系列传统银行的安全体系逐步规范落地。

同时，为应对银行互联网业务的同步发展，在借鉴同业最佳实践搭建传统银行安全体系的同时，创新性的探索建立了具有鲜明特色的“十八罗汉”移动安全体系建设，在移动端上率先整合了较为领先的 “一机一密”、人脸识别、智能反欺诈、动态安全策略等最新技术，连续两年获得银监会信息科技风险课题奖。

这对于“勤大树”来讲，已经不仅仅是见证了一家银行从无到有、从0到1的过程，在短短三年时间里取得如此的成绩，说是完成了0到99的跨步，都不为过（他谦虚地说，满分是150分）。

“勤大树”一直强调，科技建设和安全建设都是有客观规律存在的，因为在他眼中，三年的时间一点也不短。

一天工作12个小时，早9晚9，大部分员工做7休0，携家带口的做6休1，这就是在银行开业前四个月的工作模式。即使是从2015年1月正式获批开业直到去年年底，“勤大树”的生物钟也很少在9点钟前下过班，12点前睡过觉。

所以他从没觉得自己比别人厉害，因为把这三年的工作时间进行折算，实际时间差不多翻了一倍。因此，能够做出这些成绩，完全是铺上了大量的时间，投入和回报是成正比的。

所以他才强调科技和安全是有客观规律的，并不会因为你团队能力强、架构先进、产品好，就可以轻易跨越别人多年的积累。说的直白一点，别人踩过的雷，你也一定会踩，就像十月怀胎，哪怕给你最好的医生、最多的护士，孩子还是要等到十个月才能生下来，少一个月都不行。而这恰恰给当前安全行业很多急功近利、急于求成的观点敲响了警钟。

这样高强度的工作量听上去简直让人有些不可思议，但“勤大树”却告诉我，那个时候整个团队里毫无怨言，不仅如此，一个个还都跟打了鸡血一般，即使那时候没人知道银行到底能不能开业。因为大家都有个类似的信仰和执念，就是要做同龄人做不到或者很难有机会做的事业。

我问他，你去华瑞那年多大？他说35了。

我佩服他真敢冒险，其实在传统银行，再混混日子就到40了，人这辈子基本就这样了。他也明白35岁的年纪确实是一个坎，那时候的他，每天都在问自己一个问题，难道真的就要在这个没有创新和动力的传统银行业一辈子混下去吗？

他给了自己否定的答案。

对于“勤大树”来讲，过去四年的收获，可能远比之前十几年在传统银行工作时得到的要多得多，因为难以复制，所以更是其他人难以体验的经历。

但要他自己来形容现在的状态，却完全不是有所成就，而是战战兢兢、如临深渊、如履薄冰。

针对银行的线上业务安全，“勤大树”摸索了一套名叫“十八罗汉”的移动安全体系，体系中也包含了像人脸识别、反欺诈这类当前最佳的业界实践。很多同业来找他学习，他也代表银行四处去做演讲，以期得到业界更广泛的认同，但他内心却并不那么安心和安定。

因为和传统银行有27001安全体系认证和等保安全标准不同，移动安全目前并没有业界公认的标准，即便他自己从业务需要出发总结了一套看似先进的理论，但实践中仍然没有良好的对标来衡量自己在业内的位置。

同时，“勤大树”坦言，之所以战战兢兢，还有一个重要的原因，就是民营银行创业才三年，还没有真正经历过大的风浪。

说白了，银行规模还不大，客户基础小，业务也很少，黑客看不上眼也许才是目前风平浪静的主要原因。所以，外界负面消息少，只能代表别人不在意，却不能代表自己做的有多好。

而那些成熟的传统银行足足经历过几十年的风雨打磨，那些现在看上去相对落后的体系，确是实实在在经受过了历史的考验，保证了传统银行过去几十年的安全，是值得敬畏的。

所以，虽然过去四年在安全上做了那么多的事情，客观来讲确实不容易、很辛苦，但在没有经历过风浪的洗礼下，对于自己的安全体系有没有漏洞、健不健壮、行不行、好不好，“勤大树”真的回答不了。

他感慨，安全真的如同走钢丝一般。

不过这份战战兢兢，对“勤大树”来说，同样是一笔宝贵的财富。他不仅在过去十几年的工作过程中了解到成熟银行的安全如何去做，也通过在民营银行的四年完全经历了一家银行从零开始的成长。

决心到民营银行闯荡的那一刻，“勤大树”就已经给自己定下了明确的个人目标：要用大概五年时间，让所在银行和他自己成为民营银行安全领域的标杆。现在已经过去3年，这个目标实现的如何？他的回答是，过去的几年基本都按照他的构想去发展，基本达到了预期。

离自己五年目标的截止时间，也就是自己四十一岁生日的那一天，还有一年半的时间，“勤大树”还在秉承着这个执念，努力让现状去追上自己的理想。

我上面说过，“勤大树”刚进民营银行的时候，全行不过三十几个人，而安全更是只有他一个，也就是说，他当时是名副其实的光杆司令。

而安全团队的人员扩充也很有规律：14年他自己，15年两个人，16年三个人，17年四个人，今年努力找到第五个。

用他的话说就是“真的找不到合适的人”。

之所以“找不到合适的人”，原因很简单：他看上的人看不上他，看上他的人他看不上。

不得不承认，“勤大树”过去对于人才的要求非常死板：本科必须985、211以上学校，履历要出色，性格要好，爱聊天，喜欢运动。因为他自己就是这样的人，所以希望能够找一个和自己相似的人，不仅靠得住，也合得来。

能够完全满足他要求的人本来就不多，更何况能够达到这种标准的人才，民营银行对他们并没有足够的吸引力，既没有足够的品牌来保证跳槽的风险，也不像完全意义的互联网银行能够给予足够的薪资增幅。

所以他不得不承认，想找个般配的人真的很难。

现在的他，据说已经放弃了对好学校的执念，因为他终于想明白，安全这个行业的能力真不是由学历决定的。很多业内有名的领袖、大咖特别是那些“红白帽子”，很多都是基于自己对安全的兴趣爱好自学成才的，在其他学科上并不一定有过人之处。

不过对于性格和爱好，他坚决表示一点都不能让步。他觉得喜欢说话、聊天，是一种沟通能力的体现，而热不热爱运动，决定了一个人的身心是否健康。因为安全这个行业鱼龙混杂、诱惑很多，时时刻刻都在接触高风险，而银行的安全更是与高利益息息相关，所以需要从业人员自身要有有效的自我舒压方式，才能保证内心的放松和坚定。

看上他的人他看不上，还不仅仅是因为他有自己的执念和要求，也是因为安全行业这几年有点“过火”了。

随着网络安全上升到国家安全的层面，加上各种外部形势的传导和监管的严格要求，网络安全在近几年被炒作到了火热的程度。由于前几年安全人才在高校和市场上培养的不多，市场规模也有限，互联网公司又大肆收刮安全人才，现在但凡能和安全沾点光的候选人，往往会自恃甚高，自抬身价。

“眼下的安全市场，充斥着大量我完全看不上的人，眼高手低，鱼龙混杂。”“勤大树”直言不讳。

最近，“勤大树”在做新的安全三年规划，摆在他个人面前的挑战，仍然是在考虑作为民营银行，如何适应线上的新风险，是传统安全在未来的趋势。

线上的安全风险，很大部分来源于数据和隐私。和传统银行不同的是，因为互联网业务的开放性要求，与第三方平台合作已经是业界的“标配”，这个过程中客户信息的流动是非常普遍的现象。尤其在《GDPR》施行以后，如何去管控数据流动的风险，是大多数银行即将面对的问题。

同时，传统银行系统架构的设计本身是从交易的一致性和系统的稳定性出发，而互联网公司系统架构的出发点则是为了支持大容量的客户，对交易的一致性和系统的稳定性并没有传统银行那么高的要求，这就经常会导致高峰时段的宕机或是交易订单的丢失。

这放在互联网企业上来说，是完全没问题的，但对于银行而言，却是完全不能容忍的。

除此以外，由于系统结构的复杂，不仅银行的内部系统之间关联非常复杂，而且还需要关联外面的系统。这样一来一旦出了问题，就会造成大范围的影响，加上风险本身的传染性，还有可能会影响到同业甚至监管。

所以，客户的数据、隐私，以及在大交易、高并发情况下的系统稳定性和业务连续性，是“勤大树”在未来将要面对的挑战，也是至少在他看来民营银行的痛点，更是一家有一定互联网基础的银行想要持续走下去、走得好所必须要具备的前提。

“勤大树”的专访，我没有用很多华丽的辞藻，也没有刻意去增添杜撰与调侃，有的只是他及常人所不能及的经历和实实在在的心得分享。

因为我觉得他说的每一句话，都很有价值。

他还是希望自己能够做到民营银行安全领域的标杆，但绝对不是为了他人竞相的学习，只是希望能和同行一起把这条路走出来。

如果能成为标杆，至少后来人在成长的过程中，就有借鉴和参考的渠道，至少知道有一条路是行得通的，也不会像他一样，十几年来，时常迷茫。

他想让自己在安全上做得更踏实，能成为一个有用的人，就像大树一样，长成最高最壮的那颗，让别人有荫乘凉。

生活方面他倒是没什么要求，就是二宝现在两岁，他希望能有多点时间陪伴，因为孩子的健康成长同样也一个人价值的体现，不要求宝宝的未来有多优秀，但求身心健康。

也许这，就是“勤大树”的完美人生了。

「推荐阅读」