查看原文
其他

人物 | 聂君:十几年金融企业安全建设之路,自己走过,才知最好

走狗是狗哥 安在 2019-04-18


撰稿 | 走狗

编辑 | 图图

----------

盛夏之末,狗哥和安在CEO张耀疆一道,与安信证券信息安全总监聂君见了一面。地点位于一家安静的咖啡馆,窗明几净,凉风细语,足是一个相谈甚欢的好地方。


狗哥初见聂君,便觉他是一个务实稳重之人。观其外表,尤其是那浓眉星目,倒是与焦恩俊版的李寻欢有几分神似。



这是狗哥第一次见到聂君,不过他与张耀疆很熟,狗哥只好做个安静的旁听者,准备倾听聂君从业十余年来的故事与感触。


一上来,张耀疆就打趣聂君的口音,因为聂君似乎能说江西许多不同地方的方言。


聂君笑道:“我们那十里不同风,百里不同俗。我妈跟我爸的口音不一样,因为他们是两个县级市的人;我跟我妈的口音又不一样,因为我从小就在县里读书,而我妈住在一个镇上;我和我太太虽然是六年中学同窗,同一个县级市不同镇,口音也不同。所以和他们打电话,都用不同的口音。所幸在深圳,大家都用普通话。”


一番谈笑,便将彼此距离拉进,说话也逐渐放开拘束,漫无边际地畅谈起来。


于是乎,狗哥从一个旁听者,渐渐融入了聂君的故事中,不经意间,一首七律浮上心头。


访聂君抒怀


阁下远道三千里,沪上八月添一贤。

雅室有幸容贵客,沧桑无缘驻清颜。

笑语澎湃抒胸臆,茶色旖旎润仨仙。

深市安全至高处,当有君哥手摩天!

初入职场:只因有个大足球场


现实中,其实大部分年轻人在大学毕业之初,都是呈现一种迷茫状。就算部门人到处实习,拿了好几份offer,看似意气风发,实际上他的内心依旧茫乱。

遥想狗哥当年,即便考上某市宣传系统的公务员,内心依旧会寻思:我会在这里一辈子,就这样过着一眼看到头的人生吗?我才二十三岁,我要怎样去雕琢我的人生,当我二十八岁,三十三岁的时候,将会是怎样?精彩还是枯燥……

狗哥眼前的聂君,尽管入职十余年,但谈起往昔岁月,依旧带有一丝青涩的笑意,仿若那段不知所措的岁月,恰是他最难割舍的记忆。

聂君说,大学毕业之后,他跟着他太太(当时还是女友)一同去了深圳,进了一家大型制造企业。那时,他根本没有一个具体的职业规划,甚至连一丝对未来的想法都没有。

聂君初入职场意气风发

聂君觉得,每个月只要有3000元的薪水,他就可以在深圳活下去,至于活成什么模样,并不在他当时考虑之列。而这家企业给出了3500元的待遇,让他内心微微燃起了对未来的一丝亮光。因为在2005年,3500元的月薪已经脱离了低收入行列。

当然,给出三四千待遇的企业,并非只有这一家,聂君之所选择了它,却是因为他那时最大的爱好就是踢足球。而聂君发现,这家企业正好有个很大的足球场。

聂君经常身在办公室,心在足球场,他觉得自己应该是个无拘无束的猎豹,驰骋才是他生命的意义。工作一年多,他才开始对工作有了一些概念,领悟到自己的人生不只是驰骋于球场,更应该奔驰在互联网安全领域。因为这个领域,要比球场大得多。

制造企业有两个特点,一是比较早地对信息安全重视,主要是出于对知识产权的保护。聂君一开始就做安全,那时公司成立了信息安全科,主要职责是防止图纸、数据不被外人偷窃。另外还做一些网络安全和系统安全防护的工作。二是比较重视成本,注重实际效果,实实在在解决安全问题,不摆花架子。

从那时候起,聂君就养成了不管什么安全方案和解决措施,注重安全有效性和实践的思维模式。

聂君回忆,那时国内企业安全建设还刚刚开始,大学连安全专业都没有,主要是靠野路子和自己动手获取一些安全知识和技能。那时候年轻能熬夜,除了踢球,聂君最喜欢的就是用女友的台式机安装虚拟机搭建内网环境,翻来覆去捣腾微软的AD、SMS、MOM、组策略,防病毒、防火墙、思科路由器、交换机等产品,PGP公私钥加密并和邮件系统集成、DeviceLock控制各类外设接口等等,一遍一遍,慢慢喜欢上安全行业。

工作两年多,聂君有个在招商银行的同学,说招行安全团队在招人,问聂君要不要试一试。聂君欣然赴约,面试官是招行副总和安全主管,安全主管问了很多加解密的知识,恰好聂君在捣腾PGP时系统性的研究了加解密体系,面试通过了,就进了招行,开启了八年多招行之旅。

转战招行:八年抗战思想升华


入职招行后,聂君所在的安全团队主要维护招商银行生产网和接入网安全,特别是网上银行的安全。聂君将自己在招行的职业生涯分成三阶段。

第一阶段是打技术基础阶段。聂君就像个刚申请游戏账号的初级玩家,每天每月就像个菜鸟一样打怪升级,这个阶段印象最深的是作为新员工参加总行07年春节晚会,信息技术部男员工较多,结果出了个男扮女装的京剧新唱节目,节目一出场,坐在台下快睡着的行长们瞬间笑喷了,新人都要过这个坎的。

在这个阶段,聂君掌握了大量的技术基础知识,几乎所有主流的防火墙平台、F5、Token、ISS IDS、所有的商业扫描器、防病毒等等,都是这个阶段打怪升级过程中接触的,过程很痛苦,结果还行。

第二段是聂君最享受的一段时间,因为大部分他觉得有成就感的事情都发生在这个阶段。

在聂君埋头打怪升级的时候,我国迎来了2008年奥运会。聂君觉得,奥运会对我国企业安全建设是一个启蒙运动,那时全国上下都比较紧张,担心网站被篡改、DDoS攻击,网络安全得到前所未有地重视,其发展也得到了一个很好的契机。

聂君团队获得招行五人制足球赛季军

奥运会之后,聂君和他的团队在思考两个问题。

一是企业部署了大量的安全防护设备和措施,安全设备数量急剧增多,各类安全日志和告警也急剧增多,而且由各个安全人员分散管理,安全告警是否得到完全有效处理,安全监测是否失效,基本靠各个安全人员的技能和责任心,安全负责人很难主动全面的掌握结果,最后就变成了靠运气做安全。

二是有经验的安全人才稀缺,有技术和经验的安全人员,又同时承担了很多基础性事务性工作,有没有办法让不具备太多安全能力和经验的安全人员,也能成为对抗攻击者的力量?

面对问题,聂君和当时的安全团队领导一起苦苦思索,在数据中心集思会上提出了安全运营提升安全有效性的思路,并不断完善,后来陆续将这些思路总结,并冠以Nemesis(尼弥西斯)计划。

尼弥西斯是复仇女神,专门惩罚不法之徒。安全运营的核心是四个框架,各类安全监测感知系统构成了第一个框架,安全防护框架。将各类安全监测感知系统的监测日志信息送往第二个框架,安全运维框架,并识别出真正高风险的攻击告警,通过自动化关联工单平台,交由一二三线人员处理。

每天安全生产事件晨会,安全负责人和技术专家一起,review前一天安全事件处理情况,确认告警是误报的,就优化告警规则和感知系统,不是误报的则溯源分析跟踪到底。

聂君遇到过很多这方面的坑,有的人员可能某天老婆过生日,家里有事,没有仔细调查安全告警,匆匆忙忙就以误报为由关闭事件工单,导致内部红蓝对抗失败。而通过安全运维框架,能够解决掉一部分人员责任心的问题,也将高阶安全专家从简单的安全性事件处理中解放出来,将更多精力放在安全监测感知系统建设和复杂安全事件溯源分析上。

有了监测和处理,有没有什么办法知道这些监测和处理失效的情况?这是第三个框架,即安全验证框架要解决的问题,包括白盒验证和黑盒验证两部分。

白盒验证也称为穿透性检测,比如通过邮件DLP系统,可以监测外发邮件中是否包含客户信息等敏感数据。这个控制措施依赖于邮件DLP系统正常工作、告警日志正常发送到统一的日志监测和处理平台,安全监测规则正常发挥作用,安全人员及时有效处理告警。以上任一环节失效,都会导致安全措施失效。

解决办法就是写一个自动化脚本,往外发一封含模拟客户信息的邮件,验证一下监控系统,有没有告警?告警之后日志有没有送到安全运营平台?平台有没有告警出来?告警之后有没有人去处理?第二天日例会有没有去review到这个事件?任何一个点的失效都可以通过穿透性检测在24小时内发现。

基本上每开发一条监测规则,就配套一条验证规则,验证规则太多,后来变成完全自动化和可视化,直接将安全验证失效的规则可视化展现给一线安全值班人员和安全团队负责人。

黑盒验证主要是红蓝对抗,招行是金融行业乃至全行业较早开始进行红蓝对抗,也是较早建立专业蓝军的企业。

起初,聂君的防守团队被打的很惨,安全攻防对抗成功率和检出率很低,因为红军还是基于防守方的思维,蓝军的思路很开阔,应用安全、物理安全,后期甚至社会工程都用上了,加之企业这么大,安全监测感知器的部署率以及正常率还没到比较高的水准,这也让招行安全团队下决心,花了很大力气,专注于安装率、部署率、正常率等基础性建设工作。

慢慢地,一次次吸取教训,不断提升基础安全能力,攻防对抗成功率和检出率在不断提升,这让聂君和其团队有了成就感。

攻防双方是典型的非对称作战,攻击者只要找到企业系统的一个弱点,就可以达到入侵系统的目的,而对于企业安全人员来说,必须找到系统的所有弱点,不能有遗漏,不能有滞后,才能保证系统不会出现问题。这种非对称导致攻击者和安全人员的思维方式不同,也是企业安全工作难做的根本原因。

最后一个框架是安全度量框架,通过一系列安全度量指标,衡量评价安全运营质量水平,并针对性持续过程改进,实现质量的螺旋上升。一项工作,不能有效测量,就不能持续改进提升。

聂君认为,抛开BAT这种巨无霸企业,大部分企业做安全就是一条路,通过安全运营把基础安全做好,稳定在一个可控的安全水平,你只要跑得比别人快一点就行了。基础性安全工作确保不会出现低级的安全问题,因为黑客也要讲成本,他们就会将目标转向防护能力更弱的企业。

大约2012年之后,上述三套框架日趋成熟,招行基础防护能力开始稳定,不会忽高忽低。聂君开始思考如何提升安全监测感知器的能力,解决思路是创新和自研(合作研发)。

招行有创新的基因,从业务到IT,再到安全,追求的是一种极致的用户体验,崇尚创新和有效性。也聚集了非常多的技术牛人,这样的氛围和合作伙伴让聂君和安全团队提出了一系列新思路并得以顺利实现。如基于账户基调(profile)的异常流量分析系统、主机安全客户端系统、未知漏洞防护、各类蜜网站、蜜数据、蜜表等等。

聂君觉得,金融行业有个优势,就是非常严谨,毕竟作为一个几百年的老牌行业,非常正规化的流程,严谨的规章要求,严格的做事思维,这些是各类经验的总结精华,让每位员工特别是刚毕业的学生受益终生。比如权限分离,对账等理念,对其他行业有非常好的借鉴意义。

此外,对风险控制非常严格,尤其是运维的严谨性,这在其他行业很难遇到;保持对风险的敬畏,这在其他行业也很难深刻体会。

招行信息技术部组织架构是一部三中心,聂君当时在招行三大中心之一的数据中心安全管理室(处)工作。招行室主管(对应其他银行的处长)都是竞聘上岗,当时有一个信息技术部安全内控室主管的竞聘机会,聂君参与了,且成功竞聘上,这是第三阶段。

安全内控室的平台更宽,可以接触到IT的各个领域,架构、研发、测试、运行、安全等。

在内控室做主管的两年时间,聂君的知识领域拓展到了信息科技风险管理,开始和人民银行、银监会等监管机构频繁互动,开始和总行其他部门如操作风险部、审计部、流信办、办公室、零售部等有很多业务往来。

刚开始,工作体验和以前做技术、做项目很不一样,感觉自己的经验值在快速增加。当时,银监会下面的信科部,搞了一个银监会高层指导委员会,委员都是17家主要的全国性商业银行的主管科技的副行长,还设有联络员,聂君就是招行的联络员。

聂君很想感谢内控室团队的全体队员,即使在困难的情况下,大家一起共同努力,内控工作取得很好成绩,他也和大家度过了快乐的两年时光。

在招行,聂君收获的最重要的一点是结果导向,首先是搞定,其次是漂亮的搞定。聂君说他一向的思路是适应规则,主观努力,争取当前资源下的最优结果。专注于自己影响力范围内的,其他改变不了的就不强求。这样有个好处是不用想太多,干就是了。领导不傻,你说的这些理由,别人也面临,为什么别人可以做出成绩,而自己只能找理由呢。

此外,令聂君印象最深的荣誉,是招行数据中心5年来第一次评选优秀员工,200多名员工只选了12名,综合五年绩效表现,聂君荣幸名列其中,他的手模陈列在招行数据中心走廊里,每个人都可以看到,这样的精神鼓励,对员工的激励无与伦比。

聂君获得招行数据中心十二冠军荣誉(综合五年绩效表现)

那一年,聂君30岁,是招行IT部门最年轻的室主管,职业生涯上升通道已经打开,但过早的脱离技术一线,进入舒适区让自己不太适应。同时在“务虚”的工作岗位上,是一眼看到头的绝望。聂君不喜欢所谓的稳定,喜欢接受挑战和学习新东西,对抗不确定性。“我就是太爱折腾。”聂君笑言。

张耀疆笑道,这可能是技术人员的通病。

加盟安信:安全观念得到更新


聂君刚过而立之年,安信证券总经理机缘巧合下找到了他。

总经理后来回顾这段经过:“三年前认识聂君,初见时的场景仍记忆犹新,当时安信急需引进一名在信息安全领域能够独挡一面的专业人才,机缘巧合之下认识了聂君,几次接触发现不仅知识和能力与岗位相匹配,更为重要的是彼此对很多事情的认识和看法非常契合,颇有相见恨晚之感。三顾茅庐之下,估计这位君哥终于被我感动,我也终为公司求得这一人才。”

总经理的信任和诚意,让聂君非常感动,决定加盟安信,任职安全总监,负责安全和质量控制两个团队。

聂君一干就是至今。三年里,安全占据了他七八成时间。聂君当时身怀雄心壮志,他想做最好的安全。没想到总经理却给他泼了一盆冷水,说这就意味着最高的投入和最大的成本,不经济也不现实。我们追求的是跟排名相匹配的安全保障,守住底线,适度超前。

聂君觉得这个领导很务实,所以他就很快就扭转了观念,变为快速止血加远期建设。“你不能被别人捅了一刀,还先追究这人素质差,从小没教育好。这个时候你得赶紧止血,赶紧上医院,然后再去反向驱动。做安全也基本一样。”

在安信证券做安全,聂君感触最深的有两点体会。

一是安全团队和安全工作的定位金融企业的商业价值是为客户提供金融服务,业务永远是其根本和主业,IT的价值在于把技术做好,为公司提供先进的、安全的、有市场竞争力的IT平台和工具,服务好客户。

因此IT万不可跳脱出来,就着技术论技术,甚至倒逼公司做投入。作为甲方的安全从业人员,必须基于公司的业务、发展阶段和内外部环境,综合统筹制定安全规划和实施路径,帮助企业达成商业目标,和业务的差别仅仅是分工不同、职责不同而已。其实这点也是总经理传授给聂君的。

二是安全团队的价值。本质上安全是一项服务,安全服务是安全团队提供给用户和客户的一种服务类别,如果安全方案和安全要求设计时没有最大化这种服务的价值,那么在充分竞争的情况下,安全团队是要被市场淘汰的。

如果公司不是只有我们一个安全团队,我们安全团队在公司这个范围内不是垄断的,而是有其他安全团队也提供安全服务,在共同竞争的情况下,我们提供的安全服务还能被用户认可买单吗?

安全团队设计安全方案和要求时,不是以业务和服务出发点,而是以安全团队省时省事,尽量少承担责任为出发点。这样设计出的安全方案肯定会阻碍业务发展、降低效率。如果一套安全方案和要求,能够在少降低甚至不降低业务发展的情况下,又能保障安全,业务团队,开发运维当然是欢迎的,谁愿意冒着巨大的风险强行上线新的业务呢?

如果安全团队能和业务、开发运维一道剖析,站对方立场设计方案和执行要求,用户从心里是认可安全团队和安全服务的。实际中,聂君遇到很多这种情况,坚持安全服务的做法,会让安全团队之路走的更为顺畅。

安信证券第二届CTF夺旗大赛

聂君说他很感谢总经理许彦冰女士,她是他非常敬佩的一位领导和学习楷模。

开公众号:记录实践集结成书


聂君从银行出来之后,就是2016年9月份,他开了一个公众号,叫“君哥的体历”。



早期聂君不是纯讲安全,但是慢慢就变成纯安全。之所以叫“体历”,是因为聂君崇尚身体力行的实践。所以聂君也建了一个微信群,叫企业安全建设实践群,在企业做安全,谈的就是实践。

聂君有个理念就是开放共享,守望相助。他觉得除了少数天才,大部分人的智商是差不多的,我们单个个体,受限于自己的工作生活,精力和力量有限,所以你要站在别人的经验上面去做事,根据别人的最佳实践经验,再结合自己实际情况做些剪裁,变成最适合你自己的最佳方案。

企业安全建设,离不开“守望相助”。分享的东西多了,慢慢大家就聚集在一起,建立了金融业企业安全建设微信群。

早期主要是聂君和认识的做安全的朋友,大家一起交流分享实践。后来话题越来越多,要求加入的人也越来越多,他才开始建立一套群运营机制,对加入的群成员审核非常严格,每个人都需要群成员背书,审核实名和公司以及职位,审核过程中拒绝了超过一千名人员的入群申请,且群成员要保持活跃度和价值贡献,未达标则劝退处理。

而且,群不提倡红包,最好的贡献就是分享价值。”严格的身份审核和良好的价值贡献运营机制,让金融业企业安全建设实践群成为很多安全人员的置顶群,其中不乏腾讯七大安全实验室负责人以及众多圈内资深人员。群的另外一个价值,就是情报共享,在历次安全事件、安全应急中有大量实况直播,处置措施及时性、有效性高。

随着公众号文章越来越丰富, 2017年底,在兜哥建议下,接受机械工业出版社邀请,开始准备《企业安全建设指南:金融行业安全架构与技术实践》一书,目前书稿已全部完成,提交出版社,预计最迟10月下旬上市发售。

谈及为什么要写一本关于“安全实践”的书,聂君说,安全从业以来,他一直在甲方从事企业安全建设工作。由于信息技术和安全技术日新月异发展,一直在学习之路上奔跑。看过很多书,听过很多演讲,大部分是在技术上立足于零碎的技术点、工具使用手册和攻击过程演示,少数又属于理论性和学术性太强的教科书,很少关注如何将安全技术更好的应用在不同规模,不同阶段的企业中,也就是企业安全最后一公里问题。这部分很有价值的内容,很遗憾被市场选择性的忽略了。

但最近几年,关注甲方企业安全建设实践的书籍慢慢热门起来,比如《白帽子讲Web安全》那本书,聂君觉得最精彩的地方是最后那部分关于安全运营的思路和领悟。聂君买了两本,一本放家里,一本放公司,随时都能看一看,很多时候挺有启发。

聂君觉得赵彦的《互联网企业安全高级指南》写得非常好,但他的书比较推崇互联网,轻中小企业和其他行业。但毕竟现实中99%的企业不是赵彦讲的那些企业。聂君经常说,唐朝除了李白和杜甫,还有两千五百三十四名诗人。你不要只看李白杜甫,不用只盯阿里和腾讯,还有更多的你没听过的公司,他们也要生存,我们也要关注这部分的需求。”

2018年新年,聂君是在新加坡和马来西亚度过,他当时发了一篇文章,说今年三个作者想写一本书,已经决定了机械工业出版社出版,也签了合同,没回头路了,然后就开始搞。以前有一些积累,一些老的文章,但50%还是后面写的,安全从业、安全考核、安全合规管理等等。


“大家先把框架搭出来,然后分工,写每个人擅长的领域。三位作者做好分工,大家就开始痛苦的写作时光。”聂君说,他基本上每个周末都在写,公众号还得接着写。

聂君写书最大的动力就是:“如果在我从业之初时,有人带一带我,我至少能少走3到4年弯路,这是我的一个遗憾。我其实花了很长时间去探索,参加各种会议,听人家怎么讲,看各种文章,动手做各种实验,对痛苦的失败经历反思总结优化,然后才获得这些东西。”

聂君还觉得这是一个抛砖引玉的行为,希望带动整个行业都重视企业安全,重视甲方需求。甲方乙方都在一条船上,共同把这个行业生态做好。乙方有很多人写了很多书,甲方其实也需要去做这块,才能百花齐放。

对于安全实践,聂君有太多的经验要分享,也有太多的话要说。

聂君说,安全领域众多,作为企业安全负责人,关注的重点是如何使企业安全建设更加有效,例如安全价值、安全如何保障业务、安全合规、安全总结汇报、安全考核、安全度量、资产管理等领域工作具体如何落地实践。

企业安全建设中,另一个重点是安全运营。企业负责人和IT部总经理,经常会问:什么样的安全是安全的?聂君认为,一些企业做安全,部署了各种安全设备,设计了各种安全管理措施和流程,领导也很支持,雷厉风行,安全预算和安全人员也都给足,结果还是出问题,归根结底是安全有效性出了问题。

设备部署了,异常告警规则做好了吗?告警正常吗?设备依赖的条件,比如镜像的流量一直正常吗?了解安全保护的业务吗?能看懂告警日志的人有吗?是否依赖于安全人员的责任心在做安全监测和告警处理?有没有实现安全穿透性检测,验证技术、人员、流程、管理中是否存在失效点?

聂君认为,目前制约安全运营发展的最大因素有两点,一是没有特别好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率;二是一万个安全负责人心中有一万个安全运营,打法思路各异,没有形成统一的安全运营标准。

聂君的从业经历主要在银行和证券,因此每年都会和行业同仁学习交流,也向互联网行业公司学习。不同行业、企业的规模、面临的风险威胁、企业文化和实际需求、安全投入不同,造成风格迥异,安全建设之路也有很大差异,但做得好的企业都侧重解决实际安全问题,日拱一卒,积极实践,因此愈发坚定他对安全实践和安全运营的探索。

聂君对于这种分享,理解为一种“开源”精神,代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化的将如何在企业做安全建设的思路和实践开源,需要静下心来归纳总结提炼。

不忘初心,方得始终。初心易得,始终难守。聂君认为,幸好他遇到了两位志同道合的伙伴,彼此共同努力和坚持,克服了各种困难,才有此书的面世。

生活札记:爱好纯粹、父责如山


聂君说,他很喜欢读书,他大学是学校的团报总编,排版印刷写稿他都负责过。中学语文一直很好,高考语文考了138分,150是满分,就作文扣了12分。

聂君小时候看书比较杂, “那时家里也有点书,我记得很清楚,小学时有本书叫《中国有个毛泽东》,当时翻来覆去地看。那时候要是能找到一本书,比如《一千零一夜》之类的,会开心得要死。”

聂君认为,文章是表达你的思想,尽量让更多的人看懂你的意思,传播你的理念。所以他看的书都比较经典,像路遥的《平凡的世界》,陈忠实的《白鹿原》,霍达的《穆斯林的葬礼》,奥斯特洛夫斯基《钢铁是怎样炼成的》。

聂君喜欢的东西比较纯粹,一是喜欢踢足球,二是喜欢看新闻,看体育和军事, 我喜欢在别人的故事里面旅行,很多东西都是书本上学来的,比如说育儿,我也看了很多书,然后去实践,怎么忍住不对着小孩发火,怎么高质量的陪伴。”

聂君也是对生活充满激情的人,对物质的需求少一些,真诚善良,做个有能力的好人。

对于父子之间的关系与相处,聂君似乎感触颇多,说出了很多肺腑之言。

“有时候,我也会很恼怒,忍不住对孩子发脾气。他把垃圾桶的垃圾翻倒在地板上,把诺氟沙星胶囊当糖吃,要一个东西不管合不合理就放声大哭。平静的时候,我会对自己说,要有耐心,不能怪他,可忍不住的时候又会对他训斥,之后心里又是深深的后悔和自责。”

“我想每个父亲可能都有这样体会。忽然想起来,《我的父亲,我的儿子》中说的:你看,当人真的要走时,拦也拦不住··。所以,当我们在一起时,庆幸生命中有彼此,不要吝啬每一句该对他说的话,每一件该为他做的事。每个孩子会记住他想记得的父亲的样子。有些感情上的缺失,那有多伤,我是懂。”

“对于我的父亲,我也有很多困惑和不解,父子之间有代沟。当我为人父,慢慢的,我开始体会做父亲的艰辛与不易,想为他做到最好却有时无能为力,这让我明白父亲的伟大,以及父亲这个称谓下的巨大责任与自己能力渺小的鸿沟。”

女儿妙妙一岁生日留影

“也许时间流逝,我也会成为孩子心中充满各种不解的那个爸爸。父亲是世界上最不堪的一个斗士,却也是孩子心中最可依赖的厚实肩膀。如同李承鹏所写的:可是他们爱着自己的孩子,像愚蠢而勇敢的工蚁,不落下任何一项工作。”

聂君特别想感谢自己的妻子,感谢她在自己遭遇挫折和失败的时候默默支持,使自己在迷茫和困惑的时候仍然能够鼓起勇气,看清方向。感谢她放弃了自己的事业,养育了生命中最可爱的两个宝贝,让他每一天都充满快乐和希望。

最后,聂君长吁一口气,似乎完成了某种使命,有种如释重负的感觉。

聂君和顶顶妙妙在马来西亚留影

张耀疆问聂君,有没有什么话收个尾。

聂君沉吟一笑,说道:“我想职业生涯发展和工作,最终的目的还是让我们生活的更好,而不是相反。很多安全从业人员,可能在路上太久,忘记了自己的初心是什么。为了超常规发展晋升,追求财务收益,往往忽视甚至丢弃了很多更宝贵的东西,比如健康、家庭、品德乃至做人的底线和原则。”

“套用龙应台流传很广的一段话:选择安全作为工作方向,考虑职业生涯和发展,通过自己的努力将来拥有选择的权利,选择有意义、有时间的工作,而不是被迫谋生。当你从事的安全工作方向在你心中有意义,你就有成就感,当你的工作给你时间,不剥夺你的生活,你就有尊严。成就感和尊严,给你快乐。

“未来之于我不再是恐惧,而是充满挑战的征途,因为心中有了明确的目标和努力的方向,让我的内心变得亮堂,我知道成功是可期的,而不再是如中彩票般的小概率事件。”

回首自己过去14年安全职业生涯,不管选哪条路,自己走过的路就是最好的路。因为人没有办法同时走完两条路,然后到终点时回首比较,人只有一条最好的路,就是自己走过的路。

聂君言罢,狗哥望着他明朗的双目,内心也陡然豁然开朗起来。

三小时的漫谈,狗哥收获的却是聂君十余年的经验,难怪古人会说:“听君一席话,胜读十年书”。

安全是一条漫长的路,但愿每个踏上这条路的人,都能走出一条最好的路。




「推荐阅读」


新锐 | 昂楷科技刘永波:创业九年只做一件事









中国网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,同时有《中国信息安全》顾问支持,是非营利非实体性质的新媒体联络协调和合作互助机制。








人物 ∣ 热点∣ 互动 ∣ 传播

长按关注

投稿及商务合作请在后台回复关键字即可

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存