撰稿 | 蓝河

编辑 | 图图

“六岁那年，阳光慵懒的下午，我躺在江西老家院子里的石板上，做了一个梦——梦里，我的家人和朋友都离开了我，我便一直哭，直到从梦中哭醒，才发现我早已泪流满面。”

“三十多年来，那个梦始终在我脑海里无法散去，我忍不住，就去问了心理医生，他对我说——慧根开得早。”

这是周智坚与我讲的一个故事。他说，心理医生的话，让他更加自信了自己的素养，也让他正视了自己作为安全管理者的能力与眼界。

因为我觉得，但凡认识周智坚的，先不表他是否“好领导”或是“好员工”，都会说一声，他是个“好人”。

周智坚是个好相处的人，无论以怎样的身份面对他，作为他的同事、下属还是朋友，甚至是见他第一面的人，对此，我深有体会。

所以我感叹：“这也许就是天生的领袖吧。”

十几年前，周智坚还在比亚迪的时候，当时领导问过他：为什么你们安全团队每个人总能独当一面，并且迅速成长呢？

站在彼时的节点上，周智坚回答不了这个问题。因为他做事向来都是“随性而行”，他没想过自己和别人有何不同，自然也不明白，自己的同事或员工，会相较他人有什么“过人之处”。

等到几年后，周智坚第一次对工作产生了厌倦，那一刻他才醒悟过来——只有认同某一个人，愿意在他的领导下做事，才能把事情做好，才能更快地成长。

他说，自己有两项能力，一是众所周的信息安全专业能力，二是团队建设、人才培养的水平。

他给我分享了一个小故事：曾经有一回，在所有人无感知的情况下，公司的科技团队做了一次关于“员工工作意愿程度”的分析调查。结果显示，周智坚所带领的信息安全团队，无论是成员的满意值还是开心值，都远高公司的平均水平，甚至横向对比整个行业，都要高出许多。

等到人问起，是不是他提前和同事打好招呼了，周智坚才反应过来，原来还发生了这么一档子事。在他把科技团队同事“暴打”一顿的同时，也就暗暗明白了“自己应该怎样为人处世”这个道理。

所以，周智坚做事有四个原则：第一要方向正确，第二要充分授权，第三要给予员工足够的资源，最后则是要经常手把手地鼓励与帮助。这本质上是一个“成人达己”的过程，而恰好，他又是一个自诩“天生慵懒，不愿意过多插手”的人。

所以，充分地放权也就成了顺理成章的事情。

说到这里，我们不得不提及另一位安在之前走访过的业界大咖——聂君，聂君和周智坚，曾有怎样的渊源？

原来，聂君刚从校园里走出来的时候，进入的就是周智坚所领导的比亚迪安全团队。当然，周智坚说，聂君确实是“一眼望去最优秀”的那个。

他告诉我，当聂君第一次站在他面前的时候，他就知道，聂君的能力非常强。因此他索性就把整个部门一半以上的工作，包括项目、标准等等在内，都交由聂君去做，每每有什么新的任务，他只负责分配，剩下的全凭聂君的自由发挥。

对聂君如此，对其他人也是一样。正是在这样的环境下，每个人的能力都受到了基本的尊重与认可，更得到了充分的授权与发挥，才有了愉悦积极的工作态度，才能够在“愿意去做”这份工作的前提下，把工作“做爽”，把工作“做好”。

只不过，当后来每个人都能成长到独当一面的时候，周智坚却只认为，这是他们自己努力换来结果。

万科集团有一本书，书名叫做《原则》。原则是什么？按照周智坚的理解，就是“让一个人明白工作和生活中，应该怎么样把事做正确，应该养成什么样的习惯”。

不避讳地说，其实这本书很枯燥，但周智坚却看得饶有兴致。他第一个写好了读书心得，并将感受与大家分享，他觉得，可能这就是他骨子里的基因，在引导他做的正确的事情。

他一直所坚持的，就是“帮助别人”——宁愿自己赚的少一点，也要让每一个认识自己的人都觉得“周智坚是个好人”。所以他的人缘很好，哪怕是不相关的工作，也会有人主动找他求援，当然他也从不拒绝，哪怕是本不相干的责任，也会无私地去帮人解难。

从2016年来到万科以后，周智坚在两年不到的时间里，已经读了超过20本书，这也是万科的伟大之处，其中对他影响最大的一本，叫做《爆裂》。

他说，从这本书里，看到了社会变迁之迅速，也学会了尝试去接受。这是一个“拥抱未来”的过程，当然，这当中也包括了困难。

举个很简单的例子，每个员工对于工作上所担心的问题本质上只有一个，就是“利益”。周智坚觉得，在面对这个问题时，我们要做的第一件事，便是“接受”，其次，则是成为“更好的自己”——只有踏踏实实做好自己的工作，做出成绩，让自己成长，才能从变革中生存，才不会成为“利益”中失败的一方。

周智坚告诉我，这个道理是他跟总裁面对面的两个小时沟通中学到的，也是他在万科最重要的收获之一。

他一直试图将这个理念在自己的团队和身边的朋友之间传达，并且他能保证的是，可以赋能到人，给予每一个人足够的资源和平台，帮助他们成长。

哪怕有一天他们学成离去，不再留念，但依稀能记起曾经有一个叫周智坚的人，帮助过自己，是一个“好人”。

周智坚一毕业就进入了比亚迪，第一份工作是修电脑。修了半年电脑以后，转岗去做OA和项目经理，等到涉及邮件和网络以后，才算是正式接触了安全。

所以要追溯他安全的从业生涯，大概要从2004年算起。

当时的领导对周智坚说，集团即将开始做安全。其实他也不懂，只是阅读了27000的条款以后，纯靠着网上的资料和观点的集合，硬是在一个月的时间内，将比亚迪的安全方针给写了出来。

周智坚告诉我，在比亚迪的那些年，他所做的其实远不止安全这么简单。

在做了4年信息安全工作以后，领导把预算、自负盈亏以及资产运维等也都交给了他，可以说那时候的周智坚，除了不碰开发，几乎所有的工作全都做了个遍。

不过在制造业里，周智坚一直有一种IT等同于“挨踢”的感觉，所以他又抽空考取了中大岭南的MBA，尝试着去学习业务上的技能。

他笑着说，通常上MBA的，无外乎三种：拿文凭的、钱多的和无聊的。他应该是属于无聊的，只不过，却恰好还真的让自己学到了有用的知识。

碰巧彼时比亚迪集团刚刚成立LED事业部，周智坚便去筹建了经营策略部，负责项目管理、渠道建设及运营、产品规划等工作。

在比亚迪待满十年后，周智坚在2013年选择离开，并去了中集集团。

时任中集集团的CIO正在重新物色信息安全负责人，换掉一波又一波的人员，始终觉得不够满意，碰巧的是，周智坚的朋友把这件事告诉了他。

他觉得自己还是不太擅长做业务销售类的工作，回归IT才有未来，便对朋友说：“我要去中集。”

朋友规劝他，说那位CIO的要求非常苛刻，根本就是无法实现的目标。

周智坚却摇摇头：“只要你能让我和他见面，我一定能进去，就这么简单。”

朋友拗不过他，只得向CIO转达，说：“如果这件事，周智坚做不了，那你找谁也没有用了。”

CIO一听，便真的和周智坚见了面，结果只谈了一轮，这份工作就确定了下来。

从比亚迪集团到LED事业部再到中集集团，周智坚一共经历了三位领导，他说，从每一位领导身上，都学到了让他受益终身的宝贵品质。

在比亚迪集团，他养成了写笔记的习惯，每天有什么工作，需要做哪些事情，他都会完完整整地记录清楚；在LED事业部，他明白了有些话可以尝试用数字表达，更直观也更有说服力。

而在离开中集集团以后，周智坚更是懂得了如何善用资源，调动一切可用资源为安全工作所用，视野也变得更加宏观。

最终，这些品质带给他的收获就是：只用了短短十句话，就成为了万科集团的信息安全合伙人。

周智坚来到万科最初的规划是：十年的工作四年干完，五年的工作两年干完。从2016年底到2019年初，他已经完成了“五年工作”的承诺，万科集团的信息安全也从过去的初级阶段，达到了所谓2.5以上的成熟度。

但其实，整个万科集团的信息安全团队，正编、外包总共不过15人，要知道，同作为世界500强的企业，其他公司的安全人员，动辄都要几百人起底。

我对周智坚说：“你真的太自信了。”

他觉得，之所以可以凭借这么少的人做成这么多的事，也在于他致力于将每一个人都培养成能够独当一面的专家——至少有一天当他离开这个岗位的时候，他所培养的员工有能力无缝衔接地替代他。

这样的培养方式，势必会让每个人都干劲满满。回过头讲，这也就又成了“好人”相关。

在周智坚看来，信息安全的本质就八个字：变革、体系、对抗、保险。

虽然凭借着过人的能力和超人的自信，他带领团队帮助万科在两年时间里完成了五年的信息安全规划，但这个过程一定是异常艰难的。

安全是什么？是需要日积月累建立起的体系；房地产的特质是什么？在短时间内平地而起，迅速售出。所以在万科做安全，“快速见效”就成了考验周智坚“自信”的第一道关卡。

因此，他要变革——让管理层变革、让执行者变革、让接受者变革。

但是，在我们要求别人变革的同时，有一个问题是很难解释清楚的：为什么要变？不变会怎样？

周智坚说，信息安全这个概念，不夸张地讲，他已经反复强调了超过100遍，每年培训都会作为必考科目来进行意识教育，就差手把手告诉别人到底应该怎么去做了，但依然有很多人“无所畏惧”。

究其原因，还是他们没有把信息安全看做一件重要的事情。甚至说，即便有一小部分人已经意识到并且认可了信息安全的重要性，但贫于技术和能力的支持，最后也只得将这“迈出的一小步”收回，整体上更是让企业的安全建设“退回了一大步”。

所以周智坚认为“安全的本质就是变革”，这与技术没关系，是在了解公司文化、关键利益方以后，把握适当的节奏和火候，结合公司的业务和事件驱动所落地的策略和技术，这也是一门管理的艺术。

安全又分为三个体系：管理体系、技术体系和责任体系。

首先要具备制度和策略，做好安全的培训和检查，对事故及时地调查和响应，并完成合规建设，最终建立管理闭环体系。

其次，周智坚将技术总结成“3+5”——3个场景（防泄密、防攻击、防特权），5个方面（物理、网络、主机、应用、数据）。他认为，如果能将这几个方面的技术做好，就足够支撑企业从防御到数据监察，从内外对抗到模拟演练的安全建设。

但是，因为“人”才是安全的尺度，所以即便企业有了技术支撑，也必须要由组织实现落地才行，这就要求建立组织责任体系。

最简单的办法就是：建立考核指标，每年更新一版，落到各一线公司，主管就是负责人，总经理就是直接负责人。这样的前提下，相信不会有做不好的安全工作。

可是，作为安全从业者，我们都必须要认清一个事实——即使做了那么多的安全意识宣传和体系建设，风险却始终存在。

解决“领导无法理解”这一难题，在周智坚看来，其实很简单：在之前的体系环节里，我们需要做安全检查工作。所谓“检查”，就是不断发现问题的过程，发现问题以后，安全工作者应当通过各种方式不断做好安全事件的通报。

但，万一即便如此，领导仍然无法从根本认为你能把安全工作做好，也就是“信任你有这个能力做好”，怎么办？这时就需要一套“让领导信任你”的机制。

其实，安全是最考验信任的工作，因为人性的本质，是拒绝变化的。要使一个人改变固有的思维模式，接受安全的要求，意识安全的重要，这实际上是一个从抗拒排斥到信任接受的过程。

在周智坚看来，最好的办法就是建立对抗体系。针对此前所说的管理体系，安全从业者可以专门针对体系存在的问题，从第三方视角进行攻击，再不断检查问题、承认问题，最终将原因提交给领导。客观、有说服力地告诉他，安全工作哪里做得好，哪里存在问题，让他知道，花出去的钱没白花，未来的钱应该花在哪。

因此，对抗在企业信息安全体系里的地位尤为重要，归结起来无非就是“技术防御上的对抗”以及“管理上的对抗”，只要不断晾晒安全问题和事件，一定可以促进安全工作者和执行者的不断进步与提高。

最后，对于管理者最不能理解的“保险”，周智坚的做法是：对内，联合审计部门与人力部门，不断通报安全事件，用数字来直观解释安全的建设为企业减少了多少数据的丢失、泄密和财产损失。

对外，要与监管部门保持良好的关系，虚心听取监管部门给出的建议并及时调整。联合行业内的企业组成联盟，互通有无、取长补短。确保企业具备快速取证的能力，做好各部门之间的沟通和协作，才能基本满足保险的诉求。

周智坚一直在思考一个问题：为什么过去信息化程度非常高的制造业，却在这短短十年不到的时间里，被互联网企业完全超过了呢？

究其原因，还是ToB成为了风向和大头。

所以他非常认同马化腾所说的“全面赋能ToB”。那么科技赋能在哪——数字化、自动化和智能化，也就是我们所说的AI和IoT安全。

对于未来安全的趋势，周智坚认为，物联网领域是安全的未来，也是安全从业人员的未来，那是实实在在的生产安全。无论是产业园区、商业办公亦或是企业生产线，想要把包括能源、道闸、摄像头、门禁、生产设备在内共几十类场景的安全做好，是非常难的事情。

同时，由于当前IoT设备之间还没有一套统一的行业标准和方案，所以物联网领域会在未来很长一段时间里陷入抢夺标准权的局面。但是对于企业来说，物联网的安全就是生产安全，所以想要实现长久的物联，必须保证安全。

在他看来，物联网安全要从两个层面分析，首先是平台层面，简单地说，就是“数据中台”、“业务中台”和“网关中台”；另外一层则是边缘应用。

以一个产业园区为例，假设园区内安装了道闸和摄像头的物联网系统，那么这个园区里除了相关的IoT终端设备、传输线路以外，还有可能包含第三方网关——由于行业标准不统一，IoT公司互不服软，只得找第三方切入。

这个情况下，边缘域的安全问题就会变得尤为突出。涉及到道闸付款收费，往小了说就是钱和用户隐私的事情，然而涉及到能源生产领域，往大了说那可就是人生安全问题。

所以安全实实在在要运营到未来的园区里，但又无法像企业内部安全一样通过内网隔离的方式来进行。如何“轻量级”地实现安全的运营，就是物联网行业正在面临的巨大问题。

周智坚的想法是，因为物联网是动态的，所以第一是解决“可视化”问题，第二是做好“基本的防御”。同时，因为物联网的本质是生产，必须具备安全的业务逻辑，即时的运营和数据分析，所以第三点，应当尝试研发一款轻量级的物联网安全ERP。

不过让他头疼的是，由于人手不足，这些想法一直难以开展，目前也只是做了第一版的企业物联网安全标准，并探讨了相应的落地方案。

提到IoT，自然也不能逃离5G的话题。周智坚作了一个大胆的预测：基于5G基站“高成本、高带宽、高密度”的特点，运营商就成了网络提供商，届时，企业便无需自建办公网。

当所有的企业都使用基站网络的时候，网络的边界也就从此消失了。办公终端的统一安全管理会变得越来越重要，如果想要对访问系统的所有终端设备做好管控，就必须要满足两点：看得到、管得了。

从前年开始，周智坚便已经带领团队开始陆续研究和上线准入产品。首先是动态可视——看得见，简单来说，一款产品的品牌、型号，扫描一下，一目了然。然后是动态授权——管得了，对访问设备进行权限检测，如果安全系数发生了大幅度的波动，及时管控，拒绝访问。

周智坚说，这种动态可视的产品，他算是全亚洲最大的项目之一，即便是顶着全公司的压力，也硬是把这件事给做了出来，因为他认为，这会是拥抱5G时代安全的一大趋势。

他发现，很多公司信息化达到一定程度后，应用系统数据的风险就会变得很高。一是因为数据湖的建立，企业会把所有的数据都扔到一个池子里来；二是一些业务系统的数据，比如客户、资金、财务、人力等，通过传统数据加密、脱敏和权限控制，已经无法满足安全诉求。

在业务系统发展到一定阶段以后，还需要进行数据的治理和消费，届时就会有更多的数据被投放到数据湖中，就存在严重涉及GDPR这类隐私保护的安全问题。

所以，除了IoT和5G安全外，基于大数据平台的安全，也是周智坚未来侧重的一大方向。

回顾自己的从业生涯，周智坚觉得自己的确也称得上是“幸运的人”。

他亲眼见证了比亚迪从5000人，25亿产值的制造公司，发展成20万员工，1000亿产值的汽车帝国。正是因为比亚迪的高速发展，一定程度上帮助了周智坚的快速成长，所以对于他来讲，比亚迪就是第二故乡。

在管理工作中，他推崇“讲话1分钟，干活5小时的原则”，因为他觉得，领导布置任务所花的时间和员工工作的时间一定要有至少1:25的匹配度。如果一件事，几分钟就能够做完，那么这样的管理就是没有效果的，并且对于资源来说，也是极大的浪费。

对于从业者，周智坚有几点总结和建议——所有企业在面临决策的时候，一定要掌握逻辑和技巧：第一，同样的事，别人是怎么做的，标杆是怎么做；第二，你自己的判断是什么；第三，业务应该怎么做。

只有把逻辑讲清楚以后，别人才不会推翻你，才会相信，你是真心诚意，并且有能力帮助他解决问题。

他说他最喜欢听郭德纲的相声，以至于养成了风趣幽默的素质。每每授课公司内部培训，总有学员会第一时间认出“周老师”来，问其原因，才知道自己早已在外落得个“说话搞笑”的名声。

他觉得这是非常好的特性，也在告诉自己的员工，少想些有的没的，把自己该做的事做好以后，就尽情地“哈哈大笑”去吧。在这样的心态下，才容易越工作越开心，越开心也就会越专业，总而言之，一定会受益终身。

所以他现在搞了个“安全吐槽活动”，彼此之间有什么做的不好的地方，尽情地批评，当然，如果有值得表扬的，也不要吝惜吹捧。

除此以外，无非走走路、看看电影，再无更多爱好，人生也就这么简单。

写在最后

截至发稿前，我听闻，周智坚即将离开万科，奔赴他职业历程的下一站了。

具体的细节，他没有多说，但这没什么值得操心的，毕竟像他这样的人，走到哪，都一定是最令人幸福的暖阳。

不论前路如何，我在这里衷心祝福，愿顺遂、安好。