人物 | 邹庆:我想给你讲“小陌的故事”
编辑 | 图图
“这本书从企业信息安全管理的角度,清晰地说明了做什么、怎么做,是一份值得借鉴的参考指南。”这是中国工程院院士沈昌祥在《企业信息安全管理从0到1》一书中写下的推荐语。
对于一名信息安全管理者来说,厘清每个发展阶段遇到的安全问题,针对每个问题应该做些什么,大概是工作过程中最常见却也是最难克服的麻烦。
而对于一本安全管理类的书籍而言,教会读者在遇到问题时做什么,怎么去做,显然也不是照搬书本就可以解决的那么简单。
如何用文字构建一个庞大的信息安全世界,如何用一本书的时间来为读者呈现企业信息安全建设的过程,如何通过一本书真正给企业安全管理带去借鉴和参考的价值。
作为《企业信息安全管理从0到1》的主要作者,邹庆用“小陌的故事”将答案款款道来。
邹庆对于网络安全最初的认知大概起源于1998年,当他在聊天室里发现有人可以假冒他的ID进行发言的时候,他就明白了一个道理:互联网是不安全的。
当时并没有太多安全方面的书籍和资料,大部分信息都来自于几个著名的网络安全论坛。邹庆很快就认识到,网络安全的世界庞大且复杂,他所窥探的远远不够冰山一角。而这种认知上的启蒙,让他止不住地对安全产生了强烈了归属感。
不同于其他同学在填报高考志愿时先选学校再选专业,“信息安全”成为了邹庆择校的唯一指标。他也终于得偿所愿,与2003年被中南大学信息安全专业录取。
在系统化的学习下,邹庆的潜能被完全释放出来。他也有幸遇到了一群志同道合的朋友,留下了一些令他感到骄傲的回忆。其中记忆最深刻的有两个:一是他们的学生团队主导设计和开发了时任湖南省省长揭牌的湖南省大学生信息港;二是以技术指导的身份参与了有时任广州军区总司令观摩的首届长沙民兵信息攻防分队信息安全攻防演习。
通过专业学习积累的知识,以及在课外活动中取得的成绩,让他意识到自己选择信息安全是一个非常正确的决定,这也更加坚定了他在这条路上一直走下去的决心。
初见北京,是因为一些“浪漫”的原因。
他告诉我,因为自己的女朋友是土生土长的北京人,毕业就意味着她将要回到北京工作。于是他在毕业后果断成为了一名“北漂”,重新寻找适合自己的安全岗位。当时甲方单位的安全岗位还相对稀少,于是在他的个人履历上,便有了一段在江南天安从事安全服务的经历。
我问邹庆:“如果您的夫人知道了这段过往,应该会吃醋吧?”他笑着回答我:“她就是我的夫人。”
乙方的安全服务经历使得邹庆见到了各种各样的企业环境和人,也对安全管理建立了最初阶段的基本认知。两年后,邹庆进入了联想研究院,成为了一名主管研究员,也开始了他到今天为止十余年的甲方安全生涯。
在这十余年里,他先后担任过联想研究院的主管研究员,去哪儿网的安全主管,再到中国银行总行的信息安全经理,陌陌的信息安全总监,最后离开陌陌寻求新的发展机会,基本走过了一名信安从业者在甲方内部安全管理的发展路径。而在这个过程中贯穿始终的,是他对信息安全唯一不变的“热忱”。
因为这份热忱,邹庆在工作中时刻保持着独立思考的能力,这也让他对甲方安全建设以及安全从业者发展当中遇到的诸多问题,有了自己独特的理解。
邹庆认为,由于大多数新晋信息安全管理者都是工程师出身,这导致他们会在一开始通过技术的思维来解决管理上的问题。但技术驱动恰恰是安全管理当中最难以匹配的思路,不仅无法顺利推进安全的工作,也容易在这个过程中与业务之间产生剧烈的摩擦。
在过去十年跨行业跨企业工作的经历中,邹庆发现,尽管行业不同、规模不同,但每个企业在相同的发展阶段所制定的大框架是非常相似的,尤其在信息安全建设上,其实是可以做到行业之间的互通。
而自己通过十年的“摸爬滚打”,已经基本厘清不同阶段安全工作的要务,会遇到什么坑,应该做什么,要怎么做才能取得更好的效果。如果能够将自己的经验凝结成文字,专门讲一讲个中门道,那便可以很好地帮助初入江湖的安全管理者们避开难题,更好地落实安全工作,从而让企业的安全建设进行得更加顺利。
于是,他决定写一本书。
邹庆并不是一个勤于分享的人,这是他在采访中对我袒露的。
他很少去参加各类研讨会,行业内也鲜少看到他活跃的身影。当然,这并不意味着他不擅长分享。作为一名在不同行业不同企业中历练过的安全负责人,每天都要与大量不同业务部门的人打交道,在各种立场和利益冲突中把事办成。这个过程中,他早就练成了很强的语言敏感度和写作能力。
2020年初,因为新冠疫情的原因,大部分公司都延迟了返岗时间,邹庆也因此长期“赋闲在家”,这让他有了更多的时间来思考自己想要向业界传达什么。他试着将自己过去的部分方法论写成了一小段章节,通过朋友联系到图灵教育的编辑,并很快得到了肯定——完成签约,把书写完。
如此一来,写书就被邹庆正式提上了日程。不过,在这之前他还需要解决三个问题:写什么,谁来写,怎么写。
首先,信息安全管理类的书籍,市面上其实并不少见,如果再写一本从概念谈起,通篇讲解理论和理念的书,意义不大。其次,想要通过仅仅一本书事无巨细地贯穿整个企业信息安全建设全过程也并不现实,要么写成鸿篇巨制,要么就只能浮于表面。
总结自身的从业经历,邹庆认为安全管理中,最迷茫、最容易踩坑也最需要帮助的,就是从0到1的过程。所以他决定将这本书的立意,选定在信息安全建设初期,以管理思维、建立团队、建设架构、树立威信这些最小的范围为核心,像一本使用手册那样,手把手给到读者最大化的帮助。
确定了文章的核心方向,接下来就要确定由谁来完成这本书的写作。纵然邹庆自信自己多年来积累的经验和教训,但他还是认为“术业有专攻”,既然无法避免自己在某些领域的欠缺,那就不如让更多专业的人一起达成更专业的结果。幸运的是,他的两位朋友段阳阳和刘洪旺在得知了他写书的计划以后,爽快地决定加入进来。
段阳阳
刘洪旺
不过,有合作就一定会有摩擦。也许是处女座的原因,邹庆总是会反复检查文章中的具体细节,并再三确认内容的实用性;与此同时,因为这本书的出发点,是成为企业和安全管理者随时随地可以参考的操作手册,因此内容的可执行性就成为了他们三人重点关注的另一个重要指标。
以合规管理这部分内容为例,第一版写完以后,三个人读下来的感觉就是:好像都写了又好像都没写,具体做什么不知道。而当第二版写完以后,三个人又发觉:好像知道该做什么了但又没完全知道,太全面以至于找不到重点。
所以在整个写书的过程中,邹庆、段阳阳和刘洪旺三个人每天都在不停地“吵架”,互相拆台找茬,吹毛求疵,以至于让邹庆现在回想起来,产生了一种“竟然能坚持下来简直是奇迹”的感觉。
不过,正是因为这种“斤斤计较”的态度,才让他们三个人始终保持着高度的热情和积极性,每天都至少写作到凌晨1点以后,并且从未停更。
就这样,一本在旁人看来可能需要半年甚至一年之久,总长度达20万字几乎没有摘抄的《企业信息安全管理从0到1》,在短短四个的时间里,落下了最后的句号。
对于一本书而言,我想没有什么能够比“代入感”一词更能够引起读者的共鸣;而对于一本强调参考性和可执行性的书来说,勾勒一个与现实完美重叠的平行世界,让读者在书中找到自己的角色和位置,或许更能适时、适地、适事地解决信息安全工作中遇到的问题。
邹庆告诉我,《企业信息安全管理从0到1》的主线,就是一家企业的信息安全团队从0到1的创业过程。
所以为了更加真实地呈现这段经历,他们在书中虚构了一家信息安全建设初级阶段的企业,一个刚刚成立的信息安全团队,以及一名刚刚加入这家企业的信息安全工程师——小陌。
在小陌的故事里,你可以看到他作为一名初出茅庐的菜鸟,在刚刚负责安全管理工作时遇到的困惑和迷茫;也可以陪伴他一同见证在企业信息安全建设从0到1的过程中,每一个阶段必然将要面对的问题。
当然,书中也详细地将三位作者的经验转化成了每个问题的参考答案,每当在小陌遇到困难的时候,都会总结出解决问题的思考和方法。从一个一个的小难题出发,一点一点克服,帮助小陌一步一步地成长蜕变为一名优秀的企业信息安全负责人。
与此同时,小陌遇到的问题也不仅仅局限于技术层面,包括与领导、其他部门的沟通艺术,思考问题的方式方法和逻辑能力,也是《企业信息安全管理从0到1》中呈现出来的重要环节。
因此,如果你和你的企业正在经历信息安全管理的从0到1,那么你完全可以把小陌的故事当做参考,按图索骥,哪怕按部就班地跟在小陌的身后前进,也可以实现将一支安全团队从0到1的建立。
谭校长在读完这本书以后写下了这样的评价:“这是一本手把手教你从一个网络安全工程师成长为CISO的书!”
邹庆告诉我,这是他第一次系统地总结和分享,同样也区别于过去“讲道理”的逻辑,第一次通过“讲故事”的方式,为安全行业贡献了一本可以在其他人的故事中,读者可以参考和借鉴自身的书籍。
当然,小陌的故事不仅仅只是邹庆、段阳阳和刘洪旺三个人的经历,而是千千万万像他们一样,从安全工程师起家,一步一步成长成为企业信息安全一线管理者的人生缩影。
所以,《企业信息安全管理从0到1》的作者不止三位,它的问世踩在了巨人的肩膀之上。作为作者,邹庆想说的唯有“感谢”二字。
对于这本书的寄托,他希望可以帮助处于信息安全管理初级阶段的企业和从业者,减少工作中可能遇到的阻力和弯路,让信息安全建设变得更加的顺利成功,让每一个“小陌”,都能成长为优秀的管理者。
回顾《企业信息安全管理从0到1》的写作经历,邹庆认为自己是非常幸运的。
他幸运地与段阳阳和刘洪旺两位作者组成了团队,较真、互不服输且执行力极强的三个人之间也幸运地产生了化学反应,让小陌的故事得以顺利地诞生在这个世界上。
而在写作之外,历任老师和老板曾经给予他太多的帮助和信任,这也是为什么这本书讲述的是“小陌”的故事,而书中的“马小陌”,正是邹庆对于他工作后的第一位上级马慧平和编写此书时所在公司陌陌的致敬。
正如前文所说,《企业信息安全管理从0到1》的问世幸运地踩在了巨人的肩膀之上,每一位老师、每一位老板、每一位同事以及每一位在为安全行业分享知识和经验的从业者都是凝结成这本书的“巨人”,邹庆的感谢由衷且溢于言表。
他告诉我,在写书的过程中,他第一次对自己过去十几年安全从业经历做了仔细的回溯,他觉得这是一段非常奇妙的旅程,也让他恍然间从小陌身上看到了自己的影子——原来安全这条路,已经走了这么远。
经过了这次长达20万字的总结和分享,邹庆发现自己的心态也发生了一些微小的改变。作为一个不太喜欢分享的人,他在写书的过程中突然体会到了分享的快乐,期待别人从他的分享中收获成长,也成为了他未来对于信息安全这份事业,又一个新的热忱和追求。
对于安全,邹庆一直认为,安全是为业务提供支撑的,一切工作目标应该建立在支持业务安全稳定发展的同时尽可能追求更高 ROI 的基础上,在这个问题上绝不能本末倒置。也只有这样,安全从业者才来迎来职业发展的良性循环。
当然,这些早已被邹庆写进了《企业信息安全管理从0到1》里。
写在最后
截至我写下这篇文章,《企业信息安全管理从0到1》已经正式在京东商城发售。有读者说它“行文有趣流畅,信安小白未来可期”,有读者表示“不吹不黑,对安全从业者来说真是一本非常好的书”。
而在豆瓣读书上,这样一篇耐心的长评,也许就是对这本书最好的诠释。
对于读者们的评价,邹庆非常感激,也非常兴奋,如果小陌的故事真的为大家带去了价值,那么《企业信息安全管理》的系列,他想一直继续下去。
小陌们的故事,未完待续...
对了,这么好的书我不允许还有人没读过。
截止5月20日,留言点赞前10的读者将会获赠一本由作者亲笔签名的《企业信息安全管理从0到1》,我反正心动了,剩下的就看你们了。
推荐阅读
齐心抗疫 与你同在