查看原文
其他

人物 | 宋士明:我们都需要抱团取暖

蓝河小天使 安在 2022-07-10




2020年10月,诸子云南京分会成立,作为垂直于南京地区的安全从业者社群,在成立以来的一年多时间里,已经吸引了近两百名优秀甲方安全业者的加入,并举办了两场极具深度和规模的专题研讨会,输出了许多宝贵的能力和观点。


作为分会长的宋士明,从业多年,一直热心于各类安全活动和组织的建设,热衷于促进甲方安全业者之间的分享和交流,在南京分会筹备到运营的整个过程中,他也始终积极参与社群的共建,为帮助专家会员更多地发声,打造一个甲方安全业者交流互助的平台,付出了不小的努力。


因为在他看来,每一名安全从业者都需要抱团取暖。





临危受命和正中下怀


2005年,正在通信工程专业读大三的宋士明拥有了人生中第一台电脑,只不过不同于其他同学的热爱,宋士明的开机次数很少,也没有对电脑及互联网产生什么兴趣,而是更多地将精力投入到了专业课程的学习当中。


迈入最后一个学年,宋士明成功保研,毕业设计也基本完成,看着室友们已经开始为找工作而四处奔走,闲来无事的他这才想起来自己的电脑已经吃灰许久,便试着重点选择一个专业方向,研究起了计算机网络。


研究生毕业后,宋士明顺利进入了当地的一家运营商单位,负责前端系统的运维工作。仅仅三个月后,为响应国家政策,单位开始了三网融合,他在这个时期转岗终端科,开始负责终端相关的工作。


然而,相对于“机顶盒”,彼时的宋士明已然对“路由器”有了更多的偏爱,于是他开始继续大学时期没研究完的计算机网络,积极地自学互联网相关知识,也第一次对互联网及网络安全有了最基础的认识。


从运营商离职后,宋士明一共换了三次工作。他先是入职了一所高校,担任实验岗教师,负责学校高性能计算中心相关系统的运维和机房管理工作;而后加入了当地的一家国企,并有史以来第一次被安排在网络安全相关的岗位上;仅仅几个月后,宋士明便成功上演“帽子戏法”,进入了当地的一家证券公司,直到今天。


2015年1月,A股迎来了新一轮牛市,上证指数和创业板同时暴涨,券商机构也在这样的大环境下迎来史无前例的迅猛发展。宋士明最初担任的是网络工程师一职,为了配合业务发展的需要和遵循行业实践经验,团队内部开始进行岗位调整,从现有的网络工程师岗位中,抽调部分人员,设置专门的网络安全岗位。


宋士明告诉我,尽管得益于金融行业的强监管的属性,公司在网络安全的建设上起步较早,也已经落实等保工作,但基本以满足合规为原则,安全建设发展缓慢,能满足合规要求就尽量不做加法,整体的安全体系建设也有待改善;与此同时,由于一直以来都缺少专职的网络安全人员,安全的产品和框架也亟需进一步整合和规划。


2015年底,领导找到宋士明,希望他能够将工作重心转向网络安全,专门负责公司的网络安全建设。虽然这一切来的很突然,但宋士明的心里却乐开了花,因为他向来善于对事物进行长远的分析和判断,而在从事了几年网络相关的工作后,他已经深知其中的瓶颈。


他说,网络最大的要求就是确保稳定,一旦企业规模不再膨胀,网络规模也不再扩大,所需要的相关工作就会因此受到限制,也很难有创新的网络应用,学习的新的网络技术可能无用武之地,工作的成就感就会大打折扣。。


而网络安全在当时在整个行业还算是一个全新的细分领域,涵盖了非常多的维度,有着令人眼花缭乱的专业知识,提出了近乎做不完的工作内容,这对于喜爱学习,对发展前景有强烈追求的人来说,无疑是一个非常好的选择。


所以,虽然临危受命,但其实正中了宋士明的下怀。也便是从这个时候,正式开启了他的专职安全生涯。




来自亲身的经历


实话实说,宋士明算不上科班出身,而在正式转岗安全之前,他在安全相关的专业技能和工作经验上其实也没有深厚的积累;与此同时,受制于实际案例的缺少,宋士明对安全的认识也大多停留在理论层面。


所以,彼时无论是宋士明还是公司,对于安全抱有的都是走一步看一步的态度,直到他遇到了这样几起安全事件。


在他刚开始负责安全几个月左右,公司曾发生了一次漏洞事件,由于当时在与黑客斡旋的同时紧急更改了系统架构,迫使漏洞失效,所以很幸运地度过了那次危机。但因为整个过程十分顺利,反而使得宋士明并没能真正感受漏洞的危害。


2017年3月,Struts2 S2-045漏洞及其工具在网络上传播开来,出于好奇和学习的心态,他找到了境外一个基本废置的服务器,在确保不会破坏其系统稳定和正常运转的前提下,执行了漏洞。


当亲眼看到远程服务器上某个归档的日志文件被轻而易举删除的时候,宋士明震惊了。他从未亲眼所见漏洞的危害竟然如此之大,并且一个自动化的漏洞工具,可以由任何人来使用,不需要具备所谓的专业知识,就能够在网络空间对系统进行肆意破坏。


震惊过后则是后怕,他不禁回忆起之前那起漏洞事件,如果不是通过特殊的方式解决了问题,一旦中招,以当时整个安全团队的能力来看,可能很难及时地做出处理,如此一来,必然会对相关系统造成严重影响,无疑会使业务受到巨大破坏。


自此,他开始正视安全的重要性,也激发了自己对于安全浓厚的兴趣。除日常工作外,他疯狂地补习网络安全领域相关知识,通过参加各类安全培训和自我学习,学习了CCIE三个方向的全套课程知识,考取了包括CISSP/CISA/CISM/CRISC等在内十几本专业证书,全方位补充了自己网络安全知识和并在项目实践中锻炼了自己的能力。


然而,虽然宋士明迎来了自己的意识觉醒,但从公司的层面来说,安全依然还归属“成本部门”,安全建设也还行驶在慢车道上。


2019年春节前夕,刚刚休完年假的宋士明正准备回国,在前往机场的路上,他接到了一通紧急电话。电话那头同事告诉他,公司的某个系统遇到了一点问题,希望他能够尽快安排处置。


刚一落地,他就马不停蹄地赶到公司,通过协调安全服务商一起排查与处置,在最短的时间内解决了这一次安全事件,并进行了一系列的溯源分析和后续处理。


在事后复盘和总结经验教训时,宋士明感叹:“幸好这不是一起勒索事件,否则后果不堪设想,将极有可能影响业务系统的正常运行。”这件事也让整个公司更加重视安全的重要性,正所谓只有自己经历过,才能感受最直接,认识最深刻。


近年来,得益于国家各项网络安全相关法律法规的出台以及公司对网络安全认识进一步加深,安全建设迈入了较快的发展阶段。


在公司的大力支持下,信息系统的建设运行,安全有了更大的重视度和参与度,安全工作的开展也变得更加顺利,其中最突出的就是防病毒。


宋士明告诉我,虽然在他负责安全工作伊始就开始推进防病毒的工作,但进展一直都非常缓慢。由于防病毒软件需要安装在服务器上的不太容易让系统运维人员接受的“反人性”特点,使得运维部门比较抗拒,为确保业务系统稳定性,安全又不得已要迁就运维部门。


但通过政策和事件的驱动,公司自上而下对安全都有了更加深刻的认识,意识到安全原来离自己这么近,对于安全渐渐也有了主动拥抱的意愿。经过各部门之间的不懈努力和紧密协作,防病毒工作取得了令人满意的结果。


然而,正当宋士明自我感觉非常良好的时候,现实却又给了他当头一棒。


2021年,宋士明第一次真正意义上在公司内部组织了一场网络安全实战攻防演习。尽管早在很多年前公司就已经把攻防演习设置为安全服务专项,但苦于防守方人手不足,缺少完善的安全纵深防御措施等原因,始终没能真正得到实战的检验。


就在这次演习中,他真正切身体会到所谓的“攻防不对称”,见识到了各种远超“假定”的攻击手段,也看到了“人”在安全中的脆弱。


宋士明告诉我,一直以来,他都坚持在公司内部通过各种方式开展安全意识培训,定期进行考核,并且测试的通过率也很可观。然而在真正的攻击面前,当员工们接二连三地打开钓鱼邮件并宣布中招的时候,他才意识到应试和实操完全是两件事情。


在这次攻防演习之后,他深刻理解“人是安全最薄弱的环节”,并认识到过去基于假象,假定攻击者思维和方式所采取的防御措施,完全遵照监管要求所进行的安全建设,还远远不足以称之为“安全”。


但这是好事,因为宋士明知道了接下来的路该怎么走。




走在正确的道路上


前面有说过,为了配合业务发展的需要,公司在2015年的时候将互联网前端系统的网络安全职能统一归并到当时所在的二级部门,所以在进行网络安全建设的同时,宋士明也一直在着手前端网络安全架构的改造。


由于是线上系统,只能通过逐步替换的方式,这个过程足足经历了五年之久。直到今天,该系统已经建立了较为完善的互联网纵深防御的前端模式,并形成了标准化的交付方法,简单来说,任何业务在上线的时候都不需要再额外采购网络安全设施,就可以被安全团队赋予全套的安全能力。


对宋士明来说,这套前端网络安全架构最引以为傲的地方在于标准化和可复制性,就比如近期准备建立的同城灾备机房,就可以直接进行复制。并且这套系统还具备很好的扩展性,可以持续不断地支持新技术、新功能的接入,以此来应对监管提出的新要求,以及持续变化的网络安全风险。


因为在他看来,安全工作者需要耐心、细心,安全工作要做得细致、面面俱到,把资源用到极致,并且要走在前面,形成标准化。这样一来,才可以在遇到任何业务以及监管要求的时候,以最快的响应速度给出明确的答复,可以预见的项目工期,避免重复工作,才能够在加码安全的同时,确保业务的效率,为业务创造价值。


以应用系统为底座,安全团队还取得了这样一些成绩。


首先是资产盘点。由于业务大多集中在数据中心里,且数据中心的端口由安全团队管控,因此十分便于资产梳理;基于标准化的架构,可以更加清晰准确地对资产进行盘点;同时还会定期委派外部安全服务团队进行漏洞扫描和渗透测试。


其次是防病毒工作。一是内网防病毒已经达到了预期的目标和覆盖率,二是自攻防演习过后,在公司范围内为所有互联网终端全面安装了一体化安全软件,通过其中包含的防病毒、补丁管理、桌面管控、网络准入、安全DNS等安全措施,基本杜绝了互联网办公终端失陷的问题,实现互联网终端的统一安全管控。


尤其是通过统一管控的一体化终端安全软件,几乎可以一手抓互联网终端的所有问题,对终端的属性、系统版本一目了然,对特殊类、业务办理类的终端,采用更加严格的管控力度,在安装一体化终端安全软件时,开启更多安全功能,实现更多维度的安全管控。 


宋士明告诉我,对于手机端的安全沙箱,他们算是起步较早的,也可以称得上证券行业的典型。


由于公司非常重视企业文化建设,所以对内部文件的转发提出了非常严格的要求。于是从2019年开始,安全团队与业内的优秀厂商合作,对手机端的安全沙箱进行了轻量化的建设。不仅可以平滑地支持现有的内部应用App,还真正实现了个人空间与办公空间的隔离,确保App的安全管理和文件的安全存储。


统一身份认证是宋士明认为当前证券行业亟需改进的环节。由于应用系统繁多,各自拥有独立的账号体系,而弱口令的改善又经常会受到其他部门的“逆反”,所以在厂商的帮助下,安全团队构建了公司级统一身份认证平台,并成功对接了二十多个内部应用系统。


通过统一身份认证,不仅提高了系统用户登录的安全强度,并由于其随自带来的单点登录功能,也极大地提升了办公效率和用户体验,得到了来自公司内部的一致好评,安全工作的认可度和支持度也实现了极大地增长。甚至于在参加行业的一些交流时,每每提及此事,都会让同行们羡慕不已。


不知不觉,截止今天,宋士明专职从事安全已迈入第八个年头,经过不懈的努力和坚持,带领网络安全团队打造了一个标准化的网络安全边界纵深防御架构,做到了端点防病毒100%的覆盖率,形成了一套成熟的安全运营流程,实现了从开发上线到安全上线的转变。


安全更多地融入到公司的发展当中,成为一个业务,一项服务,扮演着越来越重要的角色,获得了更多的认可和需要,由于安全是底线,安全工作也拥有了越来越多的话语权。


这种成就感让宋士明坚信,自己走在了一条正确的道路上;而这种状态则让他更加高兴,因为在他看来,安全是非常需要“抱团取暖”的,而安全所要拥抱的,绝不仅仅只是我们自己。




我们每个人都需要抱团取暖


如果要形容甲方安全工作的现状,大概依然还主要呈现“压力大,担子重,难开展,自嗨大于外界实际认知”的状态,这一点宋士明也深有体会。


因此在他看来,安全必须要把自己看做成一种服务,甚至是一项业务,要站在业务的视角和立场上,理解业务、结合业务,才能够给业务和企业发展创造价值,让业务受益于安全,并在这个过程中认同安全、依赖安全。


这样一来,作为安全从业者,才能够在证明自身价值的同时,收获足够的成就感。而在行业里,我们时常会遇到“一个人的安全团队”,当他们在面临新的安全挑战时往往手足无措,举步维艰,所以也需要同行之间的相互交流和协作。


而这种互相帮助、互相成就的过程,就是安全与安全、安全与业务之间共同陪伴、共同成长的“抱团取暖”。


除了业务视角外,宋士明认为安全从业者还需要具有技术选型的能力。毕竟安全预算始终不够宽裕,一定要把每一笔钱都花在刀刃上,深刻厘清自己的现状和需求,充分了解安全产品的本质、基因和能力,既确保面面俱到,也要避免浪费重叠。用最长远的视角设置安全的宏伟蓝图,用有限的资源实现最大的能力,由点到面,先解决主要矛盾后解决次要矛盾,将安全体系一步一步地搭建起来。


总的来说,作为一名安全从业者,尤其是一名甲方安全从业者,一定要有全局思维,更要有主人翁意识。


宋士明表示,网络安全不会被人工智能所取代。因为安全的本质是信任,而信任的根本在于人性。人性无法依靠机器学习来复制,机器本身也始终存在漏洞;数字空间中持续不断的对抗以及动态的安全攻防,更是需要安全从业者通过人的思维不断学习和完善。


但反过来说,这也会让安全的工作不断加码,压力日益增大。尤其随着网络安全进入2.0时代,我国在立法、监管、执法等层面都上升到了全新的高度。所以需要养成苦中作乐的习惯,也需要一个人对于安全真正的热爱。


当然,压力和机遇始终是并存的。更多的要求也就意味着公司层面对于安全更多的重视,以及持续增加的投入,这让整个安全团队都有了更高的业务参与度和成就感,也有了尽情释放自我的舞台。


所以他非常感谢公司给予自己的信任和支持,也庆幸有这样一支团结又勤奋的安全团队,彼此抱团取暖最终收获了今天的成绩。


安全行业当前的重点,宋士明认为在于数据安全和开发安全。虽然网络安全工作发展至今基本已落实七七八八,但对于数据安全,无论是甲方还是厂商,在他看来都还是只刚刚起步——既没有成熟的概念,也没有统一的标准,更不能解决所有的问题。


作为甲方,即便在企业内部制定了比较成熟的规划,但苦于缺少成熟的产品和解决方案,导致数据安全建设很难在短时间内提升到比较理想的水位。这是整个行业的痛点,也是宋士明当前最为困惑的事情。


所以除了建设网络安全运营平台之外,他还计划在未来打造数据安全运营平台和开发安全运营平台。这显然不是一朝一夕的事情,也不是一家企业就可以解决的问题,归根结底,我们还都需要抱团取暖,需要甲方和乙方,需要整个网络安全产业共同的努力。



写在最后


回顾自己的职业生涯,宋士明觉得这既是巧合,也是必然。巧合的是领导刚好在茫茫人海里选中了自己,必然是天生好学的性格以及对职业发展的追求,让他终究会选择踏上安全之旅。


等到真正认识安全以后,他才逐渐意识到,安全的重要性不止局限于眼前,更在于未来。包括《个人信息保护法》《数据安全法》的相继实施,网络安全审查日趋严格,乃至当前正在发生的网络安全战争,都在发出一个响亮的声音——网络安全大有可为。


而更是在金融行业这样一个保护国家资产,保护老百姓钱袋子的行业,安全永远是必选项,是必答题,是永不落幕的朝阳,拥有最为广阔的前景,也让宋士明感受到了无穷的动力。


所以,对于安全,他非常喜欢,对于曾经的选择,他十分庆幸,对于未来,他会坚定不移地一直走下去。






推荐阅读




人物|李程:道路,只为合格的人敞开







齐心抗疫 与你同在 




点【在看】的人最好看





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存