查看原文
其他

人物 | 非夕机器人刘歆轶:夙夜在公,云淡风轻

绵总 安在 2023-03-02











这是一个“电脑高手”故事,从最初的网管到现在的智能制造,他始终保持着对计算机的热爱。工作20余载,他致力于推动制造行业信息安全的发展。明明在与信息安全更加密切的互联网和金融企业工作过,却始终不忘制造行业的信息安全。他用其亲身经历,证明了中国人的情怀是骨子里的浪漫。他就是上海非夕机器人科技有限公司的CISO&DPO刘歆轶。


01对“电脑高手”的坚持

1998年以前的刘歆轶并没有想到自己会成为信息安全行业的一份子,作为一位海运工程专业的学生,他曾以为自己的未来是海洋。但船上的枯燥和对计算机的热爱,让他还是踏上了信息安全之路。


1994年,刘歆轶刚上大学,那时我国刚刚连接国际互联网,国内的计算机和互联网技术开始发展。刘歆轶就读的海运工程专业也增添了计算机编程课程,这让他有机会触碰到了电脑。


虽然对编程等计算机技术非常感兴趣,但刘歆轶更执着于电脑游戏。据他回忆,那时候的游戏都是类似《仙剑奇侠传》等单机游戏,联网游戏非常罕见。由于学校机房开放时间有限,刘歆轶不得不去跑去校外的公共机房。后来,随着《红色警戒》等游戏开始流行,众多机房纷纷选择联网。刘歆轶常去的机房没能联上网,原因是老板说需要一个“电脑高手”帮忙。


不能玩到新的游戏让刘歆轶非常着急,“电脑高手”的称呼也让他十分眼馋。为了尽快玩到游戏,刘歆轶决定帮助老板联网。为此,他特意花了一段时间自学组网技术和总线型网络架构,并用同轴线缆成功使机房联网。这是他第一次用实践来验证理论,也是他第一次获得“电脑高手”称号。


毕业后,刘歆轶随船出海了半年多的时间。原本以为他会在这个“与世隔绝”的环境中放下电脑,可是事与愿违,刘歆轶非但没能放下,反而在这个环境中更加坚定了自己的决心。在一片汪洋中,他决心转行。


下船后,他加入了刚刚成立不久的南开戈德集团负责计算机的安装和维护工作。在这里他一边工作一边学习,掌握了很多计算机及网络知识。南开戈德上市后总部搬到了北京,刘歆轶却选择远赴上海,加入了一家台资企业,开启了他和制造行业的渊源。



02初识信息安全

刘歆轶所加入的台企是一家做OEM的网络设备公司,思科、3COM等企业都是其客户。作为一位普通的IT工程师,他对IT相关的知识和技能还需要一定时间摸索,对安全更是没有任何概念。公司决定建造ERP系统时,由于对此并不擅长,刘歆轶有些抵触,但他的直属上级IT经理Roy改变了他的想法。提到这位IT经理,刘歆轶的话语里充满了感激。“我非常感谢我当时的职业生涯导师Roy,是他告诉了我IT在企业中的价值,以及一个真正的IT人应该是什么样子”。


IT经理对他说,一位优秀的IT管理人员要对公司的业务有着深入的了解,而实施ERP系统能够快速掌握公司的业务流程,对未来的职业生涯也会有很大的帮助。刘歆轶听从了他的话语,开始钻研ERP系统的相关知识,并成为ERP项目导入的主要负责人。


后来,一次泄密事件的发生让刘歆轶第一次了解到信息安全的重要性。2003年,公司接下了一个路由器OEM研发生产项目,由于当时公司数据权限管控并不严格,非研发部门的人员未经授权访问了客户委托开发的软件源代码。客户委托的审计师发现了这个问题,整个项目被迫终止,公司还付出了近1000万美元的罚款。


这起事件对刘歆轶造成了极大的震撼,以至于到今天他还对此念念不忘。事故发生后,不仅刘歆轶所处的上海生产基地,连台湾总部都受到了影响。很快,公司立即调整了研发管理框架,斥巨资实施了Clear Case软件配置管理系统,并在前端通过Citrix虚拟机及瘦客户端技术实现数据安全管控。


由于当时Clear Case和Citrix在国内应用极少,刘歆轶只好翻看了厚厚的英文文献,并最终成功帮公司建立起一套完整可用的研发数据安全管控体系。这是刘歆轶对信息安全的首次接触,虽然让他的工作增添了很多负担,但也让他从此对信息安全产生了新的认识。




03真理需要实践

后来,为了更好的理解制造业企业的组织架构和业务模式,刘歆轶去往一家日企担任MIS主管工作。在这里,他作为中国区的IT负责人,在配合总部BS7799(ISO27001的前身)信息安全管理体系工作的过程中,对整个企业信息安全管理框架建立所涉及的方针政策、组织框架、风险评估等领域深入细致地学习了一遍。一次又一次建设安全体系的经验让他对自身能力充满了自信,在朋友的介绍下,他加入了青岛海克斯康。


海克斯康是全球领先的测量仪器制造商,其总部在瑞典。青岛海克斯康的前身是航天部下属的电子厂,与外资合并后需要尽快转变传统的国企风格,以满足与总部先进的IT和安全架构的对接需求,于是刘歆轶再一次从零开始搭建IT及安全框架。恰逢ISO 27001的2005版发布,刘歆轶将这套标准也纳入了框架里。在这里,刘歆轶对制造业的信息安全架构建设又得到了新的理解。工作之余,刘歆轶与几位志同道合的朋友共同发起了“青岛外企IT经理俱乐部”,成功组织了多次活动,会员达300人以上。2010年,由于家庭原因,刘歆轶回到了上海,加入了盛大游戏。



彼时的盛大刚刚分拆上市,整个公司在互联网行业赫赫有名,刘歆轶在这里对照着之前在制造业所积累的经验,逐渐发现了问题。他认为,即便互联网公司相比制造业更加依赖计算机,但是对待信息安全的看法也是相差不多,那就是在没有发生安全事件之前,信息安全都是可有可无的。而他坚信随着全行业信息化的深入,信息安全一定是影响企业发展的重中之重,但对于行业当前的现状也没有任何办法。2012年,盛大由于多方原因退市收缩,许多员工纷纷离职,刘歆轶也离开了盛大,开始探索自己未来的定位和方向。




04热爱需要信念

2012年以后,我国针对信息安全相关政策逐渐增多,各行各业对于信息安全的重视程度也越来越高。刘歆轶认为自己的判断没有错,于是他逐渐放弃IT方面的工作,将信息安全作为自己的主要事业。为了提高自己的理论基础,他先报名参加了PMP的培训,又选择了CISA和CISSP等培训课程。


培训机构发现了他的能力,建议他兼职作一位讲师,用他自己的经验来帮助更多的学员。从2012年到2018年,刘歆轶一边考取证书,一边兼职讲师,偶尔还会作为志愿者协助ISACA、ISC2等机构完成教材和讲义的翻译校对工作。回忆这段教培生涯,刘歆轶表示,这段时间让他结交了很多业内人士,对于全行业的信息安全也有了充足的认识。而且,部分他参与翻译的教材成为了业界经典,看到自己的名字在编发人员名单中,他感到非常的骄傲和自豪。



2018年后,刘歆轶在日常授课中逐渐感到力不从心,单纯的教学和理论研究使得他远离了技术上的实践过程,学员们针对DevOps、云安全、零信任等新兴领域的落地提问日趋增多。于是,为了跟上时代的进步,扩充自己的视野和能力,他离开课堂,加入了一家第三方咨询机构,服务于金融行业的信息安全建设工作。在这里,他才真正认清制造业信息安全发展不足的原因。


金融行业由于受到国家的强力监管,对信息安全尤为重视。刘歆轶表示,金融行业可以称得上是对信息安全最关注的行业,一方面是源于监管的压力,另一方面金融行业充足的资金也可以让他们试验新思路、新技术。整个金融行业的安全业态是非常健康且积极的,即便是互联网行业也难以比足。而制造业由于缺乏监管压力,且对数字化转型并不积极,考虑到投入产出比问题,整体的安全建设意愿不是很高。“目前,制造行业在信息安全方面依然没有达到一个令人满意的状态,在万物互联的环境下,工业互联网、车联网和智能制造等崛起倒逼着企业必须建立有针对性的安全整体架构。我希望这个安全架构能尽快成熟,我也希望能够通过自己的身体力行探索出一条道路,给同行们提供一个参考。”


带着这样的使命感,2020年底,经过慎重的斟酌,刘歆轶最终加入了上海非夕机器人科技有限公司担任信息安全总监一职。非夕机器人是一家斯坦福背景的初创公司,公司管理层对信息安全非常重视,因为作为创新型企业的根基——研发数据是公司创始人及众多工程师们历经数年辛苦打造而来,是企业立足于强手如林的机器人行业的核心竞争力,因此,强大且有效的信息安全体系就格外重要。非夕机器人给了刘歆轶极大的发挥空间,将信息安全部门与IT部门独立开来,成为平行的二级部门协同工作。通过与公司高级管理层的深入沟通,刘歆轶对公司发展战略、信息安全目标有了明确的认识,并与公司就安全整体规划及建设实施步骤达成了一致,开始按部就班的建团队、搭班子,建立企业安全管理体系、安全运营体系及安全技术体系,在实现企业安全目标的同时,也向着自己的理想进发。



05最后

刘歆轶感慨道,过去经历过那么多的制造企业,但是像非夕这么关注和重视信息安全的企业非常罕见。他认为,制造业不能只依靠事件驱动,因为越来越多的网络攻击如勒索、挖矿等开始瞄准制造业,每一次攻击都会对企业带来巨大的损失和影响。想要提高企业的竞争力和安全保障,就要从现在开始关注安全、重视安全,让安全带领着制造业一起快速发展。


从最初的台企到现在的非夕,刘歆轶经历了太多太多,但他对制造业的情怀始终没变。希望刘歆轶能够在非夕实现自己的价值,早日成为他自己心目中的“电脑高手”。




推荐阅读




诸子云 | 活动:5.28南京开发与软件供应链安全主题沙龙



齐心抗疫 与你同在 



点【在看】的人最好看



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存