查看原文
其他

人物 | 姜山:敏而好学,老成持重

管窥蠡测 安在 2022-07-02




“黑客最早源自英文hacker,最初曾指热心于计算机技术并且拥有高超水平的电脑高手,而电影里出现的这人就是黑客,他的目的是为了获取一些机密的信息。”


姜山说,生活中最接近自己工作的内容可能就是为孩子解释了一下黑客相关的电影情节,电影中黑客炫酷的情节容易引起观众的兴趣,而作为防御方日常的工作却是隐藏在背后难以引起关注。作为从业者来看,其实信息安全一直伴随着新技术和新概念的发展,并且需要不断的学习和积累,可以说它正符合了人类天性上的好奇心、求知欲,是一个充满乐趣的领域。


“黑客也好,网络攻防也罢,是不是很有趣?大家是不是都挺乐意去了解的?可为什么我们安全行业的人才缺口始终是问题呢?主要原因在于从业人员基数太小,没办法持续向上输送,可能每个公司都有IT人员,但很难都有安全人员。特别是安全资源大多都集中在头部企业,也差不多都在一线城市,很多时候想要真正进入这个行业还得跨地域工作,这对很多人来说就成了非必要的选项。”


姜山告诉笔者,他认为想兴起任何一个行业或任何一件事物,都得从需求说起,如果各种中小微公司都开始对安全有实际的需求,那这个行业的人才输送就不会再成为问题。而访谈就是在这样的一问一答下让笔者更多地了解到,姜山眼中的安全是怎样的。



(姜山 某投控集团安全负责人)





五年积累


2013年,姜山来到了一家金融支付卡生产企业,由于银联、Visa、万事达这样的信用卡组织都会有监管要求,因此银行客户的安全要求也会比较严。而有意思的是,虽然企业对安全上的要求比较高,体制上也相对完备,但投入的资源却相对比较少,很多时候这让姜山不得不通过一些非典型的手段来实现安全目的,在满足合规要求前提下提高业务运行效率。


“除了信息安全,连生产现场的安全我也要管。比如保密材料,不管是芯片,还是银行卡上的防伪标记,包括一些磁条信息,这所有的材料在整个生命周期的过程中都需要做相应的管理。除此之外,消防安全、物理安全、安全培训等都纳入了我们的部门,因此我们部门不叫信息安全部而叫安全管理部。同时我们当时和IT部分是分开的,双方是平行的,一方面要让他们支持IT技术的事儿,另一方面还要给他们提安全要求。当然,安全合规这块也在我们的工作范围内,也是工作的重点。”


曾从事产品研发的姜山在面对自身安全经验不足和公司资源投入较少的困境下,不得不重新学习各种安全相关的专业知识。好在曾经的经验与安全有一定的关联,比如加密算法、访问控制等,姜山或多或少都有所了解,因此他之后便将更多的关注点放在了实操上。


“网络安全、主机安全、渗透测试,各类知识基本都是自学。而合规方面,由于全国80%的银行都是我们的客户,所以当时公司可能每年都有上百次的现场审计,在这个过程中我学习到了比较多的金融行业安全经验。通过审计时所提出的要求和建议,一方面可让我更好地了解安全策略要求,另一方面又可以促使我们不断地优化自身策略。这种种经历可以说给我之后的职业道路也带来了很大的帮助。”


可以想象,金融行业的监管之下,标准化一定是极其严格的,而面对这种种压力,姜山能够从内外部审计问题的应答和处理中成长,同时还能在学习过程中将各类IT信息的记录、变更、配置都完全按照标准执行,若姜山对自己没有绝对的要求和毅力,那便无论如何也坚持不下来。而最后的结果也显而易见,公司安全审计工作一直顺利进行,同时这也让姜山对信息安全体系有了完整的运营经验。



从一个安全工程师到安全管理部的经理,五年时间。姜山说,自己在这公司里做了五年才真正触碰到了安全行业、进入到了安全圈,而这五年的经历让他对安全有所了解的同时也形成了自己的知识体系,姜山觉得让他在安全行业里登堂入室的正是这份工作,而之后的工作经历只是在延续之前的所学所悟,好比在原来的知识体系里增加和升级了一些知识点。“DevSecOps、零信任、安全运营,其实都是在原来的基础上向外拓展,而我的安全建设思路、安全基础知识、规范化都是在这五年里积累的,并形成了自己的安全管理逻辑。”



知识面和管理思维


而让笔者好奇的是,在这家制造业公司里,当初安全部门的工作那么杂乱,姜山又是为什么会决定留下的?


“两个方面。其一仍是我方才提到的,在审计的过程中会涉及到许多的内容,比如公司管理、财务、合规、运维等,这些问题或说要求,都是由对方提出我们再予以解答,那么日积月累便也让我从中学习到许多关于公司治理、管理的内容。其二,部门虽杂,但其相应的板块像消防安全、生产安全等,都已有相应的主管,而我只需将任务分配给各级主管就好,并不需要管得多细,所以对我来说,虽然涉及的内容比较多,但并没有太大的压力。”


以此为引,姜山又聊了信息安全和产品研发之间的不同。姜山说,就行业来说,信息安全要学习的内容比较杂,涉及面更广。像研发工作或许只需要关注某个项目某类技术,而信息安全要接触软件层面、硬件层面、运营层面,同时在管理上与合规、审计也都有关联,各个层面的内容都要有所了解、都要去学。同时,比起更偏技术的研发岗位,安全需要做好更多沟通层面的事,特别是和领导、业务部门,这也是一直需要提升的。


另一方面,做好信息安全需要良好的管理思维。最简单的道理,因为涉及的部门、领域比较多,而且安全部门大多是为其他部门赋能、做保障的,所以管理思维就很重要。得懂得怎么和各部门之间沟通,将各种部署落地,安全部门的目的是需要他们自觉自愿的来配合你,而不是亦步亦趋。所谓“三分技术,七分管理”,其重点就在于怎么将安全系统、安全意识落实下去,只有其他部门越来越乐意和信息安全配合,公司的安全才能得以保障,安全部门的重要性才会被凸显。


而对于金融行业,姜山认为其最核心的驱动力就在于监管。


“我觉得安全在各个行业都是相通的,就好像各种体系、标准,不管是数据的分级分类还是ISO27000,其底层逻辑都是一回事。比如从网络安全落到数据安全只是更加细致化,但是它的核心要素始终是资产管理的思路。而金融行业比较特殊的点就在于监管。金融监管会提出很细的要求,以至于哪怕是同属金融行业,比如证券、期货或者资管,他们的监管要求都会有所差异。因此,在金融行业里只有研究好如何将监管落地才能做好安全。”



姜山指出,金融行业里除了一些大的银行和证券机构,其实很多小型金融机构对信息安全的资源投入也不足,他们或多或少就是为了应对监管,比如在体系上的监管要求、组织架构、文件上的解读等可能是合规的,但是具体的技术控制、策略落地落地效果不佳,这或许会是一种潜在的风险。



向上沟通可能是安全建设的瓶颈


2018年,姜山来到一家医疗器械生产企业。两个月后,集团IT负责人离职。于是临危受命,姜山成了整个IT部的负责人,不仅要负责信息安全,还要负责系统运维、软件开发等工作。由于企业的主营业务是医疗器械,所以姜山的工作职责更多的是维护其生产工艺、配方和所有核心产品的保密性安全,不同于上一份工作,更多关注的是保密。


紧张、严肃的企业文化使每个在其岗位上的职员都充斥着拼搏之后所留存下来的强势,因此部门之间的沟通会比往常更难。由于每一个项目针对业务的需求都涉及到大量的定制流程,项目实施过程充满反复。对姜山来说,信息化管理需要服务客户、安全管理又要求加强控制,服务和管理同存,所以和业务部门之间的沟通就成了必定要克服的挫折。


“比如做安全策略的时候往往是循序渐进的,不可能从零突然到100%,会有过渡的过程,而这过程往往就很难被认可,做到20%的时候业务部门会觉得仍旧有很多渠道在泄密,那些这20%的工作就是没有意义的,没必要遵守,这可能是安全建设时都会遇到的问题。”


对此,姜山认为最主要的还是不断沟通,包括培训、包括安全意识的宣讲,其目的就是为了不断地灌输安全概念,而其中最关键的一点则是得到老板的支持。再强势的部门最后不都是在为老板打工?若能让老板重视起信息安全还有什么部门敢忤逆呢?能否和老板做有效沟通也是衡量安全管理人员能力的重要因素之一,这也是个人发展和安全建设能否更进一步的瓶颈,但是这可能也是自己的弱点。


相应的,姜山为此付出了诸多努力,在员工内部信息安全意识的宣传上,姜山不但组织专项会议进行攻击实例的演示,还收集了大量资料做成视频教学,并申请各种奖品奖励给培训优秀的员工,这诸多安全意识上的策划依旧离不开公司领导层的帮助。而由于企业文化的推波助澜,姜山在两年不到的时间里,才得以将防火墙、VPN、防病毒、终端数据防泄密系统等都顺利落实到位。


而对于期间所学,姜山说道:“在不同的企业文化下做安全,他们思路也不同,实施的路径会有所差别,如果整体文化比较开放、轻松,那么严格的终端策略就会比较难实施。其次,通过这几年的学习、经历,我个人在安全与IT的关系上又有了更深层的思考,或说有了一些新的思路。精义在于笼统的一句相辅相成,而其实所包含的内涵远不止如此。在IT并不成熟时,安全便做不到太高,而若IT达到了一定的成熟度,那安全也必须要配套,否则就会有较大风险。所以安全团队在做安全的时候,也要先评估IT的成熟度。”

为此姜山举了些例子,他提到如果IT没有完善的资产管理或CMDB,那安全部门去做基础的资产管理就会比较难。所以姜山认为,IT要有一定的基础,安全才能做得更好,这就是所谓的相得益彰。



学习上的方法论


曾经游走在各个领域的姜山早就将信息安全视为自己最主要的职业发展方向,而为了能够继续深入安全这条路,姜山加入了金融相关的某投控集团负责信息安全工作。经历过各种行业、和各部门都有所接触的他对信息安全有着足够的认识,同时他也看到了安全在各行各业里的发展情况,因此他认为:行业特征对信息安全最大的影响在于关注点不同,比如科技创新型企业更加关注技术保密,而传统制造行业可能更加关注系统可用,不论什么行业,信息安全的框架大体是相同的。



另外,姜山觉得学习信息安全得有毅力、有耐心、有兴趣,就好像他自己,过去做的是开发,但自转入信息安全行业起,他就没有停止过学习的步伐,从最基本的系统、网络安全知识、安全风险、审计管理,到渗透测试,再从各类安全工具到各种合规条款,姜山可谓是走到哪儿学到哪儿。因为信息安全所涉及的领域太多了,所以只有不断地学习才能让自己具备良好的大局观和管理手段。


那在这样的过程中,姜山又是如何学习的?


“首先要理论结合实际,我们所学的知识如果在日常工作中接触不到,那就很快会被忘记。缺少在现实中的实践,就难以去理解其中的概念,换句话说就是不知道具体该怎么做,那对我们来说又有什么意义?所以理论一定要结合实际。我开始学防火墙这部分内容时会自己去配,学应用安全时会自己去搭测试环境。其次,理解底层逻辑很重要,比如权限最小化、不可信的输入、纵深防御是很多知识域的基础,底层逻辑其实都是相通的,要从不同的知识面上去总结相通的内容。”


最后一点,姜山建议多参与业内的各种分享和活动。姜山说自己刚入安全这行的时候,会比较频繁的去参加会议,从最初的完全听不懂慢慢的找到一点感觉,每次都会有一些收获,到最后就可以筛选着去参加。姜山认为,不管是宏观还是微观上的学术分享都对自身有着很大的帮助,在这些参加会议的过程中,我们会梳理自己的思路,也会跳出原来的思维去思考一些新的内容。



对安全产品的预判


对于未来安全行业的发展,姜山总结出了自己的观点。姜山认为,当下基础的安全产品比较多,比如防火墙、防病毒,但都是相对独立的存在,因此平台化的发展将是一种趋势。虽然各个安全厂商都宣称提供了标准接口或一体化方案,然而没有足够的成熟度,想要形成真正的联动分析太难了。


难点一,与原有安全产品的信息对接。由于原来就已部署好的安全产品出自不同厂家,而每个厂家拥有不同的接口、不同的逻辑、不同的规范,因此平台化的方案很难去对不同的产品提取有用的信息。而如果都是一个厂家提供的安全产品,又会存在规则库不全或存在内部逻辑漏洞之类的问题。


难点二,场景定制。当下的平台化基本上都用定制开发的方法,即基于自己的场景来部署。而不通企业安全环境不同,给安全管理者一个比较方便、快捷的方式来定制符合实际业务的场景,姜山觉得这也是相对有难度的。


而对于安全从业人员的展望,姜山认为安全人员在企业的位置越来越重要。虽然这是众所周知的发展趋势,但每个企业所能理解的内涵却各不相同,许多中小型企业依旧觉得信息安全只是个吃成本的部门。对此,姜山指出,当前很多企业都十分依赖安全产品,一旦购买就以为万无一失,而其实再好的产品都需要专业的安全人员去维护和使用,比如同样一台防火墙可以只有默认几条策略,也可以有上百条,所产生的效果是完全不同的,而这取决于人,取决于对安全、对环境、对趋势都有所了解的安全人员。



对宣传媒体的建议


访谈最后,姜山对于宣传媒体也有十分诚恳的建议。姜山说自己一直有个想法,就是希望信息安全的宣传不要太过“浮夸”,因为毕竟绝大多数的企业甚至连个专职的安全人员都没有,安全行业再怎么说仍是“未普及”的状态。因此,为了普罗大众,更容易理解的内容可以多一些,那“怎么才能把安全推向更广的圈子”就成了宣传媒体首当其冲的任务,换句话说,就是不把安全限制在安全圈才更有意义。


就像开篇所说的那样,信息安全虽是职业、工作,但其所蕴含的内容却是吸引人的,“该怎么突出工作中的乐趣”或是安全乃至各行各业都得关注的问题。现实生活中能将乐趣变成工作当然是最完美的,而我们作为社会的中流砥柱更该将工作变成乐趣,这其中的精义愿各位同僚共勉。



推荐阅读




   专访|红途科技刘新凯:砥砺深耕、载誉前行



齐心抗疫 与你同在 



点【在看】的人最好看



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存