诸子笔会2022 | 孙琦:保持热爱,奔赴山河 -安全的尽头是远方
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
保持热爱,奔赴山河 -安全的尽头是远方
保持热爱,奔赴山河 -安全的尽头是远方
文 | 孙琦
孙琦
某A+H股上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。
保持热爱,奔赴山河。无论你是信息安全行业的老兵还是新人,无论你是普通员工还是公司高管,用心去热爱你所热爱的东西,你都会活得很快乐。
热爱生活的人都是乐天派,热爱生活的信息安全人更像是辩证般的存在,他们工作时一丝不苟,在生活中却满眼诗和远方。在外人眼里,他们有着非常多的光环和标签,比如高收入、光鲜亮丽的头衔、护郭黑客等等。其实这些标签不过是江湖传说,他们就是一群普通供职于IT行业的人,他们身上有着绝大多数人都有的共同标签——打工人。
我先来拆解一下我自己,以供大家参考。
有人说上市公司的安全一号位人员,在信息安全领域里肯定是一个说一不二的人吧?我的答案是:大部分情况是,但更推荐你用往上一、二级的视野来看待和处理问题,这个会是更好的选择。
肯定有人会说你的收入一定是一个很丰厚的包吧,我的回答可能会让大部分人失望:平均水平而已。对于那些抱着想入行即高薪的同学来说,你们需要清晰地认识自己的定位,因为收入的高低很大程度上优先取决于你的能力,其次再是行业、公司在行业的地位等等,所以年轻的安全人们更多的是要努力提升自我,而不是胡乱攀比。
安全人平时的生活如何?如果我告诉你,绝大多数情况下安全人会把他们的时间花费在美食、运动、家庭和自我提升上,这个回答会不会让你们失望?但这个就是现实,绝大多数的安全人有超过行业均线的日常加班经历,因此他们更多的会把自己可以支配的时间用于工作以外的事情,毕竟他们不是机器人。
踏入安全圈已是多年之前的事情了,在那个只有外企才会谈论安全的年代,因为兴趣而入行,因为热爱而深爱这份职业,所以今天我尝试着以一个行业老兵的角度来给大家聊聊信息安全人的正确打开方式。
“眼睛瞪得像铜铃,射出闪电般的机灵”,这是动画电影黑猫警长的主题曲,用在信息安全行业中的安全监控部分非常贴切。安全监控从广义上说是一个综合能力要求非常高的岗位,员工需要懂得识别并判断风险,然后将其送入到安全处理程序让其得到有效的处理。好比我们的雷达系统,精确地发现目标,然后进行快速的识别,消灭目标。
但在现实工作中,很多人会把安全监控的重要性有意或无意地降低,常有人说安全监控不过是看到告警进行报告,so easy的,一般有这种想法的人都是犯了兵家大忌,太过于轻敌了。在一般企业安全管理中,安全监控的重要性甚至远超红蓝两军和安全管理等岗位,我们要充分认识到安全监控工作的重要性,只有看得到才能防得住,基本就是这个道理。
我也时常听人说,我们新招了几个安全开发,要把现在的安全系统打造成业内第一等等。我想说,能够配备安全研发团队的组织是有一定体量和安全思维的组织,他们清楚自己要什么,也清楚平衡商用产品和自研产品的roi。一般我们都会以明确的目标为出发点去进行安全研发工作,比如自己做一个portal实现安全数据的按需可视化;通过工作流平台实现安全全流程等我介入;在整个发布流水中增加自己需要的安全控制点等,这些一般都是以一个个小而美的组件方式呈现的,我们用的好才会去做下一步,形成一个良性循环让你乐不思蜀。但我也有朋友一上来就是四大咨询、整体规划、全面推进,全面安全,这样做是挺好的,就是有点费钱,一般公司消费不起,其试错的成本也相对高昂。
安全运维,这个也是非常有意思的一个误区。大家会觉得安全运维是不是就是配置防火墙写acl的呀,其实不是,现在的信息安全工具实在是太复杂了,一个不小心就是一整套spark架构的数据平台让安全人员去消费,你说安全运维能是个轻松的活吗?我见过每天海量数据的分析场景,他不是被消费在数据部门或者业务部门,而更多是在安全部门,因为各类不同的数据源需要完成清洗然后才能被安全消费,更好地服务安全。所以现在的安全运维是一个跨度非常巨大的赛道,绝不是简单的防火墙配置这类相对简单工作。
再来聊聊我们的数据安全吧。有一位可爱的猎头妹妹问我,数据安全和信息安全到底有什么区别呢?为什么我找不到一个候选人呢?我告诉他,好的数据安全一把手一定是安全技术和安全管理体系的一把好手,信息安全包含了更多从技术角度了解信息流转的目光,它更广;数据安全则更侧重于数据本身的cia,强调如何保护好数据本身的安全,更为聚焦,很多场合和我们的管理体系和法律框架相连接,简单来说就是资深的安全从业人员+安全审计+法务。一般刚入行的小白要做数据安全是比较累的,建议可以从最基础的安全技术工作入手,慢慢丰富自己的经验。
好像我比较无聊地说了一些安全行业从业人员的大致分工哎,大家能坚持看到这里也算是真爱了,谢谢你们的“三连”哦。
信息安全从业者其实是非常乐观的一群人,他们要面对的是大量不确定性的挑战,偏偏还要用可以量化的目标来作为自己工作的定性评论,你说他们能不难吗?他们既是快乐的黑客小伙小妹,也是正义感爆棚的网络争议维护者,他们有的人每天为生活琐事奔波,比如昂贵的房租;有的人虽然每天衣食无忧却也为未来的迷茫而努力拼搏。
回归本文的初衷,如果你有兴趣很热爱这个行业,欢迎入行;反之,学点法律、金融,不好不香吗?
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣 朱文义
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在