一个安全媒体人一年来的所思所想和感谢

大家好，我是安在新媒体记者管窥蠡测，入职安在一年，受益匪浅的同时感触良多。对于从未接触过安全行业，甚至从未接触过IT行业的笔者来说，安全的世界真是丰富多彩、变幻莫测。一年来笔者学到了许多专业知识，收获颇丰，同时也结识了许多业内专家，在他们的回馈中笔者看到了安全行业独特的魅力，其具备理性、整洁、骨感的逻辑内涵，又穿插于各行各业，在每个人的生活中都多有体现，显然，确实如业内所公认的那样，安全是我们的未来，我们正身处于全维度的安全趋势之中。

此篇自述的目的是想感谢一年来对笔者记者工作有所帮助、有所支持的专家们，很感谢你们能在焚膏继晷的忙碌中，抽空为笔者作答，有了你们的阐幽探赜和珠零锦粲，笔者的文章才能在安全界里呈现价值。在此，笔者祝愿众位专家能在新的一年里步步高升、青云直上，为行业、为社会、为国家带来更美好的明天。

笔者要感谢的专家名单（排名不分先后，以管窥蠡测所写文章中出现过的专家为主）：梁龙亭、胡恺健、陈圣、孙琦、赵锐、毕马宁、杜建荣、刘志诚、赖东方、李维春、张福明、郑太海、杨文斌、朱诚、曾永红、姜山、程明、刘顺、胡广跃、金昊、黄鹏华、蔡俊磊、白玉堂、宋士明、钱伟峰、蔚晨、金佳华、李泽帮、何文杰、肖文棣、刘欣、王振东、李磊、曾树钊、孙权、朱璐、冯斯恩、张鲁、刘凯、陈皓、沈勇、于利新、陈世翔、朱士贺、沈嗣贤、郭建林、马一烈、胡燕、高峰。若有遗漏，还望老师海涵。

经笔者整理，一年来所有的“专家语录”多达五万字以上，由于篇幅和记叙原因，笔者精选了其中几位专家的言辞以丰自述。无法将所有专家的璧坐玑驰呈现出来，还请见谅。

来到安在，“专业”二字是老总的陈词滥调：“我们是专业的媒体平台，服务的是CSO/CISO，是甲方安全从业人员，所以你们的文章一定要具备专业性。文章自己埋头苦写是没用的，一定要去问问专家们的建议。”

那专业的安全到底是什么？CSO/CISO又到底是怎样的职位？为了弄清这些事，笔者不得已拿起了最不擅长的“社交”，从此“老师您好，老总要求的‘专家作答’来了，一周内有空可回答，谢谢”这开场白，便成了诸多专家的“无奈”和“叹息”。

中通信息安全专家陈圣曾说：“如果您觉得安全从业者的职业更符合好莱坞大片中对安全专业人士的介绍，那您可能需要再斟酌斟酌。网络安全中的绝大多数角色不需要安全人员像电影里的那样，比如在《骇客帝国》或《我是谁：没有绝对的安全系统》里于世界各地飞行以躲避子弹，或在几毫秒内获得扫描结果，或能够立即通过红色识别恶意代码……我们更多的，会在这条道路上不断学习新技能并努力了解新技术，当然新的挑战也将不断涌现。安全从业者将接触到大量新人、新情况和新机遇，永远不会因为需要解决新的难题而感到无聊，并且永远可以为自己获取的成就而感到自豪，因为安全工作对数字乃至整个世界产生着积极的影响。”

陈圣老师曾接受过笔者的采访，直到如今笔者依稀记得，陈圣老师是以家庭为重心的安全专家，他常常会和家人一起探讨各种规划，大家开诚布公地沟通，不做任何隐瞒和保留，这同样也是他带给家庭的安全理念。陈圣老师一年来对笔者多有帮助，每次作答都是知无不言言无不尽，是不可多得的良师益友。

另一方面，某科技公司安全专家朱士贺介绍过自己的经历，他是在十年前由于好奇心的驱使，才对安全产生浓厚兴趣的。朱士贺曾说，安全领域未来会和软件开发不可分割，所以相对软件开发来看，网络信息安全存在发展滞后性，但未来会迎头赶上。现在来看确实如此。

朱士贺曾介绍过职业规划，他说安全行业可分为技术研究和合规审计两个大类方向，由于技术研究领域安全证书不能够很好体现一个人的实战能力，所以在这个领域里，用人单位对证书的需求不是很强，对个人实力比较重视。朱老师还有更多对安全新人的建议，由于篇幅原因，不再罗列。

然而，没有具体的实践描写，外行依旧不太能了解安全人员到底需要做些什么。为此，业内赫赫有名的CSO锐少，赵锐，他通过自己的经历，说出了安全人员可能会接触到的工作职责。

“我曾被委任负责农商银行新一代的整体安全工作。从整体安全架构建设，到资产安全管理，核心数据分类分级（包括客户数据、源代码、生产密钥，生产运维和业务运营过程中的重要数据）都采取了合适的保护措施。以及软件安全生命周期，推动了开发测试数据变形的标准和方案以及桌面虚拟化的落地，制定了安全架构、开发测试运维安全标准，以此保护农商银行生产、运维安全。”

这只是他二十年安全工作生涯中的一小部分，他曾说过，安全工作是他最后的归属，在他对后人的建议里，这三点尤为重要：

一、理解业务，并按整体生命周期来看不同条线的业务。

二、未雨绸缪，从信息安全、业务安全、人身安全等多方面注意风险管理与控制。

三、帮助他人，从安全角度帮助利益相关者控制风险、解决问题。

而某电商公司安全专家杨文斌指出，CISO/CSO作为企业核心高级管理人员，是一个综合能力要求很高的角色。首先企业希望他们可以为企业提供有效的安全机制和方法，帮助企业以最合理的资源投入取得最优的安全效果，将安全投资回报率ROI平衡到最佳状态，转变企业负责人关于安全是成本部门的惯性思维，提升安全地位和价值。

同时企业也希望他们能将安全思维紧密贯穿于业务流程，从业务的角度思考和开展信息安全工作，在业务风险治理成效中体现安全价值，建立形成安全架构应对安全问题，最大化缓解安全风险降低到可接受范围内，使得企业内部信息化能力持续完善。

杨文斌认为，CSO、CISO得具备五大能力：抗压能力、领导才能、组织协调能力、解决问题的能力、安全解读能力。

杨老师每次都会在第一时间答复笔者，而且作答内容详尽、细致。杨老师在直播时的形象更是稳重、沉着，条理清晰、谈吐不凡。

对安全行业、CSO/CISO有了初步的认识后，该怎么服务他们又成了难题。CSO/CISO到底喜欢啥？他们想看啥？这也是我们作为媒体平台需要通透的，否则又谈何服务呢？

于是，之后的诸多文章主题便以“服务甲方”为第一要素，比如研究安全人员该怎么向领导层汇报工作。

某金融票据交易平台安全专家金昊表示，向不同类型的领导汇报时所选择语言方式要有所不同。“和业务领导沟通，得尽量从业务视角叙述汇报事项，比如一次外网攻击事件，汇报攻击涉及哪些业务产品，是否危及到核心的业务流程，未来运营方面可能会存在哪些数据指标不准确；和技术领导沟通，得汇报针对从业务系统架构角度分析，哪些结构存在风险，已发现的问题统计成数据，告诉领导哪些层级存在业务层风险，通过成熟的安全框架分析系统存在的问题；和公司CEO层面，得从竞对角度分析目前公司在合规层面以及外部威胁数据层面进行汇报，分析与竞对的差距，比如（等保、27001、个人信息保护等方面），外部威胁的数据从运营数据角度阐述威胁，比如活跃用户数异常增加，竞对用户或客数异常增加等。”

再比如，研究怎么用数据、指标来量化安全的价值，让安全部门不再被定义为“成本部门”。

对此，安信证券安全总监李维春表示：“除了普通风险数据，其他还有几项数据也是很重要的，比如漏洞按期关闭率，这个指标通常容易被经营者理解，业内有句话叫‘不怕有漏洞，就怕不按时修’，因此能否按时修复漏洞便是一个很强的能力；再比如同类风险重复发生率，将重复风险发生控制在一个合理的水平内（或逐年降低），说明安全水平、能力是提升的；除此之外还有业务活动挽回损失金额、每年因信息安全风险给公司造成的损失不超过XX万、被监管或执法机构处罚的安全事件数等数据。”

还可以从网络安全预算入手，不单服务甲方安全人员，同时也让各行各业的企业看到问题所在。

友邦资讯科技安全专家杜建荣认为，影响网络安全预算的因素分别有公司的业务营收，管理层对安全的重视程度，CTO的整体IT战略方向，是否有来自监管部门的合规压力，安全部门在公司内部的话语权，公司是否被实际攻击过或发生过安全事件，类似于这样事件的频率为多少，等等。杜建荣指出，其中最重要的是管理层对安全的重视程度以及CTO的整体IT战略方向。

而安言咨询安全专家钱伟峰将影响网络安全预算的因素分为了几种类型：1、企业整体收入情况。2、安全合规要求的动态变化。3、同业中安全事件产生的损失。4、企业管理成熟度及所处阶段。

钱伟峰建议企业需要基于自身整体收入情况，识别合规红线，同时总结同业及典型安全事件的经验教训，逐步加大安全投入。当安全预算整体规模有限时，安全预算应优先向合规相关及重点风险防范领域倾斜。

钱老师可算是“本家”，每次请教钱老师笔者总有种“他人不帮忙，您总得帮忙”的踏实感，钱老师也确实从没让我失望过，再忙、再累他总能给出答复。

总之，从媒体角度，似乎可以服务的内容有很多，选材也有很多，但笔者总觉得，所谓安全从业者，是不是应该先是“者”，而后才是“安全从业”？也就是说，有没有可能，哪怕专业人士在看专业内容时，也喜欢看些好笑的、八卦的、有趣的，而不是总是专注于学术或技术？比如在学校里，是不是也有课间休息、音乐课或体育课？关于这点，还要请诸位读者指点一二。

除了从媒体角度引发的问答，各位安全专家们也有建议给到业内业外。

在安全部门和网络安全供应商的关系方面，等级保护资深专家毕马宁曾说，CISO/CSO出于对自身工作和职责的需要，会希望能与网络安全供应商（产品或服务提供商）建立良好的长期合作关系，这种合作从CISO/CSO的角度出发，是希望能把安全供应商当成自己的外脑或智库的组成部分，这样具有广泛性，而且越多越好。对于CISO/CSO而言，可以从供应商那里了解行业的发展趋势、新的技术方向以及最佳的产品或服务实践。

而对于安全厂商，毕马宁建议四点：

1、对厂商来说，不要不问需求和场景，上来就硬推销，明明产品不适合，还信誓旦旦硬来。

2、不要刻意贬低友商，抬高自己。

3、切勿破坏商业规则，拿其他商家的“隐私、糗事”做营销。

4、一定要保护好彼此的商业秘密，包括业务模式和流程等。

在安全部门是否需要重组方面，平安科技安全团队负责人郑太海则建议，无论是技术升级迭代（数字化升级）还是监管合规要求，亦或是大国环境下的政治对抗，主流的安全组织已经无法发挥安全部门应有的作用了，所以安全部门的重组升级势在必行。

根据企业的规模和组织架构，他认为安全体系、结构有两种典型的方式，一种是垂直管理型，还有一种是中心管控＋各单元自主负责型。至于重组安全部门的体系需要注意什么？郑太海指出，无论哪种架构，最重要的是安全都需要写入公司或集团的战略规划，并且要有驱动其他部门行动的权利或者对其他部门有一定的考核权。

而在该如何提高安全劳动力方面，某集团安全专家梁龙亭表示，提高安全劳动力得从两大方面着手，一是“事业前景”描绘，当前安全行业是与AI、区块链、大数据并驾齐驱的朝阳产业，整体氛围浓厚。特别是世界各国争相立法，网络安全已然成为国家安全的一部分，与领土安全，能源安全等同视之，确立了网络安全的战略地位，形成了从上至下的强大势能，这必定能推动安全行业行稳致远，个人乘势而为，顺势而下，因此一定能大有可为！何也？时也，势也！时势造英雄也！第二方面是“高薪招人”，安全行业的平均薪资高于大多数行业，俨然是高收入行业。重赏之下必有勇夫，通过高薪待遇可以吸引大量人员进入行业。

和梁老师的交流尤为轻松、投缘，梁老师对于笔者的提问，从来都是“没事，多找我”的平易近人，其耐心解惑，给笔者带来了许多宝贵的建议。

梁龙亭在对未来展望时曾说：“安全行业前景广阔，安全行业的高薪将虹吸大量从业人员，大量从业人员将形成‘充分竞争’（内卷），‘充分竞争’会形成人才金字塔，人才金字塔促使企业（雇主）开始‘充分竞争’（内卷），在多方的相互作用下，行业内的所有干系人（国家，企业，个人）都将获益！”

而另一位给予笔者莫大帮助并愿意常做分享的专家，是某金融科技企业安全专家胡恺健老师，他的文章常在安在平台上登出，可谓书通二酉、华星秋月，连笔者当初采访他时，其给出的大纲也是不同凡响，一上来就是五千字左右的“简述”，文采斐然啊。

胡恺健曾在远程办公方面指出，要加强企业远程办公基础架构和数据防泄漏的整体规划设计，具体可以参考安在的文章《百家 | 胡恺健：企业云原生数据防泄漏（DLP）架构与运营实践指南》进行整体架构规划设计，并了解DLP运营的最佳实践。

胡恺健说，每个企业都会有风险偏好和风险容忍度，要将所有的风险都处置完毕，其投入产出比不高，且容易陷入什么都想解决，但什么都解决不了的死循环。因此可以考虑，在最极端的情况出现后，哪些风险是绝对不能接受的，可以把这个风险处置的最终结果，形成要实现的目标，并以此逐步落实场景识别、需求分析、实施落地和安全运营。

胡凯健提出，企业与安全供应商应该强调合作共赢。一方面甲方专家要多分享最佳实践，哪些产品组合运作良好，哪种场景适合用什么类型商业产品解决，甚至如何通过自研平台连接各类产品使技术措施真正落地，相信这类“干货”资讯是大家喜闻乐见的。另一方面安全供应商要有开放心态，建立良好的生态合作，加强不同供应商之间的产品集成度和连接能力，充分发挥各自厂商优势和特长。

而在内部管理关于员工可能泄密的事件里，某互联网公司安全负责人黄鹏华提出：

一、做好企业内部的认证和权限管控，收敛泄密的路径。特别是针对敏感的数据，要有严格的权限控制。

二、有条件可以对敏感数据进行加密存储，即使泄露也无法直接查看明文。

三、做好权限管控的同时，在后台系统等场景下使用脱敏展示等方式避免员工接触到没有必要的敏感数据。

四、可以在终端侧和网络侧部署DLP，监控可能存在的泄密行为，同时发生泄密行为时，也能为企业溯源泄密路径提供有力的支持。

五、可以联合其他部门进行全员或者针对性的安全意识培训，让大家可以知道哪些行为是不被允许，可以一定程度上减少无意识泄漏的发生。

而在培训员工安全意识方面，某互联网公司安全负责人黄鹏华曾提出：“通过培训让员工意识到各类行为存在的危害是十分必要的。在培训的时候，最好可以结合案例进行，体验感会更强些，效果会更好。除培训外，也可以在网络安全宣传周等活动上增加相关的‘闯关活动’、‘大家来找茬’等游戏环节，这样切实体会过印象会更加深刻。同时我们也可以完善相关的管理制度，例如设备报废流程中增加数据擦除环节、关键岗位员工电脑禁用USB、输出证书注册的注意事项同步IT和运维等。”

在OT/ICS安全方面，浙江寰福科技有限公司的安全专家孙权曾做出过详细的解读，他说：“首先我们要清晰的认识，ICS/OT系统在网络上的合规并不等于安全，还是要想办法提高领导对安全的关注。”他建议CISO应该从六个步骤来保护ICS/OT安全，分别为资产盘点、备份/测试还原、软件漏洞分析、打补丁、二次备份/测试恢复、启用日志。

孙权老师有其独特的安全方法论，其中包含了道教、佛教等精义，曾经采访时曾受到过孙权老师的指教。同时孙权老师也是车企安全的先驱者，他有着坚韧不拔的求知欲和钻研精神，常会给自己的团队带来长久的动力。

随着数字化转型不断落地，随着万物互联的趋势越发显著，安全也越来越多地涉及到了各行各业，由此引发的问题、所影响的领域也越发广泛，因此牵扯到的话题也就越新颖。不得不说，安全专家们确实“包罗万象”、“才高八斗”，对各个层面、维度里、领域里的认知都能提说一二。

比如，某A+H股上市公司信息安全负责人孙琦就曾在“确保关键资源安全”上提到过，气候变化从来不是一个单一主体的事情，它有一个明确的目标，因此如何协调各主体朝着这共同目标前进是一个巨大的挑战。信息安全也是一样，目标非常明确，即如何协调安全主体和安全客体之间的协同，每一个安全人员都需要认真考虑。不能把目光只放在自己的领域里，需要看到全局才能做好这一切。

孙琦认为，信息安全不可能独立的存在，它的存在是因为主体强烈的内在需要。气候变化会对所有的主体产生影响，我们必须依靠更智能的全球天网（类似电影终结者中的天网）来主动应对，例如恶劣天气可能会造成局部网络中断，而中断的网络很可能会被近源攻击从而导致严重的安全问题。由气候变化导致的物流难题、资源配置难题等等都会导致各个主体的大幅波动，当主体因为生存问题而陷入被动，信息安全将很自然的被纳入重要但不紧急的象限，由此产生的各种次生问题都将消耗我们大量的精力和资源，而其结果很大可能都将是不可逆的，它将伴随受保护主体很久，甚至是伴随着受保护主体直至其自然消亡。

孙琦老师一直是笔者关键时刻的救星，当有些问答实在“强人所难”时，孙琦老师总是能给到笔者完美的答复。

而光大证券安全专家胡广跃也曾在ESG方面发表过自己的看法。他说，首先ESG与国家“碳达峰、碳中和”、“绿色发展”等方向和理念一致，也是企业可持续发展能力的一个重要衡量，因此企业是非常需要完善ESG指标的。同时，对ESG指标来说，安全的存在意义是可以为此提供动态平衡和加深持续发展理念，此两者目标应该一致。而我们该明确的是，网络安全也是公司治理的一个重要部分，也是公司可持续发展的必备条件，设置匹配的、动态的安全基准和度量，保障安全和发展的平衡，就能为公司可持续发展目标提供稳定的网络安全环境和保障。

另一方面，九方智投产品技术负责人张福明曾为笔者详细例举过各种黑灰产的类型。比如直接联系诈骗，其常用套路是根据时事热点诈骗，又或者冒充公检法诈骗；再比如假平台诈骗，常用套路里犯罪分子会通过开设赌博网站或APP进行诱骗，等等。

对于这种种犯罪行为，张福明建议：

1、加强信息安全监管，出台更多法律法规，为打击网络犯罪提供法律基础。

2、加强企业信息安全能力建设，加强产品安全性以及网络犯罪识别能力。

3、加强个人信息安全意识宣导。

而在安全人员的人身安全方面，某金融科技公司安全专家蔚晨曾说：“针对企业安全人员收到人身安全威胁的问题，我觉得这更多的是一个企业范围保护者需要保护个人安全的问题。为了保障所属企业的资产安全（这里包括物理资产与IT资产），企业安全人员必须拥有在企业范围内的执行安保行为的权利（包括部分反制行为）。但不同于政府授权的执法机构，企业安全人员若执行了反制措施，获取了不法分子的信息并上报执法机构，就很可能受到个人安全威胁。”

对此，蔚晨建议从三个方面来加强对企业安全人员的保护举措：

1、明确的立法。针对企业安全人员的反制行为应该给予肯定和保护，执法机构应该有责任彻底打击网络不法分子的报复行为并将之上升到明确的法律法条。

2、执法机构职责。执法机构在收到企业安全人员上报的信息后应该更好的保护相关人员的个人信息以及人身安全，并且对于网络暴力攻击行为根据相关法律法规严格执行。

3、企业安全人员应该变得更为“聪明”。比如明确的记录取证不法分子的犯罪行为，同时应该与相关执法机构形成良好的互动，更安全的提交相关证据，保护自己的个人信息及身份。同时作为一个公民，适当的运用各种方式保护自己的个人安全也是信息安全人员必备的技能。

安全是一个小圈子，但可贵的是，我们彼此都会守望相助。就像CVTE安全部经理于利新说过的那样，CSO/CISO是一个高危的职业，需要承担很大的压力和风险，所以不是一个人就能扛起大旗的，而是需要整个行业一起践行，整个公司一起重视。这样，安全文化才能深入各行各业，才不会让不法者在越来越复杂的安全环境下有机可乘。

同时，也希望诸多安全同僚能像某大型IT服务外包集团安全负责人朱诚那样，能从不同的角度去看待社会、看待文化、看待每处地域里所呈现出的不同的风土人情，了解这个世界的运行规律，并坦然的面对生活。这样，不管是安全人员，还是各行各业的工作者，就都能凝聚一体，构建出更美好、没安全的未来。

最后，还有许多发聋振聩的箴言恕笔者无法一一列举，但笔者能保证的是，安全专家们的经典语录会一直持续下去，这也是安在新媒体的初衷，让一代代CSO/CISO的精神、认知、思想传递在安全业的每个角落，成为信息安全最初的基石。笔者相信，安全业一定会在不久的将来大放光彩、绚丽夺目！

齐心抗疫 与你同在