诸子笔会2023 | 刘志诚:遑论如何选择与阅读专业书
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
遑论如何选择与阅读专业书
文 | 刘志诚
刘志诚
关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。
参加两届征文比赛后,去年拿了安在的最佳作者,想着是不是该激流勇退,面子上是给新进入者以机会,里子上可能是避免江郎才尽的尴尬,或是为懒惰找一个冠冕堂皇的理由。
当看到本赛季第一季的专题赛是读书,未免技痒,毕竟2005年来深至今,读了1034本,17年年均60本,还算是一个喜欢读书的人。可惜已夸下海口,覆水难收,幸好最后关头,enco的邀约总算给自己找到了一个台阶,于是,我又出现在比赛名单中。
02缘由比赛正式拉开帷幕时,我正在读李硕兄的《翦商》,之所以冒昧称兄道弟,是因为实乃读完之后对同龄的李硕五体投地,敬为天人。掩卷洋洋洒洒数千言,自以为可以顺利交卷,没想到耀疆说本月是专业书专场,杂书在最后一个月,算提前交稿。
计划打乱,专业书倒是每年会看不少,无话可写倒不至于,但我的阅读内容和进度的随意性,又难以在规定时间内完稿,也想过是否拿前些年很有感触的一些书评交稿,但总又觉得有点滥竽充数,思虑再三,何不把自己对专业书的选择,阅读的一些感悟分享给大家呢,于是乎,就成了本文。
03为什么读书这件事,对我已经成为习惯,并不囿于专业、领域,当然会读不少杂书,有时毫无目的起念,有时目睹耳闻好书佳作,都会随时变换一些阅读内容,进度也随工作、生活、学习的时间分配,动态调整,未必有什么计划性。但专业书,每年还是会读上一些。
以2023年为例,由于论文撰写,工作和学习的忙碌,至今读了12本,其中就包含《数据要素论》《智能风控实践指南》《大数据安全治理与防范——反欺诈体系建设》《金融网络安全》《持续交付2.0》5本,占比颇为可观。当然,如果狭义地从安全的专业书来看,只有2本,比例比较符合整体阅读比例的特征。
为什么要读专业书,这是首先需要回答的问题。知识来源的丰富性,带来选择的误区,不同的知识源,对个人知识体系的架构构建有着至关重要的作用,对于学科的体系化入门,个人推崇学位课程的系统化学习,我在软件工程、心理学、法学、金融学、管理学领域,基本上是通过硕士或博士课程完成的,对一个学科达成一个整体性的概念体系,避免失之偏颇。
从严谨的角度来说,知识结构的升级,应该通过学术论文的阅读来掌握前沿的研究,是持续深入该领域的捷径,当然,当下的学术论文泥沙俱下,选择、挑选还是需要顶级期刊基础上具备相应的识别力,不过这只是从严谨的角度来说。
从实用的角度,读专业书就是一个专业的路径了,既可以是某一细分领域的深入著述,也可以是近一段时间的总结与概述。尤其是网络和信息安全领域,知识更新更快,时不时地进行系统性的阅读,是一个保持知识结构更新的好习惯,我在2022年共阅读了《隐私即信任》《身份攻击向量》《AttCK威胁猎杀实战》《红蓝攻防》《云原生安全:攻防实践与体系构建》《内生安全》《API安全技术与实战》《网络安全成熟度模型:原理与实践》《Att&CK框架实践指南》9本并写了6篇书评。
当然,第三方认证体系的课程学习也是系统升级的方法,以往文章有过论述,就不再赘述。至于网上文章和公众号,大多是闲暇零碎时间的即时阅读,对具体问题的了解主要依靠搜索引擎。我特别喜欢谷歌的图片搜索功能,对于很多知识通过图形的方式实现结构化的阐述,事半功倍。由于我不擅长PPT和画图,所以比较羡慕这些形式,很多时候讲东西的PPT都是通过这种“拿来主义式”的配图实现的,只是涉及到版权问题,仅作为公益分享使用。
我不太喜欢参与各种微信群内的讨论,虽然加了很多群,但讨论问题的上下文、背景、语言体系、知识结构的复杂性,以及加上文字对情绪、信息传递的缺失,容易鸡同鸭讲、南辕北辙。当然,这只是个人习惯而已,并不代表微信群讨论问题不存在价值,我也看到有些精彩的分享和思想的碰撞,迸发出不一样的灵感和火花。
线下的分享、论坛包括线上的直播,有时也是比较有意义的知识传播和分享机制。当然,线下的模式效果更好,据最近《science》的报道,发现人际交往过程中在实验室已经发现磁力线的存在,也就是我们日常说的“气场”,科学已经证明了这件事的真实存在,所以,多线下聚聚吧。
谈到知识体系结构的更新机制,扯的有点远,回归正题,读书,读专业书是每个从业者成长必备的功课。
04选择谈及专业书,大概分为几类,一类是理念的总结,是对网络与信息安全整体和细分领域的新的理念、需求、方案、实践,从建设和运营的角度,进行理论的剖析与实践的总结。但这时就会有一定的误区,实践是和作者的三观认知、知识结构、能力水平以及实践环境密切相关的,如果丧失了行业边界,有可能失去了普适性的价值,就会非常遗憾,可能作者自己写的比较嗨,但难以产生共鸣。
当然,也有些好书,得到了普遍的赞誉。差的就不举例了,我将自己2019年以来读得酣畅淋漓的书推荐给大家,包括:
《数据大泄漏:隐私保护危机与数据安全机遇》《华为数据之道》《大型互联网企业安全架构》《effective cybersecurity中文版》《大数据隐私保护技术与治理机制研究》《数据安全架构设计与实战》《请君入瓮——APT攻防指南之兵不厌诈》《数据与监控》《汽车黑客大曝光》《智能互联汽车的网络安全技术及应用》《TPM2.0原理及应用指南》《网络安全中的数据挖掘技术》《云安全深度解析》《威胁建模》《企业安全建设指南》。
还有一类书,是我买了很多,却大多快速翻翻,浮光掠影读完没什么好印象。有些读不了几十页就束之高阁,主要是一些工具软件的使用手册,比如安装、使用、配置、应用、编码、截图等,了无兴趣,差不多类似于某些软件的操作手册和使用说明书。这可能偏向与技能类,在网上一般能找到对应的相关文章。
当然,个人好恶同样不能代表价值取向,存在即合理,也许他为很多初入岗位的年轻人在如何实操层面提供了指向成功的路径。这也说明,书的选择,关键在于你读书的目的是什么,如果就是为了解决问题、学习技能,可能就需要选择这样的图书来阅读、实践。
我早年读书随意性极大,也读了不少烂书。后来读得多了,也逐渐有些经验。看作者,看出版社,越来越偏向具有学术背景又有产业经验的大咖,更能满足我补充认知、填补空白的需求。经过一些学术训练后,更看重理论基础背后的文献支撑,以及实践过程中方法论的普适性以及因果关系的可解释。对有些华而不实,浮夸中充满浮躁,堆砌资料和数据,既无洞见也无问题解决能力的产业新贵所著之书书往往敬而远之。
05阅读写作的过程中在想,不能用我个人阅读的体验和经验推而广之给人形成误导,误人子弟。毕竟,读书这件事,千人千面,要在不断的实践中调整、优化、总结,形成个人的阅读经验,因为别人读得再多,读得再好,再有感悟,也变不成自己的切身体会。
如果抱着速成的目的,囫囵吞枣,不求甚解,反而欲速则不达,这也是我始终对樊登读书类替大家读书,提炼干货,哺乳性喂食不以为然的原因。每本书作者在写完之后,要传达的信息,表达的理念告一段落,读者读出什么样的内涵,受到什么样的启发,迸发什么样的灵感不得而知,这和读者自身的知识结构、逻辑体系密切相关。
同样一本书,不同的人读出来是不同的收获,我们常说一千个人心里有一千个哈姆雷特,就是这个道理。而别人读书的总结,只是对他个人而言获得的心得体会,未必是你真实的阅读感受,你的感受只是从缩略的文本或者音视频得来的。当然,货币投票代表这能解决一部分热爱读书却没有时间,知识付费而有所得,未免不是一种你情我愿的双赢。我只是从个人角度,希望给这部分朋友一个从另外角度辩证思考的可能性。
我读书有个不好的习惯,是随意性,既无计划每天读多少,什么时间读完,又无沐浴焚香,正襟危坐边读边记笔记。最近几年用苹果的ibook读电子书较多,还能随手做些笔记,偶尔拷贝到微信个人账号留作记录;前些年往往直接在书上写写画画,读完即扔,几乎无反复阅读,或回头翻看笔记的习惯。自认为颇有猴子掰玉米的风格,读了很多,却收获较浅,作者的精粹能领悟十之一二,偶尔忆起已经百不及一。从这个角度而言,未免能效比有限,虽早有体悟,但始终未改,是为憾事。
06尾声本期主题专业书,也算开了个书目,提及26本专业书,这些书我大多在豆瓣撰写了书评(https://www.douban.com/people/pansin),有兴趣可自行观赏,应不算跑题。作为阅读爱好者,希望与更多安全同行朋友切磋分享,互通有无,以达共鸣。
本文所推荐书籍具体如下:
▷《数据要素论》戎珂, 陆志鹏著/人民出版社▷《智能风控实践指南》姜宏著/人民邮电出版社
▷《大数据安全治理与防范——反欺诈体系建设》张凯著/人民邮电出版社
▷《金融网络安全》厄尔达·奥兹卡亚等著/杨乐涵等译/人民邮电出版社
▷《持续交付2.0》乔梁著/人民邮电出版社
▷《隐私即信任》
阿里·埃斯拉·瓦尔德曼著/张璐译/法律出版社
▷《身份攻击向量》莫雷·哈伯等著/奇安信身份安全实验室译/人民邮电出版社
▷《Att&CK威胁猎杀实战》瓦伦提娜.科斯塔-加斯孔著/姚领田译/机械工业出版社
▷《红蓝攻防》奇安信安抚团队著/机械工业出版社
▷《云原生安全:攻防实践与体系构建》刘文懋著/机械工业出版社
▷《内生安全》奇安信战略咨询规划部等著/人民邮电出版社
▷《API安全技术与实战》钱君生等著/机械工业出版社
▷《网络安全成熟度模型:原理与实践》林宝晶等著/机械工业出版社
▷《Att&CK框架实践指南》张福等著/电子工业出版社
▷《数据大泄漏:隐私保护危机与数据安全机遇》雪莉·大卫杜夫著/马多贺等译/机械工业出版社
▷《华为数据之道》华为公司数据管理部著/机械工业出版社
▷《大型互联网企业安全架构》
石祖文著/电子工业出版社
▷《effective cybersecurity中文版》
威廉·斯托林斯著/贾春福等译/机械工业出版社
▷《大数据隐私保护技术与治理机制研究》毛典辉著/清华大学出版社
▷《数据安全架构设计与实战》郑云文著/机械工业出版社
▷《请君入瓮——APT攻防指南之兵不厌诈》肖恩伯德莫等著/SwordLea等译/人民邮电出版社
▷《数据与监控》布鲁斯·施奈尔著/李先奇等译/金城出版社
▷《汽车黑客大曝光》Craig Smith著/杜静等译/清华大学出版社
▷《智能互联汽车的网络安全技术及应用》工业和信息化部人才交流中心著/电子工业出版社
▷《TPM2.0原理及应用指南》威尔·亚瑟等著/王鹃等译/机械工业出版社
▷《网络安全中的数据挖掘技术》李涛著/清华大学出版社
▷《云安全深度剖析》徐保民等著/机械工业出版社
▷《威胁建模》adam shostack著/姜常青等译/机械工业出版社
▷《企业安全建设指南》聂军等著/机械工业出版社
了解更多详情也可以访问刘志诚老师豆瓣读书主页:https://www.douban.com/people/pansin
推荐阅读
2023诸子笔会第一季
杨文斌 刘顺 于利新
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会