每天早上8點(diǎn)30分，Tony Lee將會(huì)開(kāi)始他一天工作中的第一項(xiàng)：晨會(huì)，在10到30分鐘時(shí)間里，布置一天的工作任務(wù)——在京東，這個(gè)慣例已經(jīng)雷打不動(dòng)地被京東人堅(jiān)持了十年時(shí)間。Tony Lee對(duì)此非常認(rèn)同：“這是一個(gè)節(jié)奏的問(wèn)題。有了這個(gè)早會(huì)，大家都不會(huì)懶懶散散的，一天的節(jié)奏就起來(lái)了。”

[[183678]]

這是Tony Lee來(lái)到京東擔(dān)任首席安全專家的第一百天。從美國(guó)到中國(guó)，歷經(jīng)賽門(mén)鐵克、微軟、安全寶、百度，如今的Tony Lee選擇落腳在京東——以這里為起點(diǎn)，他將要一步步實(shí)現(xiàn)他心目中的“安全”。

一、為信息平等而投身安全

“我的經(jīng)歷也算是一部華人奮斗史了。”Tony Lee半開(kāi)玩笑地說(shuō)道。他言語(yǔ)間僅存的一點(diǎn)獨(dú)特的音調(diào)仍然帶有明顯的廣東味道：“出了家鄉(xiāng)，英語(yǔ)也講、普通話也講，就是家鄉(xiāng)話很少說(shuō)了。”

高中時(shí)期，Tony Lee便遠(yuǎn)赴美國(guó)定居，而他的安全生涯同樣也是以美國(guó)為起點(diǎn)的。高中畢業(yè)之后，Tony Lee進(jìn)入了伯克利大學(xué)。在那里，讓Tony Lee感觸最深，也最深刻地影響了他的，就是校園中自由的氛圍：“伯克利非常重視自由平等。在伯克利的校園里有個(gè)標(biāo)志在地上是一個(gè)圈，里面寫(xiě)著一句話：這個(gè)地方和它的上空，不受任何國(guó)家的法律約束。”

在這樣的氛圍中，Tony Lee開(kāi)始了他和計(jì)算機(jī)的親密接觸。

彼時(shí)正值互聯(lián)網(wǎng)時(shí)代的開(kāi)端：Windows尚在95、97時(shí)代，Hotmail剛剛興起，而Google還并不出名。Tony Lee所在的實(shí)驗(yàn)室主要負(fù)責(zé)的是殘疾人電腦的設(shè)計(jì)：“很多殘疾人不能用電腦，甚至根本不能移動(dòng)肢體。我們?cè)O(shè)計(jì)了一個(gè)頭盔、一個(gè)特殊設(shè)計(jì)的鍵盤(pán)，讓他可以點(diǎn)擊操作。”

這個(gè)過(guò)程，亦讓Tony Lee感覺(jué)到：“電腦是一個(gè)強(qiáng)大的資源，它真的可以幫助人，讓每個(gè)人都擁有平等的機(jī)會(huì)。”

在我問(wèn)到Tony Lee踏足安全是何時(shí)時(shí)，Tony講到2001年，在加州大學(xué)讀研的Tony Lee收到了自己的導(dǎo)師、同時(shí)也是賽門(mén)鐵克首席架構(gòu)師的郵件：“我們需要研究病毒的人，你來(lái)試試?”

初涉安全，原本就喜愛(ài)計(jì)算機(jī)的他產(chǎn)生了濃厚的興趣：“要研究一個(gè)病毒，從API到各種子系統(tǒng)、郵件傳播、各種協(xié)議，什么都要接觸，一個(gè)程序反饋的每一層你都要懂。這對(duì)計(jì)算機(jī)的全局觀非常有幫助。”

Tony Lee也認(rèn)定，自己的職業(yè)生涯將在這一領(lǐng)域展開(kāi)——他還并不知道，在不久的將來(lái)，他將幸運(yùn)地親身經(jīng)歷安全行業(yè)的一次重大變革。

[[183679]]

2003年8月，“沖擊波”病毒爆發(fā)，在全球范圍內(nèi)造成了巨大影響——而這只是針對(duì)Windows的眾多攻擊中的一例。“微軟在當(dāng)時(shí)是眾矢之的，所有黑客都盯準(zhǔn)了Windows，可以說(shuō)是四面楚歌的境地。”Tony Lee回憶。

危機(jī)四伏之下，微軟開(kāi)始在安全方面下足了力氣：建立了最早的SRC并創(chuàng)造了SDL。從某種意義上說(shuō)，這可以算得上是互聯(lián)網(wǎng)時(shí)代信息安全的開(kāi)端了。

彼時(shí)正在微軟工作，并經(jīng)歷了全過(guò)程的Tony Lee，至今仍然對(duì)微軟推出的《威脅建?！芬粫?shū)推崇備至：“十幾年前的書(shū)，今天依然很有用。”而那段艱難的時(shí)光，被Tony Lee形象地稱為“第一次世界大戰(zhàn)”。

正如經(jīng)歷過(guò)戰(zhàn)爭(zhēng)的士兵才會(huì)真正懂得戰(zhàn)爭(zhēng)一般，Tony Lee也從這場(chǎng)“安全大戰(zhàn)”中，漸漸領(lǐng)悟了安全的本質(zhì)：“做安全，不是為了別的目的，就是為了保護(hù)安全”——計(jì)算機(jī)讓每個(gè)人擁有了平等的機(jī)會(huì);而安全讓這種機(jī)會(huì)不會(huì)被惡意利用，這便是安全的起點(diǎn)和意義。

這也成為了他一貫堅(jiān)持的原則。在一次圓桌活動(dòng)上，有人向Tony Lee提問(wèn)：“你打算怎么把安全做成非成本中心?”Tony Lee給出的答案是：“這是個(gè)偽命題，為什么非要把目標(biāo)定在盈利上?我不想做成非成本中心，安全的目的本來(lái)就不是盈利。”

我覺(jué)得他是“做最純粹的安全”，或許，安全本來(lái)就該是這個(gè)樣子。

二、永不停歇的勇士

然而，并不是每個(gè)人都像Tony Lee這樣想——從2011年年回國(guó)加入安全寶到如今，Tony Lee越來(lái)越強(qiáng)烈地意識(shí)到了這一點(diǎn)。

在美國(guó)，Tony Lee經(jīng)歷了安全的起點(diǎn)。那個(gè)時(shí)節(jié)，他如同除暴安良的俠客，為維護(hù)安全與平等而戰(zhàn);而他回國(guó)時(shí)，正遇上國(guó)內(nèi)安全行業(yè)巨變的時(shí)間節(jié)點(diǎn)：2005年成為了“傳統(tǒng)安全”和“互聯(lián)網(wǎng)安全”的分界點(diǎn)，也宣告了新一輪安全風(fēng)潮的到來(lái)。

在此之后，信息安全進(jìn)入了蓬勃發(fā)展的階段——國(guó)家層面的支持、公眾的日益重視，各方面的信息都預(yù)示著安全的春天即將到來(lái)，創(chuàng)業(yè)公司也如同雨后春筍般紛紛興起。緊接著，互聯(lián)網(wǎng)巨頭們的身影開(kāi)始顯現(xiàn)，憑借雄厚的實(shí)力，意欲開(kāi)辟安全的新格局。安全的世界第一次從“俠客的江湖”，變成了“梟雄的逐鹿場(chǎng)”。

Tony Lee認(rèn)為，360出現(xiàn)后的安全市場(chǎng)繁榮了不少：“從那之后，安全開(kāi)始熱起來(lái)了。”但回顧近年的安全行業(yè)，他也感覺(jué)有些惋惜，“出現(xiàn)了一批很棒的企業(yè)，但是最終沒(méi)有做起來(lái)。”

讓他隱隱感到不安的在于“浮躁”：“很多企業(yè)把安全作為商業(yè)模式，先把PC端、移動(dòng)端占好了，后面的則是商業(yè)目的。真正的目標(biāo)是商業(yè)利益，安全只是一個(gè)幌子、一個(gè)手段。”

這并不是Tony Lee心目中的“安全”。在他看來(lái)：“最高水平的安全公司反而非常低調(diào)，外界可能很少聽(tīng)說(shuō)。他們做的事情就是，如何解決問(wèn)題，如何讓用戶相信，而不是怎么獲得商業(yè)利益。”

來(lái)到京東，Tony Lee要做的，正是“為了安全的安全”。

“至少在這個(gè)階段，京東的組織架構(gòu)、對(duì)安全的期望值、方向，在我看來(lái)都非常到位——安全就應(yīng)該在一個(gè)一級(jí)部門(mén)里面，和各個(gè)部門(mén)攜手，一起把事情做好。”

Tony Lee提起了劉強(qiáng)東在創(chuàng)業(yè)初期的故事：“每一個(gè)客戶他都堅(jiān)持開(kāi)發(fā)票，這件事關(guān)乎誠(chéng)信。一個(gè)業(yè)務(wù)可以做可以不做，關(guān)鍵在于有沒(méi)有為用戶著想。這是一種很強(qiáng)的責(zé)任感。”這恰恰和Tony Lee對(duì)安全的認(rèn)知不謀而合——勇士最不可或缺的就是責(zé)任感。“Light up the darkness.”這句《我是傳奇》中的臺(tái)詞赫然出現(xiàn)在眼前，恰恰就像眼前這個(gè)人一樣，責(zé)任感就在于此了。

[[183680]]

Tony所做的也正如美國(guó)民權(quán)運(yùn)動(dòng)領(lǐng)袖說(shuō)過(guò)的一句話：”The people, who make the world worse, are not taking a day off, why shoul I.” 因?yàn)樵诤诎抵械暮诳蜎](méi)有休息，作為從事安全工作的人也不會(huì)休息。安全人的工作就是照亮黑暗，其實(shí)這就是一個(gè)做安全的人的最簡(jiǎn)單、最純粹的狀態(tài)。更是一個(gè)懷著強(qiáng)烈責(zé)任感的安全人的特點(diǎn) 。

“京東發(fā)展速度很快，幾年前還是個(gè)小公司，現(xiàn)在是全世界最大的自營(yíng)電商之一。船跑得快，你要保證他不要沉，這真的是一個(gè)非常大的挑戰(zhàn)。 ”來(lái)到京東100天，Tony Lee的目標(biāo)是“踏實(shí)地做安全”，“先解決好京東的問(wèn)題。有了成果，再拿出來(lái)分享——沒(méi)有商業(yè)驅(qū)動(dòng)，而是分享能力。”

目標(biāo)既定，那么，要怎么做?

三、在戰(zhàn)場(chǎng)的最前線

“我想到一個(gè)很有意思的問(wèn)題，”Tony Lee說(shuō)道，“如果在全球的視野下，你有無(wú)限的預(yù)算，可以買(mǎi)到所有最先進(jìn)的服務(wù)，甚至擁有無(wú)限的人力，你的安全能做成什么樣?”他給出了答案：“短期不會(huì)有太大改變。風(fēng)險(xiǎn)和威脅不會(huì)有太大變化。”

“安全是一個(gè)戰(zhàn)場(chǎng)，做技術(shù)、產(chǎn)品、服務(wù)的乙方，是提供彈藥的人。但對(duì)于戰(zhàn)斗者來(lái)說(shuō)，給你的是零件，你要自己組裝，最終讓武器用到你的戰(zhàn)場(chǎng)上——這是一條很長(zhǎng)的路。我的想法是，做好安全，必須考慮戰(zhàn)斗者的視角，知道真正面臨戰(zhàn)斗的人是怎樣的視野。”

Tony Lee將安全歸結(jié)為兩個(gè)層面：“第一個(gè)層面是設(shè)計(jì)層面，做出來(lái)就是安全，比如sdl、數(shù)據(jù)加密，而第二個(gè)層面同樣很重要，就是監(jiān)控。有了監(jiān)控，看到以前沒(méi)看到的東西，有了足夠的信息，才知道需要防御什么、怎么防御。你告訴我用什么技術(shù)就能擋住什么攻擊，我覺(jué)得是吹牛。能看見(jiàn)就能擋住，看都看不見(jiàn)，怎么防御?要看見(jiàn)，就要上戰(zhàn)場(chǎng)。”

在Tony Lee看來(lái)，京東就是一個(gè)巨大的戰(zhàn)場(chǎng)?，F(xiàn)在，他沖到了最前線。

[[183681]]

當(dāng)我問(wèn)到Tony Lee的目標(biāo)是什么，Tony Lee回答說(shuō)“讓安全和業(yè)務(wù)結(jié)合”：“安全不是獨(dú)立的，我們的安全業(yè)務(wù)沒(méi)有一項(xiàng)是自己做的，都是和業(yè)務(wù)一起完成，這是一個(gè)共生的關(guān)系。”

“獨(dú)立來(lái)做，業(yè)務(wù)和安全都做不好——安全提出一個(gè)要求，業(yè)務(wù)沒(méi)有響應(yīng)的工具，沒(méi)有經(jīng)過(guò)這個(gè)培訓(xùn)，根本做不了。”Tony Lee設(shè)想,“安全作為業(yè)務(wù)KPI的一部分應(yīng)該是最好的，成為一個(gè)可視化的東西。舉個(gè)例子，一個(gè)產(chǎn)品有安全系數(shù)，用了我做的工具、經(jīng)過(guò)了培訓(xùn)，分?jǐn)?shù)就上去了。這個(gè)過(guò)程不是我要求、我命令，而是我們一起把事情做好。”

“兩個(gè)P”是Tony Lee希望達(dá)到的最終效果：“一個(gè)是Protect，保護(hù)品牌。更好一點(diǎn)的效果是Promote，讓京東以及它的生態(tài)是可信的，讓更多的商家愿意做各種事情，買(mǎi)東西，借款，甚至于未來(lái)的IOT，在這個(gè)過(guò)程中，安全起到的是基石的作用。”

四、下一個(gè)方向：萬(wàn)物互聯(lián)

當(dāng)然，要做的還不止于此——除了當(dāng)下，Tony Lee關(guān)注的還有未來(lái)。

首當(dāng)其沖的便是萬(wàn)物互聯(lián)。在這一領(lǐng)域，京東有著得天獨(dú)厚的先發(fā)優(yōu)勢(shì)：智能倉(cāng)儲(chǔ)和叮咚。

“我自己是叮咚的鐵粉，”Tony Lee描述了他見(jiàn)到的場(chǎng)景，“我們有一間屋子，進(jìn)屋之后說(shuō)一句，叮咚我要睡覺(jué)了，窗簾就自然地慢慢拉上了。這讓我覺(jué)得，IOT終于出現(xiàn)比較自然的交互方式了。”“未來(lái)是技術(shù)驅(qū)動(dòng)的世界，而電商在其中占據(jù)了很重要的位置。以前我們沒(méi)有機(jī)會(huì)做萬(wàn)物互聯(lián)，現(xiàn)在不僅有了，還可以站在制高點(diǎn)上。”

他提到了在美國(guó)的見(jiàn)聞：“上一代搞計(jì)算機(jī)的時(shí)代已經(jīng)過(guò)去了，因?yàn)闆](méi)有掌握云，沒(méi)有掌握移動(dòng)互聯(lián)網(wǎng)。同樣的，如果沒(méi)有適應(yīng)AI、萬(wàn)物互聯(lián)，我們也會(huì)OUT。所以，要提前做準(zhǔn)備。”

Tony Lee亦在思考傳承：“十年前，只有幾個(gè)學(xué)校會(huì)教信息安全?，F(xiàn)在第一代從業(yè)者出來(lái)了，很多學(xué)校也都有了信息安全專業(yè)，下一代們都很有天分、很努力。我的感受是，有一種傳承在里面。”

他正在著手籌備“京東安全大會(huì)”和“培養(yǎng)計(jì)劃”：“這是對(duì)傳承的致敬。我們的安全要怎么延續(xù)下去?怎么做得更好?單憑京東可能很難解決這些問(wèn)題，但是如果我們可以做一些非商業(yè)性的東西出來(lái)，對(duì)整體的氣氛或許會(huì)有影響。”

“為了安全而安全”，來(lái)到京東的第100天，俠客Tony Lee依然為此而努力著——為了安全的過(guò)去、現(xiàn)在和未來(lái)。