一、背景介紹

就職某保險公司，為信息安全部門負責人，職責歸納起來是負責控制整個公司內(nèi)外部風險，應對新領(lǐng)域的安全挑戰(zhàn)和對抗。

自身的經(jīng)歷：從研發(fā)，攻防實驗室，業(yè)務(wù)安全，數(shù)據(jù)安全，安全架構(gòu)和開發(fā)一路走來，也是一種非常有意思的體驗。

二、沖突和挑戰(zhàn)

金融行業(yè)是一個非常有挑戰(zhàn)的行業(yè)，基本任何一個行業(yè)都跟金融行業(yè)多多少少有關(guān)系，現(xiàn)實來講沒有一個行業(yè)能夠離開資金的支持，無論以什么形式，也就決定了金融行業(yè)復雜和挑戰(zhàn)，它基本可以對接任何行業(yè)，各行業(yè)的業(yè)務(wù)模式和技術(shù)架構(gòu)的對接就更增加了它的復雜性，金融行業(yè)為了支持業(yè)務(wù)的發(fā)展又會引入各種新技術(shù)來增加自身業(yè)務(wù)優(yōu)勢，使得他們業(yè)務(wù)系統(tǒng)和技術(shù)架構(gòu)在復雜度上更上一層樓，作為一個安全負責人同時要支持技術(shù)線，業(yè)務(wù)線，數(shù)據(jù)線等多條線，要面臨太多太多的挑戰(zhàn)，傳統(tǒng)的安全模式和服務(wù)已經(jīng)遠不能滿足現(xiàn)實的情況，這也是為什么很多互聯(lián)網(wǎng)公司或甲方公司要建設(shè)自己的安全部門或團隊的原因，自己的問題自己解決。

1. 各種新技術(shù)帶來的挑戰(zhàn)

(1) 問題和挑戰(zhàn)

隨著業(yè)務(wù)線的不斷發(fā)展以及各種互聯(lián)網(wǎng)技術(shù)的引進，各種新技術(shù)占比越來越高，安全部門是否能跟進新技術(shù)的演進，并提供這些新技術(shù)架構(gòu)的安全支持，甚至走在其它科技部門前面，這是一個無法回避的問題。

我們本身就在一個不斷變化的時代，IT技術(shù)因為這幾年還聯(lián)網(wǎng)業(yè)務(wù)發(fā)展更新?lián)Q代的步伐就更加快，安全又是一個特例，科技線可以分成多個部門，如IT技術(shù)(細分：開發(fā)，運維，數(shù)據(jù))，大數(shù)據(jù)(數(shù)倉，模型，數(shù)據(jù)治理，AI等等)，風控，終端，合規(guī)等，而安全很多時候它要同時面對他們，安全又是一個小部門大責任的部門，用極為有限的人員支撐這些部門的安全工作，對每個人技術(shù)業(yè)務(wù)能力都有很大的挑戰(zhàn)(同時你還要不斷迭代這些新的技術(shù))，

如果安全人員如果不能了解相關(guān)技術(shù)棧和業(yè)務(wù)模式(如：如：容器管理，微服務(wù)架構(gòu)，實時流計算，圖數(shù)據(jù)庫，Deep/Machine Learning 等)，很難支持整各個科技和業(yè)務(wù)線(IT/大數(shù)據(jù)/風控/業(yè)務(wù)等)，這也是很多乙方安全公司人員轉(zhuǎn)型到甲方面臨的很重大的一個挑戰(zhàn)，也是目前很多甲方安全人員要迫切面臨的問題。

(2) 解決方案

a. 終身學習

就我個人來講終身學習是我個人比較喜歡的一件事，不斷的學習各種的知識(同時個人要有判斷，哪個領(lǐng)域知識技術(shù)是你值得投入的)不斷的學習可以給技術(shù)人員一種滿足感或者安全感，這樣的你不會被行業(yè)淘汰，不會擔心自身價值隨時間而流失，保持對新鮮事物的一種興趣，也許你沒有辦法深入了解所有事，但是保持新事物的興趣會極大擴展你自身的廣度，同時對加強你自身在某個領(lǐng)域的深度也是有極大好處的，觸類旁通就是指的如此。

b. 善于團隊互補

一個人始終精力有限，不可能兼顧所有方向，要善于發(fā)揮團隊的力量，安全也分為很多領(lǐng)域，每個人方向不一，自身知識領(lǐng)域也不一樣，把每個人用到合適的崗位是很重要的，部門成員之間也能夠互相交流，定期對自身領(lǐng)域的成果進行交流復盤，大家也都能了解對方在做什么，價值在哪里，也能彌補各自可能存在的短板。也能夠在工作量較大時可以相互支撐對方部分工作。

c. 開闊視野聚焦方向

安全人員除了要了解安全行業(yè)各種信息外，也可對各個相關(guān)領(lǐng)域多投入時間去關(guān)注一下，這些都不會白費，筆者的崗位工作需要接觸各個領(lǐng)域的人員，有技術(shù)的也有業(yè)務(wù)的，既有大數(shù)據(jù)，也有法律合規(guī)，所以需要多個領(lǐng)域的知識和積累，多和不同領(lǐng)域的人員交流溝通，除了能夠更加了解不同領(lǐng)域的情況，也能加深自身技術(shù)積累，行業(yè)的資深人員永遠是最好的老師，很多行業(yè)水非常深，如果自己去了解沒有幾年沒有人帶根本摸不清，但如過有資深人員肯帶你，短時間內(nèi)你就能夠把握一個行業(yè)或領(lǐng)域的脈搏(有點像投行的行研報告，但遠比這個深入)，這些知識一方面能夠幫助你更加深入發(fā)現(xiàn)一個條業(yè)務(wù)線或一個領(lǐng)域可能存在的風險(這種業(yè)務(wù)或由人造成的風險你沒有足夠經(jīng)驗是無法發(fā)現(xiàn)的)，更加重要的是拓寬你個人的視野，知道清晰知道未來自己該走的方向。

筆者曾經(jīng)面試過很多安全從業(yè)人員，有很多人對新領(lǐng)域有濃烈興趣的，也有人持續(xù)抱著多年前技術(shù)抱殘守缺(聊的東西還是6，7年前的)，似乎認為這個可以用一輩子，這個世界上哪有一輩子的事情，更何況還是IT這個更新最快的行業(yè)，這樣他自己怎能不為將來擔心。

d. 敢于挑戰(zhàn)，學以致用

安全向后期演進就是數(shù)據(jù)量的對抗，數(shù)據(jù)分析能力的對抗，安全人員除了要了解業(yè)界的安全風險，也要了解新的知識體系，也要考慮將這些新領(lǐng)域(如：IT/大數(shù)據(jù)/AI)，引入到自身安全能力中去，如將實時計算框架(如：Flink/Beam 等技術(shù))引入到的安全平臺中，通過實時流技術(shù)解決大量數(shù)據(jù)下的實時告警/處理問題。通過不斷學習，不斷將它們用于實踐中，解決現(xiàn)實中的難題(新的技術(shù)誕生就是為了解決難題的)，通過解決一個問題或完成一個項目，你能更加充分了解駕馭這些新的技術(shù)。

e. 掌握一門或者多門開發(fā)語言

筆者很幸運，從一個研發(fā)人員轉(zhuǎn)型到安全，直至目前也一直沒有離代碼，也在職業(yè)生涯中經(jīng)歷了多個大型軟件的開發(fā)，但是我目前看走技術(shù)路線的安全人員(一般：滲透，安服)都不太懂或者說沒有開發(fā)過或參與過真正的項目，有很多安全人員多數(shù)了解的是Python(主要用Python 做一些小工具)，更進一步了解Java(Java 體系本身確實也比較復雜)還是比較少的，無論從找漏洞或是分析系統(tǒng)風險，做過開發(fā)和沒有做過開發(fā)發(fā)現(xiàn)問題的深度和廣度完全不一樣，個人以為安全人員最好有過開發(fā)的經(jīng)驗，在做安全工作時能力會倍增，在開發(fā)的過程中能夠真正接觸多個方面的技術(shù)知識，對加強自身了解整個應用系統(tǒng)環(huán)境和架構(gòu)是非常有好處的。另外安全人員也越來越需要自己動手開發(fā)工具或相應安全平臺，早晚都避免不了和開發(fā)打交道，所以趕早不趕晚，早日學起來吧。

2. 小團隊支撐大業(yè)務(wù)

(1) 問題和挑戰(zhàn)

安全部門或團隊通常來講在每個公司規(guī)模都不會太大，都是小團隊來支撐大業(yè)務(wù)，多部門，全公司，這個是現(xiàn)狀短時間內(nèi)也沒有太好的辦法，各種黑客/黑產(chǎn)(金融行業(yè)的高價值數(shù)據(jù)是很多黑色產(chǎn)業(yè)垂涎的目標)，監(jiān)管部門的檢查(如這幾年的護網(wǎng)行動)，各種監(jiān)管條例和法規(guī)遵循，信息安全部門的工作量和風險可想而知。

另一方面因各業(yè)務(wù)自身演進較快，業(yè)務(wù)需求變化頻繁，多個業(yè)務(wù)線每周發(fā)版頻率較高，安全部門人員有限，無法跟進所有業(yè)務(wù)變化，也沒有足夠的人力對上線前的系統(tǒng)進行全覆蓋測試(僅僅還只是較大變化的版本和關(guān)鍵性系統(tǒng))，這些給安全帶來全方位的挑戰(zhàn)。

(2) 解決方案

a. 自動化，工具化，平臺化

其實最快的解決方案就是招人，但是一方面人員編制不是那么好要的，另一方面隨著公司業(yè)務(wù)的發(fā)展多少安全人員才夠呢?一個人或者一個部門能力再強如果讓它支撐其上千臺服務(wù)器或幾百條業(yè)務(wù)線的安全單純靠人力也沒有任何可能性。筆者自身是研發(fā)出身，比較喜歡DevOPS，目前又是軟件定義一切的時代(如：SAN，SDN)，將安全能力自動化，工具化，平臺化是大勢所趨，再復雜的系統(tǒng)，數(shù)量再多主機，如果有自動化程度足夠高的平臺，支撐這一切是很輕松，而安全人員自身也有足夠的時間去從事其它重點工作。

b. 規(guī)范的流程和體系

筆者將多個涉及安全的多個資源/權(quán)限的申請在OA中線上化，通過規(guī)范化，標準化的流程能夠大大提供工作效率，任何部門無論想申請什么權(quán)限，提取什么樣的數(shù)據(jù)，配置什么樣的服務(wù)，各個部門人員可根據(jù)創(chuàng)建的標注流程去申請，避免了人工溝通確認的大量成本和各種重復工作。

3.  業(yè)務(wù)深入度不夠

(1) 問題和挑戰(zhàn)

安全人員比較注重漏洞風險，系統(tǒng)底層的研究，很多人最大的關(guān)注就是挖各種漏洞，收集各種0Day,當然這些固然很重要，可是對一個甲方的安全人員來講是遠遠不夠的，有很多嚴重的漏洞都在來自于業(yè)務(wù)本身，不是業(yè)務(wù)流程上的，就是業(yè)務(wù)模式上的，惡意用戶或黑產(chǎn)人員只要覺得攻擊目標足夠有價值，舍得花時間，吃透了業(yè)務(wù)，從擼羊毛到各種流量劫持，從數(shù)據(jù)污染到新媒體欺詐，已經(jīng)遠超單純的數(shù)據(jù)脫庫，買賣數(shù)據(jù)那種簡單的模式了，現(xiàn)在黑產(chǎn)的復雜度遠勝從前，很多攻擊手段和獲利模式都是一般人很難想到，很多時候整黑色產(chǎn)鏈條里面有各種利用金融工具結(jié)合技術(shù)手段來變現(xiàn)和獲利的方法，如果你僅僅只是了解安全本身，你很難進行對抗。

安全從來不止是單純的技術(shù)，對業(yè)務(wù)了解的深度某種程度上也決定了你安全的深度，安全從未離開業(yè)務(wù)，。

(2) 解決方案

a. 貼近業(yè)務(wù)

可以多和業(yè)務(wù)部門，風控部門多多溝通，了解一手的業(yè)務(wù)模式和流程，一線業(yè)務(wù)人員他們一般是整個公司最了解某條業(yè)務(wù)線的人，另外公司在都有業(yè)務(wù)評審，這個時候業(yè)務(wù)部門和IT部門也會提交詳細的需求文檔，安全部門通過評審詳細了解業(yè)務(wù)系統(tǒng)的細節(jié)以及和業(yè)務(wù)部門進行溝通。

b. 輪崗

這種方式不具有普遍性，如果你能在業(yè)務(wù)的崗位上工作一段時間這個將是你最快也是最好了解業(yè)務(wù)的方式，但是很多公司不具備這個模式，所以還得看具體情況。

c. 了解行業(yè)動態(tài)

安全人員不要只埋頭苦干，也要了解行業(yè)趨勢，安全技術(shù)能力固然重要，但是很也要把握行業(yè)趨勢，老話說的好“不要只埋頭拉車，也要抬頭看路”，很多時候方向錯了，也就離目標越來越遠了。知道該向那個方向努力其實很重要，業(yè)務(wù)和IT的發(fā)展方向永遠是你要關(guān)注的，了解行業(yè)趨勢能讓你更清晰的知道大家都在關(guān)注什么，也能使你站的更高看的更清楚，更容易找到你自己的道路和方向。

筆者見過很多這樣的場景，安全技術(shù)本身演示的時候很炫酷，大家會上都說好，但是事后一直沒什么結(jié)果呢，關(guān)鍵是你不能創(chuàng)造價值，不能夠解決關(guān)鍵問題，這個是目前安全從業(yè)人很多都會面臨的問題，自身的價值點在哪?(不單單是傳統(tǒng)安全所做的工作)筆者也在一直在思考，也在尋找，了解業(yè)務(wù)趨勢和發(fā)展方向?qū)δ阏业阶约旱膬r值點肯定是非常有幫助的，也歡迎大家一起多多交流，能夠碰撞出火花。

三、結(jié)束語

我大概簡述了一個安全人的煩惱和憂慮，因為限于時間和篇幅的關(guān)系，很多問題也沒有展開講或者還沒來得急講(如：數(shù)據(jù)安全和客戶隱私保護，傳統(tǒng)安全問題的刨析，編碼/架構(gòu)設(shè)計能力等問題)，很多答案也僅僅基于我自己實踐和思考，肯定也也有很多局限性，我挑了幾個有代表性的問題，也許這不僅僅是安全從業(yè)人員的挑戰(zhàn)，可能是很多IT人面臨的挑戰(zhàn)，面臨挑戰(zhàn)怎么辦?只要還在行業(yè)中，躲是躲不了的，那就只能迎難而上，直面挑戰(zhàn)，引用一句老話這個時代唯一不變的就是變化本身。