您当前的位置:网站首页>监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药

监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药

2019-04-16 22:49:41 投稿作者:admin 围观人数:253 评论人数:0次

咱们从前采访过不少网络安全从业者,有些是独立的白帽黑客,有些是乙方的安全效劳人员,当然还有甲方的安全专家。他们大多都不像科幻小说或许电影中描绘的那么冷漠、庄严,反而温文亲热、喜好广泛。有人喜爱下班回家后莳花种草、养猫养鱼;有人喜爱业余时刻赛车、潜水;好像其他职业有才又风趣的人相同。当然,还有凌云这种,把网络安全从喜好变成作业,还连续到了日常日子中。

我的喜好其实仍是安全,或许具体来说是浸透与对立这一块。这个喜好现已让我很振奋了,所以我不需求再去找一些其他东西作为振奋点 。把喜好变成作业,我觉得蛮高兴的,觉得做的作业都很有意思。

这几句话凌云是笑着说的,语调变得愈加愉快明亮。整个采访进程中,他不时放声监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药大笑,好像十几年的从业阅历没有留下沧桑,只需火炬般的光和热。

从乙方到甲方,在改变中生长

翻开凌云的作业经历,最早的一条是在绿盟做安全工程师,归于典型的乙方。后来在一系列机缘巧合中,他去了伟人网络、PPTV、1号店、安全稳妥,最终兜兜转转到了携程,在不同范畴的甲方中历练。尽管公司在变,职级也在变,但都还在信息安全范畴,没脱离老本行。而这中心,改变最大的便是乙方到甲方视角的改变。

suqqu

在凌云看来,作为乙方能触摸到金融、政府、游戏公司、互联网公司等不同的企业,所做的作业也包括浸透测验、设备施行等不同安全效劳,能遇到不同的安全问题、学到很湿气多东西,打下坚实根底。但乙方首要是项目或产品导向,处理方案都以产品为中心,注重的时刻段也只需项目周期那几个月或一年半载,不会考虑到企业安全的其他方面,也不会考虑企业更久远的展开。

但作为甲方安全建造者,则需求理清问题的轻重缓急、处理问题的本钱等。在甲方,处理安全问题触及到自主研制或商业购买,需求在不同的乙方品牌间多维度比照。一同,做甲方安全需求自己去寻觅薄缺点,自动发现安全问题并及时处理,无法像乙方那样等着安全问题自己找上门。但全体来说,甲方对安全的实质看得更透彻,愈加清楚企业安全的痛点,做挑选时考虑得也愈加全面。

提到这儿,凌云讲了个生动的比方:

同享单车终究好不好骑,只需真实骑车的用户才知道。或许摩拜或许ofo为了本钱考虑,削减修理次数,就把轮胎做成实心轮胎,但用户骑起布罗梅尔来就会感觉很难骑。在这个比方里,用户是有需求的甲方,而同享单车厂商则是供给产品的乙方,用户才更清楚自己所骑的这辆车终究问题在哪,更清楚自己终究需求怎样的车子。

这也正是当今网络安全范畴甲乙方之间存在的问题。尽管产品许多,但不必定能满意企业的需求。因而,阿里、腾讯、百度等互联网大厂的安全部分反过来会输出一些产品,捉住乙方没注重的细分范畴,乃至或许比传统安全乙方更有优势;而一些甲方内部孵化出的构思性产品,也比传统乙方落地性更好。当然,甲方与乙方之间也有一些良性、共赢的协作。当甲方本身人员资源不够多但又有一些比较立异比较好的理念时,能够找乙方帮忙共同做一些东西。凌云也提到了当今一些互联网大厂设置的安全实验室以及许多校园展开的安全研讨项目 。这些都是产学研形式中的一环,也都有甲乙方交融的影子。不过,要想孵化出彻底落地的产品,还需求很长时刻的探究。

关于凌云来说,自己感受最深的是刚刚从乙方转到甲方的时分。最早在乙方,注重的都是安全相关的问题,每天触摸的项目也都是处理安全事故,处理项目需求。处于这种环境中,自然而然会觉得安全问题特别重要,一旦出问题,就要敏捷处理。可是,到了甲方之后,尽管或许会发现许多安全问题,但由于触及到开发、运维等多个维度,每个人的视角不相同,对安全的观念也不相同。

作为乙方,是他人花钱让你发现问题。由于对方花了钱,所以发现问题后会去处理。但在甲方的时分,运维或许开发并没有花钱让你去发现这些问题,有些问题他们乃至不会觉得是安全问题。

这也是凌云刚去甲方时觉得古怪和扎手的当地。不过通过一段时刻之后,结合甲方的环境,其实很简略想了解,究竟甲方公司最注重的仍是事务,许多流程需求先满意事务需求。相比之下, 遇到的安全问题不必定严峻到需求立刻处理。所以在推进甲方安全建造时,不能心急。

比方说,你发现了一个弱口令,某个效劳器暗码是123456。作为乙方,将发现的问题通知甲方,就相当于安全效劳现已完结。 至于对方改不改,便是他们自己的挑选。而在甲方,发现了弱口令之后,不只需跟进修正,还要确保改完的暗码满足杂乱、安全。别的,还要考虑其他效劳器是否也存在同类状况。这样一来,阵线会拉得比较长,处理周期也很长。

凌云说,把安全实质看得更透今后,就能了解许多作业的原委,对甲方处理作业的考量、进程也都有了更清楚的了解。依据这样的了解与大局把握,他才得以更好地服装店姓名发挥拳脚。

甲方安全——做正确的事,比正确地干事更重要

要想做好甲方安全,首张承先要对地点企业有清楚的了解,并剖析距离。凌云刚到携程的时分,恰逢公司安全团队改变。他敏捷与各个团队沟通,并对整个公司的事务、系统支撑、效劳器架构以及人员安排区分 等有了清楚的了解。有了这样的全体把握,今后该怎么做,凌云心里有了大致规划。

去到一家公司,这家公司或许有必定的安全根底,但首要要知道这个根底终究到了怎样的水位线。是刚起步仍是有一些根柢,仍是现已成为职业标杆?第二,需求清楚办理层对安全部分的等待是什么。是从零做到一,仍是从一做到一百?仍是坚持住现在的状况?这都需求弄清楚。第三便是要定好自己的方针。不论是从零到一仍是从一到一百,都有不同的阶厨师段,有不同的事要做。把每个阶段要做的作业都理清之后,还需求给办理层一个适宜的报告。不能闷头做,需求有沟通,让办理层看到你做出的效果。这几个大方向承认了,后边结壮做下去就好。

凌云在携程也践行了自己的这段话。刚到携程时,对全体环境了解不深化,所以首要要确保不出事,做好攻防,修补缝隙。一段时刻往后,他逐步把握了状况,觉得外部要挟不算严峻了,就方案提高内部办理。他做了各种办理系统架构之后,开端着手进行ISO27001认证。关于携程这种既有toB事务又有toC事务的企业而言,有了ISO27001的认证,信誉度就能大大提高,关于事务也有很大促进作用。一同,他还推进公司做信息加密,在企业界部合理地装备权限,尽量保护公司以及用户的数据安全。这傍边触及各方面的沟通和谐以及不同的架构调整 ,整个进程尽管杂乱,但渐渐有所成效。

咱们常常说,做正确的事,比正确地干事更重要。你要确保你在做正确的作业,哪怕做得慢点都没有联系。对安全来说,什么叫作做正确的事?便是确保整个大的规划不会有大的误差。国内公司做安全要想没有大误差,一方面要抓等保,一方面要抓ISO27001 。抓了这两条线, 承认了大的主干和几个重要分支,再一步步往前走,就能够了。

在凌云看来,职工的安全意识训练是甲方安全中必不可少的一环。在携程,每个月都会展开全公司范围内的安全训练。整个信息安全团队会做安全上的方针,并跟事务部分以及HR部分沟通评论,依据实践状况承认执行与处分。如此一来,安全训练从方针拟定到实践落地,都有全公司各部分的参加,也真实完成了提高安全意识的作用。

关于没有完善训练系统的企业而言,怎么提高职工安全意识呢?凌云主张凭借第三方。除了第三方供给的安全训练效劳之外,最简略的便是买一些现成的宣扬海报。他通知笔者,有一些公司专门制造并出售安全意识相关的海报,包括不同的安全注意事项(如设置杂乱暗码、防备垂钓邮件等),能嗜血角斗士起到很好的提示作用。携程内部也贴着一些海报,并且HR还会在信息安全部分的指导下制造一些宣扬动画,推送给职工。

除此之外,他一向注重着职业界最新要挟情报,剖析筛选出值得注重的内容,给到团队研讨,一同给出方向性的决议方案。现在,整个携程信息安全部分有45个人,区分为根底安全、 事务安全、数据安全、合规、运营、开发、机器学习等多个小组,不只担任公司的安全事务,还有学习温泉规划研制、内部产出,为整个安全团队供给更多技能和产品支撑。

作为安全高管,凌云对人才选拔和团队办理也有自己的心得。初到携程时,携程安全擘团队空缺许多,他敏捷招满了一批主干,然后放权给主干组成新的团队。凌云说,他自己招人的时分,只需应聘者有必定的理论根底和实践经历,学习能力强,就都有时机。他的团队成员里,有些人有甲方经历,有些人有乙方经历,也有一些实习表现较好的学生,交融在一同展开更均衡。而关于职工生长,除了HR拟定的具体展开方案表之外,他也比较愿意给团队成员发明 舞台、拟定公正的生长路途,以鼓舞整个团队更好的展开。这样的办理形式,得到了携程办理层的认可,也带动整个团队取得公安部评选的“网络安全办理优异团队”、“网络安全保护先进个人”等称谓。

携程信息安全部分作业室(部分成员在会议室)

在确保公司事务不受危害的前提下,凌云着眼久远、做好合规要求,并一步步推进安全架构、培育更多安全人才,正如他自己所说的那样,一向在做正确的事。

安全这张杰谢娜些年——瓶颈不可怕,结壮干事就好

从业多年,凌云见证了整个职业的变迁,一路走来的心思进程也是起伏跌宕。最早萝莉圣片他是由于2001年Unicode缝隙引发的喜好而学习、研讨安全技能。其时他很监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药愿意投稿,《黑客X档案》、《黑客手册》等杂志都留下了他的文章,正如现在许多白帽子在Free吕燕Buf等在线网站投稿相同。但关于凌云来说,其时的投稿除了喜好以外,仍是为了省事儿。他跟修改商议每年交稿一两篇,然后稿酬直接用来买杂志,还能请修改直接打包邮递到家。这样一来,不只省了去报亭购买的费事,有时分还能收到精选的小册子,一箭双雕。这些杂志至今都还在凌云家里堆着,就像咱们家中保存的一摞摞讲义相同,满载着回想。

后来互联网飞速展开,纸媒逐步衰落,安全喜好者和从业者的沟通渠道不断改变,也让凌云感受很深。

大环境来说,我感觉或许会比之前感觉百家争鸣的姿态略微差一点。但也不能说彻底变差了,由于又产生了一些新的东西, 比方CTF比赛、众测等等。整个工业仍是很坚强的。 或许某些渠道关掉了,这个职业一会儿会少一些东西。但自然而然你发会发现它就像一棵树,被砍掉一个树枝,你以为树死了,其实周围又生出来 新的树枝。 整个职业便是这样坚强, 仍是有人在一同坚持。

说话之间,凌云稍显模糊,大概是想起了一些往事。

时刻回到2010年前后,凌云在伟人网络作业,首要处理游戏范畴的安全问题。那个时分,整个安全职业并不像如韩国化妆品品牌今这么繁荣,乃至能够说比较小众乃至难以看到展开。其时许多安全从业者都在游戏范畴,由于那时分游戏公司有许多在线效劳事务,需求安全保护,避免外挂、盗号shjmpt以及许多不良的财政买卖。但全体来说,那时分的安全确实不够受注重,也影响到凌云的心态。

安全真实展开起来是电商展开之后,也便是2012年之后。电商的买卖额很大,并且都是在线付费,许多依靠网站展开事务,随同的安全问题就许多。我其时正好是从 伟人跑到PPTV,那时分 电商还没彻底起来,所以我其时觉得处于安全不是最受注重的阶段。那时或许是整个安全职业都处于黎明前的黑暗之中。

凌云坦言,其时正处于瓶颈期,但他也没有就此抛弃,而是去读了研讨生。他觉得自己本科学的是通讯技能,跟安全有点远,或许会存在一些常识缺失,于是就读了“软件工程”的硕士。尽管这个专业跟监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药安全也不是直接相关 ,可是读完之后,他了解了软件开发的流监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药程以及软件架构等,在后续的作业中,跟开发人员沟通起来愈加晓畅,也旁边面推进了安全作业进展。

我觉得不同的阶段就给自己找不同的方向幼女怀孕, 总得给自己找点作业做,调理一下。其时感觉大环境中安全不太受注重,为了不糟蹋年月,就去读了个研讨生。效果读完之后,发现大环境也好了,安全也受注重了。

硕士结业后,凌云地点的PPTV被苏宁收买,他就去了1号店。其时赶上电商兴起,安全职业随之水涨船高。大环境变得明亮,他也一扫阴霾,一路前行,走到了现在。

点亮自己的火炬,也照亮同行者

不知什么时分开端,进入安全圈为自己起一个炫酷的ID好像成了约定俗成、心照不宣的规矩。一向到现在圈子内还有这种习尚,英文ID特别受欢迎。在安全圈摸爬滚打10年以上的人,大约都曾混过论坛、看过杂志,有独归于自己、充溢故事的网名。凌云的网名是linkboy,中文意思是“举着火把的男孩”。这个网名背面,也有着一个小小的故事。

其时就想要稳重一点,找一个自己中文名的谐舍得妹抖音音,又比较有涵义的ID。于是就拿着一本英语词典,从“L”那一栏开端一个个往下翻。看到Linkboy这个词感觉有点意思。其时许多黑客软件上面都写着“黑夜 给了我黑色的眼睛,我却用它来寻觅光亮监狱风云,携程凌云 | 做正确的事,比正确地干事更重要,尿道炎吃什么药” 这句诗, 我觉得这句话跟 “举着火把的男孩”感觉意境有点像。一个是对外寻觅光亮,一个是拿着火把去给我们指引路途 ,意义很像,跟黑客的精力也很像,正好读音也跟我姓名读音挨近,所以就选了这循化气候个。

记羊肉不能和什么一同吃者原本想问凌云,是谁给了他这个火炬?当他讲完取名的小故事之后,才发现,是他自己为自己点亮了火炬,并举着这个火炬,在网络安全的路途上一路前行,一同照亮了同行的人。这不只表现在他对团队的精心扶持与办理,也表现在他在安全路上的不懈坚持与同享。

早些时分,linkboy这个ID在好几个博客渠道活泼度很高,不只常常同享学习和研讨所得,还会亲热地与其他安全喜好者互动。

(笔者注:其时的“呵呵”仅仅单纯的“哈哈”的意义)

笔者曾看到某个博客渠道的linkboy主页动态,一个谦逊、热心、好学的青年形象跃然眼前,与采访当天看到的凌云几乎没有二致。这么多年,他仍旧坚持着对安全的酷爱,仍旧达观爱笑、乐于同享。如果说有什么不相同,那大概是年月留情没刻下印记,却留下了更深沉的沉淀。

这样的性情与心态也连续到了凌云的作业中。凌云的团队人数不少,分组也很清晰。团队在作业傍边堆集的数据与经历能够反向输出,开宣布一些产品效劳于内部安全建造。他觉得有些小东西比较好用,就抱着同享的心态,带着团队做了携程云安全渠道,同享他们做的安全东西。

现在,渠道中首要有三款工花梨木家具具。分别是能够扫描GitHub是否提交灵敏代码的GithubScan;能够预警进犯的军火库;以及能够同享许多黑产数据用于风控的危险库。这些东西一方面能够开放给没有安全团队或许预算缺乏的小企业用于提高安全事务;另一方面也有助于职业界数据同享,加强全体职业安全建造。

凌云说,云安全渠道只开放给企业或安全团队,并没有开放给个人。现在注册账号现已超越2000个,每周有几十个账号活泼,每天也有一些互动。3年多来,有这样的数字,意味着这个云安全渠道得到了许多企业或许安全团队的认可。

提到这儿,他再次爽快地笑了,接着喋喋不休地说起了今后的方案。凌云以为,从久远视点来说,整个安全会越来越难做。当今信息安全走漏益发严峻,独自一家企业做好安全并不能阻挠这种趋势。并且,信息走漏是一种不可逆的行为。因而,未来的安全问题会愈加严峻。

尽管道阻且长,但行进的脚步不能停下,只需不断精进才干应对更严峻更杂乱的问题。除了不断研讨机器学习技能之外,凌云的团队也一向在 尽力提高数据安全建造。现在,他们现已做到把一切用户的灵敏信息做了加密,下一步方案做一些更详尽的作业,避免事务人员乱用、削减触摸场景。另一方面,他们关于整个供应链上下游的安全管控也不断在推进。2018年, 凌云还推进携程成为阿里的DSMM(数据安全成熟度模型)试点单位,也将在2019年验证效果。

有这么多事要忙,就没有时刻忧虑与焦虑了。凌云说,今后他们还会依据实践状况做一些东西,支撑公司安全事务展开并适度同享。究竟,久远来看,业界的协同、沟通以及同享是必然趋势。

跋文

聊完之后,现已是下午三点多。记者忧虑自己的到来会打乱他们的节奏,所以仅仅在作业区仓促一瞥。会议室里,凌云团队的某个小组正在进行每周一次的同享学习,其他小组成员则在工位上忙着自己的作业,严重而有序。

午后的阳光照在腾空SOHO的玻璃墙上,折射出绚烂金光。早春的风吹过来,轻柔而温文,拂去了一些烦躁。身处安全职业,总免不了被苍茫与焦虑的声响影响,但总有人坚决前行,总有人传递力气,正如凌云和他的团队相同。

*FreeBuf官方报导,未经许可制止转载。

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
the end
成年人思考模式,带领你成长