安全咖 | 姜山：非典型安全之路!

08年毕业的姜山，主修的是计算机专业。原本是在北京做移动支付产品研发工作，并没有想过踏入信息安全这个行业，只是他总觉得并不太适合北京的节奏和状态，于是机缘巧合之下辗转来到了珠海，并在一家经营金融支付产品的公司留了下来。这是一家传统的制造型企业，主要为国内各家银行生产借记卡、信用卡之类的支付产品，由于产品涉及到银行客户的信息资料，加上那时银行开始对金融服务外包商有了更严格的信息安全要求，于是从这个时候，公司设立了专职的信息安全岗位，看好这个方向的姜山主动转岗成了信息安全工程师，细算一下，那一年离他毕业已经过去了6年之久。

从事了6年的产品研发，面对信息安全0经验起步的困境，姜山不得不重新开启了学习奋斗之路。现在谈信息安全的职能，我们大概都能有所区分，但是在14年的珠海，职能的划分并不像现今这么科学细致。在这家制造企业，确实存在一个安全管理部，但是它除了负责合规方面的工作外，还包括生产安全、消防安全、甚至安保人员的管理，这类现在看起来和信息安全风马牛不相及的职能都统归在安全管理部，而信息系统相关职能却独立由IT部负责。

在这样的组织架构下，姜山正式踏上了信息安全之路。由于客户都是国内外知名的银行，加上对产品安全的特殊性要求，姜山一入行的方向便是从学习各种合规条款开始，这和许多从渗透测试等技术开始做起的信安人有了截然不同的发展路线。可能很多人会觉得不是走技术路线的升级道路就会轻松很多吧，那你是想错了，如果你每年都要应对来自各大银行安全专家100多次的合规审查，又要跟IT部门研讨优化安全技术方案，而且自己还是刚入安全行业不久的新人，那你所承担和面对的压力有多大，闭着眼都能想到了。所以，姜山起步的道路不平坦，甚至可以说还是崎岖的，为了能保证每次都能顺利的通过审查，他不得不日以继夜的学习，学习，再学习。以便在每次接待检查人员时，都能应付自如。

在这家制造业，姜山待了4年，从一个安全工程师，晋升到了安全管理部的经理。我很好奇，如果这个非典型意义的安全部算是他成长的第一步的话，那么姜山到底从这个部门学到了什么呢？撇开技术不说，只是学会怎么去接待和应对银行的合规检查吗？答案肯定是否定的，姜山4年的时间没有白白浪费，应对合规的检查，本身就不是一件轻松的事，每次接受审查的过程都是一个发现问题，整改问题的学习过程。尤其值得姜山津津乐道的就是在这里标准化做的及其到位，从内外部审计问题应答和处理、到各类IT信息的记录，或者变更及配置，都严格按照标准执行，正是因为标准化的健全，让每次检查都能平稳顺利的通过，也让他对信息安全体系有了完整的运营经验。其次，由于这家公司对安全的投入并不多，这让姜山不得不通过一些非典型的手段来实现安全目的，也要自己动手搞免费的开源安全工具。比如运用防火墙多区域控制和自研工具实现逻辑隔离替代物理隔离用于跨区域文件传输，在满足合规要求前提下提高业务运行效率，虽然这种现在看起来比较老土的方法并不值得安全行业推荐，但是这股敢于尝试的安全精神却是必须传承的，毕竟当下，许多安全建设的思路就是买设备，堆设备，而对于这家投入和重视程度并不太高的企业来说，运用一切可以运用的手段来实现安全的目标，这就是姜山对待“安全”两字所秉承的最令人赞许的态度。

由于移动支付的崛起，金融行业也发生了巨变，相应的这家为银行制造信用卡的企业也受到了不小的冲击，其对安全的投入也越来越少。从姜山的言谈中可以看出，他是一个认真负责，脚踏实地做事的人。虽然不能用热爱来形容其对信息安全的态度，但是，想要了解更多，做到更好，却是他实实在在的想法。所以18年的时候，姜山加入了健帆集团，这是一家经营医疗器械的企业。

没想刚以信息安全经理入职2个月，姜山又遇到了IT负责人离职的囧境。于是，临危受命的他补了这个缺，一下子从安全管理部经理的角色又转换成了IT部负责人，不仅要负责信息安全，还要负责系统运维、软件开发工作。单从姜山做安全的角度看，他对两家企业的聚焦点也是截然不同的，制造业关注客户个人的信息安全，关注自己生产安全合规，而在这家医疗器械公司，更多的是其生产工艺，配方和所有核心产品的保密性上。

这个IT+安全二合一的岗位，带给姜山许多不一样的体验。通过与业务不断交涉及磨合的过程，他又学到了不少新内容。在这里，业务是强势部门，每一个项目针对业务的需求都涉及到大量的定制流程，每一个系统上线前，姜山都要反复和业务部门沟通，自然，每一项安全措施也都需考虑周全。姜山说这个时期是他最累的时候，希望把事情做到尽善尽美的他，努力的响应业务的IT需求，但是自身对IT建设经验不足加上人手的匮乏，以至于好像每天都在加班加点的追赶进度。

但是即使如此疲惫，健帆依然得到姜山许多的认同。雷厉风行的企业文化强调的是实效性，这让所有政策的推行都变得十分顺畅，包括安全方面的事务，几乎都能得到领导的支持。比如员工内部信息安全意识的宣贯上，姜山不但组织专项会议进行攻击实例的演示，还收集了大量资料自己制作培训内容通过企业微信等多渠道发送给企业员工，同时申请各种奖品奖励培训优秀的员工，这些繁琐的工作能够得到公司领导层的支持，可见企业确实十分重视信息安全方面的建设。由于企业文化的推波助澜，让姜山得以在健帆获得大量的实践机会。在2年不到的时间里，从简单的防火墙到vpn防护、从防病毒到终端数据防泄密系统，大大小小的项目，都通过他的手成功上线应用。

总的来说，无论是在第一家制造业或是第二家医疗器械公司，姜山都算不上完完全全的专职于安全，这也就铸就了他非典型性的成长之路。在安全管理部他更多的是学习到了合规的内容，有些合规内容他虽然知道，但是却并未真正实践过。而在健帆的IT部，他则是完全投入到实践当中，从IT基础架构建立到各类系统的上线，姜山从头到尾都尝试过了一把“瘾”。他觉得，安全和IT其实是类似的，它们都需要基于业务，IT的基础是企业业务场景，而做安全要基于IT业务场景。我细品之下，忽然悟出了一件事，原来无论是在安全管理部也好，在IT部门也好，其实姜山一直是那里的“一个人的安全部门”，其实他并没有远离信息安全，而是通过各种业务来学习做安全的经验，又再次运用学习的经验来赋能业务的发展，这种非专职安全的成长路线倒是意外的成就了他全面发展的势头。

虽然一直游走在各个领域，但是信息安全已经逐渐成为姜山职业发展方向。为了能够继续深入安全这条路，姜山加入金融相关的某投控集团负责信息安全工作。虽然经历过不同行业，但是他觉得对于信息安全来说，行业属性的影响并不是十分明显，只是因素之一，其他还包括企业的经营状况和企业文化等因素。行业特征对信息安全最大影响其实在于关注点不同，比如科技创新型企业更加关注技术保密、而传统制造行业可能更加关注系统可用。所以不论什么行业，信息安全的框架大体是相同的。

按姜山来的话来说，做信息安全最大的困难是其入门门槛，要做好信息安全是极其考验一个人学习能力的，特别是在传统企业从零开始，“需要以开放心态利用外界资源不断吸收新知识”。 自己本行是开发，但是从转入信息安全行业开始，他就没有停止过学习的步伐，参加专业会议论坛也必不可少。从最基本的系统、网络安全知识到风险、审计管理，再到渗透测试，从各类安全工具到各种合规条款，这几年姜山所学的知识内容早就经超过了大学时期了，来到现在的公司后，各种金融条款又成了他学习的目标，可见，信息安全这一行是一个持续不间断的学习过程，它有起点，却永远没有终点，姜山也乐此不疲的愿意奔跑在这条信安路上。

对于未来安全行业的发展，姜山也总结了自己的观点。一是平台化发展是一种趋势，但这条路还很长。当前的安全产品无论是防火墙也好，防病毒也好，都是相对独立存在的，虽然各个安全厂商都宣称提供了标准接口或一体化方案，但是想要形成真正的联动分析，除了一些具备实力的大甲方能定制化开发外，一般中小企业都难以实际落地。二是安全人员在企业的位置越来越重要，虽然大家都知道这个发展趋势，但每个人所领悟的点却可能各不相同。就拿姜山来说，他深知，当前很多企业都十分依赖安全产品，一旦购买就以为万无一失，其实，再好的产品，都需要一位专业的安全人员去维护和运营。同样一台防火墙可以只有默认策略，也可以上千条策略，产生的效果是完全不同的。这感觉就好比给了你一把神兵利器，你却因为不会使用而发挥不出它的威力。所以，对中小型企业来说，要真正做好安全，必须要有一位有相关安全技能或安全思维的专业人员，当然这可以来自内部也可以来自外部，否则安全投入都可能事倍功半，发挥不出应有的价值。

姜山始终觉得自己入行至今的经历都属于小众型经验，但大多数企业实际却是面临这样的境况。零信任也好，DevSecOps 也罢，每个时代都有一个安全的概念出现，但是安全的本质其实万变不离其宗，数据的分级分类和ISO27000 信息分级分类又有什么本质区别呢？无非是从网络安全调到数据安全的区别，只是更加细致化，但是它的核心要素始终是资产管理。

虽然开始真正意义上专职做信息安全了，但目前姜山依旧是一个人的安全部，公司的安全体系也才刚刚起步，3月份入职的他，已经为今年的安全建设制定了初步的计划：确立项目研发安全流程制度，保证上线前的渗透测试和漏扫、以及对第三方人员进行严格的管理。“做安全不能形式化，必须有实际的效果”。这是姜山对这个行业最简单，也是最深刻的解读，新的安全之路才刚刚起步，但是我知道，一路兢兢业业，踏踏实实做好本职工作的他，一定会在信安这条路上有更多的收获！