人物 | 楚春鹏：安全意识让每一个人筑成企业防护的壁垒

和很多安全从业者一样，楚春鹏原本也是个资深“黑客”。据他回忆，早在初中时，他就开始研究如何盗取别人的QQ号，当时的热门病毒“灰鸽子”就是他的心头好。通过这款病毒，楚春鹏的盗号行为屡屡得逞，好在他还有一定的法律意识，仅仅是盗号而非以此牟利，要不然黑客界或许就会迎来一位“天才”。

到了大学之后，楚春鹏就读软件开发专业。他的成绩很好，在大一大二这两年，他的专业课成绩始终排在年级第一，那大三大四呢？楚春鹏退学了。不是违反校纪被开除，也不是成绩快速下滑而挂科，只是因为软件开发的课程太简单了。

回忆起自己当初的选择，楚春鹏的感受很复杂，虽然他并没有后悔选择退学，并且也在工作中取得了一定的成绩，但没有毕业证也让他在工作中遇到了一些挑战。对此，楚春鹏劝告那些和他一样想要退学的人：“我的经历和时代背景息息相关，当下还是要以学业为主，脚踏实地。”

20岁出头的楚春鹏拿着肄业证书步入了社会。彼时正值2010年左右，国内安全行业刚刚起步，楚春鹏凭借优异的专业课，成功实现了儿时的梦想，成为一名安全运维。从事安全运维的那几年，楚春鹏接触了大量基于实践和应用的安全技术和知识，这些和学校里截然不同的知识让楚春鹏如饥似渴。“当时最关注的就是钓鱼邮件，这种简单易操作的攻击手法让我十分着迷。”或许曾短暂地当过黑客，楚春鹏在工作中非常关注新的攻击手法，并早早地就学会了如何以黑客视角看待安全。

在工作中，楚春鹏参照了国外的趋势和案例，发现了当时国内安全市场的不足，于是在2015年，他离开岗位选择创业。当时，我国连《网络安全法》还没有颁布，同行们更多地在围绕主机安全做文章，而他则不然，选择了以EDR为方向进行创业，不仅高薪聘请了美国的开发人员，还亲自做起了售前售后的工作。

然而，由于忽视了当时的安全环境，楚春鹏的创业之旅很快就结束了。“当时国内安全市场还是以免费的杀毒软件为主，EDR产品不仅收费，还要部署在用户的服务器上，这让很多客户心存顾虑。”这次失败的创业让楚春鹏收获了许多，缺乏市场教育和用户基础，再前瞻的布局也会是空中楼阁，无法落地。

幸运的是，在他创业的这段时间，国内的安全形势发生了变化，先是《网络安全法》的颁布，让整个行业有了法律依据，同时大量的初创企业加入安全行业，这让楚春鹏对安全行业始终抱有期待。

在反思过之前的行为后，楚春鹏决定脚踏实地地做些事情，他先是通过补办了自己的本科毕业证，然后又陆续加入了多家企业从事安全工作。“创业之后我先加入了一家安全厂商担任项目经理，而后又在某国际金融组织担任安全顾问，紧接着又去安全厂商从事安服工作，最后到了我现在这家企业。”兜兜转转，楚春鹏几乎经历了每一个安全岗位。每一份工作，每一次经历都让他受益匪浅，并在现在的企业上得到了充分的利用。

楚春鹏现在工作的企业是一家大型的私立医疗集团，这不仅是一家外资企业，还有着上千人的规模，更重要的是大小分支机构分布在全国各地，这对楚春鹏来说是一个重大挑战。此外，由于预算问题，这家企业仅有楚春鹏一个安全负责人，这意味着几乎所有的安全工作都需要楚春鹏来亲力亲为。

“公司的初始安全水平非常薄弱，各种漏洞几乎随处可见，我来的第一件事就是尽快打造起合格的安全架构和制度，帮助企业建立最基础的安全防护能力。”和泛互行业不同的是，医疗行业不面向互联网，所以能够避免大量的来自互联网的攻击。但内网也有内网存在的问题，首先，企业当时的内网划分十分不合理，生产区域、测试区域、办公区、医疗设备、 IoT 设备等等掺杂在一起，并且因历史遗留问题无法区分，那么如何将其中带有敏感数据的区域隔离出来就成为楚春鹏需要解决的第一件事。

其次是人员意识问题，医疗机构的从业者往往是医生、护士、医技和部分行政人员，绝大多数的人对网络安全不甚了解，但他们又具备一定的权限，可以在内网中获取大量敏感信息，因此，这些从业者就成为威胁行为者的主要目标。如何增强他们的安全意识就成为楚春鹏的第二个挑战。

为了解决第一个问题，楚春鹏用了三年时间，围绕着网络边界和通信路径，楚春鹏为公司划分了一个个安全域，将各个域之间分隔开，避免了攻击者从一台设备入侵到整个内网。在这个过程中，楚春鹏发现很多联网的医疗设备由于对安全的不重视，其内部系统漏洞百出，为了防止这些设备成为安全隐患，楚春鹏特别将所有安全设备单独划分了一个区域，并和这些供应商达成共识，一旦因供应商的设备出现安全问题，公司会对其追责。

楚春鹏介绍道，目前公司已经进入了安全运营阶段，在这一阶段中，楚春鹏会持续关注策略的有效性，并依据反馈结果进行优化调整。而在这个过程中，楚春鹏决定解决第二个挑战，那就是增强所有员工的安全意识。“从黑客视角来看，迎着各种防护策略突破漏洞很可能得不偿失。但很多企业内员工的安全意识是非常薄弱的，从人员下手不仅成功率高，成本也很低，这就是钓鱼邮件‘经久不衰’的背后原因。”

提升几千名员工的安全意识是一个非常大的工程。“公司的很多员工不仅对安全不了解，他们甚至连使用计算机都不太熟练，和他们讲安全就像是对牛弹琴。”即便面对着数以千计的电脑小白，楚春鹏依旧决定要做这项工作，这背后是楚春鹏身边的一件事情。

楚春鹏提到，他的一位朋友曾经遭遇过电信诈骗，数十年积攒的积蓄悉数被骗，这让楚春鹏十分痛心。“我一个干安全的，连身边的人都保护不了，感觉这些年自己取得的成就、经历的事情没有丝毫价值。”为此，楚春鹏下定决心，一定要让公司里的每一个人都建立起安全意识，即便工作中可能用不上，在生活上也能提供一定的帮助。

楚春鹏将这件事上报领导之后，领导非常支持，并让他在公司现有的学习平台上布置教学课件。起初，楚春鹏想在网上找点材料，但考虑到员工的计算机知识有限，泛泛的教学材料不仅帮不了他们，还可能让他们产生抵触心理。于是，楚春鹏决定自行制作课件。

为此，楚春鹏特意找了一家摄影棚，自行录制培训课程。同时，为了保障培训效果，楚春鹏让摄影师成为课程的第一个观众，从摄影师的角度来逐字逐句地修改，以此来保障每一句话都能让人听懂。在反复录制了几十次之后，楚春鹏终于确定了最终版本。这项工作虽然繁琐，但在楚春鹏的眼中有独特的意义。“这不是简单的员工培训，而是将我多年来积累的安全经验和安全意识，传输到每一个受众中。这不只是工作，更是实现我人生价值的一种方式。”

在录制完课程后，楚春鹏又找到了公司的内审和HR，说服他们将安全培训作为每年员工合规考核的项目之一。在做完了这些后，楚春鹏如愿以偿地将视频传到了公司的学习平台，并获得了巨大的反响。“我们公司每年都会有讲师评定，全体员工都会在学习平台上为每一位讲师进行打分，而我已经连续两年成为公司唯一一个五星讲师。”员工们的反馈让楚春鹏非常满足，在他看来，虽然此前无法帮助到身边朋友，但通过安全培训，自己终于让这份工作实现了更高的价值。

通过安全体系建设和员工意识培训双管齐下，楚春鹏的公司安全水平得到了显著提高。“我敢这么说，现在随便来一封钓鱼软件，我们绝大多数员工都不会点开。”为此，楚春鹏特意分享了几个案例。

去年，上海某分支机构的儿科医生邮箱被盗了，攻击者利用这个邮箱在公司内部大范围发送钓鱼邮件。此前，为了区分内外部邮箱，楚春鹏特别设定了一条规则，将所有的外部邮件上标注出显著的提醒。但由于该儿科医生的邮箱是内部邮箱，内容是一个伪造的外卖链接，部分员工不疑有他，拿出手机就扫码了。

楚春鹏有一个习惯，会提前一个小时左右上班。在去公司的路上，楚春鹏收到了同事的反馈，得知有这样的邮件在公司内部大范围地传播，楚春鹏立刻反应过来是钓鱼邮件。他马上给上海的医生打电话，确定邮件是否是他本人发布。在得到了否定的回答后，楚春鹏又立刻封禁了该邮箱，并紧急写了一封全员通知的邮件，在早上8点就将事情经过告诉了全体员工。

在到达公司后，楚春鹏陆陆续续地收到了一些员工的求助，这些扫了码的员工来找到楚春鹏寻求解决办法，他建议这些人马上冻结银行卡，并要求银行原路退还转账。当然，也有部分同事错过了冻结时间，造成了一定的财产损失。于是在9点钟左右，楚春鹏将整个事情的经过做成了溯源报告，并发布了第二封全员通知，其中特别指出应该如何追回损失。

在这个过程中，由于有同事在事件发生后选择报警，公司辖区的民警很快就找上门来，在得知楚春鹏的处理方式以及看到了他提供的溯源报告后，辖区民警进行了表扬，并邀请楚春鹏作为公司代表，为辖区内其他企业分享经验。

另一件事是处理了一次勒索攻击，楚春鹏不仅成功应对勒索攻击，还被供应商列为行业唯一典型实践案例。事情的起因是一台使用Win7系统的计算机遭到了WannaCry的入侵，由于在安全意识培训课上，楚春鹏对WannaCry、Petya等知名病毒进行了解析，因此该计算机的使用者立刻意识到中了勒索病毒，于是马上同楚春鹏联系。

此前，楚春鹏在某安全供应商处采购了SOC安全运营平台，并将已知特征的病毒进行持续监控。在发现勒索病毒之后，楚春鹏利用SOC迅速锁定了其他被感染的主机，并立刻进行下线处理。得益于发现较早，以及对SOC的灵活使用，这次勒索攻击很快就被楚春鹏遏制住了。在供应商得知后，不仅将其作为医疗行业的唯一案例进行宣讲，还特别邀请楚春鹏对于SOC产品的使用方式进行讲解。

由此可以看到，意识培训确实可以大幅度提高企业安全。楚春鹏一个人就将几千人的企业保护得万无一失，主要原因是员工们的配合和支持。对此，楚春鹏表示，安全意识培训什么时候做都不晚，只要方法得当，电脑小白也可以被教会，也可以成为企业安全防护的组成部分。

回顾楚春鹏的职业生涯可以看到，他是个很有趣的人，他创业过、辍学过，但他总能知道自己该干些什么，即便因年轻气盛做出了一些常人看来可能不理解的尝试，但这些尝试终将成为楚春鹏人生经验的一部分。

对于医疗行业来说，其储备的数据关乎民生，一旦诸如基因数据、身份数据等遭到泄露，就很有可能为我国国民带来严重影响。楚春鹏看到了这一点，也投身于提高医疗行业的整体安全水平，希望他能够一如既往，继续为更多行业提供更多的安全实践经验。