每天早上8點30分，Tony Lee將會開始他一天工作中的第一項：晨會，在10到30分鐘時間里，布置一天的工作任務——在京東，這個慣例已經(jīng)雷打不動地被京東人堅持了十年時間。Tony Lee對此非常認同：“這是一個節(jié)奏的問題。有了這個早會，大家都不會懶懶散散的，一天的節(jié)奏就起來了。”

[[183678]]

這是Tony Lee來到京東擔任首席安全專家的第一百天。從美國到中國，歷經(jīng)賽門鐵克、微軟、安全寶、百度，如今的Tony Lee選擇落腳在京東——以這里為起點，他將要一步步實現(xiàn)他心目中的“安全”。

一、為信息平等而投身安全

“我的經(jīng)歷也算是一部華人奮斗史了。”Tony Lee半開玩笑地說道。他言語間僅存的一點獨特的音調(diào)仍然帶有明顯的廣東味道：“出了家鄉(xiāng)，英語也講、普通話也講，就是家鄉(xiāng)話很少說了。”

高中時期，Tony Lee便遠赴美國定居，而他的安全生涯同樣也是以美國為起點的。高中畢業(yè)之后，Tony Lee進入了伯克利大學。在那里，讓Tony Lee感觸最深，也最深刻地影響了他的，就是校園中自由的氛圍：“伯克利非常重視自由平等。在伯克利的校園里有個標志在地上是一個圈，里面寫著一句話：這個地方和它的上空，不受任何國家的法律約束。”

在這樣的氛圍中，Tony Lee開始了他和計算機的親密接觸。

彼時正值互聯(lián)網(wǎng)時代的開端：Windows尚在95、97時代，Hotmail剛剛興起，而Google還并不出名。Tony Lee所在的實驗室主要負責的是殘疾人電腦的設計：“很多殘疾人不能用電腦，甚至根本不能移動肢體。我們設計了一個頭盔、一個特殊設計的鍵盤，讓他可以點擊操作。”

這個過程，亦讓Tony Lee感覺到：“電腦是一個強大的資源，它真的可以幫助人，讓每個人都擁有平等的機會。”

在我問到Tony Lee踏足安全是何時時，Tony講到2001年，在加州大學讀研的Tony Lee收到了自己的導師、同時也是賽門鐵克首席架構師的郵件：“我們需要研究病毒的人，你來試試?”

初涉安全，原本就喜愛計算機的他產(chǎn)生了濃厚的興趣：“要研究一個病毒，從API到各種子系統(tǒng)、郵件傳播、各種協(xié)議，什么都要接觸，一個程序反饋的每一層你都要懂。這對計算機的全局觀非常有幫助。”

Tony Lee也認定，自己的職業(yè)生涯將在這一領域展開——他還并不知道，在不久的將來，他將幸運地親身經(jīng)歷安全行業(yè)的一次重大變革。

[[183679]]

2003年8月，“沖擊波”病毒爆發(fā)，在全球范圍內(nèi)造成了巨大影響——而這只是針對Windows的眾多攻擊中的一例。“微軟在當時是眾矢之的，所有黑客都盯準了Windows，可以說是四面楚歌的境地。”Tony Lee回憶。

危機四伏之下，微軟開始在安全方面下足了力氣：建立了最早的SRC并創(chuàng)造了SDL。從某種意義上說，這可以算得上是互聯(lián)網(wǎng)時代信息安全的開端了。

彼時正在微軟工作，并經(jīng)歷了全過程的Tony Lee，至今仍然對微軟推出的《威脅建模》一書推崇備至：“十幾年前的書，今天依然很有用。”而那段艱難的時光，被Tony Lee形象地稱為“第一次世界大戰(zhàn)”。

正如經(jīng)歷過戰(zhàn)爭的士兵才會真正懂得戰(zhàn)爭一般，Tony Lee也從這場“安全大戰(zhàn)”中，漸漸領悟了安全的本質(zhì)：“做安全，不是為了別的目的，就是為了保護安全”——計算機讓每個人擁有了平等的機會;而安全讓這種機會不會被惡意利用，這便是安全的起點和意義。

這也成為了他一貫堅持的原則。在一次圓桌活動上，有人向Tony Lee提問：“你打算怎么把安全做成非成本中心?”Tony Lee給出的答案是：“這是個偽命題，為什么非要把目標定在盈利上?我不想做成非成本中心，安全的目的本來就不是盈利。”

我覺得他是“做最純粹的安全”，或許，安全本來就該是這個樣子。

二、永不停歇的勇士

然而，并不是每個人都像Tony Lee這樣想——從2011年年回國加入安全寶到如今，Tony Lee越來越強烈地意識到了這一點。

在美國，Tony Lee經(jīng)歷了安全的起點。那個時節(jié)，他如同除暴安良的俠客，為維護安全與平等而戰(zhàn);而他回國時，正遇上國內(nèi)安全行業(yè)巨變的時間節(jié)點：2005年成為了“傳統(tǒng)安全”和“互聯(lián)網(wǎng)安全”的分界點，也宣告了新一輪安全風潮的到來。

在此之后，信息安全進入了蓬勃發(fā)展的階段——國家層面的支持、公眾的日益重視，各方面的信息都預示著安全的春天即將到來，創(chuàng)業(yè)公司也如同雨后春筍般紛紛興起。緊接著，互聯(lián)網(wǎng)巨頭們的身影開始顯現(xiàn)，憑借雄厚的實力，意欲開辟安全的新格局。安全的世界第一次從“俠客的江湖”，變成了“梟雄的逐鹿場”。

Tony Lee認為，360出現(xiàn)后的安全市場繁榮了不少：“從那之后，安全開始熱起來了。”但回顧近年的安全行業(yè)，他也感覺有些惋惜，“出現(xiàn)了一批很棒的企業(yè)，但是最終沒有做起來。”

讓他隱隱感到不安的在于“浮躁”：“很多企業(yè)把安全作為商業(yè)模式，先把PC端、移動端占好了，后面的則是商業(yè)目的。真正的目標是商業(yè)利益，安全只是一個幌子、一個手段。”

這并不是Tony Lee心目中的“安全”。在他看來：“最高水平的安全公司反而非常低調(diào)，外界可能很少聽說。他們做的事情就是，如何解決問題，如何讓用戶相信，而不是怎么獲得商業(yè)利益。”

來到京東，Tony Lee要做的，正是“為了安全的安全”。

“至少在這個階段，京東的組織架構、對安全的期望值、方向，在我看來都非常到位——安全就應該在一個一級部門里面，和各個部門攜手，一起把事情做好。”

Tony Lee提起了劉強東在創(chuàng)業(yè)初期的故事：“每一個客戶他都堅持開發(fā)票，這件事關乎誠信。一個業(yè)務可以做可以不做，關鍵在于有沒有為用戶著想。這是一種很強的責任感。”這恰恰和Tony Lee對安全的認知不謀而合——勇士最不可或缺的就是責任感。“Light up the darkness.”這句《我是傳奇》中的臺詞赫然出現(xiàn)在眼前，恰恰就像眼前這個人一樣，責任感就在于此了。

[[183680]]

Tony所做的也正如美國民權運動領袖說過的一句話：”The people, who make the world worse, are not taking a day off, why shoul I.” 因為在黑暗中的黑客沒有休息，作為從事安全工作的人也不會休息。安全人的工作就是照亮黑暗，其實這就是一個做安全的人的最簡單、最純粹的狀態(tài)。更是一個懷著強烈責任感的安全人的特點 。

“京東發(fā)展速度很快，幾年前還是個小公司，現(xiàn)在是全世界最大的自營電商之一。船跑得快，你要保證他不要沉，這真的是一個非常大的挑戰(zhàn)。 ”來到京東100天，Tony Lee的目標是“踏實地做安全”，“先解決好京東的問題。有了成果，再拿出來分享——沒有商業(yè)驅(qū)動，而是分享能力。”

目標既定，那么，要怎么做?

三、在戰(zhàn)場的最前線

“我想到一個很有意思的問題，”Tony Lee說道，“如果在全球的視野下，你有無限的預算，可以買到所有最先進的服務，甚至擁有無限的人力，你的安全能做成什么樣?”他給出了答案：“短期不會有太大改變。風險和威脅不會有太大變化。”

“安全是一個戰(zhàn)場，做技術、產(chǎn)品、服務的乙方，是提供彈藥的人。但對于戰(zhàn)斗者來說，給你的是零件，你要自己組裝，最終讓武器用到你的戰(zhàn)場上——這是一條很長的路。我的想法是，做好安全，必須考慮戰(zhàn)斗者的視角，知道真正面臨戰(zhàn)斗的人是怎樣的視野。”

Tony Lee將安全歸結為兩個層面：“第一個層面是設計層面，做出來就是安全，比如sdl、數(shù)據(jù)加密，而第二個層面同樣很重要，就是監(jiān)控。有了監(jiān)控，看到以前沒看到的東西，有了足夠的信息，才知道需要防御什么、怎么防御。你告訴我用什么技術就能擋住什么攻擊，我覺得是吹牛。能看見就能擋住，看都看不見，怎么防御?要看見，就要上戰(zhàn)場。”

在Tony Lee看來，京東就是一個巨大的戰(zhàn)場。現(xiàn)在，他沖到了最前線。

[[183681]]

當我問到Tony Lee的目標是什么，Tony Lee回答說“讓安全和業(yè)務結合”：“安全不是獨立的，我們的安全業(yè)務沒有一項是自己做的，都是和業(yè)務一起完成，這是一個共生的關系。”

“獨立來做，業(yè)務和安全都做不好——安全提出一個要求，業(yè)務沒有響應的工具，沒有經(jīng)過這個培訓，根本做不了。”Tony Lee設想,“安全作為業(yè)務KPI的一部分應該是最好的，成為一個可視化的東西。舉個例子，一個產(chǎn)品有安全系數(shù)，用了我做的工具、經(jīng)過了培訓，分數(shù)就上去了。這個過程不是我要求、我命令，而是我們一起把事情做好。”

“兩個P”是Tony Lee希望達到的最終效果：“一個是Protect，保護品牌。更好一點的效果是Promote，讓京東以及它的生態(tài)是可信的，讓更多的商家愿意做各種事情，買東西，借款，甚至于未來的IOT，在這個過程中，安全起到的是基石的作用。”

四、下一個方向：萬物互聯(lián)

當然，要做的還不止于此——除了當下，Tony Lee關注的還有未來。

首當其沖的便是萬物互聯(lián)。在這一領域，京東有著得天獨厚的先發(fā)優(yōu)勢：智能倉儲和叮咚。

“我自己是叮咚的鐵粉，”Tony Lee描述了他見到的場景，“我們有一間屋子，進屋之后說一句，叮咚我要睡覺了，窗簾就自然地慢慢拉上了。這讓我覺得，IOT終于出現(xiàn)比較自然的交互方式了。”“未來是技術驅(qū)動的世界，而電商在其中占據(jù)了很重要的位置。以前我們沒有機會做萬物互聯(lián)，現(xiàn)在不僅有了，還可以站在制高點上。”

他提到了在美國的見聞：“上一代搞計算機的時代已經(jīng)過去了，因為沒有掌握云，沒有掌握移動互聯(lián)網(wǎng)。同樣的，如果沒有適應AI、萬物互聯(lián)，我們也會OUT。所以，要提前做準備。”

Tony Lee亦在思考傳承：“十年前，只有幾個學校會教信息安全。現(xiàn)在第一代從業(yè)者出來了，很多學校也都有了信息安全專業(yè)，下一代們都很有天分、很努力。我的感受是，有一種傳承在里面。”

他正在著手籌備“京東安全大會”和“培養(yǎng)計劃”：“這是對傳承的致敬。我們的安全要怎么延續(xù)下去?怎么做得更好?單憑京東可能很難解決這些問題，但是如果我們可以做一些非商業(yè)性的東西出來，對整體的氣氛或許會有影響。”

“為了安全而安全”，來到京東的第100天，俠客Tony Lee依然為此而努力著——為了安全的過去、現(xiàn)在和未來。