一、背景介紹

就職某保險公司，為信息安全部門負責人，職責歸納起來是負責控制整個公司內外部風險，應對新領域的安全挑戰和對抗。

自身的經歷：從研發，攻防實驗室，業務安全，數據安全，安全架構和開發一路走來，也是一種非常有意思的體驗。

二、沖突和挑戰

金融行業是一個非常有挑戰的行業，基本任何一個行業都跟金融行業多多少少有關系，現實來講沒有一個行業能夠離開資金的支持，無論以什么形式，也就決定了金融行業復雜和挑戰，它基本可以對接任何行業，各行業的業務模式和技術架構的對接就更增加了它的復雜性，金融行業為了支持業務的發展又會引入各種新技術來增加自身業務優勢，使得他們業務系統和技術架構在復雜度上更上一層樓，作為一個安全負責人同時要支持技術線，業務線，數據線等多條線，要面臨太多太多的挑戰，傳統的安全模式和服務已經遠不能滿足現實的情況，這也是為什么很多互聯網公司或甲方公司要建設自己的安全部門或團隊的原因，自己的問題自己解決。

1. 各種新技術帶來的挑戰

(1) 問題和挑戰

隨著業務線的不斷發展以及各種互聯網技術的引進，各種新技術占比越來越高，安全部門是否能跟進新技術的演進，并提供這些新技術架構的安全支持，甚至走在其它科技部門前面，這是一個無法回避的問題。

我們本身就在一個不斷變化的時代，IT技術因為這幾年還聯網業務發展更新換代的步伐就更加快，安全又是一個特例，科技線可以分成多個部門，如IT技術(細分：開發，運維，數據)，大數據(數倉，模型，數據治理，AI等等)，風控，終端，合規等，而安全很多時候它要同時面對他們，安全又是一個小部門大責任的部門，用極為有限的人員支撐這些部門的安全工作，對每個人技術業務能力都有很大的挑戰(同時你還要不斷迭代這些新的技術)，

如果安全人員如果不能了解相關技術棧和業務模式(如：如：容器管理，微服務架構，實時流計算，圖數據庫，Deep/Machine Learning 等)，很難支持整各個科技和業務線(IT/大數據/風控/業務等)，這也是很多乙方安全公司人員轉型到甲方面臨的很重大的一個挑戰，也是目前很多甲方安全人員要迫切面臨的問題。

(2) 解決方案

a. 終身學習

就我個人來講終身學習是我個人比較喜歡的一件事，不斷的學習各種的知識(同時個人要有判斷，哪個領域知識技術是你值得投入的)不斷的學習可以給技術人員一種滿足感或者安全感，這樣的你不會被行業淘汰，不會擔心自身價值隨時間而流失，保持對新鮮事物的一種興趣，也許你沒有辦法深入了解所有事，但是保持新事物的興趣會極大擴展你自身的廣度，同時對加強你自身在某個領域的深度也是有極大好處的，觸類旁通就是指的如此。

b. 善于團隊互補

一個人始終精力有限，不可能兼顧所有方向，要善于發揮團隊的力量，安全也分為很多領域，每個人方向不一，自身知識領域也不一樣，把每個人用到合適的崗位是很重要的，部門成員之間也能夠互相交流，定期對自身領域的成果進行交流復盤，大家也都能了解對方在做什么，價值在哪里，也能彌補各自可能存在的短板。也能夠在工作量較大時可以相互支撐對方部分工作。

c. 開闊視野聚焦方向

安全人員除了要了解安全行業各種信息外，也可對各個相關領域多投入時間去關注一下，這些都不會白費，筆者的崗位工作需要接觸各個領域的人員，有技術的也有業務的，既有大數據，也有法律合規，所以需要多個領域的知識和積累，多和不同領域的人員交流溝通，除了能夠更加了解不同領域的情況，也能加深自身技術積累，行業的資深人員永遠是最好的老師，很多行業水非常深，如果自己去了解沒有幾年沒有人帶根本摸不清，但如過有資深人員肯帶你，短時間內你就能夠把握一個行業或領域的脈搏(有點像投行的行研報告，但遠比這個深入)，這些知識一方面能夠幫助你更加深入發現一個條業務線或一個領域可能存在的風險(這種業務或由人造成的風險你沒有足夠經驗是無法發現的)，更加重要的是拓寬你個人的視野，知道清晰知道未來自己該走的方向。

筆者曾經面試過很多安全從業人員，有很多人對新領域有濃烈興趣的，也有人持續抱著多年前技術抱殘守缺(聊的東西還是6，7年前的)，似乎認為這個可以用一輩子，這個世界上哪有一輩子的事情，更何況還是IT這個更新最快的行業，這樣他自己怎能不為將來擔心。

d. 敢于挑戰，學以致用

安全向后期演進就是數據量的對抗，數據分析能力的對抗，安全人員除了要了解業界的安全風險，也要了解新的知識體系，也要考慮將這些新領域(如：IT/大數據/AI)，引入到自身安全能力中去，如將實時計算框架(如：Flink/Beam 等技術)引入到的安全平臺中，通過實時流技術解決大量數據下的實時告警/處理問題。通過不斷學習，不斷將它們用于實踐中，解決現實中的難題(新的技術誕生就是為了解決難題的)，通過解決一個問題或完成一個項目，你能更加充分了解駕馭這些新的技術。

e. 掌握一門或者多門開發語言

筆者很幸運，從一個研發人員轉型到安全，直至目前也一直沒有離代碼，也在職業生涯中經歷了多個大型軟件的開發，但是我目前看走技術路線的安全人員(一般：滲透，安服)都不太懂或者說沒有開發過或參與過真正的項目，有很多安全人員多數了解的是Python(主要用Python 做一些小工具)，更進一步了解Java(Java 體系本身確實也比較復雜)還是比較少的，無論從找漏洞或是分析系統風險，做過開發和沒有做過開發發現問題的深度和廣度完全不一樣，個人以為安全人員最好有過開發的經驗，在做安全工作時能力會倍增，在開發的過程中能夠真正接觸多個方面的技術知識，對加強自身了解整個應用系統環境和架構是非常有好處的。另外安全人員也越來越需要自己動手開發工具或相應安全平臺，早晚都避免不了和開發打交道，所以趕早不趕晚，早日學起來吧。

2. 小團隊支撐大業務

(1) 問題和挑戰

安全部門或團隊通常來講在每個公司規模都不會太大，都是小團隊來支撐大業務，多部門，全公司，這個是現狀短時間內也沒有太好的辦法，各種黑客/黑產(金融行業的高價值數據是很多黑色產業垂涎的目標)，監管部門的檢查(如這幾年的護網行動)，各種監管條例和法規遵循，信息安全部門的工作量和風險可想而知。

另一方面因各業務自身演進較快，業務需求變化頻繁，多個業務線每周發版頻率較高，安全部門人員有限，無法跟進所有業務變化，也沒有足夠的人力對上線前的系統進行全覆蓋測試(僅僅還只是較大變化的版本和關鍵性系統)，這些給安全帶來全方位的挑戰。

(2) 解決方案

a. 自動化，工具化，平臺化

其實最快的解決方案就是招人，但是一方面人員編制不是那么好要的，另一方面隨著公司業務的發展多少安全人員才夠呢?一個人或者一個部門能力再強如果讓它支撐其上千臺服務器或幾百條業務線的安全單純靠人力也沒有任何可能性。筆者自身是研發出身，比較喜歡DevOPS，目前又是軟件定義一切的時代(如：SAN，SDN)，將安全能力自動化，工具化，平臺化是大勢所趨，再復雜的系統，數量再多主機，如果有自動化程度足夠高的平臺，支撐這一切是很輕松，而安全人員自身也有足夠的時間去從事其它重點工作。

b. 規范的流程和體系

筆者將多個涉及安全的多個資源/權限的申請在OA中線上化，通過規范化，標準化的流程能夠大大提供工作效率，任何部門無論想申請什么權限，提取什么樣的數據，配置什么樣的服務，各個部門人員可根據創建的標注流程去申請，避免了人工溝通確認的大量成本和各種重復工作。

3.  業務深入度不夠

(1) 問題和挑戰

安全人員比較注重漏洞風險，系統底層的研究，很多人最大的關注就是挖各種漏洞，收集各種0Day,當然這些固然很重要，可是對一個甲方的安全人員來講是遠遠不夠的，有很多嚴重的漏洞都在來自于業務本身，不是業務流程上的，就是業務模式上的，惡意用戶或黑產人員只要覺得攻擊目標足夠有價值，舍得花時間，吃透了業務，從擼羊毛到各種流量劫持，從數據污染到新媒體欺詐，已經遠超單純的數據脫庫，買賣數據那種簡單的模式了，現在黑產的復雜度遠勝從前，很多攻擊手段和獲利模式都是一般人很難想到，很多時候整黑色產鏈條里面有各種利用金融工具結合技術手段來變現和獲利的方法，如果你僅僅只是了解安全本身，你很難進行對抗。

安全從來不止是單純的技術，對業務了解的深度某種程度上也決定了你安全的深度，安全從未離開業務，。

(2) 解決方案

a. 貼近業務

可以多和業務部門，風控部門多多溝通，了解一手的業務模式和流程，一線業務人員他們一般是整個公司最了解某條業務線的人，另外公司在都有業務評審，這個時候業務部門和IT部門也會提交詳細的需求文檔，安全部門通過評審詳細了解業務系統的細節以及和業務部門進行溝通。

b. 輪崗

這種方式不具有普遍性，如果你能在業務的崗位上工作一段時間這個將是你最快也是最好了解業務的方式，但是很多公司不具備這個模式，所以還得看具體情況。

c. 了解行業動態

安全人員不要只埋頭苦干，也要了解行業趨勢，安全技術能力固然重要，但是很也要把握行業趨勢，老話說的好“不要只埋頭拉車，也要抬頭看路”，很多時候方向錯了，也就離目標越來越遠了。知道該向那個方向努力其實很重要，業務和IT的發展方向永遠是你要關注的，了解行業趨勢能讓你更清晰的知道大家都在關注什么，也能使你站的更高看的更清楚，更容易找到你自己的道路和方向。

筆者見過很多這樣的場景，安全技術本身演示的時候很炫酷，大家會上都說好，但是事后一直沒什么結果呢，關鍵是你不能創造價值，不能夠解決關鍵問題，這個是目前安全從業人很多都會面臨的問題，自身的價值點在哪?(不單單是傳統安全所做的工作)筆者也在一直在思考，也在尋找，了解業務趨勢和發展方向對你找到自己的價值點肯定是非常有幫助的，也歡迎大家一起多多交流，能夠碰撞出火花。

三、結束語

我大概簡述了一個安全人的煩惱和憂慮，因為限于時間和篇幅的關系，很多問題也沒有展開講或者還沒來得急講(如：數據安全和客戶隱私保護，傳統安全問題的刨析，編碼/架構設計能力等問題)，很多答案也僅僅基于我自己實踐和思考，肯定也也有很多局限性，我挑了幾個有代表性的問題，也許這不僅僅是安全從業人員的挑戰，可能是很多IT人面臨的挑戰，面臨挑戰怎么辦?只要還在行業中，躲是躲不了的，那就只能迎難而上，直面挑戰，引用一句老話這個時代唯一不變的就是變化本身。