专访阿里云全球首批MVP傅奎专访:君子善假于物

个人基本介绍

很荣幸能成为阿里云全球第一批MVP(MVP计划)。原本以为可以窃喜一番,没想到紧接着就是花肉同学的夺命催稿钉(钉)。【花肉酱:人家也不想的啦】

作为信息安全领域摸爬滚打十年以上的从业人员,我练过渗透,干过产品,做过集成,卖过服务,吹过咨询,也曾在互联网电商企业“扫黄(牛)打黑(产)”一线与职业黑客、羊毛党直接对抗。目前正全面负责千寻位置公司(www.qxwz.com)未来时空基础设施的的信息安全工作。

我不擅长写自我介绍类的材料,一方面受限于我的文字表达能力,同时也因为我并没有什么“丰富”的经历。相对于普通的安全技术,我更关注安全架构;不过,我愿意在MVP平台和大家就任何与安全有关的话题进行交流。

学生时期,我曾受到了一本杂志《黑客防线》的影响,从此踏上安全之路。对新事物的好奇,是我在这个领域坚持下来的重要原因。有幸能在工作过程中遇到不错的伙伴、可靠的领导甚至人生导师,更坚定了我在这个行业深耕的信念。

在从业数年的不同阶段,我曾服务过不同的公司和客户,包括:安全产品厂商、安全服务与集成商、世界500强通信企业、纽交所上市电商公司和目前所在的千寻位置公司。我是真正的爱一行干一行,从踏入安全圈门槛的那一刻开始我就一直保持着战斗激情,可谓“饮冰十年,难凉热血”。

很多人关心的技术栈:

我是云计算的狂热爱好者和追随者,在AWS、阿里云、Linode等平台都曾部署过自己的个人服务器集群。多年前,我就开始使用远程服务器资源来替代本地主机进行各类安全技术的研究测试。亚马逊开始提供云计算服务后,我就把家里的电脑“搬”到了云上。从此把用来升级电脑的钱都砸在了云主机上。这让我有足够的时间和精力聚焦于钻研安全技术,而不必忍受个人电脑上常常因虚拟机卡死带来的痛苦。

作为一名安全从业人员,我始终没有放弃自己在编程开发方面的努力。很显然,相对于专业的开发人员我差得还很远;但具备一定的编码基础,能让我更加自信地与开发、测试同学进行沟通,尤其是说服大家为产品增加一些安全特性时。

工作和学习环境:

我在工作和学习过程中使用最频繁且为之付费的软件有:

●Chrome以及基于Chrome的各类插件

●Grammarly - 让你的英文写作看上去更加专业

●Evernote -存储和搜索信息碎片,解放大脑

●MWeb - 支持Markdown 语法的编辑器,支持一键发布到 WordPress

●Snagit - 及时截图是个好习惯,支持打码、特效、自动存储和标签管理

●SublimText - 支持高亮查看和编辑代码文件

●SecureCRT - 最好用的 SSH 客户端,支持宏操作

●Gliffy/Graphviz/yWorks yed - 流程图、时序图、拓扑图、关系图,不可或缺

●各类安全类软件或工具

我个人学习和使用过的编程语言和开发环境有很多,但真正擅长且一直在用的是下面这些:

●Python/Java

●PyCharm/IntelliJ

●MySQL/SQL Lite

●Bootstrap/jQuery/Tornado

关于安全本身,我更喜欢参与开源社区的活动。我是开源社区和开源产品的受益者,也是开源社区的贡献者。2012年曾主导翻译过OWASP WebGoat 5.4版本的手册翻译。

专业洞见和专家建议

信息安全是现代企业赖以生存的生命线,信息安全建设更是一项管理与技术并重的工作。就我接触过的企业和我服务过的客户而言,最近几年越来越多的企业都在高度重视安全,积极招揽安全人才。随着《网络安全法》的正式施行,我国网络与信息安全领域将会有更大的市场前景和发展空间

总体上说,信息安全行业适合于那些喜欢不断挑战自我的人。我个人在诸多方面都不太优异,但有几点体会还是很深刻的:

关注业务

安全人员除了做好本职的安全工作外,还需要关注业务。任何企业最终都需要通过业务来产生盈利。安全人员必须关注并熟悉公司的业务,要清楚公司当前的业务状态、战略规划;特别是当需要在安全和业务之间取得平衡时,要能更好地用业务语言说清楚安全问题。很多企业在安全建设上容易走两个极端:要么是没有安全,要么就是一管到底,导致业务开展缺乏灵活性,从而丧失市场机遇和竞争力。

注重提炼和积累

无论个人、团队还是企业,都应定期对自身的安全工作进行回顾,提炼和积累。个人要想提高专业水准,必须定期对已有知识和经验进行总结和抽象,输出成产品或方法论,从而避免止步不前。企业在安全建设过程中同样需要定期积累和沉淀案例,并对案例进行复盘和挖掘,从而逐步提升安全防护能力,减少安全短板。

不要惧怕新技术

关于新技术,很多业界同仁往往对之充满恐惧,敬而远之。特别是当新技术与业务系统进行结合时,更是如此。我更偏向于拥抱新技术。攻防对抗过程中,决定成败的往往只是一两个信息不对等的细节。谁能先用上新技术,先把新技术应用于实战,谁才能抢占先机,掌握攻防对抗过程中的主动权。

阿里云安全产品的看法

我个人和我所在的企业都是阿里云的用户,特别是云盾系列的安全产品和服务。云计算概念初起时,大家最关注的莫过于安全问题。近年来,随着各大云平台厂商的不断建设和探索,越来越多的用户对云平台的安全性开始充满信心。

中小企业通常很少有能力对自身的云上资源做全面管理,更不要提复杂的安全问题。作为云平台服务商,提供一些基础的安全产品或服务还是很有必要的。以下是我个人极力推荐并在使用的云盾旗下产品:

WAF(Web应用防火墙)产品。有数据显示:互联网上绝大多数网络攻击是针对Web网站的攻击。云平台提供了统一WAF防护策略和技术,能够帮助中小企业迅速补足应用安全短板,大幅提升综合安全防护能力。再加上云平台自身巨大的数据流量基础,平台能够及时获取最新的攻击源、攻击技术等情报信息,云上WAF总能以最快的速度更新规则拦截最新的攻击模式。

另外,“态势感知”也是我在云平台上经常使用的安全服务。“态势感知”能够协助客户在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。是专业安全分析人员、安全技术团队快速识别风险,开展威胁响应的得力助手。

“君子善假于物”,用好云平台上的安全产品和服务能够为企业带来良好的安全效益。要做到“善假于物”,前提是“格物致知”——充分了解云平台上每个安全产品的原理、特性和使用场景,才能最大限度发挥其优势,将云上安全提升到更高的水平。关于云平台上的安全产品和服务,我个人有一些使用上的心得,希望今后能有机会和大家一起分享。

MVP创造价值

事实上我并没有主动去做过任何贡献,相反只是站在一家基于云平台开展业务的企业的安全负责人的角度,对我们最核心的基础设施合作伙伴提出了大量的产品或服务上的苛刻要求。在这里,我要感谢阿里云团队对我们的信赖、容忍、帮助和支持。阿里云团队一直以来高度重视我们反馈的各种需求和Bug,总能在第一时间站在用户角度为我们解决问题。这也是为什么我们能够与阿里云团队越来越深入合作的重要原因。

作为MVP,我个人希望能够在第一时间了解阿里云在技术架构、产品设计和服务实现上的技术路线规划,也期盼成为新产品、技术的早期使用人员。MVP应该是主动向其他用户传达云平台产品新特性的媒介,更要敢于成为新技术的第一个吃螃蟹的人。MVP还应在社区中主动扮演积极分享的角色,将优秀的产品、技术和理念布道或传递给用户;同时,帮助用户向平台反馈问题和需求。

最后,我希望所有的阿里云MVP成员之间能够增加交流和沟通,我们可以相互学习,并与云平台的所有使用者共同成长。

今后,我也会以阿里云MVP 的身份为大家分享更多的基于云平台的企业信息安全技术实践。

相关推荐