序一
三年前认识聂君,初见时的场景仍记忆犹新。当时本人所在的企业急需引进一名在信息安全领域能够独当一面的专业人才,机缘巧合之下认识了聂君。几次接触发现,不仅他的知识和能力与岗位相匹配,更为重要的是我们彼此对很多事情的认识和看法非常契合,颇有相见恨晚之感。三顾茅庐之下,这位安全界大名鼎鼎的君哥终于被我感动,我也终为公司求得这一人才。
合作三年,感佩聂君做事的认真和用心,视角全面、思维成熟、敏于实践、勤于总结、乐于分享、广结人缘,若非如此,我想也断不会有此书的出版。
这几年,因工作的关系,我们在安全领域做了不小投入,下了不少功夫,对从事安全领域的甲乙方小伙伴们有了更多的了解,接触下来,真觉得十分有趣,也很欣赏。安全圈无论是国内外,颇有江湖侠客之风:英雄不问出处,尊重个性,崇尚技术,追求卓越;靠着先天之悟性加后天之勤奋,从业者可以一战成名,受众人尊重甚至追随。
当下,尤其是对金融机构而言,信息安全的重要性已经不需要再特别论证。或许各家企业起心动念起点不同,但无论是主动谋求长治久安,还是仅仅为形势环境所迫,无一例外都已经将信息安全作为一项重中之重的任务来抓。但真正要做好却着实不易。借此机会,我也从我的角度(甲方IT主管)对信息安全浅谈几点。
一、关于信息安全工作的定位:金融企业的商业价值是为客户提供金融服务,业务永远是其根本和主业,IT的价值在于把技术做好,为公司提供先进的、安全的、有市场竞争力的IT平台和工具,服务好客户。因此IT万不可跳脱出来,就着技术论技术,甚至倒逼公司做投入。信息安全作为IT的一个细分领域,也同样必须统一到这个认识上。作为甲方的安全从业人员,必须基于公司的业务、发展阶段和内外部环境,综合统筹制定安全规划和实施路径,帮助企业达成商业目标,与业务的差别仅仅是分工不同、职责不同而已。
二、关于信息安全工作的重要性:经常听到这句话:信息安全做得好不好,首先取决于领导的重视程度。在我看来,这话对也不对。对的方面是:结果是否达成确实和领导有很大关系,如果公司不做投入,领导该承担的责任不承担,任谁都不可能做好这份工作;那为什么又说这话不对呢,因为领导不是神仙,在缺少信息支撑的情况下不可能做出预判和决策。安全人员自身要做好领域规划和布道宣传,有意识地提炼工作、向上管理。有时往往是因为自身能力的欠缺,这方面的工作做得不够,不同职场层次之间存在较大信息不对称,才造成了公司投入没有及时跟上。因此,无论是安全人员还是IT人员,这是需要时刻提醒自己和提升自己的地方。
三、关于信息安全工作的复杂性:信息安全领域包罗万象,涉及技术与管理、研发与测试等全链条,从物理层到应用层,从机器到人都需要纳入到工作范畴里,从体系、规划、架构、管理与技术落地以及运营迭代形成闭环。这是一个复杂的系统工程,需要很强的系统性思维,持续不断的学习自驱力和卓越的执行力。
四、关于信息安全工作的横向协作:在IT团队内部,信息安全与研发、运维、测试等都需要密切的协作,但因为安全工作更多承担了制定规范、监控监督的职责,所以,在协作方面处理不好,容易出现工作冲突,损伤士气。甲方安全人员尤其需要对这一点有深刻的认识,在工作中能够客观看待事物和艺术的处理矛盾,积极主动、不忘初心的去达成目标,慢慢历练出专业感和职业感,当然要达到这一点是不容易的,但也是很重要的。
写序之前,仔细拜读了全书,书中所思所想皆发自作者肺腑,所行所惑皆来自实践,内容全面翔实,可谓倾其所得、倾囊而出。对于上述几点看法,作者有着非常深刻的认识,其中观点我非常认同,此外,书中还在战术层面归纳总结了很多方法,具有很强的实操性,相信无论是甲方还是乙方的企业领导、CIO、安全主管,还是职场小白,都一定能从本书中得到启发,有所收获。
最后恭喜君哥儿女双全之外,集数年之功力,出版此书,可谓又喜得一子,可喜可贺。
许彦冰,安信证券信息技术中心总经理
2018年8月21日