您当前的位置: 这篇文章构思了一段时间,想写,但是觉得自己阅历的还不够,生怕误导大家。后来在朋友们的鼓舞下,有了这篇文章,送给所有步入大学、步入社会的朋友们,希望能给你们一点帮助。
我是大可,1996年生人,2016年3月荣升公司级总监,中国电信集团安全专家,代表中国电信赴G20参与保障。
我目前就职于全国前三的互联网金融支付公司——天翼电子商务有限公司,主要品牌:翼支付,应该有不少人听说过,主要是负责安全架构工作。
这应该是我工作的第四个年头了,现在这是第二家公司,加班加的,我感觉都工作8年了...所以人长得也挺着急的。哈哈!
在步入工作前,我花了两年时间边读书边学编程,学习了Java、PHP、Pascal,目的之前是要参加信息学奥林匹克竞赛,再后来某些原因无缘学业之后,于是重操旧业,搞了2年的Web安全渗透,编程之所以说是学习,因为没写过大型项目,只实现过功能,关于这一块儿,我后面会讲。
我感谢这个互联网,同时也庆幸自己生活在这个互联网时代,能让我这个被家人说“不读书将来只能回家种地”的人找到一份正经工作。我从来都是感谢我父母的,因为他们对我的教育从来没有错过,我的选择他们也会适当的给予支持。我的父亲,一位非常懂得学习的人,当年中考也算的是全县第一,还拿过珠心算第一,我偶像,后来不知怎么怎么的学业就废了哈哈哈。这40多年他来一直在踩坑,大大小小的事情全都经历过,他总说自己运气差赚不到钱,但是我觉得,他的所有经历,都是我的财富!
第一份工作,是做安全服务,我拿着父母的寄托——800块钱,出去了,这也是我最后一次向父母要钱。当年的职业是Web安全工程师,就一个人做这个,主要是帮客户做渗透测试,做安全培训,做应急响应。看似平凡无奇的工作,却学习到了很多东西。因为是创业公司,客户不算多,以至于我还有时间去写代码、去学习。当时我成长最大的方面应该是 服务思维、产品思维、和处事不惊的心态。先是说服务思维,如何和客户打交道,根据他们的需求怎么把事情做好,怎么把培训做好,这一点上,我积累了一些需求分析和语言组织经验。再说产品思维,因为是乙方,当然要去对标同类型的一些大企业,去学习他们的产品以及代入到自己的工作中,哪些能解决当下问题,哪些不能,以及不同厂商之间的优劣之处等。最后说心态,当时安全事件频繁发生,应急响应的事情自然是少不了,从被删库,到被勒索、钓鱼的客户,均都接触过,一般发生此类事件的客户都非常着急,当时的我也犯了一个错,就是心乱了,冲动了。因为当时看到勒索界面时,觉得勒索者很嚣张,于是我嚷着报警。后来事情解决之后,我静下心想了很多:“客户被入侵了,被勒索了,难道他们不知道报警?他们想到我们,目的是让我们帮他们解决问题,而不是冲动!如果闹到警察那里,很明显事情影响范围会不可控。” 算是一个收获吧,不过易冲动这个性格后面也持续影响着我。
一个机会,我怀揣着梦想来到了翼支付工作,当时安全中心刚成立,只有三个人。那一年,我却扎根在了研发中心。我一直告诉自己:你没读过大学,没接触过大世面,连大城市都是第一次过来,一定要好好学! 就这样,我花了一年的时间熟悉了架构,审计了大大小小数十个业务系统代码,看了不下二十本书,发现了数以百计的潜在安全问题。在纯粹的做安全技术的这段时间里,我总结了很多,也很感谢大家的帮助和配合,同时因为企业对技术重视,得以推动了目前相对成熟的SDLC 安全开发流程,安全团队也逐渐壮大了。在这里,很多人会想,“你是不是技术很厉害?我没什么技术怎么做出来事情?”,其实我技术水平暂且不说,也算不上多厉害,但是一定要善于学习!我有个癖好,就是喜欢买书看书,经常告诉自己:“行业上这么多书,看了吗?看了,能发现作者哪里薄弱哪里强吗?能发现自己到底哪里不足吗?” 没在大公司工作过,没接触过互联网的体系,对一些技术也不懂,怎么快速融入?最简单的办法就是看书,这有一个最大的益处,就是填补你阅历的苍白!想想,别人花了几十年经历和总结出来的东西、体会过的沧桑,你花个几天几个小时就给经历完了,不觉得很有收获,很有意思吗?
后来,接触了很多东西之后,再加上之前做安全服务时的总结,基本上对这个行业是有了自己的理解了,同时自己又是处于甲方的,所以对”安全产品”这个东西开始有了自己的想法,于是先从最能解决当下问题的安全产品开始架构。从没有研发,就自己,再到建设一个5-8人的研发团队,这段时间里真的能体会到一句话,就是年轻时有颗狂躁的心,总以为无所不能,可青春易逝,时光殆尽,错过的,失去的,在你一无所有的时候都回来打击你。于是,开始调整心态,把该放下的,就都放下了。中间有想过放弃,但是那些不好的声音,促使我坚持了下来。我跟自己说:“我做,是因为我能;我能,是因为我想;我想,是因为你说我不能。” 然后经历了第一个项目之后,总结了:“有时人生中最艰难的事情,反而能锻造最坚强的你。” 在那些最苦的日子里,一个个黑夜,一个人过,经历过10天只睡三十个小时,也经历过人走茶凉。现在其实亦是如此。哈哈经历的多了,冲动的性格都磨掉了一些,也学会一笑而过了。
有些事情感觉没啥亮点了,我就不去赘述了,总之就是人丑就该多努力吧。
接下来,把自己最拿手的3个总结送给部分读者,其他没写的,也都可以来问我,能答尽量答!
1、我适合做什么?
在你选专业、找工作的时候,一定要问清楚自己兴趣点在哪里,兴趣绝对是最好的老师,但是也要想你的兴趣能不能足以支撑你的生活。如果你不知道自己该做什么,也可以问问你的父母、问问你的同学,让他们去给你建议,如果最后依然捉摸不定,就去选一个相对扩展性高一点的专业,比如不知道自己喜不喜欢信息安全,那么专业就尽量选计算机专业,不要刻意的去选信息安全。大学尽量多参加社团,多接触东西,这样大三大四你差不多就有自己的职业发展方向了。
2、如何掌握一门编程语言?
这个问题其实和第一个问题有关联,还是要靠兴趣。我初一就开始接触编程了,当时流行的是PHP,一直学,一直不会,对编程思想什么的基本上都不懂,就会写基础的代码,编个简单地网页,所以说自己根本算不上什么天才。有的时候写着写着还想着放弃,后来总结出来了,是学习方法不对(可能这就是我学习成绩不怎么好的原因)。我想大部分人学编程都是靠看书、看视频,如果你依靠这种方法学不好、学不懂编程,那么我推荐你换上我的方法:在你学习一门语言的时候,在心里定个小目标,你要做出来是什么。举个例子:我要做个漏洞管理的东西;那么管理东西是不是需要学数据库?在了解了数据库之后发现增删改查是必备的,于是,学了个mysql,先学建库,建表,增加了自己的第一条漏洞数据,然后查、改、删,OK数据库基本操作咱学好了,那么我怎么用代码连上我的Mysql数据库,把我的漏洞数据取出来呢? 肯定需要先写JDBC模块来连接,然后取数据、查数据,展现到HTML界面上,OK了。 这就是最基本的学编程的方法,只要你带着目的去学,就能学好,千万不要被书本上的代码以及视频里老师的思路带着走!只踏着别人的脚印走,你永远发现不了新的路。
3、甲方企业如何开展安全工作?
对于技术体系相对成熟的企业来说,是非常容易开展的,因为讲究效率,愿意花钱去请咨询公司、去招人,只需要将安全流程嵌入到你们现有的管理体系中就OK了。
但是对于中小型企业,或者是比较保守的企业来说,就没那么简单了,你需要招一个在乙方有丰富的服务技术经验的人,这样的人接触得多,懂得你企业安全哪里薄弱,对行业的产品也比较了解,最起码能保证你在建设安全的过程中不会被厂商坑,而且还能加快建设时间。因为安全流程现在还没有形成行业的规范,所以现在基本上都是依据着企业现有的IT体系来的,比如如果你有成熟的项目管理流程,那么你就可以在需求分析、软件测试、产品研发、产品上线验收等这些阶段进行安全的介入,安全人员紧缺的情况下,把控住闭环也可以,总之就是没有规矩不成方圆,在这里我把产品安全的重要性这样来比喻:Software Security + Software Quality = Software Integrity。
——————————————————————————————————————————————————————
好了,就先写这么多。我比较喜欢和人聊职业聊安全聊技术方面的东西,对于安全也有自己的一些理解。同事朋友给我的评价是感染力非常强(我一直在想是不是忽悠能力????),各位如果有什么想了解的,或者对于自己的职业、学业有一定困惑,琢磨不到方向的,可以加我微信,希望可以对你们有用。谢谢你们!
我的微信号是:82236676 ,二维码是:
