观点 | 阿里云 MVP 唐俊飞:安全性可以认为是一种能力

观点 | 阿里云 MVP 唐俊飞:安全性可以认为是一种能力

15年网络和信息安全领域从业经验,具有较强的网络安全管理、建设和维护、管理咨询和技术评估实战项目经验,曾就职于联通、绿盟,以及自主创业。现主要担任CISSP(国际注册信息系统安全专家认证)、CISP(国家注册信息安全人员认证)、信息安全管理、渗透测试、等级保护、网络安全防护体系等课程讲师。

今年,唐俊飞加入阿里云MVP计划。作为一名团队管理者,和技术布道人,从他的经历和观点中,上云实践者们也许可以收获新的思维方式。在面对职业转型,和团队转型时,管理者思维方式的创新和转变,让企业更贴近未来。

因为热爱因为了解,

让自己走的更远


从稳定的中国联通的技术人员岗位离开,从昆明又来到北京,加入技术型公司寻找学习提高的机会和环境,转变成为咨询顾问/培训讲师,自学通过了CISSP认证……每次转变,唐俊飞都更加明白自己想要什么。现在,他是一位企业管理者,也是王者荣耀资深玩家。

在这些角色转变的过程,唐俊飞遇到了很多技术人员也面临的困境。

1 如作为顾问/讲师由于没有太多精力和时间去研究技术细节; 

2 作为管理者要全面的考虑问题,不能太纠结于一些技术细节;

3 还有看待问题的时候,容易仅仅站在技术者的思维方式去思考,而导致出现了很多片面的想法;

虽然遇到了这么多的挑战,唐俊飞自己内心也动摇过很多次,但最终还是坚持了下来。这一切都源于对技术的热爱,以及一个技术人务实的态度。


“心学”驱动我成长

“技术是根本,但技术知识也是无穷无尽的,因此我认为自身思想的提升是非常重要的。”

有次唐俊飞在出租车上,收音机中正好在播放《明朝那些事》广播讲王阳明的事迹。里面讲到王阳明能够在很多领域取得很大的成就,主要是因为自己参悟的“心学”的思想。

从2012年底开始,唐俊飞开始常研读关于“心学”的一些论述。

“这里面的思想让我对技术的学习影响是比较巨大的,在学习和掌握某个技术的事情,我都会不仅仅去了解这个技术知识是什么、怎么做,还会特地的去了解这个技术背后产生的原因和解决了什么问题。”

唐俊飞是在心学中慢慢悟技术之道的。因而,在他的职业发展中,最大挑的战就也一个 “快” 字。

IT行业信息量大,技术更新快,很容易让人焦虑;但是作为技术人,唐俊飞又不能不“快”,

“所以我觉得最大的挑战就是如何做到真正的“快”。“快”肯定是必须要的,它能够让我们更好的发展,但也能让我们无所适从,或者经常说的瞎忙。”

唐俊飞说,在学习与克服挑战的过程中,他领悟出来三个最重要的方法:

1 形成自己的知识框架。没有自己的知识框架,就不知道自己做事情有什么意义,或者为了什么。 

2 先缩小,后扩展。接入到新领域是,一定要尽量缩小关注点,最好找个关注点能和以前的领域有密切结合。接着我会将80%的精力放在新领域,20%稳定原来的领域。这样新的由于小,就能发展很快,原有领域由于效率高,也会有比较高的收益。最后在逐步进入新领域。

3 经常反思。最好能每周、每月和每年反思自己的知识框架、技能里和职业。

定义云安全的逻辑思维:

云计算领进门,修行靠个人

安全是唐俊飞的老本行,云是他的新开始,他也谈了谈,当云和安全两者结合,会带来怎样巨大的变化。

在他看来,虽然云计算带来了新的安全问题,但是总体来说,云计算在安全性上面相比传统的线下IDC还是有很大的优势。

“安全性可以认为是一种能力,这种能力也是根据需求动态变化的。”

对于云给安全带来的改变,唐俊飞有自己的一套逻辑:云计算的资源弹性和灵活性提高了安全的效率。在这个前提下,只要我们使用正确,能极大的提升业务的安全性。正确使用,这也是云之所以可以比传统IT环境更加安全的前提。

1 传统IDC中,我们在部署边界安全防御设备时,会根据最大的流量来部署或者边界数量来部署响应的安全设备,这样在没发生攻击的时候,造成了很大的资源浪费;
2 另外传统IDC中,安全防御设备一旦部署,就很难进行灵活调整。

而这些问题,在云计算环境中就能很好的解决。在云计算的环境下面,资源能够很到的进行共享,能力也是一样,专业的事情最好交由专业的人来做。

让唐俊飞印象最深刻的一点是,云可以根据检测到的攻击量,来动态的调整安全防御的能力,以及灵活的调整防御位置。

也正是因为受到云上”动态调整安全防御能力”这个点的启发,加深了唐俊飞对云计算的理解,作为他目前所研发的“软件静态缺陷检测”产品的设计理念。

我正在做的改变:

借由云,自动检测软件缺陷,

让开发者将安全嵌入软件设计中

唐俊飞说,云上用户的软件很多都是需要快速的开发、集成和发布这样一个过程,软件检测就相当于这个过程流转中的一个检测控制机制,确保技术人产出的“作品”,是默认安全的。

因为检测需要看到源代码,从这个角度来看,借助云计算能很好的解决隐私问题。这是因为,在实践过程中,开发者开发的代码都需要进行单元测试、集成测试和上线测试,如果将这些测试过程交由第三方来进行测试,就会存在代码泄露的风险。

而在软件静态缺陷检测的理念下,可以让云上用户能够自主、高效和准确的在开发过程中就能检测和修补软件代码缺陷,减少软件发布后的漏洞。

“目前,很多的网络安全问题都会源自软件开发阶段产出的缺陷。真正做好安全,对技术背景的要求很高。软件静态缺陷检测的概念则可以缓解这两个痛点。”

为了让软件缺陷更早的能够被检测出来,需要高频次的来进行检测。所以,由唐俊飞所设计的产品,是用一台或几台(根据测试量动态扩展,这也是弹性计算带来的好处)ECS组成的测试系统 — 开发者可以将该产品集成或部署到开发环境和流程中,完成测试,并根据测试结果完成软件缺陷的修补。

目前,唐俊飞除了钻研产品之外,还专注于课程的开发,讲他在云上所收获的新思维,布道给更多的技术同仁。

“云计算给了我很多灵感,特别是生态的理念。我希望让几乎变成一种载体,去启发人,最终的结果,是让安全变成一种融入产品,融入企业的固有能力”

上一篇:《分布式系统:概念与设计》一2.3 体系结构模型


下一篇:设计模式之7个结构型模式