人类的意志力被认为是有限的,花光了之后便会萎靡不振,只想着逃离现实,避开拦路的大石头。
好在,意志力的消耗会受到一个人的态度和自我信念的影响。当人受自己内在目标和欲望驱使去采取自控时,意志力则不容易被消耗。
回顾李学庆十来年的安全路,“平静安稳”显然不是关键词,他坚定“穷则独善其身,达则兼济天下”的信念行走在荆棘路上,始终相信自己能够战胜艰难困苦,用鲜血换来蜕变。
李学庆的意志力仿佛无穷无尽。负更多的重,定更高的目标,似乎已经成为了他的习惯。
2002年,北航新生李学庆选择了自己喜欢的专业——计算机科学与技术。这在当时并不吃香,对于老一辈而言,电子和机械硬件的专业才更像是硬通货。但他觉得,多去想未来也无济于事,不如跟着时代发展的潮流,往前走就是。
这种念头在找到第一份硬件质量测试的工作后受挫了,李学庆发现自己无法在这个岗位上大展拳脚。他开始思考自己专业的意义,并得出了目前知识水平尚且不足的结论:“我不是为了急着去赚钱,我是要储备自己能力的。”抱着这种想法,他勇敢地跨出了第一步,主动降薪前往当时发展迅猛的移动飞信。
继续进行的软件测试的日常似乎没有什么不同,但机遇很快就在不经意间来了。老板抛出了一个问题:除了现在测试的领域,还有哪些点可能被遗漏?李学庆用自己微薄的安全经验,将安全领域作为了答案,这让他获得了一个进行专业安全学习的机会。
跨站、SQL注入……被一群听不懂的术语和工具包围的两年间,李学庆逐渐摸索出了一些门道,却仍是“知其然,不知其所以然”。在他初窥门径的同时,飞信的核心团队被彼时如日中天的凡客一一挖走,李学庆眼见着工位上越来越多的空缺,决定通过自己的安全和测试能力寻觅一家更为专注的公司。
自知安全能力仍有进步余地的他,在面试中展示了自己多面手的能力,这让当时面试的主管非常满意。并得到了当时部门总监的薪资包特批。“可能当时他们也遇到一些安全问题,觉得我相对比较合适。其实那时我自己对这家公司也不是很熟,就记得好像在那买过一个移动硬盘。”
李学庆网购的频率不足以让他在第一时间反应过来,自己歪打正着进入的这家公司,就是未来的电商龙头之一——京东商城。
即便是现在回忆最初在综合测试岗上遇到的订单泄露问题,李学庆仍会想起那种喘不过气来的感觉。“当时我们压力都很大,因为领导前所未有地强势,他直接就告诉我们,找不着全部滚蛋。”
测试团队投入了紧张的工作,借助安全工具,问题很快被定位到了,只是该怎么处理问题的根源却始终没有定论,于是李学庆闷声不响地加了一宿儿班,揪出了源头。这不是他第一次显露出对安全的天赋,也不是第一次得到赏识:事件解决后,部门总监专门从其他团队派了一小队人,让他帮助整个公司做安全测试。
李学庆的主要任务在这一刻发生了转变:要找安全问题,也要为所有员工进行一次安全意识培训。这对于有经验的安全人来说不是什么大问题,但放在初出茅庐、没有培训经验的李学庆身上,实在是个烫手山芋。他硬着头皮,整出了一版乱七八糟思路混乱的PPT,让那些平日与他交好的部门经理们作为观众进行试讲,各经理听完之后,也毫不留情地给出了“讲的什么玩意”的评价。
“我属于那种遇到困境,会用一切资源去改善现况的积极阳光的人。当时我就询问,咱们公司有没有在这方面有专长的大神,你猜怎么着?还真有。”
赶早不如赶巧,京东大学里新开设了专门针对演讲和PPT的培训课程。李学庆主动出击,虚心向专业老师请教培训技巧,又孜孜不倦地反复修改了PPT。虽然课程进行到一半就得赶鸭子上架,有时还会遇见偌大的教室只有一个人的尴尬状况,李学庆仍没有感到一点气馁,反而在这过程中展现出了惊人的韧性。
经过3个月不同级别,不同部门的培训,李学庆讲了将近60余场,最后可以做到完全脱稿,正确率高,互动性强,场内气氛活跃。有趣的是,最终场的观众当中,就有为他做培训的培训部门。讲完后李学庆乘坐公交回回家,此时老师打来电话,大大赞扬了一番他今天的演讲表现,还决定直接颁发未完成的课程证书给他,这件事深深鼓舞了李学庆,也为后续他在各大安全峰会上进行演讲打下了良好的基础。他下定决心,要让大家认可京东安全。
从处理安全问题没有经验的厂商开始,李学庆与京东安全一起摸着石头过河,一点点地往前探索解决方案。他把这个过程比喻成太阳下的水滴:可能会蒸发,但只要长久积累,依然会有可观的留存。在这一过程中,团队逐渐壮大,涉猎的范围也从安全测试扩大到安全管理和安全体系建设。
点滴沉淀里,李学庆的整支团队已在不知不觉中做好了万全的准备,“6.18”的挑战大门向他们开启了。
据李学庆回忆,最早的“6.18”没有安全部门的事儿,压力大都落在技术运维的头上,直到安全团队能独当一面了,才真正参与进了这场全民狂欢。
“每年6.18都会有一个很大的指挥中心,所有参与部门都在会议室里提供及时的支撑。最初我们只分到了一个小会议室,而第二、第三年开始,我们能有三个会议室,其中一个还是大号儿的。”
李学庆也没有辜负这份重视和认可,无论是“6.18”还是“双11”,团队都全力拼搏在第一线,这份热情不仅带回了优秀团队奖项,还给予了成员们无可替代的历练。李学庆对他直呼“兄弟”的团队成员说,大家要珍惜现在的幸运,因为这种节日大促,是对于一个技术人来说无比宝贵的能够证明真正实力的机会。如果始终处于安逸的环境中,安全人的技术只能局限于纸上谈兵,遇到黑客往往不堪一击。长此以往不仅精神憋屈,还会因为长期懈怠变得手生,对未来的职业发展有百害而无一利。
除开每年固定的大促活动,让李学庆印象最深刻的,还要属肆虐全球的WannaCry了。在大促结束后,自家酣睡的李学庆接到CTO急电,在听到CTO的描述后,他心中已有了不好的预感——一路杀到公司后迎接他的,果真就是臭名昭著的勒索病毒。
为了弄清病毒进来的路径,也为了封堵上这条来路,而后将近一周,李学庆的整个团队连夜加班倒班,夜夜鏖战。即便是到了深夜,团队中做运营的小姑娘还是不放心团队,她自掏腰包,为奋战的兄弟们拿去了热腾腾的夜宵。说到这段笔者发现,李学庆的眼睛有些许湿润,声音也哽咽了。
直到现在李学庆仍然很欣慰,能够培养这么一批温暖的雪狼之师。“Wanna Cry的传播性太强了,就像新冠一样难缠,当时我们把能想到的拦截方式都用上,供应链环境,测试环境,生产环境……一通加固之后终于搞定了,最后我在早会中感叹,这场战争我们胜利了,但胜利的艰辛,胜利的精彩。这场胜利无疑是属于大家、属于全团队的。”
李学庆说,事后与团队成员沟通时,他特地表扬了从中凸显的团结精神。在他看来,团队就需要齐心协力去打破环境,从而为自己、为公司创造出价值,这也是一条探索最佳实践的必经之路。
2017年,自京东毕业的李学庆,赶上了摩拜单车的风口。被竞争对手连番DDoS攻击的摩拜千疮百孔,急需经验丰富的安全人才协助。面对恳切的合伙人,李学庆给出了直击痛点的回答:共享单车安全需要解决的两个点,第一是批量开锁,这会造成经济损失,第二就是用户隐私,具体信息和轨迹都不能出问题。
在摩拜的两年间,李学庆帮助搭建了其全球安全体系,进行单车出海的合规GDPR的梳理和通过,在此期间,李学庆全身心投入,赋能了物联网安全、区块链安全、国际化安全,接触到许多未曾涉及的区块。甚至可以说,摩拜彼时的盛世之景,离不开李学庆在背后数次的力挽狂澜。
连轴转的铁人李学庆累了,他决定休息一段时间。只是在老家想玩玩智慧农业、种桃子的悠闲日子没过上太久,一家新时代互联网公司就找上了门。
“第一次进公司的时候我惊呆了,门口要人脸识别不说,门里幽深得很,别有洞天。”
在与CPO、CEO的对话中,李学庆了解到,这是一家代表新时代的公司,拥有诸多智慧业务场景。基于多年的安全从业经验,他却嗅到了这里的风险:公司的业务他非常喜欢,也很先进,但多发展一项业务就相当于多一个定时炸弹,业务越多,被摧毁的风险越高。对方惊讶不已之时,他又紧接着抛出了自己的第二个观点:牧羊犬理论。
“业务就像随意奔跑的羊群,安全则是围栏,业务可以在围栏中奔跑,但不能触碰到围栏,因为围栏是底线。外部如果有狼群来了,安全的围栏可以保护好羊群不受侵害,建设这道防线,正是安全人的使命。”
李学庆就此正式入驻了这家智慧城市领域的独角兽——特斯联。对安全体系、团队的搭建依然是从零开始,这次李学庆却只花了半年,不仅仅依托过硬的技术与管理经验,也靠着思维上的超前。
李学庆对于安全圈常用的“木桶理论”有着自己的理解:“木桶原理”确实有它的道理,但必须意识到,木板的高低是可以有高有底的,但安全水平取决于最高的板。做安全和领导者经营公司一样,要具有经营意识。
事实证明他又一次做到了。短短半年间,李学庆率领的团队为特斯联解决了棘手的两大风险:业务下架风险,法人入刑风险。丰硕的成果赢得了公司内部上下一致的赞许,也为特斯联的产品质量锦上添花。
正所谓“强将手下无弱兵”,有李学庆这样的好榜样在先,手下的那帮精兵强将,自然个个都不是吃素的,其中不乏大厂出身、简历满满当当的顶级技术大牛。提到他们,李学庆满脸自豪:这帮兄弟都非常给力,也是看着我过来的,所以我必须要对他们负责。
在李学庆的身上,笔者完全看不到“教会徒弟饿死师傅”的小心谨慎,他恨不得倾囊相授,把自己的所有经验都倒给身边的兄弟。他说,自己确实在行业中积累了少许经验,他们认同这点,自然更不能辜负大家。奋力拼搏是他成为CSO的经验,也是他对手下所有人的要求。“我培养的不是高级工程师,而是CSO,最终目的是为行业输送精湛的CSO。”
李学庆曾经分享过名为《六年辛酸泪:一起走过的电商安全坑》的主题演讲,在其中他详细讲述了六年间从零见的不同时间段的不同问题,演讲最终引发了极大的反响,这让他意识到,在安全路上掉过的坑,坑底永远不会缺人。
在家休息的短暂时光,李学庆把行业七八成的书统统翻了个遍,他发现仍有许多内容没能得到充分阐释的部分。摸爬滚打多年,从懵懂菜鸟变作了老练的安全人,李学庆也产生了输出自身经验的念头:我能不能写一本书?
热情抵不过有限的精力,虽说书最终没能成册,大纲业已完成。他拟定的书名并非传统意义,而是简单直白的CSO读物。
在网络作为基础设施的未来,智慧城市安全将成为又一全新且重要的安全领域。从企业到政府,特斯联团队的服务行列迅速壮大,无论是AIoT、5G、物联网,还是相关的合规风险,更多新产品、新思想,都在逐步孵化当中。在团队的共同努力下,特斯联安全现在也具备了安全输出能力,服务范围除了传统的安全外,还有等级保护、护网行动、智慧城市安全、城市运营中心、安全大脑、物联网安全等。
“未来我们要基于行业新基建这块儿的安全风险去整体考虑,最终我们希望能为企业、行业乃至整个国家,真正做到把安全赋能,长住久安。”
这是一个大到不可思议的目标,但当这句话出自李学庆之口时,笔者却从未怀疑,他将在不久的将来倾尽全力,让其实现。
推荐阅读
齐心抗疫 与你同在