每逢“6.18”这样的电商大促,对于李学庆来说都无异于是一次大考。作为曾经京东安全技术负责人,他是京东大促安全保障的总指挥。在京东应急安全响应中心(JSRC)的官网介绍中有这么一句话:希望通过此平台与白帽子、安全爱好者建立友好关系,共同建立一个可信的、安全的、可靠的线上购物平台。这个目标,就是李学庆的职责所在。具体来说,他曾担负着京东安全攻防、移动安全、云安全、安全合规、安全治理、安全企业文化等体系化安全工作。
这样的工作状态持续了 6 年,最近李学庆加入摩拜单车担任安全总监。
摩拜单车作为智能共享单车模式的开创者,其发展模式和业务性质与京东电商模式肯定是不同的,正因为此李学庆所负责的安全范畴也有调整,目前他主要负责摩拜单车安全体系建设、物联网安全(比如车锁安全模型)、国际化安全合规和全球企业安全文化工作。
对于安全从业者来说,安全范畴包括系统安全、数据安全、办公网安全、网络安全、基础安全、安全运营、移动安全、业务安全、风险管理、IoT 等不同维度。在京东的 6 年,李学庆最关注的是与数据相关的安全保障工作,而对于摩拜单车来说,可能除了数据安全之外还要增加与车辆有关的安全范畴,据李学庆介绍,目前他的关注点投入到移动端安全、车硬件开发生命周期以及摩拜风控模型等工作。
从事网络安全工作这么多年,李学庆眼中的好的安全产品或者安全保障解决方案应该是基于目标对象真实场景而设计的,既要考虑通用场景,也要考虑特定场景,这一特定场景还必须要真实。
这也就引出了网络安全人才能力提升的话题:正因为好的安全产品是理论与实践的相结合,因此网络安全从业者无法清晰地制定自己的能力提升、职位晋升计划,市面上成体系的培训课程也几乎没有,类似 CISSP 注册信息系统安全专家这样的培训更侧重于理论层面的培训。
不过话虽如此,但是系统性的学习并非不需要,比如安全体系流程、安全威胁建模模型类的培训,李学庆就认为必不可少。另外大多数企业内的网络安全、信息安全从业者其实信息安全操作界线是模糊的,从侧面也反映出他们的法律意识薄弱,对于哪些操作是违规的、违法的,对应急事件应该如何处理,他们普通缺少相应的岗位培训。
对于这一点,李学庆有一个观点,他认为企业的安全风险模型不仅要考虑固定资产的安全,比如:WiFi 入侵内网、重要系统撞库、邮件网关失效、网络权限不清、风险发现延迟、资产定位模糊等等;另外还要考虑人力资产带来的安全风险(SELC 安全教育生命周期),比如:代码编写习惯、业务优先、密码简单、上传网盘类、操作失误、权限控制不严以及人员的入职、实习、异动、离职各阶段的安全管控等等。
对于任何一位网络安全从业者来说,都希望清晰地规划自己的职业发展路径,对此李学庆也给出了自己的建议。
初级阶段就是明确在企业内的安全领域工作方向,对于安全技术、安全流程以及安全红线(网络安全法)要打牢基础;
其次就是对企业能够提出安全质量提升的方案;
第三步在实践中积累最佳解决方案;
而更高阶的一步,则在于更高的职业发展思路:从被动的“兵来将挡水来土掩”,到能够帮助公司制定最佳的安全解决方案,最后一步就是帮助公司建立安全体系,提升风险管理能力,为国家以及整个行业做出未来的安全解决方案。