君子善假於物-阿里雲全球首批MVP傅奎專訪

很榮幸能成為阿里雲全球第一批MVP（MVP計劃）。原本以為可以竊喜一番，沒想到緊接著就是花肉同學的奪命催稿釘（釘）。【花肉醬：人家也不想的啦】

作為資訊保安領域摸爬滾打十年以上的從業人員，我練過滲透，幹過產品，做過整合，賣過服務，吹過諮詢，也曾在網際網路電商企業“掃黃（牛）打黑（產）”一線與職業黑客、羊毛黨直接對抗。目前正全面負責千尋位置公司（www.qxwz.com）未來時空基礎設施的的資訊保安工作。

我不擅長寫自我介紹類的材料，一方面受限於我的文字表達能力，同時也因為我並沒有什麼“豐富”的經歷。相對於普通的安全技術，我更關注安全架構；不過，我願意在MVP平臺和大家就任何與安全有關的話題進行交流。

學生時期，我曾受到了一本雜誌《黑客防線》的影響，從此踏上安全之路。對新事物的好奇，是我在這個領域堅持下來的重要原因。有幸能在工作過程中遇到不錯的夥伴、可靠的領導甚至人生導師，更堅定了我在這個行業深耕的信念。

在從業數年的不同階段，我曾服務過不同的公司和客戶，包括：安全產品廠商、安全服務與整合商、世界500強通訊企業、紐交所上市電商公司和目前所在的千尋位置公司。我是真正的愛一行幹一行，從踏入安全圈門檻的那一刻開始我就一直保持著戰鬥激情，可謂“飲冰十年，難涼熱血”。

 

很多人關心的技術棧：

我是雲端計算的狂熱愛好者和追隨者，在AWS、阿里雲、Linode等平臺都曾部署過自己的個人伺服器叢集。多年前，我就開始使用遠端伺服器資源來替代本地主機進行各類安全技術的研究測試。亞馬遜開始提供雲端計算服務後，我就把家裡的電腦“搬”到了雲上。從此把用來升級電腦的錢都砸在了雲主機上。這讓我有足夠的時間和精力聚焦於鑽研安全技術，而不必忍受個人電腦上常常因虛擬機器卡死帶來的痛苦。

作為一名安全從業人員，我始終沒有放棄自己在程式設計開發方面的努力。很顯然，相對於專業的開發人員我差得還很遠；但具備一定的編碼基礎，能讓我更加自信地與開發、測試同學進行溝通，尤其是說服大家為產品增加一些安全特性時。

工作和學習環境：

我在工作和學習過程中使用最頻繁且為之付費的軟體有：

●     
Chrome以及基於Chrome的各類外掛

●     
Grammarly – 讓你的英文寫作看上去更加專業

●     
Evernote –儲存和搜尋資訊碎片，解放大腦

●     
MWeb – 支援Markdown 語法的編輯器，支援一鍵釋出到 WordPress

●     
Snagit – 及時截圖是個好習慣，支援打碼、特效、自動儲存和標籤管理

●     
SublimText – 支援高亮檢視和編輯程式碼檔案

●     
SecureCRT – 最好用的 SSH 客戶端，支援巨集操作

●     
Gliffy/Graphviz/yWorks
yed – 流程圖、時序圖、拓撲圖、關係圖，不可或缺

●     
各類安全類軟體或工具

我個人學習和使用過的程式語言和開發環境有很多，但真正擅長且一直在用的是下面這些：

●     
Python/Java

●     
PyCharm/IntelliJ

●     
MySQL/SQL Lite

●     
Bootstrap/jQuery/Tornado

關於安全本身，我更喜歡參與開源社群的活動。我是開源社群和開源產品的受益者，也是開源社群的貢獻者。2012年曾主導翻譯過OWASP WebGoat 5.4版本的手冊翻譯。

資訊保安是現代企業賴以生存的生命線，資訊保安建設更是一項管理與技術並重的工作。就我接觸過的企業和我服務過的客戶而言，最近幾年越來越多的企業都在高度重視安全，積極招攬安全人才。隨著《網路安全法》的正式施行，我國網路與資訊保安領域將會有更大的市場前景和發展空間

總體上說，資訊保安行業適合於那些喜歡不斷挑戰自我的人。我個人在諸多方面都不太優異，但有幾點體會還是很深刻的：

關注業務

安全人員除了做好本職的安全工作外，還需要關注業務。任何企業最終都需要通過業務來產生盈利。安全人員必須關注並熟悉公司的業務，要清楚公司當前的業務狀態、戰略規劃；特別是當需要在安全和業務之間取得平衡時，要能更好地用業務語言說清楚安全問題。很多企業在安全建設上容易走兩個極端：要麼是沒有安全，要麼就是一管到底，導致業務開展缺乏靈活性，從而喪失市場機遇和競爭力。

 

注重提煉和積累

無論個人、團隊還是企業，都應定期對自身的安全工作進行回顧，提煉和積累。個人要想提高專業水準，必須定期對已有知識和經驗進行總結和抽象，輸出成產品或方法論，從而避免止步不前。企業在安全建設過程中同樣需要定期積累和沉澱案例，並對案例進行復盤和挖掘，從而逐步提升安全防護能力，減少安全短板。

不要懼怕新技術

關於新技術，很多業界同仁往往對之充滿恐懼，敬而遠之。特別是當新技術與業務系統進行結合時，更是如此。我更偏向於擁抱新技術。攻防對抗過程中，決定成敗的往往只是一兩個資訊不對等的細節。誰能先用上新技術，先把新技術應用於實戰，誰才能搶佔先機，掌握攻防對抗過程中的主動權。

我個人和我所在的企業都是阿里雲的使用者，特別是雲盾系列的安全產品和服務。雲端計算概念初起時，大家最關注的莫過於安全問題。近年來，隨著各大雲平臺廠商的不斷建設和探索，越來越多的使用者對雲平臺的安全性開始充滿信心。

中小企業通常很少有能力對自身的雲上資源做全面管理，更不要提複雜的安全問題。作為雲平臺服務商，提供一些基礎的安全產品或服務還是很有必要的。以下是我個人極力推薦並在使用的雲盾旗下產品：

WAF（Web應用防火牆）產品。有資料顯示：網際網路上絕大多數網路攻擊是針對Web網站的攻擊。雲平臺提供了統一WAF防護策略和技術，能夠幫助中小企業迅速補足應用安全短板，大幅提升綜合安全防護能力。再加上雲平臺自身巨大的資料流量基礎，平臺能夠及時獲取最新的攻擊源、攻擊技術等情報資訊，雲上WAF總能以最快的速度更新規則攔截最新的攻擊模式。

另外，“態勢感知”也是我在雲平臺上經常使用的安全服務。“態勢感知”能夠協助客戶在大規模雲端計算環境中,對那些能夠引發網路安全態勢發生變化的要素進行全面、快速和準確地捕獲和分析。是專業安全分析人員、安全技術團隊快速識別風險，開展威脅響應的得力助手。

“君子善假於物”，用好雲平臺上的安全產品和服務能夠為企業帶來良好的安全效益。要做到“善假於物”，前提是“格物致知”——充分了解雲平臺上每個安全產品的原理、特性和使用場景，才能最大限度發揮其優勢，將雲上安全提升到更高的水平。關於雲平臺上的安全產品和服務，我個人有一些使用上的心得，希望今後能有機會和大家一起分享。

 

MVP創造價值

事實上我並沒有主動去做過任何貢獻，相反只是站在一家基於雲平臺開展業務的企業的安全負責人的角度，對我們最核心的基礎設施合作伙伴提出了大量的產品或服務上的苛刻要求。在這裡，我要感謝阿里雲團隊對我們的信賴、容忍、幫助和支援。阿里雲團隊一直以來高度重視我們反饋的各種需求和Bug，總能在第一時間站在使用者角度為我們解決問題。這也是為什麼我們能夠與阿里雲團隊越來越深入合作的重要原因。

作為MVP，我個人希望能夠在第一時間瞭解阿里雲在技術架構、產品設計和服務實現上的技術路線規劃，也期盼成為新產品、技術的早期使用人員。MVP應該是主動向其他使用者傳達雲平臺產品新特性的媒介，更要敢於成為新技術的第一個吃螃蟹的人。MVP還應在社群中主動扮演積極分享的角色，將優秀的產品、技術和理念佈道或傳遞給使用者；同時，幫助使用者向平臺反饋問題和需求。

最後，我希望所有的阿里雲MVP成員之間能夠增加交流和溝通，我們可以相互學習，並與雲平臺的所有使用者共同成長。

今後，我也會以阿里雲MVP 的身份為大家分享更多的基於雲平臺的企業資訊保安技術實踐

我是傅奎，我在阿里雲MVP等你