安在引言
ISG,全名为中国信息安全技能竞赛,从2009年第一届举办至今,迎来了第十个年头。
值此十周年之际,安在新媒体特邀专访了十位曾经和ISG共同成长发展的专家、选手与合作伙伴代表,希望以此作为回顾系列,向ISG十周年致敬。
正文
“三分技术,七分管理”,这是黄建文在接受我采访时让我印象深刻的一句话,也是在与他交谈之后,我对网络安全新的理解和体会。
他形容自己是网络安全领域的小学生,尽管他早就是上海地区网络安全鼎鼎有名的专家,早就以专家的身份负责ISG竞赛的题目设计和训练营培训;
尽管我见过很多人,都会亲切地叫他一声“黄老师”。
1985年的夏天
上世纪八十年代,国内对于计算机的认知几乎为零。1985年的夏天,上海电视台发行的广播电视周报在中缝处贴了小段文字:某月某日电视某台将播出basic语言教育节目,如有学习意愿可以到当时在青海路的电视台购买讲义。
这段文字挑起了一个对新鲜事物充满好奇的15岁少年的兴趣,这个15岁的少年,就是黄建文,黄老师。
黄建文回忆说,那时他其实压根也没见过计算机的模样,只是从新闻里听说了这个概念,这个新奇的事物让所有人都包含着兴奋和期待。
讲义开售的时间是上午9点,他8点赶到电视台门口,却发现早已水泄不通。等到大门打开,正式开售,黄建文随着人潮一起拼命地向里蠕动。由于那时年纪轻,个头小,黄建文走着走着突然发现自己被周围的人架了起来,双脚悬空。于是他索性直接爬到了人群上方,用他的话形容,大概就是踩在别人头顶爬进去的,就这样,他才好不容易买到了一本讲义。
那本讲义大概几毛钱,而当黄建文走出大门的时候,当即就被没有买到书的人围堵了起来,他记得最高有人加价到十元钱,希望他能够忍痛割爱。黄建文告诉我,1985年的时候,他每天的早饭是七分钱,十元钱买一本讲义,足可见当时的人们对计算机是何种的痴迷与疯狂。
黄建文当然没有卖,他宝贝地把讲义带回了家,用了一个暑假的时间学完了课程,从此深陷其中,无法自拔。他觉得,那就是“他想要的东西”,并在第二年上海市高中生会考中获得第三名的好成绩。
带着对计算机的喜爱,黄建文如愿以偿考上了华东化工石化学院,又一门心思选择了工业自动化系控制和计算机数据处理专业,希望在毕业以后能够从事企业的计算机控制和数据采集,一辈子都能抱着计算机睡觉。
结果正式上课的时候,黄建文才发现,单凭喜欢和兴趣,却依然无法避免听天书的下场。而那时候的老师自身对计算机的认知程度和教育能力也有限度,也就出现了“老师不知道怎么讲,学生不知道老师在讲什么,有什么用”的情况。
受教育中的难题,也让将来有一天改变教育方式的种子,在那一刻埋在了黄建文的心底。
大学毕业后,黄建文如愿进入了电话局(电信、移动、联通的前身),一个人脚下一台服务器,就这样一个人的IT部门,扛起了整个上海市电话局的管理系统,一晃就是好几年。
2012年,黄建文因为工作内容的变动,开始从事安全岗位。这是安全第一次进入他的视野,而那一年,他已经42岁。
企业安全,防御比攻击更重要
刚进入安全岗位的时候,黄建文坦言自己其实是两眼一抹黑的,而那句“三分技术,七分管理”,让满怀IT情怀的黄建文,对这句话很不服气,
他说,那时自己对于安全的概念,无非就是病毒,但为了更快地适应这个岗位,黄建伟不得不以42岁的“高龄”重新充电,再去补足缺少的知识。
他清楚地记得,那一年他自费15000元钱报名了上海交大慧谷的网络安全培训班,课堂上老师传授的框架和概念,是黄建文过去从未接触过的新奇感觉。
这时领导提出了希望IT团队能够征战安全技能竞赛的想法,并打算通过实战的方式,来检验队伍的实力,找寻差距,弥补不足。
于是也就有了2012年ISG管理运维团队赛冠军的诞生。
黄建文团队获得2012年ISG管理运维赛一等奖
黄建文很清楚地记得,在竞赛当中,有一张考核技术能力的试卷,但整张试卷竟然都没有关于数据库的题目。他觉的既然是信息安全竞赛,数据库作为信息保护的重要组成部分,竟然没有出现在试题当中,这是不能理解的。
于是他当场向监考老师指出了这个问题,监考老师不置可否。这件事也影响了黄建文日后在作为ISG组委会专家,负责运维管理赛出题和培训时,努力让其往更全面、更合理的方向改进。
黄建文说,ISG的管理运维赛区别与CTF的地方就是,CTF是个完全比拼技术的赛事,但ISG则要求了管理和技术能力各占一半,或者说,管理能力才是ISG“独门绝技”。
所以,通常CTF的参赛和获奖选手,年纪相对较轻,但也正是因为如此,虽然他们都具备很强的技术能力,但在企业安全的管理上,还有些欠缺。他们会因为挖掘漏洞而兴奋,但却很少能够体会修补漏洞抵御攻击的成就感。
他认为,企业需要的是怎样保证手里的数据不被流出,怎样发现自身的安全隐患,再通过怎样的方式去加固,做哪些项目可以将防护水平上升到新的高度,用户则更需要知道企业如何倾全力去保护自身的数据不遭到泄露。
这也就成了ISG长盛不衰的原因,因为管理运维赛,正是在锻炼企业员工防御的能力,而ISG的专家团队,也在通过传授自身的管理经验,来为企业培养管理人才。因此,对企业而言,ISG的的价值更大得多。
有了这个感悟后,黄建文才意识到“三分技术,七分管理”的意义。在夺得2012年ISG管理运维赛冠军后,黄建文正式驻足安全圈,开始了专注安全意识、管理培训的生涯。
2012年ISG首届管理运维赛决赛团队照
《办公安全演义》
《办公安全演义》其实是黄建文在2016年参与编撰的一本书的名字,我为什么要提这本书,是因为它淋漓尽致地体现了黄建文关于教育的理念。
在安全圈里,我见过两个一门心思将自己投入在安全人才培养的大咖,一个是诸葛建伟,另个就是黄建文。有意思的是,传授朝气蓬勃年轻人攻击技巧的诸葛建伟腼腆寡言,而为企业安全培养大量防御人才的黄建文却更加爱笑、开朗。
回忆起最初接触教育,黄建文说那不过是因为自己在90年代从事开发的时候,总会有同事找自己学习请教,就在这教授同事的过程中,让他感受到了传播知识的乐趣。于是乎当后来有培训机构主动找到黄建文,希望他能够给社会上想要学习IT知识的年轻人传授办公自动化、上网等相关的知识,他就应允了下来。后来再随着自己在IT领域的精进,加之对数据库的钻研和兴趣,黄建文便从2006年开始,从事起上海人社体系数据库的培训。
我问他,后来又是怎么选择参与到ISG竞赛环节中的呢?他很坦然的告诉我,对于他这个岁数的人,面子是最在乎的东西。
他觉得2012年夺得ISG运维管理赛的冠军,一个是得益于长期以来IT工作的经验,再一个也与他长期从事教育使得他更擅长论文和演讲有关,总而言之,他觉得这其中有运气的成分。
于是他索性就在第二年受ISG组委会之邀,成为专家团队的一员,通过自己多年来管理的经验,来帮助管理运维赛题目的合理以及学员的培训,让ISG走得更符合甲方企业运维赛的特色。
黄建文直言,竞赛的题目就是ISG的灵魂,在他还没有主导命题小组之前,运维管理赛中大量的题目都和IT审计有关,但由于大部分选手并没有IT审计和内控经验,导致题目的不合理一直成为了竞赛的诟病。
所以等到黄建文主导命题小组之后,他便在2014年倡导建立了ISG的知识体系,并一直被沿用至今,同时竞赛的题目也变得更加贴合实际场景。因此,黄建文是ISG训练营最受欢迎的讲师,也是有口皆碑的事情。
他告诉我,回忆起自己最初学习计算机的艰难,以及重新学习网络安全的经历,让他明白传授知识,一定要让受众觉得有趣,因为枯燥的东西没人会听。所以他觉得,安全是应该做成文化的,而安全的教育也应该通过文化的方式来进行传播。
他说,没有人类的活动也就没有安全的问题,所以安全是离不开场景和人的活动,对于企业而言,办公又是贯穿始终。因此,在一个企业办公室中,CEO、HR、安全官、财务人员、技术宅男、厂商、小白和闺蜜,上演了60个关于办公安全的故事,于是也就有了这本《办公安全演义》的叙事设计。
这本书的普适性和受众面是非常广的,因为对于企业而言,发生在身边与办公有关的事情才是最常见的。
用有趣的案例教育安全的意识
前文说到,黄建文认为,安全是应该做成文化的,因为文化更易于传播,更容易被人接受,更能够达到普及安全意识教育的目的。
所以他和ISG组委会开发了一些很有意思的东西,称之为“体验案例”。
他问我平时工作需要使用门禁卡么?我点了点头。但是他表示门禁卡其实是可复制的,所以他们第一期的体验案例就是门禁卡的克隆,说着他向我挑了挑眉:
“带卡了没?”
我没带钱包,只从口袋里掏出了平时常用的地铁卡和一张信用卡。我见他先是在手机上摆弄了两下,然后拿起我的卡放在手机下刷了刷,然后就发了两张截图给我。
■■■■■
(左图是地铁卡信息右图是信用卡信息)
他“咦”一声,“你去年还去北京住过酒店啊?”我说等会让我想想我干嘛去了,他说不必了,年轻人,大家都懂。
???我不懂啊。
他稍作严肃,跟我说,现在再向企业员工去老生常谈关于杀毒、开机密码、屏保的概念,实在是太过落伍和乏味了,通过这种案例的演示和体验,可以让员工在觉得有趣的前提下,潜移默化地提高安全意识,并带动企业整体安全能力的提升。
除了卡片克隆,黄建文还给我讲了他们在去年设计的一个更有趣的体验案例。眼下电动汽车的普及,使得公共充电桩的数量急剧增加,黑客也许并不会直接向充电桩植入病毒和木马,但是用户却无法保证车辆本身是安全无毒的。
如果一辆带有病毒的车辆在充电桩充电之后,充电桩就会被植入病毒,那么之后再充电的车辆也都会受到病毒的入侵,而这很有可能会导致车辆的失控,《速度与激情8》数百辆汽车在无人驾驶的情况下被黑客操控的震撼画面,就呈现了这个场景。
于是黄建文和ISG团队设计了充电桩攻击案例,来完整地向人们演示了整个攻击的流程,用案例的形式,将安全的风险向社会进行曝光,最终实现意识教育。
我问他,这些案例还能看到吗?他告诉我,在他所供职的中国电信上海公司总部世纪大道211号,就设有一个专门对社会开放的展示厅,所有的攻击体验案例都在信息安全体验感知区。除此以外,大量关于物联网、智慧城市和量子通讯的前沿科技,也都能在电信展馆亲密感知。
他说案例的收效非常好,辛苦的成果也都被越来越多的人看到,大家在震惊的同时,都表达了认同,也给他们点赞。总而言之,人们在感受高科技的同时,激发了自身对于安全的意识,提高了对于安全的重视,安全教育的目的也就达到了。
黄建文感叹,网络安全的人才缺失是目前最大的问题,缺口量达高达75%,大概有50万人。而现在虽然网络安全已经成为一级学科,但科班里的教师通常也都与他年级相仿,大多都是老一辈计算机人出身,半路做了安全。
因此,即便是网络安全专业的学生,未必就能在第一时间胜任企业的安全保障工作,挑起安全响应事件的重担。
所以他还要继续在安全的教育上做下去,只为了弥补不足,让更多的人看见安全、认识安全、重视安全。
写在最后
我问黄建文日常生活中有没有什么爱好,他告诉我,有没有听说过一个50岁的男人喜欢公仔和手办?
他就是。
他说因为自己太喜欢这些玩具,所以曾经索性让老婆开了个专卖公仔和手办的玩具店,以至于自己的女儿对玩偶多少有点审美疲劳了。
黄建文的办公桌上摆满了这些公仔,因为他觉得看到这些他就特别开心,开心了就能好好工作,就能笑着迎接每一天了。
主办方总结
王怀宾
ISG竞赛组委会负责人
黄建文,2012年ISG设立管理运维赛制后代表上海电信勇夺首届冠军。管理运维赛制创建之初即吸引银行、证券、运营商、国资、安全企业的第一线管理运维团队参与。此后以黄建文老师为代表的各行业的专家共同组成了ISG竞赛专家组,基于企业实际问题,结合国际最佳实践,创建了ISG竞赛的知识体系,并每年更新比赛题目,创新赛制与教育形式。在“发现人才、体现价值”的竞赛宗旨基础上,新增“普及意识”的定位,创新发展了面向企业员工的系列文化教育方法。
谨以本文,向各位参与支持ISG竞赛发展的专家致敬!
閱讀更多 安在信息安全新媒體 的文章
