文 | 蓝河
安在引言:
ISG,全名为中国信息安全技能竞赛,从2009年第一届举办至今,迎来了第十个年头。
值此十周年之际,安在新媒体特邀专访了十位曾经和ISG共同成长发展的专家、选手与合作伙伴代表,希望以此作为回顾系列,向ISG十周年致敬。
正文
月亮和六便士,梦想和面包一直都是直面取舍时难以选择的尴尬。
人们总是觉得生活本没有意义,幻想着赋予生活美梦中的满足。
那些能够把兴趣变成工作的人,一定是大部分人眼中的幸运儿,也是他们长久以来憧憬和向往的目标。因为这对很多人来说,都是一件极奢侈又难以企及的事情。
但是对陈昌杰来说,如何去做自己想做的事情,能否兼顾兴趣与工作,却在过去的很多年里一直困扰着他。
害怕成为梦想的负担
照片中的这些杂志是陈昌杰珍藏多年的宝贝,而这只不过是其中的一小部分。
高中的时候,陈昌杰就已经对计算机以及黑客攻防相关的知识产生了浓厚的兴趣。在那个千禧年刚刚到来的时代,能够符合陈昌杰胃口的杂志寥寥无几,销售此类书籍的书店也着实不多,而作为高中学生的他也的确没有额外的零用钱去负担购买。一来二去,在书店站着读完《黑客X档案》就变成了陈昌杰每过一段时间必须要做的事情。
所以,计算机就是他一直以来最热爱的兴趣,也正因为这份兴趣,使得他在报考大学的时候刻意规避了计算机专业。因为在他看来,如果把兴趣变成了生活,也许会因为难以预料的琐事而消磨了这份热爱,他舍不得。
虽然陈昌杰大学四年选择了与计算机相去甚远的工商管理供应链管理,但他仍然保持着对计算机与攻防知识的学习。只要图书馆上新,就一定能够看见陈昌杰的身影。后来,由于大学附近的书报亭不再售卖《黑客X档案》一书,所以,他一口气直接预订了几年份的《黑客X档案》,而文章开头照片里的那些藏品,就是大学四年里陈昌杰最好的陪伴。
巧的是,陈昌杰所学的管理类专业对计算机有一定要求,而计算机也是这个专业的必修学科。每一次的计算机考试,监考老师都提醒考生可以提前半小时交卷,而每一次,他都在开考半小时内交了卷,并且成绩永远都是A+。班主任在当时找到他,鼓励他如果真的热爱计算机,就一定不要放弃,并希望可以引导他往供应链管理当中的计算机系统集成方向去发展,也鼓励他在课堂中展示,与同学们分享各种研究成果。
但即便如此,哪怕毕业设计也都偏向计算机的方向,陈昌杰却仍然拒绝把这一兴趣爱好列入自己的人生规划中,说到底,他还是害怕会因为工作和生活,梦想和兴趣日渐蒙尘。
毕业后,陈昌杰先是本本分分地从事了专业对口的物流工作。可惜的是,课堂里教授的知识起点太高,他掌握的那一套理想的管理理念又很难在当时的工作岗位上应用和实现,他逐渐觉得自己似乎不太适合做物流方面的工作,没有足够的动力和干劲。于是在工作了一年多之后,陈昌杰对自己的未来有了新的想法和规划。
他觉得,既然选择重新规划人生,是因为对所从事的工作不够喜欢,那么也许终究还是要将工作与兴趣相结合,才能保持长久的热忱,而计算机技术或许就是可以一直做下去的事情。
幸运的是,虽然陈昌杰并没有计算机技术方面的工作经验,但是凭借着一直以来基于爱好产生的沉淀和积累,他还是成功跨界到IT管理的岗位,开始了与计算机相关的工作。
在成功过渡到IT管理的岗位上之后,陈昌杰在2013年参加了中国福利会国际和平妇幼保健院的面试并被顺利录用,这也是他从事安全工作的开始。
缺兵少将扛回了三等奖
医疗行业的安全能力,似乎在安全圈内一直都没有受到过广泛的关注,甚至连医疗行业本身,也不过是从近几年才开始逐渐重视安全。
回忆刚刚进入医院的时候,陈昌杰坦言挑战与机遇并存。挑战的是,由于信息部门人员不足,很多安全工作都处于不定性定岗的状态,而他在试用期,主要负责的是集成类的方向,包括机房、中心端和服务器等的管理。同时,机遇也随之而来,正巧上海所有三甲医院的核心业务系统需要完成信息安全三级等保,在通过试用期后,领导就直接将这份工作全权交给了这个刚入职不过几个月的年轻人。陈昌杰说,当时领导对等保工作并没有提出明确的要求,他只得按照测评的要求以及自己过去的积累和经验去完成这项挑战。
虽然大学专业与计算机无关,但在校园里的学习依然让他觉得管理很重要,他很认同“三分技术、七分管理”的理念。所以在等保工作中,他对整套管理制度的要求尤其严格,同时在策略上也发挥了系统集成的技巧,把所有的东西整理细致,最终也就得到了较高的评分。
领导认可他的安全管理能力,于是在等保工作结束之后,陈昌杰正式开始一本正经地做起了安全。
如果说IT管理是陈昌杰的第一次跨界,那么安全管理,就是他再一次的跨界了。陈昌杰觉得有大量的知识和能力都亟需得到补充,在领导的支持下,参加了2014年中国信息技能竞赛(InformationSecutiry Game,以下简称ISG)的安全培训。他认为ISG竞赛是一个非常好的考验甲方安全能力的机会,于是在培训结束后,以陈昌杰为技术骨干的国妇婴信息安全组参加了那一年的管理运维赛。
那时候的医疗行业安全工作还处于起步阶段,国妇婴信息安全组是医疗行业参与到ISG管理运维赛中的唯一一支代表战队。那时与他们同台竞技的几乎都是高校、银行这些已经对安全有着多年研究与实施的机构,即便如此,陈昌杰他们仍然在缺兵少将的情况下以首次参赛的新人之姿,斩获三等奖。
陈昌杰参与ISG管理运维赛
国妇婴信息安全组荣获三等奖
那次比赛让陈昌杰收获颇丰,也让他的安全视野得到了进一步的拓展,更让他对医疗行业安全的发展方向有了更切身的体会和认知,同时确认了其对比和标尺。他觉得,虽然安全圈中,不同的人在做不同的事,但这些事情都能给自己思路上带来启发,这些事情也都有一个共同的名字,就是“安全”。
一转眼来到2016年,陈昌杰受邀加入ISG竞赛组委会,成为专家团队的一员,由于工作能力突出,而后晋升为核心安全专家。在角色逐步转变的同时,带给陈昌杰最大的感受就是“忙”与“充实”。“忙”的是他主要负责ISG的内容建设,包括竞赛培训和题目设计,参赛选手不乏业内大咖或是经验丰富的老手,所以他认为自己必须要具备更前瞻的思维和意识,只有通过不断地学习,才能不断“充实”自己,具备足够的能力,成为知识的传递者。
网络安全需要讲价值观
成为知识的传递者,以网络安全专家的身份为各行各业普及安全的知识和理念,将自身的安全能力对外输出,是陈昌杰传递知识最主要的方式。
他时常感到工作量的庞大,不同于其他专职讲师拥有的完整的理论体系与课程设计,陈昌杰每次都需要针对不同受众的行业特殊性,将课程中所需传授的知识临时转化归纳,及时更新知识点,以保证每一次授课的时效性和针对性。
除此以外,进校园讲安全的公益活动则是他传递知识的另外一个方式。
陈昌杰是全国大学生信息安全竞赛的专家,作为安全专家,他基本不缺席每一次的“培养中国互联网未来健康力量—上海市网络安全进校园”科普公益活动。他告诉我,为了规避和其他讲师撞题的情况,他在每一次的活动之前都会重新设计创新,并且与时俱进做出改变,就连PPT也都要确保不会重样。
对他而言印象最深的,是在某一次的进校园活动之前,陈昌杰临时决定将“科学上网”和“价值观”作为讲授的主题。他的想法在当时受到了质疑,因为有人认为,给孩子讲人生观和价值观言之过早。但陈昌杰坚持自己的观点,他觉得这是其他老师不曾涉足的,而关于网络安全的价值观也是非常有必要从娃娃抓起的。
第二天,人民日报发表文章,认为“互联网平台应建立健全未成年人保护体系,用正确的价值观指导,积极传播正能量”,恰恰印证了陈昌杰的想法。他觉得这纯属巧合,但这件事情给到他的启发就是,要能够细致入微地观察到社会现象的本质,抓住底层的根源,做安全也是一样。
陈昌杰认为,进校园的时间毕竟有限,如果单纯生硬地从知识层面给孩子们讲解安全,也许并不能达到预期的效果,让孩子们完全理解。但如果能从价值观的层面潜移默化地让他们对安全有意识上的是非概念,也许反而能够更好地普及安全。
他说自己是黄建文老师的学生(ISG黄建文:用文化去普及安全的意识教育),得益于ISG组委会“发现人才”的理念,陈昌杰深知作为知识传递者的重要性,所以即使再忙、再累,他依旧希望尽可能地触发更多的人。
医疗行业的安全需要情怀
随着近年来数据作为资产价值的逐渐提高,医疗行业开始越来越多的成为攻击者的目标,关于医院遭受黑客勒索的事件也时有发生,医疗行业的安全逐步受到更多关注与重视。
陈昌杰认为,对于医院来讲,勒索并非最大的威胁。医疗行业真正面临的威胁其实是来自医疗数据,如何保障数据安全,医疗行业亟需树立一个规范的、自主可控的的标准,引导数据安全的落地,所以他这两年的工作重心也转向了数据安全。
他觉得数据安全所提出的要求远远高于自己曾经做过的三级等保,因为在他看来,落地数据安全所要做的绝不仅仅只是合规。就像考试一样,如果一心只想着及格,那么可能连60分都无法拿到;如果努力冲击满分,即便最终失利,也仍然可以达成优秀。
陈昌杰告诉我,如果还停留在合规的层面,那永远都没有办法做好数据安全,他想依靠这些年的安全经验,努力去做一些创新性的东西,更好地实现数据安全。
他时常感受到压力,因为从本质上来说,医疗行业的安全和其他行业是有区别的。大部分行业的安全通常是为了业务部门的需求或是战略规划,但医院作为非营利性机构,安全的出发点则是要保护患者隐私与医疗信息,以此来保证社会稳定。同样的事情,责任越大,担子也就重得多。
在陈昌杰看来,医疗行业的安全目前正处在一个循序渐进发展的状态,从参与竞赛,到知识获取,再到主管部门对合规提出的要求以及其他行业安全事件的警示,医疗行业从业者的整体安全意识也在不断提高。
虽然无法预知医疗行业的安全未来会走向何方,但是他觉得,努力着重自主可控安全标准的建设,在主管部门的主导下,提高人力成本和资源配比,一定是会有越来越好的发展趋势的。
他最大的感受就是从2013年做完三级等保之后,变得越来越忙了。因为医疗行业需要关注的安全领域也逐渐扩大,加上目前医疗行业还没有独立的审计和风控岗位,所以未来,一定需要投入更多的安全人才。
对陈昌杰来说,最终的目标是通过安全工作的不断推进和迭代,达到数据管理的效果,因为数据就是资产,而他的最终使命就是要保证医疗行业资产的安全。
相比其他行业,医疗安全岗位的薪酬体系要低的多,所以在医疗行业坚持做安全,真的是需要情怀的。
写在最后
陈昌杰很遗憾地跟我说,《黑客X档案》最终还是绝版了。由于迟迟收不到预订的最后几期,他还专门联系过出版社,出版社给他的回复是会推出合辑来回馈读者。遗憾的是,最后的合辑也没有如期出现,就真的彻底停刊了。
他今年的行程已经排到了十月份,多数是进行教育和培训,一部分是受邀参加学术会议和交流,一方面输出自己的安全能力,另一方面也给自己的安全能力吸收新的养分。
所以对陈昌杰来说,能够让他在如此繁多的工作中感到放松,除了每年的休假,就只剩普及安全教育的时候了。他觉得分享知识的过程也是自己不断学习的过程,这个过程会带给他更多的快乐。
我问他,时至今日,是否认为把兴趣作为工作是一个正确的选择,他给了我肯定的答案。他说,当自己感到压力太大或是困扰苦恼的时候,只要想想自己所做的不过是关于兴趣和梦想的事情,似乎一切困难也就迎刃而解了。
主办方总结
王怀宾
中国信息安全技能竞赛组委会负责人,上海市信息安全行业协会副秘书长,易念科技CEO。
陈昌杰,作为医疗行业信息安全工作者的杰出代表,随着ISG管理运维赛一路走来。从参赛者到竞赛专家,在医疗领域信息安全发展上贡献良多。近年来又热心信息安全科普工作,将信息安全的专业知识普及大众,回馈社会,获得了主管机构的高度评价。这正是ISG想要传递的精神“发现人才,体现价值”!
閱讀更多 安在信息安全新媒體 的文章
