导语:这是篇近万字的采访,探寻了阿里移动安全负责人陈树华如何从从零开始,打造阿里生态中最具重要一环——安全产品的文章。
在采访中,陈树华解释了自己为什么要从腾讯来到阿里,他认为,阿里有做真正安全产品的好土壤,能够把安全和业务深度融合,捍卫用户的价值。更为具体地来讲,那就是360手机卫士、腾讯手机管家等只是泛安全,只能解决一部分问题,解决不了深层次的问题。
对于如何成功打造阿里钱盾和聚安全这两款产品,陈树华称,这个归功于三方面:一个是,团队吃苦,有创造力;其次是阿里高管非常智慧,有足够的耐心,并且奉行“你比我懂这件事,那我就不插手”原则;最后一个则是跟阿里确定的战略有关——阿里巴巴只是这个团队产品的一个重要客户,而不是唯一客户,这激发了团队创业者心态,能为实现自己的梦想,而更加拼搏。
不过在笔者看来,产品的成功,跟陈树华在技术管理上独到的管理是分不开的。比如,不想引进太多牛人(并不是不招),更多想培养自己的明星;培养团队,让团队成员从事挑战性的事情,让他们能够始终走在行业前面;打造彪悍地团队文化——吃苦耐劳的精神、追求极致的产品观、认同感和执行能力。其中,彪悍的团队最为最重要,因为这是创新的基础,“任何一个创新,一定是创新者反复思考、不断锤炼,最后才能有创新。”陈树华如是说。
吸引到人才加入,这支阿里安全团队是不是有什么特别好的方法?陈树华说:“特别好的方法没有,其实吸引人才更多的是靠你要做的事情。薪水什么的,BAT等大公司都给得起,所以绝对不是吸引人才的主要原因。”对于安全从业人员来说,使命感和成就感是吸引人才非常重要的因素。
在这次采访中,陈树华重点强调了一件事——安全是业务。原因是,在一切高速互联发展的今天,整个业务形态都发生了大变化,安全已经从传统的安全向业务安全转变。如果始终抱着等长大了再做安全,那么很有可能等不到长大那一天。比如说某行业排名靠前的旅游产品APP,他们做活动从来不敢超过24小时,原因就是怕黑产来把红包全刷走。然而,如果它有了全面的安全策略,业务运营完全不需要做这样的妥协。
陈树华也就当下移动安全上的挑战发表了自己的看法。他认为,当下移动安全最难以解决的问题是:掌握在坏人手中的手机和IOT。现在的黑产几乎能定制所有环节,在这种情况下,要知道黑产在干坏事,还要能防住他,这是一个非常大的挑战。另外,移动安全面临的更大的挑战是IOT繁荣起来之后,一切更加不可控。比如智能设备那么多,都要去防,这对安全团队是多方面的挑战。
他还认为,培训机构的那群“小黑客”给安全行业带来了很多误解,让人认为,攻防是安全的全部,并且这群“小黑客”的情况,也很容易让人为安全行业没前途。但实际上安全更重要的是体系建设,而安全建设是一个比较难的过程。陈树华很看好安全的未来,因为安全已经成为业务,并且决定着很多公司能否走远,所以安全人员的路只会越走越宽。
最后,他还就去年支付宝取消手势解锁做出了解读,“安全产品最高境界就应该在无感知的情况下保护到用户,这是我们一直的追求。”他认为,这是一种安全和用户体验的平衡 ,只有自信的产品才敢这么做。
以下是本次采访正文:
在杭州阿里巴巴西溪园区的图书馆里,我见到了陈树华。和上次采访赵海平时不同,图书馆里出人意料的热闹,但在这个有点嘈杂的环境下,见到陈树华后我瞬间平静了下来,因为我知道面前这位看起来不起眼,但言谈举止很沉稳的人值得深挖。
陈树华是阿里巴巴移动安全部负责人,阿里聚安全、阿里钱盾等产品创始人,移动互联网安全体系建设开拓者,也是国内最早的一批移动安全专家。10年前,他加入趋势科技,发现了诸多系统安全漏洞,并主导了业界第一代Android平台自动化病毒分析系统、第一代Android沙箱系统、国内第一版Mac OS杀毒引擎等研发项目。2012年加入腾讯,任职腾讯T4级安全技术专家,建设并完善了手机管家的杀毒引擎、分析系统及漏洞处理机制。2014年加入阿里巴巴安全部负责组建移动安全团队,以行业内革命性的速度完成了面向个人和面向企业两个方向的移动安全产品体系搭建。
“这是行中(陈树华的花名)和移动安全部门第一次公开接受采访。”阿里的朋友事前这么介绍。之前听极少还担心陈树华不善于表达,但担心是多余的,采访进行的非常顺利,表达清晰、小幽默、平易近人以及技术人那种特有的书生气质,是我对这位阿里移动安全部门老大的印象。
“任何一个创新,一定是创新者反复思考、不断锤炼,最后才能有创新。”“内部培养三个明星,对团队的贡献,一定是远远大于引进一个明星。”“培训机构培养的小黑客,一定程度上误导了大家对安全的认识,以为安全只有攻防”“安全的最高境界是无感知。”……两个多小时的专访中,陈树华聊了个人发展历程、开发项目的往事、阿里移动安全部门、技术管理心得以及对当下移动安全现状的看法。
和《三体》作者刘慈欣同一个专业
陈树华毕业于东南大学电气工程系,这是和《三体》作者刘慈欣一样的专业,毕业之后,一般都会被分配到电厂、供电局或者国家电网这样的铁饭碗单位。原本应该在强电、配网领域发挥才能的陈树华,为什么最终会“跑”到计算机安全领域?在笔者看来,是兴趣、爱钻研以及他开明的父母使然。
高一下学期开始学Basic,这是陈树华第一次接触当时还被叫做“微机”的电脑,他觉得这东西很神奇——“太有意思了。”然而每次上机都要排队,过程太过于煎熬,他渴望有一台属于自己的电脑。而在那个寒假,陈树华便拥有了一台微机。这台微机是5000元,在当时(1994年)这样的价格可以买好几平方的房子,“但在我父亲眼中,这东西未来肯定会流行,并且会发挥重要作用。”陈树华透露。海阔凭鱼跃,天高任鸟飞,在那段时间,陈树华还写了一个小游戏,不过由于高考的原因,后来便没接触。但正是源于他父亲的先见之明,“计算机”开始在这位对世界充满求知欲的少年心中埋下了种子。
大学毕业之后,陈树华并没有选择去国网这种铁饭碗企业,而是选择去了中兴通讯?。在那里,他开始深度接触到Linux:先是通读Linux源代码,接着慢慢切入到整个Linux内核;由于对系统非常清楚,陈树华同时也开始尝试着将Linux运用到程控交换机上。
完全钻研系统底层,对于他人可能显得比较枯燥、也很艰难,但对这位爱钻研的年轻人而言,那是如鱼得水。当时的同事说:“经常看到陈树华抱着一本很厚的书慢慢看,像一些大型操作系统源码,都能看完。”
移动安全之路:每一步都能赶上 诺基亚对他开放源码
带着对系统底层的兴趣和执着,陈树华后来去了趋势科技,在那里他正式踏上移动安全之路。
移动端当时流行的操作系统是Windows CE和诺基亚的塞班,一开始很好做,但后来陈树华就头大了。因为移动端系统越来越多,光一个诺基亚就出来若干个操作系统,每出一个系统他都要通读一遍。
“而且这些都没有源码。”陈树华说,这是最具挑战性的地方,不仅需要将代码还原出来,而且每个月都要评估一个操作系统——能不能做?能做就要给安全解决方案。这种非常具有挑战性的工作,激发了陈树华的斗志,他全力以赴进行研究,而这也练就了他特殊的本领——看操作系统源码的时间,比谁都快。似乎正是这种本领,让趋势科技当时在国内独领风骚——第一个做Android安全、开发出第一代Android沙箱系统、第一个做Mac OS杀毒引擎。
尽管没有诺基亚塞班系统的源码,但后来陈树华也能凭着感觉,知道在哪深挖。虽然很吃力,但诺基亚每出一个系统,他们都能紧随其后推出安全解决方案。诺基亚看他们每次都能跟得上,于是签了保密协议,将源码“开放”给他们,趋势科技因此也成了为数不多能拿到近似完整代码的公司之一。
对于源码的开放,陈树华还特别解释了下,“最核心的代码,还是需要我们去诺基亚公司。他们会把我们关在一个屋子里,在那里只能读,不能做任何笔记,读完就回去。”
“这么多年,终于看到一个国内的兄弟了”
回顾主导开发业界第一代Android平台自动化病毒分析系统、第一代Android沙箱系统、国内第一版Mac OS杀毒引擎等研发项目时,陈树华还提到了一些有趣的细节。
开发Mac OS杀毒引擎时,由于苹果的系统不开源,因此进行一些研究就显得很困难。做Mac OS内核驱动时,国内没有人能问,甚至能看的书也不多,国外也不知道找谁请教,陈树华只好用自己的名字在苹果社区提问。突然有一天,苹果上的一个哥们高兴坏了,高兴的原因不是陈树华的问题给了他什么灵感,而是这么多年终于看到一个中国人,一个来自国内的兄弟。陈树华解释说:“在当时,国内苹果电脑还没流行起来,开发者很少,而且大多是在应用层上做开发。”
尽管那位高兴坏了的朋友,并没有解决陈树华的问题,但通过各种曲折、摸索,他们还是慢慢的把Mac OS杀毒引擎做了起来,成为国内第一个Mac OS杀毒软件。
Mac OS开发过程尽管很艰难,但对于这位国内最早一批的移动安全专家而言,最难的并不是Mac OS,而是iOS。“iOS比Mac OS还封闭。”陈树华指出,Mac OS的Mach和BSD体系还对外开放,但iOS就完全封闭,你只能一点一点地去做研究。
从腾讯到阿里,是因为这里有做真正安全的土壤
2012年,陈树华加入腾讯,在腾讯任职T4级别的安全技术专家,建设并完善了手机管家的杀毒引擎、分析系统和漏洞处理机制。
在腾讯的那两年,陈树华坦言,最大的收获来自产品思维和文化。陈树华之前一直在传统的IT企业,对互联网的玩法了解不多。但在腾讯,陈树华学会了如何做产品、如何经营用户、以及如何去挖掘需求……
对产品上的认知、用户的认识,这种和技术本身无关的东西,给陈树华带来的帮助甚大。在内功原本深厚的前提下, “招式”上的进步,将陈树华带到另外一个更高的境界,仿如打通任督二脉一般。
2014年,陈树华选择离开腾讯,来到阿里。对于为什么离开腾讯,他表示阿里有做真正安全产品的好土壤。
陈树华坦言,在腾讯的工作很愉快,“一个是手机管家用户量已经上来,另外一个是安全体系也基本建设好了。”他选择离开更多的是专业角度的考虑。腾讯擅长打造C端的用户产品,而阿里长于做平台和生态。陈树华认为,阿里存在着做真正安全体系的好土壤,能够把安全和业务深度融合,捍卫用户的价值。
一个人撑起所有,阿里移动安全的艰难起步
陈树华进入阿里的时间是2014年1月份,那个时候阿里移动安全团队一共就不到10个人。这些人是从各个部门抽调过来,其中只有两个人具有移动安全背景。
这对陈树华而言,是一个莫大的挑战。这种挑战和困难存在于两方面:一个是,人员缺口非常大,要想方设法招人,而且招来就要能做事;另外一个是他要在短时间内做出成果,因为大家的期望都很大。
为了解决人员上的挑战,陈树华每周都要到处飞。有一次赛门铁克裁员,“当时高兴坏了,兴冲冲地跑过去。”但结果不理想,没有找到合适的人才。“的确是裁员,但裁下来的优秀员工都直接给了去美国的机会。”现在说起这事,陈树华也觉得没抢到人才是个遗憾。笔者当天在图书馆洗手间都看到了阿里安全内部招聘的海报,他们招人的努力可见一斑。
一边招人,一边打磨产品。2014年的上半年,几乎每个月都会有人问“事情顺利吗?”,虽然明知道是关心,但也带来无形的压力。陈树华没有急着和大家说明进展,“你不可能只拿一个PPT和别人沟通思路,当务之急是拿出成型的产品。”
6月底的时候,阿里移动安全的三个项目:漏洞扫描、保镖、杀毒引擎对内发布,奠定了阿里移动安全的基本方向。
阿里钱盾和聚安全的成功得益于:团队、放手和创业心态
在这三个项目中,最让陈树华自豪的是杀毒引擎。因为正常的一款杀毒引擎没有两三年的积累很难出来,而他们的只用了不到半年就完成研发——创下了行业记录。对于杀毒引擎的能力,陈树华介绍说,“在2014年9月份AV-TEST国际测试中,我们拿了满分,跟360、安天持平。”陈树华还介绍,和其他安全厂商相比,阿里移动安全的杀毒引擎更加专注于电商和支付安全,比如发现和拦截针对支付宝、淘宝的各种风险,以及识别仿冒APP等。
后来,他们又在三个项目的基础上继续完善,在2014年10月底正式对外推出了面向企业用户的整合方案阿里聚安全,和面向个人用户的手机安全防护产品阿里业务钱盾。目前,阿里移动安全产品已经覆盖近4亿终端?。
这么短的时间就打造出两款成功的安全产品,主要是得益于哪些因素?
“第一个是团队,这群人非常能吃苦,有创造力,这是能够一炮打响的最核心因素。”陈树华首先肯定到;其次,是整个阿里的高管非常智慧,给了足够的耐心——我不懂,你比我懂,那我就不应该插手。“如果你不懂,但插手了,这件事可能真的会黄掉。”他说,“过程中间大家虽有不断的疑问,但没有人插手业务。”这在整个过程中贯彻的很好。
这也跟产品一开始确定的策略有关:在所有产品上,内部和外部都一致,服务好阿里巴巴的同时,也要服务好整个生态。把阿里巴巴当作一个重要客户而不是唯一的客户来服务,正是这种创业者心态激发了团队为了实现自己的梦想,而更加拼搏。
和陈树华共事多年的资深安全专家丁健生则认为,陈树华的人脉和领导组织能力是其中最关键的因素。“依靠他的人脉,移动安全部门在一年里就拉起一百多人能打‘硬仗’、有产出的队伍。他也很有领导力,该发狠的地方发狠,该放手的地方放手。做事给方向后,过程基本不干预,方向苗头、形势不对时,又会帮一下。”
技术团队管理上:不想引进太多牛人,更多想培养自己的明星
一个团队要想能征善战,做出成绩,除了需要领导做出正确决策之外,也需要优秀的团队成员配合和良好的内部氛围,那么陈树华在人员招聘、内部培养机制以及团队技术上是怎么做的?
“你要说好,我也不知道有多好。”在回答这个问题时,陈树华有点谦虚。但又很快给出他们的做法,“我们欢迎业界的牛人,但更希望培养自己的明星。如果能在内部培养出三个‘明星’,对团队的贡献一定是远远大于引进一个‘明星’。”
陈树华说,当然招“星”计划也一直在做,但更多地努力是通过各种途径培养“本土明星”。具体做法,一个是通过各个点进行磨炼,另外个是做背景知识的大量补充。
各个点进行磨炼,就是让团队成员在不同领域切入。“对于每个切入领域,我们又有要求——必须在那个行业里进入前三名。”他强调,这非常关键,“因为只有切入不同领域,才能保证我们每一个人都有巨大的成长机会。”另外一个,是通过各种沙龙、内部定期的技术分享、安全峰会等为团队补充养分。此外,陈树华也鼓励大家走出去,因为技术只有不断探讨才能进步,而且跟踪行业发展情况,也能反馈给整个团队。
“我们做的事很多都具有挑战性,走在行业前面。”陈树华认为,从某种程度上来说,这是最大的一个培养机制,“我们会把行业里非常多的方向放进来,只要你想去做,随时都可以做,并得到完全的支持。”
在团队技术文化上,陈树华提倡四点:吃苦耐劳的精神、追求极致的产品观、认同感和团队合作。
“没有谁一定比谁聪明,凭什么你能做出来,别人就做不出来?”因此,陈树华一开始就跟团队强调,“我们不拿出比别人更吃苦耐劳的精神,就无法赶上别人,赶上了也不可能领先太久。”所以他一直在打造彪悍的团队文化。
打造彪悍的团队有两点:极致的产品观和认同感。“这是从腾讯带过来的。对产品一定要精益求精,一件事不能做两遍,因为它是对时间最大的浪费。”陈树华对产品上这么要求。在认同感上,他延伸出两个要素:激情和执行能力。“如果对于要做的事不认可,或者说内心没有非常强烈的认可,你没有动力坚持。”
陈树华认为创新非常重要,而创新则需要认可和激情做基础:“任何一个创新,一定是创新者反复思考、不断锤炼,最后才能有创新。”阿里移动安全开始阶段,也是通过激情不断突破,他说。光有认同还不行,陈树华还强调执行能力,任何一件事,在规定的时间内必须要一次完成,这个没有任何妥协的地方。这位花名取自于易经,意为中间态、调和态做事的行中称:“定目标的时候你可以商量,但是定下来之后,没有任何商量余地。”
最后是团队精神,一定是团队作战,而不是个体。“在个人能力上你可能是明星,但是不依靠团队绝对成不了事清。任何一个好产品一定不是一个人做出来的。”
至于团队的新鲜血液补充上,他们看重三个要素:对行业的热爱、学习能力和正确的价值观。尤其是正确的价值观,因为今天的阿里安全人员掌握了公司命脉——所有的业务数据。陈树华称,“面试人的从业经验、背景等都不重要。学历也没有必然的关系,哪怕是高中生,只要上面三要素符合,我们也要。”
“那吸引人才加入,你们有什么特别好的方法?”
“特别好的方法没有,其实吸引人才更多的是靠你要做的事情。薪水什么的,BAT等大公司都给得起,所以绝对不是吸引人才的主要原因。”对于安全从业人员来说,使命感和成就感似乎是吸引人才非常重要的因素。
安全就是业务
对于很多企业来说,安全可有可无,但是对于阿里而言,集团的共识是:安全就是业务。
“阿里的业务需要安全贴身护航,”陈树华举例说明,“比如包裹险,这个保险没有进行风险防护之前亏损,但进行保护之后不再亏损,最重要的是,打击了靠炒空包裹赚钱的那群人。”
有些企业可能还觉得安全只是附属品,要先考虑业务生存才有资格考虑安全,但实际上现在如果不从一开始就把安全融入业务,很有可能直接影响生存。“你总以为安全的事儿等长大了再做也来得及,实际是没有安全体系,你很可能等不到长大那一天,”陈树华举了一个很有说服力的例子,“比如说某行业排名靠前的旅游产品APP,他们做活动从来不敢超过24小时,原因就是怕黑产来把红包全刷走。”如果它有了全面的安全策略,业务运营完全不需要做这样的妥协。”
在一切高速互联发展的今天,整个业务形态都发生了大变化,安全已经从传统的安全向业务安全转变。过去的安全——数据中心安全等仍然存在,但业务安全却到了非常重要的地位,“从个人认知角度来看,不论是市场规模,还是问题的严重性,都远远超过传统的企业安全。因为黑灰产的本质是逐利的,围绕业务下手的非法获利更大,所以挑战也更严峻。”
虽然安全如此必要,但对于一些公司,养一支专业齐全建制完备的安全团队的确有些奢侈。“阿里有全面的安全能力,而且我们的能力都是多年实战出来的。安全无法独善其身,需要全社会共同提高防范,所以我们通过易用的安全产品把这种能力分享出去。”陈树华道出为什么推出阿里聚安全的原因。
阿里聚安全是阿里安全所有能力的输出口,是我们通过多年互联网安全的经验积累。我们发现传统企业安全是以系统为中心的方案,通过保护企业的各类物理或者逻辑的系统,来保障企业的信息安全。但在互联网时代,企业安全的需求有了较大的改变,面对开放的边界,海量的账号,无法控制的外部终端,传统安全已经无法满足。
阿里聚安全是针对传统安全无法防护的互联网风险推出的一整套安全解决方案,包括以保护企业App为基础的移动安全服务,以实人认证为代表的下一代认证服务,针对违规星系的内容识别服务,以及互联网业务风险的检测与控制服务。它拥有一整套的安全流程规范,涵盖设计、开发、测试、发布、上线、运营等互联网业务的各个流程中,对于安全需求较小的互联网业务,可以直接使用成熟的产品;对于安全特别关注的企业,例如说金融行业,也提供了全程的安全咨询服务。
在设计阶段,阿里聚安全可以从App以及业务等多个纬度提供指导,例如整个通讯协议的选择、业务逻辑的关系等;到了代码开发阶段,会提供安全编码规范指导,成熟的各种安全控件以及各类业务安全的调用接口供开发者使用;在上线前,进行自动扫描或者人工审计,发现潜在的问题。上线后不是结束,而是一个开始,企业可以监控APP是否被恶意攻击、破解或者仿冒,可以监控垃圾注册、活动作弊、账号盗用等各类业务风险,可以监控用户提交的内容是否违规,也可以通过实人认证提升用户可信度。总之互联网业务中常见的各类问题,都能够在聚安全找到解决方案。
移动安全的机会不在小公司,而在腾讯、阿里这样的公司
在移动安全To B领域有很多公司,比如说爱加密、梆梆、同盾、通付盾…,大公司则有腾讯、360、百度。对于这些技术解决方案,陈树华有什么看法?
他认为,尽管有一些小公司也提供移动安全解决方案,但像聚安全这种主流的技术解决方案只此一家。不论是百度、360,还是腾讯,他们很大的一部分收入都是来自终端,移动安全发展滞后严重。腾讯也只是刚提出一个云安全概念;而360没有真正的移动互联网产业在手上,它暂时还看不清楚,所以360重点还是在企业内部安全。
陈树华很诚恳也很担忧地说:“行业里到现在没有更好的方案出来,这是可怕的一件事情。我们希望行业有成长,但就今天来看,移动业务已经远远超前于当下的安全,移动轻量化已经非常明显。”“这不是说有360手机卫士、腾讯手机管家,就能解决问题的,这只是泛安全。”陈树华觉得,这只能解决一部分问题,解决不了深层次的问题。
陈树华还指出移动安全一定是基于对业务的理解非常清楚的情况下,才能做出好产品。因此像传统的安全公司赛门铁克、趋势科技等无法进入这个产业,“连互联网化都没达到的一个公司,很难理解移动互联网业务。”
传统安全公司转型存在巨大难度,小公司实力又不足以承担这样的角色,“小公司估值会有10倍20倍成长,但是跟行业发展相比,速度太慢。”所以移动安全只能由腾讯、阿里这样的先行者把这件事承担起来。
移动安全上的挑战:掌握在坏人手中的手机、IOT繁荣是安全“灾难”
谈到当下移动安全最难以解决的问题,陈树华认为有两点:掌握在坏人手中的手机以及IOT。
有些手机不可控,特别是黑产手上的手机。“他们不仅仅是有几部手机,而是一排墙上全部挂满手机。不是一个人做事,而是一个团队,还形成了一个产业。他们甚至连硬件、Rom都可以定制,上面的App自己能篡改……”在黑灰产几乎能定制所有环节的现状下,陈树华表示:“要知道他在干坏事,还要能防住他,这是一个非常大的挑战。”
陈树华还忧心忡忡地说,移动安全面临的更大的挑战是IOT繁荣起来之后,一切更加不可控。“iWatch可以支付,但SmartWatch上那么多东西,那么多途径,都要去防,这对安全团队是个挑战。”这种挑战一个是知识储备,一个人能懂多少,不可能所有方面都很牛逼,总有一个瓶颈。另外一个是未来IOT那么多设备,究竟要成立多大的团队才能尽在掌握?“这是另外一个维度的挑战,我们的体系越来越庞大。”
那如何解决这些挑战?陈树华表示,他们的做法一个是提前在人员上补强,另外一个是能力和意识上进行加强,但这还远远不够。他称,“仅凭阿里显然不足以解决所有问题,我们只是一个安全能力输出,还需要所有安全人朝一个方向努力。”以一个无序的状态去做效果并不大,所以陈树华的团队也在做标准化的工作,“通过推动一些标准,建立起更规范的动作,让大家一起去朝好的方向努力,这样才有希望。”否则,很难解决当下的挑战。
中国安全行业现状:培训机构的那群“小黑客”坏了很多事
采访中,陈树华还提到一事——对去年移动安全挑战赛的结果比较失望。这是一个旨在让大家认识阿里的安全技术,同时也促进行业成长而举办的赛事。比赛除出了五道题,冠军参赛团队也只做出两道,
“为了能把奖发出去,我们放宽了要求,只要参赛队伍给出解题思路就算通过,在这种情况下,冠军也才做出了两题。”这让陈树华非常失望,黑灰产越来越猖獗,但移动安全行业的从业人员素质没成长。这位颇有危机感的移动安全行业领军人物认为,如果站在国家层面,我们国家的移动安全领域在今天仍然落后。
他也思考,认为主要是培养机制的问题。具体体现在,一个是高校里面,从事安全方向的教育者很少;第二个是,老一代的安全人员里,非计算机专业的人特别多,这说明培养机制是肯定存在问题。
另外,很多人对安全的认识存在很大误解,强调安全就是两个方面:进攻和防守。并且,社会化培养会选择从最容易的方面进行着手——就是进攻。陈树华谈到,外面的培训班,都在培养类似黑客这种性质的人,但这些人对于安全整个体系的搭建,帮助可能非常小。
“从当下来看,整个安全行业,绝对不是外面办几个培训班,就能把素质拉起来的。”培养攻防人才,能够帮助做渗透测试,有其存在价值,但不能以偏概全,以为这就是安全的全部。安全更重要的是体系建设,而安全建设是一个比较难的过程,需要时间沉淀。“培训班这种模式没办法培养建设者,培养了一批小黑客。”
而且这群“小黑客”也让所有人误认为安全就是破坏,“现在很多拿出来讲的都是破坏的事迹,而不是建设的例子。”大家经常看到很多人在走传奇人物路线——XX破了XX操作系统,就会有认识误区。另外,“小黑客”的可替代性太强,“我随便叫一个人过来,教两个小时,也可以去进攻,只是过程长短,能找到多少问题的事。”所以薪资很低,导致大家都形成一个错误的认知——安全行业没前途。
尽管社会上对安全有诸多误解的地方,但陈树华还是很看好安全的未来。原因是,安全已经成为业务,并且决定着很多公司能否走远,所以安全人员的路只会越走越宽。
谈支付宝取消手势解锁:安全的最高境界是无感知
去年7月份,支付宝做了一件比较有争议的事情——将手势解锁取消。当时很多网友批评这一做法,表示没有安全感。对于取消手势解锁,陈树华举双手赞成,因为这是一种安全和用户体验的平衡 ,只有自信的产品才敢这么做。
“我们比任何一个用户都担心安全,钱丢了是要赔偿的,做决策的背后一定是经过深思熟虑。”陈树华接着解释取消的原因,当安全水平已经达到一定高度时,去掉验证不会引起资损上升,这时手势解锁已经是一种累赘。通过取消多余的操作来提升用户体验,降低用户的打扰度。“安全产品最高境界就应该在无感知的情况下保护到用户,这是我们一直的追求。”他说
被问到2015年印象最深刻的安全事件时,陈树华提到了影响数亿用户的XcodeGhost事件。这是一个新的攻击方式,通过开发工具编译器本身感染应用,然后再去感染其他,对于手机安全威胁来说是一个全新的模式,意义重大。
XcodeGhost事件,从无人关注到民间爆炒,再到国家力量开始介入后,才有了警醒:今天的编译器是不是被人插入一段什么代码,无从知晓。这件事让国家的认知发生了一个巨大的变化,“用着别人的开发工具、操作系统,就没有资格谈国家安全。”陈树华说,这确确实实让国家产生了触动。
专注才能有好效率
这位平时偶尔也看《陈二狗的妖孽人生》、《二号首长》等网络小说的技术牛人,在工作效率上是否也有什么好的方法和我们分享?
陈树华称,做产品,极致才能出好产品,对于个人,专注力才能有好效率。回到今天,各种会议太多,真正有效解决问题的时间太短。这就要求一个人要对事情有深刻的认识和学会取舍,“如果自己的事情更重要,老板的会都可以不去。”但很多人就没有取舍,只要有会就参加,并且老板越大就越愿意。“他唯一的权衡是谁职位高,没有去权衡事情是该做,还是不该做。”陈树华强调,大家应更多从事情角度出发,而不是从人的角度出发,从人的角度出发,他认为不会有多少专注,效率也就不高。因此要想提高效率,要学会辨别事情和取舍。
结束语:期盼阿里移动安全部门能对行业有巨大贡献
在采访最后,笔者询问陈树华,移动安全部门从14年到今年1月份,差不多有两年,你有没有什么不满意的地方?他回答,有两个地方不满意,一个是部门发展速度慢了下来,另外一个是阿里移动安全部门还没能象阿里带动生态那样,对安全行业产生巨大的贡献。
这位话不多,但句句实在的阿里人非常诚恳地称,在阿里做安全有很多优势的地方——因为阿里对安全投入不设上限,只要是用户关心的,就是安全要做的。但今天整个行业安全形势非常严重,且愈演愈烈,阿里安全还没能发挥应用的作用和影响力,推动整个行业发展。 “这不仅对阿里很重要,在国家层面也很需要,但我们做得还远远不够。”
“那你们接下来怎么做?”
“三个点。一,服务好阿里巴巴;二,布局好IOT产业;三,一定要做到对行业有贡献。”对于第三点,这位外表平实、语速平稳的安全大牛又强调了下:“生态安全,我们会持续做下去。”
PS:陈树华已于2017年初离开阿里,进行创业。
作者介绍:自由撰稿人,
来源:百家号
原文链接
