法国著名社会心理学家古斯塔夫·勒庞曾写过一部社会心理学著作——《乌合之众:大众心理研究》分析的是人们在群聚状态下的心理、道德、行为特征。
东西方文化在这里趋于一致,即缺乏领袖的群体是一群“乌合之众”,而当群体领袖出现时这群“乌合之众”却又可以爆发出惊人的力量。
“上初中的时候,班里组织同学出去郊游。当所有人集合在一起的时候,整个集体却以关系远近而分成了几个小集体,于是,去哪里玩,怎么玩,成为一个问题。”
“面对着同学们一个又一个主意,班长大人一下没了主意,于是大家就这样僵持着。眼看着时间一点一点过去,黄乐忍不了了,跟班长出了个主意:统计出同学们最想去的几个地方,并以此形成相对应的游玩方案,然后让所有人投票选择,最终少数服从多数。很快,一个代表着所有人共同抉择出的方案就出现了,所有的小集体最终全部融入群体中。”
这是黄乐分享的一个小故事。即便他不在领导(班长)位置,在群体出现分歧时,总会冷静的带领大家一起完成群体的目标。在网络安全领域,这样一份自发的“领导力”尤为可贵。
作为央视网网络安全部副总监,黄乐拥有十年网络架构设计经验,五年安全体系建设及管理经验,提出了“重检测,轻防御”的安全架构设计理念,并通过“快速及格、逐步迭代”的思路快速落地了央视网安全播出管理平台。
同时,他还是清流派企业安全沙龙创始人之一,每月邀请各企业安全部门负责人从多个角度探讨企业安全建设及管理的思路和经验。
和大多数男孩一样,上大学之前的黄乐对于电脑有着极高的兴趣,班级里有关电脑技术的杂志、报纸成了他的最爱。那时候的他,对于“黑客”的想象基本和黑客帝国中展现的一样:神通广大,酷到爆炸。
由于家里没有电脑,黄乐只能和同学一起去网吧,那时候上网除了挂QQ,还能够最终靠网吧去做点“别的事情”,给他的网安之路打开了一扇窗。
2002年,黄乐考入沈阳化工大学,就读于电子信息工程专业。大多数学校因担心学生进入大学后放飞自我,往往不允许大一新生携带电脑,因此黄乐依旧只能去网吧,除了玩游戏以外,他们偶尔也将自己学到的一些“黑客理论知识”进行实践。
一次偶然的机会,黄乐发现大学的网吧和以前家乡的网吧有一个明显区别,那就是大学网吧竟然没有硬盘。
当然,现在大多数人都知道网吧使用的是无盘技术,所有的电脑通过光纤连接形成局域网,电脑启动时其实就是通过网吧网络服务器启动的。
然而,在当时的条件下,这样的一个问题难住了黄乐。于是,他开始研究计算机原理、主板运行原理以及磁盘工作原理等,寻找这样一些方面的书籍和资料做深入学习。
如果说上大学之前,对于“黑客”的想象给黄乐的网安之路打开了一扇窗,那么,“网吧无磁盘”这一问题则将网络安全大门向他敞开。
回忆起大学生活,黄乐当时最迷茫、最苦恼的是学校课程教的知识无法和实际应用相结合。最常见的情况是学生在学习、掌握了一大堆的原理、公式后,却不知道这些知识能够应用于哪些实际。
比如路由器在拓扑图中的logo都是圆形的,以至于很多人都以为路由器就是圆形的,然而当他们真正见识到路由器时,却发现完全不是那么回事。
只有学生真正接触到实际应用、了解实际应用后才能明白理论对于实践的指导作用。倘若在教授理论知识时就告知学生相关的实际应用,想必学生能够更好的掌握理论知识,能够更好的将理论和实际结合在一起。
一边上课学习专业课程,一边自学网络安全知识,偶然也将学习到的黑客技术实践实践,就这样,到了2006年。
这时候的黄乐即将毕业,摆在他面前的有两个选择:一是步入社会,寻找电子信息工程专业对口工作;二是脱产学习CCIE课程,考取CCIE证书。
和第一种选择相比较,第二种选择无疑压力更大。那时候的CCIE证书考试难度非常大,万一脱产学习后却未能拿到CCIE证书,那么将比同届人慢了一年,这一年不仅没收入,反而还有不小的开支。
思虑再三,黄乐掏出手机拨通了学长的电话,一个已经考取了CCIE证书的人,和学长深入聊了聊这件事情。
“相信你自己,一定能考过的”。学长的鼓励和支持给了黄乐坚持自己梦想的信心,最终决定暂时先不工作,脱产备考CCIE。
在CCIE课程培训班,黄乐第一次感受到浓厚的学习氛围,那是之前从没遇到过的沉浸式学习环境。在这样的环境下,黄乐保持着一种充实而又快乐的学习方式,学习效果不是一般的好。
没有任何的意外,2007年黄乐成功通过CCIE考试,拿到了CCIE证书(全球公认为IT业最权威的认证)。
为了能找着更好的工作,黄乐组织了一个CCIE证书圈子,一同研究企业的面试问题,并将自己的心得和群体共享,以便聚合所有人的力量让每一个人都获得成长。若是没有一定的领导力和凝聚力,这样松散的圈子想必很难维系。
2007年,黄乐顺利进入中电飞华,成为一名网络工程师。在这一份工作中,黄乐最大的收获就是明白一个职场道理:既要做事情也要有相应的策略。
有一次,黄乐参与国电建设机房的项目,需要一个比较特殊的空气开关怎么也买不到。为了不耽误项目的进度,他在北京城商品市场挨个找过去。就这样找了两天,终于买到了合适的空气开关,这才将空气开关给装上了。
在写工作汇报时,黄乐耿直的就写了一句话,“给某某机柜安装空气开关”。领导一看非常生气,为什么一个星期就干了这么一件事情,效率实在是太低,因此将他批评了一顿。
老同事了解这一情况后语重心长的和黄乐说到,“问题不是出在一星期只做了一件事情,而是没有把事情的前因后果讲清楚,老板也不是神,他也不了解这一个空气开关这么难买”。同事的建议让他深受启发,原来做事情也要有相应的策略。
网上有个段子。面试官问你毕业才一年,怎么有两年的工作经验?答曰加班加的。起初我以为这是个段子,但是没有想到黄乐竟然真的是这样的情况:一年做了三年的活,收获的也是三年的成长经验。
在中电飞华的一年时间里,黄乐担任三个项目的项目经理,工作密度非常大。恰逢2008年汶川地震和全国性雪灾,他一方面要推进三个项目,另一方面还要给国电的输电网络服务,其工作量可想而知。
一个项目交付后立马就要奔赴下一个项目,哪怕这一个项目还有优化的空间,哪怕黄乐打心底想要将项目做得更完美一些,但却没有那点时间让他给项目留下完美的结尾。
2008年,黄乐从中电飞华离职,原因主要在于他是一个完美主义者,想要把事情做到极致。奈何在乙方时间上却不允许他这么做,于是,他去了甲方——央视网,一直到现在。
进入央视网时,黄乐依旧是网络工程师,搭建了央视网基础网络环境,组织建设了国内外超过20个机房的网络建设,设计央视网整体网络架构。
在2012年之前,央视网尚未组建安全部门,而是由网络组的同事兼职,即网络运维兼安全。
随着网络技术的发展,网络安全的重要性逐步提升,企业网络安全新需求慢慢的出现,原有运维人员兼职的形式已经难以满足企业安全的需求,
那时候的安全远没有现在这么吃香,大多数同事都不太愿意调任安全岗位。黄乐恰好相反,在接触了安全相关工作后,愈发觉着搞安全是件有趣的事情。再加上他的个性本就喜欢啃难啃的骨头,喜欢迎接新的挑战,于是,他自告奋勇进入安全部门。
别看现在央视网网络安全建设慢慢的变成了行业首屈一指,但在2012年,网络安全建设基本空白,这也代表着黄乐将要从零开始做安全。
这一阶段属于企业网络安全初级阶段,当时最主要的产品是IDS和WAF,4层主要是防火墙和交换机ACL混合管理。
然而,上线了这些安全设备后,情况并没有想象的那么乐观。虽说没再次出现什么大问题,但是小的安全问题却是络绎不绝。
黄乐意识到仅仅依靠设备解决不了安全问题,仅仅是让企业变的相对安全。就像是原来敞开的大门,现在加上了一扇满是窟窿的木头门,难以抵御所有的网络攻击行为。
既然门上全是窟窿,那么首先要做的就是把窟窿堵上。黄乐选择的方向是合规,让企业先满足政策上的要求。
为了推进央视网网络安全满足合规,黄乐将等级保护,27000等有关政策、标准啃熟、啃透了,并形成网络安全制度并在全公司实行。很快,黄乐发现一个问题,制度无法落地,因为这份几百页的网络安全制度其他部门同事根本不会认真看完。
“标准和现实离的太远”,黄乐总结后得出这样的结论。为了让公司其他人了解安全、支持安全,他将制度中的精华挑选出来,浓缩成24条简洁明了、通俗易懂的规章制度。
这一举动赢得了领导和同事们赞赏,也降低了企业内部网络安全落地的阻力,让普通员工对于网络安全有了一个基本的认识。
黄乐另一个努力的方向是提升公司其他部门员工对于网络安全的认同感,网络安全最终是为其他部门服务,保障他们的安全,而不是一种对立的姿态。
为了加强网络安全意识教育,黄乐通过海报、视频、漫画等形式,在宣传网络安全的同时还有一定的趣味性,让其他同事一目了然了解网络安全的重要性。
搞安全的都知道,合规是企业安全的基础,但仅仅满足合规并不能抵御住黑客的攻击,尤其是有组织有预谋的网络攻击行为。
自2015年开始,央视网小规模内部渗透事件慢慢的变多,尤其是在欧洲杯、世界杯比赛期间,网络黑产攻击行为屡禁不止。在和黑产对抗的过程中,央视网网络安全部门的员工付出了无数的汗水和艰辛。
2016年欧洲杯黑产攻击就是这里面的标志性事件。黄乐事后复盘发现,黑客为这次攻击事件酝酿了许久,事前进行了详细、周密的准备。
如欧洲杯开始的两个月前,黑产就已经悄悄潜伏在系统中;黑产还获取了相应的情报,了解央视网的防御逻辑;甚至在节目开始前就已经准备了多条隐蔽通道......很明显,这是一群专业的黑产。
而付出了如此之多的黑产其核心收益就是推广他们的赌博网站,借用欧洲杯央视网庞大的流量来吸引不明真相的群众。这也是传统媒体最常见的网络攻击,即寄生虫似的蹭媒体的流量,以达到推广自身的目的。
回忆起这次攻击事件,黄乐坦言给自己留下了深刻的印象,虽然黑产行动没有造成多少影响,但他们情报的获得途径却成了一个谜。
“事实上,在网络安全防御体系建设中,很多因素都是不可控的。如服务商、软件商、开发商的人员流动和信息泄露是典型的不可控因素,因此我们的安全是在半透明的情况下进行防御的。”
“假设黑产已经掌握了相当多的信息,那么我们的网络安全应该怎么办?”欧洲杯事件过后,黄乐在心底问了自己一个问题。
为了解决这一问题,黄乐一方面选择强认证的登录方式。通过写死的白名单来限制不可信的人登录系统,这样即便是服务器的IP已经暴露也没问题,某些特定的程度上避免情报泄露,做好了在一定情报泄露的情况下推进安全工作的准备。
另一方面则是研发一套监测和应急响应执行系统。一旦系统遭受到高危害攻击,如篡改页面,系统监测到这一攻击后将会立刻发出警报,并一键切换至应急系统,以免公司遭受巨大损失。
如今,央视网已经自研开发了多套管理系统,如在威胁管理方面建设了态势感知系统;在脆弱性方面,开发了扫描器和漏洞管理平台;甚至还开发了资产管理系统,从IP、服务、URL等方面入手,提升公司整体防御能力。
在讨论到企业安全投入这一话题时,黄乐提出了一个很有意思的观点:在安全投入一定的情况下,企业是不是能够低成本高效率的解决一定的基础问题,即人们常说的“二八原则”,以20%的投入解决80%的问题。
打个比方来说,家里可能会有小偷,有的安装视频监控,有的安装人脸识别,这类方法确实有效,但却需要较多的资产金额的投入。其实只要在门上加装一把可靠性高的物理锁,同样能起到防小偷的作用,且资产金额的投入将会大大降低。
换句话说,投入低并不代表企业安全防御体系不好,而是要根据公司真实的情况,将有限的投入效果最大化,而不是一味追求高大上的安全产品。
除了央视网网络安全部副总监这一头衔,黄乐还是安全行业甲方闭门沙龙——“清流派企业安全沙龙”创始人之一。
联合更多的甲方安全从业者,分享自己的实际在做的工作心得和实际在做的工作问题,多方面探讨企业安全建设和管理,促进安全行业内部之间的交流,是黄乐创立清流派企业安全沙龙的初衷。
简而言之,清流派企业安全沙龙希望将更多的甲方企业安全负责人加入这一群体,并通过群体合作的力量促进每一个成员的成长。目前,清流派企业安全沙龙已经有30多家成员单位,固定每月举行线下沙龙活动。
采访之前,笔者以为黄乐是一个严肃且认真的人;采访过后,笔者更加确认了自己的感觉,在工作中他常常以高标准来要求下属,而以更高的标准来要求自己。但在生活中,朋友给他的评价却是风趣、幽默。
闲暇之余,黄乐喜欢写写文章,并且在2018年注册了一个公众号(企业安全工作实录)。黄乐表示,希望分享自己的从业经验和实践心得,并期待对刚刚进入或者即将进入安全行业的年轻人有所帮助。
笔者忽然想起,安在也有针对甲方的栏目,于是欣然邀请,黄乐亦欣然接受。想必过不了多久,就可以在安在看到他的大作了。