裴伟伟,ISC2成员,CCF成员,IEEE成员,网安加社区专家团成员,国家网安基地网络安全行业专家,持有CISSP、PMP证书。曾在HITCON(台灣駭客年會)、信通院可信云大会、信通院开源产业大会等发表演讲,曾在FreeBuf、安全牛、阿里云栖社区、中国计算机协会通讯杂志、网安加社区等发表多篇文章,拥有多项软件安全发明专利。
具有软件开发、项目管理、产品设计背景,从事网络安全行业十余年;国内某安全实验室执行负责人,负责实验室产品开发、安全研究和安全运营工作,曾任某独角兽互联网金融企业安全负责人、某行业头部SaaS企业CIO(首席信息官),负责安全合规、IT审计、软件安全、基础安全、数据安全、安全运维和安全研发等工作,熟悉软件开发、研发管理、产品设计、SDL和DevSecOps。
访谈问题1:您为什么进入网络安全这一行业?
进入网络安全行业源于一个契机和一个思考,契机是在大学期间学习软件工程专业,因为从小对计算机的热情和长期缺乏计算机实操机会的遗憾,早早加入国内某安全社区,毕竟黑客是最精通计算机的一类人群,思考是在大学临近毕业,在实习工作中做软件开发工作,发现应用型的软件开发或代码编写并不具有太大价值,张三写的代码对于李四并不会有太高门槛,长远来看随着通讯和计算机技术的发展,代码和应用的种类和体量剧增,由此会带来海量的数据,那么未来的难点便会是两个方面,一方面是数据的存储、处理和分析,一方面则是数据的保护和保障,而后者恰恰是网络安全行业所关注的重心。
因此,在大学毕业后我先尝试在国内某大型软件公司从事数据支撑服务或商业智能分析相关的工作,但很快发觉数据分析和处理工作并没有自己想象的那般热血沸腾,于是便借由安全社区的关系进入了网络安全行业。
访谈问题2:为什么要获取CISSP认证?
我决定考CISSP证书已经是在工作10年之后,多年的安全工作经验让我自觉在网络安全领域已经涉猎颇广,包括安全管理、软件安全、网络安全、移动安全、云安全、安全测试等等,但终究需要一个机会将自己的经验、知识系统化构建和重塑,因此才决定要考取CISSP证书。结果也正如自己所料,从CISSP认证的准备到考试通过拿到证书,只用了不到6个月时间。
访谈问题3:CISSP认证对您的职业生涯有何帮助?
最直接的帮助便是能够顺利进入ISC2中国北京分会,在分会认识和结交了来自不同企业的同仁志士,其次是非常全面了涵盖了网络安全多个领域的知识,结合ISC2官方的视频教材以及教材中提及的参考资料,让自己在企业安全管理等方面有了更加科学和完整的认识,在多次的安全类方案撰写或安全工作的客户交流中,能够进一步基于知识体系的广度进一步深入某些专业和方向,从而在安全专业领域方面让工作的输出更加从容。
访谈问题4:您的日常工作是怎样的?
我日常的工作主要是面向不同类型客户的安全交流、不同类型人群的安全培训、不同安全技术工作的方案设计以及不同安全服务工作的整体指导和把关,同时也依然保持着技术文章的输出和对于新兴安全技术或安全漏洞的跟踪、分析和研究。
对于我目前的工作岗位,最大的价值是将网络安全的价值更好的让不同的客户和人群理解、接受和认可,让大家看到网络安全并非是可有可无或者食之无味、弃之可惜的投入,也并非是睁一只眼闭一只眼可以侥幸的工作。
访谈问题5:您能说说职业生涯最精彩的故事吗,或者回顾您的职业历程比较深刻的感受?
在之前的一家公司,从零开始构建了公司的整个安全体系,到最后,安全部门主要是对其他部门提供接口服务,覆盖了信息化、自动化和从内到外的安全(包括SDL体系、办公安全、移动安全、网络安全、云安全、业务安全)。彼时自以为在产品和服务方面充分考虑了员工的体验和安全的要求。
之后从事公司业务时候,陡然发现一些安全要求会对业务人员的障碍和影响着实令人费解和头疼。对于业务发展或拓展而言,信息安全从来不是考虑的重点,甚至不曾成为任何一次高层会议的焦点之一。就像中学时候每门课程的老师都会认为自己所教授的专业是高考的决胜点。而这恰恰是诸多安全人员所欠缺的,即便是大量阅读也无法习得,除非亲身经历。这也会造成可能许多企业安全工作的自嗨,因为无法从业务角度衡量安全的安全工作是没有意义的。
访谈问题6:加入ISC2北京分会是一个怎样的契机?对您有何积极影响?
加入ISC2北京分会是源自通过CISSP考试之后,由辅导老师介绍并加入的。
北京分会是一个非常积极和活跃的分会,常常有各类不同大咖的分享,我也常常能够通过这些分享和不同的专家进行线上交流,在很多新兴的技术方面都极大扩展了我的技术视野和行业视野。
访谈问题7:您闲暇时间有什么爱好?
最近一段时间的爱好是《黑神话.悟空》,包括它的故事情节、游戏设计、幕后设计、团队构建、研发过程等等。之前的时间里业余时间包括是看经管、科学和网络安全技术类的书,研究和制作电子DIY的小物件,比如Arduino、树莓派之类,以及给孩子复现和制作科学类的实验,比如DIY可乐、水火箭之类,其他就是看电影为主了。
访谈问题8:您对网络安全从业人员有何建议?
学会科学上网,学好英语是在国内长远从事这个行业的基础,在此基础之上,任何时候保持强烈的好奇心,保持对于新兴事物的热爱,保持对于动手实践的执着,有太多网络安全从业人员到了一定年纪便放弃了技术工作,这不得不说是一种遗憾,毕竟网络安全技术的更新迭代也是伴随着其他技术的更新迭代,而这恰恰是这个行业最有趣的地方。
访谈问题9:有没有推荐的书/读物?
对于已经从事安全管理、团队管理或对产品设计有兴趣的朋友,我推荐以下书籍:
《小而美:持续盈利的经营法则》
《创造:用非传统方式做有价值的事》
《中国经济增长的真实逻辑》
《重新定义团队:谷歌如何工作》
《卓有成效的管理者》
《硅谷蓝图》
《重新定义创新》
《原则》
《穷查理宝典:查理.芒格智慧箴言录》
《影响力》
《商业的本质》
《Google工作整理术》
《重新定义公司:谷歌事如何运营的》
《只有偏执狂才能生存》
《腾讯传》
《不拘一格:网飞的自由与责任工作法》
《奈飞文化手册》
《管理的实践》
《一胜九败:优衣库全球热卖的秘密》
《经营者养成笔记》
-----------------------------
关于协会:
ISC2成立于1989年,是全球知名的网络、信息、软件与基础设施安全认证会员制非盈利组织,是为信息安全专业人士职业生涯提供教育及认证服务的全球性机构,总部位于美国。ISC2以其一流的信息安全人才教育与培养计划,以及“权威标准”安全认证而享誉全球。ISC2在全球信息安全领域的公信力与美誉度无可比拟。
ISC2北京分会成立于2014年11月1日,专注信息安全,旨在建立北京及周边地区的一个安全技术交流的网络,促进分会会员之间的信息传递、经验交流、技术讨论和个人职业发展。
更多内容请关注ISC2北京分会公众号:ISC2BJ
(入会说明:关注ISC2北京分会公众号,获取入会申请表并填写提交)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...