和大多数九十年代的大学生一样，林双奇在选择报考大学专业前对计算机并不怎么了解，只是觉得计算机或有可能成为国家重点发展的领域。直到进入大学后，真正接触到了计算机，才发现原来这么个小盒子竟有着如此大的魅力，其能包罗万象的同时还会不断激发人们的探索欲、求知欲，因此对计算机充满着好奇和期待，并对计算机技术有着绝对的专注和向往。

林双奇介绍说，在大学里的计算机大多是单机或本地局域网，若要连接互联网则需要通过拨号实现，所以最早接触到和“安全”相关的概念，是那几个单机病毒。“我自己也研究过，原理并不复杂。当初最直接的解决方式也就是用杀毒软件，但技术的发展变化是日新月异的，没几年就千变万化了。像之后到了公司里，才几年的时间，公司里已经是全天候的宽带上网了，那自然病毒的侵害，安全的防护，也就不再是过去单机或局域网时的概念了。”

大学毕业后，林双奇来到了一家国企担任IT工程师，由于当初的网络安全不像如今这样被重视，所以企业对“安全”、对“防护”几乎没有准备，以至于在工作了没多久后，企业的服务器就被不法者当做中转站到处投放垃圾邮件了。

“一些管理员的默认账号没有及时修改，导致邮件的服务器被他人当做了中转站。当时突然之间发现公司上网速度变得很慢，因为大量的流量把公司宽带占用了，所以访问速度变慢，上网出现卡顿。幸好发现及时，并关闭了账户，否则万一被不法分子利用做些不好的事，对公司的名誉、形象都会造成损害。”

除了企业的服务器被当做中转站外，公司网页也出现过被攻陷的情况。经历了这些事后，不单单是林双奇，公司从上至下也明白了网络安全的重要性，从此在安全概念、安全意识上有了天翻地覆的变化。

“安全规划的建设就是从那时起开始重视的。说得现实点，不经历这些事，公司上下可能还像大学时那样只侧重于防病毒，对所谓的网络攻击、网络威胁一窍不通，没有这些失败的经验，公司也很难在安全上有更多的投入，正因为有了这些经历，公司才明白，网络安全对于一家企业来说，是必不可少的层面。”

林双奇说，在国企工作的这十年里，也是中国网络安全萌芽发展的阶段，可以说林双奇本人、国企和中国都是在与时俱进。在公司发生的诸多安全事件，在中国的各行各业里也都或多或少存在同样的问题，每家公司、每个行业，都是在这个安全萌芽的阶段里不断经历、不断成长的，这算是一处非常重要的见证。

好在林双奇所在的国企算是国家关键基础设施领域，因此对网络安全的敏感度要高于其他行业，也就在安全发展的意识上要领先于他家。时代、经历意味着天时地利人和的齐全，网络安全分区的概念应运而生，传统IT仅仅只侧重于应用建设的观念得到了转变，网络安全需要被独立“对待”，需要有专员运营、专员维护，需要配备相应的工具、设施和体系，系统应用不再是唯一需要被关注的，网络安全也不再是辅助，而是需要被提到和系统应用一样的高度，需要公司上下每个部门都提高重视和警惕。企业不再只是“遇事后处理”，而是将网络安全当做了需要完善的体系、需要建设的机制，这是名副其实的进步，或甚至可以说，这是一种进化。

十年之后，林双奇来到了一家外企担任IT经理一职。到了外企后，让林双奇感触最深的，是国企和外企之间在网络安全意识方面有着不小的差距。

“不像当下，国家三令五申在重复网络安全的重要性，所以各行各业都开始重视起网络安全意识的培养。十几年之前，我所在的外企会对公司里每个岗位的员工都进行安全意识的培训，连清洁工也不例外，比如在面对‘捡到陌生U盘后该怎么办’这一问题时，公司会有详细的行为指导，告诉员工该怎么处置这些可能会引发数据泄露的安全事件，这就是管理上的不同。当然，现在我们的安全意识也在不断提升，体系也越来越完备了，这是极好的现象。”

除了安全管理、安全意识上的不同外，在安全设备的更新频率上，比如设备支持到期后，就会毅然而然将这些设备退役，不论其性能如何，但同样的情况下，有些企业可能会选择“再试试看”、“再用用看”，这样的行为有时会带来安全隐患。

林双奇所在的外企也特别注重信息安全标准体系的建设和持续优化。利用标准化工具提升信息安全管理成熟度，有效降低企业正在面临的业务中断、信息泄露、运行安全。“确实如此，比如ISO 27001，这标准很多人可能会认为没有必要这么繁琐，本来一句话就能交代的事非要详细的记录下来，在这种体系下工作，工作量就会大大的增加，很多时候还会让人感觉不被信任，已经做了的事还要记录下来证明自己做了。但这些对企业来说是非常必要的，因为严格的流程和记录可以使企业更好的运营，也可以在关键时候快速找出是哪里掉的链子，也能在流程中体现各种事件的成因和薄弱点。”

所以，标准的清晰是为了指导企业更好的运转，而只有企业上下都能按着标准尽心尽意地去落实，标准才能体现出它最大的价值，企业才能稳定发展。林双奇表示，随着自己的职位越来越高，随着自己渐渐深入到了管理层，这些认知才越发显示出其智慧来，才明白，原来这样的习惯，无论对自身而言还是对企业来说都是非常重要的措施。

在担任集团IT负责人后，林双奇不再只着重于具体的事情，而是更多会做出策略性的安排，比如确保体系有效的运转起来，比如将IT部门的形象传达出去。由于IT和OT在这家外企里都属于他的工作职责，所以在公司里所接触的部门、员工要比一般IT负责人接触得更多，因此如何与他人有效沟通便成了林双奇需要克服的关键点。

“作为管理层，几乎有一半的时间需要花在沟通上，这和过去‘只需完成自己的任务’完全不是一个概念，更多的是需要取得其他部门或管理层的理解，既要将自己部门的作用和价值解释清楚，也要理解其他部门的需要和目的，其中该如何平衡权益，该如何表达，则要看具体的尺度该怎么衡量。”

林双奇指出，沟通之前想清楚这三点很重要，“你的沟通对象是谁？”“你想表达什么问题？”“你想要达到怎样的成果？”沟通时，只有先衡量好了对象是谁，才知道用对方听得懂的语言来表达；只有想清楚需要表达什么问题，才知道自己待会儿沟通时重点放在哪儿；同样，只有想明白需要达到怎样的成果，沟通时才不会漫无目的、天马行空，而是会围绕彼此的需求做出相应的进退。

其中，林双奇觉得，“想清楚自己的沟通对象是谁”最为重要，因为对象可能没有IT技术背景，需要用对方听得懂得语言，在沟通前清楚对方的业务背景，或可使我们准备更充分，不至于在沟通时对方不理解我们要表达的内容。“对不同的人讲述同样的内容都需要不同的方式，所以务必考虑清楚，你的沟通对象是谁。”

对业内的一些建议里，林双奇表示，一旦发现系统存在漏洞，应尽可能快的给予修复，对企业来说，漏洞修复可以理解为是运营的一部分，不能因为漏洞在特定环境下被利用的可能性小而不为，或修复漏洞可能会影响信息系统的正常运转，而怕去承担这样的责任，从而忽略了修复的必要性，往往就是这样的疏忽会为企业带来无法想象的后果。这就像开始时提到的那样，技术固然重要，但运营一样决定着企业的未来。

“没有漏洞就不会存在网络安全风险。漏洞修复虽不是网络安全工作的全部，但它始终举足轻重，并和企业的网络安全风险成正比。”

另一方面，林双奇认为，数据安全将会是国内接下去关注的重点，从国家全方位的政策来看，各行各业都需要在数据应用方面做好完善的防范措施并持续改进，近年来几起重大的网络安全事件就是最好的警钟，希望诸多同僚都能提醒自己所在的企业，不要步他人的后尘。

最后，林双奇再三呼吁道：“安全始于您，安全需要每个人都参与其中！”他表示，不同岗位里，员工都得认清自己的角色，认清自己在安全上的作用，认清自己岗位需要承担的责任。所谓安全意识，就是在脑海中时刻具有安全的观念，即不在任何“可能危害到安全的行为”上掉以轻心。同时，希望每一位网络安全从业人员能多具备宣传意识，将安全的重要性传递给每个人。

用林双奇的话来说，能在这二十多年的时间里，不断看到我国在网络安全上和世界列强拉近差距，那所有的辛劳和付出都是值得的。而这，大概就是一位网络安全人所拥有的最纯粹的觉悟和初心吧。