云畅游戏张洪洋：在安全的道路上，脚踏实地，抬头看天 | TTSP安全智库专家访谈

这句话放在个人职业发展上也极为合适。是否有清晰的职业发展规划，以及是否能够坚定执行，对于个人未来的发展有着重要的作用。虽然不至于“不预则废”，但却可以让我们能够在更短的时间内，更快地实现自己的价值。

本次访谈的对象，云畅游戏安全总监张洪洋，就是这样一个善于规划自身职业发展道路的人。自踏入大学校园伊始，他就十分坚定看好网络安全行业未来的发展，而后出国深造，进一步从事安全方向的科研。多年的求学生涯给他打下了坚实的理论基础，也让其基本面变的更加广阔。

自美国硕士毕业后，张洪洋没有选择北美大多数计算机毕业生所从事的“码农”工作，而是依旧深耕于安全领域，加入了一个安全公司为甲方企业们提供SOC（安全运营中心）服务，这让他有机会接触各个行业的客户，各个体量的企业。

归国后，他也曾供职于贝壳、瓜子、奔驰等大型企业，负责过基础安全、渗透、安全运营、威胁情报等多个方向的工作，对于信息安全的理解更加全面且深刻；加入云畅游戏担任安全负责人后，也让他真正有机会从0到1建设企业安全体系。

近期，FreeBuf有幸邀请张洪洋进行专访，聊聊他在安全之路上经历的故事，也期望能给刚进入安全行业的从业者一些启发和思考。

Q：您当初是如何跨入安全领域的呢？为什么选择这个方向？

A：其实我从本科学的专业就是信息安全，也算是科班出身，这在十几年前的安全圈内还属于绝对的少数。包括大四在清华网络所做毕设的一年和在美国读硕期间，我选择的也都是网络安全方向的课题，也发表了相关论文。至于为什么选择这个方向，其实当初完全是出于对“黑客”光环的向往，觉得实在是太酷了，尤其是早年间听说了01年中美黑客大战的故事，很难不让人热血沸腾。

这里有一个小插曲就是，当时信息安全虽然是我最想学的方向，但是由于对自己高考分数的不自信，为了求稳只把它放在了第三志愿。但是阴差阳错，最终还真就录取到了第三志愿，北邮的信息安全专业，也算是机缘巧合得偿所愿了。我国第一个开设信息安全本科专业的学校是武汉大学，2001年就设立了。而北邮的信息安全是2003年创立的，算是第一批开设这个专业的学校，所以我们在校期间，也同时在帮助学校进一步完善本专业的培养计划，算是为后来的学弟学妹们留下一点帮助。

Q：那您觉得科班出身对您后来的职业发展是否有帮助呢？大学的信息安全专业都学些什么呢？

A：基本上大一大二很少有专业课，除了高数物理一类的基础学科就是计算机基础理论课程，比如计算机网络、操作系统、编程语言和数据库等等。但正是这些基础课程为以后学习信息安全专业课程打下了基础，所以千万不要小瞧这些基础课程，它们是你日后选择计算机各个方向的基础。

等到大三大四的时候，软件安全、密码学、网络安全等课程会让你对安全方向有一个初步的认识。还记得专业课上第一次接触到SQL注入后，回去拿高中网站练手，没想到用“万能密码”真的直接登录到了管理后台，那一刻的兴奋程度仿佛自己已经成了一名“黑客”，现在想想还是比较好笑的。

Q：您有什么想对学习信息安全专业的同学说的吗？非专业的同学呢？

A：对于科班出身的同学，我想说恭喜你选择了一个近几年非常热门的方向，尤其是在国家越来越重视这个行业的大背景下。在校期间好好打好理论基础，这样当你踏入职场的时候，你会发现你已经领先了其他想进入这个圈子的同学一大步。

至于非科班出身的同学，也不要过于遗憾，安全领域（其他领域其实也一样）始终是兴趣导向的。实际上，诸多已经成名的安全圈大佬都不是学安全出身，甚至不是计算机相关方向，有学数学的，学医的，甚至众多连大学都没上的……但是这不影响他们能为圈子内受人尊敬的前辈。好好利用课堂以外的时间，当你决定了方向，那就利用一切可利用的时间，一切可获取的资源，去学习去钻研。

Q：您在美国工作期间做的也是安全方向吗？与国内的职场环境有什么不同？

A：是的。当时毕业的时候面临两个选择，一个是像90%的计算机专业学生一样去硅谷纽约西雅图等热门城市找一份“码农”工作，高薪且机会多；另一个则是坚持自己的专业方向，去找一份安全工作，这在当时的大环境下毫无疑问是一个异类的选择。

可能也是性格使然，认准了的事情做就好了，我几乎没有任何迟疑地选择了hard模式——只找安全职位。过程是意料之中的不易，好在结果还不错。在结束两个月毕马威安全咨询的暑期实习后，我加入了一家安全软件公司，做配套的SOC分析服务，为众多没有专门安全团队的中小型企业提供安全监控与应急响应的工作，这让我有机会接触到各行各业的客户。那时，美国的很多企业，特别是中小型企业对于安全的投入远没有现在这么多。他们没有自己的安全团队，甚至是专业的IT人员都比较少，自然也就没有多少安全理念和意识。

印象中，我们要花大量的时间为客户做安全知识的普及，将专业的安全技术转化成小白也可以听懂的通俗话语，并指导他们处理安全事件等。那几年的工作经历不仅提升了我安全方面的技能，更是锻炼了我的英文沟通能力，作为公司中为数不多的华人，连老外同事都以为我是ABC（American Born Chinese）。

至于职场环境，除了大家都比较关心的WLB（Work Life Balance），例如每年20+天的带薪假期、按小时付加班费以外，各个公司的安全岗位是有一些相似的奇奇怪怪文化的。比较有趣的一点是，大多数公司的SOC团队办公区域都是一片乌漆麻黑不开灯，还有随处可见的nurf gun，以及那些只有安全从业者才能理解的bad joke。

而每年在拉斯维加斯举行的安全盛会——Black Hat和DEFCON，更是这群安全从业人士盛大的聚会，毕竟公司出钱让你去Vegas诶，why not？？？ 当时第一次去参加DEFCON的时候，有种刘姥姥进了大观园般地开了眼界，看什么都是新奇的，甚至见到了传说中的黑客——凯文·米特尼克。

每年国内安全圈的诸多大佬也会在这个时候齐聚拉斯维加斯，算是与世界同行的一个交流。分享一个趣事，在出行前，一个同事特意把自己的智能手机换成了原始诺基亚，我当时还不明所以。等到了会场我才发现了缘由，原来现场立了一个大牌子“Black Sheep Wall”（玩过星际的朋友是不是有点熟悉），把所有现场被黑掉的智能设备拥有者名字打在上面，这就是个耻辱柱啊！总之，北美的安全圈子还是由一群非常有趣且理想主义的人组成的，在这一点上整体氛围非常不错。

Q：那这段在美国工作的经历对您回国后有什么影响吗？或者说在回国后有什么不适应的地方？

A：人在经历环境改变的时候都会有一个适应的过程，从为人处事和大家的行事风格，但我不觉得有什么是难以克服和改变的。人不可能让环境为你而改变，只有你去适应环境，但是坚持自己行事的准则还是需要做到的。如果说海外的工作经历对我有什么影响，那就是经过谨慎的思考，我决定把自己的角色定位在甲方安全建设者的角度。

请注意，我会在每个阶段有非常认真严肃的思考，这是非常有必要且有益于个人职业生涯发展的。在回国的这个阶段，我思考的是作为乙方服务提供者，很多时候并不清楚甲方所处的实际环境，导致无法按照最理想的技术方案执行。如果真的想为企业构建安全体系，一定要因地制宜，选择最适合其业务场景的方案，同时还要兼顾性价比与企业文化。

Q：能介绍了一下您回国之后的经历吗？我看您也呆过大大小小的几家公司，时间也有长有短，每次都是出于什么考虑决定跳槽呢？

A：回国之后，我确定了做甲方安全的方向，之后就是选择公司了。最开始的时候我其实有意识地避开了各个大厂，只考虑安全团队少于10个人的公司，因为当一个安全团队人数有限的时候，每个人需要承担的责任就相应较多。我对自身的最终定位是一个技术管理者，所以职业生涯的每一步选择都是以这个目标为导向而做出的。

我自认为并非一个可以十分深入钻研技术成为某一领域技术专家的人，而我的性格与在国外工作培养出的沟通能力让我决定成为一个注重广度而非深度的角色定位。所以，大家一定要对自身有清晰的认知，去选择最匹配自己能力的方向。最终我选择了贝壳（彼时的名字还是链家网），负责应急响应和安全运营，也与我在美国的工作内容相契合。在这里我体会到了安全与运维之间微妙的关系，也体会到了领导的水平决定了个人发展上限这句话的含义。所以当一个人遇到瓶颈且无法改变外部环境的时候，是时候换一个环境了。

而之后在瓜子的经历让我认识到了，安全是一个大而全的方向，除了运维研发，你还会和法务廉政HR财务公司上上下下各个部门打交道，甚至有一次我坐着警车去配合公安同志去某个内鬼员工家里搜查证据……当然我也要感谢在瓜子的领导，那是我目前为止遇到过最棒的leader了，他不仅技术专业，也熟稔安全圈子各种套路，堪称业界老兵。

至于从瓜子到奔驰，同样是经过深思熟虑的。当一个你认为是很长一段时间内不会再出现在你面前的机遇摆在你面前的时候，你需要毫不犹豫地抓住它，就像这次找上门来的百年车企，与后来同样是主动接触的红杉资本（然而最终经过思考决定放弃）。

从高级安全工程师到安全专家再到安全负责人，每一次跳槽薪酬从来都不是我考虑的第一因素，而是要去看新的职位是否能够支撑我达到我最终的目标，在新的环境我能得到什么。所以，在安全的道路上，既要脚踏实地，也要抬头看天。每一步走得稳健的同时，也要保证朝着正确的方向前进。当然，这里正确的含义是相对而言因人而异的，适合你的就是正确的。

Q：您加入云畅游戏之后是如何做安全的呢？看样子已经达到了您成为技术管理者的目标？

A：这里我就不展开聊技术方案了，之前已经有很多大佬分享了许多建设思路，清晰并且可落地，我就说说一些个人感受吧。作为云畅安全团队的第一人，我经历了半年大家常提到的“一个人的安全部”。我经常听到同行们抱怨一个人的安全部不好干，不出事情体现不出价值，出了事情就是背锅的，这是一个著名的安全行业悖论。

就我个人而言，我倒不会有这种感觉。首先做安全是一个Top-down的事情，只有最高管理层认可安全的价值，你的工作才方便开展，不用每天担心如何向上汇报去凸显自己的价值；而要把安全做好则是一个Bottom-up的事情，自下而上形成技术方案才是最贴合实际契合业务场景的，否则安全团队很容易搞成一言堂。

很幸运的是，我目前所在公司的老板是一个非常重视安全的人。当然还有一个原因，游戏公司的业务是离钱非常近的，不像互联网公司发生安全事件可能更多的是对声誉造成影响，或者个人数据泄漏无法对营收造成直接影响；而游戏一旦被开了私服，相当于直接切走了你的用户，瓜分了本该属于你的营收，经济损失是巨大且直接的。所以，当安全团队有了话语权，工作推进起来就会顺利许多，这也是安全从业者普遍看重的一点。

还有一个比较重要的一点就是，一切从业务出发，脱离了业务场景的安全建设是站不住脚的，大多都是伪需求。不同类型企业的业务场景是不同的，甚至同一类型的企业在业务场景细节上依旧是有区别的。

拿游戏公司举例，有的公司做的游戏是轻客户端重服务端的，有的恰好相反；有的公司注重代码的保护，有的公司却更重视用户数据。挖掘和业务最贴合的场景需求，并根据该场景需求进行延伸，是一个安全负责人所要具有的大局观。围绕核心资产进行安全建设，从服务器安全，到网络架构隔离，再到所有可以接触到这些核心资产的员工开展终端安全建设，方方面面都需要妥善纳入安全体系建设之中，并一一进行梳理和优化。

采访中，张洪洋不止一次强调，“工作之外的时间决定了一个人未来的价值”。在多年的网络安全工作生涯中，他一直在践行着这句话。

Q：您在工作以外是如何提高自己的呢？在这方面您对初入职场的同学有什么建议？

A：这里可能要提到一个大家都感兴趣的话题了——考证。我经常在群里看到大家就要不要考证，考什么证展开热烈讨论，而且每次讨论积极性都非常高。我自己也是考了不少证书，而且不少都是在国外考的。

不过我对于考证的态度是，并非要通过什么证书证明自己有怎样的能力，而是通过考证这件事逐渐建立自己的知识体系，以此来达到学习的目的。考证不是目的，它只是一种帮助你提高的手段。所以想要往哪个方向发展，可以通过考这个方向的专业认证来深入学习：比如想做审计可以考CISA、CISM；想做攻防可以考OSCP、OSCE；想做管理可以考CISSP等等。并且我希望大家尽量通过自学来准备考试，系统性地去拓宽自己的知识储备，而不仅仅以拿证为目的去上培训班刷题。

个人认为，工作并不仅仅是为了那份工资，而是要在工作中不断成长，这一点在三五年后将会变的尤为关键。那时，很多人已经成为职场老油条，可以很轻松地完成上级交代的任务，于是剩下的时间就被用来摸鱼，或者是沉迷一些即时满足的娱乐活动。

殊不知，鱼摸久了人会越来越安逸，而这些工作之余的时间也将成为一道分水岭，原本差距不大的两人，三五年后将会出现明显差异：有人还在原地，有人已经登上新的高峰。所以我在招聘的过程中极其看重候选人的一点就是，是否愿意在工作之外花时间提升自己。

无论从事哪个行业，我们需要找到自己的知识增量，走出个人舒适圈，多去接触一些以前自己陌生的方向，不断增加自身的价值。如果一直困在舒适圈里，不了解也不接触那些不擅长的事情，那么个人的价值将会随着时间的拉长而增长缓慢，甚至会慢慢降低，非常不利于个人职业发展。所以我也会要求我的团队，在完成手头工作之余多去开拓新的领域，即使和专业方向不那么相关，比如英文沟通能力、公众演讲能力。无法为其团队成员提升个人价值的leader，不是一个合格的leader。

Q：现在大家都在提35岁天花板，您会有这样的焦虑吗？

A：从来没有过。首先从客观来讲，放眼全世界，30-40岁应该是一个IT从业者最黄金的年龄，同时拥有新技术的接纳能力和足够的经验去落地。在美国工作的时候，还曾经有一位满头白发60+岁的老大爷跟我一起入职从基础岗位做起，一步一步向上走，当然这也是大环境所决定的。

另外就是自从国家2016年颁布《网络安全法》以来，各类法规都逐渐完善，安全行业进入了一个从所未有过的蓬勃发展阶段，行业整体规模也在迅速提高。由此带来的就是巨大的人才缺口，但我们也要注意到，目前缺口大多集中在拥有3-5年行业经验的高级工程师职位，这个时候企业需要的是即战力。这就要求我们去思考，在这个职业生涯的黄金期我们该做些什么来保持竞争力，延长我们的职业生命周期。在这一点上我本人也在摸索着，希望能够走出一条清晰的道路。

最后，希望大家在安全的职业生涯道路上多思考多探索。我始终坚信，这是安全从业者最好的时代，愿与诸君共勉，共同成长。