人物 | 徐俊超：十年东吴经验，愿诸位共勉

大学毕业后，徐俊超直招进入了某通信部队，四年多的军旅生涯，不仅铸就了他坚韧不拔的意志，更让他初次探索了网络安全的奥秘。正如国内众多安全专家所言，现代网络安全起源于最初战场上的通信安全，作为通信战线的守护者，徐俊超深知自己肩负的责任重大，每一次的信息传递都直接关系到指挥体系的顺畅与稳定。

“至于难忘的经历……在部队的日常工作中，我们时常面临各种网络安全的挑战，如情报刺探电话的应对等。通过实战演练与专业培训，我们掌握了有效的话术与反制措施，确保了信息的绝对安全。这段经历让我深刻理解到‘保密’不仅是职业要求，更是每位通信战士必须坚守的底线和信仰。”

从部队生活的点滴到探亲时的严守纪律，保密原则如同烙印般深刻于徐俊超的心中，为他日后在网络安全领域的深耕细作奠定了坚实的基础，提供了宝贵的实践经验与思维方式。

2014年，徐俊超入职东吴证券，这一去便是十年春秋。

在刚入职时，徐俊超担任网络通信岗，其日常工作交织成一幅复杂而全面的IT管理图景。这包括但不限于网络架构的精心设计、日常运维的细致执行、基础网络设施的稳固搭建，以及各类技术方案的严谨测试，每一项任务都要求他亲力亲为，全程把控。

尤为值得一提的是，徐俊超在运维领域的深刻体验。他深知，作为一线运维人员，肩上承载着确保业务连续性稳定的重责。特别是在证券行业，网络安全系统作为IT架构的基石，其稳定性直接关乎业务能否顺畅运行。因此，开盘及收盘前后的高压力时段成为了他工作的重点关注期。

在未实现网络自动化运维之前，徐俊超及其团队不得不依靠人工巡检这一传统手段，紧盯各项系统设备的性能指标，确保其维持在预设的安全阈值内。这一过程中，他不仅需要具备高度的专注力与敏锐的判断力，还要忍受着机械重复工作带来的枯燥与疲惫。每日，他穿梭于各类设备之间，进行着一轮又一轮的细致检查，而这样的循环往复，几乎占用了其工作日的大部分时间，凸显了传统运维模式下的人力密集型与高成本难题。这段经历，无疑是对他专业能力与职业精神的双重考验。

在一段时间的思考后，徐俊超深刻认识到在网络运维中引入自动化与智能化技术的重要性。他首先强调了自动化网络监控管理平台的建设对于提升运维效率与响应速度的关键作用。紧接着，他提出了动态预警机制的核心价值，即通过对设备性能的持续监控与历史数据对比，实现网络安全事件的早期预测与预防。

谈及AI技术的应用，徐俊超表示AI不仅在日常办公如文档管理、报告撰写及代码开发等方面带来了显著便利，更在推动金融服务向更高效、安全、个性化的方向发展上展现出巨大潜力。东吴证券已自主研发并成功部署了AI大模型，此举不仅标志着其技术实力的领先，也体现了对AI技术在金融领域深度应用的积极探索。未来，“AI+安全”将成为安全团队重点研究方向，依托自研大模型，在威胁检测、漏洞挖掘、指挥研判等关键场景实现技术突破，形成实战中的良性循环，不断提升安全防护能力。

然而，徐俊超也指出了当前安全大模型市场面临的挑战。尽管各安全厂商纷纷推出自家的大模型产品，但市场反应仍显谨慎。一方面，大模型虽具备广泛的适用性，但在网络安全这一高度专业且复杂的领域内，仍需深度专业知识支撑，以确保其有效性与准确性。另一方面，SaaS化的服务模式虽便捷，但数据隐私与安全问题不容忽视，尤其是涉及敏感信息的上传与云端处理，可能带来新的风险隐患。相比之下，本地部署虽能更好地保护数据安全，却需承担高昂的算力成本，这对多数企业而言是一大挑战。因此，如何在保障数据安全与提升服务效能之间找到最佳平衡点，将是未来AI大模型在网络安全领域推广应用的关键所在。

2017年，伴随着国家对网络安全重视程度的显著提升以及监管政策的日益收紧，东吴证券组建了独立的网络安全团队。对于徐俊超而言，这不仅是对儿时黑客梦想的追寻，更是对未知领域挑战的无畏拥抱。在公司网络安全体系亟待系统构建的初期，他毅然投身于这一新兴团队，肩负起守护公司网络安全的重任。

网络安全领域之深广，要求从业者掌握的知识体系极为庞大，涵盖了计算机与网络基础、安全技术理论、安全管理体系、法律法规框架，以及应急响应与灾难恢复策略等多个维度。徐俊超深知，在这个日新月异的行业中，持续提升个人及团队的综合素质与知识覆盖面，是适应未来挑战的关键。

起初，安全团队仅由三位成员组成，资源有限，设备稀缺。然而，通过数年不懈的努力与持续建设，团队规模逐步壮大，配置日益完善。东吴证券构建了涵盖四道防线的纵深防御体系，有效增强了网络安全防护能力。在此过程中，徐俊超也从一线技术人员成长为团队管理者，见证了团队从无到有的蜕变历程。

谈及这一过程中的重重挑战，徐俊超可谓百感交集，有太多的不容易无法一一尽述，而其中最大的难点在于业务与安全的平衡问题。“传统串联式安全设备部署模式存在风险隐患，一旦设备发生问题，可能引发业务中断，风险不可小觑。” 为此，徐俊超带领团队历经数年探索，最终确定了旁路化架构作为解决之道。

2021年，徐俊超引入自动化流量编排技术，对安全设备进行旁路化改造，并通过解耦合架构实现资源池化。这一创新举措不仅确保了单台设备故障时的自动化绕行，最大限度降低了对业务连续性的影响，还通过弹性扩容机制有效应对了性能瓶颈问题。此举不仅避免了高昂的替换成本，还实现了设备的最大化利用，显著提升了投资回报率（ROI），为东吴证券的网络安全建设树立了新的里程碑。

对于企业该如何从零到一建设安全体系，徐俊超认为，其核心策略在于“精确界定边界，并清晰确立需保卫的核心资产范畴”。 这一理念根植于一个基本事实：传统网络安全防护的终极目标是捍卫企业的核心价值载体——即核心数据资产。他形象地比喻道：“核心资产犹如安全版图中的中心点，而安全团队的任务则是围绕此点精心布局，绘制一道防护圈。此圈的形态与规模，则直接关联于企业的资源投入与所处环境，是动态调整、精准适配的过程。”

针对金融行业这一特定领域，徐俊超进一步强调，“数据保护”是安全建设的基石，尤其是客户敏感信息、交易记录等关键数据的安全，更是不可动摇的底线。他揭示了金融行业内频繁发生的社工钓鱼诈骗现象，此类欺诈手段往往利用伪装、诱骗等复杂策略，如违法分子冒充证券公司员工，构建虚假社群，逐步诱使受害者步入陷阱。

为有效应对此类威胁，徐俊超以东吴证券为例，展示了金融行业在提升安全防护水平上的实践。东吴证券采取了多维度、前瞻性的技术防御措施，包括云端的全面监测，及时发现并清除假冒的APP、社交媒体账号及网站等潜在威胁源。同时，注重公众教育与沟通，通过官方渠道发布警示信息，增强投资者的风险识别与防范能力，构建起一道由技术到意识的全面防护网。

谈及团队文化，徐俊超介绍：“我们安全团队的核心精神是‘积极向上，学无止境’。”这一理念体现在日常例会的精心组织上，会上，每位成员都积极建言献策，围绕日常挑战与难题展开热烈讨论。

“例会不仅聚焦于日常的变更，深入剖析潜在风险点，确保万无一失；还致力于吸收外界新知，系统梳理并学习各类规章制度、行业标准和最佳实践指南，为团队注入理论活力。同时，应急预案的完善与安全技术的深度分析亦是讨论热点，促使我们在理论探索与实战操作间架起桥梁，加速团队能力的全面提升与持续进步。”

在探讨近年来备受瞩目的网络安全攻防演练时，笔者问道：“徐老师，您觉得现今攻防演练中攻击队的攻击焦点主要在哪些方面？”徐俊超回答道，随着各组织机构安全防御体系的不断完善与加固，其防护壁垒愈发坚固，从正面突破也变得愈发困难。当前，攻防演练中的攻击队伍往往聚焦于三大方面：社工钓鱼攻击、供应链攻击和零日攻击。

对于社工钓鱼，徐俊超表示，作为一种近乎零成本的攻击手段，其威胁伴随着组织人员规模的不断扩大而日益严峻，而以人为目标的攻击活动不仅持续存在，且攻击难度逐渐降低。“过去公司的安全培训是每年两次，但后来发现这是远远不够的，针对人员安全意识的教育培训需要大量的时间成本，而且模式不能单一，需要融合多样化的培训手段与激励机制。比如我们会举办安全知识有奖答题活动，同时紧密结合网络安全宣传周等活动，形成内外联动的教育氛围，以吸引并激发全员参与安全学习的热情。另外，我们也正在实施分层分类的差异化培训策略，即针对不同岗位角色（如普通员工、涉密岗位人员、运维技术人员、高管等）设计定制化培训方案。通过精准对接各岗位的安全需求与风险点，设计更具针对性的培训内容，旨在显著提升培训的实效性与员工的安全防范能力。此举将有效增强公司的整体网络安全韧性，为应对日益复杂多变的社工钓鱼攻击构筑坚实防线。”

除此之外，东吴证券近年来陆续开展了社工钓鱼演练，并将演练结果梳理总结，向公司领导汇报。用徐俊超的话来说就是：“自《党委（党组）网络安全工作责任制实施办法》实施以来，促使各企业高层管理人员将网络安全提升至公司治理的核心议程，给予了前所未有的重视。这一变革不仅重塑了企业的安全文化，也为安全人员创造了一个更为有利的工作环境和发展契机，推动了专业技能与战略视野的深度融合与提升。”

在供应链安全的问题上，徐俊超指出，当前面临的主要挑战在于开源治理的复杂性与广泛性，这涵盖了多样化的开源组件和广泛的生态系统影响，使得对供应链的有效管理变得尤为艰巨。“就目前来看，针对供应链攻击，可以采取一些应对措施：首先，加强供应链透明度，对供应商进行全面尽职调查；其次，实施严格的安全标准与流程，确保所有环节符合安全要求；再者，建立快速响应机制，一旦发现潜在威胁立即隔离并处理；同时，加强员工培训，提升全员安全意识与应对能力；最后，与行业内伙伴及监管机构合作，共享情报与最佳实践，共同构建安全的供应链生态。通过这些措施，企业能够有效降低供应链攻击的风险与影响。”

而说到零日攻击，徐俊超则表示，目前并没有特别好的办法，还是建议做好重要补丁更新和漏洞修复，加强实施监控和主动防护，及时发现和阻挡一部分攻击行为，并建立完善的应急响应机制，以便在遭受攻击时能够迅速应对。

在当前阶段，数据安全治理同样面临着难以全面实现理想状态的挑战。徐俊超指出，东吴证券在数据安全领域正稳步推进。然而，当谈及构建一个全面、系统化的数据安全治理体系并成功落地实施时，他坦言，目前市场上鲜有企业能够展示出堪称典范的最佳实践案例。这凸显了数据安全治理的高度专业性与复杂性，以及在该领域持续探索与创新的重要性。

“其根本问题在于‘数据流动与价值实现的矛盾’，以及由此带来的安全防护挑战。数据只有在不断流通与利用中才能充分释放其价值，但这同时也增加了数据在不同阶段暴露于风险中的可能性。由于数据在其生命周期的各个阶段属性各异，如从高敏感度到脱敏后的普通数据，安全防护措施必须能够灵活适应这些变化，实现精细化的分类分级保护。这不仅要求技术上的高度灵活性与智能化，还需要在策略制定上具备前瞻性和动态调整能力，这无疑是数据安全治理中的一大难点。”

其次，数据安全还存在“多头治理”的问题，这也反映了数据安全治理中角色多样性与协作复杂性的挑战。业务部门、安全部门及大数据部门等各方在数据安全治理中均扮演关键角色，但各自的关注点、利益及视角可能不同，这增加了在数据安全属性界定、规则制定等方面达成一致的难度。高昂的协调成本与规则统一难度，往往促使企业采取“一刀切”的简化策略，即在治理初期就力求各方妥协，形成一套贯穿数据全生命周期的通用规则。然而，这种做法可能牺牲了部分灵活性和针对性，难以完全满足数据在不同阶段、不同场景下的安全需求。

面对当前市场经济下行的环境，徐俊超对企业内部安全部门的工作现状表达了深刻的感慨。他指出，作为不直接贡献经济效益的团队，安全部门在这样的背景下更需展现出其独特的韧性与战略眼光。

“安全部门应当主动调整工作思路，将当前的挑战视为一个宝贵的机遇期。首要任务是‘稳中求进，厚积薄发’，即放缓盲目扩张或激进创新的步伐，转而聚焦于内部基础工作的夯实与提升。这包括但不限于加强安全技术的应用与储备、完善安全管理制度与流程、提升团队成员的专业技能与应急响应能力等方面。通过这一系列的基础建设，安全部门能够构建起更加坚固的安全防线，为企业的长远发展奠定坚实的安全基石。同时，安全部门还需保持敏锐的市场洞察力和前瞻性思维，在经济下行的压力中积极寻求安全与效益的平衡点。在保障企业整体安全的前提下，探索如何通过优化安全实践、提升安全效率等方式，间接促进企业的经济效益增长。例如，通过实施精细化的风险管理、推广安全最佳实践、加强与业务部门的协同合作等措施，帮助企业降低安全风险、提升安全运营效率，以及强化安全自建能力来逐步减少对外部品牌和技术的依赖。”

在访谈的尾声，徐俊超指出，安全部门与业务部门的紧密沟通是不可或缺的。他强调：“为了推动组织向更高层次发展，我们的协作视野不应仅局限于安全领域内部，而应跨越部门界限，深化对多元业务主体的理解，并携手制定融合性的战略规划。这种跨职能的协同不仅促进相互理解，更能确保企业战略的全面性和执行力。”

进一步地，徐俊超从专业维度阐明了安全的本质属性：“安全部门虽在组织中常扮演管理角色，但其核心使命在于服务，即服务于业务的发展需求，为业务活动提供坚实的保障，确保企业运营的安全与顺畅。安全人员需深刻认识到，自身的价值在于促进业务的稳健前行，通过专业的风险评估与防护措施，为企业构建坚固的安全防线。明确自身的价值定位与职业身份，是实现高效安全管理与价值创造的前提。唯有如此，我们才能更有效地将‘安全文化’融入企业的每一个角落，使之成为推动企业持续发展的强大动力。”

最后，徐俊超送上祝愿：“我衷心希望每一位安全从业者都能在不断探索中找到属于自己的发展路径，不仅为自身职业生涯增添光彩，更为整个安全行业贡献智慧与力量。唯有如此，我们的国家、社会才能在稳固的安全基石上，实现更加繁荣与昌盛的未来！”