人物｜周智坚：微小且伟大的愿望

初见周智坚是在2019年的春天。彼时的他刚刚完成了自己立下的“两年干完五年工作”的豪言壮语，在将万科的信息安全建设提升到了全新的高度，带着我为他书写的那篇《周智坚：自信、善良，教科书般的信息安全生涯》，奔赴人生的下一个路口。

再见周智坚已经过去了整整三年。和三年前相同的是，他又一次兑现了自己的承诺，取得了令人钦佩的成果；而不同的是，伴随着安全大环境的日新月异，三年里鏖战于高科技物流企业的经历，让他对于安全有了更独到的视野，更深入的认识，更丰满的想法，以及更与众不同的感悟。

对于他的故事，我已无需再做赘述，便是在一个充满阳光的午后，他将自己对于信息安全所感悟的一切，同我娓娓道来。

“安全就是一种业务。”这是周智坚对我说的第一句话。

区别于安全要服务于业务，确保业务连续性，让业务能够更加安全平稳地开展，为公司创造收益，在周智坚看来，安全自身就应该成为业务。

事实上，从笼统意义来说，只有直接为企业创造收益才能被称为“业务”。作为万年不变的“成本部门”，多数的企业管理者都还是更加认同业务先行的理念，毕竟“风险”是一个无法被量化的抽象概念，只要运气好，就可以逃避风险可能带来的损失，将支出尽数转化为收入。

然而，随着信息安全进入到2.0时代，我国在立法、监管、执法等层面全都上升到了全新的高度。尤其在过去一年里，《个人信息保护法》《数据安全法》的相继实施，各大互联网平台因各类信息安全问题受到到严厉处罚，业务、市值和用户信任度遭受严重冲击，似乎都在向我们传递着“侥幸心理不复存在”的警示，宣告着“安全风险的触发”将成为必然。

换而言之，信息安全少花钱，就需要承受高昂的损失，远比钱来的更加严重，也远比安全建设的投入多得多。

周智坚说，如果业务的最终目的在于帮助企业创造收益，建立用户信任度，提升企业的市值，那在这个过程中尽一切可能将风险降到最低，守住企业的价值不受到损失，这不正是“业务”的本质吗？

事实上，剖析企业信息安全体系，大致包括安全合规、人员安全、基础安全、应用安全、数据安全、业务安全、攻防应急响应等几个重点方面，而这些方面分别都完美对应着企业发展经营中的某个部门或某个条线。所以从客观的角度来说，安全正是一个可以被独立抽离出来的完整的体系化业务。

因此，安全就是一种业务，而这项业务的定义就是“风险管理”。

当然，如果只是以概念的形式来阐述，似乎确实有些牵强。但是，这却已经是周智坚在过去三年真正实现，并且是在他自己看来，上一个人生节点里交出的最满意的答卷——安全业务的数字化。

这并不是他的心血来潮，早在20年前初见安全的时候，他就曾设想过实现安全数字化的想法，只是受限于过去对安全的理解，大抵是业务的附庸、底线，未曾将安全单独视作一项业务。直到过去三年的经历，才让周智坚对安全有了更深刻的认识，而这种将安全视作业务的思维，便是实现安全数字化的最重要的前提。

与此同时，业务数字化已经十分深入，如果安全不能伴随业务系统一同数字化，就无法做到风险的可视、可控。因此，安全需要流程化、信息化、自动化、数字化、甚至智能化，并且成为一种以“风险管理”为本质的业务。

如何做到风险管理，周智坚认为其核心在于“看到风险，处置风险，对各个版块的安全能力做到准确的评价”，从大方向来说，主要包含三个领域：

第一，安全告警。实现企业各类资产数字化的前提就是建立告警系统，要对资产所可能面临的各类风险进行告警。

第二，风险地图。将所有资产和安全告警通过一张风险地图产生既视感的效果，简洁明了地找出问题所在。

第三，安全质量报表。通过一个风险或安全质量报表来评价包括资产、数据和人员等在内，过去一段时间内的安全状态，形成安全趋势图。比如哪里存在风险，存在什么风险，为什么会存在风险，风险发生了多少次，处理风险所用的时间是多少。

当把这些厘清，对于人、资产、数据等方面的风险有了一个清楚地认识和管理，并基本实现数字化之后，便可以理解为企业的数字化和安全业务的数字化取得了不错的成果。

当然，听上去容易，但落地却充满挑战。如何实现安全的数字化？基于自己过去三年的成功实践，周智坚总结了一套名为“1+1+N”的安全数字化模型。

所谓“1+1+N”，就是安全的业务架构+安全ERP+各个业务领域的技术产品，这是安全业务数字化架构的内核，也是过去三年周智坚成功实现安全数字化的关键。

“安全的业务架构”是第一个“1”，也是“零信任的架构”，周智坚称之为“一句话安全”——安全的员工，使用安全的设备，经过动态的鉴权、精细化授权，访问安全的系统。

在他看来，只要企业的业务系统是自己开发的，并遵循“安全的业务架构”来设计业务系统，同时满足终端的基本安全需求，就能够基本实现第一个“1”。从端到端进行安全防护，最大程度收敛业务系统可能受到的攻击面，成功完成安全数字化50%-60%的进度。

第二个“1”叫做“安全ERP”。这是周智坚在过去三年所实现的另一个最有价值的成果，到底什么是安全ERP，周智坚将它分成了七大模块。

首先是作业中心。重点模块包括风险管理和资产管理，因为资产非常重要，如果没有资产，那就失去了风险管理的对象。

其次是稽查模块。所有风险都需要在稽查平台进行稽查，稽查形式主要包括专项稽查、例行稽查、应用评审，以及自动化检查等。

第三个是告警中心。这是周智坚及安全团队自己研发的产品，本质是大数据平台，通过对数据进行清洗，让安全业务做好数据达标，建立告警规则。这当中需要对数据进行全面的收集，因为数据多样性越强，告警越有价值。

第四个是员工中心。此模块主要通过各类课程的互动、考试、违规操作、事件管理，以数字化的方式评价员工和组织的安全素养。

第五个是自动化中心。主要包括基础安全风险自动化、应用安全自动化，应急响应自动化等。其中SOAR/XDR等应急的难点在于要有足够多的数据，要提前编排，并模拟演练好各类场景手册。

第六个是报表中心。包括员工、资产、数据的UEBA、安全报表、风险地图等。这些数据本身做了风险地图，做了告警，做了报表和风险地图，就可以根据它们的行为轨迹来发现底层逻辑。

第七个是评价中心。着重企业整体安全水平评价，尝试通过各领域的风险指数以及能力指标评估安全成熟度。主要内容含员工安全素养、攻击者视角的防护能力、内部违规泄密的管控能力、应急响应能力，以及内部资产安全质量的运营能力等。

通过这七大模块所组成的安全ERP，就可以用信息化和数字化的方式将安全的底层逻辑进行展现。同时，如果各个维度的数据都实现了信息化，那就可以都放到安全ERP中分进行析，形成统一的大数据平台，最终实现安全业务的数字化。

对于第三个“N”，周智坚认为应该概括为“各个业务领域的技术产品”。N有了，安全ERP才能真正具有作用，才能够将安全业务架构串联起来。比如告警的效果，取决于“N”做的好不好；“N”要能够开放接口，才能够在自动化模块里实现更好的操作。

总的来说，对于安全数字化，周智坚的理念是通过“1+1+N”的安全数字化模型，再以业务流程化、流程信息化、自动化以及数字化的方式来实现、

虽然这个过程并不容易，但在他看来，一旦成功，将会收获巨大的成就感。与此同时，企业一旦实现安全数字化，就能够解构重组安全业务，类似基因的重组，将安全数字化所形成的不同组件模块重新组装，得出不一样的东西。

事实上，以应急响应为例，通过实现安全数字化，已经能够将响应处置的流程从过去的数个小时缩短至十几分钟甚至更短。“这就是安全数字化对于业务的价值，但做起来却是极为不易。”周智坚如是感慨。

除了“1+1+N”的安全数字化模型以外，周智坚认为，想要实现安全数字化，实际上还需要具备以下三个能力：

第一，安全负责人到底有没有站在业务角度，站在董事长的角度，站在CIO的角度去考虑如何解决安全问题；第二，老板是否同意组建安全研发团队，安全是否具备了足够的自动化能力；第三，同时也是最重要的一点，那就是安全人员的专业能力。

要知道，随着安全数字化的实现，必然会将很多安全工作中较为传统、冗长、重复繁琐的环节通过自动化、数字化的方式进行替代，届时，安全人员的“饭碗”就将受到巨大的冲击。

“好人”，“天生的领袖”，这是初见周智坚时我在文章里写下的描述，他也曾评价自己有两项能力：一是众所周知的信息安全专业能力，二是团队建设、人才培养的水平。

他做事有四个原则：第一要方向正确，第二要充分授权，第三要给予员工足够的资源，最后则是要经常手把手地鼓励与帮助。这本质上是一个“成人达己”的过程，也正因如此，曾经万科的兄弟们都会因为与他共事而感到满意和开心，而在过去三年里更是如此。

在他看来，安全的数字化必然会带来安全工作和人员的内卷，要求我们不仅要懂安全，还需要具备产品思维和开发的能力，更是必须要掌握攻防的技术，从整体上提升自己对于安全的认知。如果始终蜷缩在舒适圈中，必然会面临淘汰的风险。

但换个角度思考，无论是安全工程师，中层负责人还是CSO，不同的岗位需要的能力不同，承载的责任不同，所体现的价值也不同。在他看来，每个人其实都应当被价值所认同，每个人的能力也都应到受到基本的肯定和尊重。

他一直很喜欢万科CEO九哥推荐的一本名为《洞察》的书，书里阐述了要建立“以客户为中心”的视角，用更细致地眼光观察周身，从而发现每个事物、每个人身上更潜在的价值。

因此，他一直所坚持的，就是“帮助别人”——对于有欲望（职业方向明确），有能力（学习能力、有做事能力的底子），有精力（身体素质好）的人，周智坚愿意给予他们足够的时间和机会。

“当然，事不过三，毕竟我最终还是要为整个团队负责。”他笑道。

事实上，得益于充分的放权、信任和耐心，团队里的每一个人都在积极且自觉地接受安全数字化所带来的挑战，主动学习。在这个过程中，他们不仅提高了自己的能力，收获了更大的成就感，为日后事业的开展打下的坚实的基础，同时也更加认同了周智坚对于安全业务及安全数字化的理念。

周智坚告诉我，在自己20多年的安全生涯中，他向来都是“下地干活”的。因为在他看来，处在同一个工作下的每一个人理应是平等的——都在用自己的技术、思维、专业能力解决同样的问题。文无第一、武无第二，在工作当中，每一个人都具备着值得别人学习的能力，所以任何人有问题都可以向他请教，他有任何说的不对的地方，也都会虚心接受别人的指正和否定。

前段时间，他忙里偷闲看完了与二战有关的几本人物自传，他感慨，之所以德军能够迅速击败法国，在短时间内兵临莫斯科城下，除了出色的军事能力外，最重要的一点便是每次作战将领总是冲锋在前，同时和士兵之间相互驯养的关系。

《孙子兵法》中更是对这种“驯养关系”做了进一步的阐释：把士兵装在心里，真正考虑到士兵的利益，亲自上阵引领士兵战斗，做到赏罚分明，士兵自然就会具备更强的战斗力。

“我只有在带着别人干活的时候才是领导，仅仅因为我能够更好地把控方向，但在其他时候，我都不是领导。”周智坚如是说道。

对于安全从业的未来，他认为安全管理者首当其冲必须放低自己的姿态，因为技术飞速发展，作为互联网乃至网络信息安全的“原住民”，年轻人会对安全具有更先天的敏感，也一定会拥有更多的知识储备。作为管理者，要时刻认清自身的不足，保持头脑的极度开放，不断将自己倒空，接受新的事务。

“杯中旧茶不空，就无法倒入新茶。”

当然，时刻保持谦逊、清醒、学习的心态，对于任何人来说都是重要的，但这并不是一件容易的事情，尤其在周智坚看来，需要的是一个人从安全事业中所形成的强烈的成就感和自我认同，以此作为“自驱力”。

“自驱力”是这次与周智坚对话中最经常听到提到的词语，他说这是一个人能够时刻保持激情，对工作充满热爱，始终报以学习的态度紧跟时代需要的核心竞争力，不仅仅是安全，这在任何领域来说都是一样。

但在我看来，“自驱力”其实是一个人心中信念的具象化表达。而我所好奇的是，究竟是什么原因创造了这样的“自驱力”，是热爱，是获得，是归属，是责任，亦或是其他更深层的东西？

事实上，再见周智坚，不仅仅是再听他向我分享过去三年自己在安全工作上取得的建树，收获的感悟，产生的新的想法，同时他也告诉我，在完成了预期的计划后，他又决心再次站上新的起点，奔赴人生的下一段旅程。

回顾自己20多年的安全从业生涯，一直都在大型的甲方企业中度过，而今迈入不惑之年，他也萌生了一些想要颠覆过往的念头。于是他试着联系了周围的朋友，希望听一听不同的声音。

有的朋友好言相劝他留在甲方，毕竟“舒服一点，不会太累”；有的朋友认为他所实践的安全数字化十分贴合乙方的需求，可以形成产品；还有的朋友认为，深耕20年，甲方的安全痛点了如指掌，对于初创的安全企业来说，具有极高的咨询意义；更有朋友建议他创业，无论是政策环境还是自身背景，都会让他在创业中更具优势。

这些建议，周智坚都曾认真思考过，相对来说，他更偏向于利用自己20年的安全能力沉淀，帮助乙方赋能产品，更好地解决甲方用户面临的痛点。原因在于他认为作为一名安全管理者，在经历了建设安全体系、接触更先进的安全技术这两个阶段以后，就需要将自身的能力和理念对外输出，而只有乙方才能够为自己提供这样的舞台。

但是在他看来，安全领域有自己的底层逻辑，而自己未来无论归属何处，也都需要找出并理解自己对于安全的底层逻辑，换句话说，就是“初心”。

事实上，周智坚并不清楚自己的“初心”是什么，也不知道自己一直以来对于安全的“自驱力”来自于怎样的底层逻辑。直到前不久的一次关于“如何培养孩子具备自我驱动的学习能力”的学术会议上，演讲教授用严厉的语言批判了家长的这一不切实际的要求——因为自驱力来自于底层逻辑，要么热爱，要么情怀，很显然，这些都不是孩子想要的。

但这却恰好点醒了周智坚，让他明白自己之所以20年来一直坚持在安全的事业上，始终保持着热情和进步，是因为自己对于安全真的有“情怀”：往小了说，就是做一些自己想做、自己能做的事情；往大了说，便是希望能够在中国网信安全事业的发展过程中，贡献自己一点微不足道的力量。

他告诉我，我们虽然是工作者，但不是工具人，除开工作，每个人都会有自己的情怀，这种情绪和状态也必然会对工作产生直接或间接的影响。所以站在他的角度，他希望借助一个很好的平台，为中国的安全事业做一些力所能及的事情。

他一直对国内安全创新能力的欠缺所耿耿于怀，也希望中国的网信产业能够在学习别人先进技术的基础上，形成自己的体系，走属于我们自己的安全发展之路。因此，虽然下一段旅程将如何选择，他还没有决定，但至少“我的目标很明确，就是能不能为中国的安全事业做一点点有意义的事情。”

这便是周智坚对于安全始终充满“自驱力”的底层逻辑，也是他时刻充盈内心的微小且伟大的愿望。

周智坚认为，当前国内安全数字化的概念已经逐渐普及，安全2.0的条件也已基本成熟，发展的空间无非在于更好的安全产品。所以他开始思考安全的未来在哪里，安全的3.0到底是什么？

当然，在不少人看来，很多企业当前还没能完成安全2.0的建设，谈3.0实在是为时太早，但他了解到，已经有很多安全大厂开始布局安全3.0。

通过学习欧洲关于物联网供应链安全以及NIST最佳实践标准，并结合安全数字化的落地，周智坚惊讶地发现，IoT供应链安全在设备的硬件固件、软件安全、接入安全、网关安全等方面和“1+1+N”基本一致，只是在安全2.0的基础上增加了loT设备和接入的安全。

因此他大胆预测，安全3.0就是“1+1+N+IoT设备安全”。

“我感觉智能家居和智慧交通会成为未来安全企业的着力点，一是端，不仅要做上线后的检测，还要在生产过程中进行质检；而是上线过程，即上线时的检测、上线后的运营及后台的安全。”

工作之余，周智坚依然很热爱读书和写作，比如上文提及的《孙子兵法》，他很是推崇，他十年读了三遍，每次都有不同的感触。

对此，周智坚还在个人公众号“阿肯的不惑之年”中撰写了一篇《孙子兵法》的读后感。对他而言，从中收获的比较深的感悟是“《孙子兵法》在教我们学会认识自己，看清事物的底层逻辑，学会认输，具备长期思维，成为更好的自己，后面的路才会越走越宽。”

他还喜欢到各个地方品尝形形色色的早餐，如果打听到当地有特别知名的老中医，他还会专门前往拜访。因为思虑过多确实伤身，工作过程也是对身体的一种损耗，他感叹人不能只损不补，长此以往对工作绝对会产生负面影响。

可能是受到了工作压力带来的影响，周智坚的睡眠质量一直都不是很好，很多时候明明很累，却总是被思维所桎梏，忍不住对工作不停思考。所以他曾尝试冥想，并向九哥求学。他问九哥最多能冥想多长时间，九哥告诉他“五分钟”，他却发现自己连一分钟都做不到。

这不禁让我想起了他给我讲述的自己小时候的故事：“六岁那年，阳光慵懒的下午，我躺在江西老家院子里的石板上，做了一个梦——梦里，我的家人和朋友都离开了我，我便一直哭，直到从梦中哭醒，才发现我早已泪流满面。”

心理医生告诉他，是因为慧根开得早，而我想这也是他总是在不停思考的缘由吧。

直到经过一番探索后他才发现，只要离开了工作环境，就能够放下很多的事情，睡眠也会变得好起来。所以他偶尔会选择休息一段时间，到处走走，自然而然地去放松放松。

最后，周智坚道出一番对自我的感悟。他说人有两个我，一个是大我，一个是小我，大我是后天形成的思维逻辑，小我是一个人的潜意识。有些时候我们需要给后天的自己放几天假，重新用潜意识来思考问题。

对于周智坚而言，“大我”就是在信息安全的道路上一直走下去，“小我”便是尽自己所能，为中国的网信事业发展贡献一点微不足道的力量。

回望二十年职业生涯，恰如中国网络安全从萌发到壮大的历程。经历这番光景的人是幸运的，同时也是艰辛的。因为见证历史是可遇不可求，而开拓疆土披荆斩棘往往也是举步维艰。

未来二十年，网络安全又将会经历一个怎样的变迁，或许无人知晓。但是，无论网安怎样变迁，他都由一个个网安人共同去钻研，去推动，去改变。周智坚或许只是网安人中的小小一份子，但却有着大大的情怀和厚重的梦想。

当情怀落地成型，当梦想塑造世界，必是人生极大幸事。那时的周智坚，定还保留曾经的少年意气和如今的壮志情怀。