張矩 資訊保安創業必知手冊

2021-09-23 09:14:46 字數 4167 閱讀 6077

張矩,峰瑞資本董事、早期暨成長期專案負責人。張矩擁有超過 20 年的高科技領域行業經驗,對中美兩國的網際網路創業和企業 it 環境有深刻理解。張矩曾負責 google 和 youtube 資料中心的構建與運維,並於 2006 年作為 google 中國創始團隊成員和首位運維人員,參與研發和服務環境建設。他還曾任 joyent 中國區首席代表、友友系統首席運營官,以及光速安振執行董事。張矩還是國內最早一批投身雲計算產業的人。張矩側重於企業 it、安全領域的投資,他的郵箱是 [email protected]

張矩:

在過去的一年內,中國資訊保安領域的創業變得非常熱。自領導人親自組建了**網路安全和資訊化領導小組並擔任組長以來,資訊保安產業逐步受到越來越多的關注,且感到 「不明覺厲」。這件事從頂層來講,徹底改變了投資界和產業界對於資訊保安創業的基本觀感,使其從相對中性變成了一件非常熱的大事。

我想和大家分享一下,我這些年對資訊保安從業人員創業的觀察和想法。創業無論怎樣看都是乙個一邊成長、一邊蛻變的過程。重要的是,既然義無反顧地開始了這個過程,無論是非功敗,都要仰著頭做一回英雄。

對內看人,資訊保安從業人員實際上是乙個很特殊,很稀缺的群體。在思路上,他們和傳統意義上的計算機工程師有本質的區別。工程師有乙個普適的思路:利用技術加上資源和原材料,把眾多部件構建成乙個系統,從而實現特定功能。這是乙個典型的建造和創造的過程。

而資訊保安從業人員的思路恰恰相反。當他們看見乙個執行的系統,通常想到的是這個系統在執行中是否有漏洞,設計上是否有不合理的地方,使用、構建上有怎樣的弱點,並通過這些漏洞、缺陷、弱點來降服這個系統,改變其行為規律從而導致系統損傷,或者為我們所用。這個過程是乙個典型的破壞過程。

天才的資訊保安從業者通常具有破壞性思維。

天才的資訊保安從業者通常是具有破壞性思維的人。不過,我們的教育體系是壓制、矯正、甚至杜絕這種破壞性思維的。能夠倖存或者逃避開教育洗禮的人,無論如何應該算是「異類」。

如果真正追根溯源,教育也許是第二位的。因為人類大部分的進化過程對有破壞性思維的個體非常不利。人類在發展的大部分時間裡都處於資源非常匱乏的狀態,有建設性和創造性的個體在資源匱乏的時代是比較容易存活下來的,而天生喜歡破壞的個體則會活得比較艱難,無論在食上還是色上。

向外看行業,資訊保安領域有傳說中武林的感覺。從外面看是個相對神秘的大圈子,裡面的人都身懷絕技,能為常人所不能。談到武林,很重要的一件事情就是人的江湖地位,這在資訊保安圈裡也很重要。談到江湖地位,其實就是兩件事,一是武功的高低。如同武俠**,資訊保安圈子裡也是各方門派林立,結果就是資訊保安可能算是技術領域裡競技比賽最多的領域之一。全球應該有超過一半的資訊保安攻防比賽是在東亞舉辦的。

資訊保安領域就像乙個武林。

第二,除了要有本事,還要有人品。如同武林,講義氣的人通常江湖地位比較高,資訊保安從業人員的高手往往從黑客做起,然後變成某個垂直領域非常有影響力的專家。一路走來,施恩積德,結交了一群好友,授業解惑,也有一幫忠誠的粉絲,慢慢成為領域內的大咖。

資訊保安領域的創業有別於其他領域,乙個主要特徵是這是圈內人的事。一位非資訊保安行業的外來人士,做資訊保安領域的創業,基本上只是玩票性質的嘗試。中國有句古話說得非常到位:慈不領兵,義不聚財。而創業這件事本質就是一路戰鬥,最終實現名利雙收。這個過程對於創業者,無論從初衷還是本性,通常都是乙個很大的挑戰,是個重新塑造、重新成長的過程。

資訊保安從業人員的成長和創業過程是乙個典型的從士兵到將軍,再到元首的過程。他們通常從技術精湛的工程人員起步,經過實戰對抗的洗禮變成行業專家。一名優秀的安全人員通常會通過自己的理念和技術傳承形成乙個有影響力的小圈子,士兵到這也就達到將領位置了。這個時間點往往是資訊保安從業人員開始考慮創業的時機。因為他們有知識,有實戰經驗,也有想法,甚至有不少人脈。

資訊保安從業人員的成長是乙個典型的從士兵到將軍,再到元首的過程。

實際上,創業過程的關鍵是從將軍到元首的過程。這個過程中有太多的不確定性,有太多的挑戰和問題,也有太多需要整合的資源和需要去團結的力量,所以要有一定的手段來規避,也需要很多妥協。這個過程往往是從乙個高姿態、高標準的軍人,到乙個非常落地並切合實際的政治家的演變過程。

很多資訊保安從業者身上有意無意的有項羽的影子:不但自己驍勇善戰,而且可以帶兵打勝仗,不僅可以蔑視權威瀟灑自如,更可以美人在懷。但是真正成功的創業者身上一定要加上劉邦的元素:也就是對人的把握和對本質的洞見,為了遠見,做出堅持或者妥協。

資訊保安是乙個非常廣泛的領域(在資訊科技快速發展的今天,資訊保安的覆蓋也在快速增長)。資訊保安的攻防屬性決定了資訊保安是乙個常青的市場:不斷演進的對抗手段會層出不窮地催生資訊保安初創企業。在這個背景下,資訊保安從業人員在尋找創業方向上大可不必去追尋所謂的熱點

資訊保安的攻防屬性決定了這是乙個常青市場。

資訊科技行業和娛樂行業有較大的相似之處。我們大可以反其道而行之,退後一步看,其實資訊保安從業人員擅長的反向工程能力正是當下浮躁的創業環境所稀缺的:針對目前現狀來尋找它的裂縫,弱點和不完美的地方都加以利用。

創業的啟始用反向思維方式比正向的更有效,特別是在資訊保安領域。反向思維看到的往往是,目前的技術架構體系下和目前市場環境中,用正向思維不容易看到的、非常明確的弱點和不完美。可以從這裡倒推出應該選擇什麼樣的方向,做什麼樣的事。

資訊保安公司的江湖地位比巨型公司更有吸引力。

好在資訊保安領域真的是江湖輩有人才出,耳熟能詳的名字們也只是真高手中的一部分,更重要的是,年輕的優秀人才最看重的往往不是經濟利益,而是與同樣優秀的人一起工作、成長,從更優秀的人身上看到自己未來的職業發展。

這也解釋了真正優秀的資訊保安創業團隊在匯聚同行業者時往往是游刃有餘的。優秀的資訊保安從業者,有機會通過自身的知識、領域的專長,打造非常有吸引力的個人品牌。一句話,你的江湖地位往往比冷冰冰的巨型公司更有吸引力。

唯快不破,乙個在網際網路創業時代被推崇到極致的概念,我個人認為這對資訊保安領域的創業是有害的。一部分原因是,任何創業的過程通常沒有大家津津樂道的那麼快;更重要的是,資訊保安產品的有效性是在資訊保安攻防的對抗中體現的,如同其他具有攻防特徵的產品,比如藥品和**開發,快往往不能幫助這樣的產品成功。

不可否認,時機是決定乙個創業企業成功的重要原因,但時機通常是熬出來的。而耐心**於對未來和自身的信心。當你對自己做的這件事非常自信,才會有耐心、有堅持來等待時機。我覺得心裡慢下來是做資訊保安創業者非常重要的出發點。

關於創始公司的管理有很多的說法和流派,特別流行的是各種各樣論述怎樣管理高智商、高能力人群的理論。大家可以說出很多花哨的管理理念,但是管理的最終目的還是希望建立乙個高效的組織結構,來實現產品技術上和商業上的目標。

拋開這些理論的論述,我覺得管理最重要的本質在於兩件事:一是要有原則,二是要有紀律。原則這件事對於資訊保安從業者不難,紀律卻是資訊保安從業者比較難以把握和執行的。

紀律往往是資訊保安從業者比較難以把握和執行的。

管理本身就是要在乙個組織體系內建立起好的、合理的規範。規範是靠紀律來保障的,所有的東西都應該在乙個合理的規範之內。公司文化建立在公司秉承的原則體系之上,包括對外的原則,重要的是有哪些事不能做。這些對一家資訊保安公司極其重要——對內的原則就是公平、公正、互相尊重;原則和紀律背後,對創始人自身的要求還會多一點,那就是以身作則。資訊保安從業人員很多時候對規則和紀律都有幾乎偏執的蔑視,但是創始人對原則和紀律的遵守,是帶動整個公司發展成管理良好、文化良好的實體的基本要求。

資訊保安市場的本質驅動力是恐懼——對資料資產被竊取的恐懼,對商業機密被偷竊的恐懼,對資訊保安事件導致品牌、信譽乃至客戶流失的恐懼。

其實,很多產業的商業模式都是建立在恐懼的基礎上。保險業就是另乙個以恐懼為基礎的產業,保險業和資訊保安行業的結合是乙個非常值得**的話題。恐懼本身是乙個很大的驅動力,讓客戶找到你的產品,而你的服務能夠提供資訊保安的保障。

顯然,恐懼是資訊保安公司的產品和服務落地的起點,但是一家希望長久發展的資訊保安公司,一定不要以增強恐懼感作為市場發展正反饋的手段。作為安全能力的執行者,資訊保安公司的市場地位來自於信任而不是恐懼。

對於信任而言,能力越強,責任越大。乙個真正成功的資訊保安公司通常是乙個領域的規則建立者,而不是收保護費的那個人。

資訊保安市場的本質驅動力是恐懼。

總而言之,以懼而起,以技而立、以謀而勝、以治而穩、以德而久,這大概是乙個資訊保安創業公司從無到有,從弱到強的歷程。最後想跟大家分享:英雄總是腳踏實地做事的人。謹此獻給在創業路上的資訊保安從業者們。 

***********************************=分割線******************************==

資訊保安 安全加固

為了防止黑客獲取伺服器中 php 版本資訊,如x powered by php 5.3.7,最好關閉顯示 php 版本資訊,在配置檔案中追加以下資訊 expose php off預設情況下,php錯誤資訊會將程式出錯的原因顯示到瀏覽器上,容易造成敏感資訊洩露。關閉錯誤顯示 display error...

資訊保安 安全工具 sqlmap

sqlmap是乙個自動化的sql注入工具,其主要功能是掃瞄,發現並利用給定的url的sql注入漏洞 1.安裝 2.實驗 在pikachu實驗平台數字型注入中抓包,記錄鏈結以及提交給伺服器的引數 讀取資料庫 在cmd中進入sqlmap的安裝目錄,輸入命令 python sqlmap.py u data...

資訊保安技術

最近參加了學校的網路資訊保安大賽,一不小心代表學校參加全省的比賽,以前大一的時候的那份激情都被歲月這把無情的刻刀給磨滅了,現在想拾也沒有力氣了。怎麼辦捏?只有自己重新再學一遍,畢竟這樣的比賽是代表學校去參加,將來找工作也是比較方便的,起碼有了網路實戰的經驗。網路資訊保安決賽主要是搞網路攻防站,需要用...