本期嘉賓介紹

劉洪善，網(wǎng)絡(luò)安全碩士畢業(yè)，現(xiàn)任vivo安全產(chǎn)品總監(jiān)，歷任國際知名智能終端科技公司、互聯(lián)網(wǎng)大廠的應(yīng)用安全產(chǎn)品負(fù)責(zé)人、安全隱私規(guī)劃負(fù)責(zé)人、云安全產(chǎn)品負(fù)責(zé)人、高級安全工程師等職務(wù)。曾參與多個(gè)影響行業(yè)格局的安全隱私項(xiàng)目，在網(wǎng)絡(luò)安全行業(yè)擁有豐富的戰(zhàn)略規(guī)劃、技術(shù)與產(chǎn)品落地、市場營銷與運(yùn)營管理等經(jīng)驗(yàn)。

??Freebuf：劉總，今天很高興能采訪您。作為安全業(yè)界的大咖、專家，您一定有很多的思想見解，想分享給業(yè)界和廣大用戶。

??劉洪善：謝謝主持人，很高興能接受Freebuf這樣一家業(yè)界資深的權(quán)威安全媒體的采訪。不過請?jiān)试S我聲明一點(diǎn)，今天我就是作為一個(gè)普通安全從業(yè)者隨便聊聊天，不是專家，更不是大咖，可能不能像業(yè)界的許多前輩和大牛一樣，提供很多超前或者有趣的觀點(diǎn)，請見諒。

??Freebuf：好的。請您講講個(gè)人在網(wǎng)絡(luò)安全方面的教育經(jīng)歷，包括為什么選擇安全專業(yè)，以及求學(xué)過程中與網(wǎng)絡(luò)安全相關(guān)的趣事，包括自我學(xué)習(xí)，攻防研究等。

??劉洪善：我的教育經(jīng)歷比較簡單。在工作之前，我除了喜愛看書以外，沒有多少想法和愛好。

我從初中才開始接觸計(jì)算機(jī)，那時(shí)對于計(jì)算機(jī)也沒有多少認(rèn)識，只是覺著很好玩，也正是在那個(gè)時(shí)候互聯(lián)網(wǎng)給我留下了很深的印象。

高中文理分科時(shí)，我和大多數(shù)人一樣，選擇了理科，但那時(shí)候有點(diǎn)“不誤正業(yè)”，因?yàn)槲覀兏咧械那吧硎峭蹶柮鲃?chuàng)建的，文史氛圍比較濃，所以那時(shí)候我就經(jīng)常泡在圖書館看明史、看王陽明的心學(xué)。

高中的時(shí)候我還十分迷戀籃球，迷戀到什么程度呢？高考的前一天，我還在冒著大雨打球，打了一天，結(jié)果晚上發(fā)高燒。后面高考兩天，我就一邊吃著校醫(yī)開的藥，一邊迷迷糊糊的考試。沒想到最后成績還可以，但最終還是和心儀的大學(xué)失之交臂，并被調(diào)劑到了我的母?！暇┼]電大學(xué)，還很幸運(yùn)的被錄取到了學(xué)校最好的專業(yè)——通信工程。

直到那時(shí)，我才真正開始系統(tǒng)的學(xué)習(xí)各種計(jì)算機(jī)相關(guān)內(nèi)容，包括硬件知識、編程語言、操作系統(tǒng)等?，F(xiàn)在還第一次寫出了自己的網(wǎng)頁和安卓程序的時(shí)刻記憶猶新，創(chuàng)新研發(fā)給我?guī)砹藰O大的滿足感和成就感。

而我真正算是接觸網(wǎng)絡(luò)安全領(lǐng)域，還是在一次十分偶然的情況下發(fā)生的。那是大三的時(shí)候，我照常在圖書館泡著，偶然看到了一本安全攻防相關(guān)的書。粗略閱讀之后，我發(fā)現(xiàn)里面都是些“搗蛋”的有趣事情，十分好玩。于是，我就照著書上說的試著做了幾個(gè)小木馬，并把它們放在學(xué)校機(jī)房里捉弄大家，偶爾也用工具給各大網(wǎng)站尋找安全漏洞，那時(shí)玩得不亦樂乎，也是大學(xué)里和安全最相關(guān)的事情了。

臨近大學(xué)畢業(yè)，看著空空如也的錢包，我決定去工作。這時(shí)幾個(gè)要好的同學(xué)卻拉著我一起去考研，他們開玩笑說“離考試也就2個(gè)月了，試試唄，萬一就考上了呢。”

我想想也是，反正后面工作時(shí)間還長著呢，也不差這兩個(gè)月時(shí)間。沒想到這一考還真就考上了。由于大學(xué)時(shí)期比較喜歡 “網(wǎng)絡(luò)安全”，這次讀研就選擇了網(wǎng)絡(luò)安全專業(yè)。那時(shí)這個(gè)專業(yè)遠(yuǎn)沒有像現(xiàn)在這么普遍，國內(nèi)開設(shè)網(wǎng)絡(luò)空間安全相關(guān)課程的院校很少，大家基本都還處于摸索之中，很多時(shí)候也要靠自學(xué)。而我卻十分有幸地跟著我的導(dǎo)師吳蒙教授，三年里，深入學(xué)習(xí)了安全相關(guān)的各類技術(shù)和體系，從密碼學(xué)到隱私計(jì)算，從安全開發(fā)到安全運(yùn)維，幾乎都有涉獵，還基于剛興起的安卓寫了不少安全原型，收獲頗多。

回首往昔，多年的求學(xué)生涯是我人生中最輕松的一段時(shí)光了，看看書，考考試，發(fā)發(fā)論文，寫寫原型，偶爾到“烏云網(wǎng)”提交點(diǎn)小漏洞換本書，很愜意。我最喜歡的事情就是看各種書籍，特別是在大學(xué)期間，我不怎么愛去上課，大多數(shù)時(shí)間都是在圖書館里看書自學(xué)，科技、歷史、文學(xué)……什么都看，精神世界不可謂不豐富。讀書閑暇之余，就和同學(xué)們一起縱情山水，南京畢竟是六朝古都、十朝都會，可玩的景點(diǎn)非常多，例如中山陵、玄武湖、明孝陵……

毫不謙虛的說，在大學(xué)之前，我還只是個(gè)“三無”人員，無目的、無規(guī)劃、無準(zhǔn)備，除了愛看書自學(xué)，也沒什么特別的地方，就憑著一股子興趣闖到了網(wǎng)絡(luò)安全領(lǐng)域里。但當(dāng)我踏入了這個(gè)領(lǐng)域之后，就再也沒有動搖過，一晃就過了這十年。

??Freebuf：可否分享下，您在vivo之前的工作經(jīng)歷，以及每段經(jīng)歷給您帶來的成長和思考？

??劉洪善：說起來，我的工作經(jīng)歷可能比教育經(jīng)歷還簡單。

畢業(yè)后，我進(jìn)入了一家創(chuàng)業(yè)公司，成為一名安全工程師。當(dāng)時(shí)很幸運(yùn)，遇到了飛龍（郭耀）、加菲貓2位安全大牛，正是在他們的引導(dǎo)下，我才真正從學(xué)校時(shí)“想象中的安全”進(jìn)入“實(shí)際中的安全”。那時(shí)這個(gè)創(chuàng)業(yè)公司遠(yuǎn)沒有現(xiàn)在這么厲害，第一天入職時(shí)，同學(xué)問我入職的感受，我吐槽“像進(jìn)了一個(gè)作坊”，和想象中高大上的CBD完全沒有關(guān)聯(lián)。

那時(shí)，安全團(tuán)隊(duì)也還只有四五個(gè)人，遠(yuǎn)沒有現(xiàn)在這么強(qiáng)大。當(dāng)時(shí)最大的感觸就是創(chuàng)業(yè)不易，企業(yè)因?yàn)槌杀臼找娴目剂?，基本只能做安全體系中某幾塊。在資源有限的條件下，安全要做什么、怎么做，得按照優(yōu)先級進(jìn)行排序，選擇幾個(gè)真正能夠開展得下去的安全工作去做。學(xué)術(shù)范圍內(nèi)的理想安全體系，有非常強(qiáng)的指導(dǎo)意義，但不一定適合于企業(yè)的實(shí)際情況。也因?yàn)槭莿?chuàng)業(yè)狀態(tài)，所以什么都得自己干，例如寫代碼、找漏洞、產(chǎn)品設(shè)計(jì)、安全管理等，讓我更加全面地了解安全，也為后續(xù)的工作打下了扎實(shí)的基礎(chǔ)。

再往后，加入了某互聯(lián)網(wǎng)大廠，有幸在馬杰、林曉東、劉蕊紅等業(yè)界舉足輕重的前輩的指導(dǎo)下工作，跟一幫非常優(yōu)秀的同事，做了幾年的安全管理、安全工程和安全產(chǎn)品，參與了內(nèi)部各類安全平臺的建設(shè)，也參與了各類外部項(xiàng)目，例如網(wǎng)址安全中心、云加速等，對安全體系和安全技術(shù)產(chǎn)品理解更深刻了，從開發(fā)、到產(chǎn)品落地、到商業(yè)運(yùn)營的閉環(huán)都有了新的認(rèn)識。那時(shí)安全團(tuán)隊(duì)同樣也沒有現(xiàn)在這么強(qiáng)大，基本也是“大公司里創(chuàng)業(yè)”，我也不得不再次提升自己的綜合能力，從一名安全工程師，慢慢向綜合的安全技術(shù)產(chǎn)品方向發(fā)展。此時(shí)思考得更多的是，企業(yè)和用戶需要什么安全技術(shù)產(chǎn)品，怎么做好用戶體驗(yàn)，怎么讓用戶滿意，所以技術(shù)、產(chǎn)品、運(yùn)營都有所涉獵，自己也得以在安全領(lǐng)域里“橫向發(fā)展”。

后來，由于霧霾等原因，我萌發(fā)了回南方的想法。恰好另一家國際知名的智能終端科技公司，也就是我的前東家，正在尋找安全方面的人選，于是就來到了深圳，參與了這家公司云安全產(chǎn)品體系從0到1的構(gòu)建。在這里的五年，是我職業(yè)生涯中最受錘煉的一段時(shí)間，整個(gè)人有點(diǎn)“脫胎換骨”的感覺。總的來說，既做了很多工作，也犯過一些錯(cuò)誤，個(gè)人職業(yè)起起落落，對于成長十分有幫助。

而從甲方到乙方的轉(zhuǎn)變，也讓我對安全的理解有了明顯的變化。從前幾年思考怎么去做一個(gè)技術(shù)、產(chǎn)品，逐漸變成了怎么讓一個(gè)技術(shù)產(chǎn)品做到世界領(lǐng)先、獲得好的用戶體驗(yàn)、取得好的商業(yè)表現(xiàn)。所以需要操心的事情就更多了，從安全戰(zhàn)略規(guī)劃到產(chǎn)品落地再到運(yùn)營，都要忙活。例如在戰(zhàn)略規(guī)劃層面，通過三個(gè)核心要素——調(diào)查分析、指導(dǎo)方針、連貫性活動確定一個(gè)協(xié)調(diào)的、可落地的戰(zhàn)略，通過BLM模型、“五看三定”等方法論來明確自身在業(yè)界的位置，并采取相應(yīng)的競爭戰(zhàn)略。在產(chǎn)品落地層面，通過IPD需求打分、KANO、RICE、價(jià)值工程等需求模型，來判斷需求的價(jià)值和優(yōu)先級，按MVP原則、HEART框架等去落地功能滿足用戶需求，并根據(jù)用戶反饋快速迭代。在運(yùn)營層面，通過上市操盤，加強(qiáng)用戶心智，通過NPS、產(chǎn)品數(shù)據(jù)、VOC來判斷產(chǎn)品體驗(yàn)并加以改進(jìn)等。我加入前公司的的時(shí)候，它的云市場份額還在Others，離開的時(shí)候，已經(jīng)是中國第二、全球前五。當(dāng)然，這樣的結(jié)果不依賴于個(gè)體，而是集體努力的結(jié)果。

我在前公司還參與了一個(gè)自研操作系統(tǒng)的安全隱私規(guī)劃和落地，以及應(yīng)用安全產(chǎn)品的規(guī)劃和落地等等。

需要說明的是，上述任何一個(gè)工作，都是集體努力的結(jié)果。因?yàn)楝F(xiàn)在的互聯(lián)網(wǎng)/IT行業(yè)早已過了單打獨(dú)斗的“作坊式”時(shí)代，任何一個(gè)大型的技術(shù)產(chǎn)品項(xiàng)目/商業(yè)項(xiàng)目，沒有集體的緊密配合是難以完成的。說得直白一點(diǎn)，沒有公司開工資，沒有開發(fā)、產(chǎn)品、運(yùn)維、運(yùn)營等等團(tuán)隊(duì)的配合，一個(gè)人什么工作也做不了。包括我本人，都是團(tuán)隊(duì)的一份子，依賴團(tuán)隊(duì)的力量和支持，有幸與大家一起做了些工作而已。

? Freebuf：非常有趣的經(jīng)歷和思考！現(xiàn)在在vivo呢，有什么感想？

? 劉洪善：2021年10月，我來到了vivo。因?yàn)檫@段經(jīng)歷太短了，雖然也參與了不少工作，例如vivo X Fold、X Note等手機(jī)安全隱私功能的策劃與落地，但還有許多工作還沒做，所以暫時(shí)不好說。而且vivo是我的現(xiàn)公司，我也非常喜歡這家公司，但說多了，多少有點(diǎn)“王婆賣瓜，自賣自夸”的嫌疑。

不過，客觀的說，vivo是一家完全以用戶為導(dǎo)向的簡單、純粹的公司，一切工作都圍繞用戶需求展開，因此我非常享受這里的工作氛圍。我在這里的主要工作，跟我之前的經(jīng)歷差不多——負(fù)責(zé)公司安全賽道的技術(shù)產(chǎn)品規(guī)劃、落地和商業(yè)運(yùn)營，通過安全規(guī)劃鐵三角、產(chǎn)品管理與安全運(yùn)營的閉環(huán)，打造一流的安全產(chǎn)品，牽引公司安全技術(shù)的發(fā)展，為幾億用戶的隱私安全保駕護(hù)航。

目標(biāo)是有了，使命也提出了，關(guān)鍵在于團(tuán)隊(duì)整體的能力，能否承擔(dān)這樣的目標(biāo)和使命。所以我這半年很大的精力是在組建和培養(yǎng)團(tuán)隊(duì)，特別是專業(yè)能力要首先構(gòu)建起來，沒有專業(yè)性，別的事情都是空中樓閣。這是一份激動人心的工作，我非常珍惜，也非常努力地履行著我的工作職責(zé)，希望明年這個(gè)時(shí)候有更多創(chuàng)新的技術(shù)產(chǎn)品可以跟大家分享。

? Freebuf：什么專業(yè)能力？

? 劉洪善：無論在安全行業(yè)里從事攻防、開發(fā)還是產(chǎn)品等工作，專業(yè)能力的基礎(chǔ)都是對所在行業(yè)長年的積累和理解。我從不相信沒在一個(gè)行業(yè)深耕個(gè)五到十年，只是靠網(wǎng)上搜來的幾條信息、聽了幾次報(bào)告，就成了“專家”。如果這么簡單，本身就說明這個(gè)行業(yè)沒什么門檻，更沒有什么發(fā)展前景。

在行業(yè)積累的基礎(chǔ)上，規(guī)劃、產(chǎn)品類的通用技能的精深，可以幫助個(gè)人和團(tuán)隊(duì)更好的發(fā)展。按業(yè)界最佳實(shí)踐，規(guī)劃、產(chǎn)品類的核心能力是6個(gè)：路標(biāo)/產(chǎn)品組合規(guī)劃能力、產(chǎn)品或解決方案規(guī)劃和定義能力、產(chǎn)品洞察與競爭分析能力、創(chuàng)新和孵化能力、需求分析與管理能力、用戶研究能力，一般選擇2-3個(gè)進(jìn)行深耕就可以。

這里多感慨一句，我們做安全的人，有時(shí)太容易一下子鉆到單個(gè)技術(shù)產(chǎn)品細(xì)節(jié)里了，這樣的鉆研精神是非常好的，但有時(shí)也有副作用，那就是忘了用戶、忘了市場，沒有規(guī)劃、沒有部署，最后導(dǎo)致開發(fā)出的技術(shù)產(chǎn)品離用戶需求非常遠(yuǎn)，用戶不滿意，商業(yè)結(jié)果不理想，團(tuán)隊(duì)和技術(shù)就難以為繼。這樣的教訓(xùn)太多、也太慘痛了。所以，直到現(xiàn)在，我雖然依然熱愛技術(shù)產(chǎn)品，對技術(shù)產(chǎn)品細(xì)節(jié)也非常關(guān)注，但經(jīng)常會刻意的拉著自己回到現(xiàn)實(shí)，去思考怎么才能帶領(lǐng)團(tuán)隊(duì)用好的技術(shù)產(chǎn)品，真正滿足用戶需求，帶來好的用戶體驗(yàn)。

? Freebuf：眾所周知，當(dāng)下隱私安全已經(jīng)是國家、社會、企業(yè)和用戶關(guān)注的焦點(diǎn)，而vivo也一直非常注重隱私安全，那么請您分享vivo在隱私安全方面的思考與實(shí)踐。

? 劉洪善：vivo有完整的安全認(rèn)知、組織、流程和實(shí)踐，可以概括為隱私安全“三度”：高度、深度和溫度。

高度，即從公司戰(zhàn)略層面，重視和保障隱私保護(hù)投入。戰(zhàn)略，對任何公司都是根本性的，vivo把用戶數(shù)據(jù)安全與隱私保護(hù)提升到公司戰(zhàn)略層面，也就保證了vivo在安全上的長期投入，能夠用最新最好的科技來保護(hù)用戶隱私。

深度，也就是在公司戰(zhàn)略的牽引下，把隱私安全技術(shù)產(chǎn)品體系做扎實(shí)。為了踐行安全戰(zhàn)略，vivo經(jīng)過對行業(yè)的深入分析和洞察，結(jié)合內(nèi)部實(shí)踐，總結(jié)明確了隱私保護(hù)三原則——透明可控、隱私端側(cè)處理和數(shù)據(jù)最小化。這三個(gè)原則，已經(jīng)融入到vivo的產(chǎn)品和服務(wù)設(shè)計(jì)、開發(fā)、運(yùn)營的各個(gè)環(huán)節(jié)，在數(shù)據(jù)流動的全鏈路、用戶體驗(yàn)的全場景，全面守護(hù)用戶隱私。

基于安全戰(zhàn)略和三原則，結(jié)合業(yè)務(wù)實(shí)踐，vivo制定了隱私安全工作主攻的7大方向，概括為PROTECT：隱私保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)、產(chǎn)品對象安全、關(guān)鍵安全技術(shù)、安全工程、合規(guī)管理和安全攻防。

在7大方向發(fā)展的過程中，形成了安全與隱私保護(hù)設(shè)計(jì)流程和各類平臺，形成了安全工程與合規(guī)、先進(jìn)安全技術(shù)預(yù)研與構(gòu)建、安全攻防等能力，來支撐各類產(chǎn)品的安全打造，護(hù)航各類業(yè)務(wù)的安全與合規(guī)發(fā)展。

最后是溫度，即，我們希望為用戶提供更人文更有溫度的安全守護(hù)，因?yàn)榘踩c隱私保護(hù)是個(gè)有著高度專業(yè)性和復(fù)雜性的領(lǐng)域，強(qiáng)迫每個(gè)用戶都成為“安全專家”是不現(xiàn)實(shí)的。因此，每個(gè)負(fù)責(zé)任的廠商，都必須考慮到安全科技的易用性，考慮人文的溫度，讓用戶可感知、可理解，從更科技，轉(zhuǎn)變到更人文更有溫度的安全守護(hù)。

當(dāng)然，這是一個(gè)系統(tǒng)工程，不可能一蹴而就，但我們會持續(xù)努力，堅(jiān)持長期主義，對用戶的感情多深一點(diǎn)，對安全的工作多干一點(diǎn)，點(diǎn)點(diǎn)滴滴的改進(jìn)安全體驗(yàn)，讓用戶在使用產(chǎn)品和服務(wù)時(shí)，放心、安心、省心甚至暖心。

? Freebuf：能否舉個(gè)具體的例子，說明vivo有哪些創(chuàng)新性的舉措來保護(hù)用戶的隱私安全？

? 劉洪善：這樣的創(chuàng)新在vivo有不少，比如，在去年11月舉行的vivo開發(fā)者大會上，vivo首席安全官魯京輝發(fā)布的千鏡安全架構(gòu)。

它基于隱私保護(hù)默認(rèn)和設(shè)計(jì)驅(qū)動原則，內(nèi)置于vivo設(shè)備中，通過可信的多層硬件和軟件功能構(gòu)建了完整的隱私保護(hù)矩陣，全方位的守護(hù)用戶的數(shù)據(jù)和隱私：在芯片層，千鏡內(nèi)置了硬件可信根，從最基礎(chǔ)的硬件來保護(hù)用戶隱私；在內(nèi)核層，提供了可信執(zhí)行環(huán)境，提升隱私保護(hù)等級；在框架層，使用可信度量，隨時(shí)感知設(shè)備安全等級；在應(yīng)用層，通過可信交互，保護(hù)敏感數(shù)據(jù)的輸入等等，這四層相互融合，形成一個(gè)整體，彌補(bǔ)了單點(diǎn)技術(shù)產(chǎn)品的不足，帶來了更高的安全性。這個(gè)架構(gòu)還在不斷增強(qiáng)，在今年的開發(fā)者大會上，大家可以再次一睹它的風(fēng)采。

又比如，我們在vivo X Note上發(fā)布的黑科技——“三麥降噪”。當(dāng)你與隊(duì)友開麥互動玩游戲時(shí)，三麥降噪就會定向角度收取玩家的聲音，并屏蔽旁人的語音和環(huán)境的雜音，從而既達(dá)到了提升聲音品質(zhì)的作用，又很好地保護(hù)了玩家的隱私。在全球范圍內(nèi)，目前除了韓國某手機(jī)廠商，只有vivo實(shí)現(xiàn)了這樣的技術(shù)。

? Freebuf：現(xiàn)在業(yè)界各大手機(jī)廠商似乎都在推出很多的安全隱私賣點(diǎn)，這塊您怎么看？

? 劉洪善：我之前聽過這樣的一個(gè)極端的論調(diào)：“我們以前也沒有做安全隱私嘛，產(chǎn)品不還賣得好好的？”這些人是沒看到安全隱私已經(jīng)成為了用戶關(guān)注的焦點(diǎn)，除了滿足用戶需求，沒有別的路可走；也不明白為什么國家社會層面越來越重視網(wǎng)絡(luò)安全。但另一個(gè)極端是，現(xiàn)在許多人又把安全隱私推到聚光燈下，給這個(gè)行業(yè)帶來過高的不必要的壓力。我們還是要保持清醒——現(xiàn)階段，雖然消費(fèi)者的安全隱私意識正在覺醒，但安全隱私是從屬于產(chǎn)品和服務(wù)的，是產(chǎn)品和服務(wù)的基本要求和內(nèi)置屬性，不可能是購買產(chǎn)品和服務(wù)的驅(qū)動力。我們需要的，就是默默保護(hù)好用戶，出風(fēng)頭的事情可以干，但不能老想著出風(fēng)頭。過于注重商業(yè)利益，把安全隱私做成了一門熱鬧的生意，天天想著我要做一個(gè)什么“賣點(diǎn)”，這絕對不是安全的初心。為用戶做好安全隱私防護(hù)，最好的狀態(tài)是用戶什么感知也沒有，或者一定讓用戶交互、感知，那就簡簡單單、清清爽爽，不需要像短視頻一樣，天天占著用戶的時(shí)間、天天在用戶中有存在感。

而且安全隱私的特殊之處，在于它天然的遵從“木桶原理”——你保護(hù)好一個(gè)地方，還得保護(hù)另外一個(gè)地方，才能系統(tǒng)構(gòu)建起一個(gè)“安全體系”。就像防護(hù)一個(gè)圍城，東南西北四個(gè)門都要守好，而不因東門人多、熱鬧，會成為“賣點(diǎn)”，我就派了100個(gè)士兵防守；南門人少、冷清，不是“賣點(diǎn)”，我就不防守，這就會導(dǎo)致整個(gè)安全體系出現(xiàn)安全漏洞。

這也是為什么很多有責(zé)任的企業(yè)，都把安全隱私定位為超越商業(yè)利益之上——安全的初心就不是作為賣點(diǎn)去炫耀的，而是作為產(chǎn)品的基本屬性和體驗(yàn)，按照木桶原理、縱深防御原理、PbD、SDL等把產(chǎn)品安全老老實(shí)實(shí)地搭建起來，同時(shí)做好用戶體驗(yàn)。如果非要用“賣點(diǎn)”這個(gè)詞，一個(gè)由安全組織、流程、技術(shù)、產(chǎn)品、合規(guī)、攻防和工程等等組成的一個(gè)相互配合的、完整的安全體系，才能真正地保護(hù)好產(chǎn)品，這才是用戶真正需要的“賣點(diǎn)”。

當(dāng)然，每個(gè)公司的資源都是有限的，不可能無限投入，選擇那些用戶感知強(qiáng)的點(diǎn)去優(yōu)先做是沒有問題的，但需要在一個(gè)有規(guī)劃的安全體系下逐步的去做，有時(shí)一些用戶看不到的“冷清”的技術(shù)產(chǎn)品點(diǎn)，也得有容忍度，允許投一些資源去落實(shí)。

? Freebuf：您此前的工作經(jīng)歷中甲方乙方安全都經(jīng)歷了，就您自身的經(jīng)驗(yàn)來看，兩者有哪些不同？

? 劉洪善：兩者差別還是不小的。

甲方安全的本質(zhì)，是與管理層緊密溝通，以獲得一定的資源，從專業(yè)的安全角度，去服務(wù)好業(yè)務(wù)。甲方知道企業(yè)真正需要的是什么樣的安全技術(shù)和產(chǎn)品，這些技術(shù)產(chǎn)品必須緊貼業(yè)務(wù)，業(yè)務(wù)就是他們的“甲方”。因此他們必須懂業(yè)務(wù)、服務(wù)業(yè)務(wù)，否則安全就無存在的價(jià)值，這就導(dǎo)致企業(yè)里個(gè)性化的安全需求很多。

乙方安全，本質(zhì)是商業(yè)運(yùn)營，只是所在的行業(yè)恰好是安全而已，根本的目的是以最低的成本，推出安全產(chǎn)品和服務(wù)，以獲得最大的商業(yè)回報(bào)。這就決定了乙方都只想做通用的安全需求，排斥個(gè)性化需求。

在沒有安全合規(guī)或者安全事件驅(qū)動的情況下，甲方總是想在有限的預(yù)算里，提出盡可能多的個(gè)性化的需求；乙方為了商業(yè)運(yùn)營，則必須做通用化的安全技術(shù)產(chǎn)品，否則很難生存下去。這個(gè)矛盾，可能是為什么大量甲方跳槽出來創(chuàng)業(yè)，希望幫企業(yè)做好安全，或者乙方跳到甲方工作，嘗嘗做“甲方爸爸的快樂”的一個(gè)原因，也很可能是中國安全市場為何還有很大提升空間的原因：需求方和供應(yīng)方并沒有真正無縫銜接起來。

但我相信，隨著越來越多新技術(shù)的涌現(xiàn)，越來越多人才的涌入，這個(gè)矛盾總會解決的，安全行業(yè)的騰飛不會很遠(yuǎn)了。就目前階段來說，甲方負(fù)責(zé)制定策略、爭取資源、服務(wù)業(yè)務(wù)、提出需求、做一定的制定開發(fā)適配等，乙方則負(fù)責(zé)提供通用類的專業(yè)安全產(chǎn)品與服務(wù)等，這個(gè)分工是比較合理、也比較實(shí)用的，兩者不是非此即彼的關(guān)系，而是相互配合、相互依存的關(guān)系，目標(biāo)都是服務(wù)好業(yè)務(wù)、最終服務(wù)好用戶。

? Freebuf：在您多年的從業(yè)經(jīng)歷中，有沒有一兩件事情對您的觸動或影響很大，或者讓您印象很深刻？

? 劉洪善：挺多的，這里分享其中的一件，是關(guān)于“戰(zhàn)略認(rèn)知”的。

剛加入前東家時(shí)，我的第一個(gè)任務(wù)，就是寫材料，向輪值董事長匯報(bào)安全業(yè)務(wù)怎么做。那應(yīng)該是我當(dāng)時(shí)接觸過的最高級別的匯報(bào)（后來又參與了多次類似的匯報(bào)）。很多專家一起，在會議室里寫了近一個(gè)月才完成。有時(shí)我們也會在私底下抱怨，認(rèn)為在匯報(bào)、PPT這些方面花費(fèi)那么多時(shí)間實(shí)在是“浪費(fèi)”，還不如多做一些具體工作。

后來我才明白，這類匯報(bào)的價(jià)值其實(shí)很大。假如連自己負(fù)責(zé)的業(yè)務(wù)都說不清楚，那么這個(gè)業(yè)務(wù)能做好的概率微乎其微?；ヂ?lián)網(wǎng)早已過了撞大運(yùn)的藍(lán)海時(shí)代，任何一個(gè)業(yè)務(wù)的創(chuàng)建和提升，沒有系統(tǒng)性的思考，贏的機(jī)會非常渺茫。

所以，無論做什么業(yè)務(wù)，都要有“戰(zhàn)略”思維，要有規(guī)劃，要有布局，知道如何產(chǎn)生一個(gè)適合團(tuán)隊(duì)的戰(zhàn)略，如何判斷一個(gè)戰(zhàn)略的好壞，如何調(diào)動資源，如何獲得好的用戶體驗(yàn)，如何達(dá)成比較理想的商業(yè)結(jié)果等等，這樣才能做更大的事情，為企業(yè)帶來更大的價(jià)值。

另外，無論是在甲方還是乙方做安全，與管理層溝通對齊認(rèn)知都是最重要的工作之一，不然安全的資源從何而來？不可不重視。

? Freebuf：當(dāng)下網(wǎng)絡(luò)安全人才缺口日益龐大，vivo如何獲得安全人才，更傾向外部招聘還是內(nèi)部培養(yǎng)？

? 劉洪善：內(nèi)部培養(yǎng)和外部招聘都是重要的手段。即使不是人才匱乏，我也建議大家不必要求團(tuán)隊(duì)里的每個(gè)人一開始就有安全背景和經(jīng)驗(yàn)，一是不現(xiàn)實(shí)，二是應(yīng)該用動態(tài)的觀點(diǎn)看待人才——首先人總是可以學(xué)習(xí)成長的；其次，背景多元的團(tuán)隊(duì)，反倒有利于本來就需要多元視角的安全工作；最后，不管從事什么業(yè)務(wù)的團(tuán)隊(duì)，多樣性本身就是團(tuán)隊(duì)成熟與活力的基本要求。

? Freebuf：請您介紹一下目前vivo的安全與隱私保護(hù)團(tuán)隊(duì)，并分享一下您是如何進(jìn)行團(tuán)隊(duì)管理，最大化發(fā)揮團(tuán)隊(duì)的價(jià)值的？

? 劉洪善：vivo的安全和隱私保護(hù)團(tuán)隊(duì)，是結(jié)合了vivo整體的安全戰(zhàn)略和對整個(gè)行業(yè)發(fā)展趨勢的認(rèn)知構(gòu)成的，由幾個(gè)不同的領(lǐng)域的專業(yè)團(tuán)隊(duì)組成。

第一個(gè)，是安全技術(shù)團(tuán)隊(duì)，主要解決基礎(chǔ)的安全能力建設(shè)的問題。

第二個(gè)，是安全工程與合規(guī)管理團(tuán)隊(duì)，主要聚焦于產(chǎn)品開發(fā)全生命周期的工程化管理、業(yè)務(wù)使能中的安全質(zhì)量水平的保障，以及整個(gè)公司范圍的數(shù)據(jù)安全和合規(guī)的建設(shè)及業(yè)務(wù)流程的支撐。

第三個(gè)，是千鏡安全實(shí)驗(yàn)室，主要是作為安全藍(lán)軍的角色，去解決既可攻又可防的問題。

最后一個(gè)，是我們的安全規(guī)劃、產(chǎn)品與運(yùn)營團(tuán)隊(duì)，主要是負(fù)責(zé)vivo的安全產(chǎn)品規(guī)劃、產(chǎn)品建設(shè)及安全產(chǎn)品全生命周期的運(yùn)營相關(guān)的管理性工作。

這幾個(gè)團(tuán)隊(duì)緊密配合，目標(biāo)只有一個(gè)：讓用戶安全便捷的享受數(shù)字生活。

至于團(tuán)隊(duì)管理，雖說我從0到1創(chuàng)建過許多業(yè)務(wù)和團(tuán)隊(duì)，但也說不上多少經(jīng)驗(yàn)。我只是比較相信“古來事業(yè)由人做”，把人團(tuán)結(jié)好了，沒有什么是做不成的。管理的方法千千萬萬，但我想這三點(diǎn)可能有一定的參考價(jià)值：

一是踐行企業(yè)文化價(jià)值觀，才能團(tuán)結(jié)五湖四海的人才。誰有好的文化價(jià)值觀，誰能更堅(jiān)決的踐行文化價(jià)值觀，誰就能把人才組織和團(tuán)結(jié)起來，最大的發(fā)揮出人才間的組合作用，從而戰(zhàn)無不勝，小團(tuán)隊(duì)如此，大企業(yè)也如此。

二是不斷提升戰(zhàn)略認(rèn)知。認(rèn)知沒有大小，只有高低，再小的團(tuán)隊(duì)，它也有戰(zhàn)略和認(rèn)知。如果認(rèn)知停留在一個(gè)比較淺的層次，做事業(yè)就是在碰運(yùn)氣，所謂瞎貓撞老鼠。

三是有足夠的戰(zhàn)略自信。每個(gè)合法合規(guī)的企業(yè)，能夠生存下來、發(fā)展下去，肯定都有它強(qiáng)大的地方，例如靈活高效的企業(yè)文化、快速工程化的能力等，每個(gè)企業(yè)都應(yīng)該有某種程度的戰(zhàn)略自信。但在戰(zhàn)術(shù)上，即細(xì)節(jié)上，我們要敬畏每個(gè)用戶，尊重每個(gè)友商，學(xué)習(xí)別人好的地方。始終要相信，別人能做出的事業(yè)，我們一樣能做到，而且經(jīng)過努力，還能夠做得比別人更出色一些。

? Freebuf：作為一名資深網(wǎng)絡(luò)安全大咖，請您分享一下您個(gè)人在網(wǎng)絡(luò)安全方面的心得感悟。

? 劉洪善：對于安全，我一直堅(jiān)持兩個(gè)“主義”：

第一，堅(jiān)持樂觀主義。我一直堅(jiān)信網(wǎng)絡(luò)安全行業(yè)會越來越好。現(xiàn)在國家、社會、企業(yè)和個(gè)人層面越來越關(guān)注隱私安全，投入越來越多，就是一個(gè)證明。當(dāng)前的安全形勢和十年前相比可謂天差地別，十年前很多企業(yè)根本不知道安全隱私為何物，但今天如果還是如此，那這個(gè)企業(yè)遲早要因?yàn)榘踩[私問題栽跟頭，給品牌和經(jīng)濟(jì)造成巨大損失，這方面的例子不勝枚舉，看看各類媒體報(bào)道就知道，安全隱私已經(jīng)成為了人們的基本需求。

第二，堅(jiān)持長期主義。和AI、XR等新興產(chǎn)業(yè)相比，安全似乎一直沒那么風(fēng)光，甚至比較寂寞，需要有點(diǎn)“升官發(fā)財(cái)，請往他處；貪生怕死，勿入斯門”的情懷，堅(jiān)持做一個(gè)長期主義者。例如先花個(gè)10年的時(shí)間，將自己所處的行業(yè)吃透，而不是隨風(fēng)而動：O2O火的時(shí)候去做O2O；大數(shù)據(jù)熱了又去做大數(shù)據(jù)，現(xiàn)在AI又火了就又想去做AI；元宇宙現(xiàn)在鬧得火熱，一夜之間到處都是“元宇宙專家”，如墻頭草、水中萍，扎不下根，耐不住寂寞，這個(gè)行業(yè)懂一些，那個(gè)行業(yè)了解一點(diǎn)，都不深入，何談發(fā)展？

? Freebuf：謝謝劉總，最后，可否分享下您工作之外還有什么愛好？聽說您也經(jīng)常寫書法，寫文章？

? 劉洪善：我個(gè)人生活比較簡單，只有兩個(gè)愛好：一是工作，二是讀書。

對工作，我的理想是能夠一直忙自己熱愛的事業(yè)，到八九十歲的時(shí)候還能在一線干工作。全副身心干事業(yè)，這是難得的幸福。

對讀書，我是再忙再累，每日也讀一點(diǎn)，正所謂飯可一日不吃，覺可一日不睡，書不可一日不讀。讀書的愛好從識字時(shí)就已開始，于我而言是一種難得的享受。工作讀書以外，我平時(shí)還喜歡寫寫書法，跑步鍛煉身體等。

至于寫文章，在工作中也經(jīng)常需要，從業(yè)到現(xiàn)在，至少寫了500篇了。在《人民日報(bào)》《中國信息安全》等媒體上都有發(fā)表過，有些還是百萬閱讀。工作之外，我也喜歡在朋友圈寫寫生活相關(guān)的文章，也不求閱讀量，只求和朋友們分享當(dāng)時(shí)的所思所想。如今，寫文章對于我來說，已經(jīng)很難區(qū)分是工作需要還是個(gè)人愛好了。

vivo把“數(shù)據(jù)安全、隱私保護(hù)與守法合規(guī)作為企業(yè)研發(fā)經(jīng)營活動中絕對不可以觸碰的紅線和基本底線”，背后正是源于vivo長期對用戶安全隱私的思考和堅(jiān)持。vivo在安全賽道上長期投入，持續(xù)構(gòu)建完整的隱私保護(hù)體系，打造了千鏡安全架構(gòu)、高通SPU芯片級安全守護(hù)、千鏡可信引擎、原子隱私系統(tǒng)等多項(xiàng)安全功能及產(chǎn)品為用戶提供極致的安全守護(hù)。vivo通過自己的實(shí)際行動，在安全行業(yè)樹立了標(biāo)桿和給其它科技企業(yè)起到了示范作用。同時(shí)，vivo率先在業(yè)界提出了人文安全的理念：除了用科技守護(hù)用戶隱私，還需要更透明可控的安全設(shè)計(jì)、更優(yōu)雅易用的安全體驗(yàn)、更關(guān)注特殊人群的隱私保護(hù)需求，從更科技，轉(zhuǎn)變到更人文更有溫度的安全守護(hù)。相信vivo將繼續(xù)在安全行業(yè)“以行踐言”，全力保障用戶隱私安全。

xiesc