【人物】滴滴吳樹鵬:變動不居,四十不惑

吳樹鵬是一個樂於求變的人。

四十年來,他的人生軌跡不斷轉變:他曾在體制內待了7年之久,隨後又轉戰綠盟,從甲方變成了乙方;他曾在普華永道一路順風順水,卻在即將成為合伙人時離開;之後,他又搖身一變,邁進互聯網行業,成為滴滴出行的首席安全顧問——「變」成了他生活的常態:他從變化中不斷汲取著新的營養,又在不斷地追尋著新的變化。

「變則通,通則達」,這句話放在吳樹鵬身上再合適不過——信息安全的世界瞬息萬變,能夠在這個領域立足的,多是在不斷在變化中突破自己,追求新的高度和眼界之人。而吳樹鵬正是其中的佼佼者。

公安生涯:鑄造「金盾」的人

1976年生人的吳樹鵬,今年剛剛邁入一個新的人生節點——所謂「四十不惑」。

在中國人的傳統觀念中,到了這個年紀,人生中的大部分疑惑都已在過往的經歷中找到了答案,對吳樹鵬來說也是如此。如今,他對於自己的評價是:「大方向已經從容了。」

二十年前,當年輕的吳樹鵬走出大學校園時,他一定不會想到,有一天自己會達到這樣的高度。

1998年,畢業於天津理工大學的吳樹鵬參加了公務員考試,對結果,他並不抱有什麼期望——在此之前,吳樹鵬的打算是「進網路公司」,也已經順利拿到了offer,公考只是一次隨大流的嘗試,他甚至沒有做任何複習。然而,結果出乎他的意料:筆試成績80多分,面試也取得了不錯的分數。考慮到工作穩定且專業對口,吳樹鵬最終選擇進入體制,成為一名公務員——在之後的日子裡,他並沒有享受清閑,反而經歷了一次充分的歷練。

彼時,吳樹鵬所在的公安部門正在進行信息化建設,醞釀著緊隨其後的大動作:金盾工程。一切都在緊鑼密鼓地籌備中,而吳樹鵬恰好趕上了這個時間節點。

那是一段緊張而忙碌的時光:在三四年的時間裡,他不斷地輾轉於偏遠地區,每天只能睡三到四個小時,有的時候只能在機房裡休息。饒是這樣勤奮,他面臨的工作依然困難重重:「當時沒有大數據,但我們也充分考慮了可用性、穩定性、高冗餘性、高並發性、許可權問題。並不是有人教,而是我們覺得業務應該這麼做——各種政府數據的保密需求很高,所以對安全的要求高;數據傳輸要跨省跨業務部門,要求很高;可用性要求也很高,不能宕機。我們的考慮,完全是被業務倒逼的。」

「需要考慮的問題很多,所以建的時候很辛苦,」吳樹鵬回憶起當時的細節,「當時沒有現成的資料,而供應商只能解決可用性問題,要解決穩定性、安全性問題,需要不斷地去論壇上查、去看外文資料。這些都是我們自己在學習,不斷地探索、嘗試。」

技術之外的困難同樣干擾著吳樹鵬:「團隊最早是十幾個人,後來到了一百多個——個人管理的瓶頸是20~25人,到了100人左右,管理就難了。包括分工、鬥爭、地盤的劃分,問題接踵而至。」幸好當時有其他成熟的行業可供參考。吳樹鵬借鑒經驗,嘗試著對團隊進行管理。

這段並不輕鬆的時光,讓吳樹鵬獲益匪淺:「一個年輕人能夠擁有省部級的平台,學慣用什麼樣的信息系統,怎麼傳輸、共享、存儲,是很難得的經驗。而且那時,公安數據絕對算是大數據了,其中既有應用管理、資料庫開發,又有後台數據的管理,綜合性很強。在那個位置,我們能比任何公司看得全、研究得深。」

2006年,「金盾工程」項目一期建設項目如期完成。即便在今天看來,「金盾工程」取得的成就都是相當先進乃至超前的:「2010年前後大家都在說縱深防禦,而我們在98年、99年建設時,就已經用到了這種體系化的安全運營。2002年提出本土化的要求,發現了一些技術難點,而98年我們沒有替代能力的,也不必依靠國外的公司了。我離開的時候,技術上已經從三七開變成了七三開——七成以上都是國產化了。」

此時,一個意外觸動了吳樹鵬的神經。

「當時一些機構用了很多最先進的產品和技術,但是發生了嚴重的數據泄露事件,後台數據都被別人搞走了,對我觸動很大。」吳樹鵬開始了深入的思考:「技術方案只要人和錢到位就好了,但是安全還是靠人員的意識、許可權的防範。技術和管理、安全與業務的關係是怎樣的?在體制內我找不到答案。」

2004年底,帶著疑問的吳樹鵬離開體制,去其他地方尋找他的答案。

從綠盟到安達信:站在商業高度看安全

進入商業世界,吳樹鵬選擇了加盟綠盟專業服務部,負責為企業提供技術服務和諮詢服務:「這和我的研究方向結合得最緊密,相當於乙方給甲方解決問題,包括安全規劃、風險評估、技術評估,和我想做的事情很接近。」在綠盟的第一年,吳樹鵬如願獲得了更高的視角。

然而第二年,吳樹鵬發現自己的疑問依然得不到解決:「綠盟更偏重技術服務,但當時我接觸了一個互聯網的客戶,為他們做內部的安全管理體系,偏向於安全管理和運營。我發現這涉及到很多溝通、管理和文化的問題,然而在重視技術的綠盟,這些問題相對技術來說,不那麼被重視。於是,就出現了一個瓶頸。」

吳樹鵬再度離開,這一次他選擇了安達信之下的甫瀚諮詢公司。這一次,他看到了不一樣的風景。

「這家公司給了我非常不一樣的平台,他們在做企業的風險管理,需要站在更高的角度去看,信息安全、IT風險只是其中的一部分。」在這裡,吳樹鵬不再僅僅專註於技術,「以前看只是看風險漏洞,但在這家公司,需要站在商業視角,關注核心的商業問題:財務數據的準確性、核心資產的準確性,財務報告等等都需要關注,核心數據資產和哪些業務流程是緊密相關的?哪些業務產生核心數據?哪些業務需要核心數據?」

此時的吳樹鵬已經不再是一個單純的技術人:「之前做安全評估,我們更多會和IT經理彙報,在甫瀚的時候,我們的彙報對象已經改為CFO甚至更高層的管理者。技術已經不那麼重要,更關鍵的是,利用我們的技術,可以實現什麼樣的商業目標,實現什麼樣的商業價值,用商業語言把IT、信息安全的價值體現出來。」吳樹鵬把在甫瀚的七年視作他職業生涯中的一個重大的里程碑,「這7年是我完整構建安全知識體系、經驗體系、方法論的過程。」

當做到大中華區的聯席董事後,吳樹鵬認為自己遇到了新的瓶頸:「生活開始安逸了,基本上都可以應付自己的工作,可以很舒服地延續下去。生活的安逸就說明處於平緩期了,這個平緩期就看人了,如果不動的話,可以穩定很長一段時間。但是,這不是我想要的生活。」

直到在普華永道工作期間,吳樹鵬一直困擾於自己的「瓶頸」:「職業發展非常順利,工作遊刃有餘,可能很快就是合伙人級別了。」但「不是我想要的」這六個字,一直縈繞在他的心頭揮之不去。他的解決之道和過去相同,只不過這一次顯得更加艱難。

在距離成為合伙人僅有三個月的時候,他終於下定了了決心:「不能再猶豫了。萬一到了頂點,我可能還要猶豫幾年。」

應該如何選擇?答案昭然若揭。這一次,吳樹鵬的方向是互聯網。

尋路滴滴:探索安全與業務的融合點

和最初相比,吳樹鵬走得越來越乾脆利落:「公務員辭職糾結了半年多,說服家人花了半年多,總共將近一年,又走了一年流程——2004年上半年提離職,到了2004年底才離職;從綠盟辭職很快,1個月就搞定。安達信和普華永道離職也很快。」這樣的變化只有一個解釋——他越來越清楚,自己該往哪個方向了。

吳樹鵬把自己的每一次離開歸結為「好奇心和野心」:「n n離開公安部的時候,好奇心為主;離開綠盟時,野心開始佔據比較重要的角色;離開甫瀚的時候,兩者都在交融。」在他自己看來,好奇心的比重顯然更大一些:「好奇心和我個人的性格有關——從小我表面上很老實,但是我的好奇心很重。大概是四五歲時,家裡有一個小鬧鐘,我就特別好奇為什麼每天早上會響,拆到了每一個齒輪,第一次沒裝回去,還被打了一頓,後來研究研究還真裝回去了。電腦也是,從第一台電腦開始就是DIY的,我自己裝完第一遍之後就熟練了,幾個月就能裝成一台。」「這麼說吧,」他總結了一句,「對於很多盒子,我都有好奇心。」

擴展來看,所謂「盒子」,我們不妨理解為未知的空間——對於認識未知的強烈渴望,可以說是一切好奇心的源頭。當這一點延續到吳樹鵬的職業生涯中時,不斷探索新的領域自然成為了他做出選擇的重要動機。

另一個不容忽視的要素是,出於對「一切都習以為常」的厭倦,好奇心強烈的人會積極尋找自己的同類——一群同樣不甘於平凡、樂於探尋新世界的人。「我個人感覺,現在我身邊有好奇心的人會更多,而外企的諮詢公司套路會更多。這也是我在諮詢公司幹了10年不到,又去了互聯網公司的原因之一。」

滴滴安全的發展歷程並不長,僅有一年多的時間。作為首席安全顧問,吳樹鵬的職責是搭建企業安全體系框架:「包括安全業務管理框架,把原先零散的組織起來,整體布局。這是半年裡做的最大的事。」

吳樹鵬的著眼點在於核心數據資產和持續的業務能力,他把自己要做的事情總結為「串起來」:「n n建立數據安全管理體系,賬號、許可權、系統打通,構建基本的安全防護體系後,把外面的數據合作、披露流程、方式控制起來,可以降低核心數據資產被濫用的安全風險。至於持續的業務能力,像宕機時間更少、系統更穩定、用戶響應時間,叫車的穩定性,都需要保證。持續服務能力需要能夠應對高風險,我會從風險的角度串起來。」吳樹鵬如數家珍,說得很有興頭,如同童年時的他,把一個個零件組裝成一個完整的鬧鐘。

滴滴也充分滿足了他其餘的好奇心:「滴滴的業務是很有意思的,其實滴滴的業務模式,包括在互聯網環境下的大數據、高可用性,是我在乙方諮詢公司時考慮得很少的。很多時候,如果不是身在企業里,你是不會去考慮的。我們現在日均2000萬單,如何保證數據安全,又不影響效率,挑戰很大。對知識體系、對經驗的要求和挑戰都會更高。」

這對於對安全已經形成了完整認識的吳樹鵬來說並不算太難。多年以前離開體制時懷揣的疑問,他也早已找到了答案:「做安全的人很多時候容易陷入到一個怪圈,將自己和業務獨立起來,用技術去框住自己。這樣一來,就天然地將自己和業務對立起來。我覺得,安全人員在懂技術的時候,一定要懂業務。現在圈子裡攻防比較熱,對企業也有很大價值,但是在我看來,體現安全商業價值的,不只是攻防,其實還有對於安全風險的理解。以風險、業務為導向,安全如何落地,如何和業務結合起來,這樣其實就跳出了攻防的視角。」

「我一般會提以風險為導向的安全和以業務為導向的安全、安全投入大小和業務風險結合起來,和企業的風險管理結合很緊密。有時候,高風險才是需要投入,但是低風險就可能沒必要投入。另一個業務導向就是為了業務保駕護航,可以為業務做增值,以滴滴來說,安全不只是附加品,更是業務屬性,否則大家人身就可能受到威脅。」

「安全和業務的關係是什麼?」吳樹鵬給出了答案:「安全必須和業務緊密結合,甚至可以說,安全不是從屬於業務,而是安全本身就是業務的核心屬性。」

如今的吳樹鵬顯然已經不再年輕了:從三十五歲開始,他已經不再能熬夜,而是每周兩天在凌晨四點起床,在頭腦清明、世界清靜時讀書和思考。他也不再像年輕時一樣和朋友在酒吧聚會、進行無謂的應酬,而是打高爾夫放鬆,或者在家陪陪孩子。「周末盡量保證陪孩子度過,這是我的防火牆設置。」他笑著解釋道。

從各種方面看,吳樹鵬都進入了四十歲的狀態——然而最重要的是,在四十年的變化、探尋後,他找到了屬於自己的答案和道路。現在,他真真切切地「不惑」了。而未來,則是他從容地大展身手的舞台。

推薦閱讀

林旭濱:做平均值中的出眾者

劉聞歡:讓我來補上中國自主可控的「深度」

張照龍的佛法創業經:修鍊迷茫時代感受幸福的能力

劉曉韜:創業,我就要做最好的資料庫安全!

陳奮的傳奇:「安全狗」如何變成哮天犬?


推薦閱讀:

【安全會議】ISC中國互聯網安全大會五歲啦!
報告 | 黑客利用電話號碼竊取百萬比特幣
如何成為一名黑客

TAG:滴滴 | 网络安全 | 黑客Hacker |