【人物】滴滴吳樹鵬：變動不居，四十不惑

吳樹鵬是一個樂於求變的人。

四十年來，他的人生軌跡不斷轉變：他曾在體制內待了7年之久，隨後又轉戰綠盟，從甲方變成了乙方；他曾在普華永道一路順風順水，卻在即將成為合伙人時離開；之後，他又搖身一變，邁進互聯網行業，成為滴滴出行的首席安全顧問——「變」成了他生活的常態：他從變化中不斷汲取著新的營養，又在不斷地追尋著新的變化。

「變則通，通則達」，這句話放在吳樹鵬身上再合適不過——信息安全的世界瞬息萬變，能夠在這個領域立足的，多是在不斷在變化中突破自己，追求新的高度和眼界之人。而吳樹鵬正是其中的佼佼者。

公安生涯：鑄造「金盾」的人

1976年生人的吳樹鵬，今年剛剛邁入一個新的人生節點——所謂「四十不惑」。

在中國人的傳統觀念中，到了這個年紀，人生中的大部分疑惑都已在過往的經歷中找到了答案，對吳樹鵬來說也是如此。如今，他對於自己的評價是：「大方向已經從容了。」

二十年前，當年輕的吳樹鵬走出大學校園時，他一定不會想到，有一天自己會達到這樣的高度。

1998年，畢業於天津理工大學的吳樹鵬參加了公務員考試，對結果，他並不抱有什麼期望——在此之前，吳樹鵬的打算是「進網路公司」，也已經順利拿到了offer，公考只是一次隨大流的嘗試，他甚至沒有做任何複習。然而，結果出乎他的意料：筆試成績80多分，面試也取得了不錯的分數。考慮到工作穩定且專業對口，吳樹鵬最終選擇進入體制，成為一名公務員——在之後的日子裡，他並沒有享受清閑，反而經歷了一次充分的歷練。

彼時，吳樹鵬所在的公安部門正在進行信息化建設，醞釀著緊隨其後的大動作：金盾工程。一切都在緊鑼密鼓地籌備中，而吳樹鵬恰好趕上了這個時間節點。

那是一段緊張而忙碌的時光：在三四年的時間裡，他不斷地輾轉於偏遠地區，每天只能睡三到四個小時，有的時候只能在機房裡休息。饒是這樣勤奮，他面臨的工作依然困難重重：「當時沒有大數據，但我們也充分考慮了可用性、穩定性、高冗餘性、高並發性、許可權問題。並不是有人教，而是我們覺得業務應該這麼做——各種政府數據的保密需求很高，所以對安全的要求高；數據傳輸要跨省跨業務部門，要求很高；可用性要求也很高，不能宕機。我們的考慮，完全是被業務倒逼的。」

「需要考慮的問題很多，所以建的時候很辛苦，」吳樹鵬回憶起當時的細節，「當時沒有現成的資料，而供應商只能解決可用性問題，要解決穩定性、安全性問題，需要不斷地去論壇上查、去看外文資料。這些都是我們自己在學習，不斷地探索、嘗試。」

技術之外的困難同樣干擾著吳樹鵬：「團隊最早是十幾個人，後來到了一百多個——個人管理的瓶頸是20~25人，到了100人左右，管理就難了。包括分工、鬥爭、地盤的劃分，問題接踵而至。」幸好當時有其他成熟的行業可供參考。吳樹鵬借鑒經驗，嘗試著對團隊進行管理。

這段並不輕鬆的時光，讓吳樹鵬獲益匪淺：「一個年輕人能夠擁有省部級的平台，學慣用什麼樣的信息系統，怎麼傳輸、共享、存儲，是很難得的經驗。而且那時，公安數據絕對算是大數據了，其中既有應用管理、資料庫開發，又有後台數據的管理，綜合性很強。在那個位置，我們能比任何公司看得全、研究得深。」

2006年，「金盾工程」項目一期建設項目如期完成。即便在今天看來，「金盾工程」取得的成就都是相當先進乃至超前的：「2010年前後大家都在說縱深防禦，而我們在98年、99年建設時，就已經用到了這種體系化的安全運營。2002年提出本土化的要求，發現了一些技術難點，而98年我們沒有替代能力的，也不必依靠國外的公司了。我離開的時候，技術上已經從三七開變成了七三開——七成以上都是國產化了。」

此時，一個意外觸動了吳樹鵬的神經。

「當時一些機構用了很多最先進的產品和技術，但是發生了嚴重的數據泄露事件，後台數據都被別人搞走了，對我觸動很大。」吳樹鵬開始了深入的思考：「技術方案只要人和錢到位就好了，但是安全還是靠人員的意識、許可權的防範。技術和管理、安全與業務的關係是怎樣的？在體制內我找不到答案。」

2004年底，帶著疑問的吳樹鵬離開體制，去其他地方尋找他的答案。

從綠盟到安達信：站在商業高度看安全

進入商業世界，吳樹鵬選擇了加盟綠盟專業服務部，負責為企業提供技術服務和諮詢服務：「這和我的研究方向結合得最緊密，相當於乙方給甲方解決問題，包括安全規劃、風險評估、技術評估，和我想做的事情很接近。」在綠盟的第一年，吳樹鵬如願獲得了更高的視角。

然而第二年，吳樹鵬發現自己的疑問依然得不到解決：「綠盟更偏重技術服務，但當時我接觸了一個互聯網的客戶，為他們做內部的安全管理體系，偏向於安全管理和運營。我發現這涉及到很多溝通、管理和文化的問題，然而在重視技術的綠盟，這些問題相對技術來說，不那麼被重視。於是，就出現了一個瓶頸。」

吳樹鵬再度離開，這一次他選擇了安達信之下的甫瀚諮詢公司。這一次，他看到了不一樣的風景。

「這家公司給了我非常不一樣的平台，他們在做企業的風險管理，需要站在更高的角度去看，信息安全、IT風險只是其中的一部分。」在這裡，吳樹鵬不再僅僅專註於技術，「以前看只是看風險漏洞，但在這家公司，需要站在商業視角，關注核心的商業問題：財務數據的準確性、核心資產的準確性，財務報告等等都需要關注，核心數據資產和哪些業務流程是緊密相關的？哪些業務產生核心數據？哪些業務需要核心數據？」

此時的吳樹鵬已經不再是一個單純的技術人：「之前做安全評估，我們更多會和IT經理彙報，在甫瀚的時候，我們的彙報對象已經改為CFO甚至更高層的管理者。技術已經不那麼重要，更關鍵的是，利用我們的技術，可以實現什麼樣的商業目標，實現什麼樣的商業價值，用商業語言把IT、信息安全的價值體現出來。」吳樹鵬把在甫瀚的七年視作他職業生涯中的一個重大的里程碑，「這7年是我完整構建安全知識體系、經驗體系、方法論的過程。」

當做到大中華區的聯席董事後，吳樹鵬認為自己遇到了新的瓶頸：「生活開始安逸了，基本上都可以應付自己的工作，可以很舒服地延續下去。生活的安逸就說明處於平緩期了，這個平緩期就看人了，如果不動的話，可以穩定很長一段時間。但是，這不是我想要的生活。」

直到在普華永道工作期間，吳樹鵬一直困擾於自己的「瓶頸」：「職業發展非常順利，工作遊刃有餘，可能很快就是合伙人級別了。」但「不是我想要的」這六個字，一直縈繞在他的心頭揮之不去。他的解決之道和過去相同，只不過這一次顯得更加艱難。

在距離成為合伙人僅有三個月的時候，他終於下定了了決心：「不能再猶豫了。萬一到了頂點，我可能還要猶豫幾年。」

應該如何選擇？答案昭然若揭。這一次，吳樹鵬的方向是互聯網。

尋路滴滴：探索安全與業務的融合點

和最初相比，吳樹鵬走得越來越乾脆利落：「公務員辭職糾結了半年多，說服家人花了半年多，總共將近一年，又走了一年流程——2004年上半年提離職，到了2004年底才離職；從綠盟辭職很快，1個月就搞定。安達信和普華永道離職也很快。」這樣的變化只有一個解釋——他越來越清楚，自己該往哪個方向了。

吳樹鵬把自己的每一次離開歸結為「好奇心和野心」：「n n離開公安部的時候，好奇心為主；離開綠盟時，野心開始佔據比較重要的角色；離開甫瀚的時候，兩者都在交融。」在他自己看來，好奇心的比重顯然更大一些：「好奇心和我個人的性格有關——從小我表面上很老實，但是我的好奇心很重。大概是四五歲時，家裡有一個小鬧鐘，我就特別好奇為什麼每天早上會響，拆到了每一個齒輪，第一次沒裝回去，還被打了一頓，後來研究研究還真裝回去了。電腦也是，從第一台電腦開始就是DIY的，我自己裝完第一遍之後就熟練了，幾個月就能裝成一台。」「這麼說吧，」他總結了一句，「對於很多盒子，我都有好奇心。」

擴展來看，所謂「盒子」，我們不妨理解為未知的空間——對於認識未知的強烈渴望，可以說是一切好奇心的源頭。當這一點延續到吳樹鵬的職業生涯中時，不斷探索新的領域自然成為了他做出選擇的重要動機。

另一個不容忽視的要素是，出於對「一切都習以為常」的厭倦，好奇心強烈的人會積極尋找自己的同類——一群同樣不甘於平凡、樂於探尋新世界的人。「我個人感覺，現在我身邊有好奇心的人會更多，而外企的諮詢公司套路會更多。這也是我在諮詢公司幹了10年不到，又去了互聯網公司的原因之一。」

滴滴安全的發展歷程並不長，僅有一年多的時間。作為首席安全顧問，吳樹鵬的職責是搭建企業安全體系框架：「包括安全業務管理框架，把原先零散的組織起來，整體布局。這是半年裡做的最大的事。」

吳樹鵬的著眼點在於核心數據資產和持續的業務能力，他把自己要做的事情總結為「串起來」：「n n建立數據安全管理體系，賬號、許可權、系統打通，構建基本的安全防護體系後，把外面的數據合作、披露流程、方式控制起來，可以降低核心數據資產被濫用的安全風險。至於持續的業務能力，像宕機時間更少、系統更穩定、用戶響應時間，叫車的穩定性，都需要保證。持續服務能力需要能夠應對高風險，我會從風險的角度串起來。」吳樹鵬如數家珍，說得很有興頭，如同童年時的他，把一個個零件組裝成一個完整的鬧鐘。

滴滴也充分滿足了他其餘的好奇心：「滴滴的業務是很有意思的，其實滴滴的業務模式，包括在互聯網環境下的大數據、高可用性，是我在乙方諮詢公司時考慮得很少的。很多時候，如果不是身在企業里，你是不會去考慮的。我們現在日均2000萬單，如何保證數據安全，又不影響效率，挑戰很大。對知識體系、對經驗的要求和挑戰都會更高。」

這對於對安全已經形成了完整認識的吳樹鵬來說並不算太難。多年以前離開體制時懷揣的疑問，他也早已找到了答案：「做安全的人很多時候容易陷入到一個怪圈，將自己和業務獨立起來，用技術去框住自己。這樣一來，就天然地將自己和業務對立起來。我覺得，安全人員在懂技術的時候，一定要懂業務。現在圈子裡攻防比較熱，對企業也有很大價值，但是在我看來，體現安全商業價值的，不只是攻防，其實還有對於安全風險的理解。以風險、業務為導向，安全如何落地，如何和業務結合起來，這樣其實就跳出了攻防的視角。」

「我一般會提以風險為導向的安全和以業務為導向的安全、安全投入大小和業務風險結合起來，和企業的風險管理結合很緊密。有時候，高風險才是需要投入，但是低風險就可能沒必要投入。另一個業務導向就是為了業務保駕護航，可以為業務做增值，以滴滴來說，安全不只是附加品，更是業務屬性，否則大家人身就可能受到威脅。」

「安全和業務的關係是什麼？」吳樹鵬給出了答案：「安全必須和業務緊密結合，甚至可以說，安全不是從屬於業務，而是安全本身就是業務的核心屬性。」

如今的吳樹鵬顯然已經不再年輕了：從三十五歲開始，他已經不再能熬夜，而是每周兩天在凌晨四點起床，在頭腦清明、世界清靜時讀書和思考。他也不再像年輕時一樣和朋友在酒吧聚會、進行無謂的應酬，而是打高爾夫放鬆，或者在家陪陪孩子。「周末盡量保證陪孩子度過，這是我的防火牆設置。」他笑著解釋道。

從各種方面看，吳樹鵬都進入了四十歲的狀態——然而最重要的是，在四十年的變化、探尋後，他找到了屬於自己的答案和道路。現在，他真真切切地「不惑」了。而未來，則是他從容地大展身手的舞台。

推薦閱讀：

林旭濱：做平均值中的出眾者

劉聞歡：讓我來補上中國自主可控的「深度」

張照龍的佛法創業經：修鍊迷茫時代感受幸福的能力

劉曉韜：創業，我就要做最好的資料庫安全！

陳奮的傳奇：「安全狗」如何變成哮天犬？