《即刻访谈》聚焦网络安全行业专家，分享真知灼见。前辈独具智慧，网络安全路上指点迷津；专家经验丰富，深入对话探讨行业前沿。

本次我们邀请到了看雪社区资深信息安全专家：piaox，一起来听听他的分享吧！

本期嘉宾：熊耀富（看雪id：piaox） 

论坛Web版块前版主

资深信息安全专家/知名CSO，有着近15年的信息安全从业经验，参与过粤省事小程序、平安一账通等重大安全项目建设。先后工作于安恒、深信服等知名安全企业和平安等世界500强金融公司，担任过资深安全专家、安全运营负责人和信息安全总监等职位。既负责过上千人规模的互联网金融公司出海走向国际化进程中的整体安全建设，也参与过具有上万人规模的金融公司应用安全从零开始建设。

Q：熊总您好，很开心能邀请您参与访谈。据我了解您之前有担任过看雪Web版块的版主，请问那是什么时候？

A：你好！是的，承蒙坛主段总信任，2014-2015年期间曾担任过一段时间Web版主，后因工作事项繁忙，精力有限，最终忍痛割舍辞去了版主一职。

Q：我看您从事信息安全已有15余年，非常资深，您刚入行时是科班出身么？您大学学的是什么专业？

A：其实我们读大学那会，几乎就没有信息安全专业，所以谈不上科班出身，一切源于兴趣爱好，我大学读的是软件工程专业，算得上有一些开发基础。

Q：您当时是如何学习信息安全，从哪里开始起步？主要从哪获取学习资源？

A：我是从07年开始接触信息安全，最早主要接触的硬件防火墙类设备，后面通过自学安全渗透开始比较系统的有了安全知识接触。那个年代资源和如今相比，所能涉猎的学习资源相对很有限，主要通过逛tools论坛、看雪学苑和订购安全期刊。

Q：的确很多从事信息安全的同学，最早入行都是从安全渗透开始，您的职业履历很丰富，在甲方乙方都有干过，能分享下甲方、乙方两种角色间的差别吗？

A：从乙方迈入甲方，首先是安全理念的转变，甲方需要更聚焦和理解自身的业务，从思考如何发现业务漏洞到琢磨如何体系化保护业务安全。其次是角色的转变，在乙方时，更偏向于市场导向，某种程度是服务于产品服务销售，安全渗透报告一提交，后面可能是销售公关跟进的事，到甲方后，发现漏洞只是工作中的一环，还需要漏洞闭环修复、安全开发培训、安全基线制定等。

Q：据我了解，乙方的安全技术岗位，一般有安全渗透服务、安全漏洞研究、安全产品售后和安全产品售前等不同岗位，很好奇甲方一般会有哪些安全岗位？

A：甲方其实也会有很多不同安全岗位，但岗位的设置一定程度取决于企业的发展规模大小和对信息安全的重视程度。一般中型规模的公司，安全团队会设置安全运营、安全开发、应用安全、数据安全等不同岗位；更大型规模的公司往往会特别重视业务安全和隐私监管合规，会增加设置业务安全风控、安全内控管理岗位，也会设置红蓝军，不断强化企业自身的攻防对抗水平。而一些较小规模的公司，安全的岗位设置往往就没那么明确，所承担的工作性质会比较杂一点，有时可能会承担一些安全工作外的职责。

Q：您作为一名安全前辈，对新入行的后辈们有什么个人发展建议吗？

A：(笑)安全这行近几年其实也挺卷的，需要保持一颗良好的心态，无论身处甲方还是乙方，其实都有很多成长的机会，建议新入行的同学，结合自身所处情况，定期给自己制定一个既有挑战又可实现的短期成长目标（比如CISSP、PMP拿证，或SRC、CTF排名等），并笃定信念，不断达成。

Q：您前面提到了一些甲方工作性质，比如体系化防护建设，工作闭环管理等，听起来对综合能力要求其实挺高。除了日常积累外，想了解甲方安全建设的朋友们，有没有一些现成资料可以快速弥补这方面知识？

A：首先信息安全攻防双方原本就处在信息不对称状态，我们知道根据木桶原理，安全防护效果不是看木桶挡板的最高处挡板，而是最低处挡板位置。所以常查缺补漏、发现风险、验证风险、消除风险是甲方安全防护建设道路上的常态性工作。

关于甲方安全建设方面的现成资料？世面上有一些，我近期也出了一本关于甲方企业信息安全建设实践方面的书，主要把过去十五年，尤其是近8年在甲方工作的一些实践以书籍的形式进行了一些系统性总结，希望对大家有所帮助。

Q：那太好了，能否向大家介绍一下这本书？其阅读对象及主要内容包含哪些？

A：这本书的书名是《企业信息安全落地实践指南》，阅读对象主要面向立志于甲方企业信息安全建设或想系统了解甲方安全相关建设方面的安全从业者。

本书一共分为七个章节，第一章介绍企业安全目标与团队介绍，第二章介绍安全运营落地实践，第三章介绍数据与隐私安全落地实践、第四章介绍应用安全落地实践、第五章介绍业务安全落地实践、第六章介绍红蓝对抗活动实践、最后一章介绍信息安全管理体系落地实践。每一个章节都是结合甲方真实工作，比较详实的落地总结。

这本书最大的亮点是，首先帮助大家梳理出一家企业，信息安全团队从0到1过程中的各个阶段目标任务，帮助大家清晰的认识到企业现阶段安全发展处于哪个阶段？

其次比较系统的介绍了安全运营、应用安全、数据安全、红蓝对抗及业务安全在甲方的具体工作职责和内容，并结合一些具体实践案例，帮助读者有更好的理解。

最后，这本书全文内容没有任何过多的概念性堆砌介绍，全文都是偏实战性的实践指南。

另外为了让大家对甲方安全运营实践有所了解，特别将书籍中的精华部分制作成了视频，全程由安全运营资深人士带领大家系统性学习安全运营实践知识。

官宣！目前该书籍配套课程《快速实现安全运营自动化（ELK篇）》已在看雪课程平台正式上线，欢迎感兴趣的大佬激情下单~

上新特惠：¥499元（点击购买）

讲师介绍

DK ：某出海金融企业安全运营负责人，《企业信息安全落地实践指南》作者之一。

课程亮点

案例丰富：本课程涵盖了多个实际安全场景的案例，例如系统日志分析警、网络流量分析、web访问日志分析等，每个案例都通过具体的实例演示了如何使用ELK技术栈进行安全日志分析和告警配置。

技能覆盖面广：本课程涵盖了filebeat、winbeat、packetbeat、syslog、logstash等多种常见的日志采集方式，并详细介绍了如何使用这些工具进行安全日志采集的配置，学习者可以了解到多种不同类型的日志采集方式，根据实际情况灵活选择。

实用性强：安全日志分析和告警配置是安全运营中的重要环节，本课程的内容涵盖了安全日志的采集、分析和告警配置，学习者可以在实际工作中应用所学知识。 

听书名和内容介绍，的确是一本非常值得期待的书。如果想要进一步了解如何应对企业数据安全建设的挑战，可以购买学习哦~

点击购买

最后，感谢看雪论坛版主【piaox】 百忙之中抽出时间接受访谈，也感谢熊总曾经对看雪社区的付出。希望这篇采访会对大家有所帮助和启发，最后祝福熊总在未来的信安之路继续披荆斩棘，新书大卖！

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界