本期嘉賓介紹

劉洪善，網(wǎng)絡(luò)安全碩士畢業(yè)，現(xiàn)任vivo安全產(chǎn)品總監(jiān)，歷任國(guó)際知名智能終端科技公司、互聯(lián)網(wǎng)大廠的應(yīng)用安全產(chǎn)品負(fù)責(zé)人、安全隱私規(guī)劃負(fù)責(zé)人、云安全產(chǎn)品負(fù)責(zé)人、高級(jí)安全工程師等職務(wù)。曾參與多個(gè)影響行業(yè)格局的安全隱私項(xiàng)目，在網(wǎng)絡(luò)安全行業(yè)擁有豐富的戰(zhàn)略規(guī)劃、技術(shù)與產(chǎn)品落地、市場(chǎng)營(yíng)銷(xiāo)與運(yùn)營(yíng)管理等經(jīng)驗(yàn)。

??Freebuf：劉總，今天很高興能采訪您。作為安全業(yè)界的大咖、專(zhuān)家，您一定有很多的思想見(jiàn)解，想分享給業(yè)界和廣大用戶(hù)。

??劉洪善：謝謝主持人，很高興能接受Freebuf這樣一家業(yè)界資深的權(quán)威安全媒體的采訪。不過(guò)請(qǐng)?jiān)试S我聲明一點(diǎn)，今天我就是作為一個(gè)普通安全從業(yè)者隨便聊聊天，不是專(zhuān)家，更不是大咖，可能不能像業(yè)界的許多前輩和大牛一樣，提供很多超前或者有趣的觀點(diǎn)，請(qǐng)見(jiàn)諒。

??Freebuf：好的。請(qǐng)您講講個(gè)人在網(wǎng)絡(luò)安全方面的教育經(jīng)歷，包括為什么選擇安全專(zhuān)業(yè)，以及求學(xué)過(guò)程中與網(wǎng)絡(luò)安全相關(guān)的趣事，包括自我學(xué)習(xí)，攻防研究等。

??劉洪善：我的教育經(jīng)歷比較簡(jiǎn)單。在工作之前，我除了喜愛(ài)看書(shū)以外，沒(méi)有多少想法和愛(ài)好。

我從初中才開(kāi)始接觸計(jì)算機(jī)，那時(shí)對(duì)于計(jì)算機(jī)也沒(méi)有多少認(rèn)識(shí)，只是覺(jué)著很好玩，也正是在那個(gè)時(shí)候互聯(lián)網(wǎng)給我留下了很深的印象。

高中文理分科時(shí)，我和大多數(shù)人一樣，選擇了理科，但那時(shí)候有點(diǎn)“不誤正業(yè)”，因?yàn)槲覀兏咧械那吧硎峭蹶?yáng)明創(chuàng)建的，文史氛圍比較濃，所以那時(shí)候我就經(jīng)常泡在圖書(shū)館看明史、看王陽(yáng)明的心學(xué)。

高中的時(shí)候我還十分迷戀籃球，迷戀到什么程度呢？高考的前一天，我還在冒著大雨打球，打了一天，結(jié)果晚上發(fā)高燒。后面高考兩天，我就一邊吃著校醫(yī)開(kāi)的藥，一邊迷迷糊糊的考試。沒(méi)想到最后成績(jī)還可以，但最終還是和心儀的大學(xué)失之交臂，并被調(diào)劑到了我的母?！暇┼]電大學(xué)，還很幸運(yùn)的被錄取到了學(xué)校最好的專(zhuān)業(yè)——通信工程。

直到那時(shí)，我才真正開(kāi)始系統(tǒng)的學(xué)習(xí)各種計(jì)算機(jī)相關(guān)內(nèi)容，包括硬件知識(shí)、編程語(yǔ)言、操作系統(tǒng)等。現(xiàn)在還第一次寫(xiě)出了自己的網(wǎng)頁(yè)和安卓程序的時(shí)刻記憶猶新，創(chuàng)新研發(fā)給我?guī)?lái)了極大的滿(mǎn)足感和成就感。

而我真正算是接觸網(wǎng)絡(luò)安全領(lǐng)域，還是在一次十分偶然的情況下發(fā)生的。那是大三的時(shí)候，我照常在圖書(shū)館泡著，偶然看到了一本安全攻防相關(guān)的書(shū)。粗略閱讀之后，我發(fā)現(xiàn)里面都是些“搗蛋”的有趣事情，十分好玩。于是，我就照著書(shū)上說(shuō)的試著做了幾個(gè)小木馬，并把它們放在學(xué)校機(jī)房里捉弄大家，偶爾也用工具給各大網(wǎng)站尋找安全漏洞，那時(shí)玩得不亦樂(lè)乎，也是大學(xué)里和安全最相關(guān)的事情了。

臨近大學(xué)畢業(yè)，看著空空如也的錢(qián)包，我決定去工作。這時(shí)幾個(gè)要好的同學(xué)卻拉著我一起去考研，他們開(kāi)玩笑說(shuō)“離考試也就2個(gè)月了，試試唄，萬(wàn)一就考上了呢?！?/p>

我想想也是，反正后面工作時(shí)間還長(zhǎng)著呢，也不差這兩個(gè)月時(shí)間。沒(méi)想到這一考還真就考上了。由于大學(xué)時(shí)期比較喜歡 “網(wǎng)絡(luò)安全”，這次讀研就選擇了網(wǎng)絡(luò)安全專(zhuān)業(yè)。那時(shí)這個(gè)專(zhuān)業(yè)遠(yuǎn)沒(méi)有像現(xiàn)在這么普遍，國(guó)內(nèi)開(kāi)設(shè)網(wǎng)絡(luò)空間安全相關(guān)課程的院校很少，大家基本都還處于摸索之中，很多時(shí)候也要靠自學(xué)。而我卻十分有幸地跟著我的導(dǎo)師吳蒙教授，三年里，深入學(xué)習(xí)了安全相關(guān)的各類(lèi)技術(shù)和體系，從密碼學(xué)到隱私計(jì)算，從安全開(kāi)發(fā)到安全運(yùn)維，幾乎都有涉獵，還基于剛興起的安卓寫(xiě)了不少安全原型，收獲頗多。

回首往昔，多年的求學(xué)生涯是我人生中最輕松的一段時(shí)光了，看看書(shū)，考考試，發(fā)發(fā)論文，寫(xiě)寫(xiě)原型，偶爾到“烏云網(wǎng)”提交點(diǎn)小漏洞換本書(shū)，很愜意。我最喜歡的事情就是看各種書(shū)籍，特別是在大學(xué)期間，我不怎么愛(ài)去上課，大多數(shù)時(shí)間都是在圖書(shū)館里看書(shū)自學(xué)，科技、歷史、文學(xué)……什么都看，精神世界不可謂不豐富。讀書(shū)閑暇之余，就和同學(xué)們一起縱情山水，南京畢竟是六朝古都、十朝都會(huì)，可玩的景點(diǎn)非常多，例如中山陵、玄武湖、明孝陵……

毫不謙虛的說(shuō)，在大學(xué)之前，我還只是個(gè)“三無(wú)”人員，無(wú)目的、無(wú)規(guī)劃、無(wú)準(zhǔn)備，除了愛(ài)看書(shū)自學(xué)，也沒(méi)什么特別的地方，就憑著一股子興趣闖到了網(wǎng)絡(luò)安全領(lǐng)域里。但當(dāng)我踏入了這個(gè)領(lǐng)域之后，就再也沒(méi)有動(dòng)搖過(guò)，一晃就過(guò)了這十年。

??Freebuf：可否分享下，您在vivo之前的工作經(jīng)歷，以及每段經(jīng)歷給您帶來(lái)的成長(zhǎng)和思考？

??劉洪善：說(shuō)起來(lái)，我的工作經(jīng)歷可能比教育經(jīng)歷還簡(jiǎn)單。

畢業(yè)后，我進(jìn)入了一家創(chuàng)業(yè)公司，成為一名安全工程師。當(dāng)時(shí)很幸運(yùn)，遇到了飛龍（郭耀）、加菲貓2位安全大牛，正是在他們的引導(dǎo)下，我才真正從學(xué)校時(shí)“想象中的安全”進(jìn)入“實(shí)際中的安全”。那時(shí)這個(gè)創(chuàng)業(yè)公司遠(yuǎn)沒(méi)有現(xiàn)在這么厲害，第一天入職時(shí)，同學(xué)問(wèn)我入職的感受，我吐槽“像進(jìn)了一個(gè)作坊”，和想象中高大上的CBD完全沒(méi)有關(guān)聯(lián)。

那時(shí)，安全團(tuán)隊(duì)也還只有四五個(gè)人，遠(yuǎn)沒(méi)有現(xiàn)在這么強(qiáng)大。當(dāng)時(shí)最大的感觸就是創(chuàng)業(yè)不易，企業(yè)因?yàn)槌杀臼找娴目剂?，基本只能做安全體系中某幾塊。在資源有限的條件下，安全要做什么、怎么做，得按照優(yōu)先級(jí)進(jìn)行排序，選擇幾個(gè)真正能夠開(kāi)展得下去的安全工作去做。學(xué)術(shù)范圍內(nèi)的理想安全體系，有非常強(qiáng)的指導(dǎo)意義，但不一定適合于企業(yè)的實(shí)際情況。也因?yàn)槭莿?chuàng)業(yè)狀態(tài)，所以什么都得自己干，例如寫(xiě)代碼、找漏洞、產(chǎn)品設(shè)計(jì)、安全管理等，讓我更加全面地了解安全，也為后續(xù)的工作打下了扎實(shí)的基礎(chǔ)。

再往后，加入了某互聯(lián)網(wǎng)大廠，有幸在馬杰、林曉東、劉蕊紅等業(yè)界舉足輕重的前輩的指導(dǎo)下工作，跟一幫非常優(yōu)秀的同事，做了幾年的安全管理、安全工程和安全產(chǎn)品，參與了內(nèi)部各類(lèi)安全平臺(tái)的建設(shè)，也參與了各類(lèi)外部項(xiàng)目，例如網(wǎng)址安全中心、云加速等，對(duì)安全體系和安全技術(shù)產(chǎn)品理解更深刻了，從開(kāi)發(fā)、到產(chǎn)品落地、到商業(yè)運(yùn)營(yíng)的閉環(huán)都有了新的認(rèn)識(shí)。那時(shí)安全團(tuán)隊(duì)同樣也沒(méi)有現(xiàn)在這么強(qiáng)大，基本也是“大公司里創(chuàng)業(yè)”，我也不得不再次提升自己的綜合能力，從一名安全工程師，慢慢向綜合的安全技術(shù)產(chǎn)品方向發(fā)展。此時(shí)思考得更多的是，企業(yè)和用戶(hù)需要什么安全技術(shù)產(chǎn)品，怎么做好用戶(hù)體驗(yàn)，怎么讓用戶(hù)滿(mǎn)意，所以技術(shù)、產(chǎn)品、運(yùn)營(yíng)都有所涉獵，自己也得以在安全領(lǐng)域里“橫向發(fā)展”。

后來(lái)，由于霧霾等原因，我萌發(fā)了回南方的想法。恰好另一家國(guó)際知名的智能終端科技公司，也就是我的前東家，正在尋找安全方面的人選，于是就來(lái)到了深圳，參與了這家公司云安全產(chǎn)品體系從0到1的構(gòu)建。在這里的五年，是我職業(yè)生涯中最受錘煉的一段時(shí)間，整個(gè)人有點(diǎn)“脫胎換骨”的感覺(jué)?？偟膩?lái)說(shuō)，既做了很多工作，也犯過(guò)一些錯(cuò)誤，個(gè)人職業(yè)起起落落，對(duì)于成長(zhǎng)十分有幫助。

而從甲方到乙方的轉(zhuǎn)變，也讓我對(duì)安全的理解有了明顯的變化。從前幾年思考怎么去做一個(gè)技術(shù)、產(chǎn)品，逐漸變成了怎么讓一個(gè)技術(shù)產(chǎn)品做到世界領(lǐng)先、獲得好的用戶(hù)體驗(yàn)、取得好的商業(yè)表現(xiàn)。所以需要操心的事情就更多了，從安全戰(zhàn)略規(guī)劃到產(chǎn)品落地再到運(yùn)營(yíng)，都要忙活。例如在戰(zhàn)略規(guī)劃層面，通過(guò)三個(gè)核心要素——調(diào)查分析、指導(dǎo)方針、連貫性活動(dòng)確定一個(gè)協(xié)調(diào)的、可落地的戰(zhàn)略，通過(guò)BLM模型、“五看三定”等方法論來(lái)明確自身在業(yè)界的位置，并采取相應(yīng)的競(jìng)爭(zhēng)戰(zhàn)略。在產(chǎn)品落地層面，通過(guò)IPD需求打分、KANO、RICE、價(jià)值工程等需求模型，來(lái)判斷需求的價(jià)值和優(yōu)先級(jí)，按MVP原則、HEART框架等去落地功能滿(mǎn)足用戶(hù)需求，并根據(jù)用戶(hù)反饋快速迭代。在運(yùn)營(yíng)層面，通過(guò)上市操盤(pán)，加強(qiáng)用戶(hù)心智，通過(guò)NPS、產(chǎn)品數(shù)據(jù)、VOC來(lái)判斷產(chǎn)品體驗(yàn)并加以改進(jìn)等。我加入前公司的的時(shí)候，它的云市場(chǎng)份額還在Others，離開(kāi)的時(shí)候，已經(jīng)是中國(guó)第二、全球前五。當(dāng)然，這樣的結(jié)果不依賴(lài)于個(gè)體，而是集體努力的結(jié)果。

我在前公司還參與了一個(gè)自研操作系統(tǒng)的安全隱私規(guī)劃和落地，以及應(yīng)用安全產(chǎn)品的規(guī)劃和落地等等。

需要說(shuō)明的是，上述任何一個(gè)工作，都是集體努力的結(jié)果。因?yàn)楝F(xiàn)在的互聯(lián)網(wǎng)/IT行業(yè)早已過(guò)了單打獨(dú)斗的“作坊式”時(shí)代，任何一個(gè)大型的技術(shù)產(chǎn)品項(xiàng)目/商業(yè)項(xiàng)目，沒(méi)有集體的緊密配合是難以完成的。說(shuō)得直白一點(diǎn)，沒(méi)有公司開(kāi)工資，沒(méi)有開(kāi)發(fā)、產(chǎn)品、運(yùn)維、運(yùn)營(yíng)等等團(tuán)隊(duì)的配合，一個(gè)人什么工作也做不了。包括我本人，都是團(tuán)隊(duì)的一份子，依賴(lài)團(tuán)隊(duì)的力量和支持，有幸與大家一起做了些工作而已。

? Freebuf：非常有趣的經(jīng)歷和思考！現(xiàn)在在vivo呢，有什么感想？

? 劉洪善：2021年10月，我來(lái)到了vivo。因?yàn)檫@段經(jīng)歷太短了，雖然也參與了不少工作，例如vivo X Fold、X Note等手機(jī)安全隱私功能的策劃與落地，但還有許多工作還沒(méi)做，所以暫時(shí)不好說(shuō)。而且vivo是我的現(xiàn)公司，我也非常喜歡這家公司，但說(shuō)多了，多少有點(diǎn)“王婆賣(mài)瓜，自賣(mài)自夸”的嫌疑。

不過(guò)，客觀的說(shuō)，vivo是一家完全以用戶(hù)為導(dǎo)向的簡(jiǎn)單、純粹的公司，一切工作都圍繞用戶(hù)需求展開(kāi)，因此我非常享受這里的工作氛圍。我在這里的主要工作，跟我之前的經(jīng)歷差不多——負(fù)責(zé)公司安全賽道的技術(shù)產(chǎn)品規(guī)劃、落地和商業(yè)運(yùn)營(yíng)，通過(guò)安全規(guī)劃鐵三角、產(chǎn)品管理與安全運(yùn)營(yíng)的閉環(huán)，打造一流的安全產(chǎn)品，牽引公司安全技術(shù)的發(fā)展，為幾億用戶(hù)的隱私安全保駕護(hù)航。

目標(biāo)是有了，使命也提出了，關(guān)鍵在于團(tuán)隊(duì)整體的能力，能否承擔(dān)這樣的目標(biāo)和使命。所以我這半年很大的精力是在組建和培養(yǎng)團(tuán)隊(duì)，特別是專(zhuān)業(yè)能力要首先構(gòu)建起來(lái)，沒(méi)有專(zhuān)業(yè)性，別的事情都是空中樓閣。這是一份激動(dòng)人心的工作，我非常珍惜，也非常努力地履行著我的工作職責(zé)，希望明年這個(gè)時(shí)候有更多創(chuàng)新的技術(shù)產(chǎn)品可以跟大家分享。

? Freebuf：什么專(zhuān)業(yè)能力？

? 劉洪善：無(wú)論在安全行業(yè)里從事攻防、開(kāi)發(fā)還是產(chǎn)品等工作，專(zhuān)業(yè)能力的基礎(chǔ)都是對(duì)所在行業(yè)長(zhǎng)年的積累和理解。我從不相信沒(méi)在一個(gè)行業(yè)深耕個(gè)五到十年，只是靠網(wǎng)上搜來(lái)的幾條信息、聽(tīng)了幾次報(bào)告，就成了“專(zhuān)家”。如果這么簡(jiǎn)單，本身就說(shuō)明這個(gè)行業(yè)沒(méi)什么門(mén)檻，更沒(méi)有什么發(fā)展前景。

在行業(yè)積累的基礎(chǔ)上，規(guī)劃、產(chǎn)品類(lèi)的通用技能的精深，可以幫助個(gè)人和團(tuán)隊(duì)更好的發(fā)展。按業(yè)界最佳實(shí)踐，規(guī)劃、產(chǎn)品類(lèi)的核心能力是6個(gè)：路標(biāo)/產(chǎn)品組合規(guī)劃能力、產(chǎn)品或解決方案規(guī)劃和定義能力、產(chǎn)品洞察與競(jìng)爭(zhēng)分析能力、創(chuàng)新和孵化能力、需求分析與管理能力、用戶(hù)研究能力，一般選擇2-3個(gè)進(jìn)行深耕就可以。

這里多感慨一句，我們做安全的人，有時(shí)太容易一下子鉆到單個(gè)技術(shù)產(chǎn)品細(xì)節(jié)里了，這樣的鉆研精神是非常好的，但有時(shí)也有副作用，那就是忘了用戶(hù)、忘了市場(chǎng)，沒(méi)有規(guī)劃、沒(méi)有部署，最后導(dǎo)致開(kāi)發(fā)出的技術(shù)產(chǎn)品離用戶(hù)需求非常遠(yuǎn)，用戶(hù)不滿(mǎn)意，商業(yè)結(jié)果不理想，團(tuán)隊(duì)和技術(shù)就難以為繼。這樣的教訓(xùn)太多、也太慘痛了。所以，直到現(xiàn)在，我雖然依然熱愛(ài)技術(shù)產(chǎn)品，對(duì)技術(shù)產(chǎn)品細(xì)節(jié)也非常關(guān)注，但經(jīng)常會(huì)刻意的拉著自己回到現(xiàn)實(shí)，去思考怎么才能帶領(lǐng)團(tuán)隊(duì)用好的技術(shù)產(chǎn)品，真正滿(mǎn)足用戶(hù)需求，帶來(lái)好的用戶(hù)體驗(yàn)。

? Freebuf：眾所周知，當(dāng)下隱私安全已經(jīng)是國(guó)家、社會(huì)、企業(yè)和用戶(hù)關(guān)注的焦點(diǎn)，而vivo也一直非常注重隱私安全，那么請(qǐng)您分享vivo在隱私安全方面的思考與實(shí)踐。

? 劉洪善：vivo有完整的安全認(rèn)知、組織、流程和實(shí)踐，可以概括為隱私安全“三度”：高度、深度和溫度。

高度，即從公司戰(zhàn)略層面，重視和保障隱私保護(hù)投入。戰(zhàn)略，對(duì)任何公司都是根本性的，vivo把用戶(hù)數(shù)據(jù)安全與隱私保護(hù)提升到公司戰(zhàn)略層面，也就保證了vivo在安全上的長(zhǎng)期投入，能夠用最新最好的科技來(lái)保護(hù)用戶(hù)隱私。

深度，也就是在公司戰(zhàn)略的牽引下，把隱私安全技術(shù)產(chǎn)品體系做扎實(shí)。為了踐行安全戰(zhàn)略，vivo經(jīng)過(guò)對(duì)行業(yè)的深入分析和洞察，結(jié)合內(nèi)部實(shí)踐，總結(jié)明確了隱私保護(hù)三原則——透明可控、隱私端側(cè)處理和數(shù)據(jù)最小化。這三個(gè)原則，已經(jīng)融入到vivo的產(chǎn)品和服務(wù)設(shè)計(jì)、開(kāi)發(fā)、運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，在數(shù)據(jù)流動(dòng)的全鏈路、用戶(hù)體驗(yàn)的全場(chǎng)景，全面守護(hù)用戶(hù)隱私。

基于安全戰(zhàn)略和三原則，結(jié)合業(yè)務(wù)實(shí)踐，vivo制定了隱私安全工作主攻的7大方向，概括為PROTECT：隱私保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)、產(chǎn)品對(duì)象安全、關(guān)鍵安全技術(shù)、安全工程、合規(guī)管理和安全攻防。

在7大方向發(fā)展的過(guò)程中，形成了安全與隱私保護(hù)設(shè)計(jì)流程和各類(lèi)平臺(tái)，形成了安全工程與合規(guī)、先進(jìn)安全技術(shù)預(yù)研與構(gòu)建、安全攻防等能力，來(lái)支撐各類(lèi)產(chǎn)品的安全打造，護(hù)航各類(lèi)業(yè)務(wù)的安全與合規(guī)發(fā)展。

最后是溫度，即，我們希望為用戶(hù)提供更人文更有溫度的安全守護(hù)，因?yàn)榘踩c隱私保護(hù)是個(gè)有著高度專(zhuān)業(yè)性和復(fù)雜性的領(lǐng)域，強(qiáng)迫每個(gè)用戶(hù)都成為“安全專(zhuān)家”是不現(xiàn)實(shí)的。因此，每個(gè)負(fù)責(zé)任的廠商，都必須考慮到安全科技的易用性，考慮人文的溫度，讓用戶(hù)可感知、可理解，從更科技，轉(zhuǎn)變到更人文更有溫度的安全守護(hù)。

當(dāng)然，這是一個(gè)系統(tǒng)工程，不可能一蹴而就，但我們會(huì)持續(xù)努力，堅(jiān)持長(zhǎng)期主義，對(duì)用戶(hù)的感情多深一點(diǎn)，對(duì)安全的工作多干一點(diǎn)，點(diǎn)點(diǎn)滴滴的改進(jìn)安全體驗(yàn)，讓用戶(hù)在使用產(chǎn)品和服務(wù)時(shí)，放心、安心、省心甚至暖心。

? Freebuf：能否舉個(gè)具體的例子，說(shuō)明vivo有哪些創(chuàng)新性的舉措來(lái)保護(hù)用戶(hù)的隱私安全？

? 劉洪善：這樣的創(chuàng)新在vivo有不少，比如，在去年11月舉行的vivo開(kāi)發(fā)者大會(huì)上，vivo首席安全官魯京輝發(fā)布的千鏡安全架構(gòu)。

它基于隱私保護(hù)默認(rèn)和設(shè)計(jì)驅(qū)動(dòng)原則，內(nèi)置于vivo設(shè)備中，通過(guò)可信的多層硬件和軟件功能構(gòu)建了完整的隱私保護(hù)矩陣，全方位的守護(hù)用戶(hù)的數(shù)據(jù)和隱私：在芯片層，千鏡內(nèi)置了硬件可信根，從最基礎(chǔ)的硬件來(lái)保護(hù)用戶(hù)隱私；在內(nèi)核層，提供了可信執(zhí)行環(huán)境，提升隱私保護(hù)等級(jí)；在框架層，使用可信度量，隨時(shí)感知設(shè)備安全等級(jí)；在應(yīng)用層，通過(guò)可信交互，保護(hù)敏感數(shù)據(jù)的輸入等等，這四層相互融合，形成一個(gè)整體，彌補(bǔ)了單點(diǎn)技術(shù)產(chǎn)品的不足，帶來(lái)了更高的安全性。這個(gè)架構(gòu)還在不斷增強(qiáng)，在今年的開(kāi)發(fā)者大會(huì)上，大家可以再次一睹它的風(fēng)采。

又比如，我們?cè)趘ivo X Note上發(fā)布的黑科技——“三麥降噪”。當(dāng)你與隊(duì)友開(kāi)麥互動(dòng)玩游戲時(shí)，三麥降噪就會(huì)定向角度收取玩家的聲音，并屏蔽旁人的語(yǔ)音和環(huán)境的雜音，從而既達(dá)到了提升聲音品質(zhì)的作用，又很好地保護(hù)了玩家的隱私。在全球范圍內(nèi)，目前除了韓國(guó)某手機(jī)廠商，只有vivo實(shí)現(xiàn)了這樣的技術(shù)。

? Freebuf：現(xiàn)在業(yè)界各大手機(jī)廠商似乎都在推出很多的安全隱私賣(mài)點(diǎn)，這塊您怎么看？

? 劉洪善：我之前聽(tīng)過(guò)這樣的一個(gè)極端的論調(diào)：“我們以前也沒(méi)有做安全隱私嘛，產(chǎn)品不還賣(mài)得好好的？”這些人是沒(méi)看到安全隱私已經(jīng)成為了用戶(hù)關(guān)注的焦點(diǎn)，除了滿(mǎn)足用戶(hù)需求，沒(méi)有別的路可走；也不明白為什么國(guó)家社會(huì)層面越來(lái)越重視網(wǎng)絡(luò)安全。但另一個(gè)極端是，現(xiàn)在許多人又把安全隱私推到聚光燈下，給這個(gè)行業(yè)帶來(lái)過(guò)高的不必要的壓力。我們還是要保持清醒——現(xiàn)階段，雖然消費(fèi)者的安全隱私意識(shí)正在覺(jué)醒，但安全隱私是從屬于產(chǎn)品和服務(wù)的，是產(chǎn)品和服務(wù)的基本要求和內(nèi)置屬性，不可能是購(gòu)買(mǎi)產(chǎn)品和服務(wù)的驅(qū)動(dòng)力。我們需要的，就是默默保護(hù)好用戶(hù)，出風(fēng)頭的事情可以干，但不能老想著出風(fēng)頭。過(guò)于注重商業(yè)利益，把安全隱私做成了一門(mén)熱鬧的生意，天天想著我要做一個(gè)什么“賣(mài)點(diǎn)”，這絕對(duì)不是安全的初心。為用戶(hù)做好安全隱私防護(hù)，最好的狀態(tài)是用戶(hù)什么感知也沒(méi)有，或者一定讓用戶(hù)交互、感知，那就簡(jiǎn)簡(jiǎn)單單、清清爽爽，不需要像短視頻一樣，天天占著用戶(hù)的時(shí)間、天天在用戶(hù)中有存在感。

而且安全隱私的特殊之處，在于它天然的遵從“木桶原理”——你保護(hù)好一個(gè)地方，還得保護(hù)另外一個(gè)地方，才能系統(tǒng)構(gòu)建起一個(gè)“安全體系”。就像防護(hù)一個(gè)圍城，東南西北四個(gè)門(mén)都要守好，而不因東門(mén)人多、熱鬧，會(huì)成為“賣(mài)點(diǎn)”，我就派了100個(gè)士兵防守；南門(mén)人少、冷清，不是“賣(mài)點(diǎn)”，我就不防守，這就會(huì)導(dǎo)致整個(gè)安全體系出現(xiàn)安全漏洞。

這也是為什么很多有責(zé)任的企業(yè)，都把安全隱私定位為超越商業(yè)利益之上——安全的初心就不是作為賣(mài)點(diǎn)去炫耀的，而是作為產(chǎn)品的基本屬性和體驗(yàn)，按照木桶原理、縱深防御原理、PbD、SDL等把產(chǎn)品安全老老實(shí)實(shí)地搭建起來(lái)，同時(shí)做好用戶(hù)體驗(yàn)。如果非要用“賣(mài)點(diǎn)”這個(gè)詞，一個(gè)由安全組織、流程、技術(shù)、產(chǎn)品、合規(guī)、攻防和工程等等組成的一個(gè)相互配合的、完整的安全體系，才能真正地保護(hù)好產(chǎn)品，這才是用戶(hù)真正需要的“賣(mài)點(diǎn)”。

當(dāng)然，每個(gè)公司的資源都是有限的，不可能無(wú)限投入，選擇那些用戶(hù)感知強(qiáng)的點(diǎn)去優(yōu)先做是沒(méi)有問(wèn)題的，但需要在一個(gè)有規(guī)劃的安全體系下逐步的去做，有時(shí)一些用戶(hù)看不到的“冷清”的技術(shù)產(chǎn)品點(diǎn)，也得有容忍度，允許投一些資源去落實(shí)。

? Freebuf：您此前的工作經(jīng)歷中甲方乙方安全都經(jīng)歷了，就您自身的經(jīng)驗(yàn)來(lái)看，兩者有哪些不同？

? 劉洪善：兩者差別還是不小的。

甲方安全的本質(zhì)，是與管理層緊密溝通，以獲得一定的資源，從專(zhuān)業(yè)的安全角度，去服務(wù)好業(yè)務(wù)。甲方知道企業(yè)真正需要的是什么樣的安全技術(shù)和產(chǎn)品，這些技術(shù)產(chǎn)品必須緊貼業(yè)務(wù)，業(yè)務(wù)就是他們的“甲方”。因此他們必須懂業(yè)務(wù)、服務(wù)業(yè)務(wù)，否則安全就無(wú)存在的價(jià)值，這就導(dǎo)致企業(yè)里個(gè)性化的安全需求很多。

乙方安全，本質(zhì)是商業(yè)運(yùn)營(yíng)，只是所在的行業(yè)恰好是安全而已，根本的目的是以最低的成本，推出安全產(chǎn)品和服務(wù)，以獲得最大的商業(yè)回報(bào)。這就決定了乙方都只想做通用的安全需求，排斥個(gè)性化需求。

在沒(méi)有安全合規(guī)或者安全事件驅(qū)動(dòng)的情況下，甲方總是想在有限的預(yù)算里，提出盡可能多的個(gè)性化的需求；乙方為了商業(yè)運(yùn)營(yíng)，則必須做通用化的安全技術(shù)產(chǎn)品，否則很難生存下去。這個(gè)矛盾，可能是為什么大量甲方跳槽出來(lái)創(chuàng)業(yè)，希望幫企業(yè)做好安全，或者乙方跳到甲方工作，嘗嘗做“甲方爸爸的快樂(lè)”的一個(gè)原因，也很可能是中國(guó)安全市場(chǎng)為何還有很大提升空間的原因：需求方和供應(yīng)方并沒(méi)有真正無(wú)縫銜接起來(lái)。

但我相信，隨著越來(lái)越多新技術(shù)的涌現(xiàn)，越來(lái)越多人才的涌入，這個(gè)矛盾總會(huì)解決的，安全行業(yè)的騰飛不會(huì)很遠(yuǎn)了。就目前階段來(lái)說(shuō)，甲方負(fù)責(zé)制定策略、爭(zhēng)取資源、服務(wù)業(yè)務(wù)、提出需求、做一定的制定開(kāi)發(fā)適配等，乙方則負(fù)責(zé)提供通用類(lèi)的專(zhuān)業(yè)安全產(chǎn)品與服務(wù)等，這個(gè)分工是比較合理、也比較實(shí)用的，兩者不是非此即彼的關(guān)系，而是相互配合、相互依存的關(guān)系，目標(biāo)都是服務(wù)好業(yè)務(wù)、最終服務(wù)好用戶(hù)。

? Freebuf：在您多年的從業(yè)經(jīng)歷中，有沒(méi)有一兩件事情對(duì)您的觸動(dòng)或影響很大，或者讓您印象很深刻？

? 劉洪善：挺多的，這里分享其中的一件，是關(guān)于“戰(zhàn)略認(rèn)知”的。

剛加入前東家時(shí)，我的第一個(gè)任務(wù)，就是寫(xiě)材料，向輪值董事長(zhǎng)匯報(bào)安全業(yè)務(wù)怎么做。那應(yīng)該是我當(dāng)時(shí)接觸過(guò)的最高級(jí)別的匯報(bào)（后來(lái)又參與了多次類(lèi)似的匯報(bào)）。很多專(zhuān)家一起，在會(huì)議室里寫(xiě)了近一個(gè)月才完成。有時(shí)我們也會(huì)在私底下抱怨，認(rèn)為在匯報(bào)、PPT這些方面花費(fèi)那么多時(shí)間實(shí)在是“浪費(fèi)”，還不如多做一些具體工作。

后來(lái)我才明白，這類(lèi)匯報(bào)的價(jià)值其實(shí)很大。假如連自己負(fù)責(zé)的業(yè)務(wù)都說(shuō)不清楚，那么這個(gè)業(yè)務(wù)能做好的概率微乎其微。互聯(lián)網(wǎng)早已過(guò)了撞大運(yùn)的藍(lán)海時(shí)代，任何一個(gè)業(yè)務(wù)的創(chuàng)建和提升，沒(méi)有系統(tǒng)性的思考，贏的機(jī)會(huì)非常渺茫。

所以，無(wú)論做什么業(yè)務(wù)，都要有“戰(zhàn)略”思維，要有規(guī)劃，要有布局，知道如何產(chǎn)生一個(gè)適合團(tuán)隊(duì)的戰(zhàn)略，如何判斷一個(gè)戰(zhàn)略的好壞，如何調(diào)動(dòng)資源，如何獲得好的用戶(hù)體驗(yàn)，如何達(dá)成比較理想的商業(yè)結(jié)果等等，這樣才能做更大的事情，為企業(yè)帶來(lái)更大的價(jià)值。

另外，無(wú)論是在甲方還是乙方做安全，與管理層溝通對(duì)齊認(rèn)知都是最重要的工作之一，不然安全的資源從何而來(lái)？不可不重視。

? Freebuf：當(dāng)下網(wǎng)絡(luò)安全人才缺口日益龐大，vivo如何獲得安全人才，更傾向外部招聘還是內(nèi)部培養(yǎng)？

? 劉洪善：內(nèi)部培養(yǎng)和外部招聘都是重要的手段。即使不是人才匱乏，我也建議大家不必要求團(tuán)隊(duì)里的每個(gè)人一開(kāi)始就有安全背景和經(jīng)驗(yàn)，一是不現(xiàn)實(shí)，二是應(yīng)該用動(dòng)態(tài)的觀點(diǎn)看待人才——首先人總是可以學(xué)習(xí)成長(zhǎng)的；其次，背景多元的團(tuán)隊(duì)，反倒有利于本來(lái)就需要多元視角的安全工作；最后，不管從事什么業(yè)務(wù)的團(tuán)隊(duì)，多樣性本身就是團(tuán)隊(duì)成熟與活力的基本要求。

? Freebuf：請(qǐng)您介紹一下目前vivo的安全與隱私保護(hù)團(tuán)隊(duì)，并分享一下您是如何進(jìn)行團(tuán)隊(duì)管理，最大化發(fā)揮團(tuán)隊(duì)的價(jià)值的？

? 劉洪善：vivo的安全和隱私保護(hù)團(tuán)隊(duì)，是結(jié)合了vivo整體的安全戰(zhàn)略和對(duì)整個(gè)行業(yè)發(fā)展趨勢(shì)的認(rèn)知構(gòu)成的，由幾個(gè)不同的領(lǐng)域的專(zhuān)業(yè)團(tuán)隊(duì)組成。

第一個(gè)，是安全技術(shù)團(tuán)隊(duì)，主要解決基礎(chǔ)的安全能力建設(shè)的問(wèn)題。

第二個(gè)，是安全工程與合規(guī)管理團(tuán)隊(duì)，主要聚焦于產(chǎn)品開(kāi)發(fā)全生命周期的工程化管理、業(yè)務(wù)使能中的安全質(zhì)量水平的保障，以及整個(gè)公司范圍的數(shù)據(jù)安全和合規(guī)的建設(shè)及業(yè)務(wù)流程的支撐。

第三個(gè)，是千鏡安全實(shí)驗(yàn)室，主要是作為安全藍(lán)軍的角色，去解決既可攻又可防的問(wèn)題。

最后一個(gè)，是我們的安全規(guī)劃、產(chǎn)品與運(yùn)營(yíng)團(tuán)隊(duì)，主要是負(fù)責(zé)vivo的安全產(chǎn)品規(guī)劃、產(chǎn)品建設(shè)及安全產(chǎn)品全生命周期的運(yùn)營(yíng)相關(guān)的管理性工作。

這幾個(gè)團(tuán)隊(duì)緊密配合，目標(biāo)只有一個(gè)：讓用戶(hù)安全便捷的享受數(shù)字生活。

至于團(tuán)隊(duì)管理，雖說(shuō)我從0到1創(chuàng)建過(guò)許多業(yè)務(wù)和團(tuán)隊(duì)，但也說(shuō)不上多少經(jīng)驗(yàn)。我只是比較相信“古來(lái)事業(yè)由人做”，把人團(tuán)結(jié)好了，沒(méi)有什么是做不成的。管理的方法千千萬(wàn)萬(wàn)，但我想這三點(diǎn)可能有一定的參考價(jià)值：

一是踐行企業(yè)文化價(jià)值觀，才能團(tuán)結(jié)五湖四海的人才。誰(shuí)有好的文化價(jià)值觀，誰(shuí)能更堅(jiān)決的踐行文化價(jià)值觀，誰(shuí)就能把人才組織和團(tuán)結(jié)起來(lái)，最大的發(fā)揮出人才間的組合作用，從而戰(zhàn)無(wú)不勝，小團(tuán)隊(duì)如此，大企業(yè)也如此。

二是不斷提升戰(zhàn)略認(rèn)知。認(rèn)知沒(méi)有大小，只有高低，再小的團(tuán)隊(duì)，它也有戰(zhàn)略和認(rèn)知。如果認(rèn)知停留在一個(gè)比較淺的層次，做事業(yè)就是在碰運(yùn)氣，所謂瞎貓撞老鼠。

三是有足夠的戰(zhàn)略自信。每個(gè)合法合規(guī)的企業(yè)，能夠生存下來(lái)、發(fā)展下去，肯定都有它強(qiáng)大的地方，例如靈活高效的企業(yè)文化、快速工程化的能力等，每個(gè)企業(yè)都應(yīng)該有某種程度的戰(zhàn)略自信。但在戰(zhàn)術(shù)上，即細(xì)節(jié)上，我們要敬畏每個(gè)用戶(hù)，尊重每個(gè)友商，學(xué)習(xí)別人好的地方。始終要相信，別人能做出的事業(yè)，我們一樣能做到，而且經(jīng)過(guò)努力，還能夠做得比別人更出色一些。

? Freebuf：作為一名資深網(wǎng)絡(luò)安全大咖，請(qǐng)您分享一下您個(gè)人在網(wǎng)絡(luò)安全方面的心得感悟。

? 劉洪善：對(duì)于安全，我一直堅(jiān)持兩個(gè)“主義”：

第一，堅(jiān)持樂(lè)觀主義。我一直堅(jiān)信網(wǎng)絡(luò)安全行業(yè)會(huì)越來(lái)越好?，F(xiàn)在國(guó)家、社會(huì)、企業(yè)和個(gè)人層面越來(lái)越關(guān)注隱私安全，投入越來(lái)越多，就是一個(gè)證明。當(dāng)前的安全形勢(shì)和十年前相比可謂天差地別，十年前很多企業(yè)根本不知道安全隱私為何物，但今天如果還是如此，那這個(gè)企業(yè)遲早要因?yàn)榘踩[私問(wèn)題栽跟頭，給品牌和經(jīng)濟(jì)造成巨大損失，這方面的例子不勝枚舉，看看各類(lèi)媒體報(bào)道就知道，安全隱私已經(jīng)成為了人們的基本需求。

第二，堅(jiān)持長(zhǎng)期主義。和AI、XR等新興產(chǎn)業(yè)相比，安全似乎一直沒(méi)那么風(fēng)光，甚至比較寂寞，需要有點(diǎn)“升官發(fā)財(cái)，請(qǐng)往他處；貪生怕死，勿入斯門(mén)”的情懷，堅(jiān)持做一個(gè)長(zhǎng)期主義者。例如先花個(gè)10年的時(shí)間，將自己所處的行業(yè)吃透，而不是隨風(fēng)而動(dòng)：O2O火的時(shí)候去做O2O；大數(shù)據(jù)熱了又去做大數(shù)據(jù)，現(xiàn)在AI又火了就又想去做AI；元宇宙現(xiàn)在鬧得火熱，一夜之間到處都是“元宇宙專(zhuān)家”，如墻頭草、水中萍，扎不下根，耐不住寂寞，這個(gè)行業(yè)懂一些，那個(gè)行業(yè)了解一點(diǎn)，都不深入，何談發(fā)展？

? Freebuf：謝謝劉總，最后，可否分享下您工作之外還有什么愛(ài)好？聽(tīng)說(shuō)您也經(jīng)常寫(xiě)書(shū)法，寫(xiě)文章？

? 劉洪善：我個(gè)人生活比較簡(jiǎn)單，只有兩個(gè)愛(ài)好：一是工作，二是讀書(shū)。

對(duì)工作，我的理想是能夠一直忙自己熱愛(ài)的事業(yè)，到八九十歲的時(shí)候還能在一線干工作。全副身心干事業(yè)，這是難得的幸福。

對(duì)讀書(shū)，我是再忙再累，每日也讀一點(diǎn)，正所謂飯可一日不吃，覺(jué)可一日不睡，書(shū)不可一日不讀。讀書(shū)的愛(ài)好從識(shí)字時(shí)就已開(kāi)始，于我而言是一種難得的享受。工作讀書(shū)以外，我平時(shí)還喜歡寫(xiě)寫(xiě)書(shū)法，跑步鍛煉身體等。

至于寫(xiě)文章，在工作中也經(jīng)常需要，從業(yè)到現(xiàn)在，至少寫(xiě)了500篇了。在《人民日?qǐng)?bào)》《中國(guó)信息安全》等媒體上都有發(fā)表過(guò)，有些還是百萬(wàn)閱讀。工作之外，我也喜歡在朋友圈寫(xiě)寫(xiě)生活相關(guān)的文章，也不求閱讀量，只求和朋友們分享當(dāng)時(shí)的所思所想。如今，寫(xiě)文章對(duì)于我來(lái)說(shuō)，已經(jīng)很難區(qū)分是工作需要還是個(gè)人愛(ài)好了。

vivo把“數(shù)據(jù)安全、隱私保護(hù)與守法合規(guī)作為企業(yè)研發(fā)經(jīng)營(yíng)活動(dòng)中絕對(duì)不可以觸碰的紅線和基本底線”，背后正是源于vivo長(zhǎng)期對(duì)用戶(hù)安全隱私的思考和堅(jiān)持。vivo在安全賽道上長(zhǎng)期投入，持續(xù)構(gòu)建完整的隱私保護(hù)體系，打造了千鏡安全架構(gòu)、高通SPU芯片級(jí)安全守護(hù)、千鏡可信引擎、原子隱私系統(tǒng)等多項(xiàng)安全功能及產(chǎn)品為用戶(hù)提供極致的安全守護(hù)。vivo通過(guò)自己的實(shí)際行動(dòng)，在安全行業(yè)樹(shù)立了標(biāo)桿和給其它科技企業(yè)起到了示范作用。同時(shí)，vivo率先在業(yè)界提出了人文安全的理念：除了用科技守護(hù)用戶(hù)隱私，還需要更透明可控的安全設(shè)計(jì)、更優(yōu)雅易用的安全體驗(yàn)、更關(guān)注特殊人群的隱私保護(hù)需求，從更科技，轉(zhuǎn)變到更人文更有溫度的安全守護(hù)。相信vivo將繼續(xù)在安全行業(yè)“以行踐言”，全力保障用戶(hù)隱私安全。

xiesc