本期嘉賓介紹

劉洪善，網絡安全碩士畢業(yè)，現(xiàn)任vivo安全產品總監(jiān)，歷任國際知名智能終端科技公司、互聯(lián)網大廠的應用安全產品負責人、安全隱私規(guī)劃負責人、云安全產品負責人、高級安全工程師等職務。曾參與多個影響行業(yè)格局的安全隱私項目，在網絡安全行業(yè)擁有豐富的戰(zhàn)略規(guī)劃、技術與產品落地、市場營銷與運營管理等經驗。

??Freebuf：劉總，今天很高興能采訪您。作為安全業(yè)界的大咖、專家，您一定有很多的思想見解，想分享給業(yè)界和廣大用戶。

??劉洪善：謝謝主持人，很高興能接受Freebuf這樣一家業(yè)界資深的權威安全媒體的采訪。不過請允許我聲明一點，今天我就是作為一個普通安全從業(yè)者隨便聊聊天，不是專家，更不是大咖，可能不能像業(yè)界的許多前輩和大牛一樣，提供很多超前或者有趣的觀點，請見諒。

??Freebuf：好的。請您講講個人在網絡安全方面的教育經歷，包括為什么選擇安全專業(yè)，以及求學過程中與網絡安全相關的趣事，包括自我學習，攻防研究等。

??劉洪善：我的教育經歷比較簡單。在工作之前，我除了喜愛看書以外，沒有多少想法和愛好。

我從初中才開始接觸計算機，那時對于計算機也沒有多少認識，只是覺著很好玩，也正是在那個時候互聯(lián)網給我留下了很深的印象。

高中文理分科時，我和大多數(shù)人一樣，選擇了理科，但那時候有點“不誤正業(yè)”，因為我們高中的前身是王陽明創(chuàng)建的，文史氛圍比較濃，所以那時候我就經常泡在圖書館看明史、看王陽明的心學。

高中的時候我還十分迷戀籃球，迷戀到什么程度呢？高考的前一天，我還在冒著大雨打球，打了一天，結果晚上發(fā)高燒。后面高考兩天，我就一邊吃著校醫(yī)開的藥，一邊迷迷糊糊的考試。沒想到最后成績還可以，但最終還是和心儀的大學失之交臂，并被調劑到了我的母校——南京郵電大學，還很幸運的被錄取到了學校最好的專業(yè)——通信工程。

直到那時，我才真正開始系統(tǒng)的學習各種計算機相關內容，包括硬件知識、編程語言、操作系統(tǒng)等?，F(xiàn)在還第一次寫出了自己的網頁和安卓程序的時刻記憶猶新，創(chuàng)新研發(fā)給我?guī)砹藰O大的滿足感和成就感。

而我真正算是接觸網絡安全領域，還是在一次十分偶然的情況下發(fā)生的。那是大三的時候，我照常在圖書館泡著，偶然看到了一本安全攻防相關的書。粗略閱讀之后，我發(fā)現(xiàn)里面都是些“搗蛋”的有趣事情，十分好玩。于是，我就照著書上說的試著做了幾個小木馬，并把它們放在學校機房里捉弄大家，偶爾也用工具給各大網站尋找安全漏洞，那時玩得不亦樂乎，也是大學里和安全最相關的事情了。

臨近大學畢業(yè)，看著空空如也的錢包，我決定去工作。這時幾個要好的同學卻拉著我一起去考研，他們開玩笑說“離考試也就2個月了，試試唄，萬一就考上了呢。”

我想想也是，反正后面工作時間還長著呢，也不差這兩個月時間。沒想到這一考還真就考上了。由于大學時期比較喜歡 “網絡安全”，這次讀研就選擇了網絡安全專業(yè)。那時這個專業(yè)遠沒有像現(xiàn)在這么普遍，國內開設網絡空間安全相關課程的院校很少，大家基本都還處于摸索之中，很多時候也要靠自學。而我卻十分有幸地跟著我的導師吳蒙教授，三年里，深入學習了安全相關的各類技術和體系，從密碼學到隱私計算，從安全開發(fā)到安全運維，幾乎都有涉獵，還基于剛興起的安卓寫了不少安全原型，收獲頗多。

回首往昔，多年的求學生涯是我人生中最輕松的一段時光了，看看書，考考試，發(fā)發(fā)論文，寫寫原型，偶爾到“烏云網”提交點小漏洞換本書，很愜意。我最喜歡的事情就是看各種書籍，特別是在大學期間，我不怎么愛去上課，大多數(shù)時間都是在圖書館里看書自學，科技、歷史、文學……什么都看，精神世界不可謂不豐富。讀書閑暇之余，就和同學們一起縱情山水，南京畢竟是六朝古都、十朝都會，可玩的景點非常多，例如中山陵、玄武湖、明孝陵……

毫不謙虛的說，在大學之前，我還只是個“三無”人員，無目的、無規(guī)劃、無準備，除了愛看書自學，也沒什么特別的地方，就憑著一股子興趣闖到了網絡安全領域里。但當我踏入了這個領域之后，就再也沒有動搖過，一晃就過了這十年。

??Freebuf：可否分享下，您在vivo之前的工作經歷，以及每段經歷給您帶來的成長和思考？

??劉洪善：說起來，我的工作經歷可能比教育經歷還簡單。

畢業(yè)后，我進入了一家創(chuàng)業(yè)公司，成為一名安全工程師。當時很幸運，遇到了飛龍（郭耀）、加菲貓2位安全大牛，正是在他們的引導下，我才真正從學校時“想象中的安全”進入“實際中的安全”。那時這個創(chuàng)業(yè)公司遠沒有現(xiàn)在這么厲害，第一天入職時，同學問我入職的感受，我吐槽“像進了一個作坊”，和想象中高大上的CBD完全沒有關聯(lián)。

那時，安全團隊也還只有四五個人，遠沒有現(xiàn)在這么強大。當時最大的感觸就是創(chuàng)業(yè)不易，企業(yè)因為成本收益的考量，基本只能做安全體系中某幾塊。在資源有限的條件下，安全要做什么、怎么做，得按照優(yōu)先級進行排序，選擇幾個真正能夠開展得下去的安全工作去做。學術范圍內的理想安全體系，有非常強的指導意義，但不一定適合于企業(yè)的實際情況。也因為是創(chuàng)業(yè)狀態(tài)，所以什么都得自己干，例如寫代碼、找漏洞、產品設計、安全管理等，讓我更加全面地了解安全，也為后續(xù)的工作打下了扎實的基礎。

再往后，加入了某互聯(lián)網大廠，有幸在馬杰、林曉東、劉蕊紅等業(yè)界舉足輕重的前輩的指導下工作，跟一幫非常優(yōu)秀的同事，做了幾年的安全管理、安全工程和安全產品，參與了內部各類安全平臺的建設，也參與了各類外部項目，例如網址安全中心、云加速等，對安全體系和安全技術產品理解更深刻了，從開發(fā)、到產品落地、到商業(yè)運營的閉環(huán)都有了新的認識。那時安全團隊同樣也沒有現(xiàn)在這么強大，基本也是“大公司里創(chuàng)業(yè)”，我也不得不再次提升自己的綜合能力，從一名安全工程師，慢慢向綜合的安全技術產品方向發(fā)展。此時思考得更多的是，企業(yè)和用戶需要什么安全技術產品，怎么做好用戶體驗，怎么讓用戶滿意，所以技術、產品、運營都有所涉獵，自己也得以在安全領域里“橫向發(fā)展”。

后來，由于霧霾等原因，我萌發(fā)了回南方的想法。恰好另一家國際知名的智能終端科技公司，也就是我的前東家，正在尋找安全方面的人選，于是就來到了深圳，參與了這家公司云安全產品體系從0到1的構建。在這里的五年，是我職業(yè)生涯中最受錘煉的一段時間，整個人有點“脫胎換骨”的感覺?？偟膩碚f，既做了很多工作，也犯過一些錯誤，個人職業(yè)起起落落，對于成長十分有幫助。

而從甲方到乙方的轉變，也讓我對安全的理解有了明顯的變化。從前幾年思考怎么去做一個技術、產品，逐漸變成了怎么讓一個技術產品做到世界領先、獲得好的用戶體驗、取得好的商業(yè)表現(xiàn)。所以需要操心的事情就更多了，從安全戰(zhàn)略規(guī)劃到產品落地再到運營，都要忙活。例如在戰(zhàn)略規(guī)劃層面，通過三個核心要素——調查分析、指導方針、連貫性活動確定一個協(xié)調的、可落地的戰(zhàn)略，通過BLM模型、“五看三定”等方法論來明確自身在業(yè)界的位置，并采取相應的競爭戰(zhàn)略。在產品落地層面，通過IPD需求打分、KANO、RICE、價值工程等需求模型，來判斷需求的價值和優(yōu)先級，按MVP原則、HEART框架等去落地功能滿足用戶需求，并根據(jù)用戶反饋快速迭代。在運營層面，通過上市操盤，加強用戶心智，通過NPS、產品數(shù)據(jù)、VOC來判斷產品體驗并加以改進等。我加入前公司的的時候，它的云市場份額還在Others，離開的時候，已經是中國第二、全球前五。當然，這樣的結果不依賴于個體，而是集體努力的結果。

我在前公司還參與了一個自研操作系統(tǒng)的安全隱私規(guī)劃和落地，以及應用安全產品的規(guī)劃和落地等等。

需要說明的是，上述任何一個工作，都是集體努力的結果。因為現(xiàn)在的互聯(lián)網/IT行業(yè)早已過了單打獨斗的“作坊式”時代，任何一個大型的技術產品項目/商業(yè)項目，沒有集體的緊密配合是難以完成的。說得直白一點，沒有公司開工資，沒有開發(fā)、產品、運維、運營等等團隊的配合，一個人什么工作也做不了。包括我本人，都是團隊的一份子，依賴團隊的力量和支持，有幸與大家一起做了些工作而已。

? Freebuf：非常有趣的經歷和思考！現(xiàn)在在vivo呢，有什么感想？

? 劉洪善：2021年10月，我來到了vivo。因為這段經歷太短了，雖然也參與了不少工作，例如vivo X Fold、X Note等手機安全隱私功能的策劃與落地，但還有許多工作還沒做，所以暫時不好說。而且vivo是我的現(xiàn)公司，我也非常喜歡這家公司，但說多了，多少有點“王婆賣瓜，自賣自夸”的嫌疑。

不過，客觀的說，vivo是一家完全以用戶為導向的簡單、純粹的公司，一切工作都圍繞用戶需求展開，因此我非常享受這里的工作氛圍。我在這里的主要工作，跟我之前的經歷差不多——負責公司安全賽道的技術產品規(guī)劃、落地和商業(yè)運營，通過安全規(guī)劃鐵三角、產品管理與安全運營的閉環(huán)，打造一流的安全產品，牽引公司安全技術的發(fā)展，為幾億用戶的隱私安全保駕護航。

目標是有了，使命也提出了，關鍵在于團隊整體的能力，能否承擔這樣的目標和使命。所以我這半年很大的精力是在組建和培養(yǎng)團隊，特別是專業(yè)能力要首先構建起來，沒有專業(yè)性，別的事情都是空中樓閣。這是一份激動人心的工作，我非常珍惜，也非常努力地履行著我的工作職責，希望明年這個時候有更多創(chuàng)新的技術產品可以跟大家分享。

? Freebuf：什么專業(yè)能力？

? 劉洪善：無論在安全行業(yè)里從事攻防、開發(fā)還是產品等工作，專業(yè)能力的基礎都是對所在行業(yè)長年的積累和理解。我從不相信沒在一個行業(yè)深耕個五到十年，只是靠網上搜來的幾條信息、聽了幾次報告，就成了“專家”。如果這么簡單，本身就說明這個行業(yè)沒什么門檻，更沒有什么發(fā)展前景。

在行業(yè)積累的基礎上，規(guī)劃、產品類的通用技能的精深，可以幫助個人和團隊更好的發(fā)展。按業(yè)界最佳實踐，規(guī)劃、產品類的核心能力是6個：路標/產品組合規(guī)劃能力、產品或解決方案規(guī)劃和定義能力、產品洞察與競爭分析能力、創(chuàng)新和孵化能力、需求分析與管理能力、用戶研究能力，一般選擇2-3個進行深耕就可以。

這里多感慨一句，我們做安全的人，有時太容易一下子鉆到單個技術產品細節(jié)里了，這樣的鉆研精神是非常好的，但有時也有副作用，那就是忘了用戶、忘了市場，沒有規(guī)劃、沒有部署，最后導致開發(fā)出的技術產品離用戶需求非常遠，用戶不滿意，商業(yè)結果不理想，團隊和技術就難以為繼。這樣的教訓太多、也太慘痛了。所以，直到現(xiàn)在，我雖然依然熱愛技術產品，對技術產品細節(jié)也非常關注，但經常會刻意的拉著自己回到現(xiàn)實，去思考怎么才能帶領團隊用好的技術產品，真正滿足用戶需求，帶來好的用戶體驗。

? Freebuf：眾所周知，當下隱私安全已經是國家、社會、企業(yè)和用戶關注的焦點，而vivo也一直非常注重隱私安全，那么請您分享vivo在隱私安全方面的思考與實踐。

? 劉洪善：vivo有完整的安全認知、組織、流程和實踐，可以概括為隱私安全“三度”：高度、深度和溫度。

高度，即從公司戰(zhàn)略層面，重視和保障隱私保護投入。戰(zhàn)略，對任何公司都是根本性的，vivo把用戶數(shù)據(jù)安全與隱私保護提升到公司戰(zhàn)略層面，也就保證了vivo在安全上的長期投入，能夠用最新最好的科技來保護用戶隱私。

深度，也就是在公司戰(zhàn)略的牽引下，把隱私安全技術產品體系做扎實。為了踐行安全戰(zhàn)略，vivo經過對行業(yè)的深入分析和洞察，結合內部實踐，總結明確了隱私保護三原則——透明可控、隱私端側處理和數(shù)據(jù)最小化。這三個原則，已經融入到vivo的產品和服務設計、開發(fā)、運營的各個環(huán)節(jié)，在數(shù)據(jù)流動的全鏈路、用戶體驗的全場景，全面守護用戶隱私。

基于安全戰(zhàn)略和三原則，結合業(yè)務實踐，vivo制定了隱私安全工作主攻的7大方向，概括為PROTECT：隱私保護、數(shù)據(jù)安全風險、產品對象安全、關鍵安全技術、安全工程、合規(guī)管理和安全攻防。

在7大方向發(fā)展的過程中，形成了安全與隱私保護設計流程和各類平臺，形成了安全工程與合規(guī)、先進安全技術預研與構建、安全攻防等能力，來支撐各類產品的安全打造，護航各類業(yè)務的安全與合規(guī)發(fā)展。

最后是溫度，即，我們希望為用戶提供更人文更有溫度的安全守護，因為安全與隱私保護是個有著高度專業(yè)性和復雜性的領域，強迫每個用戶都成為“安全專家”是不現(xiàn)實的。因此，每個負責任的廠商，都必須考慮到安全科技的易用性，考慮人文的溫度，讓用戶可感知、可理解，從更科技，轉變到更人文更有溫度的安全守護。

當然，這是一個系統(tǒng)工程，不可能一蹴而就，但我們會持續(xù)努力，堅持長期主義，對用戶的感情多深一點，對安全的工作多干一點，點點滴滴的改進安全體驗，讓用戶在使用產品和服務時，放心、安心、省心甚至暖心。

? Freebuf：能否舉個具體的例子，說明vivo有哪些創(chuàng)新性的舉措來保護用戶的隱私安全？

? 劉洪善：這樣的創(chuàng)新在vivo有不少，比如，在去年11月舉行的vivo開發(fā)者大會上，vivo首席安全官魯京輝發(fā)布的千鏡安全架構。

它基于隱私保護默認和設計驅動原則，內置于vivo設備中，通過可信的多層硬件和軟件功能構建了完整的隱私保護矩陣，全方位的守護用戶的數(shù)據(jù)和隱私：在芯片層，千鏡內置了硬件可信根，從最基礎的硬件來保護用戶隱私；在內核層，提供了可信執(zhí)行環(huán)境，提升隱私保護等級；在框架層，使用可信度量，隨時感知設備安全等級；在應用層，通過可信交互，保護敏感數(shù)據(jù)的輸入等等，這四層相互融合，形成一個整體，彌補了單點技術產品的不足，帶來了更高的安全性。這個架構還在不斷增強，在今年的開發(fā)者大會上，大家可以再次一睹它的風采。

又比如，我們在vivo X Note上發(fā)布的黑科技——“三麥降噪”。當你與隊友開麥互動玩游戲時，三麥降噪就會定向角度收取玩家的聲音，并屏蔽旁人的語音和環(huán)境的雜音，從而既達到了提升聲音品質的作用，又很好地保護了玩家的隱私。在全球范圍內，目前除了韓國某手機廠商，只有vivo實現(xiàn)了這樣的技術。

? Freebuf：現(xiàn)在業(yè)界各大手機廠商似乎都在推出很多的安全隱私賣點，這塊您怎么看？

? 劉洪善：我之前聽過這樣的一個極端的論調：“我們以前也沒有做安全隱私嘛，產品不還賣得好好的？”這些人是沒看到安全隱私已經成為了用戶關注的焦點，除了滿足用戶需求，沒有別的路可走；也不明白為什么國家社會層面越來越重視網絡安全。但另一個極端是，現(xiàn)在許多人又把安全隱私推到聚光燈下，給這個行業(yè)帶來過高的不必要的壓力。我們還是要保持清醒——現(xiàn)階段，雖然消費者的安全隱私意識正在覺醒，但安全隱私是從屬于產品和服務的，是產品和服務的基本要求和內置屬性，不可能是購買產品和服務的驅動力。我們需要的，就是默默保護好用戶，出風頭的事情可以干，但不能老想著出風頭。過于注重商業(yè)利益，把安全隱私做成了一門熱鬧的生意，天天想著我要做一個什么“賣點”，這絕對不是安全的初心。為用戶做好安全隱私防護，最好的狀態(tài)是用戶什么感知也沒有，或者一定讓用戶交互、感知，那就簡簡單單、清清爽爽，不需要像短視頻一樣，天天占著用戶的時間、天天在用戶中有存在感。

而且安全隱私的特殊之處，在于它天然的遵從“木桶原理”——你保護好一個地方，還得保護另外一個地方，才能系統(tǒng)構建起一個“安全體系”。就像防護一個圍城，東南西北四個門都要守好，而不因東門人多、熱鬧，會成為“賣點”，我就派了100個士兵防守；南門人少、冷清，不是“賣點”，我就不防守，這就會導致整個安全體系出現(xiàn)安全漏洞。

這也是為什么很多有責任的企業(yè)，都把安全隱私定位為超越商業(yè)利益之上——安全的初心就不是作為賣點去炫耀的，而是作為產品的基本屬性和體驗，按照木桶原理、縱深防御原理、PbD、SDL等把產品安全老老實實地搭建起來，同時做好用戶體驗。如果非要用“賣點”這個詞，一個由安全組織、流程、技術、產品、合規(guī)、攻防和工程等等組成的一個相互配合的、完整的安全體系，才能真正地保護好產品，這才是用戶真正需要的“賣點”。

當然，每個公司的資源都是有限的，不可能無限投入，選擇那些用戶感知強的點去優(yōu)先做是沒有問題的，但需要在一個有規(guī)劃的安全體系下逐步的去做，有時一些用戶看不到的“冷清”的技術產品點，也得有容忍度，允許投一些資源去落實。

? Freebuf：您此前的工作經歷中甲方乙方安全都經歷了，就您自身的經驗來看，兩者有哪些不同？

? 劉洪善：兩者差別還是不小的。

甲方安全的本質，是與管理層緊密溝通，以獲得一定的資源，從專業(yè)的安全角度，去服務好業(yè)務。甲方知道企業(yè)真正需要的是什么樣的安全技術和產品，這些技術產品必須緊貼業(yè)務，業(yè)務就是他們的“甲方”。因此他們必須懂業(yè)務、服務業(yè)務，否則安全就無存在的價值，這就導致企業(yè)里個性化的安全需求很多。

乙方安全，本質是商業(yè)運營，只是所在的行業(yè)恰好是安全而已，根本的目的是以最低的成本，推出安全產品和服務，以獲得最大的商業(yè)回報。這就決定了乙方都只想做通用的安全需求，排斥個性化需求。

在沒有安全合規(guī)或者安全事件驅動的情況下，甲方總是想在有限的預算里，提出盡可能多的個性化的需求；乙方為了商業(yè)運營，則必須做通用化的安全技術產品，否則很難生存下去。這個矛盾，可能是為什么大量甲方跳槽出來創(chuàng)業(yè)，希望幫企業(yè)做好安全，或者乙方跳到甲方工作，嘗嘗做“甲方爸爸的快樂”的一個原因，也很可能是中國安全市場為何還有很大提升空間的原因：需求方和供應方并沒有真正無縫銜接起來。

但我相信，隨著越來越多新技術的涌現(xiàn)，越來越多人才的涌入，這個矛盾總會解決的，安全行業(yè)的騰飛不會很遠了。就目前階段來說，甲方負責制定策略、爭取資源、服務業(yè)務、提出需求、做一定的制定開發(fā)適配等，乙方則負責提供通用類的專業(yè)安全產品與服務等，這個分工是比較合理、也比較實用的，兩者不是非此即彼的關系，而是相互配合、相互依存的關系，目標都是服務好業(yè)務、最終服務好用戶。

? Freebuf：在您多年的從業(yè)經歷中，有沒有一兩件事情對您的觸動或影響很大，或者讓您印象很深刻？

? 劉洪善：挺多的，這里分享其中的一件，是關于“戰(zhàn)略認知”的。

剛加入前東家時，我的第一個任務，就是寫材料，向輪值董事長匯報安全業(yè)務怎么做。那應該是我當時接觸過的最高級別的匯報（后來又參與了多次類似的匯報）。很多專家一起，在會議室里寫了近一個月才完成。有時我們也會在私底下抱怨，認為在匯報、PPT這些方面花費那么多時間實在是“浪費”，還不如多做一些具體工作。

后來我才明白，這類匯報的價值其實很大。假如連自己負責的業(yè)務都說不清楚，那么這個業(yè)務能做好的概率微乎其微?；ヂ?lián)網早已過了撞大運的藍海時代，任何一個業(yè)務的創(chuàng)建和提升，沒有系統(tǒng)性的思考，贏的機會非常渺茫。

所以，無論做什么業(yè)務，都要有“戰(zhàn)略”思維，要有規(guī)劃，要有布局，知道如何產生一個適合團隊的戰(zhàn)略，如何判斷一個戰(zhàn)略的好壞，如何調動資源，如何獲得好的用戶體驗，如何達成比較理想的商業(yè)結果等等，這樣才能做更大的事情，為企業(yè)帶來更大的價值。

另外，無論是在甲方還是乙方做安全，與管理層溝通對齊認知都是最重要的工作之一，不然安全的資源從何而來？不可不重視。

? Freebuf：當下網絡安全人才缺口日益龐大，vivo如何獲得安全人才，更傾向外部招聘還是內部培養(yǎng)？

? 劉洪善：內部培養(yǎng)和外部招聘都是重要的手段。即使不是人才匱乏，我也建議大家不必要求團隊里的每個人一開始就有安全背景和經驗，一是不現(xiàn)實，二是應該用動態(tài)的觀點看待人才——首先人總是可以學習成長的；其次，背景多元的團隊，反倒有利于本來就需要多元視角的安全工作；最后，不管從事什么業(yè)務的團隊，多樣性本身就是團隊成熟與活力的基本要求。

? Freebuf：請您介紹一下目前vivo的安全與隱私保護團隊，并分享一下您是如何進行團隊管理，最大化發(fā)揮團隊的價值的？

? 劉洪善：vivo的安全和隱私保護團隊，是結合了vivo整體的安全戰(zhàn)略和對整個行業(yè)發(fā)展趨勢的認知構成的，由幾個不同的領域的專業(yè)團隊組成。

第一個，是安全技術團隊，主要解決基礎的安全能力建設的問題。

第二個，是安全工程與合規(guī)管理團隊，主要聚焦于產品開發(fā)全生命周期的工程化管理、業(yè)務使能中的安全質量水平的保障，以及整個公司范圍的數(shù)據(jù)安全和合規(guī)的建設及業(yè)務流程的支撐。

第三個，是千鏡安全實驗室，主要是作為安全藍軍的角色，去解決既可攻又可防的問題。

最后一個，是我們的安全規(guī)劃、產品與運營團隊，主要是負責vivo的安全產品規(guī)劃、產品建設及安全產品全生命周期的運營相關的管理性工作。

這幾個團隊緊密配合，目標只有一個：讓用戶安全便捷的享受數(shù)字生活。

至于團隊管理，雖說我從0到1創(chuàng)建過許多業(yè)務和團隊，但也說不上多少經驗。我只是比較相信“古來事業(yè)由人做”，把人團結好了，沒有什么是做不成的。管理的方法千千萬萬，但我想這三點可能有一定的參考價值：

一是踐行企業(yè)文化價值觀，才能團結五湖四海的人才。誰有好的文化價值觀，誰能更堅決的踐行文化價值觀，誰就能把人才組織和團結起來，最大的發(fā)揮出人才間的組合作用，從而戰(zhàn)無不勝，小團隊如此，大企業(yè)也如此。

二是不斷提升戰(zhàn)略認知。認知沒有大小，只有高低，再小的團隊，它也有戰(zhàn)略和認知。如果認知停留在一個比較淺的層次，做事業(yè)就是在碰運氣，所謂瞎貓撞老鼠。

三是有足夠的戰(zhàn)略自信。每個合法合規(guī)的企業(yè)，能夠生存下來、發(fā)展下去，肯定都有它強大的地方，例如靈活高效的企業(yè)文化、快速工程化的能力等，每個企業(yè)都應該有某種程度的戰(zhàn)略自信。但在戰(zhàn)術上，即細節(jié)上，我們要敬畏每個用戶，尊重每個友商，學習別人好的地方。始終要相信，別人能做出的事業(yè)，我們一樣能做到，而且經過努力，還能夠做得比別人更出色一些。

? Freebuf：作為一名資深網絡安全大咖，請您分享一下您個人在網絡安全方面的心得感悟。

? 劉洪善：對于安全，我一直堅持兩個“主義”：

第一，堅持樂觀主義。我一直堅信網絡安全行業(yè)會越來越好?，F(xiàn)在國家、社會、企業(yè)和個人層面越來越關注隱私安全，投入越來越多，就是一個證明。當前的安全形勢和十年前相比可謂天差地別，十年前很多企業(yè)根本不知道安全隱私為何物，但今天如果還是如此，那這個企業(yè)遲早要因為安全隱私問題栽跟頭，給品牌和經濟造成巨大損失，這方面的例子不勝枚舉，看看各類媒體報道就知道，安全隱私已經成為了人們的基本需求。

第二，堅持長期主義。和AI、XR等新興產業(yè)相比，安全似乎一直沒那么風光，甚至比較寂寞，需要有點“升官發(fā)財，請往他處；貪生怕死，勿入斯門”的情懷，堅持做一個長期主義者。例如先花個10年的時間，將自己所處的行業(yè)吃透，而不是隨風而動：O2O火的時候去做O2O；大數(shù)據(jù)熱了又去做大數(shù)據(jù)，現(xiàn)在AI又火了就又想去做AI；元宇宙現(xiàn)在鬧得火熱，一夜之間到處都是“元宇宙專家”，如墻頭草、水中萍，扎不下根，耐不住寂寞，這個行業(yè)懂一些，那個行業(yè)了解一點，都不深入，何談發(fā)展？

? Freebuf：謝謝劉總，最后，可否分享下您工作之外還有什么愛好？聽說您也經常寫書法，寫文章？

? 劉洪善：我個人生活比較簡單，只有兩個愛好：一是工作，二是讀書。

對工作，我的理想是能夠一直忙自己熱愛的事業(yè)，到八九十歲的時候還能在一線干工作。全副身心干事業(yè)，這是難得的幸福。

對讀書，我是再忙再累，每日也讀一點，正所謂飯可一日不吃，覺可一日不睡，書不可一日不讀。讀書的愛好從識字時就已開始，于我而言是一種難得的享受。工作讀書以外，我平時還喜歡寫寫書法，跑步鍛煉身體等。

至于寫文章，在工作中也經常需要，從業(yè)到現(xiàn)在，至少寫了500篇了。在《人民日報》《中國信息安全》等媒體上都有發(fā)表過，有些還是百萬閱讀。工作之外，我也喜歡在朋友圈寫寫生活相關的文章，也不求閱讀量，只求和朋友們分享當時的所思所想。如今，寫文章對于我來說，已經很難區(qū)分是工作需要還是個人愛好了。

vivo把“數(shù)據(jù)安全、隱私保護與守法合規(guī)作為企業(yè)研發(fā)經營活動中絕對不可以觸碰的紅線和基本底線”，背后正是源于vivo長期對用戶安全隱私的思考和堅持。vivo在安全賽道上長期投入，持續(xù)構建完整的隱私保護體系，打造了千鏡安全架構、高通SPU芯片級安全守護、千鏡可信引擎、原子隱私系統(tǒng)等多項安全功能及產品為用戶提供極致的安全守護。vivo通過自己的實際行動，在安全行業(yè)樹立了標桿和給其它科技企業(yè)起到了示范作用。同時，vivo率先在業(yè)界提出了人文安全的理念：除了用科技守護用戶隱私，還需要更透明可控的安全設計、更優(yōu)雅易用的安全體驗、更關注特殊人群的隱私保護需求，從更科技，轉變到更人文更有溫度的安全守護。相信vivo將繼續(xù)在安全行業(yè)“以行踐言”，全力保障用戶隱私安全。

xiesc