人物|银科控股张福明:穿越灰暗,方知安全-IT动态-热点资讯-野望文存-科技 
    欢迎来到野望文存-科技!
当前位置:野望文存-科技 > 热点资讯 > IT动态 >  人物|银科控股张福明:穿越灰暗,方知安全

人物|银科控股张福明:穿越灰暗,方知安全

发表时间:2020-09-14 14:09:00  来源:野望文存  浏览:次   【】【】【
撰稿 | 狗哥
编辑 | 图图


这个世界,不会总是给你鲜花与掌声,有时候也会有荆棘与嘘声。我们当然乐意接受鲜花,笑看掌声。但也要学会面临荆棘,承受嘘声。


很多成功者,大多乐意高谈阔论自己曾经吃过的苦、受过的罪,但很少有人会提及自己当过“逃兵”。因为“苦”、“罪”是命运的磨砺,而“逃”则是自己的放弃,说出来容易当成笑柄,乃至成为璀璨人生中的污点。


银科投资控股有限公司产品技术总监张福明,却是笔者访谈过的安全业者中的一个另类,他没有避讳自己曾经面对困境放弃的事实,也未隐瞒自己的灰色创业经历。也正因这些特殊过往,让笔者对他的故事格外好奇。


某个下午,酒足饭饱,清茶淡水,张福明便打开话匣,讲述了他那关于放弃、荣辱、纠结、迷茫、寻找、执着的故事。





求学之路:迷茫与寻觅纵横交错


十几年前,互联网在国内开始有了蓬勃发展的势头,张福明刚刚高中毕业。一个农村长大的普通家庭小伙子,独自扛着大包小包的行礼,坐了三十多个小时的绿皮火车,孤身一人来到了繁华喧嚣的大上海。


霓虹璀璨,车水马龙,张福明初到上海,仿佛进入到了一个全新的世界。他开始有一些不知所措,好在大学校园比较简单,他很快适应,专注点也逐渐转移到了学习上。


“我之所以从那么远一个人跑来上海,其实还是有点想打破自己的认知,去看一些自己未曾看过的风景。我们家世代农民,父辈祖辈们都没能够看到外面的世界,我想先替他们去看看,然后有了能力,再带他们去看看。”


张福明所学专业最初不是与计算机相关,而是管理方面。然而,大学的课程并不像高中那般紧凑,一周没多少节课,经常半天都没课,整个寝室的人要么打游戏,要么出去玩。


对于各种稀奇古怪的游戏,张福明从陌生到上手,仅用了很短的时间,他也沉迷过一段时日。但不久便发现,这不是他想要的生活方式,继续这样下去,对于一个毫无背景和人脉的农村小子而言,注定没有未来。



“古人谓十年窗下无人问,一举成名天下知。”

——元·刘祁《归潜志》卷七



彼时,虽然大家游戏成风,但也存在另一种风气,即很多人都在学习计算机语言,有些迷茫的张福明,也突然心向往之。但促使他感兴趣的,不只是计算机语言大热,还有他对电脑游戏产生了一种别样的想法——“游戏是怎么搞出来的?很厉害的样子”。


于是,张福明开始接触C语言,甚至专业也换成了计算机科学与技术。在研究写程序的过程中,他发现C语言能写出好多有趣的东西,能够做出很多小功能,研究算法也很有意思。于是,他就买了一本很厚的C语言的专业书籍。


有了书,但没电脑。张福明不好意思向家里要钱,便选择勤工俭学,给高三的学生讲数学与物理课程。他用省下的生活费加上兼职赚的钱,购买了人生中第一台属于自己的电脑。接下来,只要不上课,他就把书拿出来,研究代码和算法,不断在电脑上敲,越敲越喜欢,钻研也愈发加深。



随着专业水位不断提升,各种计算机相关的证书,张福明也是一考就过,信手拈来。他没意识到,这些证书,也让他身上逐渐有光。


2010年,临近毕业,有家专门做软件的日资企业,即上海蒂姆联铂信息技术有限公司联系张福明,他就和对方技术主管聊了聊,直接被破格录取。虽然他专业不对口,但是对方综合评估下来,认为他颇有潜力。


由此,张福明从学校走上了社会,也走上了技术这条道路。


职场生涯:成败与坚持交相辉映


来到蒂姆联铂,张福明担任软件工程师一职,专门研发企业各种系统。在这里,虽然仅工作了一年有余,但他却学到了两样影响一生的东西。


第一则是做事要精益求精,一丝不苟。


“我觉得日企对我最大的帮助就是精细化管理,比如工作流程有条不紊,研发成果精雕细琢。我深受感触,也培养了自己精工细作的能力,就是做什么事情,要么就做好做细,要么就别做,至今都极为受益。”


第二则是永远不要轻易放弃。


对于放弃这件事,张福明至今还历历在目,久久难忘。就像一根钢针,狠狠地扎在他的心头,时刻提醒着他坚决不能当逃兵。


2011年,公司拿到了一个2000多万元的项目,这对于只有四五十人的团队来说,是一个非常大的项目系统。张福明还是一个职场新人,精力充沛,满怀激情,一个人承担好几个人的工作。


就这样整整做了半年之久,项目系统依旧没能上线,张福明开始焦虑、迷茫,纵有万般激情,也在劳而无功、日复一日的工作中慢慢耗尽。


那时,整个团队的士气都开始低迷,大家都觉得这个项目是不是要做不下去,团队是不是要完蛋。整个公司弥漫着负面情绪,陆陆续续有人离职。


张福明同样看不到终点,在负面情绪的感染下,他看大家都说不行,就决定也逃离算了。于是,他正式离职,开始了新的求职之路。


当时大家还都在用QQ工作,几个月后,张福明看到老同事的QQ空间动态,是前公司项目系统成功上线的消息。在照片中,好多人都特别开心,老板、领导和员工一起欢呼庆祝,每个人身上都充盈着无与伦比的荣耀与力量。


那一瞬间,张福明如受雷击,一种难以言喻的挫败感贯穿全身。他心想,如果再坚持几个月,他一定能够把事情统统做好,现在也必然会享受同样的开心与成就感。



“你若失去财产,失之甚少;你若失去荣誉,失之甚多;你若失去勇气,失去一切。”

——百花奖终身成就奖导演严寄洲




也就是从那时起,张福明整个人的职业观念剧变,但凡他接触的项目,再也没有拒绝或半途放弃。因为做任何事,他都会进行事前评估。如果该项目可行可做,他一定会做好做完,善始善终。哪怕中途有人说不行,他也不会轻言放弃。因为曾经的“逃兵”经历,对他的教育意义非常巨大,他再也不想做第二次逃兵。


“每当我遇到困难的时候,我就想起这件事,就觉得没有什么不能坚持下去的了。因为这个切实发生在自己身上,远比看到别人或听别人说出来更加刻骨铭心。”


安全和技术,本来就是存在许多重合点的工作。2011年,张福明加入了励元信息系统(上海)有限公司,这是一家专门做数字化防伪的公司。


那年,励元的安全防护还没现在这么强,然后却掌握了很多软件销售的渠道和信息,这些数据都是核心资产。所以,不断被黑客盯上,网站经常被黑客使用常见的SQL注入、XSS攻击,不断变换各种手段去渗透系统。


此时,张福明已经对安全有了一定认知,他就去YY(俗称“意淫”,张福明特指形容脑洞大开、敢作敢为)一些手段,比如做各种检测工具,一旦检测到攻击,就去思考如何防护,怎样让对方攻击手段失效等。


正因这些“小打小闹”,无意间让他的安全攻防能力不断提高,为以后的安全工作奠定了坚实的基础。


此外,张福明还负责业务安全相关的工作。比如,公司做防伪码产品,像茅台酒的防伪码,可以用来检测真伪。防伪码的安全则是要保证不被山寨厂商伪造。


业务安全工作中,另有一项是防窜系统,简单说来就是防窜货。对此,张福明举了个简单的例子:售卖某品牌电脑,A代理商在东北不太好卖,所以总部将每台电脑绩效定得好些;B代理商在成都卖得容易,所以每台电脑绩效相对低点。于是,B代理商便会偷偷将电脑运到东北去卖,套取高额绩效。


所以,如何防止窜货,也需要一套安全系统。张福明就参与了很多这种业务安全系统的设计与研发。



很多人做安全,往往会觉得枯燥。但张福明不一样,他反而越做越感到有趣。


一来,很多企业确实面临越来越多的安全问题,核心销售数据和用户数据,都是企业花了巨大代价积累下来的,一旦发生泄露,对企业的冲击极为巨大。所以保护好企业安全,让张福明颇有收获感与满足感;


二来,张福明在励元服务的企业,多为中农、中化、中粮、东芝等大型企业,在接触大企业的过程中,能够拓宽眼界,获取更多的安全风险信息,从而同步提升了自己的应变与应对能力。


创业浪潮:灰暗之中浮浮沉沉


2013年,是互联网创业的高峰期。张福明也顺应潮流,开启了创业之路。


彼时,安卓手机刚刚起步,张福明觉得这事大有可为,加上有同事拉拢,彼此熟悉,比较靠谱,于是他就以技术合伙人的身份,联合创办了上海移云信息技术有限公司。


这段创业经历,张福明觉得是颇为灰色的。因为他做了一些灰色的事,他并未避讳,最终他也是果断收手。而这段经历,也为他以后开拓光明,带来了巨大的价值。



“我讲这些不光彩的事,为的是要分辨个是非。不对的,就是不该的,就是坏的。对的就是应该的就是好的。”

——当代文学家杨绛《洗澡》



张福明觉得,非常有必要将这段经历道出。因为那是一个野蛮生长的时代,很多人都是在大潮中逐流。而大多事物的发展,不可避免要经历一个这样的时代。


张福明团队一共有五六十人,最开始做K歌软件,以及给各个安卓厂商做预装原生音乐播放器。


“那个时候,我们自己做的东西,一个月的装机量都在100万台以上,这是一个非常庞大的规模。因为当时很多安卓手机厂商跟移动联通电信合作,充话费送手机。而我们就是很多手机厂商的合作方,会帮他们定制安卓系统。”


也就是在这个时候,张福明再一次接触到很多安全相关的东西。因为安卓刚刚起步,漏洞很多,很多人都刷机搞猫腻。


“比较不好意思,我当年也是搞猫腻的一份子。我们会帮广告商在安卓手机中植入一些按推广告,以及广告刷量、推广注水的操作,这是一个暴利行业。当年确实没有监管,大家都很迷糊,也不知道这事有什么不对。也就是后来回过头看,才发现这些事不那么光明。也正式因为这些毛病,导致很多人认为安卓手机不靠谱。如今这种情况已经大为改观,安卓品牌机已经不敢搞这种暗箱操作。”


在这里,张福明一个人同样担负起了很多工作,从产品的开发到测试、上线、发布,以及服务器的维护,基本上都是他一个人搞定。因为创业公司人数不多,每个人都要做多面手。由此,他也切身体验到了百万并发的状况

2014年初,张福明离开了移云信息。因为张福明突然意识到,这种靠植入、暗推的商业模式,并不是长久性的东西,无法拿出真实的有自身品牌价值的产品,更无法给自己的职业生涯带来长远的提升,甚至也很难获得当初看到别人的那种荣耀感与满足感,还有悖于他的价值观。




“黑暗并不可怕,可怕的是那心中的一抹微光也黯淡了。”

——第34届西班牙电影戈雅奖《饥饿站台》




跳出坑后,张福明面临着好几个选择,一是进入互联网大厂,像BAT,也都拿到了他们的offer;二是金融科技公司,即银科控股;三是继续去创业,因为又有人拉他去搞项目。


“互联网大厂给出了P7的待遇,当时P7的含金量还是很高,可以去镀镀金,也能够学习很多技术;其实也有点想去创业,因为激情未灭;另外对银科控股也十分心动。我在这个人生十字路口徘徊了很久,最后选择了银科控股,因为我从未从事过金融行业,觉得金融和科技结合,肯定大有可为。”


2014年1月,张福明顺利加入银科控股,这一干就是近七年。


银科控股:夯基与开拓并行而上


来到银科控股,张福明先是从高级工程师做起。初来乍到,他觉得传统金融公司的技术并没有看起来那么高大上,反而让他觉得,他有十八般武艺,怎么走到这边就会收窄?


“我记得刚到的时候,我还教运维写test脚本怎么自动发布,教测试怎么测自动化测试,怎么去监控饱和做负载,怎么去把并发量和吞吐量提高等等,一下子觉得技术能力愈发收窄。大约半年之后,我又萌生创业念头。”


就是张福明有点动摇的时候,他发现银科的系统还不够强大,哪怕遇到XSS攻击,系统也会有种摇摇欲坠的感觉。银科自身也意识到了这个弱项,就给张福明提出了一个目标——利用先进技术加固网站系统。


张福明一下子来了劲,他对技术相当痴迷,这项工作对他而言具有一定的挑战性,他立马拿出激情来搞,结果真就搞定了。与此同时,他在公司内也树立了口碑,大家都认为他行。没过多久,他就升任技术主管,带领了20多人的团队。



“少而好学,如日出之阳;壮而好学,如日中之光;老而好学,如炳烛之明。”

——汉朝宗室大臣、文学家刘向



成为技术主管,就需要花一部分精力在管理工作上。张福明也会把自己许多想法,分享给团队成员。整个团队也充满活力,成绩斐然。


大约一年左右,张福明就升职为产品技术经理,带领50多人的团队。再过一年多,他就升到了目前的产品技术总监的职位,带领的团队也达到了200多人的规模,这在上海差不多是一个中型技术公司的规模。


到了这个职位,张福明清晰地认识到,银科控股定位是金融科技公司,对于金融行业这种业务性、驱动型的企业而言,他和他的团队要在充分调研业务需求的前提下,能够提供符合公司经营和战略发展方向的产品方案,然后促使产品方案能够顺利执行,并能取得阶段性成果。所以,阶段性的问题就是推广运营、营销服务,以及更重要的合规。科技就要为公司的经营发展提供强有力的支撑和保障。



如今,张福明团队已将区块链、人工智能、云计算等跟现有业务结合。


譬如,大数据方面,银科每天都有海量数据进来,产品也达到了百万并发量;区块链技术也在证券投资咨询领域落地,打造高防篡改、更有公信力的互信机制,并也跟证监会报备;人工智能结合大数据,打造了舆情监控系统,搞出了广告识别系统。


“因为我曾经的创业工作经历,我知道广告是能够被刷的。我做过那些灰色的项目,现在我正好可以利用这些能量,帮助银科做好产品设计和安全防护工作,更多地节约成本。所以我们做了智能广告识别,然后进行精准的投放,保证企业每一分钱都花得明明白白。”


张福明认为,金融科技公司合规也极其重要,于是他们做了AI合规检测官。


“当年我基于安卓,打造了一些不好的软件。现在我就是通过那些技术,做了很多好的软件。我们的合规,我们业务员的工作手机,都是内部定制的。比如对电话的监控,可以保证业务员不会出现违规,当然公司的合规制度非常严格,主要是不要出现夸大宣传。”


众所周知,金融公司最忌讳业务员承诺客户的东西无法兑现。因此,这方面的风控必不可少。所以,一旦业务员对客户说了不好的话,AI检测官会第一时间预警。


此外,AI检测官还能感知客户,客户有情绪,业务员也是年轻人,大家都有脾气。AI检测官几分钟内就能预警,马上客服介入,去对接业务员,安抚客户。最终实现投诉量剧减,客户满意度提升。


今年,团队还将有大笔资金投入AI研究方面,而这些项目,均是张福明负责。他也有自己的理想与情怀,以及经历了许多事之后,愈发清楚行业的底线与规则的重要性。


“我不希望我的团队通过AI来变现,还是要服务于整个业务营销体系。像国内很多创业公司,做出一个AI产品或智能学习机器的东西,就想卖钱变现,其实我不是特别看好,因为细分领域有着需要专注解决的业务场景,这样AI产品才能生存下去。所以我给我们AI团队的目标是,能够基于现代的技术和设计理念,做出一些能够帮助业务提升效率、帮助合规降低风险的产品,那我们就成功了。这是一个持续投入和学习的过程。”


张福明认为,金融公司都面临一些共性问题,比如黑客攻击窃取用户数据。传统安全往往是看日志分析,都是后知后觉。于是,他就带领团队做出一套信息安全监控平台,可以实时监控,只要有异常访问,或变换ip访问,或国外ip进来,都会第一时间报警,然后去进行防御。


回顾在银科控股的七年工作,张福明感慨良多。


“有时对比看看当年初来时和现在自己的照片,就会发现多了很多沧桑感。我觉得每一个角色都有他的使命,无论在哪一个角色里面,我并没有做得比任何人好,但我都坚守了一些东西,即我在这个角色位上的时候,我拥有的使命是什么,我要做什么?角色赋予我的责任,我无论如何也要做好。不要轻易放弃,永远都不要做逃兵。”


行业视界:安全不要追求花架式


谈国内整个网络安全格局,张福明认为,国内安全体系还处于初级阶段,很多东西还在跟着国外走。比如,国内很多网站,以及一些小型企业的官网,内部管理系统,防护性很差,只要有黑客愿意去攻击,轻而易举可以攻破。


笔者好奇,为什么这么脆弱的系统,黑客都没有攻击的兴趣呢?


张福明笑称,很多网站攻破之后,拿到的都是内部人员数据,没有什么意义和价值,黑客根本看不上。黑客攻击一般都是有人在暗网上下单,比如攻击一条数据两毛钱,然后黑客接单去攻击。没有利益的事黑客一般也不会去做。


因此,张福明觉得安全是一项长期向的工作,是一个逐渐演化的过程。并且百分百安全的体系也不存在,就如Windows系统,拥有大量优秀工程师,投入大量的资金成本,经常打补丁,但依旧存在bug,依旧有漏洞。


“我举个例子,就像家用防盗门,有A级B级C级锁芯,其实哪一种锁芯都能被打开,只是说花半小时,还是十分钟、三分钟的问题。所以我们安全人要有这个意识,继而做到两方面:一是在现有能力基础上,尽可能去提升系统安全性,但安全性提升也不能过度,打巷战解救人质你上一堆高射炮,根本就不适合,所以适合自己的最重要;二是黑客入侵系统时,你能及时感知,快速采取方案。别人进来而你不知道,这才是最可怕的。”


在张福明看来,金融行业的客户资源,是花了很大代价才积累的高净值客户,一旦出现大规模泄露,甚至可能颠覆这家企业。更可怕的是,黑灰产拿这些客户数据去进行二次诈骗,那完全是针对性的,知道你有多少资金以及个人隐私信息。


因此,张福明坚定认为,保护金融企业客户信息,不光是保护企业安全,更是保护好客户的人身与财产安全,是每一个做金融信息安全系统人的使命和责任。



“人生须知负责任的苦处,才能知道尽责任的乐趣。”

——梁启超



那么,怎么去做金融安全防护呢?张福明也拥有独特的见解。


“我个人觉得就是简单之美,就是去伪存真,做真实的东西。不要为了给老板或企业一个答复,我就要上一套超大的系统,搞一套华丽好看的设备。一定要从解决问题的口子入手,很多人很难去把握这个关键,好像我不上一套大系统,就没有干活一样。上系统是有必要的,但不应一味追求那些花架式。”


张福明列举了几个典型场景案例与防护经验:


一、企业研发代码若使用第三方框架,第三方开源的包,就需要严格评审,并非随随便便引进。因为很多代码漏洞往往都是通过开源框架引进,这是一个共性问题,黑客会用这个漏洞扫描更多的系统,就很容易从一个点的问题,突变为一个面的防御问题;


二、数据系统密钥,最简单的就是给它完全隔离掉,敏感数据入库时要脱敏加密;


三、金融企业务必要建堡垒机,一定要把堡垒系统做好;


四、遭遇洪水攻击,首先是拉高防,高防一般花钱解决就好,通常都采购阿里的高防系统。洪水来,你就比他大,他就没招了;


五、YY一些欺骗式的转移,黑客攻击你,你可以告诉对方攻击成功,你将我打翻了,不要再来了。这些东西可以利用外围服务技术去研究一下,东西比较简单,但可以快速解决问题;


六、多因素登录、验证,可以采购一些靠谱厂商的成熟解决方案。但具体是自己研发还是采购,要根据企业状况。



张福明印象深刻的一件事,就是配合网安部门和网络警察去破案。


有家企业数据泄露,原来两个月前系统就已被攻破,黑客还养了两个月的数据,在某天凌晨四点,将该企业数据全部刷走。该企业报案,由于张福明对互联网系统架构比较了解,也比较擅长研究黑客攻防技术,他就参与了企业组织的专案组,分析黑客的路径,怎么来的怎么走的。


之后,张福明就配合网警,实地了解网警的破案具体过程是怎样的,怎么去抓这些黑客。


最后,张福明发现,这种高智商高科技犯罪,实际上相当难破。因为一旦对方隐藏起来,伪造代理或伪造国外IP,甚至人在东南亚柬埔寨等国家,那基本就无能为力。


由此,张福明深刻感知到,安全工程师们一定要坚守自己的责任,踏踏实实做好安全,做安全不是为了讨好老板和企业,而是坚守自己的使命与职责。


写在最后:相信一切都是最好的安排


访谈到了尾声,张福明如释重负,谈起了一些兴趣爱好。他在健身运动方面,喜欢打打球、踢踢球,但花费的时间并不多。他将更多的精力用在了钻研新花样、新技术上,因为这已经成为他的一种嗜好。



此外,张福明喜欢去跟技术、产品、业务团队的人,聊业务、聊系统、聊架构,YY一些场景。比如某个东西可不可以设计出一套系统,可以有哪些功能等等。


安全大体上是一项比较枯燥工作,并且总是在不断遇到问题、解决问题,人不是机器,往往会感到疲惫、倦怠、沮丧等,张福明亦不例外,但他比较擅长自我调节、自我安慰。


“我觉得有句话说得好:‘要相信一切都是最好的安排’,这话比较适合我,不然压力太大。因为有些事情一旦发生了,就很难回到没有发生的状态,这时只能想办法舒缓自己的精神,重新整理思路去解决问题,兵来将挡水来土掩,没有过不去的坎,这或许是对我的一次磨砺,要相信一切都是最好的安排。”


张福明是一个心怀感恩的人,他从北方农村而来,现在能够管理这么大的团队,除了他自身努力之外,也遇到过很多帮助他的人。


“心怀感恩,就是你在一家企业内,就算没有认识的朋友,也没有人帮你,你父亲爷爷二舅不是老板,也不要有负面的情绪。你付出努力,总会有一些收获,要么给自己添砖加瓦,要么得到别人的认可。一旦别人认可你,自然就会帮助你。你要心怀感恩,感恩帮助你的人,感恩这个给你磨砺长成的环境。当然,你想要更好地成长,就需要付出不亚于任何人的努力,坚守责任与使命,坚守责任是人格的基石这一信条,感恩企业给予你的培养,最后你就能在企业内发光发亮,你就会照亮别人。”


张福明的语调十分轻松愉悦,笔者能够感受到其中的真挚与坦诚。


回望张福明十余年的求学工作生涯,笔者一种感触油然而生——一个乘胜追击的人固然勇敢,可堪枭雄。但一个吃过败仗的人,一个历经灰暗的人,仍有不屈不挠的勇气和坚韧不拔的决心,能够从跌倒之处爬起,能够将灰暗转变为光明。那么,他同样可称英雄。



“我们的使命是照亮整个世界,熔化世上的黑暗。”

——莎士比亚《维纳斯与阿多尼》




推荐阅读





齐心抗疫 与你同在 




点【在看】的人最好看


责任编辑:蔡学森