無止界
各位老师、同事们,大家晚上好。我是来自支付宝中国技术部的止介,负责网络安全。简单来说,我的工作,就是保护支付宝用户的资金和数据安全。 先坦白:我其实是个 i 人。组织方让我分享的时候,我内心是拒绝的。相信大家也看出来了,我是一个社恐 i 人。尤其昨晚听完那位老师、主持人,还有前面两位老师的分享,出口成章、思路清晰,我就在想——时间这么短,大家每天上车睡觉、下车拍照,起得早、睡得晚,怎么准备得这么好?来了高原以后,脑子确实有点缺氧,所以我今天带了小抄。这两天的行程,还是给了我很多触动。我看到了很多蚂蚁党员同事,在工作之外的另一面;也看到蚂蚁党组织的理想和坚持。作为一个非党员,我今天也提前感受到了那种庄严的宣誓仪式。那种信念感,是会感染人的。...
很多关于管理者权力过大的讨论,本质上并不是情绪问题,而是组织结构问题。 如果我们把现象抽离出来,会看到一个清晰的组织逻辑。 一、组织结构的三个核心特征 过去阿里体系长期存在三大结构特征: 1. 强自上而下的管理权 管理者对员工的绩效评价,几乎决定: 奖金 调薪 晋升 工作内容 职业安全感 且评价过程相对集中化。 理论上 HRG 体系承担监督和平衡功能,但在高度统一的体系下,监督更多是流程保障,而非权力制衡。 结果就是:当员工在主管处得不到解决方案时,内部表达渠道有限,情绪会集中外溢。 2. 集团拉平的层级与薪酬体系 层级标准统一 晋升路径统一 薪酬必须符合集团框架 BG 总裁无权单独调整员工薪酬,只能在集团规则内运作。 这种模式在中国企业中非常少见。 对比外企: 即使岗位不变,也可每年涨薪 业务单元拥有较大薪酬自主权 3. 通过晋升解决涨薪需求 员工收入增长,主要依赖晋升。 这导致:...
最近收到正式晋升通知,算是一个阶段性纪念。回看这五年,并非一帆风顺。更多的是——被时代推着走,然后在夹缝里找到自己的位置。 入职:天时地利人和。2019年初,蘑菇街上市后市值低迷,业务下行明显。安全资源投入有限,天花板清晰可见。我意识到:如果继续待着,我会变强,但不会变大。于是开始看机会。拿到几个 offer 后并不满意。独角兽或中小企业的安全建设深度有限,本质上只是把过去的经验再做一遍,那对成长没有意义。后来联系上张欧,他正在组建团队,我们彼此听说过对方。我能力结构和这个“从 0 到 1 的安全团队”高度匹配。面试很长——初面多轮,每次一小时以上,二面集团安全,三面 CTO,四面 HR,五面 HRG。学历不是优势,只能靠能力硬过。最终在黑龙江一家烤串店里接到...
2023年个人生活和工作年度总结
深度参与的书正式出版了!以前每次和大家分享,因为时间、保密等原因都不够深入或全面。于是我们将数十人多年安全建设的精华经验,毫无保留的都写进这本书里。可能文字不够优美,但内容很有质量。来到支付宝后,很多书中的经验都有明显助力,希望对安全同行能有一些微小的帮助。
特别不容易,前前后后接近两年时间,在工作已经都特别忙的情况下,大家晚上还是会参与闭关甚至周末花时间编写。没有经济利益,纯粹用爱发电。
可通过各大电商平台购买。
Table Of Contents 重点解读网络安全事件报告管理办法(征求意见稿) 重点解读 所有国内网络服务都受本办法管辖,关注的是造成了实际影响的安全事件。 出较大及以上安全事件时,要1小时内报告,及时同步进展,结束后总结。 较大及以上:基本是稍微有点影响的网络服务出了服务中断2小时以上以及泄露数据超过100万以上。 安全事件:主要指服务不可用以及数据泄露等。任何原因导致的服务不可用都算,不只是网络安全导致的。 1小时内报告:1小时内搞不清楚的,要先把目前已知的情况报上去,其他信息24小时内报完,后面有任何新进展及时报告。 结束后5天内总结:事件处置结束后,5天内运营者应对事件进行全面分析总结,并形成报告上报。...
無止界