事业有成之道

选准行业

• 选择一个高增长朝阳行业。回顾自己这些年的工作，如果只选一条建议，就这条。
  • 应该选择时间会成为朋友的行业，有十年工作经验而非一年经验工作十年。
  • 理解网络安全行业现状。
    • 网络安全从业人员如何选择公司。
    • 网络安全从业人员必备素质。
    • 网络安全从业人员能力分层。
    • 网络安全行业人才趋势
  • 例子：回顾收入增长，2017年在蘑菇街涨薪108%，平均每年涨薪30%，且持续十多年。如果是传统行业，或者不赚钱的公司，是完全不可能的。
  • 平台的重要性：仓鼠和厕鼠的最大的不同是所处的环境不一样。朱元璋告诉我们，一个县出来的人就可以管理天下。
• 进入头部公司。公司在快发发展，再无能的人能力也能随着得到飞速提升。公司赚钱了，你才能有不断的涨薪。选择指数增长的公司而非线性增长的公司。
  • 一些通用网络安全面试经验
  • 网络安全最优应聘渠道
  • 在海量的简历中脱颖而出
  • 理解网络安全面试的本质
  • 一些常见的基础问题与回答

成为专家

慈恩塔下题名处，十七人中最少年。

看态势

建立优势，关注劣势，寻找机会，对抗威胁。

• 让自己具备成事者特质。这一路走来，你一定见过很多你看不惯的人，很多失败的人，想想他们身上的问题。你也一定见过很多牛人，他们身上各种优秀特质，很多都是后天习得，当我们自己也拥有这些特质后，离成功就只剩下机会了。如果想拉开和他们的差距，必须得建立起自己的个人优势，也就是我有而他没有，他有我优。
  • 克服几个大多数人都存在的性格问题，你就会比大多数人要强：懒惰；注意力涣散；目光短浅，缺乏远见；及时满足，缺乏耐心（不愿意投入底层技术研究，总想找到速成术）；避难趋易；缺乏耐心，急于求成（追去短期多巴胺刺激）；缺乏自律；信息获取浅薄（消除模糊和未知）；害怕风险，厌恶不确定性；
    • 能自学，爱学习。能把学习当成习惯，每天看书、学习最新的技术，对于任何不懂的事情都能钻研到底。就会变成一个聪明人。
    • 独立思考，思考深入。大部分人都是乌合之众，学会独立思考而非人云亦云，且见识客观、能抓住要点、深入。
    • 换位思考，善于协作。能站在他人位置考虑，与人友善，急人所急，想人所想，帮助他人，解决他们的问题，为他人提供独特价值。能激发他人，能得到所有人的支持，所有人都乐意看到你成功。
    • 做正确的事情，知道什么可为什么不可为。正直、诚信、守时、事事有结论。如果能做到既友善又坚定，会得到他人的刮目相看。
    • 勤奋努力。你工作一年是别人工作三年的质量。
    • 行动上的巨人。什么样的人能在未来取得巨大成功？如果只有一条特质，就是行动上的巨人，那些能把想法付诸实践的人，能够在实践中进行学习的人，现实会教会他独立思考、会让他学会协作、商业逻辑会让他知道承认错误，进行改变，并朝着正确方向努力。
    • 持之以恒，慢即是快。人性及时代节奏变化，当前充斥着众多短期主义影子，都喜欢速成，但无数事实告诉我们能够在短时间内被创造出来的东西往往品质堪忧。多数人难以理解长期价值，事实上，如果有耐心去长期做正确的事情，就会在复利作用下和他人拉开极大距离。无论是健身减重、投资理财还是开创事业。
    • 在胜率高的事情上敢于下重注。敢不敢在自己相信的事情上冒险很能决定一个人的发展上限，我们常常听到周边的人讲要是当时怎么怎么样，本质上再次一次，他还是会不那样。
    • 学习商业知识，提升赚钱能力。本质上赚钱也是一种能力，身边有很多优秀的人，但不一定会赚钱，他们的优秀体现在其他的能力上。如果我们的目标是赚钱，就应该直接为赚钱做功，而非间接。
    • 承认错误或不足，能听得进建议，能不断改进自己，成为一个开放的人。面对自己不确定的事物时，可以秉承怀疑态度表示质疑，但当证据确凿时，得能转变思想，表达认同，这是一个求真的过程。思考问题时，固执己见不如头脑开放。在不同的情况下，我们需要以不同的方式来看待和处理问题。事物之间往往有着各种微妙的不同，比如道德准则与观点看法。
      • 心态好则运气好。运气其实是个心理学概念，你心态好则运气好，心态差就运气差。拥有相同的经历处境的人，以不同的心态面对好事与坏事时，他们的看法以及结果会大相径庭。面对坏事和好事时，都要有塞翁失马的心态。
    • 优秀的人控制自己的期望。实现上面这些特性后，你将比多数人都更优秀，也可能有所成，这时候很容易对自己期望过高。会导致适应能力很差。韧性对成功至关重要。
  • 例子：在工作那会，绝大部分安全从业人员都不会开发工作，都只会安全攻击技术，由于我是研发出身，导致我同时拥有安全和开发两个技能，在后面的安全想法落地为工具产品、漏洞的发现和修复、安全机制流程建设等方面都赢得了巨大优势，做事情的难度变的很低，一点点的努力就能有不错的结果。现在，安全和开发已经成为安全从业者必备的技能了，这时候我们要思考，新的技术优势是什么？
• 找到长期工作动力。
  • 找到工作的长期意义价值更能长期激励自己，如果是一些浅层的原因，比如物质激励（升职加薪/买豪车大房子），或者一些反向的恐惧愤怒（试用期、末位淘汰、差绩效、无晋升、优秀新人、备份机制、杀鸡儆猴、想证明自己），很难长期坚持。
  • 做自己喜欢的事情
    • 你会不知疲惫。上班不再像上坟，不会准点下班，会为了一个问题钻研到深夜，甚至会觉得时间不够用，周日也会开心的迎接周一的到来。
    • 你能忍受更多的痛苦。当一个人心中有着更高的山峰想去攀登时，他就不会在意脚下的泥潭，他才可能用最平静的方式，去面对一般人难以忍受的痛苦。
    • 你会比你的竞争对手更加深入。随着你比他们在同样时间内投入更多精力，你一定会比他们做的更加深入。
    • 你能赚到很多的金钱。随着你更深入，能提供区别于他人的价值后，赚钱就成自然而然的事情了。
    • 你会很有成就感。随着得到金钱、外界认可等正向激励后，你将会非常有成就感，而且这种成就感是长期持续的。这又会让你愿意投入更多精力、又更大的忍耐度、做的更深入，进入一个正向循环。
    • 你会很坚定自信。燕雀安知鸿鹄之志。英雄者，胸怀大志，腹有良策，有包藏宇宙之心，吞吐天地之志也。大丈夫处世，碌碌无为，与朽木腐草何异。有信仰的人最可怕。
  • 例子：我的工作动力来源于两部分，早期源于兴趣驱动工作，自己对网络安全的热爱使得自己能够每天凌晨睡觉持续一两年。后来成为管理者之后，工作动力源于未来我要创立自己的企业，所有的杂事都是未来要面对的，因此面对这些事情我并不会觉得厌烦。
  • 喜欢背后是成就感和满足感，最能带来成就感、满足感的事就是构建和创造。
  • 成功的核心是需要志存高远。历史无数次告诉我们，任何普通人都有成就伟业的可能。有着远大抱负的人，在做事的选择会完全不一样，就算最后没有成功，所取得成就也远高于多数人。
• 认清企业生存之道。

快落地

• 如何快速了解公司、业务以及团队。新人进入一个新的环境，首先应该帮助他快速融入团队。作为主管并不一定有足够的时间去辅导，同时他也会有很多事情并不一定都愿意来打扰主管。为他安排一个靠谱的师兄，能够在融入过程中起到很大作用。师兄除了在做事过程中辅导同学，同时也可以作为生活中的帮手，带新人熟悉公司环境，让团队的人尽早认识自己，了解自己的背景也有助于后续的工作开展。但同时要注意，一方面可以突出自己之前的经验，但同时这些经验在后续的工作中也可能成为自己的拖累，尤其是从小公司到大公司会越加明显，原有的经验不一定现在还管用，需要调整好心态。想要更好的融入一家公司，最好的办法是从最开始的时候一起经历。既然错过了开头，那就需要去了解，了解这家公司的业务、历史和文化，去适应这家公司的文化。同时也要去了解以后每天会一起工作的团队同事，了解每个人的背景和当前的职责。
• 新人试用期目标。确定新人的试用期目标是一件严肃且谨慎的事情，新人往往是过五关斩六将到了现在阶段。试用期的目标会决定他的去留，甚至未来的职业发展路径。作为主管，首先应该弄清楚新人的优势，通过更加平等开放的氛围，比如在咖啡馆或者吃饭的方式，让彼此放松愿意袒露心声，了解新人过往经历，包括之前的公司、岗位、项目经历、技术栈，弄清楚擅长的和不擅长的。甚至工作之外的情况，比如家庭、爱好等。了解新人的初心和期望，为什么加入这家公司？为什么想来这个团队？期待未来怎么样？其次，可以跟新人讲清楚当前团队的目标、做法和项目以及未来规划，让他对整体有一个比较清晰的了解。同时根据新人的情况，可以直接安排具体的方向和事情，也可以提供几个合适的方向供其选择，很多时候合适的人做合适的事情才能发挥更大的效果。设定目标的时候要考虑试用期实际的工作时间，很多公司在试用期会有大量新人培训、学习、考试的时间，这部分也可以作为目标的一部分。对于技术侧的目标，应当合理、清晰明确且可量化。主管核心职责是让员工能不断成长，针对新人的不足部分，也应当在这个时候提出期待，在试用期期间看到变化。
• 持续对焦跟进进展。一切的开始是最难的，所以应当从拆解的小任务开始，辅导新人拿到一些阶段性的结果。同时让新人通过日报、周报的形式及时同步进展和风险，及时发现问题。
• 试用期总结与转正答辩
  • 总结：试用期总结是对自己过去几个月的过程、结果做一个总结，主体是围绕对目标的拆解、对问题的定义、过程中的思考、方案的完备性、钻研的深入度、最终的结果价值，以及未来的思考规划，同时也可以讲讲自己的感受和收获。
  • 答辩：为新人组织一场正式的试用期转正答辩，邀请相关方参与作为评委。在限定的时间内，让新人进行述职。根据各位评委问题进行答辩，最后收集各位评委的结果和建议，做最后的总结反馈，包括对工作的肯定、建议以及未来的期待。给新人祝贺、拍照等有仪式感的方式。经历了整个试用期后，新人对所解决的问题领域会有很多经验，可以在团队内部做一次公开分享。
  • 面试官常见问题：价值、影响、未来发展。反直觉细节问题、目标清晰、问题解决结果、事情多寡、独特价值、同类产品差异、未来思考。
  • 试用期常见问题：事情不匹配；多件事情并行，不聚焦；自己在其中并没有发挥独特价值；便执行；事业狭窄，不了解内外部同类产品情况；缺少未来思考；焦虑来源于不确定性（目标/路径/资源）；与主管对焦，不要随意否定当前事情，你不了解过往；师兄是这个组织中真正在帮你的人，照着师兄少说多做。

高目标

• 如何设定网络安全目标。一个好的目标是事情成败的关键，在出现需要抉择的路口能指引我们朝着正确的方向去努力。
  • 目标来自哪里？很多情况下我们面临的问题是不明确的，老板的要求是不具体的，需要我们自己去寻找目标。多数情况下，我们的目标来自于上级老板目标的拆解。要拆解老板的目标，首先得理解上级方向、目标和策略，找准自己团队的定位和独特价值。与主管对焦其目标背后的意图，同时也需要了解各个横向团队和上下游的的规划，以及回过头看看做完这些事情对实际关键风险能起到控制作用。在确定目标之前，需要回归初心，想想你在团队中到底扮演了什么样的角色？是在为谁服务？能发挥什么价值？目标设定第一原则是从客户价值出发，对于安全团队来说，脱离风险的目标设定是一切灾难的源头。我见过太多安全团队其实在自娱自乐，原因在于多数公司老板是不懂安全的，安全的事情基本上安全负责人说了算，导致如果愿景和目标没想清楚就会出现所做的事情对实际风险控制没有太大帮助，一旦遇到针对性的高级威胁所有的工作形同虚设。一旦目标错了后续一切都错了，因此在目标设定上多花些时间想清楚是值得的，此时的慢是为了后续的快。
  • 如何设定？以应用安全团队为例，可以从风险角度出发，打开脑洞想一想我们期望将风险控制到什么程度。在此之前，我们需要先暂时抛弃行业的一些通用做法，惯性思维和先前经验，这些往往会将我们思想画地为牢。假设目标是：没有漏洞？没有漏洞不太可能，我们知道有人写代码就会产生漏洞。有漏洞但不能被利用？安全本质是对抗，任何防护都有可能被绕过。有漏洞但都被我们发现了？发现必然存在风险敞口。有漏洞都被我们上线前发现了？发现意味着必然存在遗漏。很多企业安全体系建设会有类似“重检测，快响应”的指导思想，这类做法有其优势，安全团队自行即可做好，可不足之处也非常明显，存在遗漏和风险敞口。检测必然存在遗漏，上线后面向的往往是全世界的攻击者，你和他们是同一起跑线，比谁更先挖出漏洞。但上线前可以将整体风险敞口缩小至企业内。这其中的风险对于任何以结果出发的企业来讲都是不可接受的。不断的发现和修复好像也有问题？需要的让写出来的漏洞不断减少，所以规避好于发现。这里提到的是“规避”而非“发现”，“发现”代表的是上线前一部分工作，此外上线前还有诸如意识提升、安全防护组件等工作，“规避”更能体现这些工作期望达成的目标。当通过上面的一次次的推敲后，会发现思路和路线逐渐清晰起来。此时可通过一句话直白的描述目标，这样大家就能一听就懂并且能快速记住：所有的安全风险在上线前高效规避，零软件安全风险能被利用。前半句是期望将风险规避在上线前，这和建设阶段相关，一旦风险上线后再去发现、感知、止血就必然存在遗漏和风险敞口，这对于风险敏感型企业是不可承受的，这是在引导后续的安全建设，为后续的安全建设指明方向。后半句是当有风险遗漏后也无法利用成功的，建设期间必然还是会有风险遗漏到线上，因此需要通过各种方法来解决各种遗漏的风险被利用的可能。这其实就是我们这个部门的愿景，是指引我们长期建设的方向。我们需要根据企业实际的情况，围绕愿景确定短期目标。不同公司不同阶段距离这个愿景的差距也不一样，也许距离还很遥远，也许快接近了。在这里我们将其定为两个O，多数安全风险在上线前高效规避，极少软件安全风险可被利用。可以看到这个目标是很有挑战性的，但也能激发大家的斗志，通过各种创新的方式去达成。但要注意不能照搬上级的O或简单的对上级的O进行数字上的拆解。这里可以看到目标有几个特性，用一句话清晰明确的体现客户价值，有挑战也有方向感，同时一层层拆解后的目标也有延续性。
  • OKR：接下来我将使用OKR（Objectives and Key Results，目标与关键结果）来描述目标设定，主要分为O（Objectives，目标）和KR（Key Results，关键结果）两步，O是指我们期望达成什么样的状态。KR是指哪些结果达成后能表明O完成了。确定了目标后，需要进一步拆解当哪些情况达到了就说明目标完成了，也就是确定KR（Key Results，关键结果）。KR最重要的点是看这些都达成了是否就能支撑O的完成，需要拆分到最细粒度且可衡量，但并非事无巨细的罗列，另外描述上要清晰易懂，有过程和结果，符合SMART原则。同时不宜过多，建议不超过5个。O：多数安全风险上线前高效规避。KR1：上线前高效发现绝大多数风险（上线前发现率>=NN%，自动化发现率>=NN%，公网接口评估率NN%，已发现风险0遗漏上线）KR2：重难点风险攻克（水平越权上线前遗漏N，逻辑漏洞遗漏<=N）KR3：整体漏洞趋势向好（千行代码漏洞率<=千分之N）。既然希望多数的安全风险上线前高效规避，首先多数风险应该是上线前被发现解决的，因此上线前漏洞发现率要有一个指标。但如果只有这个指标就会导致大量的人肉渗透测试工作，因此上线前的漏洞发现也需要自动化比例的。在不同阶段将面对不同的风险类型，因此对于其中的重难点风险可以单拎出来专项跟进，比如水平越权。虽然水平越权的数据也会反映在上线前发现、自动化发现率指标上，但从目标达成上来看，拎出来能获得更好的效果。整体风险都在上线前发现了，重难点风险也已经解决了，这还不够。这会导致陷入不断的漏洞发现、修复的循环，因此必须还要有一个正向指标来牵引，让漏洞越来越少。多数漏洞的产生都源自于写代码，那从整体来看相对新写出来的代码所产生的漏洞应该是相对的，因此可以使用千行代码漏洞率来看整体的漏洞趋势是否向好。O：极少软件安全风险能被利用KR1：绝大多数安全风险自主发现（自动化发现率>=NN%，可造成入侵、数据泄漏、资金损失的漏洞<=N），按时修复漏洞（修复率NNN%，修复时效达成率NNN%）KR2：高频持续推动外部机构检验（举办N次SRC高倍奖励众测，N次外部顶级厂商攻击，主动参加各类攻防比赛）KR3：及时全面应急Nday漏洞（应急平均时间<=Nh，应急遗漏次数<=N）KR4：增强高危0day漏洞防护（RASP可信防护NNN%，禁外联NNN%，三方软件流量可信覆盖率>=NNN%，依赖包投毒遗漏<=N，外采应用高危漏洞N遗漏）看完上线前，再看开上线后的。我们知道理论上必然存在各种遗漏到上线的风险，因此如何能保证风险上线了也无法被利用呢？第一部分就是让多数风险都是自主发现并解决掉，也就是自主发现率。同时当漏洞比较多的时候，还应该设定遗漏漏洞的绝对值，对那些可造成入侵、数据泄漏、资金损失的漏洞要小于几个。自主发现率是依赖外部人员挖掘漏洞的，那就有可能外部人员刚好没挖指标就躺着达成了。因此需要高频持续推动外部机构进行检验。可以通过举办多次SRC活动，并且根据建设阶段来设置高倍奖励来更大激发白帽子的兴趣。此外还可以通过购买外部顶级安全厂商的渗透测试和红蓝对抗服务。有条件的自己组建安全蓝军就更好了，同时各种免费的外部红蓝演练活动，比如各等级的HW要主动参与。除了上面我们自己写出的代码产生的漏洞外，我们所使用的各类软件、框架、组件依赖包等都会产生漏洞，其中一部分各类平台会有预警和分析，我们需要做的是确保及时的发现这类情报，并排查影响范围、止血以及推动修复等工作。但情报的覆盖范围是有限的，一些安装依赖包时触发后门这类高风险并没有可靠的情报源，针对此部分可通过设定相关指标来牵引安全建设。最后一部分是0day，这部分的防御确实很难，但始终要面对的。通过推动可信级的RASP覆盖所有应用来防止高危型的0day，并针对所有应用禁止回联外网，来缓解0day的风险。最后对于一些采购的三方软件，无法覆盖RASP，于是通过为其定制请求参数过滤，实现请求可信，来降低各类常见高危漏洞的防护，同时将这些外采应用都隔离起来，网络访问最小化，避免出现问题后影响范围扩大，并通过采购流程审批节点、非标机器申请等方式管控住增量的外采应用。
  • 追求过程还是追求结果：在制定KR时往往有一个误区，往往大家更多的在追求结果指标，而非过程指标。但实际情况时我们应该去定可以控制的指标，而不是结果指标。以上面提到的漏洞自主发现率为例，我们期望多数漏洞都是自己发现的，于是设定通过一个终极目标漏洞自主发现率作为KR来衡量安全漏洞发现工作的好坏。如果单单以这个作为最终指标，就可能产生对于外部发现的漏洞被低估或给的奖励少，甚至不主动举办安全众测活动。会发现影响这个指标的因素很多，也许我们什么都不做，也没有外部白帽子挖到我们漏洞，那指标也达成了。所以对于达成自主发现率那一定需要有支撑它的过程指标，我们会关注到底那些KR可以支撑自主发现率，比如公网每一个接口是否都进行了渗透测试、各类扫描器对公网漏洞是否都能及时有效的发现、每一次nday排查是否覆盖了所有公网应用、是否有邀请外部各种白帽子、安全公司进行高强度检验来验证最终效果等。所以我们应该关注驱动一件事情最核心的要素，而不是关注事情发生后的效果。
  • OKR和KPI区别。两者本质都是为了促进目标达成。其最大的区别在于是否为目标导向，在KPI的模式下，更加侧重的是对结果的考核，看最终的衡量指标是否达成了。这会导致一些问题，比如设置目标的时候要求没那么高、指标定的没那么合理，或是采取一些取巧的方式去达成，甚至使用一些损害用户价值的方式去实现。而OKR则是以目标为出发点，并通过对关键结果的描述来判断最终目标是否达成，它能够让全员参与逐级从上到下分解，也可以从下到上对焦。举例来说，KPI有点像运动裁判，他会拿着秒表关注你最终的成绩。OKR有点像运动教练，也会关注你的成绩，但同时更加关注你的运动方式、运动强度、饮食作息等是否能支撑你拿到好的成绩。听着好像是OKR比KPI要好，那为何之前阿里巴巴会使用KPI呢？大家都知道阿里的价值观，其中就有客户第一，以及对管理者的要求也会有客户价值优先的体现。也就是说在之前阿里依靠的是管理成熟度和文化价值观来驱动大家设立正确的KPI，但随着新进的管理者比例提高，管理成熟度变低的同时公司文化传递效率也存在问题，所以逐步通过OKR这类工具来支撑。同时也能够提升组织的运转效率。但有一点要说明，不同公司对于OKR的理解和实施都不太一样，阿里这边目前阶段更多的是通过OKR和KPI融合的方式。
  • 上下左右对焦目标。定好OKR后，还需要去持续与上下左右对焦。我们的OKR是否能有效的支撑上级的O。能影响我们OKR的相关方是否知道，需要谁的支持时我们OKR是否在对方OKR中。这其中对于直接参与OKR的人员需要就行宣讲，听得懂目标，记得住目标，同时对目标的理解一致，让每个人都能找到自己的位置，知道自己的职责和价值，让参与的人员知道目标达成后对公司的价值，能让我们的安全达到一个新的水位。对焦完之后需要跟进好OKR，这就需要制定达成策略以及里程碑制定，确定一号位和各子域负责人，并持续跟踪。
• 做正确的事情，用正确的方法
• 找到并聚焦痛点问题，敢于挑战高目标，并去做到极致。
  • 第一性原理：物理学是铁律，其它都是建议
  • 重点事情极少，做好重点事情就能产生极大的效果。我们的人生被大大小小的事情占据，无论是回溯自己过去一生还是去年甚至一个季度，那些最大的成就、最精彩的生活阅历、最珍贵的人际关系、最成功投资，都只是其中很小的一部分事情。
  • 找到重点已经比多数人优秀了
    • 什么是重要的事情：能带来很大的好处或坏处、影响面广、延续性强
    • 并不存在每件事都很重要
    • 并不需要同时处理多件事，也不用让每件事都做到最好
  • 做正确的事情而非容易的事情
  • 每件事情从完成到完美，先做到某个细分的最好，先做好60分，再努力100分。蚂蚁新人培训班上，有新来的同学问我有什么经验分享给他们？我回想了这么多年，如果只说一条的经验的话，就是把每件事做到最好，做到你自己认为的最好，做到你团队内最好，做到公司做好，做到行业最好。我没有其他人的名校、也没有很多人的天赋，如今更没法和别人拼体力。但我知道深入每一件事，比别人多思考一些，多行动一些，在现有基础上做的再好一些，就能有不一样的效果。
  • 充分利用有限的资源，赋予无限的创意思维，即使只有一两点的与众不同，也可以取得巨大成功
  • 不断试错改进
  • 例子：在当年，开源很火爆，导致GitHub敏感信息泄漏的问题比较突出，当时已经有好几个开源工具能扫描发现这个问题。但我却发现，他们有一个非常根本的问题没解决好：发现时效。大部分要几分钟甚至十几分钟，这个时间攻击者可能都已经发现这个风险并利用完了。于是自己研究了下GitHub的API频率和搜索匹配机制，很快就写出来了GSIL，并拿着漏洞平台上的企业做测试和调优，几乎可以做到秒级别的发现，拿着这一个漏洞类型发现了国内外各家企业大量代码泄漏风险，每个月稳定一万多收入。在这个例子中，我的挖洞技术并不比那些白帽子好，我的研发技术并不比那些工程师好，但我能发现里面的机会点，并不断使用反馈优化每个细节做到最好。
  • 例子：0day防御一直是安全行业的难题，当我们希望能攻坚这个问题时，非常多的人第一反应是不可能。当我们基于RASP实现了针对应用的底层命令执行、文件访问、网络访问、JNI、字节码、序列化等行为进行刻画，实现从原来基于攻击特征转变为了只运行应用执行预期内的行为，在大范围覆盖后，真的能免疫之前那些fastjson、log4j的通杀漏洞。绝大部分人听到这个事情后，第一反应是成本非常高吧，但实际这是我们半个同学完成的事情。

拿结果

• 每件事最到最好。只有把每件事最道自己认为的最好、团队中最好、公司中最好、行业内最好，才更有可能取得引入注目的成就。每件事是指无论大事小事，可以选择不做，但既然做了就要都要符合最好的标准。
  • 学习你对应层级最优秀的人甚至下个层级的人。我们总是过度看重那些自己崇拜的偶像，总是把他们的话当成至理名言。但我们最应该学习的是那些和自己差不多年龄，能力却比自己优秀的人，这些人的做事、思考对我们的帮助会更直接。
• 每件事都会在未来某个时候产生结果。每件事不一定都能在立刻显现结果，但都是在未来人生打下基础，播下种子，未来就会收获到对应果实。
• 做好时间管理。规划好你的日程。当事情复杂程度超过了个人能力时，用清单管理关键节点
  • 要事优先
  • 以终为始
  • 守时。
  • 时间分为小时为单位的日程时间以及以半天为单位的创作者时间。时间并不是被拆的力度越细越好，面对不同的任务，需要区分考虑。

• 如何跟进事情
  • 意义：共同对焦目标和价值，最大限度激发员工的参与感和内在动力，及早发现问题解决问题。
  • 跟进关键任务：问进展、问风险、给建议、做辅导。
  • 多给空间多观察：多放手给员工完成规划的时间和空间，少干预。在用的过程中养人，在养的过程中用人。
  • 多沟通：1v1沟通：加强与同学的信任和了解。团队沟通：促进团队彼此的了解和共识。形式要接地气：不假大空、不矫揉造作、没有架子、自然就好、直接、直言有讳。内容要讲人话：简单、言简意赅、清楚明确。心态要视人为人：开放、待人要真诚、真情实感、有原则、捍卫自己的观点。向上沟通：有胆量。
  • 跟进时的常见误区：* 到了deadline才检查，过程中不跟进 * 不讲why，不给方法 * 关注how much，而不是how * 把追结果当做追过程 * 不够持续，随性工作 * 过渡的干预和打断会让员工束手束脚，抓重点 * 不影响项目推进的情况下，允许员工犯小错

• 如何复盘：用好的复盘挖根源、快复制，根据状况及时调整策略、任务、分工，做好上传下递，开启新一轮策略打法沟通共识
  • 何时需复盘？业务进展理想，数据漂亮时要复盘：总结经验和方法，复制到更多的团队和业务，总结规律，形成流程，转化为团队的财富。业务进展不理想，与预期有偏差要复盘：追其根源，快速调优和改善，避免同样的错误再发生。小事及时复盘：行动结束或问题发生，及时复盘，制定改进方案并落实。大事阶段性复盘：大的项目要阶段性复盘（每周、每两周）对焦目标，策略及时调整。事后全面复盘：大项目或大战役结束后要进行总结复盘，找到规律，汲取教训
  • 复盘原则：* 希望达成什么样的目的，比如让相关方重视相关问题 * 要确定有什么结论和action，action要明确到人和时间 * 涉及的相关同学要拉齐，要明确大家能到场 * 拉上大领导对事件就行表态，让大家意识和重视程度更高 * 可以事前分别跟各方对齐各类事情，避免会上争论，提高开会效率 * 讲的内容要让参会的各方都能听懂

• 平衡工作与生活
  • 让自己始终处在舒适区边缘
  • 工作时注意留点时间休息，比如下午三四点，避免下班后觉得没有全在工作没有个人时间，导致熬夜

善协作

• 行动起来，不管结果怎么样，先尝试去沟通。沟通的最大问题，我们总想当然的认为已经沟通了。如果面对关键问题去逃避，后续工作和生活都会一团糟。不确定性中也有确定性。
• 百闻不如一见。面对面沟通的体验，让人能感受到你的气质、眼神中的坚定、语言中的善意，那种耳目一新和如沐春风的感觉，是任何工具无法替代的。
• 坦诚友善。沟通时，我们总是会下意识的以祖先面对危险时最原始的应对方式，暴力对抗或转身而逃，而不是采取机智的说服和友善的关注来解决问题。成功对话的关键在于自由坦诚的交流，双方愿意表达自己的看法、分享自己的感受、说出自己的猜测，即使表达的是充满争议或不受欢迎的，他们仍然愿意积极分享。感性的东西会让我们感受到真情流露，感同身受，会有更好的结果
• 沟通要永远关注自己真正的目的。不要把全部希望寄托在他人身上。
• 说服别人应该用利益而非理性。让一下；小心开水烫；吃不完，给你们一些；换季，吃水果补充水分。便宜点，质量你看；便宜点，实惠多带朋友来买；不要冰，不然差评；不能喝凉的，给到给好评；清华北大的家长往这边走走
• 先理解别人，再被人理解，从倾听开始。
  • 事实、观点、立场、信仰。
  • 思考、感受他人内心所想，并以此为逻辑起点展开自己的推论和行动
  • 拥有其相关经历的，想象当时经历时是什么感受
  • 没有经历过的可以临时体验下
  • 无法体验的就找有经验的人帮助
  • 读史书应该把自己想象成书中人，会怎么做。现实中遇到事情时，历史的人会怎么做。
  • 如果我是他，我会怎么样
  • 像个外人一样观察自己
  • 观察身边某个人喜欢什么
  • 全局分析、客观事实、感性直觉、乐观思考、保守行事、创新思维
• 让别人能理解你说的话。用大家熟知的比喻去解释一些复杂的问题，比如停车场停车和速度问题。不要说在吗？一句话清楚你是谁，背景是什么，你需要做什么。
• 我能帮上什么忙？当合作人/团队遇到问题时，我们可以多问一句，我能帮上什么忙？这句话会产生很大的效果。
• 每一次沟通展现你的专业性。对于绝大部分人来说，并不会经常和领导沟通，从领导的视角没办法对你的印象是全面客观的。因此每一次和领导的沟通，都需要细致、专业。长此以外，方能赢得领导信任。
  • 例子：一次是刚来蚂蚁没多久，参与HW时协作各方解决风险时有几次和其它安全域的领导交互。后来我们一个参与晋升P8的同学去答辩，那个领导刚好是评委，他为参与晋升的同学，我为什么没来参与晋升？
  • 例子：另外一次是作为我直属领导的备份，有过少量几次给集团领导汇报和交流。后来支付宝寻找CISO人选，我就被集团多个领导推荐过来。所有人都觉得我和集团领导关系好，殊不知我们之间就那有限的几次交流。
• 隐藏或拖延坏消息并不会让其消失。

勤总结

• 持续沉淀、总结与改进。
  • 信息可沉淀为知识
  • 听 < 阅读 < 看 < 演示 < 讨论 < 实践 < 教授给他人
  • 学会把别人的思考变成自己的
  • 能不能用简单的话去把所学习的东西介绍清楚
  • 理解了本质才能更容易去打比方
  • 获取一手知识
  • 知识点关联成知识体系
  • 自己实践中领悟出来的道理才是自己的
  • 你时间、精力、金钱投入在哪里，你未来就会成为什么样的人。我们总是高估短期能力，低谷长期能力。
  • 莫愁前路无知己，天下谁人不识君。
• 总结汇报
  • 不要报喜不报忧，敢于说真话
  • 每一次汇报是工作过程中少数几次获得他人认可的机会，需要做到最好。
  • 月报、半年/年度总结
  • 贵人：让自己变得有价值，如此才能让自己遇到更多有价值的人和事
  • 具像化
    • 重要与紧急
    • 死亡日历

表达力

讲那些你已经理解很透彻深刻的观点。

讲小故事。人们天生喜欢听故事，故事能表达很多内容，自己经历的故事也会更细节生动。故事的逻辑可以按照提出问题，再给出解决方法，也就是痛点+焦虑+解药。

结论先行，论据支撑，详细证据。

跨界比喻。痛点+跨界比喻+独特解决方案。

调动现场气氛。

• 问一个大家关心的问题。
• 融入一个笑话。比如有次演讲，在时间很赶的情况下，前面几个演讲者还是讲的非常好，我上台就用非常疑问的语气说，大家这两天都是上车睡觉，下车撒尿，每天都那么晚，前面演讲者是怎么有时间准备的那么好的？

更流畅自信的表达。

• 避免使用口头语，比如这个、那个、嗯、额、是吧、然后等。

有趣+知识+共鸣是衡量表达力的三个最重要因素。

好绩效

绩效的衡量标准是贡献。不是过程中努力用心加班付出了苦劳，不是和老板关系好，不是谁来了多久，也不是KPI数字的达成情况，而是要从更高维度回顾结果对部门甚至公司的贡献程度。对于安全团队来说，是指对控制风险的贡献。

把领导当做你的客户。在以前，我总觉得把事情做好，其它都不重要。但现实情况是，在如今的企业组织中，领导的权利和责任都很大，领导的管理范围比较大，这就导致在他有限的精力下，他会关注他视角下重要的事情，他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人，你告诉我，你是领导你如何决定？

• 解决部门（领导）的痛点问题。站在部门的视角，看看有哪些痛点问题，在这些事情上做出成绩，你所做的事情对部门的贡献决定了你的价值程度。
• 例子：在网商银行四年，由于我有安全架构师的身份，让我可以更多从部门视角看待风险和事情，继而决定资源投入那些事情上。这是四年高绩效的基础，也是能得到领导的信任的前提。

绩效的本质是对高贡献者肯定以及对低贡献者警示。无论是否存在361的强制比例，公司基本上遵从物竞天择，优秀的人拿更好的奖励，不优秀的人需要被淘汰。往往会形成强者恒强的良性循环。绝不能吃大锅饭、不能让明显长期跟不上队伍的人留在队伍。

奖金受多方因素影响。在个人绩效优秀的前提下，好绩效排序、价值观与潜力、层级平均工作、部门绩效、公司业绩都会对最终奖金产生影响。

快晋升

行业增长放缓与个人晋升诉求之间的矛盾。互联网行业增长放缓。整个互联网2.0高速红利期已完全逝去，已进入存量竞争阶段，再也不是以前那种随便开拓一个方向就能赚的盆满钵满。金融繁荣的前车之鉴。美国川普和拜登之间的矛盾，本质上因为过去几十年美国的货币宽松政策下，资产收益远高于劳动收益，导致贫富差距加剧。叠加制造业外迁，经济从工业转向虚拟行业，特别是信息服务和金融业，导致结构性和地域性的贫富差距加剧，最后产生无法融合的大割裂和阶级对立，最后造成社会和政治动荡。深化金融行业的改革短期内进一步加剧压力。在共同富裕的背景下，在金融行业实行包括去杠杆、资本充足率、利率市场化、外资准入等措施。金融行业企业的竞争加剧、利润收缩，虽然长期来看能够有更好的市场透明度和效率的提升，有助于防范系统性金融风险，维护金融体系的稳定。之前各大的金融企业被爆出员工高薪情况，也在逐步被改变，所以近期出现中金等金融企业大幅降薪、平安银行裁撤上海分部等事件。互联网早期的晋升制度已不再适用。那这和晋升的关系是什么呢？国内多数互联网公司都是从曾经那段互联网高速红利期，对于的组织制度都是在那个时间配套建设的。如今进入存量竞争阶段，这套组织制度已不再适应当前的业务发展。每个员工在工作几年后，都会有晋升诉求。互联网企业中得到认可的两条主要路径是好绩效与晋升。晋升是一个统一的标准，它要求你有与下一层级对应的能力和结果，对于高层级的还需要有对应的岗位。比如你是一个P7，你所管理的团队和业务需要符合一个P8的要求，才有晋升的可能，这也是为什么P7升P8很难的原因之一。在业务高速增长的时候，会从上到下得到快速晋升。比如某个业务团队技术负责人原本是P9，后来该业务迎来爆发发展，随着业务规模与增速的提升，该负责人就会晋升P10，这样就会创造出很多P9/8/7/6的岗位来承载需要晋升的人，对应他的所有下属都有可能扩充人员，也会晋升到下一层级。但当前这样爆发的业务已经非常少了，大部分业务都在维持存量阶段。业务如果没有太大增长，就不会有大量人员晋升。但大部分员工都还是有晋升诉求的，这时候就会出现内卷，创造拆分业务、新岗位、新项目、新口径，来增加更多岗位。所有人的绩效都很好，可公司的业务增速还是很缓慢，所有人的目标都完成了，公司的目标没完成。进入机会有限、资源有限，而且已经不再是努力就一定能晋升，这就会导致员工体感上的不适和情绪，但这些情绪还没法在部门内释放掉（这里会涉及另外一个问题，管理者权力过大）。

个人和公司不一致的晋升目标。对于公司来说，晋升是为了给公司未来选拔人才，是为了建设完善公司人才梯队，是为了选合适的人成事。公司关于晋升做的所有事情都围绕这个目标出发，一定不是为了让个人更加容易晋升而设定的。对于个人来说，晋升是为了认可、更好的薪资待遇、更大的权力与团队。更显著的认可：晋升成功代表公司对自己的认可，晋升的层级就像是毕业时的学历，不需要去给人解释，在公司内部甚至外部都能得到对应的认可。更高的薪资以及薪资上限：每个层级有一个大致的薪资区间，晋升成功对应更高的薪资上限，未来每年好绩效的前提下不会被所在层级薪资区间所限制住。更大的权力：比如绩效决定权、薪资调整权、奖金分配权、招聘终面权限、某些权限无需申请。更高的福利：更多的假期、更高的差旅标准等等。更高的岗位和更大的责任：往往层级和岗位是两回事，但一般更高的层级对应更高的岗位。意味着需要承担更大的责任和团队，也拥有更高的话语权、决策权以及资源分配权力。拥有这些后，可以实现发展自己的专业领域。同时对外有更大的影响力，更多的人脉关系。更广的职业前景，未来跳槽更直接的认可以及涨薪。

超预期的结果与下一层级的能力是晋升的基础条件。好结果和你的关联性。和传统认知不一致的点在于，并不是拿到好的结果就能晋升，在互联网发展早期，谁去做新业务都可能大概率拿到好的结果。但现在越来越看重好结果和你的关系，是否有体现出独特价值。清晰的知道下一层级的能力。对于P5来说，专业扎实能够高效做好执行者。对于P6来说，专业突出，能够独当一面。对于P7来说，专业精深，系统思考，是领域专家。对于P8来说，视野开阔，深度和广度都能很不错。对于P9来说，深度广度高度缺一不可，要有无中生有的能力。对于8、9来说，核心的前提是岗位与层级的匹配程度。同样，拥有下一层级的能力并不意味着可以晋升，得同时拿到超出预期的结果。晋升的理想状态是水到渠成。晋升应该是水到渠成，是令人信服、无争议、无异议的，晋升对的人是能够向团队传递正向导向。晋升应该是对过去的认可，不是奖励、人情、留人手段。是对未来的期待，是要承担更大的责任与挑战。

底层级需要有可行路径，高层级需要关注岗位的匹配度。可实现的晋升路径。主管经验更加丰富，能够预判事情能有什么样的成果。每个人是否能够晋升，应该是在主管的规划中的。应该确保每个人的事情努力后都能有晋升的可能。你所在岗位与负责的事情是否足以支撑你前往下一层级？对于P8及以上层级，往往会在业务没有大突破的情况下，会看与岗位的匹配程度，这条隐性规则会成为晋升的默认前提条件。岗位与层级是有对应关系的。你有见过不带人的高P吗？有，但非常非常少，在以业务发展优先的互联网企业，对于绝大部分的人来说不是一条合适的上升路径。我在独角兽企业时，从白帽子到安全负责人的晋升路径都特别顺利。自从到了大厂后，五年没有晋升，核心就在于没有下一层级的岗位。在蚂蚁集团内部，一般某个公司的安全负责人是P9的岗位，细分安全方向负责人是P8的岗位。直到转来支付宝后，一年时间就升了两级。

往往内部晋升比招聘要更难。晋升的路径主要有两条，外部招聘与内部晋升。招聘场往往是一到两次技术面，而且面试官层级递增。而晋升场你的评委都是技术面，而且都是高层级。招聘场往往是给自己选人，往往受急迫程度、匹配程度影响。晋升场往往是给公司选人，受这些因素影响较小。因此会出现一个有趣的现象，有些人的晋升路径是通过频繁跳槽实现。

晋升内容准备关键经验。展示核心能力，而非罗列项目。展示领导力。深入思考。强调数据度量与变化。简洁易懂。练习。

一些晋升答辩的经验。晋升评审是一个机制，机制就有他的运转逻辑，有逻辑就有是与非，也就有他的弊端。一切的内容都是围绕体现下一层级的能力和超预期的结果。不需要堆砌事情，晋升讲清楚最多三件极具代表该层级能力的事情即可，明确挑战难点。辅以思考，体现独特价值。项目价值，客观量化数据。横向对比。未来思考与计划。不要说不擅长总结，这意味着你对事情的了解不够清楚。提前试讲，更加自信。了解评委可能关心的问题，并提前做好准备。并不是所有评委都认识你，让评委在半小时内的演讲中无法客观了解你的能力。就像应聘一样，要辅以一些客观的背景，让对方快速了解你之前的在学校、企业与职位、结果与绩效等信息。无法一个小时客观看到所有信息：在最开始一页讲清楚你的结果。评委每天要面对大量的晋升评审，无法聚精会神的听完你的每一页。总结所有的结果在一页，并放在最前面，先记住结果，再看怎么做。晋升是你工作过程中最重要的事情之一，应当作为最高优先级事项，去投入在提名、材料准备、答辩等环节中。找到那些晋升成功的人取经，了解他们曾经的流程、问题、评委等，最好是拿到他们当时晋升的材料进行学习，这样至少能保证不会在一些常见问题上犯错。找到你的老板、高层级同事给你的材料提建议。让日常合作伙伴看到你的专业能力，部分层级晋升时需要邀请合作伙伴360环评。晋升的人选往往是能够持续做出超期预期的结果，践行公司价值观，在团队中有正向影响，同时必须还有发展潜力（很多35岁的人却少潜力）。组织是否需要；岗位是否匹配；绩效是否足够好；能力是否足够强；未来是否能承担更大职责；

35岁还没到P8怎么办？很多人会焦虑自己年纪大了，还没晋升到管理层。晋升到管理层后会更加焦虑。每个人的情况并不一样，我走过的路并不一定适合别人。我其实很难感同身受去讲年纪大还没晋升成功的经验，但我却清晰的知道晋升到管理层只会让你更加焦虑。原先作为二把手的时候，只需要带着大家做好事情就好。成为一号位后，才知道原来一号位替你挡了那么多事情。层级越高，人越少，标准更严格，竞争更激烈，好绩效越难拿。低层级的好绩效和高一层级的一般绩效所拿到的薪资差别不会特别大，但高层级的压力，体力、脑力、心力的付出多的可不是一点。充分强化自己最有优势的点。30几岁的正是成家立业的时候，不应该像20几岁一样拼体力般去做事情，要发现和挖掘自己独特的优势并强化它，做到万里挑一，做到行业最佳，你就可以享受它带来的红利，抵消其他的不足，甚至还有很多剩余价值。拿支付宝的安全岗位来说，你如果是公司所有安全人员中最了解支付业务的安全性，你的不可替代性就非常高，裁你的可能性就非常低。同时你能更高效的发现和处置各种风险，拿到更好的结果，更快的去晋升。努力很重要，但机会更重要。在以前，我会认为只要自己能力足够强，是不存在晋升不上去的情况，可现实告诉我们不是这样的。假如你在错误的时间进入团队（比如下半年，那当年至少没有好绩效，就算第二年有好绩效也有可能比不过那些连续好绩效的），跟着错误的老板（老板本身没有好的规划，所作的事情也不会更上层老板重视，他团队所获得的晋升名额也会减少），在错误的位置（你做的事情根本没发挥出你的能力），做着错误的项目（这项目可能很难出结果），就算做出花来也有可能无法晋升。虽然目前各互联网企业都没有显性年龄歧视，但无形中的潜规则是不可否认的。35岁还没有进入基层管理岗位（P8），那之后的晋升难度会更大，离职去其他互联网公司的难度也更大（既不是管理又大于35岁），公司更容易找到35岁以下能力也很强的人。因此，要抓住那些可能让你晋升到下一级的机会，这个可能会出现在有不错的新岗位、新项目等。做好随时可以离开的准备。裁员有很多种情况，有能力不足跟不上的常态淘汰，也有部门合并导致的冗余裁员，还有公司整体业务发展不行或者某个业务线不行而进行的无差别裁员。无论从哪种情况来看，我这几年被裁的概率都很低，但我从不把命运寄托在外部，更不想去赌公司不会裁我，我的方式是让自己做好随时被裁的准备。从心里上，工作十多年来，也希望能够停下来休整一段时间，去做做除了安全以外热爱的事情，比如自驾环游中国、陪陪家人过过慢节奏生活。从经济上，提前还完所有债务（多数人的债务主要是房车车子），降低日常固定支出（主要是不要买那些贵的大件，日常支出花不了什么钱），让投资理财的收益覆盖日常固定支出（做好前面后这一点真的不难）。同时由于安全岗位的特殊性，一般都会有竞业补偿，加上裁员赔偿，应该也是一笔不少的收入。做完这些后，有时候还有点期待这天的到来。

当你越优秀，你遇到贵人的几率就越大。比如我这些年遇到的职场贵人。

被裁员

做好随时可以“被裁”而又不用工作的准备。最近的《逆行人生》、《凡人歌》的剧情都是年纪大后被裁，去送外卖。身边也越来越多的人为35岁而焦虑。在这里，我并不想多谈如何做让自己不被裁或者被裁后还能轻松的找到工作，而是如何让自己做好随时可以“被裁”的同时又不用为工作发愁。原因在于企业裁员的情况有很多，可能是常态淘汰，也可能是业务调整合并，对于个人来说后者是不可控的。也有主动的情况，比如个人成就感缺失进入职场倦怠期，或者因为抑郁症、癌症等健康原因。首先在心理上，让自己有除了工作以外热爱并且能长期持续的事情，比如我一直希望能够环游世界，如果被裁就可以去圆梦了。同时要让自己能够认识到，人不一定需要工作，人生也不只是工作，钱和价值感有很多方式获得。我们工作时间也不短了，暂停一年换一种活法也让自己有另外一种可能性。所以这事情要从现在就开始准备，不用等有空了之后，现在就去探索一些有意思的事情，比如房车/床车改装、露营、徒步、自驾、摄影等等这些未来环游世界所需要用到的技能。从经济上，回顾工作这些年的支出情况，主要还是房子和车子，房子的首付、房贷和利息、装修等，这部分占比最高，因此要优先把这部分早点还清。其次是车子以及换车折损。日常控制欲望，不要买奢侈品和大额商品的前提下，真的花不了什么钱。通过投资理财来覆盖日常的消费支出，难度并不高。

被裁的一些基本知识。入职一家公司后，除非你主动离职，否则所有情况（绩效不达标/合同到期/业务调整等）下，你都将获得赔偿。赔偿额度往往是可以商量的。竞业也是可以商量的。

管理团队

何为将帅，统兵、陷阵、征讨、封疆。道也，平庸统帅，着重兵力多寡、勇猛如何，如吕布、袁绍等，比比皆是，不足挂齿。高明统帅，知己知彼，善用兵将，观天时，明地利，懂人性，料事如神，熟读兵法，统帅万军，游戏自如。

懂管理

管理者存在的意义是提高团队工作效率，而不是直接上手干一线的活。一个人不需要管理，太多人有各自的想法和目标，效率会变低。管理者的目的是让所有人工作效率最大化。

团队工作效率 = 优秀管理者 + 优秀员工与组织方式 + 合适的工作环境与氛围

• 优秀管理者：团队是管理者行为折射
  • 心态的变化。从专家到管理者。三个变化，从完成任务到达成目标的责任转变、从自己干到驱动激发大家干的工作转变、从自我成长到成就他人的关系转变。能力越大，责任就越多，但不一定代表你获得就最多。作为管理者并不意味着升官发财，而是承担更大的职责和压力
  • 激发团队大于说教。
  • 能拿卓越结果。要事优先，设定高目标。敢于打破常规，创新的方式去做。对目标和结果负责。
    • 目标和方向的把握：对业务策略和打法想得很清楚，不会经常改变方向。坚持做正确的事情，不被KPI绑架。能带着大家拿到结果。和我对焦工作目标，达成共识
  • 公平公正。在用人和做事上，能够客观、公正，不损害公司利益，站在公司视角，选择公司利益最大化。
    • 管理者和下属之间一般来说比较难成为朋友，因为朋友往往是对人不对事，但管理者需要对事不对人。你不用对朋友工作结果、能力提升、薪资待遇负责，但对下属相反。避免和一些下属走的更近。但一开始工作时候的同事很容易成为朋友。
  • 客户第一。清晰定义客户是谁，对客户真实和潜在的需求有深刻的理解和洞察。带领团队围绕客户价值进行工作，能够不断迭代流程（全流程优化让事情能变得更好，全流程损耗就是大部分普通人走向平庸的做法），提供负责任的服务，不断提升客户体验。
  • 开放共赢。
  • 好奇求知。开放谦虚、持续学习迭代。
  • 勇气担当。有担当，责任归自己，荣誉归团队
  • 实事求是。
  • 影响力
    • 共鸣、专注、灌输（细节）
    • 影响力由权力和个人魅力组成，权力来自于法定、专家、奖赏、惩罚、统治权力。魅力由外貌、类似性、好感汇报、知识、能力。
    • 时间分配
    • 既要做事，也要带人
    • 能力提升
    • 既要有专业能力，也要有领导力
    • 洞察思考未来
    • 协同各团队

善用人

人是资产，而不是资源，需要让其增值。

识人

能吸引比自己更优秀的人才加入，人不在多寡而在精。一旦犹豫的人，就坚定不要。

招对工作有热情的人。

招人是最重要的事情，需要做到每个人都经过当面面试。

留心说话不知所云的人。我们身边总有一些人巧舌如簧、滔滔不绝，会用各种花哨的语言、新的概念、复杂的理论来包装自己的想法和观点，让你觉得他很聪明很厉害。这种人的话一般真实水平不怎么样，因为一个人真的很了解某件事，就应该能够用言简意赅的语言把它解释清楚。

用人

合适的人在合适的位置，识别人才，了解每个人优劣势，让有能力有意愿的人承担更大职责，激发员工的成长内动力。

让有意愿有能力的人上。意愿：自驱力、组织激励、文化、沟通、士气。能力：决策者知道如何制定高质量的决策，技能+资源分配。让这类人有更大职责和空间。

• 我对他严格，是为他好
• 我对他这么好，他还离职
• 我这么严肃批评他，他还不改
• 怎么带都带不出来，太不灵光了
• 我给她充分空间，他居然还是说前主管好
• 重复做同样的事情却期待不同的结果

建立人才梯队，多样化的人才结构，扁平化组织架构。尝试通过组织能力层面服务业务目标。协同中台团队，对齐当前业务安全重要性，通过在各方向共建安全样板间，充分利用中台资源优势，优先保障当前业务。与集团内外各同类型业务安全团队做好信息互通，学习先进建设经验。推动解决各种团队生产关系混乱，协作不顺畅等问题，实现权责对等，缓解一线同学工作时因组织问题的痛苦。关键岗位互为备份机制，避免人员离职影响工作开展。

• 基于业务目标设计组织。基于业务目标和策略，盘点并优化当前团队人才情况，通过申请外包来支持日常的基础工作，让现有同学更好的发挥能力。团队内专家级别较少且高级专家断层，一方面内部调整合适的人到合适的岗位，有意识的规划发展路线进行定向培养，另外一方面在招聘岗位时向专家级别倾斜。同时建立人员备份机制，实现任何人不在时都能有备份人员顶上，不会对安全工作产生大的影响。
• 让一线管理者分工清晰，权责一致。管理是使劳动生产率最大化的手段是分工，解决如何在有限时间内获得最大限度的产出，生产效率最大化，科学划分工作。要能够分配权利、责任、利益。让下属的到资源，使用资源。

成就他人，让有结果和价值观好的获得回报。为每个人规划成长路径。合格的管理者是成就他人，追求团队成功。在一个团队中，没有什么能比团队成员都能有所成就、拿到好绩效、加薪升职更值得鼓舞人心的，让大家觉得在这个团队跟着你干会对未来充满希望。管理者和专家的核心区别是要通过团队拿结果，只有团队每个人成功了，自己才会成功，利他才是真正的利己。如果你发现因为你的存在，你的老板没有好的结果，你的下属没有好的绩效，你就不是一个不合格的管理者。荣誉归团队，责任归自己。培养人才，合适的岗位、挑战的项目来锻炼人、敢于启用人才、愿意花时间培养。激发人才、清晰的目标、持续的反馈与支持。

辅人

没有一种辅人风格可以对所有局面和人有效。

培养员工成长，高于自己拿结果。

• 亲力亲为等不等于辅导
• 说了是不是就等于辅导
• 带着做了是不是等于辅导
• 有没有鸡同鸭讲的挫败感
• 1v1辅导、1v多辅导哪个好

交代工作要说明理由和价值。

懂得信任与授权。信任不是：不管不顾？只给目标？下属不汇报，不主动询问进度？授权？是一个反复的过程；主管跟团队一起承担错误；分享权力，但不能失控；保障领导者有设定目标和优先级的领导权；团队成员可更优先的贡献可选方案和参与客观推理。

评人

人往往都自视过高，应当做好日常预期管理。

期权与公司利益绑定，真的能与员工共享财富；

裁员

必须要淘汰不符合团队要求的人员。

• 第一类是赌博、盗窃、受贿等违法乱纪行为，不用犹豫直接淘汰。
• 第二类是诚信、作弊等价值观存在问题的行为，需要结合实际场景和影响进行处置，对于价值观不好但绩效好（俗称野狗），必须裁掉。
  • 他只干容易出成绩被关注到的事情，这些事情哪怕在别人手上他也会抢过来同时不允许别人触碰一点点，而不是公司最优视角，从主观来看业绩结果还是不错的，但从公司或者其岗位职责视角并不是最优，哪些脏活累活他可能都不干，出了事就有各种解释口径。
  • 他不会客观去评判一件事，尤其是涉及到他利益的事情，抓到一个小问题就咬着不放，上纲上线要闹到很高层面。
• 第三类是能力跟不上、结果拿不到的人，先意识到问题-学习-辅导改变-习惯，这类人如果在进行辅导甚至更换方向还持续不符合要求，就需要果断淘汰。往往第三类比较难处置，因为没有底线问题且往往关系还不错，但长此以往这类同学会占有人员名额而无法产出结果，导致整个团队受到影响，不可持续。
  • 人都害怕失去。

善决策

我们的人生取决于运气和决策的质量，而运气往往不可控。我们的人生就是由一个个细微的决策和运气组成，就像复利一样，从长远来看大量正确的决策将带来巨大的回报。

决策本质是对未来的预测。

从过去的经验中改善决策效果。经验的作用是在一堆看似正确的观点中找到最优解，能明确估算每个因素的占比。

好决策不一定带来好结果，不可控的运气影响很大。影响一件事的结果，有决策的作用更有运气的影响，多数人会将坏结果归咎于坏运气。但因为好运气，带来了好结果。因此哪怕事情成功了，也有教训可学。

当一件事对长期目标实现没有影响时，可以加速决策，反之亦然。比如某天吃什么饭。但当决策对未来有巨大影响时，就应该慎重多花点时间进行决策，比如报考志愿、大额消费、确定男女关系、结婚等。思考的时间要和事情的重要性成正比。

兼听则明，偏信则暗。我们往往都活在自己的信息茧房中，不同人有着不同的信息源，往往我们更能看见他人事情上其所忽视的问题，越聪明越难以接受外界的观点，因此在决策时听取他人意见是充分必要的。尤其是把一些不知道的东西变成知道的东西，允许不同观点的碰撞，接受不同人对不同事物的不同观点，才会让我们更接近客观事实。要注意提醒身边人尽量避免溜须拍马，短期看能带来幸福感，长期看会让自己与现实脱节。有敏锐与定力，能在模糊的情况下找到方向。

• 拥有技术专业性。拥有技术专业性，才能够设定正确的目标、更合理的分工和资源分配，才不会被各种忽悠。最好的状态是下属的所有事情你都很懂，都能自己做。

团体决策在多数情况下都不是一个好的选择。大家都愿意附和别人，甚至很多时候可以让他们对一个明显不正确的信念表示同意。尤其是你的地位更高时，在你先发表看法后，很容易导致大家的一味附和。因此哪怕要做团体决策，也应该让最年轻资历最浅的人先发表意见。同时自己在发言时应当使用中立的措辞，避免引导。

让一线听到炮火的人做决策。知道边界，及时升级或下放权力。

如果只有一个选择，你会怎么选？很多时候决策太多是幸福的烦恼，一个好的办法是如果只有一个选择，你会选什么。

如果两个选项难以决策，那就意味着选哪一个都不会错。一般来说，只有两个很相近的选项，才让人难以抉择，这种时候选哪一个问题都不会太大。

决策的目的是让结果尽量贴着靶心，而不是脱靶与否。大部分决策都有积极结果和消极结果，积极大于消极时则是一个不差的决策。敢于取舍，不模棱两可，犹豫不决。

做决策时需要关注每个决策背后的可能性以及机会成本。要定义清楚每种后果的可能性，同时要避免过于宽泛的概率描述，这会让我们错过锻炼对未来的预测准确率。向前追溯原因，向后追寻结果。想的更远，通过对一个现象的连续追问其产生的结果，以探寻它对未来可能造成的深远影响。

避免情绪化时做出决策。情绪化过程中往往会做出低质量的决策，可以通过提前预判可能的糟糕结果，来接受失败的可能性以降低情绪化的影响。同时为一些可能发生的坏结果做一些准备，比如赶飞机可能遇到堵车需要提前出发。

大决策难以做时，先做出一些影响小的决定。复杂的事情出问题的概率会更大。

避免事后诸葛亮。在了解到结果后，大脑往往会歪曲之前的记忆，将之前自己的想法往正确的方向上靠，产生自洽。尤其是几乎所有的事物都会随着时间而改变，当初的决定是建立在当时的信息和条件下。

练习：假设自己在历史某个时刻，结合当时的信息进行趋势判断。

• 作为水浒传中的宋江，在当时你是否会选择招安。
• 2020年是否能购入美股？
• 作为三国志中的诸葛亮，当刘备三顾茅庐时，你是否会出山？

建文化

公司的价值观是为了找到一群价值相投的人，按照一致做事方式高效协作。团队内也一样，除了要遵守公司价值观外，每个团队也有自己独特风格，也需要通过跟团队同学共识一些基本信息，以降低协作成本。

平等的个体（花名/称呼/工位/差旅等），内网畅所欲言；

于道各努力，千里自同风。

合适的环境与氛围：造土壤。遵守公司组织文化，打造团队公约。以身作则，言行一致。开放平等氛围好。直面冲突，敢于决策。在大企业中提高效率的核心是有如何做事的共识，也就是所谓的文化价值观。价值观让大家知道什么是最重要的，而不是让大家是揣摩/领会领导的意图。管理是为业务发展服务，让个人目标和组织目标保持一致。人类无法通过现实目标达成一致。我们目标不能仅限于糖水最低级的生理马洛斯需求。让每个人都能知道我们去哪里。把网络安全当成一个业务，把团队当成一家公司去经营。去明确业务方向、业务目标、业务策略。管理是不区分对错的。很多事情从个人视角是错误的，但从公司组织视角是正确的。今天看可能是错误的，但未来可能是正确的。这些是需要管理做的。因此管理者不一定要让每个人都开心满意，但要让他们理解。快速发展拿到结果是解决各种管理问题的最好办法。大家都不是管理专家，总会在团队管理过程中出现各种问题，但根本还是需要能够让团队拿到结果。业务上行期，放一只狗都能干好，业务下行期更能看出领导能力。团队是管理者行为的折射。

1. 遵守安全职业道德底线，不能未授权进行网络攻击。比如通过漏洞获取他人敏感数据、利用安全技术从公司牟利、使用安全身份权限进行非工作需求、向外透露内部敏感信息以及其它可能违反法律法规事项等。
2. 始终围绕控制风险而工作。所有的工作围绕控制风险，所有的结果以控制风险的价值来评判，不进行任何脱离控制风险的形式主义、表面功夫工作。也不要只做那些容易出彩、出成绩的事情，作为安全团队守好各类底线风险。
   • 时刻看看自己做的事情对控制风险是否有帮助。所有人的工作的衡量标尺都是你为安全水位做了什么贡献？而不是论资排辈、嫡系关系、KPI中那个数字的变化等因素。
   • 始终问问自己风险是否控制好了？深入进去看看做的事情和风险之间的逻辑关系，是不是在靠运气达成目标的？比如是否看了新增域名，新增应用，新增接口，接口变动，配置变动等。
   • 助力业务，找到解决方案。避免对产研说这个不安全那个不安全，这个不行那个不行，要和产研一起设计解决可行的解决方案。
   • 风险的及时同步以及闭环解决。弄清楚每一个高危漏洞，跟进彻底解决，横向排查同类问题，避免二次产生。尤其不要让风险在自己手上炸掉，高危风险第一时间同步到我，只有 CTO/总经理有权接受高危风险。
   • 守住稳定性底线。团队内包括安全扫描、可信拦截、策略配置、应急响应等各类工作都可能造成大范围的稳定性故障，要把稳定性当作不可逾越的底线，做好三板斧，稳步推进。
   • 我们是公司业务安全团队，我们要对业务安全负责。所有公司业务的风险都应该我们负责，而不是其它团队。哪怕事情是其它团队做的，我们也该对其事情做好跟进。

3. 以更高安全水位要求自己。我们要时刻保持对更高安全水位的追求。别的安全团队可以接受，不代表我们能接受。别的业务攻击量大要优先看，不代表我们量小就可以延后。每件事做到更好而非完成。基于业务的高安全要求，以及当前人员较少的情况。需要每个同学对待事情都有更高的要求，将每件事做到自己认为的最好、团队最好、公司最好，甚至行业最好，只有如此才能让人人成长为领域专家，只有如此才能打造出国际一流的安全体系，创造出对行业有益的安全理念、安全实践、安全产品以及漏洞等。
4. 做难而正确的事情，才会产生持续大的价值。
   • 做正确的事情。不用猜测领导想要什么，而是想想这个事是否合理，理想状态下应该是怎么样。
   • 不畏难，不自我设限。而不是去做容易出成果的事情，那些痛点难题、行业难题、各个安全团队都没解决好的问题是我们应该去做的事情。每个人都有自己那块难而正确的事情，都有机会去解决并拿到好的结果。
   • 通过创新方式解决问题，我们当前大部分事情已无法找到对标企业，需要通过创新的方式去解决各种难题。通过设定创新专利目标、鼓励在现有各种事情上思考创新方式达到更好效果。
5. 合作共赢。我们并不能自己闭环所有事情，我们需要中台，中台也需要我们，我们需要找到共赢点。我们的事情足够大，事情可以是其他人做，可以是共建，避免有地盘保护意识。
   • 交付团队外的东西给我 Review。团队内宽松些，团队外有很多复杂情况。
6. 简单直接。
   • 有任何疑问直接沟通，一句话说不清楚的事情电话沟通。不要猜测，不要让自己内耗难受，不要带着疑问工作。
   • 减少低效会议和报告。通过数字化安全指标，降低统计各类数据成本。项目制进展同步，避免过多的总结工作。会议前对焦准备好，不开没准备的会。会议同步风险，及时决策。周会的目的是关注风险和进展，而不是大家来展示自己成绩。月报是为了关注阶段进展，如果能做到日常阶段进展达成很好，可以不用写月报。
   • 不搞信息差。一、我所获得的各层信息都会及时同步给大家，降低我们之间信息差导致的认知甚至协作成本。比如别的团队月报、目标规划、组织变动、大的风险、管理决策等。二、大家能轻易了解他人工作。因此大家月报要抄送全员，文档要统一放在团队知识库，避免放在个人知识库。

7. 平等互信。在这里没有老板，我是带着大家一起做事的人。喊花名，不要叫老板、老师、哥、姐。像普通同事和朋友一样交流，不用对我毕恭毕敬。我也可能犯错，任何人都能提出来，避免一言堂。
8. 足够的空间与自由度。
   • 事情：我会结合团队需要以及各人能力和意愿，规划每个人都有自己能拿到好结果的事情，让每个人的事情都有空间，完成后都能有成就感，但是否能完成需要自己努力。你可以和我商量做你更愿意做的事情，职责范围不是一成不变。
   • 时间：在你做好工作的前提下，没人关心你几点来几点走。但不代表可以早上十点来晚上六点走，也不代表事情做到哪里是哪里的懒散状态是能被接受的。
   • 假期：你的假期是你应有的权利，请假不用有压力，安排好事情直接提交就可以。
   • 采购：团队有预算，凡是对安全有帮助的花费都可以采购。
9. 有温度。
   • 我们会更加高频的组织团建活动，让大家看到工作以外的一面，增加大家互相了解。会为周年、生日的同学庆祝。
   • 拒绝 PUA/高压管理，很多压力我都挡在我这一层，尽量给大家营造一个宽松自由环境。
   • 每个人都是独特个体，都有各自不足和闪光点，我会倾向发挥每个人优势，而非打压和汰换。比如新转来的同学，做新项目的同学，都会有个保护期。但如果谁觉得可以钻这个空子，那你要为自己的选择负责，绩效、年终、晋升就不用想了，自己成长也一定不会好，汰换一定也不会远。
10. 充分利用好主管的能力，让事情更容易解决，始终记住我也是解决问题的重要方法之一。当你尝试各种方法都无法解决你的问题时，找我来解决。无论是技术难题、跨团队的协作、风险的决策判断、钱和人的资源都可以找我。

不要在团队内打造家文化。公司并不是你的家，公司往往希望打造成家的感觉让员工无条件付出，可是你的家人不会开除你，但公司会。京东的强哥在奋斗的时候喊大家兄弟，在裁员的时候就遭到舆论反噬。

问题：被KPI绑架以及末位淘汰机制，过于追求短期业绩结果，无意义的大范围加班，缺乏长期视角；高管与一线同学毫无连接，战略无法下达；无能者身居高位，牢控关键地盘，无视关键问题，不敢决策；管理者权利过大，奖惩不明，服务老板者众；缺乏沉淀的快速变化；尊称盛行；外部入职与内部晋升机制要求不一样，导致外部入职更加容易，导致薪资倒挂；招到不合适的人；躺平者众多；留人靠晋升；伪造数据（口径游戏/营销驱动）；大量无价值业务与人员；

成熟度

如果有机会，我多大程度上还会与他一起共事？

创建事业

莫道桑榆晚，微霞尚满天。

大丈夫生居天地之间，岂能郁郁久居人下。大丈夫之志，应如长江东奔大海，何苦怀恋于温柔之乡。

提升商业敏锐度

大部分的创意价值并不大。智取生辰纲，赤发鬼刘唐提出的

找到了一个时代风口，值得长期奋斗的目标；客户第一价值观；侠客文化；

互联网模式

• YouTube广告5S后可以跳过：想跳就必须盯着看；跳过与否变成广告质量评判师；跳过则不收钱；鼓励优秀广告；
• 平台型企业本质是通过协调各方能力，将闲置的货/车与需求链接

验证想法

注册企业

租办公室

财税与法律风险

企业机制

唯才是举。不看学历，只看是否有才能，是否对事情热爱。

广开言路。老板对于公司的了解，很多时候来自于直接汇报的人，中间经过各种加工美化，非常容易陷入信息茧房。

• 内网畅所欲言。建设企业内网，任何人可以发帖提出任何问题，不可以删帖。老板也可以通过这个渠道和全部员工沟通自己对战略、目标、事件的思考。
• 和各级优秀人1v1沟通。安排与历年绩效优异员工一对一沟通，重点了解对公司的建议、对当前工作组织层面的问题。

第一责任制。任何事情都有且唯一一位负责人，不会有任何责任边界或扯皮的情况。

• 案例：我工作的一家公司，各种安全团队是分属不同的技术老板负责，导致各种边界推诿事情，造成了非常大的浪费，1+1<2的情况。

资源以业务价值倾斜。无论绩效、调薪、年终奖、晋升、HC，都需要大幅向为企业最关键的增长做出贡献的人/团队大幅倾斜。对于长期未对业务有增长帮助的团队（创新业务除外），进行裁剪。

• 案例：大锅饭，一个对核心业务营收有直接增长的人375和一个后端支撑的人375是差不多的钱。

绩效271优于361。

通过HR制衡主管权利，避免一言堂。

企业的任何规则都可能有例外，要不断修正规则。鼓励员工将企业规则在某些特殊场景不适用的情况提出来，管理者应当回到执行规则的初心中，必要时优化规则。再重要的规则也需要依据实际情况判断它的合理性与适用性。

上市流程

退居幕后

关于退休的一些思考。

• 退休的本质是精力投入在哪里的问题。
• 我们父母这一辈的大多数人是一辈子没有休息过，无法退休，得工作到老。
• 总被灌输年轻的时候要努力工作，退休后再去享受。但殊不知，我这还才三十，就已经玩不动了，不敢想自己六十的时候是什么样的。
• 人并不是一定需要工作的。