BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

谭晓生谈技术管理与安全趋势
录制于:

| 受访者 谭晓生 关注 0 他的粉丝 作者 包研 关注 0 他的粉丝 发布于 2014年3月6日 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。
41:47

个人简介 谭晓生,男,1992年毕业于西安交通大学。曾任3721技术开发总监、雅虎中国技术开发总监、雅虎中国CTO、阿里巴巴-雅虎中国技术研发部总监、聚友网CTO兼任COO。现为北京奇虎科技有限公司任副总裁兼首席隐私官。

   

1. 欢迎360首席隐私官谭晓生先生接受InfoQ的采访。谭总,您可以先跟我们的读者打个招呼。

谭晓生:InfoQ的朋友们,大家好,我是360的副总裁、首席隐私官谭晓生。

   

2. 好,谢谢谭总。我们今天的话题肯定离不开安全这个事。因为360在安全市场做了很多很多工作。但是我们看到,国内的安全市场和国外的成熟的环境还有很大的差距,包括用户对于隐私的认识,对于安全的投入,以及购买安全产品的意识,还远远没有达到国外的水平。那您觉得国内我们安全产业的这些企业,接下来这段时间应该主要做哪些方面的努力?

谭晓生:国内的安全企业也蛮多的,有几千家传统的安全公司。但是,过去卖产品可能会倾向于企业市场,倾向于卖给一些合规用户,因为这些客户有等保和分保的要求。但这些设备买回去了之后是不是真正用起来了,很难讲。因为这种方式是以合规为目的销售,产品本身做得是不是好用是存在比较大问题的。过去安全产品在易用性和有效性方面,我觉得国内的产品和国外的存在比较大的差距。但是今天,我们越来越多的信息是在互联网上,对企业来说,他的资产越来越多的数字化了,在这种面临着新型的安全威胁的情况下,用户对安全防范的敏感性提升,对安全防范的有效性提出更高的要求,易用性的问题也就暴露出来。用户如果真的想用你的软件或者设备,能不能真正的用起来?能不能做有效的防卫?比如,如果产品规则特别复杂,甚至在企业内部都找不到人进行规则配置,或者没有办法从告警中有效的找出真正的威胁是什么,安全防范就很难开展起来。我觉得这是现在传统的网络安全设备或技术所面临的比较大的挑战。

   

3. 传统的安全市场现在更加的开放,由于互联网的发展,用户的需求和对安全这个产品的功能挑战也比以前要多许多?

谭晓生:我觉得安全挑战有几个方面。

第一,新型的威胁。来自于互联网的新型威胁,比如以信息窃取为目的的,或潜伏下来长期偷情报为目的的,他们有新的名字叫APT。因为APT攻击技术的进步,对于传统的安全防范的手段提出了很大的挑战:过去的单一、单点的防范,比如防火墙用IPS、IDS或UTM,是不是能有效的抵御这种新型的攻击,结果大家其实已经很清楚,传统的防范手段的有效性是比较成问题的。

第二,针对网络攻击的威胁,虽然也开始有新型的防范产品推出,但产品的成熟度还是有待提高的。网络安全是一个攻防互动的过程,一般来说首先是攻击的技术先领先,防范的技术跟得上,再去解决一定的问题,这是一种攻防的互动演进过程。在这个过程中,网络的安全专家毕竟是少数的,必然有一段时间,不管从政府还是企业,有很多机构暴露在网络攻击的危险之下。

第三,在今天这个时间点上,这些年我们培养出来的网络安全的人才还是远远不够的,我们现有的防范手段还是相对比较落后的。比如去年,我们的网站检测产品,检测了一百多万的网站,有65.5%的网站有安全漏洞,这个数字很能说明问题。首先,这个漏洞为什么会存在呢?扫描出来的漏洞是不是有能力去修补呢?这里面有很多问题,比如这个网站是用什么工具开发的,这个工具是不是有漏洞?这个网站是由哪个企业开发的,他的开发人员是不是具备了安全知识?面临的问题可能是找不到人去修复漏洞。

   

4. 刚才谭总提到,360已经发现了很多现有的企业或者网站中存在漏洞,至少我们比不知道存在漏洞已经前进了一步,下一步不仅仅是安全公司要做的事,因为需要企业内部开发、运维和安全公司要协同把这个事做好。我注意到360在去年已经推出了天机、天眼、天擎这样的安全引擎,结合这三个产品,能不能谈谈360接下来在企业,以及在个人和BYOD市场的具体的动作?

谭晓生:企业市场的安全防范的防线是很长的。360只是在现在我们所擅长的几个领域做了几个点:

第一,在Windows终端安全管理方面,就是360天擎终端安全管理系统这个产品,过去在个人安全市场,我们有云查杀扫描病毒和木马的技术,有在用户本机的主动防御技术,有针对木马的检出技术等。我们给客户做了在企业应用环境下的适配,企业可能要求更强的可管理性,或者要求在隔离网络里有效的工作,在这些特性方面我们做了增强,于是就做了天擎终端安全管理系统,这个目的是解决Windows操作系统用户的防病毒、防木马、打补丁,管理员对所有终端的安全进行统一集中管控,软件分发,甚至包括一些基本的固定资产管理能力,这是天擎,是解决用户的Windows终端的安全问题的。

第二,天机产品的出发点是基于过去的这两年里,越来越多的企业员工开始用手机或者Pad办公,出现了比较严重的公私混用的问题,这些混用的机器可能已经Root了,可能装了一些游戏,游戏里不排除可能有木马等等,企业的数据假如也出现在这台机器里,是不是容易被盗,会不会成为一个攻击跳板等等。很多人可能认为天机是360手机卫士的延伸,其实不完全是。BYOD的解决方案里有设备管理(MDM)、内容管理(MCM)和应用管理(MAM)三层,360手机卫士解决了设备管理的问题,而BYOD解决方案又解决了内容管理和应用管理问题,比如在企业应用里所有的数据在这台手机上存储的时候都是加密的,通讯链路也是用SLL加密的。对于应用来说,他有企业级的私有应用商店,只有经过企业的管理员认证,并且重新打包加固过后,这个应用才能够安装,并且还有能力侦测这台机器过去都安装了什么,提供这一系列的管理能力,其实天机是一个涵盖MDM、MCM和MAM这三个领域的产品,他和360手机卫士是一个互动的关系,天机可以调手机卫士的一些功能来实现设备管理的一些功能。除此之外,天机是面向位置威胁发现的,针对于APT攻击检测的,这个技术在全世界范围内还处于发展阶段,没有哪家公司敢说自己的技术已经很成熟了。天机、天眼包含了大数据的方法来分析企业网络是不是遇到了安全威胁,是不是有针对于我的网站可注入攻击,我的企业网络里是不是有机器中了木马,是不是有远控,是不是有对外操作,通讯流量有什么异常。此外,在天眼中还集成了针对各种0 day攻击的检测,或者n day攻击的检测,是不是有一处攻击了,或者用户送过来的这个是不是非可执行性文件,是不是一个畸形构造的文件,是不是嵌了攻击代码等等一系列复杂的技术,天眼是面向于有APT攻击风险的机构的一种防卫手段。天擎、天眼和天机这三个产品是一条防线,我们还给用户提供了针对网站的领域的云端防护:360网站安全检测和360网站卫士。目前在企业产品线,我们只做了这几个点。其他的安全防线产品,包括传统的防火墙,IPS、IDS这些依然有他存在的价值,比如SOC、下一代防火墙,在安全防线中也是不可或缺的,包括数据防泄露产品的市场也很大。安全需要纵深的联合防御,360只是在自己最擅长的领域做了几个点。

   

5. 谭总你刚才谈到国内目前安全市场的技术人才其实是比较欠缺的,包括您也提起过,360在校招时候,找到高水平的毕业生还是蛮难的,那你怎么看未来国内安全市场的人才的培养,因为其实就像您说的,各个安全公司都在招募人才,但这个市场的确是供不应求的,360接下来有没有一些其他的方法来更多的获取这样的人才?

谭晓生:我们在做几个努力。

第一,包括与启明、绿盟的一些朋友一起,我们在共同在呼吁。从学界看,比如在新型人才的培养上面能不能做更多的事情,在课程的设置上是不是能够有一些更实用的课程出现,这些是在努力推动的。并且,我们这几家已经出手去主动的在学校里面去做宣传和推广,毕竟能够有比较好的天资来做网络安全的人是少数的,不是所有的人都能吃得了这碗饭的,需要有很强的天赋,我们现在做得就是让有天赋的人能够知道还有这么一个领域,在这个领域可能有比较好的发展,我们给他打开这么一扇窗子,这是我们首先第一步要做的事情。一旦有人走上这条路之后,我们在下面给大家提供一个更好的能够顺利发展的空间,但是最终我觉得既使这样做,我们也没办法在短时间之内解决安全人才匮乏的现状。针对于企业将来的信息安全的防卫手段,可能需要一些革新:我们没有办法指望每个需要防护的企业,都有足够多的网络安全人员帮他来做防卫,就得有一种商业模式,是不是有一些安全公司,真正的把SaaS,就是Security as a Service,把安全即服务这个概念真正的落到实处。在这种情况下,对于安全产品的要求也会变:过去可能期望一个产品我买回去了,装上了,加上电,规格配好,OK就起作用了。将来呢,这种情况可能不复存在了,安全产品可能仅仅是一个平台,最终还是会有更专业的安全人员通过这个平台或云,不管是私有云还是公有云,对企业实施更加有效的安全防卫,这可能会是整个安全产业商业模式的大变化。

   

6. 你提到了安全跟云的结合,包括Security as a Service这种安全即服务的模式,其实360现在已经有类似的产品,只不过他还是一个点,没有形成一个面,或者说还没有形成一个平台,比如硬件防火墙,我们就没有。企业在安全投入是一个全面的投入,不可能只做一个点,未来360是不是有可能会打造这样的平台,或者加入这样的平台,来帮助用户能够通过一个点覆盖所有从软件到硬件,到云,有没有这种可能?

谭晓生:这是我有多次演讲里面提到的一个概念,我觉得将来是一个立体防御,云加端加边界的立体防御,那么这个立体防御,这会是一个很长的产业链条。这个产业链条,我们认为最后应该是多家安全企业合做的,很难会有一家企业把中间的每个链条都做出来并且做好,所以这是不太现实的事情。

   

7. 刚才我们进到这个办公区的时候,我们看到墙上有一些法务的提示,一些安全的提示,作为一家安全公司,我们相信360肯定是在内部的安全审核、安全的培训做得比一般的公司要更加严格,更加合规,谭总能不能介绍一下在360内部,自身的安全是怎么做的?比如一些规章、培训?

谭晓生:在员工入职的时候,首先会有一个标准的入职培训,入职培训里面会有信息安全方面的一些培训,比如有哪些事情不能做,密码的强度,信息不许外传等等,但实际大家对此不要有太高的期望,人都是有弱点的,他会懒惰,各种各样的人性的弱点最后在信息安全上都会暴露出来的。我们的做法就是除了培训之外,要有很多的监督手段,比如密码,如果你设的弱密码被我们内部暴力破解,那二话不说你立马就得改,不改就要怎么处分你。那么对于信息的不当转存,转存到了不应该的介质或者网络存储上,我们也会有些探测,一旦发现了这种情况,就会立即给这个同事警告,要求他立即纠正。比如公司的网络资源的滥用,如果被监测到,也会有相应的警告。当然对于一个安全公司来说,本身安全防卫本身就会是一个很大的挑战。大家可以想像,如果把360的网站黑了,或者是360办公网突破了,那在行业里面恐怕是很容易让人扬名立万的事情,这方面我们比较谨慎,一方面360自己的安全产品,比如360天擎、天眼我们都会装,360肯定是第一个用户。除此之外,还是做了很多的防线,既使这样,也不是说万无一失,现在的网络世界的确是危机四伏,既使做安全的专业公司,在安全防卫上也是面临着很多的挑战和不可知的因素,只是说我们在这方面尽自己的能力,把安全安防的门槛垒得足够高,把防卫的墙尽可能垒得高。

   

8. 在国外有另外一种安全的这种体系,他们认为这种传统的按边界隔离的安全机制已经不能够适应现在互联网比较复杂的环境了,您怎么看待去边界化(de-perimeterization)?

谭晓生:我觉得这不是去边界化的问题,而是有了一个边界之后,人们往往容易产生错觉,认为边界里面就是安全了,这就是很多隔离网络其实并不安全的原因。在隔离网络,他认为内部和外面的网络根本就不连,所以病毒之类的进不来,但实际真的是吗?肯定不是,我从来就不相信伊朗的核离心机是挂在互联网上,他一定是在隔离网络里的,但是最后他为什么会被攻击?其实,不管是U盘还是光盘,还是单向光闸,只要涉及到介质交换,涉及到文件交换,攻击代码都有可能藏在这些交换的文件里面,不管它是一个可执行程序,还是一个看似无害的不可执行的程序,一个文本文件,或者一个PDF文件,一个Excel文件,可能会利用了之前某个阅读器的0 day漏洞,恶意代码就进去了,那在实际的实践中,我们也看到,在很多的隔离网络里面是病毒木马横行的。首先各种安全软件安装本身就不是那么完全,这些软件更新更差,甚至可能是两三年前的软件还在那跑,不用最新的木马,老木马在里面都能活的很好,老漏洞,nday了几年的漏洞照样可以在里面这个去攻城略地,所以只要有一个边界,你就认为这个边界是安全的,那就大错特错了。真正的防卫,比如360网络对外肯定是围边界,但在这个边界之内,我并不认为边界之内是安全的,所以边界之内的探测一点也不会少。去边界化,我认为应该是这么理解,不是认为边界不重要,边界是重要的,但是边界内和边界外都需要有很高的安全防范级别,有一层边界,是会比没有边界好的,但是前提条件是你的边界之内,也要进行充分的安全防卫。

   

9. 刚才您已经谈到了,未来的安全市场应该是多家公司共同来打造更坚固的产业链,就您的观察,目前在一些成熟的国家和地区,比如说像美国,安全产品的渗透率大概有多少,主流的安全服务形式,比如Security as a Service这种形式,是不是已经成为了主流,能不能给我们介绍一下?

谭晓生:是这样的,我手边没有美国具体的数字,只有些零星的数字,美国这些主流的安全市场碎片化比较厉害的,不是说有哪一家安全公司的产品一下子占了百分之好几十的市场。赛门铁克的市场占有率只有百分之十几,这已经是第一大的安全公司了。安全即服务这个概念,其实已经提了好几年了,但既使在美国我觉得它也没有进入主流市场,还是有那么多公司在卖各种各样的安全产品,不管是软的还是硬的,那么它里面会带有服务,只是说在西方,他对服务的重视程度比中国要更高一些,在中国靠安全服务可能养活自己的团队都会成问题。在现在这个时代来而言,我认为安全即服务可以解决人才不够的问题,因为太依赖安全专家的技术技能,没有足够多的人的时候,又想要服务更多的人,那么用服务的方式,用云的方式作为一个平台,这是一个解决之道。当所有这些安全威胁来的时候,人们总是会和他的损失进行对价的,如果造成损失足够大,大家一定会要找到解决方法,市场最后会给一个解。其中一个解法我觉得就是安全即服务,不排除将来有人会发明出来新的解法,当有足够大的市场需求,没有足够多的供给,这时候就是共享,服务是最容易共享的方式,一个安全工程师可以同时为多家企业服务,每家企业的安全攻击的威胁被捕获到之后,即可被当作一种知识,其他企业都可以去进行这样的防御,这样就会出现一个基于云端的知识共享的防御体系。

   

10. 如果对云计算稍微关心一点,都知道美国有一个最大的云计算服务商亚马逊,很多创业公司包括一些大公司,很多已经开始在亚马逊上部署一些业务,不管是简单的存储一些数据,还是把一些相对来说比较重要业务放上去,这件事情在美国已经非常的流行,当然在国内可能这个国内的网络环境,国内各种这种法律环境还有各种的欠缺。但谭总您提到了,既使在美国这样成熟的互联网市场,成熟的云计算市场,大家已经非常明确的意识到,我要把这个非核心的业务要扔出去,交给第三方来做,交给像亚马逊这样的公司来帮我节省成本,既使在这样的环境下,那个安全市场仍然碎片化,这是不是因为安全服务或者安全产业,有这种特别的特殊地方:对信息的保护,包括用户的信任程度,获得用户的难度要比其他服务要获得用户难度要高的多?

谭晓生:你是从这个角度来看。其实碎片化,我的理解可能会有几个原因: 第一,产品的适用性。很难在安全里面找到了一个产品一用就灵,一用90%的用户都灵,不是这样的。现在已有安全产品,包括防火墙,IPS,IDS,UTM,NGFW,SOAP,其实用户真正要的不是一个产品,一拿去这个企业安全就高枕无忧了,他需要自己的组合。某个公司可能就做好了其中的一两个,这方面他很擅长,比如做防火墙,谁家很好,那UTM又是另外一家很好,这是市场碎片化的一个因素。在产品的具体的类目上,包括类目可能有那么几家做得好的,还会有人在上面有点创新,比如他在UTM上扩展了一点,一招鲜,就能拿下来一部分市场。我觉得一个产品一旦成熟的时候,就意味着这个产品它的有效性开始受到置疑的时候,因为攻击方法总是有,这种新的方法出来了,又有人做出来针对新的攻击新的有效的产品,那产品在不断在演进。

第二,和本地服务还是有关系。中国的安全公司,除了北京有若干个公司之外,哪怕在成都,重庆,包括这些二三线城市,也会有当地的安全公司,他能够给客户提供某一种客户化的安全方案,并且能够提供本地的服务,这也是他们生存的空间,一个产品一出来适合所有人,这种模式在现在的安全防卫市场上可能还不太成立,它跟个人市场不一样。个人市场杀毒做了这么多年,360的杀毒安全卫士做得好,百分之九十几的人就用了,但在企业的个性化的东西比较多,而且因为企业安全的环境变化,环境差异比较大,他对于去配置产品的人,对产品维护的人要求比较高,有点类似于专家服务,所以很难在这个世界上,见到一个做资讯顾问的公司把市场给垄断了。

   

11. 有安全圈子里的朋友曾经预测,移动的安全市场还远远没有成熟,还远远没有到来,换句话说,市场上还有很大的安全提升空间,或者说会因为一次或几次安全的漏洞的大爆发来引爆这个市场,您怎么看这种观点?

谭晓生:我是赞同这个观点的,大家知道智能手机就是一台小电脑,而且是随时随地联网的小电脑,而且他们的漏洞是很多的,尤其安卓操作系统漏洞挺多。他安全防范的水平可能还未必比得上Windows下的安全防范水平,过去在上面病毒木马少,仅仅是说他原来的用户量少,作为一个攻击目标的经济价值不是足够大。但是现在的话,一个人甚至都不只一部手机了,攻击价值已经非常大了,而且这个是离个人信息、离钱更近,所以我觉得未来有可能会出现一两个,或者更多的大的事件会让移动终端安全引起更高的重视,移动终端的安全防卫手段目前比Windows上还是要弱的。

   

12. 我们看到360已经在移动安全方面做了很多工作,但要向普通用户收取服务费,让普通用户每个月在手机上花钱买安全的服务,目前来看还不是很现实的事情。如果说有这种大的安全事件爆发,会不会引爆这个市场,用户觉得我每个月去花一些钱去买些服务,获得一些安全的保证是值得的,有没有这种可能?

谭晓生:我觉得可能性不大,在PC市场的杀毒被360免费之后,在手机上将来也没人能收的起来钱,一旦真的发生安全事件,我相信会有无数的安全厂商,希望立马帮用户解决问题,而且是免费的,现在求着你赶快用我的解决方案,那么他就是获得海量用户之后的商业价值,360通过自己的创造,几乎让所有互联网公司都能看得懂,这个模式之下,我觉得将来移动终端上的安全,个人市场也没有可能有收费的。

   

13. 换句话说,个人市场和企业市场是两个完全不同的市场。刚才已经提到,就是像国内有一些做公有云的公司,包括做私有云的公司,他们会通过SDN,或者VPN的手段,来帮助用户打造属于自己的相对封闭的云和安全的环境,那360有没有打算推出这样的服务?

谭晓生:这个可能不会当作一个独立的服务推出,比如360天机的BYOD的解决方案里,我们内嵌了SSVP通讯,让用户的移动终端和服务器通讯的时候是在一个虚拟网络内,但是没有专门给用户提供一个私有的VPN网络,这可能涉及到国内的一些管制,你这么做了,你是不是虚拟运营商,是不是有资质等。但是在一个产品里面,为了解决产品的特性,用到了这样的一些VPN的技术,这个是可以的。

   

14. 从您的观察来看,天机、天擎用户的反馈最满意的地方是什么?现在有一些创业公司在做类似BYOD相关的安全的平台,从用户的声音来看,和其他产品对比,用户认为360做得比较好的地方是什么?

谭晓生:比如天擎,这个是用户量比较大的,我们这里已经有几十万的企业了,用户的反馈主要就是好用,其实就是遇到病毒能够检测得出来,能够杀的掉,遇到攻击能够拦得掉,就是这个特别简单的评判标准。还有一点是用户他有一个使用习惯,过去在家里面用360安全卫士,现在在企业里面用,他也会觉得很适宜,网管也省心。这是对天擎的反馈,主要是有效性和管理的方便性,给网管提供软件分发,提供固定资产管理,他们还是觉得这些特性是比较喜欢的。

对于那个天机说呢,这个市场的启动速度比我们预期的要慢。在2013年的下半年,这个市场并没有很大的启动。目前能够看到的,像保险公司和航空公司,这些企业他把Pad当作生产工具,这些企业对BYOD很重视。在其他的商业公司,让员工通过手机来收文件,处理公文,还没有能引起很好的共鸣,这个市场的启动还有待观察。

   

15. 在去年360启动了“库带计划”,吸引社会上一些白帽子,一些安全高手,让他们贡献一些安全漏洞,现在这个计划进行的怎么样,2014年在这个项目上投入多少?

谭晓生:在2013年,我觉得这是我们做得非常成功的一件事,“库带计划”在2013年大概收了两千多个漏洞,经过验证并明确是0 day,可以给白帽子奖励的,到12月份的数据已经到八百多了,给出钱的漏洞就这么多。在2014年,360的预算管理有自己的特点,比如先给一百万人民币,基本的策略就是不够了再加,就像去年在微博上一个口水战,有人说漏洞会多到我们的钱给不了,我就和赵武(“库带计划”负责人)说,你只管给,一百万不够,我再给你批一百万。我们对经费管理有这种灵活性,比如花钱买第三方建站软件的漏洞,我们给白帽子报酬是不会吝惜的,而且如果说这个价格随行就市,价格涨了,我们也会提高价格,这件事我们认为还是非常有价值的。

   

16. 换句话说,我们调动了社会各个方面的资源来帮助360来发现漏洞,帮助360发现漏洞也就是帮助360的客户去发现漏洞。

谭晓生:其实最主要的是帮助第三方建站软件的开发者发现漏洞,帮他们发现漏洞很重要,因为他的一个建站软件可能服务几十万的网站,它的一个升级就意味着这几十万网站那几十万个漏洞都被补住了,所以这是从根上去解决问题的方法之一。虽然还不是最根源,但是已经比较接近问题的解决,我们会推动建站软件的开发商去修补他的漏洞。

   

17. 现在聊一聊360公司内部的文化和管理的话题。众所周知360和其他的互联网公司都是工作压力都比较大,但互联网圈子又是工程师文化,工程师是一个比较自由、自我团体,较大的工作压力与自由的文化会不会有些冲突,你怎么看?

谭晓生:首先这两个不是对立的,但肯定会有冲突。比如说,有人我就是现在想玩儿,但是突然就有病毒木马上来了,必须得立马处理,可能要逼着他要去干事。那可能是家里孩子在等着他,但是又来了木马安全威胁,这就是你的职责,我们作为安全公司,你是一个安全从业者,遇到这种威胁的时候,你肯定要处理,就像去打仗,士兵上到战场,后方的有很多事,你不得不去做这个权衡,但这两个并不是绝对矛盾的。其实你想想,优秀的工程师有什么特点?我这么多年见过优秀的开发工程师,从来没见过哪个说不加班,或者不超时工作,他就能干的很好的,一个都没有。这个行业这种特点就是,他要在技术上能够做得好,首先得聪明,要有悟性。

第二,还要有足够的时间作为代价,这个世界上聪明人很多,适合思考计算机类的问题的人也很多,但优秀的程序员很少,就是因为有那么聪明的人他还得加上勤奋才能把这件事情做好,而这个勤奋的时候,有时候甚至和是不是公司安排工作没有关系。我以前在雅虎工作的时候,手下有一个架构师,他每天晚上干完正常的工作,可能都已经10点、11点了,但他还会再坐下来,差不多一直干到11点40、50的样子,去读各种各样的资料,因为大学毕业的时候,因为没有过四级导致没有拿到学位证。就是这位同学,最后他和我们美国的同事用英文交流做得很流利,这期间他就是利用业余时间学很多的东西,读英文资料等等,这种人最后才能会成为一个真正的技术上的高手。所以在360很多人并不是说他的老板逼着他去努力去干,他闲着没事的时候他也会去找点事去干,去做技术上的这个研究精进。有时候外部人可能觉得360很苦,但是在内部大家的感觉可能真的不见得是这样的,很多时候是有兴趣就做。我以前做程序员的时候,调试程序调到第二天早上太阳升起来是挺常见的,第二天早上太阳升起来那时候,其实身体非常难受的,但是当天晚上非要让我去睡觉,我那时候真睡不下去,就是这种特性。

   

18. 我们在招聘的时候,像你刚说这种员工,通过人力资源部门招聘有局限,人力资源有各种条条框框,刚才说的员工自发的这种学习的意愿和这种动力,往往不容易通过条条框框去框出来,您也曾经说过现在这种招人挺难的,这方面有什么心得吗?

谭晓生:我觉得这是我比较擅长的。

第一,看兴趣。这是面试的重要性,因为用各种条条框框去框人的时候,你是没有办法知道这个人的个性是什么样的,他的特性是什么样的。但是和人面对面谈的时候就很清楚,比如我谈这个计算机问题的时候,有时候会谈一些很枯燥的原理性的问题,那么你看这个人他到底了解多少,因为如果是他对计算机没有兴趣,那些枯燥的东西他基本学不进去,但是这种东西是需要花时间去一点一点抠里面到底是怎么回事,当他把一个问题想明白的时候,你在里边讨论的时候,他的观点就会是不一样,这种就是对于计算机基础类问题的考察,就是我们判断这个人对计算机有没有兴趣的,没有兴趣,这个人其他条件再怎么满足都没戏。可能他今天干这个活,隔几天有一个别的什么兴趣就开始转了,但是这种对计算机是怎么工作的,计算机里面的一些比如算法感兴趣的人,你跟他聊下去,我能判断他有没有兴趣,有了兴趣,这是一点。

第二,神经兴奋程度。他是不是思维足够活跃,做事是不是足够快,这也是他能不能成为一个优秀程序员重要条件。有的人行动特别慢,如果像我们这种要求行动特别快的公司,那两边在一起不match也是很痛苦的。有人就是出慢活的,但是我们会找神经兴奋程度比较高的,比如什么呢?说话语速,你在和他谈一个问题的时候,他是不是身体会前倾,来和你争论,是不是脸红脖子粗。神经兴奋程度比较高的人,往往他的精力也会比较好,他一天可能保持比较长时间的神经兴奋,这些是在面试的过程中都能够筛选出来。

最后,性格的稳定性。因为有的人性格是飘忽不定的,这种人风险也很大,他有可能会成为一个很优秀的人,但是也有可能过两天他这个兴奋点一转。我们挑人时候,就是要怎么去找出来,有计算机悟性的,聪明的,对计算机还感兴趣的,神经兴奋程度还高的,定性还好的。如果找到了,恭喜,这个人很有可能就能成为比较优秀的程序员。

   

19. 我理解神经兴奋比较高和定性,就是情商,或者说跟情商有些关系?

谭晓生:定性和情商有关,神经兴奋程度比较高更多还是生理特性。

   

20. 基本上筛掉90%以上的人了。不管怎么样,看了这段视频的工程师,如果想来360,基本上可以给自己画个框了,看看自己是不是在10%的这个目标人群里面。下来一个问题是关于这个工程师在研发过程当中,他们可能会用到哪些工具,比如在Google、Facebook这样的公司,工程师可能30%甚至更多的时间,首先要打造工具,通过工具来帮助自己这个研发和调试中提升效率,那在360内部有没有这样一些大家普遍应用的一些工具,能否介绍一下?

谭晓生:这个还是蛮多的,但是不是广泛应用是另外一回事。比如我们做病毒木马分析的这些工程师,就会有他自己的工具,把可疑文件往这个窗口里面一拖,然后几个结果在一个平面展现了,工作人员就扫一眼就知道这个程序是干什么的,这个是病毒木马分析的工具。比如说像运维人员,他要管几万台服务器,他可能打开了Web的界面,又打开了什么地方有报警,我需要报修还是怎么样的,一点,这台机器重启,那台机器重装操作系统,这都是在过去的这几年时间里面逐渐形成的,这个都是为了改善自己的生活素质而做出来的东西,对于一流的工程师来说的确是,他们是有意识的来可以自己造工具的,能够让自己的工作从日常重复的这些工作里面一步一步的摆脱出来。在360除了自己造工具之外呢,我们最主要的贡献,还是用开源的工具,开源的系统,我们是大量的使用。从Hadoop,Cassandra,Storm到LVS,我们对LVS进行二次开发,大量采用OpenStack做的虚拟化的管理。

   

21. 有关于项目管理的问题,比如这个工程师可能比较活跃,很多创新,很多想法,但是他同时要面对项目要交付,代码提交的压力,我们内部有没有一种比较好的一种方式来管理,满足工程师创意的发挥,同时又能够保证这个项目按时的交付?

谭晓生:我的观点可能有点不太一样,我个人过去是做过很重的项目管理,实际在360,我们用的非常灵活的开发方法。我们首先觉得一个优质的代码是工程师写出来的,不是管出来的。那么首先你的第一任务就是要找到足够优秀的工程师来干这件事情,然后干这件事情的时候,让他能够发挥他的长处,最快的速度把这件事情做出来。这里最重要的一点,就是要让这个工程师自己有ownership,好的工程师基本上会有特性,他是很好面子的,就是他自己如果是承诺了一个工期,他会不惜一切代价的去按期提交,所以这个任务首先是要他自己,认为是自己的任务,而不是老板安排给它的任务,这不是说一种管理方法。比如我们在做一个项目时候,经常就会把这个任务讲清楚,做好分解,然后就说兄弟们,觉得这件事多长时间能干完?谁愿意做那块?你要领了这块,你觉得这块你多长时间能做,为什么?为什么7天,不是3天,又为什么不是10天?这个过程在这个任务在层层分解的过程中,大致的技术难度,每个人的实际的工作能力,大体的能够量化。比如他说7天能做出来,那对于Leader来说就是评估7天是不是真的合理,是不是工作量大到7天做不出来,有可能要到10天,这时候你要提醒他,你为什么觉得7天能做完,你说说你第一天做什么,第二天为什么这样。分解下来之后,可能7天真做不完,有可能要到10天。也有可能他想到了一个很奇怪的做法,能很快的把这个东西搞定,这有很可能,这是个互动,这个互动过程之后,ownership就会形成,你可以认为,这时候领这个任务的工程师,他形成了他的一个承诺,他对外的一个承诺,对项目组的一个承诺。这时候去做,不是靠项目管理方法保证的,这是靠这个人的素质,你找的这个人的素质和他的责任心,这个团队最后形成的文化,如果大家都是我承诺了,我必须要做到这个文化,这时候不管是加班加点他都会做,而且人有压力的情况下,有时候会想出来很好的方法去解决问题。还有比如对文档和注释的问题,我大概在7年前,已经不对我的团队提写文档和写注释的要求,甚至我不反对我的程序员去重写别人以前的代码。只是条件是,对不起,这段我不记入你的工作内容,你要重写,愿意熬夜加班,把别人代码重写了,你看了就不舒服你就重写,绝大多数的情况下,你得到的新代码既不会比老代码要好很多,也不会比它要差很多,但最有可能的结果是这个人很happy的把这段代码写了,而且今后他会继续维护这段代码。其实,程序是和每个人的思路有很大关系的,你非要让一个人A去遵循B的思路,他真的会很痛苦,但是如果他愿意,有时间,质量差不多的,把这个东西给写出来,用A和用B的代码有什么本质区别?想明白了这些事情之后,我当时的做法就是,第一不要求写文档,第二不要求写注释,第三,你爱重新写别人代码,你写,你加班写,没关系,我不管,就是这个就做到最后让大家很happy去干活。

   

22. 我明白了,管理就是让大家很happy。另外一个潜台词,还是回到刚才招人的问题上,关键还是找到合适的人,足够牛的人,这个是给领导省心,给管理省心,一切都省心。谭总,您刚才说到,在360做管理,包括之前在一些公司已经做了很长时间了,这么多年下来,你觉得自己最深的领悟是什么?有没有什么让自己印象深刻的一两件事情?

谭晓生:这个就涉及的太多了,其实我觉得就是作为一个技术管理者来说,可能体会就是这几点:

第一,你要想把这事做好,你看你自己是不是对技术和对管理这两个跨界是不是你的乐趣。对我来说这是个乐趣,纯粹管理和纯粹技术对我来说都不会让我现在这样的干起来兴奋,我恰恰是就把技术和管理两个东西揉在一块的时候,在跨界的时候,我是特别兴奋。我觉得我自己的技术路线还不错,其实我已经有12年没有大量的写过代码,但这些年就是对技术的兴趣会让我保持不断的,对新的发展跟进,新出来一种东西,它的特性是什么,我可能会去看不少东西去比较。出来一些新的玩意,我也会去买来玩儿,比如一些硬件的东西之类,我也会去琢磨琢磨它是怎么做得,遇到一件事的时候有时候我会想它是怎么实现的,它给我的思想是什么,其实这22年下来之后,计算机的工作方法没产生什么变化,很多系统用最原始的理论推依然能推导出今天的结果,这些东西我觉得是把这个事给理顺了,理顺了之后,你有了这种思维方式就会很轻松。

第二,在技术管理其实永远不要忘了,最后你管的是人,这个观点可能既使在360也有人不一定会赞同,他会觉得技术怎么样,但其实我觉得所有最后做技术的是掌握了这个技术的人。那首先,就是你要找到足够聪明的人,筛选人比培养人重要的多,人不见得是都能教化的,教化成功的可能性很小,而且是要选到合适的人,选到合适人,大家一起来做事的时候,你就会发现这个选对了人,所有事情都可以简化的。而人都是有他自己的诉求的,他不管是个人发展的诉求,还是说是这个其他经济方面的,就是你想好,大家一起来做这件事情。然后就是投入产出之类合适,做的事是他感兴趣的事情,他为什么不做?他会很开心的去做这件事情,那在这里面大家就作为一个这个技术管理者的一个职责,我觉得就是把大家的利益最后能统一找好,兴趣点找好,然后给大家创造一个更宽松开心的这么一个工作环境,让大家最后做完这件事,即有成就感,经济上收益又能好,个人在这个行业里面我不管要名誉之类这些东西都有,你如果能够构建出来一个共赢的局面,这件事做起来就会很简单,团队也可以很开心的去做。

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT