最后说一下我自己的态度。高大上的方案不一定适合你。大家一定听说过N多专家讲,我认为工具主要分为四类,有很多自己购买商业工具,效率很高但比较贵,还有自行研发工具、使用开源工具、云服务化工具,很多大公司讲我们用开源的和自行研发的,这个是很好,但它需要大量的人员去投入,需要花很多钱。对中小用户来讲购买商业工具很贵,使用开源工具需要有很强的运维人员,自行研发需要你有很强的研发人员,而你要花钱雇研发和运维人员。无论是购买商业工具、使用开源工具、自行研发工具都要投入很大成本,我们提了很多高大上的方案,你回去根本用不了。百度有1000个信息安全人员,我们内部做得很好,但是你没有那么多人,这就是问题。我们怎么办呢?我们把自己研发的工具实现云服务化的工具,百度内部自己用,自己用效率会比较高,然后给用户用,然后给愿意少量付费的用户。但是用户有问题,百度对自己的运维和研发对大客户直接提供服务,这就是百度在安全方面能力的建立与分享,我们愿意把我们的研发和运维以及成形的云服务化工具给大客户分享能力。
先进的技术不一定适合所有场景,我在反思我们自己,我讲了很多大数据的事,一加一等于二这个结论我一拍脑袋就出来了,可以用大数据算,也可以用塔罗牌算,如果用塔罗牌算和大数据算一样准确,为什么还要用大数据?如果有逻辑分析就能分析出来的富矿,为什么非要用大数据?大数据是好东西,但希望我们建立在已经挖掘了很丰富的信息富矿的时候再考虑大数据或者同时考虑,无论你用什么技术,无论先进还是不先进,最重要的是找到富矿,而不是用了什么技术名词,名词确实挺多的。高难度的技术不一定带来高价值,技术人员的鄙视链,操作系统漏洞挖掘和安全配置。到运维或者乙方售后工程师这一层,我们做的事情是安全配置,在鄙视链的最高端是做操作系统级的漏洞挖掘,但我有一个疑问不同操作系统下操作系统的漏洞挖掘一定比安全配置人员有价值吗?技术难度一定等于高价值吗?
我们是一个创业型的互联网公司,我们有几台服务器,雇一个搞漏洞挖掘的人,他给你找出Windows的漏洞,你找到这个漏洞,国际上很关注你,你等着微软发现你把漏洞补上。你如果找一个安全配置人员,能够跟着不停地找漏洞并把漏洞补上,他很便宜,而且关注的面也大。对很多甲方来讲,处于鄙视链低端的人,工程师们给我们带来了更高的价值,远远高于那些能找漏洞的,他找出一个漏洞你的系统里可能还有一百个。高技术不一定带来高价值,希望大家选择给你带来更高价值的人。
最后要说工程师最重要的是解决问题,技术只是手段,谢谢大家!