成为专家

慈恩塔下题名处，十七人中最少年。

看态势

建立优势，关注劣势，寻找机会，对抗威胁。

• 让自己具备成事者特质。这一路走来，你一定见过很多你看不惯的人，很多失败的人，想想他们身上的问题。你也一定见过很多牛人，他们身上各种优秀特质，很多都是后天习得，当我们自己也拥有这些特质后，离成功就只剩下机会了。如果想拉开和他们的差距，必须得建立起自己的个人优势，也就是我有而他没有，他有我优。
  • 克服几个大多数人都存在的性格问题，你就会比大多数人要强：懒惰；注意力涣散；目光短浅，缺乏远见；及时满足，缺乏耐心（不愿意投入底层技术研究，总想找到速成术）；避难趋易；缺乏耐心，急于求成（追求短期多巴胺刺激）；缺乏自律；信息获取浅薄（消除模糊和未知）；害怕风险，厌恶不确定性；
    • 能自学，爱学习。能把学习当成习惯，每天看书、学习最新的技术，对于任何不懂的事情都能钻研到底。就会变成一个聪明人。
    • 独立思考，思考深入。大部分人都是乌合之众，学会独立思考而非人云亦云，且见识客观、能抓住要点、深入。
    • 换位思考，善于协作。能站在他人位置考虑，与人友善，急人所急，想人所想，帮助他人，解决他们的问题，为他人提供独特价值。能激发他人，能得到所有人的支持，所有人都乐意看到你成功。
    • 做正确的事情，知道什么可为什么不可为。正直、诚信、守时、事事有结论。如果能做到既友善又坚定，会得到他人的刮目相看。
    • 勤奋努力。你工作一年是别人工作三年的质量。
    • 行动上的巨人。什么样的人能在未来取得巨大成功？如果只有一条特质，就是行动上的巨人，那些能把想法付诸实践的人，能够在实践中进行学习的人，现实会教会他独立思考、会让他学会协作、商业逻辑会让他知道承认错误，进行改变，并朝着正确方向努力。
    • 持之以恒，慢即是快。人性及时代节奏变化，当前充斥着众多短期主义影子，都喜欢速成，但无数事实告诉我们能够在短时间内被创造出来的东西往往品质堪忧。多数人难以理解长期价值，事实上，如果有耐心去长期做正确的事情，就会在复利作用下和他人拉开极大距离。无论是健身减重、投资理财还是开创事业。
    • 在胜率高的事情上敢于下重注。敢不敢在自己相信的事情上冒险很能决定一个人的发展上限，我们常常听到周边的人讲要是当时怎么怎么样，本质上再次一次，他还是会不那样。
    • 学习商业知识，提升赚钱能力。本质上赚钱也是一种能力，身边有很多优秀的人，但不一定会赚钱，他们的优秀体现在其他的能力上。如果我们的目标是赚钱，就应该直接为赚钱做功，而非间接。
    • 承认错误或不足，能听得进建议，能不断改进自己，成为一个开放的人。面对自己不确定的事物时，可以秉承怀疑态度表示质疑，但当证据确凿时，得能转变思想，表达认同，这是一个求真的过程。思考问题时，固执己见不如头脑开放。在不同的情况下，我们需要以不同的方式来看待和处理问题。事物之间往往有着各种微妙的不同，比如道德准则与观点看法。
      • 心态好则运气好。运气其实是个心理学概念，你心态好则运气好，心态差就运气差。拥有相同的经历处境的人，以不同的心态面对好事与坏事时，他们的看法以及结果会大相径庭。面对坏事和好事时，都要有塞翁失马的心态。
    • 优秀的人控制自己的期望。实现上面这些特性后，你将比多数人都更优秀，也可能有所成，这时候很容易对自己期望过高。会导致适应能力很差。韧性对成功至关重要。
  • 例子：在工作那会，绝大部分安全从业人员都不会开发工作，都只会安全攻击技术，由于我是研发出身，导致我同时拥有安全和开发两个技能，在后面的安全想法落地为工具产品、漏洞的发现和修复、安全机制流程建设等方面都赢得了巨大优势，做事情的难度变的很低，一点点的努力就能有不错的结果。现在，安全和开发已经成为安全从业者必备的技能了，这时候我们要思考，新的技术优势是什么？
• 找到长期工作动力。
  • 找到工作的长期意义价值更能长期激励自己，如果是一些浅层的原因，比如物质激励（升职加薪/买豪车大房子），或者一些反向的恐惧愤怒（试用期、末位淘汰、差绩效、无晋升、优秀新人、备份机制、杀鸡儆猴、想证明自己），很难长期坚持。
  • 做自己喜欢的事情
    • 你会不知疲惫。上班不再像上坟，不会准点下班，会为了一个问题钻研到深夜，甚至会觉得时间不够用，周日也会开心的迎接周一的到来。
    • 你能忍受更多的痛苦。当一个人心中有着更高的山峰想去攀登时，他就不会在意脚下的泥潭，他才可能用最平静的方式，去面对一般人难以忍受的痛苦。
    • 你会比你的竞争对手更加深入。随着你比他们在同样时间内投入更多精力，你一定会比他们做的更加深入。
    • 你能赚到很多的金钱。随着你更深入，能提供区别于他人的价值后，赚钱就成自然而然的事情了。
    • 你会很有成就感。随着得到金钱、外界认可等正向激励后，你将会非常有成就感，而且这种成就感是长期持续的。这又会让你愿意投入更多精力、又更大的忍耐度、做的更深入，进入一个正向循环。
    • 你会很坚定自信。燕雀安知鸿鹄之志。英雄者，胸怀大志，腹有良策，有包藏宇宙之心，吞吐天地之志也。大丈夫处世，碌碌无为，与朽木腐草何异。有信仰的人最可怕。
  • 例子：我的工作动力来源于两部分，早期源于兴趣驱动工作，自己对网络安全的热爱使得自己能够每天凌晨睡觉持续一两年。后来成为管理者之后，工作动力源于未来我要创立自己的企业，所有的杂事都是未来要面对的，因此面对这些事情我并不会觉得厌烦。
  • 喜欢背后是成就感和满足感，最能带来成就感、满足感的事就是构建和创造。
  • 成功的核心是需要志存高远。历史无数次告诉我们，任何普通人都有成就伟业的可能。有着远大抱负的人，在做事的选择会完全不一样，就算最后没有成功，所取得成就也远高于多数人。
• 认清企业生存之道。

快落地

• 如何快速了解公司、业务以及团队。新人进入一个新的环境，首先应该帮助他快速融入团队。作为主管并不一定有足够的时间去辅导，同时他也会有很多事情并不一定都愿意来打扰主管。为他安排一个靠谱的师兄，能够在融入过程中起到很大作用。师兄除了在做事过程中辅导同学，同时也可以作为生活中的帮手，带新人熟悉公司环境，让团队的人尽早认识自己，了解自己的背景也有助于后续的工作开展。但同时要注意，一方面可以突出自己之前的经验，但同时这些经验在后续的工作中也可能成为自己的拖累，尤其是从小公司到大公司会越加明显，原有的经验不一定现在还管用，需要调整好心态。想要更好的融入一家公司，最好的办法是从最开始的时候一起经历。既然错过了开头，那就需要去了解，了解这家公司的业务、历史和文化，去适应这家公司的文化。同时也要去了解以后每天会一起工作的团队同事，了解每个人的背景和当前的职责。
• 新人试用期目标。确定新人的试用期目标是一件严肃且谨慎的事情，新人往往是过五关斩六将到了现在阶段。试用期的目标会决定他的去留，甚至未来的职业发展路径。作为主管，首先应该弄清楚新人的优势，通过更加平等开放的氛围，比如在咖啡馆或者吃饭的方式，让彼此放松愿意袒露心声，了解新人过往经历，包括之前的公司、岗位、项目经历、技术栈，弄清楚擅长的和不擅长的。甚至工作之外的情况，比如家庭、爱好等。了解新人的初心和期望，为什么加入这家公司？为什么想来这个团队？期待未来怎么样？其次，可以跟新人讲清楚当前团队的目标、做法和项目以及未来规划，让他对整体有一个比较清晰的了解。同时根据新人的情况，可以直接安排具体的方向和事情，也可以提供几个合适的方向供其选择，很多时候合适的人做合适的事情才能发挥更大的效果。设定目标的时候要考虑试用期实际的工作时间，很多公司在试用期会有大量新人培训、学习、考试的时间，这部分也可以作为目标的一部分。对于技术侧的目标，应当合理、清晰明确且可量化。主管核心职责是让员工能不断成长，针对新人的不足部分，也应当在这个时候提出期待，在试用期期间看到变化。
• 持续对焦跟进进展。一切的开始是最难的，所以应当从拆解的小任务开始，辅导新人拿到一些阶段性的结果。同时让新人通过日报、周报的形式及时同步进展和风险，及时发现问题。
• 试用期总结与转正答辩
  • 总结：试用期总结是对自己过去几个月的过程、结果做一个总结，主体是围绕对目标的拆解、对问题的定义、过程中的思考、方案的完备性、钻研的深入度、最终的结果价值，以及未来的思考规划，同时也可以讲讲自己的感受和收获。
  • 答辩：为新人组织一场正式的试用期转正答辩，邀请相关方参与作为评委。在限定的时间内，让新人进行述职。根据各位评委问题进行答辩，最后收集各位评委的结果和建议，做最后的总结反馈，包括对工作的肯定、建议以及未来的期待。给新人祝贺、拍照等有仪式感的方式。经历了整个试用期后，新人对所解决的问题领域会有很多经验，可以在团队内部做一次公开分享。
  • 面试官常见问题：价值、影响、未来发展。反直觉细节问题、目标清晰、问题解决结果、事情多寡、独特价值、同类产品差异、未来思考。
  • 试用期常见问题：事情不匹配；多件事情并行，不聚焦；自己在其中并没有发挥独特价值；便执行；事业狭窄，不了解内外部同类产品情况；缺少未来思考；焦虑来源于不确定性（目标/路径/资源）；与主管对焦，不要随意否定当前事情，你不了解过往；师兄是这个组织中真正在帮你的人，照着师兄少说多做。

高目标

• 如何设定网络安全目标。一个好的目标是事情成败的关键，在出现需要抉择的路口能指引我们朝着正确的方向去努力。
  • 目标来自哪里？很多情况下我们面临的问题是不明确的，老板的要求是不具体的，需要我们自己去寻找目标。多数情况下，我们的目标来自于上级老板目标的拆解。要拆解老板的目标，首先得理解上级方向、目标和策略，找准自己团队的定位和独特价值。与主管对焦其目标背后的意图，同时也需要了解各个横向团队和上下游的的规划，以及回过头看看做完这些事情对实际关键风险能起到控制作用。在确定目标之前，需要回归初心，想想你在团队中到底扮演了什么样的角色？是在为谁服务？能发挥什么价值？目标设定第一原则是从客户价值出发，对于安全团队来说，脱离风险的目标设定是一切灾难的源头。我见过太多安全团队其实在自娱自乐，原因在于多数公司老板是不懂安全的，安全的事情基本上安全负责人说了算，导致如果愿景和目标没想清楚就会出现所做的事情对实际风险控制没有太大帮助，一旦遇到针对性的高级威胁所有的工作形同虚设。一旦目标错了后续一切都错了，因此在目标设定上多花些时间想清楚是值得的，此时的慢是为了后续的快。
  • **如何设定？**以应用安全团队为例，可以从风险角度出发，打开脑洞想一想我们期望将风险控制到什么程度。在此之前，我们需要先暂时抛弃行业的一些通用做法，惯性思维和先前经验，这些往往会将我们思想画地为牢。假设目标是：**没有漏洞？**没有漏洞不太可能，我们知道有人写代码就会产生漏洞。**有漏洞但不能被利用？**安全本质是对抗，任何防护都有可能被绕过。**有漏洞但都被我们发现了？**发现必然存在风险敞口。有漏洞都被我们上线前发现了？发现意味着必然存在遗漏。很多企业安全体系建设会有类似“重检测，快响应”的指导思想，这类做法有其优势，安全团队自行即可做好，可不足之处也非常明显，存在遗漏和风险敞口。检测必然存在遗漏，上线后面向的往往是全世界的攻击者，你和他们是同一起跑线，比谁更先挖出漏洞。但上线前可以将整体风险敞口缩小至企业内。这其中的风险对于任何以结果出发的企业来讲都是不可接受的。不断的发现和修复好像也有问题？需要的让写出来的漏洞不断减少，所以规避好于发现。这里提到的是“规避”而非“发现”，“发现”代表的是上线前一部分工作，此外上线前还有诸如意识提升、安全防护组件等工作，“规避”更能体现这些工作期望达成的目标。当通过上面的一次次的推敲后，会发现思路和路线逐渐清晰起来。此时可通过一句话直白的描述目标，这样大家就能一听就懂并且能快速记住：所有的安全风险在上线前高效规避，零软件安全风险能被利用。前半句是期望将风险规避在上线前，这和建设阶段相关，一旦风险上线后再去发现、感知、止血就必然存在遗漏和风险敞口，这对于风险敏感型企业是不可承受的，这是在引导后续的安全建设，为后续的安全建设指明方向。后半句是当有风险遗漏后也无法利用成功的，建设期间必然还是会有风险遗漏到线上，因此需要通过各种方法来解决各种遗漏的风险被利用的可能。**这其实就是我们这个部门的愿景，是指引我们长期建设的方向。**我们需要根据企业实际的情况，围绕愿景确定短期目标。不同公司不同阶段距离这个愿景的差距也不一样，也许距离还很遥远，也许快接近了。在这里我们将其定为两个O，**多数安全风险在上线前高效规避，极少软件安全风险可被利用。**可以看到这个目标是很有挑战性的，但也能激发大家的斗志，通过各种创新的方式去达成。但要注意不能照搬上级的O或简单的对上级的O进行数字上的拆解。这里可以看到目标有几个特性，用一句话清晰明确的体现客户价值，有挑战也有方向感，同时一层层拆解后的目标也有延续性。
  • OKR：接下来我将使用OKR（Objectives and Key Results，目标与关键结果）来描述目标设定，主要分为O（Objectives，目标）和KR（Key Results，关键结果）两步，O是指我们期望达成什么样的状态。KR是指哪些结果达成后能表明O完成了。确定了目标后，需要进一步拆解当哪些情况达到了就说明目标完成了，也就是确定KR（Key Results，关键结果）。KR最重要的点是看这些都达成了是否就能支撑O的完成，需要拆分到最细粒度且可衡量，但并非事无巨细的罗列，另外描述上要清晰易懂，有过程和结果，符合SMART原则。同时不宜过多，建议不超过5个。O：多数安全风险上线前高效规避。KR1：上线前高效发现绝大多数风险（上线前发现率>=NN%，自动化发现率>=NN%，公网接口评估率NN%，已发现风险0遗漏上线）KR2：重难点风险攻克（水平越权上线前遗漏N，逻辑漏洞遗漏<=N）KR3：整体漏洞趋势向好（千行代码漏洞率<=千分之N）。既然希望多数的安全风险上线前高效规避，首先多数风险应该是上线前被发现解决的，因此上线前漏洞发现率要有一个指标。但如果只有这个指标就会导致大量的人肉渗透测试工作，因此上线前的漏洞发现也需要自动化比例的。在不同阶段将面对不同的风险类型，因此对于其中的重难点风险可以单拎出来专项跟进，比如水平越权。虽然水平越权的数据也会反映在上线前发现、自动化发现率指标上，但从目标达成上来看，拎出来能获得更好的效果。整体风险都在上线前发现了，重难点风险也已经解决了，这还不够。这会导致陷入不断的漏洞发现、修复的循环，因此必须还要有一个正向指标来牵引，让漏洞越来越少。多数漏洞的产生都源自于写代码，那从整体来看相对新写出来的代码所产生的漏洞应该是相对的，因此可以使用千行代码漏洞率来看整体的漏洞趋势是否向好。O：极少软件安全风险能被利用KR1：绝大多数安全风险自主发现（自动化发现率>=NN%，可造成入侵、数据泄漏、资金损失的漏洞<=N），按时修复漏洞（修复率NNN%，修复时效达成率NNN%）KR2：高频持续推动外部机构检验（举办N次SRC高倍奖励众测，N次外部顶级厂商攻击，主动参加各类攻防比赛）KR3：及时全面应急Nday漏洞（应急平均时间<=Nh，应急遗漏次数<=N）KR4：增强高危0day漏洞防护（RASP可信防护NNN%，禁外联NNN%，三方软件流量可信覆盖率>=NNN%，依赖包投毒遗漏<=N，外采应用高危漏洞N遗漏）看完上线前，再看开上线后的。我们知道理论上必然存在各种遗漏到上线的风险，因此如何能保证风险上线了也无法被利用呢？第一部分就是让多数风险都是自主发现并解决掉，也就是自主发现率。同时当漏洞比较多的时候，还应该设定遗漏漏洞的绝对值，对那些可造成入侵、数据泄漏、资金损失的漏洞要小于几个。自主发现率是依赖外部人员挖掘漏洞的，那就有可能外部人员刚好没挖指标就躺着达成了。因此需要高频持续推动外部机构进行检验。可以通过举办多次SRC活动，并且根据建设阶段来设置高倍奖励来更大激发白帽子的兴趣。此外还可以通过购买外部顶级安全厂商的渗透测试和红蓝对抗服务。有条件的自己组建安全蓝军就更好了，同时各种免费的外部红蓝演练活动，比如各等级的HW要主动参与。除了上面我们自己写出的代码产生的漏洞外，我们所使用的各类软件、框架、组件依赖包等都会产生漏洞，其中一部分各类平台会有预警和分析，我们需要做的是确保及时的发现这类情报，并排查影响范围、止血以及推动修复等工作。但情报的覆盖范围是有限的，一些安装依赖包时触发后门这类高风险并没有可靠的情报源，针对此部分可通过设定相关指标来牵引安全建设。最后一部分是0day，这部分的防御确实很难，但始终要面对的。通过推动可信级的RASP覆盖所有应用来防止高危型的0day，并针对所有应用禁止回联外网，来缓解0day的风险。最后对于一些采购的三方软件，无法覆盖RASP，于是通过为其定制请求参数过滤，实现请求可信，来降低各类常见高危漏洞的防护，同时将这些外采应用都隔离起来，网络访问最小化，避免出现问题后影响范围扩大，并通过采购流程审批节点、非标机器申请等方式管控住增量的外采应用。
  • 追求过程还是追求结果：在制定KR时往往有一个误区，往往大家更多的在追求结果指标，而非过程指标。但实际情况时我们应该去定可以控制的指标，而不是结果指标。以上面提到的漏洞自主发现率为例，我们期望多数漏洞都是自己发现的，于是设定通过一个终极目标漏洞自主发现率作为KR来衡量安全漏洞发现工作的好坏。如果单单以这个作为最终指标，就可能产生对于外部发现的漏洞被低估或给的奖励少，甚至不主动举办安全众测活动。会发现影响这个指标的因素很多，也许我们什么都不做，也没有外部白帽子挖到我们漏洞，那指标也达成了。所以对于达成自主发现率那一定需要有支撑它的过程指标，我们会关注到底那些KR可以支撑自主发现率，比如公网每一个接口是否都进行了渗透测试、各类扫描器对公网漏洞是否都能及时有效的发现、每一次nday排查是否覆盖了所有公网应用、是否有邀请外部各种白帽子、安全公司进行高强度检验来验证最终效果等。所以我们应该关注驱动一件事情最核心的要素，而不是关注事情发生后的效果。
  • OKR和KPI区别。两者本质都是为了促进目标达成。其最大的区别在于是否为目标导向，在KPI的模式下，更加侧重的是对结果的考核，看最终的衡量指标是否达成了。这会导致一些问题，比如设置目标的时候要求没那么高、指标定的没那么合理，或是采取一些取巧的方式去达成，甚至使用一些损害用户价值的方式去实现。而OKR则是以目标为出发点，并通过对关键结果的描述来判断最终目标是否达成，它能够让全员参与逐级从上到下分解，也可以从下到上对焦。举例来说，KPI有点像运动裁判，他会拿着秒表关注你最终的成绩。OKR有点像运动教练，也会关注你的成绩，但同时更加关注你的运动方式、运动强度、饮食作息等是否能支撑你拿到好的成绩。听着好像是OKR比KPI要好，那为何之前阿里巴巴会使用KPI呢？大家都知道阿里的价值观，其中就有客户第一，以及对管理者的要求也会有客户价值优先的体现。也就是说在之前阿里依靠的是管理成熟度和文化价值观来驱动大家设立正确的KPI，但随着新进的管理者比例提高，管理成熟度变低的同时公司文化传递效率也存在问题，所以逐步通过OKR这类工具来支撑。同时也能够提升组织的运转效率。但有一点要说明，不同公司对于OKR的理解和实施都不太一样，阿里这边目前阶段更多的是通过OKR和KPI融合的方式。
  • 上下左右对焦目标。定好OKR后，还需要去持续与上下左右对焦。我们的OKR是否能有效的支撑上级的O。能影响我们OKR的相关方是否知道，需要谁的支持时我们OKR是否在对方OKR中。这其中对于直接参与OKR的人员需要就行宣讲，听得懂目标，记得住目标，同时对目标的理解一致，让每个人都能找到自己的位置，知道自己的职责和价值，让参与的人员知道目标达成后对公司的价值，能让我们的安全达到一个新的水位。对焦完之后需要跟进好OKR，这就需要制定达成策略以及里程碑制定，确定一号位和各子域负责人，并持续跟踪。
• 做正确的事情，用正确的方法
• 找到并聚焦痛点问题，敢于挑战高目标，并去做到极致。
  • 第一性原理：物理学是铁律，其它都是建议
  • 重点事情极少，做好重点事情就能产生极大的效果。我们的人生被大大小小的事情占据，无论是回溯自己过去一生还是去年甚至一个季度，那些最大的成就、最精彩的生活阅历、最珍贵的人际关系、最成功投资，都只是其中很小的一部分事情。
  • 找到重点已经比多数人优秀了
    • 什么是重要的事情：能带来很大的好处或坏处、影响面广、延续性强
    • 并不存在每件事都很重要
    • 并不需要同时处理多件事，也不用让每件事都做到最好
  • 做正确的事情而非容易的事情
  • 每件事情从完成到完美，先做到某个细分的最好，先做好60分，再努力100分。蚂蚁新人培训班上，有新来的同学问我有什么经验分享给他们？我回想了这么多年，如果只说一条的经验的话，就是把每件事做到最好，做到你自己认为的最好，做到你团队内最好，做到公司做好，做到行业最好。我没有其他人的名校、也没有很多人的天赋，如今更没法和别人拼体力。但我知道深入每一件事，比别人多思考一些，多行动一些，在现有基础上做的再好一些，就能有不一样的效果。
  • 充分利用有限的资源，赋予无限的创意思维，即使只有一两点的与众不同，也可以取得巨大成功
  • 不断试错改进
  • 例子：在当年，开源很火爆，导致GitHub敏感信息泄漏的问题比较突出，当时已经有好几个开源工具能扫描发现这个问题。但我却发现，他们有一个非常根本的问题没解决好：发现时效。大部分要几分钟甚至十几分钟，这个时间攻击者可能都已经发现这个风险并利用完了。于是自己研究了下GitHub的API频率和搜索匹配机制，很快就写出来了GSIL，并拿着漏洞平台上的企业做测试和调优，几乎可以做到秒级别的发现，拿着这一个漏洞类型发现了国内外各家企业大量代码泄漏风险，每个月稳定一万多收入。在这个例子中，我的挖洞技术并不比那些白帽子好，我的研发技术并不比那些工程师好，但我能发现里面的机会点，并不断使用反馈优化每个细节做到最好。
  • 例子：0day防御一直是安全行业的难题，当我们希望能攻坚这个问题时，非常多的人第一反应是不可能。当我们基于RASP实现了针对应用的底层命令执行、文件访问、网络访问、JNI、字节码、序列化等行为进行刻画，实现从原来基于攻击特征转变为了只运行应用执行预期内的行为，在大范围覆盖后，真的能免疫之前那些fastjson、log4j的通杀漏洞。绝大部分人听到这个事情后，第一反应是成本非常高吧，但实际这是我们半个同学完成的事情。

拿结果

• 每件事最到最好。只有把每件事最道自己认为的最好、团队中最好、公司中最好、行业内最好，才更有可能取得引入注目的成就。每件事是指无论大事小事，可以选择不做，但既然做了就要都要符合最好的标准。

  • 学习你对应层级最优秀的人甚至下个层级的人。我们总是过度看重那些自己崇拜的偶像，总是把他们的话当成至理名言。但我们最应该学习的是那些和自己差不多年龄，能力却比自己优秀的人，这些人的做事、思考对我们的帮助会更直接。

• 每件事都会在未来某个时候产生结果。每件事不一定都能在立刻显现结果，但都是在未来人生打下基础，播下种子，未来就会收获到对应果实。

• 做好时间管理。规划好你的日程。当事情复杂程度超过了个人能力时，用清单管理关键节点

  • 要事优先
  • 以终为始
  • 守时。
  • 时间分为小时为单位的日程时间以及以半天为单位的创作者时间。时间并不是被拆的力度越细越好，面对不同的任务，需要区分考虑。

• 如何跟进事情

  • 意义：共同对焦目标和价值，最大限度激发员工的参与感和内在动力，及早发现问题解决问题。
  • 跟进关键任务：问进展、问风险、给建议、做辅导。
  • 多给空间多观察：多放手给员工完成规划的时间和空间，少干预。在用的过程中养人，在养的过程中用人。
  • 多沟通：1v1沟通：加强与同学的信任和了解。团队沟通：促进团队彼此的了解和共识。形式要接地气：不假大空、不矫揉造作、没有架子、自然就好、直接、直言有讳。内容要讲人话：简单、言简意赅、清楚明确。心态要视人为人：开放、待人要真诚、真情实感、有原则、捍卫自己的观点。向上沟通：有胆量。
  • 跟进时的常见误区：* 到了deadline才检查，过程中不跟进 * 不讲why，不给方法 * 关注how much，而不是how * 把追结果当做追过程 * 不够持续，随性工作 * 过渡的干预和打断会让员工束手束脚，抓重点 * 不影响项目推进的情况下，允许员工犯小错

• 如何复盘：用好的复盘挖根源、快复制，根据状况及时调整策略、任务、分工，做好上传下递，开启新一轮策略打法沟通共识

  • 何时需复盘？业务进展理想，数据漂亮时要复盘：总结经验和方法，复制到更多的团队和业务，总结规律，形成流程，转化为团队的财富。业务进展不理想，与预期有偏差要复盘：追其根源，快速调优和改善，避免同样的错误再发生。小事及时复盘：行动结束或问题发生，及时复盘，制定改进方案并落实。大事阶段性复盘：大的项目要阶段性复盘（每周、每两周）对焦目标，策略及时调整。事后全面复盘：大项目或大战役结束后要进行总结复盘，找到规律，汲取教训
  • 复盘原则：* 希望达成什么样的目的，比如让相关方重视相关问题 * 要确定有什么结论和action，action要明确到人和时间 * 涉及的相关同学要拉齐，要明确大家能到场 * 拉上大领导对事件就行表态，让大家意识和重视程度更高 * 可以事前分别跟各方对齐各类事情，避免会上争论，提高开会效率 * 讲的内容要让参会的各方都能听懂

• 平衡工作与生活

  • 让自己始终处在舒适区边缘
  • 工作时注意留点时间休息，比如下午三四点，避免下班后觉得没有全在工作没有个人时间，导致熬夜

善协作

• 行动起来，不管结果怎么样，先尝试去沟通。沟通的最大问题，我们总想当然的认为已经沟通了。如果面对关键问题去逃避，后续工作和生活都会一团糟。不确定性中也有确定性。
• 百闻不如一见。面对面沟通的体验，让人能感受到你的气质、眼神中的坚定、语言中的善意，那种耳目一新和如沐春风的感觉，是任何工具无法替代的。
• 坦诚友善。沟通时，我们总是会下意识的以祖先面对危险时最原始的应对方式，暴力对抗或转身而逃，而不是采取机智的说服和友善的关注来解决问题。成功对话的关键在于自由坦诚的交流，双方愿意表达自己的看法、分享自己的感受、说出自己的猜测，即使表达的是充满争议或不受欢迎的，他们仍然愿意积极分享。感性的东西会让我们感受到真情流露，感同身受，会有更好的结果
• 沟通要永远关注自己真正的目的。不要把全部希望寄托在他人身上。
• **说服别人应该用利益而非理性。**让一下；小心开水烫；吃不完，给你们一些；换季，吃水果补充水分。便宜点，质量你看；便宜点，实惠多带朋友来买；不要冰，不然差评；不能喝凉的，给到给好评；清华北大的家长往这边走走
• 先理解别人，再被人理解，从倾听开始。
  • 事实、观点、立场、信仰。
  • 思考、感受他人内心所想，并以此为逻辑起点展开自己的推论和行动
  • 拥有其相关经历的，想象当时经历时是什么感受
  • 没有经历过的可以临时体验下
  • 无法体验的就找有经验的人帮助
  • 读史书应该把自己想象成书中人，会怎么做。现实中遇到事情时，历史的人会怎么做。
  • 如果我是他，我会怎么样
  • 像个外人一样观察自己
  • 观察身边某个人喜欢什么
  • 全局分析、客观事实、感性直觉、乐观思考、保守行事、创新思维
• 让别人能理解你说的话。用大家熟知的比喻去解释一些复杂的问题，比如停车场停车和速度问题。不要说在吗？一句话清楚你是谁，背景是什么，你需要做什么。
• **我能帮上什么忙？**当合作人/团队遇到问题时，我们可以多问一句，我能帮上什么忙？这句话会产生很大的效果。
• 每一次沟通展现你的专业性。对于绝大部分人来说，并不会经常和领导沟通，从领导的视角没办法对你的印象是全面客观的。因此每一次和领导的沟通，都需要细致、专业。长此以外，方能赢得领导信任。
  • 例子：一次是刚来蚂蚁没多久，参与HW时协作各方解决风险时有几次和其它安全域的领导交互。后来我们一个参与晋升P8的同学去答辩，那个领导刚好是评委，他为参与晋升的同学，我为什么没来参与晋升？
  • 例子：另外一次是作为我直属领导的备份，有过少量几次给集团领导汇报和交流。后来支付宝寻找CISO人选，我就被集团多个领导推荐过来。所有人都觉得我和集团领导关系好，殊不知我们之间就那有限的几次交流。
• 隐藏或拖延坏消息并不会让其消失。

勤总结

• 持续沉淀、总结与改进。
  • 信息可沉淀为知识
  • 听 < 阅读 < 看 < 演示 < 讨论 < 实践 < 教授给他人
  • 学会把别人的思考变成自己的
  • 能不能用简单的话去把所学习的东西介绍清楚
  • 理解了本质才能更容易去打比方
  • 获取一手知识
  • 知识点关联成知识体系
  • 自己实践中领悟出来的道理才是自己的
  • 你时间、精力、金钱投入在哪里，你未来就会成为什么样的人。我们总是高估短期能力，低谷长期能力。
  • 莫愁前路无知己，天下谁人不识君。
• 总结汇报
  • 不要报喜不报忧，敢于说真话
  • 每一次汇报是工作过程中少数几次获得他人认可的机会，需要做到最好。
  • 月报、半年/年度总结
  • 贵人：让自己变得有价值，如此才能让自己遇到更多有价值的人和事
  • 具像化
    • 重要与紧急
    • 死亡日历

表达力

讲那些你已经理解很透彻深刻的观点。

讲小故事。人们天生喜欢听故事，故事能表达很多内容，自己经历的故事也会更细节生动。故事的逻辑可以按照提出问题，再给出解决方法，也就是痛点+焦虑+解药。

结论先行，论据支撑，详细证据。

跨界比喻。痛点+跨界比喻+独特解决方案。

调动现场气氛。

• 问一个大家关心的问题。
• 融入一个笑话。比如有次演讲，在时间很赶的情况下，前面几个演讲者还是讲的非常好，我上台就用非常疑问的语气说，大家这两天都是上车睡觉，下车撒尿，每天都那么晚，前面演讲者是怎么有时间准备的那么好的？

更流畅自信的表达。

• 避免使用口头语，比如这个、那个、嗯、额、是吧、然后等。

有趣+知识+共鸣是衡量表达力的三个最重要因素。

好绩效

绩效的衡量标准是贡献。不是过程中努力用心加班付出了苦劳，不是和老板关系好，不是谁来了多久，也不是KPI数字的达成情况，而是要从更高维度回顾结果对部门甚至公司的贡献程度。对于安全团队来说，是指对控制风险的贡献。

把领导当做你的客户。在以前，我总觉得把事情做好，其它都不重要。但现实情况是，在如今的企业组织中，领导的权利和责任都很大，领导的管理范围比较大，这就导致在他有限的精力下，他会关注他视角下重要的事情，他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人，你告诉我，你是领导你如何决定？

• 解决部门（领导）的痛点问题。站在部门的视角，看看有哪些痛点问题，在这些事情上做出成绩，你所做的事情对部门的贡献决定了你的价值程度。
• 例子：在网商银行四年，由于我有安全架构师的身份，让我可以更多从部门视角看待风险和事情，继而决定资源投入那些事情上。这是四年高绩效的基础，也是能得到领导的信任的前提。

绩效的本质是对高贡献者肯定以及对低贡献者警示。无论是否存在361的强制比例，公司基本上遵从物竞天择，优秀的人拿更好的奖励，不优秀的人需要被淘汰。往往会形成强者恒强的良性循环。绝不能吃大锅饭、不能让明显长期跟不上队伍的人留在队伍。

奖金受多方因素影响。在个人绩效优秀的前提下，好绩效排序、价值观与潜力、层级平均工作、部门绩效、公司业绩都会对最终奖金产生影响。

快晋升

行业增长放缓与个人晋升诉求之间的矛盾。互联网行业增长放缓。整个互联网2.0高速红利期已完全逝去，已进入存量竞争阶段，再也不是以前那种随便开拓一个方向就能赚的盆满钵满。金融繁荣的前车之鉴。美国川普和拜登之间的矛盾，本质上因为过去几十年美国的货币宽松政策下，资产收益远高于劳动收益，导致贫富差距加剧。叠加制造业外迁，经济从工业转向虚拟行业，特别是信息服务和金融业，导致结构性和地域性的贫富差距加剧，最后产生无法融合的大割裂和阶级对立，最后造成社会和政治动荡。深化金融行业的改革短期内进一步加剧压力。在共同富裕的背景下，在金融行业实行包括去杠杆、资本充足率、利率市场化、外资准入等措施。金融行业企业的竞争加剧、利润收缩，虽然长期来看能够有更好的市场透明度和效率的提升，有助于防范系统性金融风险，维护金融体系的稳定。之前各大的金融企业被爆出员工高薪情况，也在逐步被改变，所以近期出现中金等金融企业大幅降薪、平安银行裁撤上海分部等事件。互联网早期的晋升制度已不再适用。那这和晋升的关系是什么呢？国内多数互联网公司都是从曾经那段互联网高速红利期，对于的组织制度都是在那个时间配套建设的。如今进入存量竞争阶段，这套组织制度已不再适应当前的业务发展。每个员工在工作几年后，都会有晋升诉求。互联网企业中得到认可的两条主要路径是好绩效与晋升。晋升是一个统一的标准，它要求你有与下一层级对应的能力和结果，对于高层级的还需要有对应的岗位。比如你是一个P7，你所管理的团队和业务需要符合一个P8的要求，才有晋升的可能，这也是为什么P7升P8很难的原因之一。在业务高速增长的时候，会从上到下得到快速晋升。比如某个业务团队技术负责人原本是P9，后来该业务迎来爆发发展，随着业务规模与增速的提升，该负责人就会晋升P10，这样就会创造出很多P9/8/7/6的岗位来承载需要晋升的人，对应他的所有下属都有可能扩充人员，也会晋升到下一层级。但当前这样爆发的业务已经非常少了，大部分业务都在维持存量阶段。业务如果没有太大增长，就不会有大量人员晋升。但大部分员工都还是有晋升诉求的，这时候就会出现内卷，创造拆分业务、新岗位、新项目、新口径，来增加更多岗位。所有人的绩效都很好，可公司的业务增速还是很缓慢，所有人的目标都完成了，公司的目标没完成。进入机会有限、资源有限，而且已经不再是努力就一定能晋升，这就会导致员工体感上的不适和情绪，但这些情绪还没法在部门内释放掉（这里会涉及另外一个问题，管理者权力过大）。

**个人和公司不一致的晋升目标。对于公司来说，晋升是为了给公司未来选拔人才，是为了建设完善公司人才梯队，是为了选合适的人成事。**公司关于晋升做的所有事情都围绕这个目标出发，一定不是为了让个人更加容易晋升而设定的。对于个人来说，晋升是为了认可、更好的薪资待遇、更大的权力与团队。更显著的认可：晋升成功代表公司对自己的认可，晋升的层级就像是毕业时的学历，不需要去给人解释，在公司内部甚至外部都能得到对应的认可。更高的薪资以及薪资上限：每个层级有一个大致的薪资区间，晋升成功对应更高的薪资上限，未来每年好绩效的前提下不会被所在层级薪资区间所限制住。更大的权力：比如绩效决定权、薪资调整权、奖金分配权、招聘终面权限、某些权限无需申请。更高的福利：更多的假期、更高的差旅标准等等。更高的岗位和更大的责任：往往层级和岗位是两回事，但一般更高的层级对应更高的岗位。意味着需要承担更大的责任和团队，也拥有更高的话语权、决策权以及资源分配权力。拥有这些后，可以实现发展自己的专业领域。同时对外有更大的影响力，更多的人脉关系。更广的职业前景，未来跳槽更直接的认可以及涨薪。

**超预期的结果与下一层级的能力是晋升的基础条件。好结果和你的关联性。**和传统认知不一致的点在于，并不是拿到好的结果就能晋升，在互联网发展早期，谁去做新业务都可能大概率拿到好的结果。但现在越来越看重好结果和你的关系，是否有体现出独特价值。**清晰的知道下一层级的能力。**对于P5来说，专业扎实能够高效做好执行者。对于P6来说，专业突出，能够独当一面。对于P7来说，专业精深，系统思考，是领域专家。对于P8来说，视野开阔，深度和广度都能很不错。对于P9来说，深度广度高度缺一不可，要有无中生有的能力。对于8、9来说，核心的前提是岗位与层级的匹配程度。同样，拥有下一层级的能力并不意味着可以晋升，得同时拿到超出预期的结果。**晋升的理想状态是水到渠成。**晋升应该是水到渠成，是令人信服、无争议、无异议的，晋升对的人是能够向团队传递正向导向。晋升应该是对过去的认可，不是奖励、人情、留人手段。是对未来的期待，是要承担更大的责任与挑战。

底层级需要有可行路径，高层级需要关注岗位的匹配度。可实现的晋升路径。主管经验更加丰富，能够预判事情能有什么样的成果。每个人是否能够晋升，应该是在主管的规划中的。应该确保每个人的事情努力后都能有晋升的可能。**你所在岗位与负责的事情是否足以支撑你前往下一层级？**对于P8及以上层级，往往会在业务没有大突破的情况下，会看与岗位的匹配程度，这条隐性规则会成为晋升的默认前提条件。岗位与层级是有对应关系的。你有见过不带人的高P吗？有，但非常非常少，在以业务发展优先的互联网企业，对于绝大部分的人来说不是一条合适的上升路径。我在独角兽企业时，从白帽子到安全负责人的晋升路径都特别顺利。自从到了大厂后，五年没有晋升，核心就在于没有下一层级的岗位。在蚂蚁集团内部，一般某个公司的安全负责人是P9的岗位，细分安全方向负责人是P8的岗位。直到转来支付宝后，一年时间就升了两级。

**往往内部晋升比招聘要更难。**晋升的路径主要有两条，外部招聘与内部晋升。招聘场往往是一到两次技术面，而且面试官层级递增。而晋升场你的评委都是技术面，而且都是高层级。招聘场往往是给自己选人，往往受急迫程度、匹配程度影响。晋升场往往是给公司选人，受这些因素影响较小。因此会出现一个有趣的现象，有些人的晋升路径是通过频繁跳槽实现。

晋升内容准备关键经验。展示核心能力，而非罗列项目。展示领导力。深入思考。强调数据度量与变化。简洁易懂。练习。

**一些晋升答辩的经验。**晋升评审是一个机制，机制就有他的运转逻辑，有逻辑就有是与非，也就有他的弊端。一切的内容都是围绕体现下一层级的能力和超预期的结果。不需要堆砌事情，晋升讲清楚最多三件极具代表该层级能力的事情即可，明确挑战难点。辅以思考，体现独特价值。项目价值，客观量化数据。横向对比。未来思考与计划。不要说不擅长总结，这意味着你对事情的了解不够清楚。提前试讲，更加自信。了解评委可能关心的问题，并提前做好准备。并不是所有评委都认识你，让评委在半小时内的演讲中无法客观了解你的能力。就像应聘一样，要辅以一些客观的背景，让对方快速了解你之前的在学校、企业与职位、结果与绩效等信息。无法一个小时客观看到所有信息：在最开始一页讲清楚你的结果。评委每天要面对大量的晋升评审，无法聚精会神的听完你的每一页。总结所有的结果在一页，并放在最前面，先记住结果，再看怎么做。晋升是你工作过程中最重要的事情之一，应当作为最高优先级事项，去投入在提名、材料准备、答辩等环节中。找到那些晋升成功的人取经，了解他们曾经的流程、问题、评委等，最好是拿到他们当时晋升的材料进行学习，这样至少能保证不会在一些常见问题上犯错。找到你的老板、高层级同事给你的材料提建议。让日常合作伙伴看到你的专业能力，部分层级晋升时需要邀请合作伙伴360环评。晋升的人选往往是能够持续做出超期预期的结果，践行公司价值观，在团队中有正向影响，同时必须还有发展潜力（很多35岁的人却少潜力）。组织是否需要；岗位是否匹配；绩效是否足够好；能力是否足够强；未来是否能承担更大职责；

**35岁还没到P8怎么办？**很多人会焦虑自己年纪大了，还没晋升到管理层。晋升到管理层后会更加焦虑。每个人的情况并不一样，我走过的路并不一定适合别人。我其实很难感同身受去讲年纪大还没晋升成功的经验，但我却清晰的知道晋升到管理层只会让你更加焦虑。原先作为二把手的时候，只需要带着大家做好事情就好。成为一号位后，才知道原来一号位替你挡了那么多事情。层级越高，人越少，标准更严格，竞争更激烈，好绩效越难拿。低层级的好绩效和高一层级的一般绩效所拿到的薪资差别不会特别大，但高层级的压力，体力、脑力、心力的付出多的可不是一点。充分强化自己最有优势的点。30几岁的正是成家立业的时候，不应该像20几岁一样拼体力般去做事情，要发现和挖掘自己独特的优势并强化它，做到万里挑一，做到行业最佳，你就可以享受它带来的红利，抵消其他的不足，甚至还有很多剩余价值。拿支付宝的安全岗位来说，你如果是公司所有安全人员中最了解支付业务的安全性，你的不可替代性就非常高，裁你的可能性就非常低。同时你能更高效的发现和处置各种风险，拿到更好的结果，更快的去晋升。**努力很重要，但机会更重要。**在以前，我会认为只要自己能力足够强，是不存在晋升不上去的情况，可现实告诉我们不是这样的。假如你在错误的时间进入团队（比如下半年，那当年至少没有好绩效，就算第二年有好绩效也有可能比不过那些连续好绩效的），跟着错误的老板（老板本身没有好的规划，所作的事情也不会更上层老板重视，他团队所获得的晋升名额也会减少），在错误的位置（你做的事情根本没发挥出你的能力），做着错误的项目（这项目可能很难出结果），就算做出花来也有可能无法晋升。虽然目前各互联网企业都没有显性年龄歧视，但无形中的潜规则是不可否认的。35岁还没有进入基层管理岗位（P8），那之后的晋升难度会更大，离职去其他互联网公司的难度也更大（既不是管理又大于35岁），公司更容易找到35岁以下能力也很强的人。因此，要抓住那些可能让你晋升到下一级的机会，这个可能会出现在有不错的新岗位、新项目等。做好随时可以离开的准备。裁员有很多种情况，有能力不足跟不上的常态淘汰，也有部门合并导致的冗余裁员，还有公司整体业务发展不行或者某个业务线不行而进行的无差别裁员。无论从哪种情况来看，我这几年被裁的概率都很低，但我从不把命运寄托在外部，更不想去赌公司不会裁我，我的方式是让自己做好随时被裁的准备。从心里上，工作十多年来，也希望能够停下来休整一段时间，去做做除了安全以外热爱的事情，比如自驾环游中国、陪陪家人过过慢节奏生活。从经济上，提前还完所有债务（多数人的债务主要是房车车子），降低日常固定支出（主要是不要买那些贵的大件，日常支出花不了什么钱），让投资理财的收益覆盖日常固定支出（做好前面后这一点真的不难）。同时由于安全岗位的特殊性，一般都会有竞业补偿，加上裁员赔偿，应该也是一笔不少的收入。做完这些后，有时候还有点期待这天的到来。

当你越优秀，你遇到贵人的几率就越大。比如我这些年遇到的职场贵人。

被裁员

做好随时可以“被裁”而又不用工作的准备。最近的《逆行人生》、《凡人歌》的剧情都是年纪大后被裁，去送外卖。身边也越来越多的人为35岁而焦虑。在这里，我并不想多谈如何做让自己不被裁或者被裁后还能轻松的找到工作，而是如何让自己做好随时可以“被裁”的同时又不用为工作发愁。原因在于企业裁员的情况有很多，可能是常态淘汰，也可能是业务调整合并，对于个人来说后者是不可控的。也有主动的情况，比如个人成就感缺失进入职场倦怠期，或者因为抑郁症、癌症等健康原因。首先在心理上，让自己有除了工作以外热爱并且能长期持续的事情，比如我一直希望能够环游世界，如果被裁就可以去圆梦了。同时要让自己能够认识到，人不一定需要工作，人生也不只是工作，钱和价值感有很多方式获得。我们工作时间也不短了，暂停一年换一种活法也让自己有另外一种可能性。所以这事情要从现在就开始准备，不用等有空了之后，现在就去探索一些有意思的事情，比如房车/床车改装、露营、徒步、自驾、摄影等等这些未来环游世界所需要用到的技能。从经济上，回顾工作这些年的支出情况，主要还是房子和车子，房子的首付、房贷和利息、装修等，这部分占比最高，因此要优先把这部分早点还清。其次是车子以及换车折损。日常控制欲望，不要买奢侈品和大额商品的前提下，真的花不了什么钱。通过投资理财来覆盖日常的消费支出，难度并不高。

被裁的一些基本知识。入职一家公司后，除非你主动离职，否则所有情况（绩效不达标/合同到期/业务调整等）下，你都将获得赔偿。赔偿额度往往是可以商量的。竞业也是可以商量的。