轉一篇同行寫的文章,看後覺得在自己身上多多少少也得到驗證。
前言
在屏幕上敲下這行改自蘇軾原詩的句子,就覺得心中突然少了點什麼,雖然不至於說是丟掉了清白,但起碼應該是少了某種良好的習慣,就象呆 慣了陰暗的房子,現在決定要走到太陽底下去。實際上我心裏也明白,寫這篇東西就等於是開始說話,從此就不再是沉默的大多數中的一員了。用電影行話來說,走 出這道門,那從此就是江湖中人了,生死由命、富貴在天。
爲什麼還是要寫這篇東西呢?仔細想來,倒不是自覺道行夠了,可以開口說話——恰 恰相反,正是認爲自己一個人在路上摸索久了,才希望能有夥伴能交流一下,這是其一。其二來源於前段時間一件小事,有個朋友畢業要找工作,是信息安全專業的 研究生,他就對安全這個行當(對於從業者而言,安全是個“行當”profession,我一直是這麼覺得的;說是“行業”industry,明顯不妥,電 信、金融纔是行業)不甚瞭然,希望能得到過來人的指導。我那時就覺得有必要把自己的心得拿出來分享一下。想當年,2001年的我新入行時,也是倍感迷茫。
既然決定開口了,那到底說什麼呢?安全行業的過去現在和未來?本人一直是幹活的,沒機會高屋建瓴來俯視、剖析,恐怕寫不來;信息安全的 前世今生?無數的專家學者及業內大牛已經闡述過,已經細緻到了某個標準、某項技術、某類產品、某個行業,一個顧問甚至都不敢談上自己“懂”這些標準技術產 品行業,更加寫不來。那最後只剩下個人的從業經歷了,這個好!既不涉及精深的領域,又儼然業內人士;藏着可以說是敝帚自珍,拿出來可以說是個人“愚見”、 “所得”,真是居家旅遊兩相宜。正所謂,“演員圈裏說相聲,相聲界裏做演員”。
三家公司,一個六年
2001年,又站在職業選擇的十字路口。那 時候,我已經畢業兩年多了,做過開發、銷售、技術支持,一直在IT圈裏打轉。當真的決定要選擇一個行當準備深入下去的時候,感到的除了迷惘,更多是惶恐: 不知道自己能做什麼、這個世界需要什麼,甚至不清楚自己喜歡什麼。七場面試,甲乙丙丁,結果鬼使神差進了我的第一家安全公司。
公司創建 於1999年,是國內最早一批進入安全行業的公司,當時挺知名的。掛靠在科研機構下面,有院士的名頭,長長的產品線也完全是自己的知識產權,包括FW、 ***、IDS、Scanner、IAM等。我做的是技術支持,當然售前、售後不分。最常見的工作是在powerpoint上畫拓撲圖,在適當的位置放進 公司的主要產品……各種產品……所有產品,第二天去給客戶比較產品技術參數、兼介紹我們的方案(之所以說“兼”,的確是因爲防火牆的部署方式就那麼幾種, 再挖空心思也沒法創新,也就談不上什麼方案了),最後插上網線將FW/IDS採用透明方式部署,項目就做完了。偶爾也幫客戶用sniffer抓包、分析 FW/IDS日誌或進入操作系統檢查服務或安全配置,出份看起來有一定技術含量的分析報告。
我不知道別人的安全行業初始經歷如何,反正 那時候這些對我意味着安全的全部:網絡、操作系統、******。我們常掛在口頭的是網絡要過CCNP、操作系統要會Unix、產品要熟悉 checkpoint、***要……後來才知道,正在當時,國內第一批安全界大牛們已經在摸索着實施企業級的BS7799諮詢項目,而我直到四年後纔有機會 這麼做(一直有個先入之見:只有完整做過或維護過企業級的7799項目,纔算對一個組織的安全管理有較深的認識),追憶前輩風采,真是遙遙不及。
02 年已經開始熱安全服務了,那時我儘管讀過7799,看過13335,但還遠沒學會用資產、價值、風險、弱點、威脅、影響和可能性這些好的字眼去出 proposal和報告。正如上文所言,我最希望做的是讓客戶明白我們團隊裏有幾個會AIX/Solaris、有幾個***高手。至於在安全評估方案書中學 會引入體系與方法論,那已是2002底03年初的事了。到那時,作爲後知後覺者,我才知道有這麼一種不用深入學習網絡安全技術和操作系統,也可以讓客戶覺 得你很專業的方法,真是大喜若驚。也就在那時擡頭一看,才發現業界(各種會議上、論壇裏、客戶處)安全標準、法規、體系的討論已經非常熱鬧了,如果不能說 出幾個,完全算不上安全行當裏的人。於是有一陣子,沒日沒夜到網上去搜資料,直到把所有聽說過的名詞全在硬盤中建立了folder、所有英文的中文的網站 收藏進favorites才鬆了口氣。這份名單很長,大家耳熟目詳就包括7799/CC/Cobit/ITIL&ITSM/NIST-SP800 /4360/Octave/13335/7498-2/IATF/BCP/DRP……在這整個狂熱的氛圍中,英文閱讀是必須的,去罈子裏看別人討論也是必 須的,如果有某個大牛能從自己項目經驗出發談點體會,那絕對是論壇上追貼無數、被人頂禮膜拜……至於我的親身實踐,直到第二家安全公司纔有機會,具體情況 後文再說。
作爲標準熱的後遺症,一直有件小事讓我印象深刻。一次和業內某個大牛(國內最早一批***之一)說到一個什麼問題,我就提到了 上述大家都應該(我以爲)很“溜”的標準中的一個,他馬上停下來,很認真的問了一下,你剛纔提到的xx是什麼?這件事再次偏執化了我的一個念頭:可能真的 只有無法在某個領域(安全作爲新的行業,這樣的領域數不勝數)深入下去的人,纔會這樣拿標準裏的名詞裝飾自己,就像帽子底下實在沒有什麼可以拿出來的人, 纔會去和別人比帽子的漂亮程度。卿本佳人,奈何作賊?到底有多少象我這樣當年也曾經真正喜歡安全裏的某個領域的從業者,最後茫然四顧,只好去做顧問?所謂 七分自作,三分天定,估計就是這樣吧。正因爲如此,我一直對業界那些默默深入做某件事的前輩或同仁保持尊敬,而自己選擇的顧問並不在此列(當然,能成爲一 個好的顧問,也是件令人愉悅的事)。
也正是差不多時候,安全集成開始成爲熱點。對於安全廠商而言,初期的安全集成與安全產品方案的唯一 區別是拓撲圖上圖標更密集些:自己的再加上別人的(當然後期的安全集成已經是安全產品+安全服務+安全體系的混合體了,不僅國內公司做,IBM、HP也 做)。那時我們的口號是“只要最全”——考慮得全面總是不會錯的,起碼顯得專業啊(如果你能在一個普通的企業網絡安全方案中分析出四層架構安全、百兆與千 兆防火牆配合起來共有八種部署方式並分別比較優劣、一個廣域網應用服務器前考慮負載均衡產品再加上加速器、數據庫服務器安全考慮部署tripwire再加 網絡審計,怎麼說也不算不懂安全吧),畢竟,最終選擇權還在用戶嘛。
04年是國內安全企業風生水起的一年,或強者恆強或後來居上。我 在第一家公司已經呆了差不多三年時間,在我睜眼看向業界後(更早一些時候已經開始),終於決定離開,去了我的第二家安全公司,正是後來趙糧博士稱之爲“戰 國七雄”中的一個。
如果把1999年以大量安全企業出現爲標誌稱作安全元年(這是我的個人看法,計世報把27號文件發佈的2003年稱 作信息安全元年),經過5年篳路藍縷的開拓(還有這之前國家幾十年的積累),在04年,國內業界精英(尤其是安全企業內的精英)已經成長起來,戰國七雄的 確在某些方面能代表國內安全企業,除了安全產品方面的市場佔有率、安全技術的深入外,其中一個很重要的方面就是這些公司基本都已經發展、總結出了自己的信 息安全管理方法論或稱之爲安全體系,在業界中的具體表現就是這些公司在電信、金融、政府行業都成功實施了多個較大的安全諮詢項目(在更早一些的時候他們已 經開始在這些行業試驗)。
我進的正是公司安全服務部門,主要業務是安全諮詢與安全評估,真正開始我的顧問生涯。
2004 年業界的安全評估(我所看到的)毫無疑問已經和我在02年或更前一些時候做的技術掃描進步多了——甚至完全不在一個層次,不僅橫向更廣(各大公司都有了自 己較成熟的風險評估方法論)、縱向也更深(人工安全審計有更完善的工具、***更有針對性、技術評估已經有團隊在開始原創而不是總從國外論壇copy漏洞及 解決方案、應用安全評估也有更好的解決方案)。但這些還不是我要說的重點,安全諮詢纔是我投入更多注意力的地方。
由於國內市場(客戶) 的天然特點(且待後文再分析),安全解決方案必然是針對信息系統(IS)或IT的,安全諮詢的主要成果安全管理體系也無法例外。具體是什麼樣子呢?我所看 到的通常做法是,基於13335(或其它標準)再經各個公司逐步完善的風險分析方法、強調設備/軟件/系統/應用/數據等資產並進行風險分析、利用 IATF(或其它標準)框架落實IT方面的技術解決方案、通過專業安全服務實現運作層面的安全、最後按照7799安全策略體系編寫策略文檔以落實安全管 理。先不談具體項目結果客戶滿意度如何(這個問題個人覺得責任不全在諮詢方,容後分析),也不談因爲脫不開IT範疇體系運行效果如何,應該說,這樣的解決 方案還是比較完善的,尤其是針對國內各行業或企業當時的公司治理環境和管理現狀。
在第二家公司呆了一年多,去了Big 5(一般諮詢稱爲big 5,審計稱爲big 4),主要涉及7799諮詢、SOx驅動的內部控制、SAS70項目等,還是做顧問。記得當時面試的經理對我的信息安全經驗全部focus在IT方面頗有 微辭,那時我已經對7799有一定理解,雖然不至於覺得他的想法不對,但更多的是在肚子裏笑他對國內安全行業不瞭解:國內企業除了有限的幾個(十幾個?) 大牛外,完整、深入地實施過企業級的7799項目的又有多少?(我那時還想不到,企業級的安全相關項目除了ISMS、或者基於7799裁剪的ISMS,還 有很多其它的內容)當時出現這個想法自然而然,就象在這塊土壤上自然就會長出這種顏色的花一樣。那時,真的完全想不到,他有這樣的concern更是自然 而然,五大們對信息安全的理解和我們國內公司完全不是一回事……
國內安全諮詢與五大們
說到五大們眼中的“信息安全”——實際上他們已經不是信息安全的概念了(解釋一下, 因爲信息安全諮詢、IT控制、內部審計等業務各諮詢公司和審計公司都會做,所以不再細分big 5,big 4,統一以五大名之;除了統稱的五大外,IBM、Capgemini、AtosOrigin、Protiviti等等諮詢公司也有對應的業務,所以稱爲五 大們;另外,我自己僅在五大的一家呆過這麼短時間、五大中的其它公司也只是通過朋友瞭解,還遠遠稱不上熟悉。所以,這點看法完全只是個人的一點心得,請大 家不吝指教),我覺得應該先給大家拿兩張簡圖出來。
圖一 top-down 與down-top
首先要說明一點,這兩張圖只是我想到這 些方面順手畫下來便於自己理解的,邏輯或架構上很可能不夠嚴謹,大家看個意思,方家請勿較真。
如上所示,圖一自下向上(down- top)描述的剛好是我從進入安全行當從業以來所從事的安全工作經歷。首先在最下端,focus在安全產品/ 安全技術/安全服務方面,內容基本上是傳統的狹義“安全”,這個時候的視野只侷限在IT的一部分;再往上一步,幫客戶實施從IATF框架/13335標準 /等級化保護等引領出來的本土化安全管理體系,就屬於IT安全範疇了,視野開始開闊到整個組織的IT ;再往上一步,幫助客戶在整個組織內實施7799項目,這個時候的視野無疑已經到企業業務這個層面了;再往上,客戶需要我們做的已不僅僅是解決與業務緊密 相關的信息安全問題,而是企業層面的技術風險(相比較於企業的商業風險而名之);最後,技術風險與商業風險整體構成了企業的風險管理框架(ERM, Enterprise Risk Management)。(注:整體看起來,這就是我初步理解的風險管理的概念,或許Deloitte將對應的業務部門稱爲ERS(Enterprise Risk Service),就是這個原因吧。另外,從ERM出發的另一個分支:商業風險,就涉及到商業環境,本文不涉及。圖中COSO出發的另外一個分支,就是內 部控制了,IT只是其中個內容而已,GCC/PLC/CLC是五大們的業務之一。)
這個down-top的過程,在我個人的體會中,就 完全是從信息安全實踐中最小的一塊地方逐漸向周邊摸索,一步步看到更大的範圍,最終看到top view——或許,這可能也是我們國內安全諮詢所走過的路。
如果說國內安全諮詢與五大們的區別,或許不應該談區別——說他們做的根本就 不是一件事情更合適——回想起來,這也是爲什麼當時我的面試經理很自然對我產生concern的原因吧。
1) top-down高於down-top
作爲方法本身,兩者沒有優劣,但應用於信息安全管理這一領域,有高下之分。(當然,這完全是從安 全諮詢的角度來看,至於安全產品、安全技術等等其它安全專業領域中的重要分支,國內同仁一直在令人尊敬地奮力前行,與國外有多大區別,是我不瞭解的)。
五 大們從一開始,他們就是top-down 的,他們的解決方案出發點就在於企業風險管理,因爲企業的風險(不是信息系統的風險),所以內部控制,所以IT控制,所以信息安全,自然而然,順理成章。 國內的安全諮詢方法論,是一步步從安全產品實施、通過一路拾缺補遺發展總結出來的,從業的人員也大多有過從防火牆實施到安全服務到安全集成到安全諮詢的經 歷,可惜由於客戶環境(客戶需求?)的限制,至今也沒到企業風險分析這個層面。
2) 好的客戶決定好的解決方案
好的 客戶決定好的解決方案,很多人或許會覺得這個命題很彆扭:通常應該是有了好的解決方案纔會有好的客戶,要求客戶去適合自己的解決方案,無疑緣木求魚。實際 上,我關注的是另外一個方面,或許換個比喻比較容易理解:好的土壤開出好的花,客戶就是市場,就是環境與土壤,解決方案就是花。
正如上 文提到,國內的安全諮詢發展正是紮根於國內客戶與市場,吸收國外先進的管理思想並進行裁剪、創新而來,7799、Cobit、ITIL、IATF、 COSO無一不是國外土壤開出來的鮮花,爲什麼同樣的東西國內公司實施起來就沒有五大們有信心呢?我覺得最大的問題在於五大們有很好的客戶,而國內諮詢業 沒有。
或許很多人認爲我這種事後聰明式的說法毫無建設意義,最後甚至可能陷於“雞生蛋、蛋生雞” 的死循環中。但根據我的個人經歷,的確有這個體會,五大們的客戶都是適合他們解決方案的好客戶,要麼是外企、要麼是SOx驅動的各行業內大公司,公司的治 理環境、管理文化及控制要求與產生7799/Cobit/ITIL/IATF/COSO這些“最佳實踐”的環境大體一致或者被之浸墨已久(國內的大行業是 不一致,但你一旦想要去美國上市,在他們的SOx制高點要求下,反而最容易compliance),相同環境下結出的花籽自然在類似環境下開出美麗的鮮 花。(另外,客戶好也不僅僅體現在這些方面。對於諮詢實施人員而言,在這樣的環境做deliver,心裏踏實,覺得自己的確是在爲客戶創造value:無 論是幫客戶維護7799證書、提高組織安全管理水平,還是建設安全管理體系、幫助企業遵守SOx合規性。)對國內安全諮詢來說,到廣大的國內市場去實施解 決方案,總是自覺不自覺忘了所有這些最佳實踐,那只是別人的最佳實踐。
比如,實施7799或COSO內部控制框架,國內的政府、金融、 電信行業可能拿“人”這個要素進行風險評估嗎?與人相關的一些流程實施得下去嗎? “財經“雜誌有篇報道《中國在美上市企業朝向薩班斯法案達標衝刺的目標與現實》有這麼一個有趣內容:一位在某國企負責薩班斯法案合規的人士,就是否需要設 立反舞弊職能部門提出異議:“我們已經有紀委了。”
如果從這方面出發,換個角度,國內安全諮詢在五大們更加水土不服的國內市場應該擁有 更大的空間,的確如此——只要他們能將所有這些最佳實踐真正變成我們自己的最佳實踐。根據我個人呆過的安全公司經歷及與朋友們的交流所得,國內公司在這些 方面一直有做得很紮實深入的團隊和個人,包括這兩年國家頻頻發佈的一些標準、指南,也是安全企業與國家專家隊伍共同努力的結果,其中等級化保護實施指南就 是其一。對這部分,我對標準本身倒沒有什麼評論,不過從實施角度(我有兩個試點項目經驗)來說,還是有兩處不甚明瞭,順便提出來和大家探討。第一,信息系 統的安全保護要求與安全實現要求還是“兩張皮”,想要完全match,尚需時日。簡單說,某個信息系統被評爲四級,對應的安全保護要求也就是四級(達到四 級系統保護目標),落實下來的安全實現要求(安全措施)也應該是四級。先不說,這兩個要求的等級指標級差如何定義、指標又什麼時候出來?即使作爲國家標準 發佈了,不同地方的政府組織差異巨大,安全實現要求又如何裁剪?第二,對象是信息系統。標準及指南所涵蓋的資產不包括人員、文件(這種狀況的確比較適合政 府,或垂直管理行業這種“全國可看成一個組織、各級政府是整個組織的一個部門”單位,人員的風險通過政府組織另行解決,文件風險通過政府保密制度解決), 從資產風險分析角度,這種狀況不大適合企業這種組織,總不成讓企業做了等級化後,再另設一套去管人與文件的安全吧?一旦這個由國信辦發起的適合政府機構的 標準(包括指南)由公安部作爲國家標準發佈,將會如何,值得保持關注。
所謂職業規劃
到現在我還記得剛來公司時,老闆對我說的一句話。所謂職業規劃,不是規劃出來的,而是做出來 的。回頭來體會這句話,真是讓人感慨良多,起碼我自己這幾年的路就不算是規劃出來的,真是走一步做一步,溯水而行,尤感吃力。有時候也不免在想,如果我當 年畢業就能去五大(可惜過去不容假設,人生也沒有如果……),那走的又會是什麼樣的路呢?或者說,那些畢業就直接在五大薰陶的幸運兒,他們幾年做下來,對 安全又有怎樣的認識呢?
從產品、集成、服務,做到諮詢,先技術後顧問。不同的是諮詢與技術比較起來,挑戰更大、收穫也更多(或許是因爲 一直沒在技術中深入下去的原因,有些同仁可能感覺恰恰相反)。有古言道“自古美人如英雄,不許人間見白頭”,而顧問恰恰是白頭的好——可見,做顧問,是沒 辦法成爲英雄的,美女顧問,那更是傳說中的存在了。
說到挑戰,和任何管理諮詢一樣,安全顧問也需要先考慮自己的角色定位。在任何從企業 風險層面出發的安全項目中,客戶希望的理想顧問當然是在行業經驗業務分析、安全管理兩方面都能有深入理解併爲他們帶去最佳實踐的人,但實際上由於安全行業 的發展現狀,個人認爲能做好後者、在前者上掌握方法的顧問就是一個好的顧問。安全管理(不是僅focus在IT)方面有豐富經驗與深入理解來不得半點機 巧,必然要在多個領域積累實施經驗;在業務分析、行業經驗掌握方面由於對顧問的高要求實際上不可能(除非真的象臺灣那樣,讓五十多歲的老頭帶隊做諮詢), 反而強調方法更具可操作性。我的感受在於“一少,三多”,即多溝通、少說、多聽、多歸納。無論是管理體系還是內部控制體系建設,在項目中多計劃些和組織的 各個層面人員溝通的活動永遠不會錯,溝通時少說多聽;至於多歸納,我覺得要點是在缺乏行業經驗的狀況下,需要充分掌握安全管理在不同行業內的幾個基本原 則,將聽到的任何收穫或客戶的challenge歸納入這幾個基本原則中,結構化思考,這樣無論在多高的level、對行業管理理解多深的客戶面前總能巍 然不動(我想應該不會碰到一個對在業務與安全管理兩方面都有很深理解的人吧,真有這樣的人,那你們應該更容易達成共識了)。
說到收穫, 個人覺得得源於顧問的超然角色。他能多層次、多角度地深入到組織的各個function,能匯聚最真實的需求(大部分的時候比客戶自己更瞭解自己——錯位 理解——比如他可能比IT部門更瞭解整個公司的安全需求)、也能聽到最精闢的見解(組織中問題的解決方案的最佳實踐往往來源組織內部人員)。幾個不同行業 不同類型項目做下來,作爲中心點,一個顧問那兒該集粹了多少真知灼見!如果他同時是一個善於總結、結構化思考的人,他的value的確會越來越大。說件真 實的體會,做完項目後有段時間參與公司一些安全產品選型,十幾家廠商輪流給我們做presentation,其中不乏象Symantec、MS這樣的頂尖 公司,換個角色坐在下面聽別人講,真是感觸頗多。十幾個演講者竟然只有兩個明白用戶需要什麼、坐在下面的人想聽什麼,大部分人表現平平,部分技術人員的講 解更是達到慘不卒聽的地步……當時就想,幾年前我在給別人講密密麻麻的拓撲圖時,估計就被聽衆歸爲最後一類吧。
最後還是回到職業規劃中 來。從角色中抽離出來,作爲一個有些經驗的從業者,我覺得對於新入者而言,顧問的世界還是很狹窄的,遠遠不是唯一的選擇也可能不是最好的選擇。在安全這個 行當,雖然國內的確有個“圈子”在大聲說話,但也還有衆多的人沒出聲(或者說過一段後又重新選擇了沉默),而在一些專門的領域深入進去了,甚至已經愈行愈 遠、愈行愈好。這樣的人才是推動國內安全行業前進的力量,他們應該值得我們尊敬。
一位業界同仁在網上有句話,“有才而性緩定屬大才,有 智而氣和斯爲大智”,誠哉斯言!性緩者定,其心不擾,則能生天下萬物也。安全界的一步步推陳出新,必然靠這些人。能不能性緩而定,把自己的才真正用起來, 是決定自己職業方向的最重要準則。耐不住寂寞的,向左走;耐得住寂寞的,向右走。至於最終會走到哪裏,那得看上帝的了。
實際上,據我了 解,從1999年或之前開始從業的那批人(基本上都是網上著名的大牛)早已各安其身。或者深入到安全的某個領域在國內一些重要企業作爲頂樑柱,或者重新回 歸學術化研究“入朝”成爲國家級專家,或者“在野”創自己的公司。甚至更後一批,包括我的同事們,也開始在安全行業成爲骨幹,或者在五大們裏默默前行,或 者繼續在國內諮詢界內完善自己的方法論,或者在做真正的安全評估,或者去做了甲方力圖改變我們的土壤,或者投入到新的安全領域中去開創新天地。無論具體做 什麼,因爲他們曾經和現在的努力,對於後來者而言,他們總是榜樣。
圖二 殊途同歸?
三年技術,三年顧問。下一站,又會到哪裏?說實話,現在心裏也沒 底,這個時候還真的慶幸有“職業不是規劃出來”這麼個道理,只能跟自己說:just do it。或許正如上圖二(個人的閒來塗鴉),做安全諮詢的人還真的很容易沿着將“安全的外延”擴大這條路走下去,先做IT的安全,再做企業安全,直至擴展到 企業內部風險控制,無論在甲方還是乙方,或許最終將與IT管理殊途同歸(另外一條路也可以從IT的安全出發,再涉及IT的其它方面,不斷擴大IT的內涵, 最終落實到全面的內部控制)。按照當前許多企業對cio的定位,或許那些沒法創業、也無法在某個領域深入下去創新的顧問們,不用別人來搶飯碗,幾年之 後,真的只能去做CIO了。
後記
終 於寫完,不管好壞,還是鬆了口氣,就算全世界的***一同***,也無法將它化爲無形了。剛開始時藉着一點衝動,思緒紛踏而至,一時還真以爲自己有很多感受。 寫着寫着,發現下筆越來越弱,幾欲中斷。最後撐着把它寫完的動力,竟然來源於多年寫report的習慣,真不知道該說什麼好了。很多想法都是第一次拿出 來,視野所限,肯定有錯陋之處,希望大家能在交流中指正。
古詩有云,“人生天地間,或如遠行客”;李白說,“夫天地者,萬物之逆旅也; 光陰者,百代之過客也”;到了蘇軾這裏更加灑脫:“人生如逆旅,我亦是行人”。逆旅是客舍的意思,對於顧問來說,賓館是客舍,有時候公司何嘗不是?——這 話有點悲觀,但“行”字,畢竟有昂揚之意。幾年來在公司與客戶之間奔走,是勞碌,也是前行,用“六年如逆旅,我亦是行人”作爲本文名字,是希望能和大家共 勉。