1 安全組織架構

在甲方的安全工作中，重點自然是在企業(yè)的安全建設上，但是為了能持續(xù)不斷的輸出，安全隊伍的建設變成了不可或缺的一環(huán)。成員的能力決定著企業(yè)安全的高度，合理的安全隊伍配置是整個建設之路上的引擎。

1.1 理想中團隊

按照角色與工作職責，安全相關的崗位可細分為：CSO、安全架構、安全審計、安全測試、代碼審計、安全開發(fā)、安全運維、安全運營、安全風控等方向，比較理想的安全團隊并不是要求設置以上全部崗位，而是在開展相關工作時需要涉及這些專業(yè)技能。根據(jù)公司的大小差異，各個崗位的名稱與headcount也都不太一樣。

Clipboard Image.png

1.2 現(xiàn)實版團隊

“理想很豐滿，現(xiàn)實很骨感”，這句話尤其請乙方安全工程師注意。為什么是乙方安全工程師呢？因為很多人以后都希望轉(zhuǎn)到甲方。雖然平時有接觸不少客戶，但若不是項目負責人或不是參與安全評估類的項目，很少清楚知道客戶所處環(huán)境。很多甲方公司或許并沒有專職的安全人員，或許僅有臨時工，此類場景常常出現(xiàn)在傳統(tǒng)企業(yè)、非互聯(lián)網(wǎng)過渡到互聯(lián)網(wǎng)的企業(yè)中，所以在準備跳槽時對企業(yè)的選擇需要謹慎。

作為掌舵者的CSO重要性不言而喻，由于具備實戰(zhàn)能力與經(jīng)驗兼?zhèn)涞腃SO較少，從成本與安全需求的迫切性出發(fā)，不少企業(yè)在該職位上也沒有留下足夠的薪金，也導致了目前比較普遍的現(xiàn)象：

術業(yè)有專攻，即使很強大的leader在遇到一些安全項目的決策時，也極有可能持保守態(tài)度，在沒把握情況下與其犯錯不如不做。相比專業(yè)的安全人員，這無疑在一定程度上限制了企業(yè)安全的發(fā)展。此外，由于對安全領域的不熟悉，在與上級領導溝通、對安全項目上的投入等方面表現(xiàn)不足，往往也會成為制約企業(yè)安全建設的因素。

還有一種較為常見的場景，公司中并沒有設置CSO這一職位，該職務一般由安全部經(jīng)理甚至有發(fā)展?jié)摿Φ陌踩こ處煋巍Ｋ^的潛力簡要概括為：

? 在安全圈子內(nèi)小有名氣；

? 具備跨組織溝通協(xié)調(diào)能力；

? 具備開闊的安全視野與思路；

? 具備與領導同一溝通level的能力。

Clipboard Image.png

1.3 安全架構組

組成：CTO、CSO、架構師、安全架構師、中間件等各部門領導

職能：重大安全架構決策，安全相關規(guī)章制度評審。

1.4 安全接口人

成員：各業(yè)務部門負責人（可設置AB崗）

職責：負責所在部門/業(yè)務線安全問題的對接、溝通、跟蹤。

2 安全架構規(guī)劃

安全架構規(guī)劃是一個非常復雜與龐大的話題，由于水平有限以下觀點僅供參考。在一些對外交流中，有不少人會參照書本上或其他公司分享的案例，從標準體系(27001&等級保護等)—>具體工作的視角進行規(guī)劃。但作為安全建設從頭開始的體驗者，深刻感受其可行性、見效率與不足之處。

2.1 安全風險發(fā)掘

在實習的時候，記得當時的部門領導(上交大網(wǎng)絡安全學院老師)說過：信息安全從業(yè)者就好比是醫(yī)生，企業(yè)有問題需要我們?nèi)コ鲈\，首先就是要根據(jù)病癥進行相關檢查分析才能對癥下藥。那么甲方安全工程師做安全就是醫(yī)生給自己看病，需要不斷的搜集異常癥狀并進行分析判斷是否有問題，即安全風險發(fā)掘。以下是對常見企業(yè)安全風險的簡單梳理：

Clipboard Image.png

要做到實用性，往往要求熟悉公司網(wǎng)絡環(huán)境與業(yè)務形態(tài)，此外還需要一定的嗅覺性，追究其根源便是：意識、經(jīng)驗與視野。

2.2 外部經(jīng)驗交流

在一次企業(yè)安全沙龍中，看到了蘑菇街的安全項目藍圖，并從中得以借鑒。通過前期安全風險挖掘的積累，信息安全組內(nèi)進行頭腦風暴并對相關項目進行梳理，把相同實現(xiàn)效果的項目整合成一大類，再把各個大類聚合在一起，便有了初始的安全架構規(guī)劃圖：

Clipboard Image.png

安全是動態(tài)的、持續(xù)性的，需要保持一顆善于發(fā)現(xiàn)問題、思考總結的心，不斷完善企業(yè)安全的整體畫像，不斷優(yōu)化相關環(huán)節(jié)的同時也進行項目的推進。

3 安全工作推動

3.1 領導支持

安全工作的推動是一個自上而下的過程，在建設的伊始便是與上層領導溝通，并爭取獲得必要的支持，具體理由可參照【企業(yè)安全：企業(yè)安全建設需求】進行分析與匯報。此外如果是項目負責人，應該自己先竭盡所能的去推動，實在有困難時邀請領導出面參與會議或回復郵件，也是提升工作效率的一大利器。

3.2 安全運營

在企業(yè)安全建設初期，除了救火工作外還建議開展體系化的、豐富的安全意識培訓。人是安全的知名薄弱環(huán)節(jié)，因為員工的安全意識參差不齊，所以需要進行多個渠道（郵件、即時通訊工作群）、多種方式（海報、易拉寶、動畫片、暴漫）、多種內(nèi)容（通用安全意識、最新安全威脅、行業(yè)安全情況）等方面的長期”洗腦”。這里把安全意識的培訓推廣工作加入到了安全運營的一個環(huán)節(jié)，除此之外安全方案的不斷優(yōu)化、漏掃插件的更新、waf規(guī)則的即時添加調(diào)整、SRC的推廣都應該屬于運營范疇。

3.3 做事思路

根據(jù)已經(jīng)參與或負責的安全項目發(fā)現(xiàn)，在甲方做事情很講究做事的思路。以下簡要的記錄了深有體會的幾個小點：

1）城市包圍農(nóng)村，結合多個部門一起推動

在推動專項安全項目時，會出現(xiàn)不好對付的部門。這時候不能硬碰硬，從存在安全問題的部門做起，其次是支持安全工作的部門，接著再按照實現(xiàn)難易程度與花銷依次排序，把最難推動的部門放最后。推動過程中，不斷及時匯報項目進展情況，比如本周推動90%的部門完成安全改造，剩余10%的部門尚未整改。迫于壓力，一般情況下10%左右的部門也會盡快加入進來。

2）鼓勵+獎勵 > 懲罰

面對業(yè)務部門時采用鼓勵與獎勵的方法會好過懲罰。不少人有時會產(chǎn)生一種錯覺，憑借自己的技術強力把業(yè)務方懟回去并暗自高興，然而我的想法確是和業(yè)務方友好相處甚至做朋友，安全的出現(xiàn)是為了業(yè)務變得更加安全更好，而不是阻止業(yè)務前進的步伐，當高危漏洞降級至沒法再降比如低危時，可以注明情況并通過安全測試。不過需要補充的是，禮讓、文明合作是有尺度的，基本的原則不能丟，某些情況下不能輕易妥協(xié)。

3）主動出擊引導業(yè)務進入安全節(jié)奏

一般的甲方可能只有一個或幾個人懂安全，無論是開發(fā)大神還是運維大神都不會太懂，所以信息安全組的成員更應該主動的去找相關人員溝通，交流遇到的安全問題以及結合實際業(yè)務場景提出合理的安全建議，將安全早點帶入到各個業(yè)務場景中。在日常的工作中，效率值的排名一般是：直接找人當面溝通 > 電話溝通 > 即時通訊工具溝通 > 郵件溝通，當然也可以幾種相結合，主動想辦法提升工作效率。