1 安全組織架構(gòu)
在甲方的安全工作中,重點自然是在企業(yè)的安全建設(shè)上绞绒,但是為了能持續(xù)不斷的輸出砸泛,安全隊伍的建設(shè)變成了不可或缺的一環(huán)弯蚜。成員的能力決定著企業(yè)安全的高度孔轴,合理的安全隊伍配置是整個建設(shè)之路上的引擎。
1.1 理想中團(tuán)隊
按照角色與工作職責(zé)碎捺,安全相關(guān)的崗位可細(xì)分為:CSO路鹰、安全架構(gòu)、安全審計收厨、安全測試晋柱、代碼審計、安全開發(fā)诵叁、安全運維雁竞、安全運營、安全風(fēng)控等方向拧额,比較理想的安全團(tuán)隊并不是要求設(shè)置以上全部崗位碑诉,而是在開展相關(guān)工作時需要涉及這些專業(yè)技能。根據(jù)公司的大小差異势腮,各個崗位的名稱與headcount也都不太一樣联贩。
1.2 現(xiàn)實版團(tuán)隊
“理想很豐滿,現(xiàn)實很骨感”捎拯,這句話尤其請乙方安全工程師注意。為什么是乙方安全工程師呢?因為很多人以后都希望轉(zhuǎn)到甲方署照。雖然平時有接觸不少客戶祸泪,但若不是項目負(fù)責(zé)人或不是參與安全評估類的項目,很少清楚知道客戶所處環(huán)境建芙。很多甲方公司或許并沒有專職的安全人員没隘,或許僅有臨時工,此類場景常常出現(xiàn)在傳統(tǒng)企業(yè)禁荸、非互聯(lián)網(wǎng)過渡到互聯(lián)網(wǎng)的企業(yè)中右蒲,所以在準(zhǔn)備跳槽時對企業(yè)的選擇需要謹(jǐn)慎。
作為掌舵者的CSO重要性不言而喻赶熟,由于具備實戰(zhàn)能力與經(jīng)驗兼?zhèn)涞腃SO較少瑰妄,從成本與安全需求的迫切性出發(fā),不少企業(yè)在該職位上也沒有留下足夠的薪金映砖,也導(dǎo)致了目前比較普遍的現(xiàn)象:
術(shù)業(yè)有專攻间坐,即使很強(qiáng)大的leader在遇到一些安全項目的決策時,也極有可能持保守態(tài)度邑退,在沒把握情況下與其犯錯不如不做竹宋。相比專業(yè)的安全人員,這無疑在一定程度上限制了企業(yè)安全的發(fā)展地技。此外蜈七,由于對安全領(lǐng)域的不熟悉,在與上級領(lǐng)導(dǎo)溝通莫矗、對安全項目上的投入等方面表現(xiàn)不足宪潮,往往也會成為制約企業(yè)安全建設(shè)的因素。
還有一種較為常見的場景趣苏,公司中并沒有設(shè)置CSO這一職位狡相,該職務(wù)一般由安全部經(jīng)理甚至有發(fā)展?jié)摿Φ陌踩こ處煋?dān)任。所謂的潛力簡要概括為:
? 在安全圈子內(nèi)小有名氣食磕;
? 具備跨組織溝通協(xié)調(diào)能力尽棕;
? 具備開闊的安全視野與思路;
? 具備與領(lǐng)導(dǎo)同一溝通level的能力彬伦。
1.3 安全架構(gòu)組
組成:CTO滔悉、CSO、架構(gòu)師单绑、安全架構(gòu)師回官、中間件等各部門領(lǐng)導(dǎo)
職能:重大安全架構(gòu)決策,安全相關(guān)規(guī)章制度評審搂橙。
1.4 安全接口人
成員:各業(yè)務(wù)部門負(fù)責(zé)人(可設(shè)置AB崗)
職責(zé):負(fù)責(zé)所在部門/業(yè)務(wù)線安全問題的對接歉提、溝通、跟蹤。
2 安全架構(gòu)規(guī)劃
安全架構(gòu)規(guī)劃是一個非常復(fù)雜與龐大的話題苔巨,由于水平有限以下觀點僅供參考版扩。在一些對外交流中,有不少人會參照書本上或其他公司分享的案例侄泽,從標(biāo)準(zhǔn)體系(27001&等級保護(hù)等)—>具體工作的視角進(jìn)行規(guī)劃礁芦。但作為安全建設(shè)從頭開始的體驗者,深刻感受其可行性悼尾、見效率與不足之處柿扣。
2.1 安全風(fēng)險發(fā)掘
在實習(xí)的時候,記得當(dāng)時的部門領(lǐng)導(dǎo)(上交大網(wǎng)絡(luò)安全學(xué)院老師)說過:信息安全從業(yè)者就好比是醫(yī)生闺魏,企業(yè)有問題需要我們?nèi)コ鲈\未状,首先就是要根據(jù)病癥進(jìn)行相關(guān)檢查分析才能對癥下藥。那么甲方安全工程師做安全就是醫(yī)生給自己看病舷胜,需要不斷的搜集異常癥狀并進(jìn)行分析判斷是否有問題娩践,即安全風(fēng)險發(fā)掘。以下是對常見企業(yè)安全風(fēng)險的簡單梳理:
要做到實用性烹骨,往往要求熟悉公司網(wǎng)絡(luò)環(huán)境與業(yè)務(wù)形態(tài)翻伺,此外還需要一定的嗅覺性,追究其根源便是:意識沮焕、經(jīng)驗與視野吨岭。
2.2 外部經(jīng)驗交流
在一次企業(yè)安全沙龍中,看到了蘑菇街的安全項目藍(lán)圖峦树,并從中得以借鑒辣辫。通過前期安全風(fēng)險挖掘的積累,信息安全組內(nèi)進(jìn)行頭腦風(fēng)暴并對相關(guān)項目進(jìn)行梳理魁巩,把相同實現(xiàn)效果的項目整合成一大類急灭,再把各個大類聚合在一起,便有了初始的安全架構(gòu)規(guī)劃圖:
安全是動態(tài)的谷遂、持續(xù)性的葬馋,需要保持一顆善于發(fā)現(xiàn)問題、思考總結(jié)的心肾扰,不斷完善企業(yè)安全的整體畫像畴嘶,不斷優(yōu)化相關(guān)環(huán)節(jié)的同時也進(jìn)行項目的推進(jìn)。
3 安全工作推動
3.1 領(lǐng)導(dǎo)支持
安全工作的推動是一個自上而下的過程集晚,在建設(shè)的伊始便是與上層領(lǐng)導(dǎo)溝通窗悯,并爭取獲得必要的支持,具體理由可參照【企業(yè)安全:企業(yè)安全建設(shè)需求】進(jìn)行分析與匯報偷拔。此外如果是項目負(fù)責(zé)人蒋院,應(yīng)該自己先竭盡所能的去推動亏钩,實在有困難時邀請領(lǐng)導(dǎo)出面參與會議或回復(fù)郵件,也是提升工作效率的一大利器悦污。
3.2 安全運營
在企業(yè)安全建設(shè)初期铸屉,除了救火工作外還建議開展體系化的钉蒲、豐富的安全意識培訓(xùn)切端。人是安全的知名薄弱環(huán)節(jié),因為員工的安全意識參差不齊顷啼,所以需要進(jìn)行多個渠道(郵件踏枣、即時通訊工作群)、多種方式(海報钙蒙、易拉寶茵瀑、動畫片、暴漫)躬厌、多種內(nèi)容(通用安全意識马昨、最新安全威脅、行業(yè)安全情況)等方面的長期”洗腦”扛施。這里把安全意識的培訓(xùn)推廣工作加入到了安全運營的一個環(huán)節(jié)鸿捧,除此之外安全方案的不斷優(yōu)化、漏掃插件的更新疙渣、waf規(guī)則的即時添加調(diào)整匙奴、SRC的推廣都應(yīng)該屬于運營范疇。
3.3 做事思路
根據(jù)已經(jīng)參與或負(fù)責(zé)的安全項目發(fā)現(xiàn)妄荔,在甲方做事情很講究做事的思路泼菌。以下簡要的記錄了深有體會的幾個小點:
1)城市包圍農(nóng)村,結(jié)合多個部門一起推動
在推動專項安全項目時啦租,會出現(xiàn)不好對付的部門哗伯。這時候不能硬碰硬,從存在安全問題的部門做起篷角,其次是支持安全工作的部門焊刹,接著再按照實現(xiàn)難易程度與花銷依次排序,把最難推動的部門放最后内地。推動過程中伴澄,不斷及時匯報項目進(jìn)展情況,比如本周推動90%的部門完成安全改造阱缓,剩余10%的部門尚未整改非凌。迫于壓力,一般情況下10%左右的部門也會盡快加入進(jìn)來荆针。
2)鼓勵+獎勵 > 懲罰
面對業(yè)務(wù)部門時采用鼓勵與獎勵的方法會好過懲罰敞嗡。不少人有時會產(chǎn)生一種錯覺颁糟,憑借自己的技術(shù)強(qiáng)力把業(yè)務(wù)方懟回去并暗自高興,然而我的想法確是和業(yè)務(wù)方友好相處甚至做朋友喉悴,安全的出現(xiàn)是為了業(yè)務(wù)變得更加安全更好棱貌,而不是阻止業(yè)務(wù)前進(jìn)的步伐,當(dāng)高危漏洞降級至沒法再降比如低危時箕肃,可以注明情況并通過安全測試婚脱。不過需要補(bǔ)充的是,禮讓勺像、文明合作是有尺度的障贸,基本的原則不能丟,某些情況下不能輕易妥協(xié)吟宦。
3)主動出擊引導(dǎo)業(yè)務(wù)進(jìn)入安全節(jié)奏
一般的甲方可能只有一個或幾個人懂安全篮洁,無論是開發(fā)大神還是運維大神都不會太懂,所以信息安全組的成員更應(yīng)該主動的去找相關(guān)人員溝通殃姓,交流遇到的安全問題以及結(jié)合實際業(yè)務(wù)場景提出合理的安全建議袁波,將安全早點帶入到各個業(yè)務(wù)場景中。在日常的工作中蜗侈,效率值的排名一般是:直接找人當(dāng)面溝通 > 電話溝通 > 即時通訊工具溝通 > 郵件溝通篷牌,當(dāng)然也可以幾種相結(jié)合,主動想辦法提升工作效率宛篇。