企业安全架构建设指南

1 安全组织架构

在甲方的安全工作中，重点自然是在企业的安全建设上，但是为了能持续不断的输出，安全队伍的建设变成了不可或缺的一环。成员的能力决定着企业安全的高度，合理的安全队伍配置是整个建设之路上的引擎。

1.1 理想中团队

按照角色与工作职责，安全相关的岗位可细分为：CSO、安全架构、安全审计、安全测试、代码审计、安全开发、安全运维、安全运营、安全风控等方向，比较理想的安全团队并不是要求设置以上全部岗位，而是在开展相关工作时需要涉及这些专业技能。根据公司的大小差异，各个岗位的名称与headcount也都不太一样。

Clipboard Image.png

1.2 现实版团队

“理想很丰满，现实很骨感”，这句话尤其请乙方安全工程师注意。为什么是乙方安全工程师呢？因为很多人以后都希望转到甲方。虽然平时有接触不少客户，但若不是项目负责人或不是参与安全评估类的项目，很少清楚知道客户所处环境。很多甲方公司或许并没有专职的安全人员，或许仅有临时工，此类场景常常出现在传统企业、非互联网过渡到互联网的企业中，所以在准备跳槽时对企业的选择需要谨慎。

作为掌舵者的CSO重要性不言而喻，由于具备实战能力与经验兼备的CSO较少，从成本与安全需求的迫切性出发，不少企业在该职位上也没有留下足够的薪金，也导致了目前比较普遍的现象：

术业有专攻，即使很强大的leader在遇到一些安全项目的决策时，也极有可能持保守态度，在没把握情况下与其犯错不如不做。相比专业的安全人员，这无疑在一定程度上限制了企业安全的发展。此外，由于对安全领域的不熟悉，在与上级领导沟通、对安全项目上的投入等方面表现不足，往往也会成为制约企业安全建设的因素。

还有一种较为常见的场景，公司中并没有设置CSO这一职位，该职务一般由安全部经理甚至有发展潜力的安全工程师担任。所谓的潜力简要概括为：

 在安全圈子内小有名气；

 具备跨组织沟通协调能力；

 具备开阔的安全视野与思路；

 具备与领导同一沟通level的能力。

Clipboard Image.png

1.3 安全架构组

组成：CTO、CSO、架构师、安全架构师、中间件等各部门领导

职能：重大安全架构决策，安全相关规章制度评审。

1.4 安全接口人

成员：各业务部门负责人（可设置AB岗）

职责：负责所在部门/业务线安全问题的对接、沟通、跟踪。

2 安全架构规划

安全架构规划是一个非常复杂与庞大的话题，由于水平有限以下观点仅供参考。在一些对外交流中，有不少人会参照书本上或其他公司分享的案例，从标准体系(27001&等级保护等)—>具体工作的视角进行规划。但作为安全建设从头开始的体验者，深刻感受其可行性、见效率与不足之处。

2.1 安全风险发掘

在实习的时候，记得当时的部门领导(上交大网络安全学院老师)说过：信息安全从业者就好比是医生，企业有问题需要我们去出诊，首先就是要根据病症进行相关检查分析才能对症下药。那么甲方安全工程师做安全就是医生给自己看病，需要不断的搜集异常症状并进行分析判断是否有问题，即安全风险发掘。以下是对常见企业安全风险的简单梳理：

Clipboard Image.png

要做到实用性，往往要求熟悉公司网络环境与业务形态，此外还需要一定的嗅觉性，追究其根源便是：意识、经验与视野。

2.2 外部经验交流

在一次企业安全沙龙中，看到了蘑菇街的安全项目蓝图，并从中得以借鉴。通过前期安全风险挖掘的积累，信息安全组内进行头脑风暴并对相关项目进行梳理，把相同实现效果的项目整合成一大类，再把各个大类聚合在一起，便有了初始的安全架构规划图：

Clipboard Image.png

安全是动态的、持续性的，需要保持一颗善于发现问题、思考总结的心，不断完善企业安全的整体画像，不断优化相关环节的同时也进行项目的推进。

3 安全工作推动

3.1 领导支持

安全工作的推动是一个自上而下的过程，在建设的伊始便是与上层领导沟通，并争取获得必要的支持，具体理由可参照【企业安全：企业安全建设需求】进行分析与汇报。此外如果是项目负责人，应该自己先竭尽所能的去推动，实在有困难时邀请领导出面参与会议或回复邮件，也是提升工作效率的一大利器。

3.2 安全运营

在企业安全建设初期，除了救火工作外还建议开展体系化的、丰富的安全意识培训。人是安全的知名薄弱环节，因为员工的安全意识参差不齐，所以需要进行多个渠道（邮件、即时通讯工作群）、多种方式（海报、易拉宝、动画片、暴漫）、多种内容（通用安全意识、最新安全威胁、行业安全情况）等方面的长期”洗脑”。这里把安全意识的培训推广工作加入到了安全运营的一个环节，除此之外安全方案的不断优化、漏扫插件的更新、waf规则的即时添加调整、SRC的推广都应该属于运营范畴。

3.3 做事思路

根据已经参与或负责的安全项目发现，在甲方做事情很讲究做事的思路。以下简要的记录了深有体会的几个小点：

1）城市包围农村，结合多个部门一起推动

在推动专项安全项目时，会出现不好对付的部门。这时候不能硬碰硬，从存在安全问题的部门做起，其次是支持安全工作的部门，接着再按照实现难易程度与花销依次排序，把最难推动的部门放最后。推动过程中，不断及时汇报项目进展情况，比如本周推动90%的部门完成安全改造，剩余10%的部门尚未整改。迫于压力，一般情况下10%左右的部门也会尽快加入进来。

2）鼓励+奖励 > 惩罚

面对业务部门时采用鼓励与奖励的方法会好过惩罚。不少人有时会产生一种错觉，凭借自己的技术强力把业务方怼回去并暗自高兴，然而我的想法确是和业务方友好相处甚至做朋友，安全的出现是为了业务变得更加安全更好，而不是阻止业务前进的步伐，当高危漏洞降级至没法再降比如低危时，可以注明情况并通过安全测试。不过需要补充的是，礼让、文明合作是有尺度的，基本的原则不能丢，某些情况下不能轻易妥协。

3）主动出击引导业务进入安全节奏

一般的甲方可能只有一个或几个人懂安全，无论是开发大神还是运维大神都不会太懂，所以信息安全组的成员更应该主动的去找相关人员沟通，交流遇到的安全问题以及结合实际业务场景提出合理的安全建议，将安全早点带入到各个业务场景中。在日常的工作中，效率值的排名一般是：直接找人当面沟通 > 电话沟通 > 即时通讯工具沟通 > 邮件沟通，当然也可以几种相结合，主动想办法提升工作效率。