當前位置：安全 → 行業動態 → 正文

企業安全建設初期的幾點反思

責任編輯：editor005 作者：IIIIsh |來源：企業網D1Net 2016-05-17 14:58:49 本文摘自：黑客與極客

前言

近些年，隨著安全行業蒸蒸日上，越來越多的互聯網公司認識到安全對公司的重要性，逐步建立自己的安全團隊。但工作十年、經驗豐富、適合負責整個安全團隊的人在業內非常稀少，且有的公司在一開始也并沒有魄力投入百萬年薪在一個安全人才上，因此很多公司的安全需求，變成了機會，流動到了年輕一輩的安全工程師手里。

而我也正是其中一個抓住機會安全工程師。但在真正開展工作后，不斷的感受到思維的局限、能力的瓶頸、經驗的缺乏都嚴重阻礙著工作推進。經歷著困境和危機，也不斷在總結和反思，本文則是2015年年底的總結，對于資深專家，止增笑耳，期望能給予指正建議，而分享本文，更多是期望未來其他把握住機會的年輕人，能少走一些彎路。

正文

在公司摸爬滾打一年半，圍繞著安全負責的事情由小變大又由大變小起伏多次，過程中深刻感受到，安全技術可以從網絡和書本獲取，工作經驗可以由導師、領導傳承，安全防護思想可以跟著業界前輩學習，但如何在一家互聯網公司做好整體的安全工作，卻摻雜了很多公司特性、業務特性、人員特性在里面，其中滋味只有走過才能真正有所體會。這一年多干得并不好，總結出以下我認為最重要的幾個問題：

一、初期的關鍵是資源與風險的平衡

來公司之前，我在乙方做了好幾年安全服務工作，加上在某金融巨頭待了半年，自詡看遍大小公司的安全現狀，也向一些業內資深大牛進行了討教與學習，獲得了多種安全全局架構設計的方法。結合公司現狀，我不斷在思考如何設計安全防護體系，才能更全面Cover住，且在對公司技術架構理解的不斷深入，搞出了一套面面俱到的安全體系V1.0，安全體系V2.0。但隨著時間的推移，發現即使搞出來3.0，4.0，5.0也并不能解決公司實際的安全問題。

這根源問題，是建設初期資源極度匱乏，盤子鋪得越開，工作進展會越慢。因此，首先需要理清楚的是，你手上現有或者是短期內能有什么樣的人力、能拿到多少預算、橫向部門能給予什么樣的支持等，再評估清楚目前風險點是哪些，從高到低進行一個排序。最后進行權衡，將資源集中在高風險的地方快速Push，并適當放棄掉一部分困難太大無法推進的事情。

對于平衡資源與風險的方法，我建議用SWOT進行分析。這是一個非常棒的工具，基本思路是利用自身優勢抓住機會并控制住危機，面對自身劣勢和不足適當放棄部分工作。具體方法論請參考網絡，不做贅述。

二、重視安全管理與安全運營

很多做安全技術的人，對非技術的東西都持對立的態度，以技術為尊，加上技術背景的人，總在技術上有一些理想和追求，因此“工程師”負責整體安全時，容易全力投入在技術上，造成失衡。雖然我并沒有這么極端，但之前相對管理和運營工作，我也確實更重視技術本身的建設。

無需解釋安全管理、安全技術、安全組織架構等這多方之間的緊密關系與相輔相成的配合必要性，會有更多人能把這一概念講解更為透徹。但當時我一直面臨一個問題，如何向不懂安全甚至不懂技術的高層匯報工作，如何向其他橫向部門的人呈現我們工作做得怎么樣。后續才領悟，高層作為管理者，安全管理能成為向上溝通的重要工具，真正理解了安全管理工作的價值，才能看到高層眼中的風險，才能完成換位思考，才能講出領導真正能理解且關心的話。

而安全需要運營，這是前輩們以及其他互聯網公司都在講的話，我不做私自解讀。我的工作思路：技術上要做看不見的安全，這樣降低與業務的沖突，減少與攻擊者在同維度上的對抗，但不能做看不見的安全部門，沒有聲音的部門也會沒有資源。安全運營則是將安全技術工作轉化為橫向部門可見可理解的工作，同時也是打造安全團隊的影響力，展現成績的重要環節。

三、隨著組織壯大要隨之進行角色轉換

面試過其他幾家互聯網公司的安全團隊創始人，聊下來發現這些同學都有很強的技術能力，能應對各類安全建設需求，做事認真負責，邏輯分析、溝通能力也很好，都是一些非常優秀的安全人才。但是，這些互聯網公司現有的安全團隊負責人并不是這些創立安全團隊的同學，這是為什么呢？

這也是我正在反思的問題。從我司的情況來看，公司在飛速發展，組織規模在不斷壯大，對于安全團隊來說，更缺的不是一個技術骨干的角色（或者說技術不是目前團隊發展瓶頸），而是一名合格的管理者。因此，要么招聘一名團隊管理者，要么就是自我轉型，進行角色轉換，跟上公司發展、團隊發展。

而在這角色轉換過程中，首先需要轉換的是心態，真正從技術骨干轉變成管理者，不要再念念不忘某個exp/poc，想明白自己的核心任務是什么；其次需要培養能力，根據我自身的情況，我認為最需要培養的是戰略規劃、目標管理、團隊管理等幾方面能力。

四、敢于招牛人組精英團隊

很多互聯網公司都有技術序列級別，且有不允許小管大的傳統。在這一前提下，安全團隊負責人成為了梯隊天花板，而且工作經驗并不是非常豐富的負責人，技術級別可能也并不高，這會導致整個團隊的技術梯隊層次偏低。而團隊的技術梯隊幾乎決定整個安全團隊的前景，因此，在我司受過最好的文化熏陶，就是要“敢于招比自己牛的人”。這一觀點實際上也是“角色轉換”另一維度的解讀。完成角色轉換后，才能更客觀、綜合的評價人，發現牛人之牛，敢用牛人之牛。

但確實有些擔心，牛人太牛，過來了當我老板了怎么辦？首先，評估人一定要綜合全面、客觀，一個滿嘴跑火車、打花架子、沒有真才實學的人在任何團隊都是害蟲，因此牛人須為真牛人；其次，找準自己的核心競爭力所在，利用自身優勢在團隊內、公司內發光發熱，充滿自信，不懼挑戰；最后，如果一個真正處處超越自己的人，位居我之上，給我榜樣，讓我學習難道不是一件好事嗎？

寫在最后

在乙方公司時，公司教會了我“自我認知”，而在現在公司時，某一個領導曾教育過我：“一個優秀的人，不是能正確認識自己的不足，而是能盡快用執行去改進不足”。道理都很簡單，正如韓寒金句“聽過很多道理，依然過不好這一生”，重點還是執行改進方案。

我依然在崗位上不斷的摸索，不斷修正，我還干得很不好，問題也遠不止這些，借此文一方面警示自己急需重點改進的問題，同時也是表達觀點，希望能得到前輩的指引。

關鍵字：FREEBUF 安全運營