自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

不同阶段的安全团队建设演进之路

文 | 杨文斌

杨文斌

国网电商

安全管理

企业提出成立安全团队均是基于解决安全问题的目的，特别是在当下互联网快速发展的大背景下，网络空间安全形势变得异常复杂，衍生出的安全问题也变化多端。不论企业规模的大小，都不同程度存在各式各样的安全问题。企业经营发展作为最重要的建设项目，必须要考虑项目建设中的不安全因素：人的不安全因素、物的不安全因素、管理的不安全因素，其中人的不安全因素是最核心的因素，而解决和应对所有这些风险的主体最终也应该归集于人，也许有人说在企业建立初期业务小、人员少，是不是不需要安全团队，其实这个阶段不是没有安全问题，而是问题未被暴露或者是没成为攻击者的目标而已。随着企业的发展壮大，问题会随之暴露，需要解决的安全问题会逐渐增多，所以安全团队的成立可以说是企业发展的必然。

安全团队演进

企业在不同的发展阶段因公司规模和业务发展等方面的不同，对安全团队建设的需求也不一样，可能会沿着安全厂商支撑、外部专家支持、内部安全团队组建到不断壮大的建设路径。

安全厂商阶段：企业发展初期主要还是基于业务拓展，在安全方面的关注度不是很高，相信几乎没有企业会一上来先建立安全团队。业务的运行需要IT网络和基础设施的支撑，为了企业内部重要业务不直接对外暴露，企业会添加安全防护设备，此时的安全还属于伪安全，几乎全部是由IT运维人员兼职，大部分工作还是为了保障安全设备的稳定运行。实际的安全工作主要由安全厂商主导，防护效果依附于安全厂商对安全设备静态防护策略的好坏，一方面厂商人员对公司内的业务场景了解不足，另一方面厂商的实施人员能力也参差不齐，这个阶段安全工作是严重缺失的。

外部专家阶段：此时企业已经发展到一定规模，管理层也意识到需要关注安全方面的工作，有可能需要企业内日常办公或业务系统发生过几次安全事件，使得管理层安全意识有所提升。因业务线上合规运行可能会要求进行第三方测评或者等级保护测评，此时需要协调第三方测评机构开展测评工作，企业不得不安排一个对接人，一个人的安全团队就这样成立了。随着企业业务上云，多数安全工作都是购买云平台相关的安全套餐。具备攻防意识的企业会购买第三方对业务系统开展渗透测试。这个阶段虽然企业已经具备安全意识，但是大部分工作都是通过外部专业性机构或专家完成，企业投入的人或资源是非常有限的。

安全团队建设阶段：随着业务逐渐增多，企业的暴漏面也不断扩大，特别是企业在社会中取得了不错的成绩后，将会成为攻击者关注的焦点。需要结合现状建立对应成熟的安全组织架构，信息安全、安全测试、安全运维等基础岗位需要配备，随后向研发安全、数据安全、业务安全、办公安全等所涉及的人员进行安全意识扩散，明确安全岗位及关联性岗位的职责和任务内容，最终实现各岗位的有机融合，这个阶段需要持续加大资源投入，不断的打磨团队专业化能力和安全素养，结合业务发展持续扩充人员队伍。

团队组建

企业应设立安全领导小组、安全技术委员会、安全部门等组织架构，在安全团队建立专岗专责，落实安全责任制，依托国家、行业、公司各层级规范要求和制度体系，明确安全团队各成员责任要求，就好比在公司内让安全人员先有个家，然后把属于自己的家务事干好。

要想把安全工作干好，应具备岗位对应的专业化能力，除了自身持续不断的学习，企业应定期组织内部安全经验总结和引入外部专家培训，结合内部业务场景和专家方法论，有效提升安全团队工作能力。除了对安全团队内进行专业化培训，安全团队还应定期结合不同的岗位开展针对性的安全意识培训，提升全员安全防护意识。

安全运营

企业建立安全团队的目的是为了更好的支撑业务发展，使得业务更安全稳定运行。安全团队建立后，应该要赋能于业务，通过与业务、研发、运维等有效协同，全力做好安全运营工作。

首先安全是支撑业务，不能成为业务发展的绊脚石，安全团队应与业务保持良好的协作关系，安全是基于业务场景而建立的保护机制，任何脱离业务场景的安全都是资源浪费，业务安全也是安全团队建设工作中的一个领域，最基本的支付、结算、订单等安全问题是需要安全团队及时发掘消除的，业务系统在上线运行后面临的各种潜在的攻击行为也需要安全团队及时应急处置，避免更大的损失。

研发安全主要涉及互联网企业或者软件研发公司，任何软件产品或平台的从无到有都会在不同阶段引入各种安全问题，需要安全编码、安全测试、安全运维、监控运营等一系列的安全工作有效支撑，保证产品全过程安全。

运维和安全是关系最密切的团队，甚至多数企业两个团队是不绝对区分的。安全从边界防护开始主要防护手段是边界安全设备，以从运维侧配置访问控制安全策略为主，安全团队需要在运维同事的帮助下了解纵深网络架构，指导建立纵深防御体系。发展到当前大数据分析背景下的安全运营，需要结合运维侧的日志管理及流量分析等基础数据，结合安全侧的各种情报数据完成有效的预警预判，实现高效的应急响应。

能力拓展

安全运营是安全团队的常态化工作，如果团队人员的专业化能力和安全运营能力发展到一定阶段，需要向实战化、科技创新、效益转化等方向发展。

近些年不管是国家级或者行业内都在不定期的开展网络安全演练活动，实战化是检验安全队伍专业能力最好的方式，应组建自己的红蓝队伍，定期开展攻防演练，从日常的安全培训和攻防实战演练中不断积累经验，同时以安全团队为核心向公司全范围的带动作用，提升全员安全意识。

安全建设离不开工具和平台的支撑，为了更高效的开展安全工作，需要不断的跟随安全态势，了解最新安全技术，结合企业痛点和需求，开展技术创新，建立形成符合自身需要的安全能力。

在这个消息互通、资源共享的时代，完全可以将技术创新形成的安全研究成果社会化，不论是安全成果还是安全团队都可以进行服务外放，实现经济效益转化。

最后

安全团队的建设不是一朝一夕的事，需要结合企业自身发展现状和业务需求，在权衡安全投入和产出后，用最优的资源投入，建立具有企业特色的安全团队。真正做到好钢用在刀刃上，甚至保持刀刃可以一直锋利。

诸子笔会 |9月征文合集《数据安全》

5个关键词打造一支攻无不克的安全团队

安全团队建设的战略意义

网络安全团队建设大全

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在