诸子笔会 | 蔚晨：我的安全团队故事

Original 蔚晨安在 2022-07-04

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

安全团队轶事

文 | 蔚晨

蔚晨

某金融科技公司

信息安全专家

曾任某全国性股份制商业银行数据安全技术专家、海航科技集团信息安全技术总架构师等职务。十余年金融业、铁路交通业、航空业工作经历，一直从事信息安全、数据管理、风险管理等领域，曾获得银监会风险管理课题研究成果、人民银行科技发展奖等多项行业奖项，在数据安全领域有深入研究和实施经验，对网络安全法、GDPR、等保等法律法规有深刻理解。

安全团队是一个企业在安全管理、安全规划和技术管控过程中执行实施的专业组织。无论是“大而全”的全面安全管控运营部门，还是“小而美”的安全管理与合规岗位，亦或是跨部门的虚拟安全管理小组，安全团队都是企业落地实践安全管理理念，做好安全相关工作的基础保障。笔者通过几段在不同行业不同规模的企业的IT部门中安全团队工作的故事，讲述一名安全工作人员在组织内服务的苦与乐，其中关于安全团队组建的心得、经验与教训，与各位安全人一起分享。

图1 经验分享

壹

开启征程初入森林的小绵羊

2008年，懵懵懂懂的我已经工作了三、四年的光景，机缘巧合加入了一家全国性股份制银行科技部工作。银行作为金融业的标杆，在那08年左右纷纷开始组建独立的安全团队，当时大多数的专职安全团队基本是两种出身：一是以网络安全、运维安全为基础的运维部门；二是以防病毒管理、资产管理和办公安全为主的综合部门。

图2 初入行业

我所在的安全管理处就是后者，由于当时安全治理体系的理论框架还未被国内IT部门充分了解吸收，安全管理理念和安全运营模式远未成熟，因此，安全团队的存在感很低、话语权很小，更不用提安全开发与安全运维等具体工作了。团队成员陷在具体事里焦头烂额，不是负责IAM、加密、动态口令等应用安全系统开发运维，就是负责防病毒、桌管等终端安全运维工作，安全工作重要性不高但工作量很大，天天都在处理联调测试、troubleshooting。同时，安全产品与工具的自动化程度不高，问题却不少，真是苦海无边，哪都不靠岸。忙得抬不起来，更不用提上升到管理和治理的高度俯视整个IT过程了。

图3 陷入细节的安全团队

这个过程持续了三五年，慢慢的随着监管要求逐步明确严格，安全工作职责也逐步清晰起来。具体开发、运维工作都交了出去，安全管理人员也终于可以腾出手来仔细想想什么才是安全管理职责了。经过五、六年的时间，最初来自各工种的IT人慢慢的演变成各领域的安全人，团队也从三五人变成了近十人的具有一定专业程度的安全组织。

贰

迎接挑战成为经验丰富的老手

2017年，已经工作十四年的我，离开了银行，带着我在信息安全、数据管理、终端安全、风险管理等不同领域的工作经验，加入了一家在风口浪尖闯荡的大型集团企业。

图4 新的挑战

当时其安全管理团队框架已经搭建完成，分工模式与银行业安全管理团队的组建模式完全不同。SRC、安全合规、治理与管理、安全技术从不同的视角结构安全体系工作，由于行业不同，监管要求和行业标准也有较大区别，在这家企业中，安全工作的推进采用事件驱动方式进行。
SRC作为整个团队推进各项工作的源动力，不断的研究、发现企业可能存在的技术风险和漏洞，通过事件评估方式驱动整体企业改进相关IT流程与安全管控技术，同时通过合规评估验证管控效果。这对我的业务技术要求也发生了很大的变化，从原有专注于某一领域转变为多领域横向拓展，同时根据具体业务场景设计技术解决方案。
脱离了原有具体技术领域的桎梏，工作压力也由原来的大量事务性工作转化为各领域安全技术综合设计与规划的复杂性压力。了解业务，深入发现业务风险与现有管控技术的差距成为了我工作的核心内容。在此期间，我负责的安全技术小组也发展成为综合了网络安全、终端安全、应用安全与数据安全等多领域协同发展的综合性技术团队，一方面从总体技术架构体系构建补充短板，另一方面结合具体业务场景协助SRC团队填补技术漏洞，降低业务风险。

叁

英雄归来始于一个人的安全团队

2018年底，因为企业经营的缘故，我再一次踏上新赛道开始我的安全工作之旅。这一次我来到一家新组建的金融科技公司，初到伊始没有所谓的安全团队，就只有我一个人，面对满坑满谷的空白地，得从拓荒开始。

图 5拓荒牛

结合金融科技公司的对内管控对外输出的特性，安全团队的组建和工作职责也与以业务为导向的企业有很大区别。首先科技公司的信息安全应关注有效性同时要轻量化，制度流程要突出重点，技术管控以技术先进性为主要方向，一方面考虑实施管控，另一方面要加大研发投入形成产品可对外输出。
基于上述企业需求，安全团队的组建也要匹配团队职责需要，组建初期需要综合能力强的多面手，结合内外部开发资源，快速形成战斗力，在基本全覆盖的基础上开展重点突破。
至今三年的时间，结合企业运维、研发、网络、测试等专业团队外部资源，打造了贯穿整个IT生命周期全过程控制的安全管控与评估体系，更好的适应金融科技企业环境下的风险控制与合规管理。

图 6初步建成安全团队

肆

安全团队组建的经验分享

安全团队组建原则

1.专业知识

团队成员必须具备应在相关领域安全事件的处理、应急、恢复、持续监测能力。

2.工作效率

知识落地到实践的过程需要熟练的使用或者制作相关工具，达到解决问题的目标。

3.求知欲

安全是个大筐，什么都能往里装，不管是新技术、新理念、新想法必须有意愿去拓展、去了解、去学习，否则必然被淘汰。

4.愿景

安全工作很无助，一个能拼擅打的团队必须有一个共同的一致的愿景目标，否则在随波逐流的过程中会涣散，被边缘化。内部的信任、良好的沟通和决策环境是至关重要的。各领域的协同，做好互相尊重，怀有“成败皆为团队共有“的信念是安全团队发展壮大的根本理念。

安全团队组建路径

1.突出重点

要根据自己的业务来考虑创建一个那方面的安全团队，不要一个安全团队包含所有类型，那样成本太大，先考虑主要产品线。

2.用最少的人办最大的事

团队人不在于多，在于精。只找几个比较牛的人就好。

3.拿来主义

安全团队不建议所有系统、流程都采用自建方式，可以参考现在一些成熟的解决方案。

安全团队基本分工

1.安全运维团队

基础设施基线管理维护
ITTL流程化安全运维
一线攻击行为发现及应急处理

2.网络安全团队

网络安全架构设计与实施
网络设备安全渗透及扫描
针对DDOS、病毒、网络攻击引起的网络流量异常分析
基础网络协议的通信加密及防御
防火墙、IDS、APT、IPS等网络安全设备配置与策略维护

3.安全开发团队

安全开发编码规范设计与维护
开发生命周期安全管理与实施
代码白盒审计

4.安全测试团队

系统测试、WEB测试、网络测试
上线前安全检测

后记

回首过去十七年的峥嵘岁月，我非常有幸在不同行业中从事着同一种工作。因为企业业务的原因，安全团队的核心职责是不同的，团队人员组成与工作方向也要与企业业务方向相匹配。在有限的资源下合理的构建团队，必须于企业业务诉求达成直接或间接关联。从安全小白到技术骨干再到团队领导者，安全团队成员的成长过程需要不断的去学习去适应去思考。安全团队不是明星团队，但我一直认为一只优秀的安全团队应该是整个企业IT部门里综合素质最高的团队之一，这和安全贯穿整个IT生命周期全过程息息相关。安全团队既要有各显其能的领域精英，也需要面面俱到的复合型人才，会沟通、能动手、善宣贯，这就是当下优秀安全团队成员应该具备的素质。
限于笔者的水平，有任何不足之处，请各位读者不吝指教，非常感谢。

推荐阅读

诸子笔会 |9月征文合集《数据安全》