作為甲方的信息安全負責人是一種什麼樣的體驗？

12-29

今天忽然想到這個很有意思的問題，你們在作為甲方信息安全負責人的過程中遇到了哪些問題，乾的爽不爽？發生了什麼樣故事，不管是預算及資源、推動難度、與乙方溝通、安全事件、安全建設過程、加班、招人等等，不要羞澀，請說出你的故事。

目前大約3000台伺服器，公司總人數1500多人。

1.技術屌有個屌用,要做好安全負責人很簡單，看直屬上報對象是誰就行了。

2.太長時間不出事就隱形=。=

3.要預算一般會被嫌棄貴的。可以先找行業最貴的先來一通介紹，然後在叫你想買的廠商過來..比如三字母。最後一般是要不到錢的.

4.出事了要學會甩鍋,把壞事說成好事也是一種能力。多看看CCAV是怎麼播新聞的,人禍就播報消防官兵義無反顧衝進現場。

5.找開發解決問題，無論問題多小都要找他們領導。找開發只能單純解決一個小問題，怎麼全局避免這種事情的再次發生需要找他們領導。

關於公司

勉強三線吧，400+技術，安全團隊12人，這規模已經已經可以基本證明投入了！

我

開發白帽子安全

12年開始關注安全，長期混跡在某雲，直到15年第一次參加qcon 當是聽了黑客的一個分享關於業務和安全的話題《閹黨流氓傻x 》，聽了後我表示不是特別理解，為什麼開發人員對於安全人員的安全建議有反感，因為我也是開發，我的代碼有問題安全人員幫我提出那是在幫助我提升能力，為什麼不能和睦相處？安全編碼不應該是一個優秀工程師的基本素質嗎？

15年10月的樣子我對我的領導提出我們要成立安全部門，我要轉安全，領導答應了！

當我招到第一個小夥伴的時候我們安全部門正式成立。

我做安全有一個很理想的概念，就是讓大家覺得安全是一個基本能力，理解和做到對公司對自己都是很好的！因為安全的本質是解決人的問題。

抱著這個態度我們開始推進工作，規範，培訓，測試，審計。問題一下就來了看不懂規範聽不懂培訓一堆漏洞不知道怎麼修復不理解為什麼自己代碼就有漏洞了！

這個時候我內心其實是崩潰的！我覺得我一定是一個另類開發。我開始理解黑哥的主題為什麼叫那個名字了！

但是既然選擇了我必須堅持下去，於是我就開始用最笨的方法開始了說教之路，凡事發現漏洞我都直接到開發人員身邊給他們演示怎麼攻擊可能什麼危害手把手教他們怎麼修復！那段時間很累，但是效果還是比較理想很多開發人員開始接受和理解。

救完火我們開始建設了這個時候團隊已經5個人了，和其他公司一樣我們開始引入SDL這個時候問題又來了大量的產品要去評審要去和他們講為什麼產品不能這麼想再一次被人看做了閹黨傻x 流氓……

一樣上笨方法，說教差不多半年基本上說服了一半很多時候還是會妥協。

差不多一年時間我基本沒有利用領導這個資源。是不是有點驚訝？好吧如果沒有就繼續

第一年我們主要在應用安全上做文章所以控制還不錯沒有出什麼大的漏洞

第二年我們團隊差不多到了8人涉及到了員工意識伺服器內網慢慢開始力不從心了利用說教已經不能解決問題了，我們開始制定懲罰措施，開始利用領導資源了，制度發布第二天就開了一個人！這讓我覺得利用領導，幹活真輕鬆，慢慢的開發兄弟開始不滿了！又開罵了，安全團隊就知道發「事故大禮包」。

我也開始思考，為什麼他們會罵我們？難道我們又做錯了？我就和幾個開發的老夥計聊天，問題一下迎刃而解了我們要做的就是開發一下自動化工具提供一些方便的組件框架的統一處理有了這些東西就可以幫助開發很方便的寫出安全的代碼這樣他們問題就少了也不受到處罰開始變得和諧

這些和諧裡面我們還是存在很多對業務的妥協這些妥協也為安全埋下了一些隱患，終於還是出事了一個基於IP的限制發簡訊介面被刷了三天幾萬塊簡訊沒了，其實這個介面我們一直有監控到有異常也和業務團隊商量了解決方案但是推進一直很忙，這個事件本來是可以避免的剛被刷我們其實是監控到的但是由於當是我們的安全產品無法攔截所以我們提議上某樂的雲服務，由於雲服務我們還在試用其穩定性和效果我們也沒有把握也怕影響業務於是沒有切換而且時間剛好發生在周五晚上……周末愉快的玩耍也可以留意報警哦哦事情越來越嚴重

這一次算是很失敗的應急但是反過來我們就可以很愉快的推進一些策略讓業務方把安全提高優先順序

所以安全要出事才變得重要。

說我應急我還要吐槽一下乙方傳統大安全廠商基本不了你十來萬的安全需求還嫌棄咋們這麼點錢要求還這麼多，很多聽上去很利害的產品一試用……這裡就不說那些家了

後來勉強選了兩款產品能夠解決10%的問題我們還是很知足的！

關於加班我們基本沒有除了偶爾的應急

關於招人在二線城市基本上沒有大牛所以懂點滲透還懂開發我們就很滿足了！在過程中慢慢成長吧！

寫得好像有點多了！手機扣字標點符號不準確見諒有問題可以評論在補充。

06年接觸安全，10年開始正式在安全行業工作，之前工作方向主要是web漏洞挖掘，滲透測試及應急響應方向，15年至今兩年多的時間裡在某創業公司負責信息安全。中間有一年的時候安全組是兩個人，其餘時間一直是自己在搞，簡單寫一下自己這兩年多的心路歷程及做的事情，希望對即將成為企業安全負責人或者正負責企業安全的同行們有一些參考。

一開始的時候公司還沒有系統部，當時干安全的同時也兼顧著幹些基礎的運維工作，我估計專職安全入駐公司在運維之前的在非安全公司里我們可能是第一家了。

我進入公司的時候伺服器還不到20台，站點也比較少，基於自己之前做攻防與應急響應的經驗，最開始花了大半個月的時間做了幾件事，分別是配置防火牆，挨個主機檢查webshell與rootkit，安全漏洞挖掘與推進修復，對開發的的web安全培訓（在機器少與自己許可權足的情況下，做事其實很快），到了後面發現總有人爆破ssh，又把ssh密碼登陸禁掉，統一改成私鑰登陸的方式。

做完這些事情之後算是完成了初步的救火階段，這時候開始忙著招人了，對於我們這種名氣不大，薪資又不是很有競爭力的公司來說，幾乎是沒什麼人給投簡歷的，我甚至直接跟hr說簡歷不用篩選，有一個面一個，不過仍然沒有遇到滿意的，從自己身邊認識的幾個朋友下手，挨個聯繫請客擼串，終於在我入職後的兩個半月後拉來了一個擅長代碼審計與開發的小夥伴。

小夥伴來了之後也很拼，把所有的網站代碼都過了一遍，找到了不少問題，我自己那時候也做了一個監控webshell的東西，到了這個時候我們的安全具備了防火牆（保證沒有多餘埠對外開放），全部代碼白盒審計（最大程度減少web漏洞），百度雲加速waf（對於web攻擊的攔截），webshell監控（web入侵成功及時發現），ssh私鑰登陸（防止暴力破解），主機與資料庫的合理授權（許可權最小化，這活一直到現在都是我在弄，所有的主機與資料庫授權都要我操作）。這時候主要通過自己歷史的經驗來驅動，沒有做太多的思考。

後來公司快速發展，人數達到了3000+，伺服器也100+了，不過也沒發生過被入侵的事件，開始覺得要做的事不多了，慢慢放鬆起來。然後有一段時間，烏雲上經常報告公司員工郵箱被爆破成功的事件，甚至還有通過郵箱找回密碼登錄後台的，這時候開始有一個思考，就是不要讓安全依賴員工的意識，一定要盡量去通過技術手段限制，在這個認識下，這個階段我們的郵箱使用了騰訊企業郵的動態口令，小夥伴開發了統一後台登錄系統，所有後台登錄一律靜態密碼+簡訊驗證碼雙重認證，ssh也改為了私鑰+動態密碼的方式登錄。

這些實現前小夥伴也依靠社會工程學成功模擬入侵過公司，使我進一步思考如果有人已經在內網了，如何防止危害增加，於是增加了內網安全檢測，幾乎修復了發現的中危以上全部問題，加固方面包括redis，tomcat等降權運行（防止不小心又改成root啟動還專門做了監控），redis，mongodb儘可能增加密碼訪問，增加命令監控，反彈shell監控等。頻繁的運營商劫持同時又不能很快改為https的情況下使我們上線了CSP策略（沒錯，我們上線CSP最主要的作用不是減小xss的危害而是防止運營商劫持）。幾起銀行卡盜刷事件讓我明白安全不只是防止被入侵這麼簡單，業務上也有很多的事要去做，又參與了防刷單，防盜卡等策略的制定，在這一階段做的事一直是被各種事件推動著，之前總覺得人力有限做不了什麼大系統，但是因為各種事件硬逼著，拓展思路，發現結合企業自身情況還是可以做出很多簡單有用的東西的。

曾經自己作為安全工程師的時候經常會抱怨大家為什麼總會設置弱口令，總會寫出有低級漏洞的代碼，負責整體安全後幾乎不會再抱怨，因為當員工設置弱口令導致出現的安全問題需要我負責的時候，我只會想如何去解決問題，這可能是我最大的變化

2010年參加工作，之前在乙方做安全。2014年加入現在創業公司，跌跌撞撞走到現在。自己也從乙方視角轉換到了甲方視角，感慨很多。

進入這家公司後，發現自己屬於一個單獨的安全team，沒有和運維划到一個team，頓感慨招我的老大的英明。據我所知，很多把安全划到運維的公司，安全做的都束手束腳，出了很多事。比如你們知道的某x。總之，不一定對，但是盡量不要把安全和運維放在一個團隊。

當時公司招安全其實有一個原因是被人給搞了，忽然意識到信息安全的重要性，於是趕緊亡羊補牢。將近七八百人的公司，只有我一個安全，要負責的事情很多。但是因為有前車之鑒，大家都很配合。

後面說說一個在乙方的安全人員轉入甲方創業公司的一些感受和經歷吧，希望對相同境遇的同學有所幫助。

## 乙方到甲方思想轉變

很多乙方同學到了甲方後，會出現一個矯枉過正的問題，這個心情是可以理解的，畢竟安全事件無大小，但是推廣到業務上，這可能並不合適。

舉個例子：公司購買的某個應用服務存在大量安全漏洞，但是這家服務提供商的研發可能並不能及時支持到我們這種創業小公司，但是因為這個應用服務必須按時交付，否則會有業務中斷風險，那麼擺在安全人員面前的問題可能就是：

1. 無論如何修好漏洞上線；

2. 帶著漏洞上線，但是做後續修補；

3. 風吹雞蛋殼，財去人安樂

在這個例子里，在代碼層面我們做不了什麼的情況下，做好訪問控制，雙因素認證的VPN訪問、操作系統加固，可能效率會高一些。後期把vpn提供給第三方安全測試人員，由第三方爆出安全漏洞給領導，這樣可以在數據安全和教育上都有一個不錯的收益。

總之，在創業公司的甲方，需要擺正一個事實是：安全不是一個賺錢的部門，在不影響業務流的情況下保證最大安全才是一個安全人員需要考慮的。

能夠分清資源配給，如：能夠分清楚哪些資源安全人員可以使用，哪些資源需要較多時間和金錢才能使用，那些資源無法使用。

分清輕重緩急，如：分清安全事件和風險的輕重緩急並有的放矢。

把安全事件一律認為必須無條件解決，業務馬上停擺，既簡單又粗暴，顯然不適用於創業小公司。

這個地方的業務判斷涉及的漏洞分級、數據安全等級、安全事件等級等不做贅述，可以參考一些應急響應書籍、安全等級分類的資料，還有一些是依照甲方業務特點進行區分。

## 安全流程的落地

當時我來這個公司的時候，沒有專門的安全測試這一環節，更別說SDL這種高大上東西了。所以當時第一年做的最多的事情就拿著各種滲透測試工具對線上業務進行安全測試，當然也發現了很多安全漏洞並修補了，但是深感效率低下。

很多安全問題都是屬於理應在設計階段就應該避免的問題，但是因為沒有安全人員，無法得知其中的坑點。而等到後續再做修補的時候，由於代碼原因而導致遷一發動全身的慘痛事故。

對於一家創業公司，完全執行SDL是不實際的，不實際的點在於開發對效率上線時間都有較高的要求。這時候，安全人員，需要區分業務的輕重緩急，數據的敏感性，對於涉及敏感數據的業務，務必要進行威脅分析，安全檢查，代碼review。而並不敏感的業務，可能只需要安全檢查即可。

區分這些流程需要和領導溝通那些數據和操作較為敏感，畢竟安全是自上而下的，了解領導的需求和相關法律風險最重要。

## 安全技術需求

剛剛來到這個創業公司的時候，苦於整天修補漏洞，覺得不是一個長久之計，想聽聽其他公司意見，於是參加了很多各種各樣的安全峰會，其中發現唯品會的安全做的很好，但是人家只給你看了成果，不會告訴你如何做的，所以照搬也沒意義。

然後另外的公司分享，各種二進位流，各種漏洞分析，各種大數據，雖然有趣且牛逼，但是對於一家創業公司來說，解決不了最基本的問題。

後來索性重新分析了黑客的攻擊流程以及安全的防護流程。再對照事前，事中，事後的階段進行梳理，其實沒有一個統一解決方案，但是能夠解決當前問題就是最好的。

### 事前

事前基本上是兩類工作，攻擊和防守。

攻擊主要涉及到信息收集、黑盒測試、白盒測試、漏洞掃描等

防守主要涉及到系統加固、安全教育、網路安全加固、安全基線配置、代碼安全檢查等

需要強調的是信息收集中，域名對應的業務是重中之重，另外我想強調的是github、與本公司員工相關的社工庫、微博信息、郵箱賬戶等，也是安全人員需要收集的。

### 事中

異常檢測和攻擊定位在事中怎麼強調都不過分，從提供業務的HTTP服務到內網的網路連接記錄，這些都有很多可以玩。這裡不展開說了，基本上對照網路的事件和應急響應，web應用防火牆，服務沙盒化，探針，ELK棧實現等。工作很多：）

### 事後

如果到了事後，可能應急響應就很重要了。國內的安全圈基本上很少有技術分享是這一塊。很遺憾，但是它非常重要，它關係到了黑客行為分析，定損，公關等。

任何安全人員，務必要對這一塊有所準備。可以參考下SANS的相關教材，那是塊金礦。

安全部門是唯一可以偷空玩遊戲的部門，他們大都穿的普普通通，不像業務那麼西裝革履，也不像開發一身名牌，嘴裡也時常說著，別亂接路由，又開dhcp了，亂插網線環路了，叫人半懂不懂的。運維一到公司，所有人都對他笑。有的叫道，又來混日子啦。他不回答，打開電腦，連上伺服器看看日誌，同事們又高聲叫道，網頁遊戲好玩嗎？安全瞪大眼睛說，你們怎麼這樣憑空無人清白。清白？我那天親眼看見你玩夢幻手游。安全憋紅了臉，爭辯道，我那是掛機，掛機懂嗎？那不是玩。接著又說你們私接路由，dhcp亂分配地址之類讓人聽不懂的話，引得眾人鬨笑。

聽同事說，這個運維是當時老大挖來的，當時公司網路天天斷，又沒有人懂，也沒人管，行政人事天天被罵，幸好招來了一個運維，不過這個運維是個實心眼，剛來公司一直加班，批錢整改內網，後來公司幾天都不出什麼問題，老闆看他太清閑，有什麼跑腿的活就交給他干，有時候給財務統計一下數據，有時候給行政裝個桌子。

運維看完日誌，臉色恢復了正常，旁人便問道，你真的會編程嗎？運維露出不屑的表情，又有人問，那你怎麼不和開發在一起啊。運維又說道，我就是屬於研發部門啊，同事們都笑了起來。

有一天公司信息莫名其妙被泄露了。總有人冒充老闆給財務打電話。。。這時候，財務的人問同事，安全呢？怎麼不見他來，上次我的企業QQ總是讓我重新登錄，一直讓我輸入密碼，得讓他看看。同事說道，他怎麼會來，得罪人了，可能被開了。哦？為什麼？那次行政總監讓他去拿快遞，他不去，後來又讓他給花澆水，他也不幹。。。後來怎麼樣了？怎麼樣？也許是被開除了。誰知道呢。。。財務便不再問了。

過了一個月，財務突然看見了一個熟悉的面孔，他急忙抓住他說，我電腦又上不去網了，還有之前總有公司的同事，qq總是半途讓輸入密碼。

運維先修好他的網後說，我是來簽工資條的，被開除了。別的問題，一時也解決不了。以後再說罷。

作為甲方安全負責人，體驗可以用八個字來形容：凸顯價值，誠惶誠恐。

前者是手段，後者是心態，目標是讓公司每個部門的每個崗位帶著安全的思維進行工作。

由此不難理解，安全部門很多時候做的工作和安全並無直接關係，或者是幫助公司解決問題，簡言之就是「刷存在感」。

說一些感受和經驗：

1、包括管理層在內的絕大多數人其實並不知道安全部門可以做什麼以及怎麼做，這意味著其他部門遇到安全相關事件或工作時並不會找安全；

2、一開始上VPN限制內部系統訪問時抵觸不小，甚至有一群開發起鬨說可以不用在家寫代碼了；

3、當缺少CTO這樣的技術高管時，意味著安全工作需要找各個部門單獨溝通，成本會很高；

4、非高危漏洞的修補在研發的排期往往是最末的，而修復漏洞本身需要較高的開發水平和設計水平；

5、安全制度的落地會讓很多普通員工產生抵觸，因為這意味著自己不注意會受罰，很被動；

6、再多的安全培訓和教育不如一次外部的安全事件來的效果好，因為有著切實的危害與影響；

7、第三方的安全測試是必要的，即便有自己的安全團隊，因為外來的和尚好念經；

8、有時候你不得不承擔一些運維的工作，因為運維本身也很苦逼；

9、有時候你不得不承擔一些沒有人搞得定的事情或搞的不好的事情，比如安全團隊成立伊始我幫運維搞定了公司內部某系統運行緩慢而又遲遲沒解決的問題，事後很多部門的人來感謝；

10、解決非安全問題的目的是為了刷存在感，因為安全相比業務原本就相對不受重視，且安全工作的價值相比開發也較難評估和考量；

11、安全地位的提升需要安全負責人要想盡辦法做事情，並量化這些事情的價值，儘可能往業務好處上靠，CEO可能不懂安全，但一定懂業務、懂錢、懂數字；

12、部門獨立有利於安全工作的推進與溝通；

13、安全部門幾乎是和人事部門一樣可以覆蓋公司全部部門和崗位的部門，所以僅僅懂技術漏洞是不夠的，很多時候面臨著安全設計、便利便捷、工作進展幾方的平衡甚至妥協；

14、不能以純粹的安全形度考慮安全工作，否則很難落地；

15、溝通協調能力比技術能力更為重要；

16、乙方的服務和產品可以解決問題的一部分，但無法避免問題，後者是甲方安全的價值與存在的意義；

17、安全事件是推動安全工作落地和提升安全部門地位的墊腳石，不要怕；

18、安全人員的薪資相比同工齡開發要高，但漲薪空間則不一定；

19、招到合適安全人員的難度不亞於娶到一見鍾情的女神，以拉勾為例，每天平均收到25封java簡歷，但一個月也難見到一個安全簡歷；

20、開發轉安全比安全轉開發要容易許多，所以與其招安全開發不如招開發做安全。

暫且以上這些，結果是獨立的安全部門、被各部門稱讚和主動配合的工作落地，以及被一些同事認為是萬能的安全負責人。

最後附上一次幫開發同事解決問題的有趣經歷：

有一天，一位開發人員路過我們部門時說自己新買的滑鼠在家用沒問題，在公司用就會出現游標滑動的問題，問我們能不能幫看看。

正好接近飯店，便去其工位上查看了一眼，動了動滑鼠便發現了問題原因，但還是故作深沉地起身從旁邊工位拿了一張滑鼠墊——說：原因找到了，桌子太滑，沒墊滑鼠墊……

補充一：

公司管理層對於安全的重視程度大致分三類：

①諸如騰訊、Google一般務實地重視與發展，管理層對於安全的重視是從安全的長遠意義和價值來看的；

②多數有安全團隊的中等規模企業，甚至包括我司在內的淺顯地看待安全，這個淺顯指雖然管理層知道安全的作用和重要性，但不具有長遠眼光，甚至認為花錢就可以搞定；

③沒有安全團隊的中小企業，管理層看待安全的態度就是不出事就好，出事找第三方，並不打算深耕安全。

補充二：

甲方安全建設和安全管理，一方面在於技術水平，一方面在於設計水平，一方面在於運營水平。

缺乏技術會力不從心，解決不了公司基本的安全；

缺乏設計會有心無力，無法權衡業務和全局安全；

缺乏運營會事倍功半，難以推廣和落地安全方案。

這種體驗該怎麼說呢。。。其實不光是甲方信息安全負責人，還有甲方所有IT運維人員等等，都有幾個共同點：

1. 都覺得你很閑。

2. 不知道你除了會修電腦，你還會幹什麼，整天對這兩台顯示器呢，上網好爽。

3. 你沒有碼農厲害，他們分分鐘寫個軟體，好像很厲害的樣子，而你呢，你很閑。

4. 信息安全是什麼？能吃嗎？我連銀行卡密碼都是生日呢，我說你們開機密碼就要求8位以上，大小寫字幕，數字，符號，你好煩。

5. 怎麼總是要打補丁，煩死了，還要重啟，不打不打，補丁沒用。

6. 我說這個網頁不能開，那個視頻不許看的，你們真會搞事情。

7. 你們上班的目的是不是就是不讓我們爽？

8. 你們是不是有幫公司監控我們QQ聊什麼？

9. 你們是不是知道公司許多小秘密，偷看了許多重要文件？我是不是每個文件你們都偷看？

10. 為什麼公司文件都要備份在你們能看到的地方，還有秘密嗎？

11. 哎喲，媽媽誒，勒索病毒是怎麼回事，我們公司安全好像很薄弱誒，明天上班是不是就中招啊？

我想說，各位親愛的同事，我們安全人員沒有時間去看你備份的文件，沒有時間去看你QQ聊什麼，哪怕你在QQ群裡面做老司機開車，企鵝都知道的比我們多。最後，如果平時你們都是按照我們的要求做了，甚至被我們強制打補丁了，那麼勒索病毒對公司來講，根本不是個事好么？

我們整天頂著老闆的不理解，要麼同事的抱怨，反正我們就是燒錢又很閑還會搞事情唄，那讓老闆撤掉這個部門好啦！

沒出問題大家都以為你是吃閑飯的

出了問題大家都確信你是吃閑飯的

嗯？這個回答竟然被踩到後面了

人性啊，都是懶的，而且看輕別人的難處，越是壟斷行業、趙份量重的單位，裡面的人越懶，人越懶的地方就越認為你是吃閑飯的，私企反而好些，越大的私企老闆能有安全意識的越多

兼職信息安全答一發~

領導要來視察，幾百萬的項目說上就上；

要測試網路安全？啥？十萬塊錢？這麼貴？算了吧……

於是，就這樣了唄……內網外網混在一起，我也很無奈啊。

防火牆啥都沒配，我也很無奈啊……你們電腦隨便配IP都不和我說，上新設備不和我說，讓我怎麼動手……

插上console就是干，嗯，防火牆是擺設~

伺服器宕機了，領導急了，我也很無奈啊……

啥，網斷了？為啥斷的？被攻擊了？dos是啥？現在不是都用windows了嗎？

待補充……

嘻嘻。

典型的平時很閑，大事露臉的崗位呀。

比如勒索病毒，咱不就露臉了嘛？

講道理，像勒索病毒這種外行看了賊厲害的東西，越多越好，鬧的動靜越大越好。

一個安全新人說幾句。

偶爾去過幾個甲方公司做交流，談到其他部門對安全部門的看法，

1、業務部門會說，他們（安全部門）就是吃閑飯的，我們業務部門能忙死，他們可以閑死。

2、財務部門會說，他們就是買牆的，年年花很多錢，沒看到啥回報。

3、管理部門會說，有啥事找安全部門的去幫忙，他們很閑。

4、安全部門的說，我們其實很忙，每天從早忙到晚，一個小小的漏洞就謹慎半天，天天各種問題，各種滲透，就害怕出現啥事情，各種。。。

只能和大家說平和一下吧，目前國內很多甲方領導確實不是特別重視安全部門，但是在近期6.1網路安全法發布，還有各行業的監管部門明文強調後，安全部門還是慢慢的地位上升了的，尤其是勒索軟體事件後，甲方領導是很重視的，對安全的理解又上升一步。

再就是，安全部門負責的事情是很瑣碎的，大到整個集團的網路安全，小到每個基層員工的電腦鎖屏。。都是要負責的事情，所以作為安全的負責人可以適當的在領導面前或是同事面前亮亮相，讓大家知道安全部門每天也在工作，而且也很忙。

怎麼亮相呢？可以針對目前的國家政策去執行

比如《網路安全法》規定的各項內容，比如國資委辦公廳發文的《進一步加強中央企業網路安全工作的通知，比如銀監會、證監會、保監會發的各項條文，都可以作為依據督促領導去重視網路安全，重視員工安全意識。

然後可以針對全員的網路安全意識做一些培訓普及，讓全員都重視起來，那麼安全部門的壓力會小很多，普及的方式有很多種，做培訓、做安全周、安全日、貼各種海報、發期刊等等。。。

只有讓全員都動起來，才能讓他們理解安全部門的苦衷

小時候學過美術，個性叛逆，也學著在牆上畫畫被老爹暴打一頓，然後隔天飯桌上說：「你看看隔壁孩子美術學得多好！你怎麼不發狠練呢？」

「你還是換個兒子吧，我沒你這個爸...」

我的意思是...就是這種你做你說就是犯賤。

隔壁孩子全都對。的感覺...吧...

可能老闆是誠招反面教材於是選上了我。

職務要求：

三觀正確不怕嘲諷揭短。

能力全面請把黃點加滿。

思路精鍊可以加班很晚。

點評挨噴互相傷害並卵。

敲黑板：我在網路安全法下申明，我是信息安全聯繫人，不是負責人，也不是責任人。

14年從某安全公司來到當前這家單位（銀行），從1個人到現在3個人，基本是經歷了從0.1到1的過程吧。和很多互聯網公司從0到1不同的是，銀行有安全合規文化和傳統風控意識，所以是要比0高一些的，但也高的有限。

預算：

銀行是強監管的行業，所以安全投入從歷史來看，都是逐年遞增的。當然也和單位的規模和業務發展相關的，業務發展快，錢和人都會到位，業務發展不行，錢和人都要停一停。當然，有安全事件的話具體問題具體分析。

花了錢，說的清楚投入產出比最佳，再不濟，也要呈現效果。比如，上了風控花了200w，但是活動敢搞了，70%羊毛給真實用戶了；簡訊驗證碼一年的費用降低了100w；少了很多傻白的用戶驗證，用戶體驗提高了，那這200w業務和領導都心甘情願。

可領導要是問：你錢花哪兒去了，那就尷尬了。

資源：

這裡主要提3個資源，政策、領導、IT基礎。

政策，大環境來看，國家重視，行業重視，如頒布法律，下紅頭文件，出指導要求，年度評級，現場檢查，風險提示、通報批評等等。

領導，這個，應該都深有體會，千言萬語，不如領導批複：同意/無異議。領導的信任不容易建立，也要對得起領導的信任，安全從某種意義上是一種控制手段，你要為給你資源的老闆技術兜底的。

IT基礎，安全是建立在IT建設的基礎上的，IT基礎搞的不好，安全也不會好。銀監會年度評級重要指標，安全板塊扣分多的，IT風險、運維都跟著扣分。基礎搞的好，IT從業人員安全意識也會比同業要高，比如我們很多交易類系統開發哥們就搞的清楚密碼學基礎。

困難：

1、存在感和使命感，IT在銀行就是中後台，安全更是IT的後台，要放好自己的位置，比如自問一下，做好你的每次高層彙報了嗎？

2、自研水平太弱，銀行1個人都要掰3瓣用，合規/風險/審計/安全等都要做，專業化團隊在大銀行有，中小城商行較難，基本靠商業解決方案+落地定製化。

安全事件：

大力丸的一種，短期驅動，凸顯存在感，多了容易乏力，每到這個時候，很多單位才明白，搞那麼多控制流程是保命的。

建設過程：

3年時間，有幾個層面的改變：

1、從過去零散的部署設備、軟體到體系化的縱深防禦；

2、從過去只關注運維安全到關注全生命周期；

3、從過去作為應急開關到擁抱業務；

4、逐步積累和提升安全工程能力。

所以，痛並快樂的堅守著，其中滋味自己體會最深。

招人：

這幾年，銀行的薪酬吸引力是呈直線下降的，證券有比擬互聯網的薪酬，招人難，更難的是沒有招人名額。我們15年有外招名額，沒找到，現在都內部轉崗。

乙方溝通：

沒有絕對的甲方、乙方，甲乙目標和訴求交集又衝突，甲方結合自身用好乙方是關鍵，乙方也會很願意配合思路清晰的甲方。

另外，乙方的工程師水平也是個加速下跌的過程，傳統為企業安全服務的廠商用青黃不接也不為過。歡迎有思路、有解決方案和能給我們發展帶來價值的乙方。

最後，歡迎交流，就不匿名了。

一個成功的安全運維人員的標誌就是老闆想裁點這個部門。

話題好大。我搭車招人。

小團隊，專門給小公司做測試和修復，

便宜，效率高。

遇到最多的是，有些小公司的管理軟體或者公司的頁面管理系統，分明就是剛學習編程的大學生的作業級別，毫無安全性可言，不用說連傳輸信息都沒有任何加密，就連軟體本身都是能用就行那種級別，有的小公司「象徵性」的找我們簽合同做測試，然後看到從計算機系統設置，到各類系統程序，最後再到資料庫，我們列出的100多項問題，負責人眉頭一皺說:「哪有這麼嚴重，平時用也沒啥問題」。然後就先理由不修復，「將就」用了。

真恨不得多來幾次勒索病毒之類的，能暴漏多方面問題的那種病毒。

真應了那句:沒事的時候都覺得做信息安全的是吃白飯的，有事發生了覺得是白吃飯的。

G20之前，領導問我，我們單位的上百個網站，能夠保證百分之百不會被黑的有幾個？我說，除了我自己親手管的那兩個以外我都保證不了。然後領導就一臉的要你何用的表情。

你妹的單位幾十個系統上百個網站就我一個安全人員還是兼職的，系統也好網站也好，建設方案不用我看，上不上線不歸我審，運營期間我也沒許可權看日誌，安全檢測掃出各種奇葩漏洞當沒事一樣，建議領導至少暫時關閉外網訪問吧，領導說會影響工作開展。平時一找運維，運維就都嫌我事多，開發公司覺得只要領導點頭就好，再爛的系統也能收到錢，一個身份認證介面漏洞足足放了十年愣是不改，我TM還要給你確保百分百不會被黑？神仙也做不到啊

最困難的永遠是…領導不重視安全。

最後說一個讓我們汗了很久的老梗:某天和領導說要追加安全項目預算，說如果不如此如此做就有被入侵風險。領導聽了半天問，我們被入侵的幾率有百分之多少? 下面一班人目瞪口呆！

作為主要負責人幹了三年，最近經歷的永恆之藍，讓我出盡風頭，採取果斷措施，全網沒有中招，但是我們的用戶門怨聲載道，我們還得挨個的把脫管的機器升級打補丁，版本特別多，真是大工作量啊。發生時間還在一帶一路得敏感時期，十一局那會真是一天好幾個通知，以上

我就連公司電話出了問題，都能修了，經常就是，我電腦沒網了，我的word打不開。電腦死機了～？？？