企业安全建设技能树v1.0发布

安全运营君哥的体历 2018-10-28

技能树包括说明、安全观、安全治理、通用技能、专业技能、优质资源六部分。

企业安全建设技能树v1.0

2018/10/20 发布

by @君哥的体历 @立言 @xysky

后续动态请关注：jungedetili（君哥的体历）

技能树疑问和沟通，请添加文末君哥微信

如有帮助，请打赏一杯咖啡

1.说明

关于企业安全建设实践，关注企业安全最后一公里的问题
安全有效性和最佳实践，从解决实际问题出发
有关企业安全建设技能树任何疑问和沟通，请添加文末我的微信

2.安全观

安全本质

互联网本来是安全的，自从有了研究安全的人，就变得不安全了
计算机用0和1定义整个世界，而企业的信息安全目标是解决0和1之间的广大灰度数据，运用各种措施，将灰度数据识别为0（不值得信任），或1（值得信任）
信任是信息安全问题的本源，不同的信任假设决定了安全方案的复杂程度和实施成本
安全需要找到某个自己可以接受的“信任点”，取得成本和效益的平衡

安全原则

持续改进

安全防御技术本身并没有革命性的变化
持续改进，PDCA的循环，螺旋式上升，是信息安全的第一个原则

纵深防御

从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系，是信息安全的第二个原则

非对称

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的
对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题
破坏比建设要容易
安全防护人员需要非对称思维，如：蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件
认识到非对称，并找到解决非对称问题的方法，这是信息安全的第三个原则。

安全观安全

对于信息安全人员来说，最重要的是“安全世界观”的建立，即解决安全问题的思路，以及看待安全问题的角度和高度
我的安全观：信息安全就是博弈和对抗，是一场人与人之间的战争。交战双方所争夺的是对信息资产的控制权，谁能够在博弈和对抗中，牢牢地把控住各类信息资产的控制权，谁就取得了胜利

正确处理几个关系

管理与技术

安全政策和流程如果没有技术和自动化手段保障，无法有效落地
脱离安全技术考虑的安全政策和流程也有可能失效

例如管理10台和10000台服务器，用同样的安全政策和流程肯定是行不通的

没有管理的辅助，可能会变成“为了技术而技术”的“自嗨”

企业安全建设中，技术很多时候不是困难，至少不是最重要的点
技术人员能跳出技术思维，站在更高层面去思考安全问题解决方案，安全人员的境界就提高了好几层

业务与安全

本质上，安全是一项服务

如果安全方案和安全要求设计时没有最大化这种服务的价值，那么在充分竞争的情况下，安全团队也是要被市场淘汰的
安全方案和要求，能够在少降低甚至不降低业务发展的情况下还能保障安全，业务团队和开发运维当然是欢迎的，毕竟谁愿意冒着巨大的风险强行上线新的业务

坚持安全服务的做法，会让安全团队之路走的更为顺畅

甲方与乙方

甲方

应对自己承担的职责负责
不管用什么方法方案，结果是必须搞定安全问题
识别什么是能搞定的方案和哪些是方案中靠谱一员的乙方

乙方

对自己的承诺负责
合同落地才是刚刚开始，解决甲方问题

3.安全治理

安全战略

战略一致性

信息安全战略应与公司战略、IT战略保持一致
信息安全应服务于公司战略、IT战略
信息安全战略目标来源于公司战略和IT战略的目标分解

建设与公司业务规模、IT规模相匹配的安全水平
安全是生产力和核心竞争力

安全组织架构

公司级信息安全委员会
部门级信息安全团队
业务部门信息安全专员
安全职责

信息安全委员会负总责
信息安全团队负责具体落实执行，并对结果负责
各业务部门负责本部门信息安全责任，并对本部门结果负责

业务赋能

了解业务

业务模式是什么
业务盈利模式
业务核心流程
业务架构
支撑性的业务流程和职能
业务职责分工
关键业务人员和业务团队
核心业务能力
核心业务系统
技术团队关键人员

业务对信息安全团队有信心和信任
业务与信息安全团队相互背书
安全为业务服务

减少资损（创收）
降低系统性能压力（降本）
智能预警威胁感知（提效）
同人模型降低安全交付认证复杂度（提升用户体验）
安全应急和危机公关（保持和提升品牌公信力）
积累风险库和模型反驱动业务规则优化（反欺诈、降低坏账等）

风险管理

管理原则

事前预防为主
全面性
成本效益

风险偏好与容忍度
组织架构和职责

董事会
一道防线：信息科技部门
二道防线：风险管理部门
三道防线：稽核审计部门

管理领域

IT治理
信息安全
信息系统开发、测试和维护
信息科技运行
业务连续性管理
外包管理
内部审计
外部审计

管理手段和流程

操作风险管理三大工具

RCSA（Risk Control Self-Assessment，风险与控制自我评估)
LDC（Loss Data Collection，损失数据收集）
KRI（key risk indicators，信息科技关键风险指标）

管理流程

风险识别
风险分析与评估
风险控制
风险监测
风险报告

报告机制

逐级上报
IT业务条线、风险管理条线、审计条线各自汇报

监控指标
监督检查
制度和公文管理
业务连续性管理
分支机构管理

安全规划

几个因素

凡事预则立，不预则废
看起来高大上，实际实施又接地气
企业战略规划、IT战略规划、信息安全三年规划、XX年工作计划，是自上而下、一脉相承的
时间因素、监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现

规划框架

概述
安全目标
现状和差距分析
解决方案和计划
当年重点项目和重点任务
上一版安全规划目标差距分析

制定步骤

调研

三个问题（难回答版）

未来三年，本团队要做的最牛的三件事
未来三年，你认为世界最好的团队会做哪三件最牛的事（我们不做的原因）
未来三年想做但没敢写入规划的三件事；本团队领域，很有价值但技术没有可能实现的事情

三个问题（简答版）

这个领域最好的团队做什么（最佳实践）
我们在同业处于什么水平（自我感知）
我们的现状（存在哪些差距）

实地调研

向大型互联网企业学习

拥有一定的安全圈人脉资源也是企业安全负责人的必备要求之一
多参加这些互联网企业举行的年度会议

向同业学习

向规模比自己大的企业学实践中遇到过的问题
向规模差不多的企业学习了解资源配置情况
向规模比自己小的企业学习单点突破能力强的领域

确定规划目标、现状和差距

总体目标，应尽可能清晰、简洁

通过综合应用各类安全解决方案，发现并预防各类安全风险
能够承受除DDOS以外的黑客高手或者黑客集团的攻击
内部系统能有效防止非专业人员有意或者无意的数据泄露
能发现对内部重要服务器的普通内部黑客的攻击
对人员进行安全合规教育、违规、违纪现象持续降低，安全审计发现持续降低

具体目标，应尽可能明确、数字化

非本企业组织的互联网系统漏洞发现为0
安全防护100%全覆盖
互联网基础设施风险在2小时内化解
自动化验证平台100%覆盖所有管控措施
管控措施失效能够在24小时内发现

注意事项

目标绝对不合理
实现目标的行动必须合理

建议

目标一定是从上往下走
目标必须是个人的目标
每一个人承接的不是目标，而是一套解决方案

SMART原则

Specific
Measurable
Attainable
Relevant
Time-bound

制定解决方案

体系化
可持续
可接受

迭代修改
向上层汇报
回顾

一个看似一般但严格执行的规划，远胜于一个看似很好却无法或未能执行的规划
安全规划目标分解落实到安全重点项目和工作任务
重点项目和工作任务分解落实到安全团队每位员工的年度绩效考核
每季度开展一次重点项目和工作任务的回顾
每半年开展一次安全团队员工绩效的回顾
回顾后需要制定针对性的改进措施
方向可以大致正确，组织必须充满活力

安全体系
安全度量

一项工作不能测量衡量，就很难提高
技术维度

防病毒安装率、正常率，安全事件响应时长、处理时长，高危预警漏洞排查所需时间和完全修复时间
安全运维平台可用性、事件收敛率
合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等

安全运营成效

覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带，安全能在企业内部推动的多深入，多快速
检出率和攻防对抗成功率都是衡量安全有效性的重要指标，安全不能靠运气和概率活着

安全满意度和安全价值

安全对业务支撑的能力，TCO、ROI，安全用多少资源，支撑了多少业务
内部的影响力以及对业务的影响力

4.通用技能

安全推动

如果资源是无限的，每个人完成了配合工作，都可以发一枚钻石，那这个就简单了，可惜资源是有限的
考核和晋升是组织活力、推动工作的重要手段

分赃要分好，还要及时分

免费的胡萝卜

表扬
排名
通报
扣分
给荣誉奖项

人怕见面，树怕剥皮，为了推动工作，达到想要的目标，找到关键干系人。一次不行两次，两次不行再来，多去找几次，见面谈，成功概率很大

安全考核

考核评价体系与原则

几点原则

赛马胜相马，让员工在实际的工作岗位中竞争，选出最终脱颖而出的人才
KPI的考核成绩是德、能、勤的函数在概率分布下的结果
长短期利益相结合

现金收入是短期利益，是个人价值贡献回馈体系的一部分
承担重要领域、重要任务的机会，让员工实现的个人价值提升，属于长期利益
只有日常工作的辛勤积累，才能造就每年的丰硕果实，体验奋斗带来的丰收喜悦

企业应该将部门利益和个人利益挂钩

如果部门因为某个员工的努力获取了利益，就应该以某种形式反馈为员工利益
如果因某个团队的努力使部门获取了利益，也应该以某种形式反馈给团队，再由团队以公平的形式反馈给员工

评价员工的要素（德能勤绩）

德代表思想品行

这活给钱我干，不给钱我也干

能代表能力

别人不行，我行

勤代表工作表现

别人休息了，我拼搏

绩代表绩效

白猫黑猫，抓了老鼠

奖惩机制

奖励与惩罚并重
物质奖惩与精神奖惩相结合

充分利用好人的趋利主义动机和精神主义作用

人才选拔机制

择优

择优包括品德、绩效、能力、贡献、合作、责任

奋斗

奋斗包括额外工作时间的投入

企业应当创造多种机会以便于人才的脱颖而出

虚拟条线
轮岗锻炼
跨界学习

管理者的权利和义务

管理者负有帮助下属员工成长的责任
下属优秀员工的数量和质量是管理者绩效的重要指标

考核对象

团队

总部IT部门

总部IT部门安全团队
总部IT部门非安全团队

总部非IT部门

业务部门
职能部门

分支机构IT部门（或有）

分支机构IT部门安全团队（或有）
分支机构IT部门非安全团队（或有）

分支机构非IT部门

业务部门
职能部门

个人

总部

公司安全负责人
总部IT部门负责人
总部IT部门安全团队负责人

分支机构

分支机构IT部门负责人（或有）
分支机构IT部门安全团队负责人（或有）

公司员工

团队考核指标

安全事件数
合规率
安全建设项目完成率
扣分项
IT部门内其他团队对自己的安全结果负责，安全团队对整个部门的安全结果负责

个人考核

结果第一，过程也是为结果服务，能力必须通过结果体现
职责和职级匹配，薪酬高的员工，就应承担同等薪酬的职责和绩效考核
建设性、事务性工作结合，工作和学习结合，多维度考核

考核方案

考核内容
考核周期
考核权重
考核分数
考核注意事项

防止恶性竞争
大小团队规模不均带来的公平性问题
防止秋后算账
5%实现100%的效果
正向还是负向激励
没有唯一标准答案，在于实践
内部问责

安全汇报

安全汇报是管理好你的上级非常非常非常重要的一环
理论上汇报层级越高，越能拿到“令牌”，管理权限越大，推动一些基础安全措施时会更顺利一些
汇报对象

监管层
公司经营管理层
跨业务和IT的跨部门
IT部门和总经理
安全团队内部

汇报形式

正式会议
正式报告
正式流程阅签
邮件和非正式汇报（电话、微信，吃饭和路边交流）

汇报载体

PPT
Word
邮件、短信、微信等一切可以传递交流信息的载体工具

汇报目标

进展和问题报告（沟通信息、取得理解）
结果和成果（讲成绩也讲问题）
要资源和支持
推动工作（表扬先进督促后进）

安全团队管理

在企业不同阶段，会采取不同的安全团队建设策略
文化建设

格局为先
认同价值
专业自信
处处用心
养成习惯
培养洁癖

意识建设

客户意识
责任意识
风险意识
创新意识
学习意识
沟通意识

能力建设

团队成员有能力离开，团队成员不愿意离开
细分团队职能

安全管理

监管要求和行业组织标准

国家法律法规

中华人民共和国网络安全法
商用密码管理条例

国外法律法规

GDPR
反洗钱

监管机构

中国人民银行
银保监会

商业银行数据中心监管指引
商业银行信息科技风险管理指引
商业银行业务连续性监管指引
银行业金融机构重要信息系统投产及变更管理办法
银行业金融机构信息科技外包风险监管指引

证监会

证券期货经营机构信息技术治理工作指引(试行)
证券期货业信息安全事件报告与调查处理办法
证券期货业信息安全保障管理办法
证券期货业信息系统审计规范

公安部

行业组织

物理安全相关的GB 50174-2017 《数据中心设计规范》
数据安全相关的GB/T 35273-2017《信息安全技术个人信息安全规范》
等级保护相关的GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》
JR/T 0068—2012 《网上银行系统信息安全通用规范》
JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》

最佳实践

ISO27001
Cobit
COSO
ISO20000

企业已有制度和流程

企业级制度
其他部门相关制度
信息科技部门相关制度

监管要求符合性分析和排查技能
安全检查技能
安全风险监测技能
应对内外部审计和检查的技能

安全技术

参见专业技能

建设路径
与其他团队关系处理

安全人员招聘

招聘原则

小胜在智，大胜在德
价值观一致
用人所长
中低阶考察做过什么，高阶考察过往经历是否成功

招聘渠道

熟人口碑，成功概率更大
猎头
各大媒体

freebuf
安全牛
secwiki
安在
安全大V公众号、知乎

厂商管理

建立软件厂商安全标准并监督落实
对软件厂商交付的代码进行黑盒检测，有条件的白盒检测
发现未满足安全要求的进行整改，并追究内部人员（安全测试和开发人员）责任
安全要求写入合同，反复违反的进行高层约谈和行业通告，特别难推动的及时向监管层报告

产品选型

自己的需求和想解决的问题放首要考虑因素，对产品功能的预期一定要克制
Gartner魔力象限
用过的同业的评价
细致测试

安全知识更新

首选纸质书、首选纸质书、首选纸质书
安全会议
网站、论坛、手机app
打造自己的知识管理体系

每天半小时深度阅读
每天半小时速览各类安全新闻、热点安全事件
保持一定频度自己动手练习，保持基本奔跑能力
注意积累安全素材，进印象笔记（有道云等等）

安全认证

认证分类

Hacking & Pen Testing certifications
Computer Forensics certifications
Management/Others certifications
Auditing Certifications
Web Applications Security certifications
Vendor’s certifications

认证机构

(ISC)²
CompTIA
Offensive Security
ISACA
GIAC
Mile2
EC-Council
EITCI

十大热门认证

CISSP
CISA
CISM
GSEC
CRISC
CEH
ECSA
GPEN
CompTIA Security+
SSCP

安全价值展现
安全意识与培训

培训对象

企业高管

了解金融企业信息安全战略方向
信息安全相关法律法规
主要的信息科技监管要求和监管趋势
金融科技时代下信息安全新形势和管理新特点
信息安全组织架构
金融企业信息安全的特性
主要的风险事件案例
“大数据时代下的个人隐私保护”“大数据时代下的个人隐私保护”等

中层管理者

信息安全基本概念
信息安全相关法律法规
信息科技监管要求及趋势
信息安全管理体系
主要的风险事件案例
业界最新风险防控思路及措施等方面
理解什么是信息安全，为什么要重视信息安全，本人管辖领域内哪些工作会涉及信息安全，以及怎样做好信息安全风险防控

所有部门基层员工

信息安全相关的制度和流程的具体内容
信息安全行为相关的法律法规
敏感信息保护要求
敏感信息泄露行为导致的不良后果和真实案例
违规处罚措施
基本的信息安全操作技能和防护手段等方面
帮助基层员工树立信息安全保护的理念，提高合规操作、风险防范的意识，掌握具体的信息安全风险防控技能，降低员工工作疏忽、操作不规范或有意泄露造成的威胁

信息科技员工

开发测试人员，应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、安全要求，代码审计相关知识，以及系统和应用安全常见漏洞的原理
运维人员，应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等

外包人员

金融企业外包制度和流程的具体内容
金融企业信息的分类和信息安全保护具体要求
与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面

外部用户

具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等

培训形式

现场培训
Elearning在线培训
内外部信息安全专栏
以赛代训
实战演练
信息安全活动宣传周、宣传月
无处不在的安全宣传

宣传动画、海报、易拉宝、屏保、邮件、安全知识笔记本

定期发送风险提示
信息安全智能机器人系统
外部提供的信息安全培训组合服务

培训时机

全员每年例行做
员工入职马上做
高危人士时常做
专业人士专场做
特殊事件重点做

培训矩阵

培训对象
培训内容

安全审计

审计其他方

审计准备

审计目标
审计对象、重点
审计范围
审计计划
审计工具

审计执行

（也可以不通知，如飞行审计、抽查突击类审计）
审计手段

安全评估
审计特有的工具与方法

抽样数据测试
穿行测试
监督环境下的流程重放

沟通审计结果
审计结果跟踪

结果复测
验证审计与后续优化效果

迎接审计

审计准备

针对审计提纲准备
被审计人员安排
先行内审一次

审计执行

按需提供
不清楚不乱答
边审边改
不害怕暴露问题

审计沟通

不卑不亢，论事实和依据
积极沟通，反馈支持性材料
审计问题描述和定性要慎重
问题当事方要确认，双方领导要确认

问题整改

内部分工，制定措施和计划，落实责任到人
定期跟踪和反馈
因故无法整改，应说明情况，取得支持或理解
举一反三，以查促改

安全总结

总结内容

内外部监管任务落实情况
全年安全事件和安全指标完成情况
安全管理体系建设

安全预算和费用

安全预算比例
预算分配（三三三原则）

1/3投入到外部情报收集
1/3投入到安全感知系统建设
1/3投入到防御系统的建设

ROI和TCO

财务收益
非财务收益

公共关系管理

监管机构
风险合规部门
业务部门
同业
安全同行
向互联网公司学习

软性技能

时间管理
沟通管理
团队协作
冲突管理
激励

Office能力

Word
Excel
PPT
yEd
Visio
FreeMind

自我管理

职业规划
安全从业者的未来

5.专业技能

应用安全

安全开发生命周期管理SDL
代码审计
黑盒测试
Web安全
App安全
安全资产管理
漏洞管理

漏洞扫描工具
漏洞生命周期管理
漏洞管理工具

内网安全

安全域隔离
邮件安全
身份认证
安全热点问题解决方案

勒索软件

数据安全

客户资料保护
终端数据安全
数据泄密溯源

业务安全与风控

DDOS
反作弊、薅羊毛、刷单刷劵、黑名单黑设备、封号、反外挂等
业务风控

由于业务本身的活动与环境造成的各种风险的应对与管控

安全运营

安全防护框架
安全运维框架

威胁情报

安全验证框架
安全度量框架
安全大数据平台
SRC
安全应急

新环境下的安全

新技术应用可能会颠覆安全原有的体系、框架与技术
云计算运用下端管云安全
IoT设备的系统与硬件级安全
工业控制系统安全

内控合规

外包管理
安全合规

应急响应

事件分类

针对互联网应用的攻击事件
针对企业内网的攻击事件
来自内部的信息泄露事件

PRCERF模型

准备
检测
抵制
根除
恢复
跟踪

技术准备

Windows通用工具包
Linux通用工具包
Web应用专用工具包
平台建设

第三方文件分析平台

~ VirusTotal，https://www.virustotal.com
~ 微步在线，https://x.threatbook.cn
~ 腾讯哈勃系统，https://habo.qq.com
~ 金山的火眼，https://fireeye.ijinshan.com

人员技能

实际的应急响应过程中，一个熟悉企业现有整体安全管控手段又适当懂点业务或应用系统的安全人员，再结合安全攻防对抗经验，往往能在事件的应急响应，事中的及时止血、事后的溯源及现有安全管控手段的查漏补缺方面，都能发挥出很大的作用

6.优质资源

书

白帽子讲Web安全
Web前端黑客技术揭秘
互联网企业安全高级指南
企业安全建设指南：金融行业安全架构与技术实践（11月底上市发售）
刑法
网络安全法
原则

站点

知乎
Secwiki
看雪学院
Freebuf
i春秋
安在
安全客

微信公众号

君哥的体历（jungedetili）
兜哥带你学安全（waf_ads_ids）
美团技术团队
腾讯安全应急响应中心
看雪学院

RSS订阅
安全平台
安全会议

Qcon大会安全分论坛
ISC互联网大会
各大甲方公司安全峰会

唯品会安全峰会
腾讯TSRC年度会议
京东安全峰会
西安CSS峰会
补天白帽大会

行业会议

银行业信息安全会议
证券行业协会信息安全会议

金融企业安全建设群线下闭门会议（北京站、上海站、深圳站）

知识管理

你们知道，而我们做到了
快速阅读、深度阅读、实践
工具

印象笔记
微信收藏分类

企业安全建设技能树v1.0 html版、图形版下载地址：

链接:https://pan.baidu.com/s/1yDPmstTA9coHorL3giteVw 密码:4woh （非长期有效）

附注：

聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。
本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。

声明：本文来自君哥的体历，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

安全运营

相关资讯

微信公众号