工作汇报如何体现安全工作的价值_如何让安全产生显性价值-CSDN博客

本文链接：https://blog.csdn.net/Karka_/article/details/136495868

每年的年底，都是各个部门向上总结、汇报当年工作成果的时候，安全部门也是其中之一。作为大家眼中的成本中心，做的好，往往意味着花钱也多，做的不好，往往意味着钱花的不值。对于企业内其他部门或岗位而言，会对安全部门的存在有着近乎天然的疑惑：

安全部门的同事们每天在做什么工作？

为什么我们已经有了测试部门，还要做安全测试？

安全部门对于业务的发展和拓展有什么样的作？

同样，作为安全工作的最高负责人（CISO或CSO），或安全部门的负责人（安全总监或安全经理），如何在年终汇报或向上汇报中体现安全工作的价值，不仅影响到管理层或其他部门对于安全工作的认识，而且影响到安全部门下一年工作的顺利与否，比如公司是否会增加到安全部门的资金预算和人员预算，是否会对安全工作提出更高的要求。最坏的结果是，企业管理层对于安全工作的不回应，这意味着对于管理层而言安全工作没有任何印象，也不抱有任何期待。

企业中的安全部门其实是 成本效益部门 ，也是 业务支撑和运营部门
，需要在保障业务开展的同时构建业务运行的安全保障体系，以及体系构建过程中尽可能的让企业打消对于安全工作“为什么这样”的疑虑。因此，作为安全负责人或管理者，职责包括：

管理层的沟通

资源、成本与预算管理

信息安全政策制定

法规与合规

信息安全风险评估

安全技术评估与选择

安全培训与教育

业务连续性

安全事件应急响应

供应链安全管理

持续监控与改进

但核心是需要将工作的结果或成果进行量化，如果无法量化安全工作的结果，那么无论是对于之后的安全工作，还是对于向上的工作汇报，都无法呈现相应的效果（怎么判断今年的工作比去年好，怎么判断明年相比今年要做哪些规划）。

所以， 安全工作汇报的核心在于成本效益和工作量化 ，并可以参考下面的模型评估安全工作的成熟度。

![read-normal-img](https://img-
blog.csdnimg.cn/img_convert/e891d4a5914b4b26e86c474a268f2c90.webp?x-oss-
process=image/format,png)

上图中的成熟度类似于CMMI模型中对于项目成熟度的定义，不同之处在于过程的描述。安全工作建设过程中，上述所有的职责内容如果归纳为三类工作，是安全的意识、风险的管控和安全的能力。

假设企业中每个人都具有完美的安全意识和行为，那么可以省去绝大多数日常的安全工作，因此无论在各种的安全模型和安全标准中，教育与培训始终是关键的工作之一，甚至是第一位的工作内容。

而企业风险的来源，假设在某个静止的节点企业方方面面都不存在安全风险，那么风险的来源是源于企业自身的演变与更新，主要是业务变更所引起的资产变更、人员变更、系统变更等，而变更便容易失去安全的控制措施或手段，因而安全部门最大的难点是对于这些变更的未知和失控，尤其是企业内部发起某个保密项目的时候，安全部门的一切控制手段可能都会被排除在外，在非办公区的私人住宅里组织新的团队使用新的设备建设新的项目。

上述成熟度等级中对于项目的描述，即是将企业内部的行为从项目角度划分后，安全工作对于相关项目的管控能力，包括系统的研发、资产的采购、人员的变更、网络的变动、资产的变化等等。能够达到等级3便代表着非常高的安全能力，而等级5则是更近一步能够对于企业的发展产生正向的、积极的作用。成本效益的含义正指的是，安全工作的成果一方面能够降低企业潜在的损失，一方面能够降低企业业务的成本损耗，甚至是直接的节约业务成本，比如，有的企业将业务系统交付给客户，由于客户对于待交付系统的安全要求或标准，导致系统退回重新进行安全能力的加强，从而增加了交付的周期和交付的成本，并影响到交付并发能力和人力资源的使用率，以及最终业务的年度规模。

除此之外，对于以软件为主要业务的企业，也可以使用OWASP
SAMM模型作为软件安全成熟度评估的模型，该模型从治理、设计、实施、验证、运营五个维度的十五个实践中分别划分了三种成熟度能力，比如GitLab公司的安全能力建设便参考了该模型。

仅仅使用上述的模型进行安全工作结果的量化对于向上汇报依然是不够的，对于企业高层而言，专业的术语和表达无异于是天书，模型能够帮助安全部门自我量化和评估工作的成果，但不完全能够呈现安全工作的价值，因此需要将量化的成果进一步转换为业务视角和企业管理视角。

一方面，需要安全管理者充分与业务部门负责人（business line leader）以及利益相关者（stak
eholder）进行充分的沟通，对于安全工作的政策制定、方法落地能够让对方给与充分的理解和支持，以及理解业务线运作的机制和逻辑，从而方便再制定政策和评估技术手段时考虑到业务的影响，并最终便于评估安全工作的开展对于业务运行的正面作用。
如果缺乏充分的交流与沟通，业务部门负责人或管理层则更多需要靠感觉来评价安全工作，可能辛苦一年之后得到一个毁誉参半的结果。

一方面，需要安全管理者时刻跟进与了解企业的运作机制与逻辑，除了安全风险的评估与控制，还有企业管理与运行中可能存在的潜在风险与效率瓶颈，比如业务连续性管理、系统的统一账户管理，在提升企业运行和运营稳定性和可靠性的同时，不仅降低了企业安全风险，也提升了管理效率与运行效率。

当将安全工作成果转换业务和管理视角，并按照所有管理层能够听得懂的时间和收益呈现，那么安全工作结果对于企业的价值便一目了然。
笔者曾经在某一年的安全工作汇报中，首先提及的便是当年安全部门400万+的收益，此收益是通过同其他部门的结算而取得的，因此那年安全部门的年终汇报只用了10多分钟，绩效是A+。

最终，安全工作的价值将会不仅仅局限于安全工作，而是之于业务和企业发展的推动作用。

作者：子午爸爸

2023年12月22日

洞源实验室

![read-normal-img](https://img-
blog.csdnimg.cn/img_convert/d58c11b9d6f4659041e122c7de9246ba.webp?x-oss-
process=image/format,png)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段