安全运营项目的工作方法

最新推荐文章于 2024-09-28 20:11:18 发布

安全乐观主义

最新推荐文章于 2024-09-28 20:11:18 发布

阅读量2k

点赞数 1

文章标签： systemd java datagridview dwr 编程语言

本文链接：https://blog.csdn.net/weixin_47208161/article/details/121759871

版权

本文探讨了安全运营项目的工作方法，从项目定义、运营要点、风险管理、沟通组织等方面进行阐述。强调了计划的重要性，包括取得干系人认同、范围划定、风险管理和评审。文章还指出，有效的沟通和组织、明确的闭环标准以及项目集管理是项目成功的关键。同时，文章提到了如何开会、制定计划、监控进度以及处理困难，提供了宝贵的经验和建议。

摘要由CSDN通过智能技术生成

安全运营是工作的一部分
安全工作的逻辑
- 安全团队是怎么运作的
- 定义安全运营项目
项目运营的要点
- 计划的计划
- 风险的风险
- 运营方案尽量要评审
- 过程的过程
- 做到有法可依
- 沟通和组织
- 进度的监控
- 明确闭环标准
- 项目集的管理
怎么去开会
- 准备的准备
- 会前会中会后
- 复盘的复盘
- PPT和WORD
- 帮助别人开会
遇到困难怎么办
写在最后
参考资料
本文信息量巨大，阅读大约需要二十分钟左右，建议加关注收藏后阅读。

日常工作中对接研发同学的一次漏洞答疑，写代码优化敏感数据的识别统计指标，处理应急响应，安全BP发起弱口令治理，日常的补丁管理，组织大型的国家级“HVV”专项，都属于典型的安全运营类的项目范畴。

安全运营是工作的一部分

我们做了大量的安全运营工作，这些事情以项目论起来有大有小，不同公司对这些从事这些一线运营工作的内容描述有“拿结果”、“push”、"落地"、“打法”、"主导"不同的说法，我比较认可“推动”的说法，通过运营专项推动工作达到预定的治理效果，”推“和”动“很形象地说明关于安全运营的主要工作：需要主动“推一推才动”，安全的特点确实是要做成一件事，合作方确实有很少的意愿去配合，所以需要有科学的办法去运营这些事情。

零零总总完成工作总是很容易的，但是首先要理解它为什么能完成？顺利和困难是偶然还是必然？是无意做出的决策还是有意遵循了什么逻辑？做到”知其然然后知其所以然“很难，虽然明面上运营这类事情有PMO( Program Management Officer 项目管理办公室)参与协助，但是PMO仅仅是运营项目的支持者和协调者，领域负责人必须承担全部的责任，这就考验为达成安全运营效果所要求的技术能力、沟通技巧和组织能力，参考基层安全管理者需要具备的素质。

临近年底组织内经常用运营专项的实施效果来衡量OKR和KPI的完成情况。虽然各种的安全运营专项的是安全部门运营工作的重要组成部分，但是回头看做得好坏并不仅仅取决于技术来实现，也负责人具备一些项目管理和软技能，将安全目标和企业运营逻辑“黏合”起来。

本文不讨论任何技术细节，而是以安全行业工作特点为例，系统化思考安全运营的本质，重点从项目角度介绍开展工作的基本功，仅仅是作为“井底之蛙”将浅薄的经验整理沉淀，希望通过同大家交流得到反馈。

安全工作的逻辑

在正式进入对这个问题的分析和探讨之前，我们很有必要整理下为什么我们要做这些安全专项？背后的思考逻辑是什么？公司各个团队是如何运作划分的？为什么分配你负责一个项目？

安全团队是怎么运作的

首先科普将安全作为风险管理的重要概念，各家组织最上级的安全战略决策机构，不管他们叫做什么风险委员会、首席风险官，集团安全办之类的，根据业界最佳实践会为了达到风险治理的目标从组织层面划分了三道防线完成整体安全目标：

第一道防线是业务部门自己，出现安全风险后，业务是第一责任人，安全团队承担同等责任，业务内部有负责一线研发、对接BP、专职安全测试的人员，保证一线和自己相关的层面不出现问题。

第二道防线是管理具体风险的专业安全部门。比如各家公司的业务风控和安全部门，也是安全从业者聚集最多的部门，一般划分为数据安全、风控、产品和IT安全多个团队。他们负责隐私保护、安全工具、渗透测试技术和应急响应工单系统等，构成大家最为熟知的安全管理防御战线。

第三道防线大家直接接触不多，但是有意无意都在配合，指承担审计、测评合规，做合规制度、监督、流程控制活动的部门，一般理解是为了”务虚“，实际上基本代表安全工作的目标。

那为什么组织内要运营大量安全专项呢？扫帚不到，灰尘是不会自己消失的，各个安全专项通过主动治理完成法律合规、数据安全，配合达成组织要求的战略目标。但是对于将要完成安全运营项目的压力不用自己背，公司在运营层面已经搭建好相关的治理框架，会提供三个成熟的管理体系来支撑：

风险管理

风险管理通过风险的识别、改进、度量、处置来管理内外部风险。管理Owasp Top10风险，SRC复盘漏洞工作，日常黑白盒漏洞发现、添加拦截规则等工作。

运营管理

运营管理通过指标体系、监督改进、报告度量、绩效考核从运营层面保证组织和人员的投入。比如日常的数据采集分析、运营漏斗模型，同业务沟通反馈风控策略，答疑安全sdk的使用等工作。

项目建设管理

项目管理是指某些待建设的专项来支持安全治理，采用项目管理的标准方法论。比如通过改进应用程序设计和基础设施架构提升安全性，例子包括建设一个容器waf、搭建开源kms、制定iot安全审计流程规范、供应链安全管理等。

公司根据上述的逻辑来划分组织架构，提供保障资源。这个前提开展安全运营工作的基本盘，你所有的合作，沟通，管理、反馈，安全运营涉及的闪转腾挪都是基于这些体系运转的。

定义安全运营项目

参考项目的定义，安全运营专项在组织层面的定义很清楚：由安全团队作为二、三道防线完成风险发现和指导技术和运营，敦促一道业务防线配合，达成安全目标而采取的运营管理要素的总和。说人话就是：除了技术之外，为达成安全的"做事逻辑和方法"，都可以归类为安全运营。

例子一：发起域控安全加固运营的安全运营项目，那么它有明确和具体的要素：

目标--解决某一领域风险（域系统）

工作范围--风险治理范围（并不仅仅是域控服务器，还包括打印机、exchange服务，但不包括未加入域的机器）

预算和时间质量要求--在攻击者利用之前修复和建设完成，保证无入侵视野盲区。

例子二：入侵检测项目运营

目标：具备入侵服务器的安全监测技术和管理系统

工作范围：IDC和办公网的资产