一個人的安全團隊做點什麼呢?一個人負責安全,首先這個人相對於運維是獨立的。安全範圍很廣,不展開來討論。
這個人一定是有重點的,面面俱到不可能。這樣就要分場景來描述了。
場景1.負責***。這是互聯網公司最迫切需要的。很多就先找個***測試的來挖漏洞。保證上線代碼的安全。
場景2.負責項目管理。傳統架構企業大多購買商業產品,依賴第三方供應商和服務商,對應急響應沒互聯網企業要求那麼高。而且線上產品不多。核心業務也不在線上展開。特別是處於安全建設期,需要設計方案,產品定型,選擇供應商,實施項目等等。這也是大多數乙方轉型甲方的切入點。
場景3.安全管理。這也發生在傳統架構企業。當安全建設完成,又有第三方供應商進行支持,然後本地又由運維部門負責技術支撐。要做的就變成安全體系建設,安全運維流程,安全審計等等工作。
場景4.安全架構。互聯網公司會有架構team,這時對產品的開發,必須導入安全,這要求比較高了。需要熟悉安全開發。通常會和場景1聯繫在一起。
一個人的安全團隊,更多需要高層和運維、開發的支持。不可能單打獨鬥。很多時間是參與到協調會議中