安全部门的自我定位

一个公司对安全部门的定位应该是多方位的，不同视角对安全的期望和定位会有很大差异，会直接导致安全工作的开展，例如：

• 公司对安全的定位：不出事，少花钱应该是多数公司的定位，甚至是“不出事要你何用，出了事情要你何用”的尴尬定位；

• 业务对安全的定位：别搞我，少烦我，同样是多数业务部门的心声，轻者勉励配合，重则见安全如见瘟神。

这个时候安全对自我的定位就很重要了，上面都是客观存在的事实，但不代表正确，因为行业不一样，对安全的理解是不一样的，而安全负责人应该是要清楚的，这时的自我的定位往往决定了未来的方向，如果定位是救火队，最后可能会成为杰出的救火英雄，而我们的定位如下：

• 自我定位：服务业务、集中资源，统筹规划，翻译成人话就是业务优先，不能为了安全而让业务死掉（是的，我们不是安全第一），而集中资源，统筹规划是因为安全的成本并不低，集中资源和统筹才可以用尽量少的资源来获得较大的成效，安全需要考虑成本。

从结果上来看，按这个定位，一步步走下来是可以获得公司和业务的理解与支持。目前我们负责了全集团安全，通过集中化的平台以较低的成本输出各种安全服务来支撑业务，并不断的提高安全效率来让业务感受到安全是和业务一个方向，获得业务的理解和支持。

安全部门组织架构

我理解的安全组织架构并没有好坏、也没有标准之分，只有适合不适合，因为每个公司环境和发展阶段都不尽相同，我们的安全组织架构经历过三个阶段，如下：

（1）扁平化架构

其实就是穷，几个人的安全部还要什么组织架构不是。这个阶段的特点是每个人都身兼数职，安全运维、渗透、开发混在一起，大家工作起来也不分你我，效率其实不低，但问题是虽然能救火，但长远规划很难落地和做精，过了救火阶段后就不适合后面的阵地战了。

（2）攻、防、开发为模型架构

这个阶段特点因为资源相对充足点了，可以专人专事，而一般负责人的精力也不足以支撑超过10个以上同学了，因此这个阶段将部门以攻击、防御为视角进行了拆分，主要目的是：

• 明确职能，专人专事来保障结果与质量；

• 通过攻击团队来发现问题，以攻促防；

• 通过防守团队进行安全建设，构建防护体系，检验攻击效果；

• 通过开发团队来输出系统、平台，提供火力支援。

这个模式我们进行了很长一段时间，但后续问题也开始凸显，即评价体系难以落地，因为安全监控、响应分散在攻击和防守团队中，让自己评估自己是没有意义的。

（3）攻、防、检测、双开发模型

为了弥补裁判的问题，这个阶段将团队进行了进一步的拆分，将安全检测独立出来，负责安全分析、规则维护、事件调查与响应，以及将开发团队也拆分为两个小组，主要的目的如下：

• 形成，攻击、防护、检测的三角模型，三个部门可以互相检验和促进；
• 开发分为两个小组，分别为：
• 防护体系开发，即我们的零信任架构体系开发，支持防护体系的建设和提升；
• 检测体系开发，即我们的SOC、SADB、可视化分析等系统开发，支援安全分析能力的提升；
• 满足大家职业发展的需求，对管理方向的提供上升空间，技术方向提供专精空间。

招聘职位定位于分析

（北京地区）

这是篇硬核招聘文，这里是我们迫切要招的一些岗位，在这里对阐述下对这些岗位的定位与规划，当然最好的体验是加入我们！

（1）高级开发工程师

负责零信任体系中很非常重要的Linux agent、server端开发，我们的零信任定位是统一架构全端覆盖，包括服务器的覆盖，这个岗位会负责Linux端agent、server端的功能迭代。

游戏行业是会遇到真实的APT攻击，也会遇到很专业的rootkit、入侵手法，因此这个岗位在入侵检测技术对抗上会有很真实的挑战，以及会从攻，防，检测团队中获取一手需求与反馈来改进系统。

（2）业务安全工程师

游戏是完美世界核心业务之一，除此外我们还有很多互联网业务，因此在业务安全上，账号安全、薅羊毛、漏洞刷分等场景都会遇到。

这个岗位会借助我们统一分析平台的能力，协同业务，识别业务风险，建立风控模型，推动开发部门进一步完善平台能力。这部分的挑战在于，业务类型多变，如何找寻规则形成较为通用的方法，以及如何让安全数据发挥更大的价值。

（3）风控算法工程师

这个岗位是和业务安全工程师合作的岗位，即负责相关系统的开发。现有的SOC上我们已实现了实时、离线、机器学习、SOAR安全流程编排等能力，但在风控上还很薄弱，需要进一步丰富和完善风控模块和能力，给业务提供支撑。

另外借助零信任架构体系，安全解决了数据质量不高的痛点，可以形成完整的闭环，如何支撑这些海量数据的安全分析，更智能的关联，也是其中的挑战。

（4）渗透工程师

负责内网渗透、线上业务安全测试，通过内部红蓝对抗方式，推动安全运营能力的提升，用攻击来检验安全防守、分析团队的能力。

另外渗透工程师可以借助部门内的主、被动式扫描器，安全资产、钓鱼系统来提高攻击效率，以及将将重复性工作推动开发转为自动化的方式，让攻击测试也能效率化。

（5）安全运维工程师

负责零信任架构体系的实施、管理，运营。安全运维不是一个轻松的活，事实上充满了挑战，因为攻击团队只需要利用一个点就可以进行突破，而安全防守团队需要面对全集团数万设备，数百个业务系统的安全加固、权限管理、漏洞修复。

安全运维工程师一大方向是将繁琐重复性的工作转为自助和自动化，进而演变为以安全角度对业务整体环境进行评估，发现薄弱点并设计解决方案。毕竟没有人比安全运维工程师更懂业务。

（6）安全合规工程师

一直以来在合规上我们有着自己的想法，不请外部咨询顾问，所有的合规流程都自己走，这是因为合规本应该是安全最基本的要求。这里的挑战是如何找到业务和合规的平衡，保证合规的同时不要影响到业务的发展，将合规的需求融入到了安全体系、平台中，用系统来支撑合规。

这个阶段中我们希望把合规引导到数据安全方向，对合规的定位是对外、也对内，更要对自己，以合规推动标准化、数据安全系统化工程落地。

入职完美优劣势分析

任何一个选择都是有正有负，找到适合自己的是最重要的，因此我会从自己的视角尽量客观的分析入职完美安全的优劣势，希望对你的选择有所帮助：

（一）劣势

• 超大规模的场景：不是垄断型头部企业，没有春晚那类数亿人刷刷的超大场景，但有还算丰富的场景类型，安全各个领域都会涉及；（基础安全、渗透、移动安全、应急响应、业务安全、黑产等）

• 不成熟：无论是我自己还是系统、架构，我想是不如一线大厂的，事实上我们一直在不断试错，不断改进的路上；

（二）优势

• 讲人文关怀的公司：应该是少有让你每周都放下工作，强制你去学习的公司了，董事长对员工的成长关怀甚于你自己，公司氛围鼓励大家去尝试，去试错；

• 有理想的安全部门：追求卓越，希望真正解决公司安全问题的同时，可以提升自己，这也是为什么零信任架构、安全自动编排、等新技术，我们都乐于探索，并且有能力落地执行；

• 平等的工作氛围：没有森严的等级，勾心斗角的人际关系，有话直说既是完美的文化，也是部门的文化；

• 工作与生活的平衡：没有996、没有强制加班，只要结果棒，不加班年底绩效一样可以是S级；

• 友善的业务环境：没有山头、站队一说，业务普遍给予安全很大的支持与包容。（不然零信任架构也推不动...）

福利环节、福利福利福利

感谢你耐心的看到这里，写公众号是认真的，招聘是认真的，福利更是要认真，申请了两大福利：

（1）关注公众号,并转发有奖（3月18日 12:00截止）

• 转发本文，第一名，赠送完美世界 火炬之光游戏绝版大手办一个；

• 转发本文，第二、三名，赠送完美世界 姜小虎鼠年手办一个；

• 转发本文，第四 ～ 十名，赠送完美世界 好运茶二盒；

注：排名根据微信公众号后台统计数据，公平公正，需要先关注哦。

（2）推荐有奖（招满为止）

• 急招岗位：高级开发、业务安全、风控算法工程师，推荐入职后赠送 iPhone11 pro顶配

• 普招岗位：渗透、安全运维、合规工程师，推荐入职后赠送华为meta30 pro顶配

我叫何艺，甲方安全16年，目前负责完美世界安全工作，聚焦在安全管理、零信任架构、体系建设，安全架构和安全分析上，争取做个不走偏，服务型领导，欢迎加入我们。

欢迎推荐简历，邮箱：[email protected]

也可微信直投：

相关链接：

（1）招聘JD详细介绍 （也可点击原文查看）

（2）零信任架构远程办公实战

“ 尝试开始多做一些输出，即便是招聘也希望能带来点价值，不要浪费大家时间，如果觉得有所价值，请素质三连，关注、点赞、转发，后续会提供更多原创内容来感谢大家的支持。”

长按扫码关注