不久前雷鋒網(wǎng)編輯加進一個群，群里集合了天南海北的小哥哥，他們在群里開車，吐槽，撩妹（沒有妹，假裝撩），攪基，斗圖，求助，分享干貨，討論技術啊……

別誤會，都是正經(jīng)銀。他們身上有著相似之處：都在做或曾經(jīng)做過一個人的安全部。

幾天前某阿里面試官的一條微博把這群低調之人推向了大眾，不明真相的群眾們開始發(fā)射關切目光：一個人的安全部到底是什么樣的？聽起來很慘的樣子，期間有什么美好（狗血）經(jīng)歷？

（目前此條微博已刪除）

這就來聽他們聊一聊。

黑暗哥——如果人生還有選擇，我一定做個碼農(nóng)！

黑暗哥一個人干安全部一年多了，從事的主要是安全產(chǎn)品運維、開源安全產(chǎn)品的測試和搭建、安全應急響應、應用安全測試、安全培訓以及兼任運維工程師。（他在這個崗位后面添加了N個感嘆號表示不滿）

期間出現(xiàn)過種種奇葩事件，比如同事找你修電腦、裝系統(tǒng)、修打印機、拉網(wǎng)線，還有人真誠地請教為什么電腦會卡。

“說多了都是淚，孤獨啊，我和同事沒什么共同話題，更多時間都在自己學習?！?/p>

黑暗哥考慮過跳槽嗎？

如果是有團隊的甲方或者重視安全的甲方，他肯定愿意去的。但跳槽后待遇如何，要看對方是怎樣的公司了，很難說得清楚。據(jù)黑暗哥透露，之前有家甲方公司叫他去應聘，對方十分滿意黑暗哥，表示公司很重視安全，不僅要大力購買安全產(chǎn)品還要做等保，要做體系建設，承諾絕不讓黑暗哥做非安全相關之事，但薪資……

“呵呵，我從薪資預算里面就知道，他們口中所謂的安全預算根本不存在，跳槽過去也是從一個坑跳到另一個坑而已，果斷放棄了！”

如何點評這一行？

黑暗哥借用了某大佬的一句話，架構師的知識量，實習生的工資！雖說里面有夸張成分，但安全行業(yè)工資偏低也是不爭的事實?！叭绻松€有選擇，我一定做個碼農(nóng)！”

BUG哥——真不是我的故事，純是別人吐槽

認識BUG哥幾經(jīng)周轉，聽說我要問“一個人的安全部”這事兒，他擼起袖子說要分享一波朋友經(jīng)歷，原話是這樣的：

一個人負責整個企業(yè)或者單位的內網(wǎng)和外網(wǎng)安全，每天都要擔心系統(tǒng)被黑客日，連看到掃描都心里一顫（但是做的時間長了，基本就麻木了）。系統(tǒng)被日了，頂上去，殺馬，刪后門，打補丁……

同事電腦中毒了，給他殺毒重裝系統(tǒng)去（有時候真不是病毒的原因，就是因為電腦太老了，卡了……）。

上級單位要檢查了，做個自己都看不懂的但是領導喜歡看的安全報告交上去。

有時候還要去做運維的活，要是單位的系統(tǒng)是廉價的開發(fā)公司做的，估計還得負責系統(tǒng)的功能微調。

時不時會有公司里你喜歡的妹子添加微信好友，上來寒暄幾句，然后問你能不能破解QQ密碼或者盜號，她懷疑她男朋友出軌了，順便再讓你給她看看她手機和電腦里有沒有她男朋友給她發(fā)的病毒，手機桌面是她和她男朋友親親的照片，從此你就不喜歡她了……

我：你知道這么清楚？（疑惑臉）

BUG哥：別這么看我，真是的聽說，聽說。

我：好的繼續(xù)。

由于是一個人的安全部，這個部門情況好的話是一個邊緣部門中的邊緣部門，情況不好的屬于信息中心下屬的網(wǎng)絡部的運維部的安全部。

所以綜上，一年給你部門的投入也就一臺華為的防火墻了（華為表示不關華為的事，華為不知道），運氣好的話還能給采購一個IDS或者IPS。

要是問出了問題怎么辦？肯定你背鍋啊，你一個搞安全的，系統(tǒng)被日了，難道要去找研發(fā)么？（正確答案：是的）

要是沒出問題呢？領導會覺得你在這也沒啥用，工資就不漲了，年終獎也算了，要是明年有應屆生來上班，就把你開了得了，能省則省嘛。

好了，故事說完了，BUG哥收起小桌板，意味深長地總結，有這樣的經(jīng)歷也未必不好，如果你一個人搞定了企業(yè)內外網(wǎng)安全，滲透、運維、工具或者設備使用熟練，條理清晰，有自己的見解，那在下家還是很受歡迎的。但如果只是去混日子，看天吃飯，靠運氣躲開攻擊的話，可能連受到下家diss的機會都沒有……

風哥——沒出安全事件：要安全有什么用？出了安全事件：要安全有什么用？

風哥最近心情不錯，原因是招了一個小伙伴，終結了他一年多“光桿司令”的時光。

我：為什么之前一直沒招人??？是不好招嗎？

風哥：（捂臉）安全沒投入，領導不給人啊。

我：那為什么現(xiàn)在給人了，是因為前段時間Facebook數(shù)據(jù)泄露給老板們敲了警鐘嗎？

風哥：……并不是，因為我提了離職啊。

（整段垮掉沒關系，我們重新來過。）

據(jù)風哥說他干的事有這么幾塊：安全管理、網(wǎng)絡安全、系統(tǒng)安全、應用安全、業(yè)務安全、數(shù)據(jù)安全、內部安全（含辦公網(wǎng)）……當然這是從安全角度，在運維、研發(fā)同事眼里他就是掃地僧，專掃漏洞。有人覺得他管的寬，有的人覺得他管的窄。

“這也是一個人安全部的弊端吧，沒有一個高級別的人比如CSO給你說話，給你劃分職責范圍，反正一句話：我覺得跟安全相關的就是你的事，我覺得無關的就跟你沒半毛錢關系。”

更扯的是領導。公司不被黑，領導覺得安全沒事做，公司被黑了虧了一大筆，又說安全沒做好，天知道他們給領導講過多少次facebook虧了幾個億的例子，但領導不為所動?？偨Y起來就是：沒出安全事件——要安全有什么用？出了安全事件——要安全有什么用？

風哥寫過文章，只不過寫完文章后有人留言說“兄弟以后不許寫一個人的什么什么了，上次有一篇文章叫一個人的安全部，我單位有位XXO就認為他啥都知道了，自那以后買兩本書看看目錄就開始和我們講安全了，當你和他講技術的時候，他給你講管理，當你和他講管理的時候，他給你講情懷，完了，估計下周開會又要墨跡了！”。

回到風哥提離職這事，他其實沒怎么糾結，“說白了，每個人在拿薪資的同時都想提升個人價值，如果大公司有專業(yè)團隊我可以考慮降薪過去，但如果小公司讓我抗事背鍋從頭開始，薪資就得給高點。當然還有一種情懷在里面，干的爽了多干會，干的不爽早點撤。”

嚯，俠客即視感。

基哥——來，說行話

“一個人的安全部啊，”基哥點了根煙，說起了行話：

日常要做的就是日站：挖漏洞，修漏洞；當安全運維狗：配置維護防火墻、入侵檢測、日志審計等等各類安全產(chǎn)品。做等級保護合規(guī)建設和測評等；沒預算時客串碼農(nóng)：公司沒錢采購安全產(chǎn)品，要自己搭建開源或者自己開發(fā)；薅羊毛：先（測試）薅自己公司的羊毛，再防止羊毛黨薅羊毛；吵架：與產(chǎn)品經(jīng)理吵架、與開發(fā)吵架、與運維吵架，給我排期需求，修復漏洞；背鍋和甩鍋：鍋是必須有人背的，不是自己的鍋，要甩出去。

基哥現(xiàn)在不是一個人了，他背后站著三、四個男人，是一支小規(guī)模的安全團隊。不過說起之前單打獨斗的經(jīng)歷他依然吐槽滿滿，“最大的困難是沒人 and 沒錢 （有一樣兒也行?。?。要是仔細說，那就多了去。”

比如什么呢？

每次迭代時產(chǎn)品經(jīng)理不給安全的需求排高優(yōu)先級開發(fā)，安全需求推不動；

開發(fā)不按時修復漏洞，或者認為某些漏洞沒必要修，漏洞需求推不動；

運維不及時修改安全配置，運維安全推不動；

業(yè)務、開發(fā)、運維部門認為：安全怎么那么多事兒，總提影響進度要求，或者給他們找活干。

財務做預算時：沒錢。HR做Headcount時：沒招聘指標（沒人）。

領導：要出業(yè)績，出看得見的KPI。

普通同事：你們不是黑客大神，復仇者聯(lián)盟滅霸級別的嗎？怎么還能被XXX？

此處基哥舉個栗子：某次運營和抽獎活動后，運營和產(chǎn)品經(jīng)理妹子找我們哭訴：又（劃重點：又字）被薅羊毛了，這個月的活動預算都被薅沒了。前端見到我們一臉詭笑：聽說你們被薅羊毛了……后端見到：又被薅羊毛了？廠家一臉鄙視（被一個制造業(yè)鄙視了互聯(lián)網(wǎng)公司……）

當然，這都過去了，現(xiàn)在有了小團隊的基哥舒心多了。在他看來大多企業(yè)的安全工作與企業(yè)核心業(yè)務的距離比較遠，除了業(yè)務風控崗位和業(yè)務距離近一些，業(yè)務安全直接影響收益和利潤，其他安全崗位被認為是后臺保障工作，所以，沒有業(yè)務風控的安全團隊，通常人比較少（4人以下），有業(yè)務風控的團隊（業(yè)務需要才有），通常人在4人以上，投入的預算高一些，這時能做的事情就比較多了，也容易出安全業(yè)績。

“互聯(lián)網(wǎng)大廠的安全團隊少說都30+人、50+人了，很多安全系統(tǒng)也都是自己開發(fā)，人多錢多的時候，安全工作相對會順暢很多?！?/p>

77——你之所以看不見黑暗，是因為有人拼命把它擋在你看不見的地方。

一年前77師傅干的還是一個人的安全部，一年后他換了公司身邊出現(xiàn)了不少并肩作戰(zhàn)的伙伴。 

77師傅寫過不少文章，寫文章后也認識了不少一個人做安全工作的小伙伴，其中更多的是在金融公司工作，涉及到等保等需求公司會招聘安全相關崗位。在互聯(lián)網(wǎng)中小型公司中，有安全崗位的真的不多，更多的業(yè)務都往云上進行遷移通過云廠商的安全服務進行安全防護，在業(yè)務沒有碰到大規(guī)模黑產(chǎn)/黑客攻擊導致?lián)p失錢的情況下，很少會有公司對安全開始重視。

而根據(jù)他以前的經(jīng)驗，很多初創(chuàng)公司因為代碼的不嚴謹存在越權、跨站、注入等高危漏洞被攻擊者利用造成了無法挽回的損失導致公司無法繼續(xù)運營。

另外在發(fā)現(xiàn)漏洞后的修復流程中，公司業(yè)務快速迭代新功能的緊急發(fā)布總會存在一些安全隱患，中小公司很少會有PMO這樣的崗位對項目進度進行跟進排期，一般都是個人和對方業(yè)務溝通告知漏洞詳情和修復建議，碰到關系好的開發(fā)可以讓他排期盡快修復，當然也會碰到比較耿直的開發(fā)。

比如77師傅之前就遇到過一個開發(fā)，寫了一個公網(wǎng)訪問的一個網(wǎng)站，在做數(shù)據(jù)庫交互的時候沒有用框架自帶的過濾用的是SQL拼接的方式導致了SQL注入的存在，當時判定優(yōu)先級為最高需要馬上修復，但是這哥們對這個并不在意給出的修復時間是一個星期以后，經(jīng)過一頓操作將修復日期調整成了當日。（具體怎么操作的可以問問77師傅。）

77師傅把安全工程師們收到一個通用漏洞的心情比做產(chǎn)房外等待的丈夫，要盡快確認公司是否在使用這個服務，這個服務是否可以對外訪問，如何修復漏洞，補丁是否支持熱更新，灰度發(fā)布方案是怎么樣的，如何做到回滾等等，晚一秒被攻擊的可能性就會增加，每次修復都是在于時間賽跑。

同樣的，發(fā)現(xiàn)漏洞會盡快聯(lián)系對應開發(fā)組織修復，提供修復建議在修復完成后進行再次測試等等。

說到最后，77師傅真誠說道，“如果公司有安全從業(yè)者請善待他們。你之所以看不見黑暗，是因為有人拼命把它擋在你看不見的地方，向所有做安全的好同志致敬?！?/p>

熊貓哥——我來拔高主題

前幾天微博有一個女生投稿，內容是求助網(wǎng)友怎樣說服肌肉猛男（友）不用熊貓頭像，反差太大了。不少網(wǎng)友對這位投稿博主進行了diss，用熊貓頭像怎么了，誰還不能買個萌。

熊貓哥在群里是萌寶，頂著熊貓頭像公然撩漢是他，有理有據(jù)給群友出謀劃策也是他。

在我問出問題后，熊貓哥一臉壞笑，“是不是收到很多群友們的瘋狂吐槽？”

我：是是是，你有什么要吐槽的嗎？

熊貓哥：不，我是來和你說為什么大家這么吐槽的。

以下是熊貓哥一本正經(jīng)的回答：

IT治理的目的是使IT與組織業(yè)務有效融合，其出發(fā)點首先是組織的發(fā)展戰(zhàn)略，以組織發(fā)展戰(zhàn)略為起點，遵循組織的風險與內控體系，制定相應的IT建設運行的管理機制。IT治理的關鍵要素涵蓋IT組織、IT戰(zhàn)略、IT架構、IT基礎設施、業(yè)務需求、IT投資、信息安全等。說白了一套強壯的IT管理制度和完全對應的制度落地才是一個IT部門的核心競爭力。

現(xiàn)在很多公司招聘的管理層完全不懂IT治理，很多都是經(jīng)驗多一點，簡歷好看的程序員，一旦從控制代碼到控制一整個IT部門，他們的能力就捉襟見肘。信息安全十分依賴一套健康的IT體系，才能穩(wěn)步的推進工作，不管是運維安全，代碼審計安全，以及內部安全控制等等。

正因為如此，群里的甲方工程師各種吐槽的本質原因是因為IT部門的基礎沒有扎實。

所以為了開展工作，甲方安全工程師在權力結構不對等的情況下，在建設IT部門的基礎性架構，在完成技術建設后再開展安全工作。

這就是為什么甲方安全工程師往往要多得罪人，被人嫌棄多管閑事。

領導層不懂IT治理（我懷疑他們連IT治理是啥都不知道），就會覺得安全工程師不務正業(yè)，為什么做這么多和安全無關的事情。

現(xiàn)在甲方信息安全工程師面臨的本質矛盾是IT建設基礎不扎實甚至沒有，甲方安全工程師為了完成職業(yè)目標，必須越權額外完成工作，導致職場人際關系和職業(yè)發(fā)展目標雙輸。

在熊貓哥把這段話同樣發(fā)到群里后，群友紛紛開始了“商業(yè)吹捧”……

群友甲：熊貓大哥的立場很有高度啊；

群友乙：我把這話轉發(fā)給我們IT總經(jīng)理，他一臉尷尬又不失禮貌地微笑；

群友丙：貓哥這是站在信息化角度詮釋；

群友?。海ㄏ氩怀隹淠愕脑?，那就發(fā)幾個表情包吧）

……

P神——其實沒什么特別之處

和P神聊天之前我先詢問了群友為什么送他這么一個稱呼，他表示沒什么特殊含義，不過是自己昵稱首字母是P而已，但據(jù)我觀察很可能和他熱衷于P圖有關，畢竟我親眼見證了他曬戒指也用美圖秀秀P了一波手毛……

P神曾在一家電商從事過將近半年的甲方安全工作。按照他的經(jīng)驗，有安全需求的公司，要么自己被黑過，要么是企業(yè)發(fā)展到一定規(guī)模需要這樣一個角色。而一個人的安全部這一角色，通常依附在運維部門下面或者是QA質量測試下面，你的領導可能是質量測試的老大、運維部門的某個小leader或者是運維總監(jiān)，少數(shù)會直接將工作匯報到CTO那里，從這點就可以看出安全在公司中的位置。

而安全工作要順利推進是需要話語權的，需要一定的安全預算，因為安全工作常常是在發(fā)現(xiàn)別人的問題，從點（一個漏洞）到面（系統(tǒng)網(wǎng)絡架構業(yè)務風險）的風險發(fā)現(xiàn)和治理多數(shù)情況下是與人打交道，大家往往因為各種原因會有不同的抵觸情緒，職場的溝通協(xié)調能力是一方面，而有制度和權利的保證會讓工作有理有據(jù)的順利開展。否則這些工作定義了一個人的安全部是自顧自嗨，慢慢就會缺乏認同，沒有成就感，失去積極性，變成一條咸魚。

你在的部門和領導決定了安全的角色可以做什么，什么可以做的更好，什么事情想做而做不了，什么事情讓你感到壓抑。

但這些都是因人而異，一個人能夠在甲方經(jīng)歷安全廣度上的磨練，如果自己也懂得思考，并在公司有價值和聲音的體現(xiàn)，以及在安全的某一方面有深度能力，完全可以跳到合適的甲方組建自己的安全團隊或跳到已有安全團隊的互聯(lián)網(wǎng)明星企業(yè)。但當自己的想法和行動力被不懂安全的人束縛時就會回憶乙方的團隊氛圍……

實際上在P神看來，一個人的安全部的經(jīng)歷沒什么特別之處，閃光的地方更多在于你做出的成績和積累或對圈子的貢獻。

夜深了，吐槽星人們都開始潛水搬磚，明天起來又是一個人的安全部，誰也不知道會出現(xiàn)什么雞飛狗跳的事情……

文章為雷鋒網(wǎng)宅客頻道原創(chuàng)，歡迎關注雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。