DOC
B / SECURITY01 // 部门/岗位一句话(新人版)
安全部做什么:对公司的系统、数据与关键资产提供可落地的安全保障,覆盖安全建设与运营、核心资产渗透测试、漏洞闭环、上线安全评审与应急响应,目标是降低被攻破与数据泄露风险。
你的岗位做什么:内部安全建设和运营 + 核心资产渗透测试,输出可复用的安全能力与可验证的风险收敛结果。
| 新人最容易误解 | 正确理解 |
|---|---|
| “安全就是做扫描/修漏洞” | 扫描是入口;关键是:资产识别 → 风险评估 → 方案落地 → 验证与运营闭环 |
| “渗透测试是找洞越多越好” | 重点是“核心链路可被攻破的路径”与“可复现、可修复、可验证”的结果 |
新人准则:所有输出都要能推进“闭环”(可复现、可修复、可复测、可归档)。
02 // 上手必知地图
02.1 关键业务地图
建设 / 运营 / 渗透 / 评审 / 应急
OPEN
- 建设 安全基线与能力:风险发现、安全加固、日志与监控、数据安全
- 运营 资产台账、扫描与告警处置、漏洞管理、例行巡检、攻防演练复盘
- 渗透 核心资产/核心链路安全测试:复现路径、影响面、修复建议、复测验证
- 评审 上线/变更安全评审:威胁建模、权限与数据流、外部暴露面检查
- 应急 事件响应:分级、止血、溯源、修复、复盘与制度化改进
关键业务(必须熟)
- 对外核心 portal.cobo.com
- 对外核心 accounts.cobo.com
- 客户端 iOS Guard
- 内部运营 公司内部安全运营(漏洞闭环/新功能跟进/基础设施支持)
上手顺序建议:先搞清楚“资产从哪来、风险去哪提、闭环怎么走”,再进入专项技术细节。
02.2 必用系统入口(必须补全)
写死入口与负责人,新人才能照做
OPEN
| 系统/入口 | 用途 | 新人常用场景 | 负责人/群 |
|---|---|---|---|
| aladdin权限申请 | 相关代码仓库读权限的申请 | 需要看代码定位修复/Review 时申请 | 【wangshuo 组】/【按 Aladdin 流程申请】 |
| Portal 能力支持 | 安全测试 能力支持 | Portal 新功能上线安全测试,需要开启部分功能 | 研发/测试配合开启相关功能 |
| kibana 日志检索 | 日志检索、告警、溯源 | 安全事件排查、异常登录定位 | 【wangshuo 组】/【按 Kibana 流程申请】 |
| Netsuite IT 应用管理 | 管理员权限申请 | 安全工具的安装 | @Meng Wang |
02.3 协作方(常用联动对象)
研发 / SRE / IT / 合规 / 数据
OPEN
- Infra:日志、告警、网络策略、上线窗口、应急联动
- 研发Owner:修复排期、变更方案、复测确认
- IT:账号、权限、设备、安全软件
- 合规:数据合规、审计材料、制度落地
- 数据:数据流、敏感字段、异常检测
03 // 通识技能清单
03.1 资产识别与分级
第一步:确认范围与优先级
OPEN
- 是什么:整理系统/域名/接口/仓库/账号,并标注归属、暴露面、重要性
- 为什么:不清楚资产范围=无法评估风险、无法闭环、容易漏核心链路
- 去哪看:【资产平台入口】 + 【CMDB/云资产】 + 【代码仓库】
- 找谁问:【@资产负责人】/【对应开发Owner】
- 新人检查清单:对外暴露点?是否涉及资金/密钥/敏感数据?是否核心链路?
03.2 漏洞闭环(提报 → 修复 → 复测 → 归档)
安全产出要可验证、可追踪
OPEN
推荐结构:前置条件 → 复现步骤 → 影响/攻击链 → 修复建议 → 复测方法
- 去哪看: Google Drive → Security → Pentest → 历史报告
- 找谁问:【@测试同学】/【@对应业务Owner】
- 底线:每个漏洞必须能复现、可定位、可修复、可复测
03.3 核心资产渗透测试方法
目标:可落地的高风险路径
OPEN
- 去哪看:【渗透测试报告模板】
- 找谁问:【@渗透负责人】/【@业务Owner】
- 建议顺序:资产→账号→权限→数据流→危害范围→最坏情况
输出标准:不是“工具截图”,而是“可复现攻击路径 + 影响说明 + 修复与验证”。
03.4 日志检索与应急基础
遇到异常先会自查,不靠猜
OPEN
- 去哪看:【日志平台入口】|【告警规则库】|【应急手册】
- 自查顺序:告警→时间线→关键账号→关键IP→关键行为→影响范围→止血动作
04 // 高频流程 TOP3
TOP1:接到安全需求/问题,第一时间
从“来问”到“能推进闭环”
OPEN
- 确认对象:系统名/域名/IP/仓库/负责人(缺一项先补齐)
- 资产暴露面:确认暴露面、重要性、上线环境
- 定优先级:是否涉及核心链路、是否影响提币等核心流程(资金相关/关键操作)
TOP2:发现漏洞后如何提报(让研发愿意修)
减少来回沟通成本
OPEN
- 写清前置条件:账号/权限/环境/参数/版本
- 给复现步骤:每一步可操作;必要时最小化 PoC
- 说明影响:攻击链、影响范围、会造成哪些危害
- 给修复建议:长期根治(例:代码修复细节)
- 写复测方式:如何验证修复有效、如何避免回归
TOP3:上线/变更安全评审怎么走
把问题挡在发布之前
OPEN
- 入口:在【上线评审入口】提交(链接/表单/工单)
- 必填信息:Owner、范围、数据流、暴露面、权限变更、回滚方案
- 检查项:鉴权/最小权限、敏感数据处理、日志可追溯、接口安全、依赖风险
- 输出:结论 + 待办清单 + 截止时间
- 复核:上线后抽查关键点(权限、路由、暴露面、告警)
05 // 黑话 TOP
| 黑话 | 含义(新人版) | 遇到它该做什么 |
|---|---|---|
| 风险收敛 | 把“有哪些风险”盘清楚并持续更新 | 先抛出风险,不断跟进风险,进行修复 |
| 暴露面 | 对外可访问的入口(域名/IP/端口/API) | 确认是否需要鉴权/限流/防护 |
| 闭环 | 发现→修复→复测→归档 | 必须进平台并复测 |
| 止血 | 先把风险降下来(临时措施) | WAF/下线/封禁/收敛权限 |
| 威胁建模 | 提前想“可能怎么被打” | 写出边界、数据流、信任假设 |
| 最小权限 | 只给完成工作所需权限 | 写清用途与期限,定期回收 |
| PoC | 证明漏洞存在的最小复现 | 只给必要部分,避免扩散 |
06 // 新人 FAQ TOP5
Q1:需要哪些权限才能开始干活?怎么开通最快?
权限清单 + 入口 + 审批人
OPEN
- 必需:相关业务仓库
- 入口:【Aladdin 权限申请】
- 审批:【wangshuo 组】
- 做法:按【Aladdin 流程】申请,备注写清用途(做什么/为何需要/期限)
Q2:别人丢一句“帮看下这个系统”,怎么接?
固定提问模板 + 留痕入口
OPEN
- 先问:产品文档、技术细节 相关资源有吗,具体的上线时间
- 再做:黑盒测试、白盒测试、代码审计、发现问题
- 最后:反馈问题,并给出修复建议、说明哪些问题必须要在上线前修复
Q3:渗透测试输出什么算合格?
可复现路径 + 影响 + 修复 + 复测
OPEN
- 合格:风险结论 + 复现路径 + 修复建议 + 复测结果
- 不合格:只有截图、没有影响、没有复测
Q4:疑似安全事件,第一步做什么?
先止血与留证,再同步相关方沟通
OPEN
- 确认:告警来源/日志证据/时间范围
- 止血:封禁账号/收敛权限/机器下线
- 复盘:原因、影响、修复、改进制度化
07 // 踩坑记录(真实吐槽 + 可执行解法)
坑1:只在群里说漏洞,结果没人修
现象:讨论热闹,2 周后无进展
OPEN
- 原因:缺少留痕、缺少 Owner、缺少危害说明
- 解法:统一漏洞Sheet,按模板写复现/影响/复测;@相关开发领导 并给截止时间
- 完成判定:复测通过 + 平台状态归档