甲方安全组织架构拆解

这张图展示的是一个成熟的、体系化的、大厂级别的甲方安全组织架构。

设想要按照这个组织架构图，把每一个功能模块都放上专职人员，来构建一个安全团队。需要知道什么，该怎么构建呢。

组建路线图（3阶段）：

• 阶段一：拓荒期（3-4人）
  • 1名 CISO/安全负责人：主抓规划、资源申请、外部合规（GRC）。
  • 1名 基础安全/网络运维：把防火墙、主机安全（EDR）、日志收集（SOC前置）搭起来。
  • 1名 应用安全（SDL）：对接研发，解决代码层面的SQL注入、XSS等高危漏洞，推动修复。
• 阶段二：成型期（7-8人，完善体系）
  • 专职的安全运营（SOC）2人负责盯盘；
  • 风控/反爬 1人保护业务；
  • 渗透测试/蓝军 1人主动找漏洞。
• 阶段三：成熟期（完全对齐图中架构）
  • 增加专职的数据安全专家、威胁情报研究员、红蓝对抗团队，形成良性的攻防闭环生态。

核心防御技术中台/地基#

1. 基础安全 / 安全基建#

• 主要职能： 负责管理边界防火墙、WAF（Web应用防火墙）、抗DDoS；负责服务器和终端的EDR（端点检测与响应）部署；安全基线扫描、漏洞补丁修复；以及IAM（身份与访问管理）和零信任网关的建设。
• 基础雏形编制：2人。
  • 1名偏向网络与系统安全的工程师（负责WAF、边界、基线）。
  • 1名偏向身份认证和零信任架构的工程师（负责IAM、PAM）。

2. SOC 运营中心#

• **主要职能：**负责所有安全设备日志的汇聚（SIEM）、告警分析、事件研判；建设自动化编排响应（SOAR）以提高处置效率；同时负责外部白帽子提交漏洞的处理（SRC 漏洞响应）。图中那条“POC/IOC => 规则&狩猎”的虚线，就是指他们将研究团队给的线索转化为实际的监控规则。
• 基础雏形编制：2-3人。
• 安全运营是重体力活。至少需要2人进行告警的日常盯盘、研判和应急响应。如果资源有限，前期可先借助自动化工具缓解人力压力。

3. 数据安全#

• 主要职能： 负责制定数据分类分级标准，梳理数据血缘；在技术上落地数据加密、静态/动态脱敏、数据库审计，以及部署DLP（数据防泄漏）和数字水印技术，防止内鬼和外部窃取。
• 基础雏形编制：1人。
  • 1名数据安全工程师（需要极强的跨部门沟通能力，因为数据安全往往需要业务研发配合改造）。

业务安全#

这一层直接与公司的产品线、研发流程对接，是体现安全业务价值的地方。

1. SDL / 研发安全#

• 主要职能： 将安全左移，也就是在代码写出来、产品上线前就把漏洞掐死。负责在需求阶段进行威胁建模；在CI/CD流水线中卡点，接入SAST（静态代码分析）、DAST（动态测试）、SCA（开源组件依赖分析）工具链。图中“高危漏洞 => 修复门禁”的虚线表明，他们有权阻止带有高危漏洞的代码发布。
• 基础雏形编制：1-2人。
  • 至少1名具备较强代码能力的应用安全（AppSec）工程师。很多时候由他来统筹安全工具链的接入。

2. 风控安全#

• 主要职能： 对抗黑灰产，保护业务逻辑。比如反欺诈、反薅羊毛（营销活动防刷）、反爬虫（保护核心数据不被竞对爬取）、账号撞库与盗用防护。需要建设风控策略引擎和模型。
• 基础雏形编制：1-2人。（注：如果你们是电商、金融或社交行业，这个团队可能需要急剧扩充；如果是纯ToB软件企业，初期可以暂缓或由基础安全兼任）。
  • 1名风控策略/算法工程师。

3. 办公安全#

• 主要职能： 保护员工的办公环境。管理办公网准入、零信任办公网络；防范针对员工的钓鱼邮件（邮件网关）；管理员工终端安全（杀毒、DLP）；以及SaaS应用（如飞书、钉钉、企业微信）的权限治理。
• 基础雏形编制：1人。（初期极大概率由公司的 IT 运维/Helpdesk 兼任或深度配合）。

合规#

大企业的安全合规是为了“防巨额罚款、保股价、做行业标杆”，而小企业的安全合规核心就两个字：保命。

安全合规 / GRC#

• 主要职能： 确保公司合法合规地运营，避免面临巨额罚款或被下架。负责推动等保2.0、ISO27001、GDPR/DSG（如果出海）等认证；对接监管部门的检查与数据报送；在产品设计初期进行隐私合规评估。
• 基础雏形编制：1人。
  • 1名资深的安全合规专家。通常直接向安全总监/CISO汇报，甚至由CISO亲自挂帅。

对抗与研究#

这是安全团队的“特种部队”，通常在基础防御体系建立完毕后才会投入专门编制。图中明确指出了“演练发现=>基建加固”，即通过实战攻击来检验中台和业务的防御。

(注：国内网络安全语境受军事演习影响，“蓝军”通常指代模拟攻击方，即西方的Red Team；而“红军”指代防守方。图中的“内网渗透”印证了这里的蓝军是攻击视角。)

1. 安全蓝军#

• 主要职能： 扮演黑客，对公司自己的系统进行无差别攻击（APT模拟、内网渗透演练），对防御体系进行压力测试，并推动漏洞的复测与闭环。
• 基础雏形编制：1人。
  • 1名高级渗透测试工程师/红队专家。

2. 安全研究 / 威胁研究#

• 主要职能： 偏向底层的研究工作。挖掘0-day漏洞、逆向分析恶意代码；研究最新的黑客攻击手法，并将其转化为SOC可以使用的检测规则（IOC/规则&狩猎）；沉淀内部的武器库和方法论。
• 基础雏形编制：1人。（在雏形阶段，往往与“安全蓝军”由同一批人兼任，因为两者都需要极强的攻防对抗技能）。