网站安全运维任务正变得越来越备受公司的观注，最近小编斟酌的出书也正在慢慢写有关网

站安全运维的服务信息。恰巧耀疆总进行了网络安全技术专题讲座，首位讲便是聂君总体网站安

全运维教学内容，听后之前很受启迪。小编也禁不住回忆了一会儿小编队伍是怎样从迷迷茫茫向

连续运维演化的，这篇文章就从小编队伍的角度回望一会儿从0到1的过程。

 

 

在最早的时候（二零零八年期间）技能系统找不到岗位的网站安全人员，只根据安全服务提供商

租了1个网络安全工程师项目外包，没有谁要求网络安全工程师必须发觉是多少状况或是做哪几个

类的任务，发觉的状况也没法彻底处理，那时候身为网络安全工程师的我对安全管理协调层度也

不高，针对乙方技术工程师而言主动性也并不是太高。这也是安全管理的第一阶段，网站安全岗

能够说是聊胜于无，这也是起步环节。

 

 

进到第二个环节，大家建立了安全运维，也从网站安全厂家挖了1个技术工程师进来。得到岗位的

人，挖BUG、漏洞扫描的任务就会有了深入推进的驱动力。但与此同时人员很少，与此同时技能

部门的人也没有建立协调安全管理的方式，因此那一个情况下安全管理推动效率都比较慢，但这

也是很至关重要的累积环节。

 

 

之前大家就进到第三环节，网站安全队伍扩军，网站安全队伍与技能系统历经1个悠长的磨合时间

。慢慢的，大伙儿建立了与网站安全队伍协调的方式，某些基本的任务（如：网站漏洞修复、清

理后门文件乃至重做系统、堵漏不良IP等）能够没问题推动。在这一个环节，大家本觉得网站安

全做的早就很好了，可是网站安全发生的几率机率依然找不到质的下滑。归根结底，并非安全运

维的技术工程师将安全管理当做是低优先级队列的、雪中送炭的任务，没问题的情况下能够去做

，可是要是忙的时候网站安全有关的任务毫无疑问是往后面推的，遗憾的是，她们通常情况下都

比较忙。而安全运维的技术工程师只观注任务量，都还没对后果承担的念头。例如，网站渗透测

试技术工程师只观注今日挖了有几个洞，而不关注漏洞修复的状况，由于这也是运维和开发设计

的事，你便是不修我们都别无他法。而承担危害监测的技术工程师在数次提醒相同不良IP而无法

得到答复后也就把这一个IP加授权管理了。这样的事情下，安全事故自然是没法防止的。

 

 

经历思索，大家进到了第四环节，从观注任务量到观注后果。简洁明了的侧重点的转变引起了大

家很多的思索和操作。小编常常用“能者多劳”和“贡献”来对比“任务量”和“后果”，公司付

出很多自然资源基本建设网站安全队伍必须的是“贡献”，而不是能者多劳。引入岗位欠债在《

我了解的网站安全运维》这篇文章中一句话，“公司大部分状况下是为产量付钱，而并不是为信息

付钱。”可是我想及时补充的是，公司在大部分状况下也并不会为任务量付钱。再引入张五常导师

在社会经济学课中举的1个事例：一台破旧的单车，被1个大学老师刷油漆之前，是并不会由于凝

固了一名大学老师的工作而急剧升值的。物件的市场价值在于供求关系影响，而并不是工作量。

同样的道理，1个完善的队伍没法每日告知公司大家有多忙有多累，而应当向公司证实，这一个

队伍造就了是多少市场价值.