曾有一次，安全圈将从业人员分为剑宗和气宗。“剑宗”就是掌握一些招式，不需要长时间积累内力，有时还会出人意料，搞Web安全的脚本小子就属于这一类，而“气宗”就需要从汇编、编译原理等晦涩的知识入手，学习曲线比较陡峭，大器晚成，遇到什么不懂的地方就去反编译看汇编源码，总会知道为什么搞二进制就属于这一类。这两种情况，共同看不起的是一类安全工程师和安全管理人员。

所谓文职安全工程师，往往是了解一些技术的基本概念(但不需要太深入)，考CISSP，学ISO29001，或者啃一些等级保护体系的要求，了解一些大概的安全领域和常规安全概念和解决方案的术语，负责企业安全合规审查的配合，安全规范体系的编写，或者与乙方供应商联系。最近GDPR的普及，以及早期上市公司对SOX404合规性的需求，也让各大咨询服务提供商培养了大量类似的员工。业内也因此热议是三分技术、七分管理、七分技术、三分管理。如今，一些大型互联网企业开始招聘一种叫做安全运营工程师的新物种。这是什么角色？是做技术的还是管理的？我打算从个人经历中解释和分享一些，请纠正。

安全运营的定义。先看看运营的定义，作者曾从事过网络游戏行业，这个行业有一个专门的职位叫运营，是老板最喜欢找的人。她们的日常工作是什么？在项目研发的早期阶段，运营商将根据自己的经验向研发提供项目的一些常见需求。此时，他们是需求提出者或一定程度的设计师，但他们不是产品经理。项目在线后，运营会反复体验产品，发现问题，进行小范围的灰度测试，征求意见，但最重要的是分析数据(有专业的数据分析团队根据需求支持)，诊断问题，优化目标反馈。按照拉新、留存、促销的场景，不断策划一些宣传(有市场策划同学配合)，广告投放，节日活动等。最后，一款产品本身做得好不好，项目收益好不好，生命力强不强，主要看运营同学是否专业。

这种角色，也许有些同学会觉得像产品经理，不一定是独立存在的组织实体，但他们的职责比较明确，这是一群对项目的最终目标负责，从而不断地诊断分析问题，提出需求，协调各方资源，共同实现目标的人。

在安全领域，我们也有类似的要求:自我研究或购买一些安全产品，引进一些安全解决方案，只是手段，真正的需求就是解决安全隐患。

例如，一些安全工程师喜欢写扫描器，制作HIDS的DEMO，构建大数据分析的平台，分析漏洞的细节，研究POC，这些工作都是有意义的，但这并全部。我的前领导经常说手段不是目标，写扫描器是手段，目标是事先检测出漏洞，减少公司漏洞带来的安全风险，写HIDS也是手段，目标是发现入侵事件，立即停止损害，构建大数据分析平台。站在对目标负责的角度，你确实写了一个扫描器，但是我也用开源产品或者商业产品拥有一个扫描器。除了让自己有成就感，增加下一份工作的求职筹码，对目标有什么贡献？我做了扫描器，但没有例行跑起来啊，因为一跑起来，就把生意扫挂了/生意报警了。我的扫描器有例行跑，但测试用例没有人家的全啊，很多漏洞都检测不出来啊，我的测试用例特别全，集众家之所长，就是误报多了一点，多到什么程度？我可以检测到每个漏洞，但伴随着数百个误报，所以人肉必须逐个筛选才能转发给RD修复，我的扫描器很厉害，就是目标URL不在扫描列表里，经常不在列表里。

我的扫描器很好，但SRC收到的漏洞并没有减少，它们都是逻辑漏洞，越权漏洞，这不是技术上可以自动解决的事情啊，所以我不需要改进，我做了HIDS，只是兼容性差一点，上次搞挂业务机器，覆盖率没有上升，被入侵的机器也没有安装。我做了HIDS，收集的数据特别全，后台无法存储，无法分析。我做了HIDS，入侵检测规则特别严重，就是误报稍多，一天一万单吧，所以只是看不过来，碰巧没有发现入侵.我做了HIDS，也报警了，只是没人跟进，他们也不明白我的警告意味着什么，如果我亲自处理，就可以抓到黑客.

在太多的企业中，一个团队拥有上述素质的安全工程师真的很难，但是企业真的的扫描器、HIDS等手段付费吗？在大多数情况下，企业都是为产出付费，而非为知识付费。花钱雇一个安全工程师，工程师只沉浸在自己做事的快感中，不能为公司降低安全风险，这是一个尴尬的局面。仿佛有人雇了一名保镖，武艺高强，但小混混上来欺负主人时，保镖漠不关心，主人每天都被欺负，主人应该为这名保镖付钱吗？因此，企业花钱雇用安全技术人员的目标是解决问题，解决问题不仅仅是购买安全产品，做什么就结束了。对于大型企业来说，解决问题的需求非常强烈，安全技术、安全管理、安全开发等角色都具备了，老板发现某些安全问题总是不能收敛，最后，引进一类新角色，对问题进行分析、诊断，发现症结后，协调资源，最终实现目标。从此以后，安全运营工程师就出现在世人面前。