项目经理:
不得不说的是,每一个项目都有自己的特性,都是不同的,每一个项目都存在一定的风险,项目经理负责找到项目的核心因素,将整个项目串联起来,规避风险,让项目成功上线运行。
唯品会信息安全部的安全项目经理:
信息安全部设置安全项目经理的岗位,为内部各个团队的工作提供支持。安全项目管理人员帮助团队,在遇到内外部安全风险、安全问题的时候快速处理、落实到位。
安全项目经理制定安全项目工作的流程和制度,在唯品会的各个业务产品线实现安全需求、执行安全意志、实施安全制度。
安全项目经理有自己的特性:
项目管理的同时深入安全业务。
实现安全需求的同时,将安全项目的意义传递,在产品线将安全需求推动到具体的业务中实现。
紧急快速处理问题,执行安全决策要有一定的力度。
具体执行
流程制度
信息安全部门初建之时,项目经理在项目评审之前,经常会被询问诸如,为什么我的项目评审被安排这个时间?我需要提前。我的项目如果评审有漏洞,我又要上线怎么办?类似问题,而且反复出现,完全依赖邮件来回答复。当我们的评审人员想在项目的需求中,增加安全需求的要求时,也会受到挑战。项目安全评审执行时通过excel 记录,安排耗费时间,上下游业务强依赖,测试环境复杂,甚至部分项目没有经过安全评审就上线。项目安全评审后,出现的漏洞只能人为记录,漏洞趋势全靠人为统计。
面对挑战,我们必须变被动为主动。在内部,安全项目经理开始梳理执行上的流程,协助内部团队共同制定《VIP项目安全上线管理流程》。流程发布后,各个节点上配备安全制度,就可以落地。有了执行的标准,什么样的时间节点做什么事,按照标准做,发现了问题,按照相应的制度提处理要求。内外部门依照已有流程制度执行,我们的工作清晰了,沟通成本降低。在外部,我们不仅关注到项目在安全内部的流程,也在公司项目安全管理的角度看安全流程,将安全的流程需求融合到唯品会的PLCS项目管理系统中,提升了各部门之间协作的工作效率,在项目执行的评审覆盖度上有了一定保障。安全项目经理在流程上起到了“内部参与制定流程制度,外部执行落地”的作用。
安全项目经理在漏洞管理方面也起到了其特有的作用。为了减少漏洞,强化各产品线的安全意识,通过漏洞数据分析,提供专项培训。定期通告红线漏洞情况,同一产品线持续出现漏洞,再根据既定制度采取相应的措施。在评审执行的时候,针对不同产品线产品的特性因地制宜,安排特定人员跟踪。多管齐下,安全意识提高,红线问题得到管控,高危漏洞明显下降,整体评审结果所暴漏的问题情况趋于平稳。
几年积累下来,“流程+制度+专项培训+定制化评审+奖惩”,成了安全项目经理面对安全项目评审时的必备功法,无论再有哪些新的产品线出现,都可以灵活运用这套方法。
安全项目执行
安全项目管理的过程:
安全项目经理必备的沟通能力,跨部门协调能力,安全项目的推动力,事件反应力,风险处理能力都将在项目实战中体现,对安全项目经理来说每一个项目都是一个挑战,为什么这么说呢。
因为安全不掌握产品线的具体资源,项目在执行上就尤为困难,安全项目经理工作上需要灵活的处理方式,根据业务安全的紧急程度,采取不同的措施,同时跟紧业务运营的变化,让安全和业务联系更加紧密。
安全项目经理在遇到重要且紧急项目时,需要有一个全面考虑问题的视角,灵活应变的能力,并且有一定的执行力度,才能推动项目落地。
举例,“oauth项目”。
该项目淘汰基于PHPSession的会话管理机制
PC所有相关域对接Oauth使用Passport_Token
而PHPSession的会话管理机制存在,导致的直接结果就是大量恶意请求不能直接踢下线。
项目过程中上遇到了不少问题:
安全项目启动:
你抢了我的资源
你的项目不是我的kpi
依托于别人
顾前顾后,没人顾中间
业务和安全的冲突
安全项目执行:
关键人员多次更换
移动端不能受到影响
容错与降级必须充分考虑
新旧会话要求同时兼容
跨部门沟通、测试与联调
12个第三方联登业务不能丢
20+域的大调整
10+域一次性同步调整
举例其中的一个难点&解决方案。
本次项目主要针对会话管理机制的改造,业务范围涉及登录、注册。项目启动后,识别到12个第三方联登的业务和本次项目关联,因此联登也在项目范围内。而联登的流程和逻辑无任何历史文档参考,产品人员更换,资料无从查找,造成这块的代码没人敢动。
由于需求紧急程度较高,我们打破常规见到产品PRD才能往下执行的常规动作。我们开始查联登业务的流量来源,用户量。高流量的必须理清业务逻辑,于是组织开发从代码中查找联登逻辑,测试从用例上梳理流程,最后我们来自各个部门的几方人员共同用测试用例评审的方式,梳理出来了联登的流程逻辑。让我们这些仍然有大量用户使用的联登服务,可以在项目完成后也继续使用唯品会的系统。
接下来说一下低流量的联登业务处理,低流量的联登业务,项目经理开始联系业务方、技术方查找联登入口,采购部查阅合同,面对已经没什么流量的业务,各方直接面对面会谈,安全要求下线。在充足的准备工作后,这些历史问题终于解决了。
为什么说项目中的这个难点,是想传递一个信息,面对12个联登,安全项目经理,承担信息安全部的安全项目经理岗位责任,必须紧急快速处理、关键时刻果断决策,能够推动项目目标的达成。否则真的产生损失的时候,再去补漏的成本会远远大于早期的防微杜渐。
安全项目收尾:
上线后效果的持续监控
同步结果给各个业务部门
安全项目不止于当前
安全项目经理必不可少的特点也就有了,跨团队的协调能力,遇到风险的应急处理,项目执行的效率,平衡业务和安全。
对内,各个团队在运作的时候互为输入输出,特别是一些需要多团队协作完成的安全项目上,对方方面面的工作进行整合,对外进行推动。整合资源推动的执行的过程,又要将安全意志传递,同时深入业务,跟的上变化。