前景:
入职3年多,第三次组织全体研发进行培训,从第一次的紧张,到后面的游刃有余,再到后面说话过大脑,深知这都是经过一遍又一遍的训练才有的肌肉记忆,21年度的安全技术培训,其实是一个比较艰辛过程,稍做描述,记录及反思。
步骤:
1、前期调研培训人员范围
- 集团层面,研发中心(泛研发群体)在20年的时候,全部为上海总部,也且只有800+人,组织了大概6场现场的安全培训。
- 而21年度,困难度明显提高,经过调研,全国多研发场地,微盟总部、大虹桥、漕河泾、无锡、杭州等都有场地,共计1800+人。
2、组织及宣传
- 课程及考试:依然采取1h30min的课程,30min的考试,并且考试题为题库随机,困难度阶梯递增。
- 上课形式:因全国多研发,无法实现皆线下的培训,即采取上海总部线下+其他分子公司线上,限时签到。
3、课程PPT及试题准备
- 课程PPT准备:本次课程分为了3个方向:项目管理&产品经理方向、测试方向、研发&运维&IT方向,对于不同的方向引用了不同的案例。
- 如项管产品方向:结合了时下有关于产品隐私合规法规及论题,邀请了第三方做分享,主要解决产品合规方向,从法律出发,哪些可为哪些不可为。随后再安排内部的培训,从设计角度来宣传安全产品理念。
- 如测试方向:安全测试,一半安全,一半测试,所以安全测试的方法大部分都是从测试概论中衍生而成。针对测试方向的培训,更偏重于结合少许业务场景,传授如何进行安全测试,要掌握哪些安全测试的点,以及安全测试用例的讲解。目标是测试通过学习,掌握更多的技能,解放部分安全测试的能力,形成多轮check,早发现问题,早闭环问题。
- 如研发方向:对于前后端的配合、接口安全、中间件反弹shell、网络劫持重点进行实际案例演示,加深安全技术理念的建设。
- 试题内容:充分契合PPT,并且需要保障所有的内容都要在所讲的范围内,不做引申及加深,因为不是所有的非安全人员都有那么多充足的思考,如果后续作为靶场或者奖励性题目可以加深。
4、现场安排
- 如现场:提前预定会议室、提前布置场地,提前半天测试设备,留足充分时间调试。
- 网络直播:需要线上线下沟通一致,但由于现场演讲,直播的设备能否较好的拾音需要考究。
- 签到、主持、时间把控、演示辅助都需要控制好整体进度。做到不超不少,时间把握刚刚好。
5、培训完成后总结及颁奖
- 培训完毕后,考试成绩公布,不通过考试的安排补考等。
- 对双满分个人、均分排名前三的部门进行表彰,并张贴文化墙及公文推广。
成果与反思:
- 改善:通过培训,钓鱼邮件反馈率、异常协查率、安全需求(主动安全测试及申请培训等)明显的提高。
- 改善:安全部门,有惩罚,也有奖励,完美解决了20年培训的遗憾。
- 思考:参与度,如何与绩效关联,如不参与培训或者成绩未达标者不符合年度晋升、季度评优资格。
- 思考:是否可以落地安全积分平台,通过月度安全宣贯参与、靶场练习、视频学习及课后考试等多种方式参与积分兑换奖品等。