安全指南

中型到大型组织的安全底线：团队共同守护的标准基础

员工增多、以团队方式开发运维的组织，最低限度应配齐的安全标准，浓缩在一页里。从 SSO 与多因素认证的强制启用、离职者访问权限的吊销、机密管理基座、SBOM 与 CI/CD 保护，到 SIEM 与事件响应、安全教育，按照『身份 → 机密与供应链 → 应用与基础设施 → 检测与响应』的优先级，从本站的视角讲清楚先把什么做成机制。

发布于 2026-06-11 更新于 2026-06-11 3 分钟阅读

适用对象：员工增多、以团队方式开发运维的中型到大型组织中，想知道「最低限度应配齐哪些安全标准」的人。个人或小规模的读者，请看个人开发与小规模运营的安全底线。这里不讲攻击手法，而是按优先级整理随规模而被视为标准的基础。

本站的视角：本站规模很小。这是一张『标准要求什么』的地图

说实话，本站自身是小规模运营，每天真正在实践的其实是个人与小规模版。本篇是把规模上来之后行业标准所要求的基础画成一张地图。不过贯穿其中的原则是一致的——「从优先级高的层开始，作为机制去填补」。组织里增多的不是炫技的技术，而是人和流程。钓鱼、凭据被窃、离职者访问被放任、经由第三方的入侵，会随着规模上来而成为主因。

Tier 0 — 身份管控

SSO・强制 MFA・入职离职的权限生命周期・最小权限

Tier 1 — 机密与供应链

机密管理基座・短命凭据・SBOM・签名/来历・CI/CD 保护

Tier 2 — 应用与基础设施

安全 SDLC・SAST/DAST・WAF・网络隔离・IaC 扫描

Tier 3 — 检测与响应

集中日志/SIEM・告警・IR 计划/runbook・演练・DR 恢复

贯穿全局 — 人与治理

负责人/团队・策略・教育・供应商管理・职责分离・审计

组织版的优先级地图。骨架与个人版相同，但每一层都成了『项目』，人与治理贯穿全局。

人

规模下最大的入侵口（钓鱼等）

离职者

被放任的访问是老套的漏洞

第三方

供应链会被盯上

机制化

从一人技艺到常态项目

Tier 0 — 管控身份（最优先）

相当于个人版里的「王国之钥」。在规模上，王国之钥就是身份基座（IdP）与管理员账号。这里一旦被掌控，整个组织就会沦陷。

用 SSO 把认证集中起来

不再各服务单独登录，用 SSO（SAML/OIDC）把认证统一为一处。让账号的可见化与停用都能在一个地方完成。

在全组织范围强制启用抗钓鱼 MFA

把通行密钥/物理密钥（FIDO2）作为标准，无一例外地强制要求。短信或可选设置都会成为漏洞。管理员账号尤其要严格。

自动化入职离职的权限生命周期

入职时授予所需权限，调动时重新审视，离职时即时吊销。用 SCIM 等加以自动化，杜绝被放任的离职者访问（规模下最常见的漏洞）。

最小权限与特权访问管理

用基于角色（RBAC）的方式收敛到必要的最小权限。管理员权限不常态授予，只在需要时、带期限地授予（即时授予，just-in-time）。

Tier 1 — 把机密与供应链做成基座

这是把个人版的「机密与代码」作为基础设施常态化运营的阶段。靠手工管理 .env 是没法扩展的。

引入机密管理基座

机密用机密管理器（Vault/云端的 KMS、Secrets Manager 等）集中管理。在全组织彻底贯彻不把机密硬写进代码或配置的方针（→ .env 与机密信息）。

转向短命、动态的凭据

减少长命的固定密钥，转向自动签发、自动吊销的短命凭据。把轮换与审计日志标准化。

物料清单（SBOM）与签名、来历

把在用的依赖列成清单（SBOM），并为产物附加签名与来历（provenance）以检测篡改。osv-scanner 等的依赖 CVE 监控，是其入口。

保护 CI/CD 流水线本身

构建环境与流水线是高价值的攻击目标。要施以最小权限、机密隔离、篡改检测。供应链被污染的实例 → Codecov 事件。

Tier 2 — 默认就稳固的应用与基础设施

把个人版的「应用本体」升格为开发流程与基础设施的标准。不靠一个人的评审，而靠机制来兜底。

安全的开发流程（SDLC）

代码评审必做、自动化测试，把 SAST/DAST 等静态、动态分析嵌入 CI，用机器检出常见漏洞（SQLi・XSS・SSRF・IDOR）。

纵深防御（WAF・隔离・零信任）

用 WAF 缓解已知攻击，把网络做网段切分，以内部也不默认信任的零信任设计，阻断入侵后的横向移动。

把基础设施作为代码安全地管理

对 IaC（Infrastructure as Code）做配置错误扫描，用经过加固的基础镜像，以及防止放任已知 CVE 的补丁运营（→ 不落后于 CVE 的机制・不打补丁的代价 → Equifax 事件）。

Tier 3 — 把检测与响应做成「能力」

入侵是前提。把能发现、能止血、能重建，作为有专人负责的能力持有起来。

汇聚日志，检测异常

把各系统的日志集中管理（SIEM 等），对危险迹象告警。连谁、在何时来看都要定下来。

准备事件响应计划与 runbook

把「谁、做什么、按什么顺序」文档化（runbook），并理清待命（on-call）体制、联络网、对外报告义务。一旦泄露，就按「全部都泄露了」的前提全量轮换。

用演练检验是否真能运转

用桌面演练（tabletop）预演响应。计划唯有被用起来才有意义。

灾难恢复（DR）与恢复测试

备份在 3-2-1、加密、异地的基础上，组织还要定下恢复目标（RTO/RPO），并定期检验是否真的能恢复。

贯穿全局 — 人与治理（规模下真正见效的关键）

在技术之下，有正因为是组织才需要的基础。这里一弱，上面任何技术都会从人的漏洞处崩塌。

容易犯的错误

工具是装了，但没有所有者（负责人）
离职者的权限、过期的令牌没有被盘点
没有安全教育，钓鱼一击即中
没有评估第三方供应商的风险

应作为标准的基础

设立安全的负责人/团队与策略
定期的访问盘点与职责分离（避免权限集中）
全公司的安全教育（尤其是反钓鱼）
供应商/第三方风险管理、数据分类，必要时做审计（SOC2/ISO27001）

与个人版的关系

骨架是一样的，只是每一层从「作业」长成「项目」——这样理解就对了。可以从小处起步，分阶段地机制化。所以请先把个人与小规模版的优先级吃进身体里，等人多了，再把本篇的各层提升为「带所有者的常态运营」——请把它当作这条一脉相承的路来用。

本站是怎么看的

本站规模很小，所以日常是把个人版的基础应用在自己身上（用专用服务器做隔离、密钥分离、机密不混入 git、依赖 CVE 监控自动化、异地备份）。本篇是「规模上来后标准会这样要求」的一张地图。能一以贯之地说的是：比起炫技的对策，先把优先级高的层作为机制去填补。无论规模怎么变，这个顺序上的原则都不会变。

接下来读

个人与小规模版：安全底线检查清单
供应链：用 osv-scanner 做依赖 CVE 监控／事故 Codecov 事件
补丁运营：不落后于 CVE 的机制／事故 Equifax 事件
机密：.env 文件与机密信息

FAQ

Q和个人开发版相比，最大的不同在哪里？

对策会从『一个人来运转的检查清单』变成『有负责人的项目』。优先级（身份 → 机密与供应链 → 应用与基础设施 → 检测与响应）是一样的，区别在于：每一层都作为机制、人和流程被长期、常态化地运营。

Q组织里最先要夯实的是什么？

是身份的统一管控。用 SSO 把认证集中起来，在全组织范围强制启用抗钓鱼的多因素认证，并随入职离职自动授予与吊销权限（尤其要做到离职者访问的即时吊销）。规模越大，被放任不管的离职者账号越会成为最大的入侵口。

Q依赖扫描（osv-scanner 等）在组织里也是底线吗？

是的。而且在规模上还要更进一步：编制物料清单（SBOM）、为产物附加签名与来历（provenance），直至保护 CI/CD 流水线本身，这些才是标准。经由供应链的入侵，是针对组织的典型手法。