初到公司，參加信息安全工作大會(huì)時(shí)領(lǐng)導(dǎo)說的話：“目前，集團(tuán)的信息安全剛剛起步，各項(xiàng)工作還是要靠大家。前面的池子很大，魚很多，挑戰(zhàn)也很大。還望各位做好準(zhǔn)備，拿好網(wǎng)子，開始撈魚。這個(gè)過程沒有人能夠幫助你們，都需要自己一步一步走出來?！?/p>

　　“撈魚”——是一個(gè)需要技巧的過程

　　相信，很多同仁曾與我有同樣的經(jīng)歷，陌生的環(huán)境，一切從零開始。除了知道自己工作的工位與廁所的距離外，其他事情一時(shí)間還不知道從何入手，但是很快領(lǐng)導(dǎo)就關(guān)切的慰問：“最近你都在忙啥？！” “……”

　　OK，閑言少敘，先說說我走過的一些彎路：

　　急于了解公司網(wǎng)絡(luò)和服務(wù)器情況。第一步，找網(wǎng)絡(luò)負(fù)責(zé)人要個(gè)拓?fù)鋱D；第二步，再找服務(wù)器管理員，要一下服務(wù)器相關(guān)資料，順便Nmap一下。第三步，再找業(yè)務(wù)部門要一些資料，來個(gè)WEB掃描，交差指日可待！

　　然而，得到的確是異口同聲的：“你說的資料我們沒有！”?，F(xiàn)在回想，其實(shí)也很簡(jiǎn)單，這個(gè)世界沒有免費(fèi)的午餐，我們不能一上來像個(gè)巨嬰一樣的要這要那，要切身處地的想清楚，我們能給哪些部門及同事提供必要的支持與幫助，而不是索取。

　　所以，正確的方法如下：

　　1）先了解組織結(jié)構(gòu)。

　　了解企業(yè)的組織結(jié)構(gòu)是很有必要的，就拿IT部門來說，一定會(huì)有做網(wǎng)絡(luò)管理的、數(shù)據(jù)管理的DBA、應(yīng)用開發(fā)的同事，甚至還有業(yè)務(wù)分析的、做PMP項(xiàng)目管理的等等。先了解哪些部門跟自己的工作緊密度高，而其他一些部門的工作又都是如何開展的，相關(guān)的安全信息應(yīng)該從哪里收集，又應(yīng)該流向哪里；各個(gè)崗位對(duì)于信息安全的理解程度如何。通過訪談，了解對(duì)方的工作內(nèi)容、工作方法和所面臨的的問題，都是最最重要的環(huán)節(jié)。當(dāng)然，如果有人帶著你那一定會(huì)事半功倍！

　　因此，從我多年的工作經(jīng)驗(yàn)發(fā)現(xiàn)，其實(shí)大家對(duì)于信息安全的理解能力和認(rèn)識(shí)真的大大出乎當(dāng)時(shí)我的想象，這也是我所學(xué)的第一課，就是“土辦法”其實(shí)是最具有企業(yè)特色的安全管理辦法。

　　比如，這個(gè)過程中我發(fā)現(xiàn)了，即使沒有一些安全管理制度，但是大家還是可以按照規(guī)定的動(dòng)作，低風(fēng)險(xiǎn)的處理數(shù)據(jù)和匯報(bào)工作。即使門禁簡(jiǎn)陋，機(jī)房進(jìn)出依然會(huì)有相關(guān)記錄和問題說明本本。開發(fā)雖然沒有受過安全的專業(yè)訓(xùn)練，但也知道一些基礎(chǔ)的符號(hào)檢驗(yàn)機(jī)制和數(shù)據(jù)應(yīng)該傳輸加密。

　　所以，沉下來少說多做，先了解對(duì)方的實(shí)際情況，再結(jié)合相關(guān)的安全場(chǎng)景，基于我們能夠提供的技術(shù)或者制度予以幫助，這也是獲取彼此信任的最好方法。

　　2）獲取網(wǎng)絡(luò)結(jié)構(gòu)。

　　先了解機(jī)房在哪里，我們用的哪些服務(wù)器，都是什么樣的操作系統(tǒng)，是Windows多，還是Linux多，有哪些網(wǎng)絡(luò)甚至安全設(shè)備，是如何分布的。如果已經(jīng)有防火墻了，看看里面的配置情況，你能了解到很多現(xiàn)狀，比如：網(wǎng)絡(luò)區(qū)域劃分情況、網(wǎng)絡(luò)IP地址分配情況、是否開啟了7層安全防護(hù)，不同區(qū)域的訪問關(guān)系，一些核心業(yè)務(wù)系統(tǒng)的前后臺(tái)結(jié)構(gòu)等等。還是那句話，少問多看。當(dāng)你自己能夠自己畫出一整套“模糊”的拓?fù)鋱D的時(shí)候，你就可以開始干活了。

　　申請(qǐng)一個(gè)IP，用Nmap掃描一下看看，去了解以后你需要保護(hù)的那些可愛資產(chǎn)的具體情況。

　　沉下來，一遍遍的豐富自己的拓?fù)鋱D，服務(wù)器的excal列表，了解各業(yè)務(wù)之間的關(guān)系，訪問控制的控制粒度等等?；蛟S這時(shí)候，已經(jīng)有一些敏感數(shù)據(jù)來到你的面前了，比如：AD在哪，445端口開放情況，3389和22端口情況，80和443端口多不多，甚至Tomcat、Apache、Struts2、Oracle、MySQL等都讓你撈到了。

　　當(dāng)然這些信息的獲取，沒什么沾沾自喜的，因?yàn)槠鋵?shí)除了你不知道，運(yùn)維人員、網(wǎng)絡(luò)人員，甚至你的領(lǐng)導(dǎo)都知道。這個(gè)過程只是我們快速需要彌補(bǔ)的內(nèi)容，說白了我們做安全的到此時(shí)還沒啥價(jià)值體現(xiàn)呢。

　　3）賬號(hào)安全與業(yè)務(wù)結(jié)構(gòu)圖。

　　有了上面一些積累，實(shí)際上你會(huì)發(fā)現(xiàn)，業(yè)務(wù)離不開系統(tǒng)，更離不開賬號(hào)，先弄明白哪些賬號(hào)是我們自己公司內(nèi)部的，哪些是對(duì)外提供服務(wù)的。而這些賬號(hào)又是如何管理和使用的。

　　以我為例，還記得剛?cè)牍緯r(shí)，我的工號(hào)在5000左右，剛好賬號(hào)管理的工作也放到信息安全這里，于是乎查了一下AD信息，看了看賬號(hào)管理的情況。這一看，一身冷汗來了。居然隨便試了幾個(gè)離職人員賬號(hào)：有弱口令的，有未及時(shí)關(guān)閉還能VPN進(jìn)來的，甚至有還可以登錄一些業(yè)務(wù)系統(tǒng)的。

　　發(fā)現(xiàn)問題，快速解決。經(jīng)過半個(gè)月的努力，消滅僵尸賬號(hào)1000多個(gè)，也算走出了第一步，收獲了領(lǐng)導(dǎo)的第一次信任。當(dāng)然后面的路還很長。

　　帶著興趣，在獲取了一些基礎(chǔ)業(yè)務(wù)系統(tǒng)信息的同時(shí)，就可以開始嘗試手工測(cè)試一下我們相關(guān)業(yè)務(wù)系統(tǒng)的強(qiáng)壯程度了。比如：一些系統(tǒng)沒有密碼嘗試次數(shù)鎖定機(jī)制、一些沒有進(jìn)行HTTPS加密、一些甚至沒有對(duì)錯(cuò)誤密碼或者錯(cuò)誤收入進(jìn)行日志記錄……等等。

　　總之，在最小傷害業(yè)務(wù)系統(tǒng)的嘗試過程中，你可以逐步了解每個(gè)業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀，也可以問問相關(guān)開發(fā)人員在某些代碼方面的安全防護(hù)邏輯。

　　4）了解公司安全類管理制度情況。

　　其實(shí)很多企業(yè)，雖然沒有信息安全專項(xiàng)的管理類制度，但也已經(jīng)有了很多類似的制度，比如人力發(fā)布的獎(jiǎng)懲類制度、行政發(fā)布的電腦管理辦法等等。

　　所以，不要盲目的把自己手里的“干貨”拿出來實(shí)行，或許在你閱讀了許多制度之后，你會(huì)發(fā)現(xiàn)，其實(shí)企業(yè)很多地方的要求，比某些標(biāo)準(zhǔn)還嚴(yán)格的多。

　　啟動(dòng)制度類工作時(shí)，最好依照發(fā)現(xiàn)的問題展開，于是乎我們先后編寫了機(jī)房安全管理辦法、安全開發(fā)標(biāo)準(zhǔn)及評(píng)估方法、中間件或補(bǔ)丁更新升級(jí)方案，以及操作系統(tǒng)安全基線等落地的標(biāo)準(zhǔn)，并及時(shí)推廣。

　　二、基礎(chǔ)安全工作，你的細(xì)節(jié)決定成敗

　　基礎(chǔ)工作非?，嵥?，甚至包括了一些產(chǎn)品測(cè)試、上線等工作，而許多互聯(lián)網(wǎng)公司更是結(jié)合自己的情況自研安全產(chǎn)品，比如WAF、堡壘機(jī)、甚至防火墻等。

　　這里我會(huì)從幾個(gè)基礎(chǔ)層面展開來談：

　　1）做好訪問控制和策略控制。

　　相信大家經(jīng)歷過“一墻在手，天下我有”的感覺，任何一個(gè)訪問關(guān)系的轉(zhuǎn)變都需要員工提流程，再經(jīng)由安全部門根據(jù)安全原則審批開發(fā)后方可實(shí)施。但是這里，也是要循序漸進(jìn)的，因?yàn)閯傞_始你既不熟悉業(yè)務(wù)，而業(yè)務(wù)也不一定就適應(yīng)你的要求。所以，可以先放寬條件，等熟悉業(yè)務(wù)邏輯或系統(tǒng)改造后再逐步收緊，是很有必要的。但是不要讓領(lǐng)導(dǎo)或者同事，認(rèn)為你是一個(gè)沒有原則的人，所以放開策略是需要說明潛在風(fēng)險(xiǎn)并且得到了領(lǐng)導(dǎo)甚至業(yè)務(wù)部門認(rèn)可后，方可執(zhí)行的，不然你就成了鍋底。

　　為了更好的說明我是個(gè)技術(shù)型直男，在這里我先聊聊關(guān)于訪問控制產(chǎn)品的選擇之一——防火墻/UTM，因?yàn)橐簧群瞄T，可以讓你以后事倍功半。甚至可以保住你的飯碗（引用某同行的話）。

　　本人用過幾個(gè)廠家的防火墻，說實(shí)話差距還是比較明顯的，需求總結(jié)如下（自行研發(fā)的可跳過）：

　　不管你是硬件還是軟件，防火墻自身安全很重要。比如最近就有某墻VPN漏洞、某墻系統(tǒng)操作系統(tǒng)漏洞等。

　　能買7層的就別用4層的。弄個(gè)DVWA實(shí)打?qū)嵉臏y(cè)一測(cè)，你會(huì)知道什么叫做不一樣。一些大品牌的防火墻，是可以防SQL注入、文件上傳漏洞、病毒、反序列化漏洞、永恒之藍(lán)漏洞等的。

　　VPN，日志要清晰準(zhǔn)確。可不是都有轉(zhuǎn)換前、轉(zhuǎn)換后IP地址的哦。另外，最好能提供相關(guān)開發(fā)接口進(jìn)行自動(dòng)封堵。總不能大半夜爬爬起來登陸防火墻踢VPN吧，等一上班再看？對(duì)不起，黃花菜都涼了。

　　用戶身份識(shí)別必須有?，F(xiàn)在網(wǎng)絡(luò)基本上都是DHCP或者全無線了。防火墻必須能進(jìn)行用戶身份識(shí)別，要不然后面做大數(shù)據(jù)分析，我真不知道如何下手了。

　　日志要能拿的出來分析，而且是全日志。不管是流量日志，還是登陸日志，還是威脅日志，還是VPN日志，統(tǒng)統(tǒng)都能發(fā)出來，如果廠商能提供分析模型更好，如某些品牌提供SPLUNK相關(guān)APP，為以后的關(guān)聯(lián)分析鋪路。如果玩不轉(zhuǎn)，那就只能每天跟著事件跑了，要是10000條以上呢？

　　必須提供標(biāo)準(zhǔn)的全接口開發(fā)文檔，以便后續(xù)實(shí)現(xiàn)自動(dòng)化策略發(fā)布。自動(dòng)化策略發(fā)布是個(gè)必然趨勢(shì)。超過4臺(tái)以上防火墻后，總不能一條條碼策略，先來個(gè)1000條嘗嘗？不燙么？不但降低效率，而且很容易讓安全防守處于被動(dòng)，是睡不好覺地。

　　總之，經(jīng)過這幾年的不斷探索，我們已結(jié)合大數(shù)據(jù)分析平臺(tái)模型，已經(jīng)建立了FW的：IP自動(dòng)封堵、策略流程化部署、高危策略自動(dòng)drop同步等功能。大大降低了人員成本，且讓安全操作員真正成為了安全審計(jì)員。

　　好鞋還需底子硬，要不安全建設(shè)跑不快的。