初到公司，參加信息安全工作大會時領(lǐng)導說的話：“目前，集團的信息安全剛剛起步，各項工作還是要靠大家。前面的池子很大，魚很多，挑戰(zhàn)也很大。還望各位做好準備，拿好網(wǎng)子，開始撈魚。這個過程沒有人能夠幫助你們，都需要自己一步一步走出來?！?/p>

　　“撈魚”——是一個需要技巧的過程

　　相信，很多同仁曾與我有同樣的經(jīng)歷，陌生的環(huán)境，一切從零開始。除了知道自己工作的工位與廁所的距離外，其他事情一時間還不知道從何入手，但是很快領(lǐng)導就關(guān)切的慰問：“最近你都在忙啥？！” “……”

　　OK，閑言少敘，先說說我走過的一些彎路：

　　急于了解公司網(wǎng)絡和服務器情況。第一步，找網(wǎng)絡負責人要個拓撲圖；第二步，再找服務器管理員，要一下服務器相關(guān)資料，順便Nmap一下。第三步，再找業(yè)務部門要一些資料，來個WEB掃描，交差指日可待！

　　然而，得到的確是異口同聲的：“你說的資料我們沒有！”?，F(xiàn)在回想，其實也很簡單，這個世界沒有免費的午餐，我們不能一上來像個巨嬰一樣的要這要那，要切身處地的想清楚，我們能給哪些部門及同事提供必要的支持與幫助，而不是索取。

　　所以，正確的方法如下：

　　1）先了解組織結(jié)構(gòu)。

　　了解企業(yè)的組織結(jié)構(gòu)是很有必要的，就拿IT部門來說，一定會有做網(wǎng)絡管理的、數(shù)據(jù)管理的DBA、應用開發(fā)的同事，甚至還有業(yè)務分析的、做PMP項目管理的等等。先了解哪些部門跟自己的工作緊密度高，而其他一些部門的工作又都是如何開展的，相關(guān)的安全信息應該從哪里收集，又應該流向哪里；各個崗位對于信息安全的理解程度如何。通過訪談，了解對方的工作內(nèi)容、工作方法和所面臨的的問題，都是最最重要的環(huán)節(jié)。當然，如果有人帶著你那一定會事半功倍！

　　因此，從我多年的工作經(jīng)驗發(fā)現(xiàn)，其實大家對于信息安全的理解能力和認識真的大大出乎當時我的想象，這也是我所學的第一課，就是“土辦法”其實是最具有企業(yè)特色的安全管理辦法。

　　比如，這個過程中我發(fā)現(xiàn)了，即使沒有一些安全管理制度，但是大家還是可以按照規(guī)定的動作，低風險的處理數(shù)據(jù)和匯報工作。即使門禁簡陋，機房進出依然會有相關(guān)記錄和問題說明本本。開發(fā)雖然沒有受過安全的專業(yè)訓練，但也知道一些基礎(chǔ)的符號檢驗機制和數(shù)據(jù)應該傳輸加密。

　　所以，沉下來少說多做，先了解對方的實際情況，再結(jié)合相關(guān)的安全場景，基于我們能夠提供的技術(shù)或者制度予以幫助，這也是獲取彼此信任的最好方法。

　　2）獲取網(wǎng)絡結(jié)構(gòu)。

　　先了解機房在哪里，我們用的哪些服務器，都是什么樣的操作系統(tǒng)，是Windows多，還是Linux多，有哪些網(wǎng)絡甚至安全設備，是如何分布的。如果已經(jīng)有防火墻了，看看里面的配置情況，你能了解到很多現(xiàn)狀，比如：網(wǎng)絡區(qū)域劃分情況、網(wǎng)絡IP地址分配情況、是否開啟了7層安全防護，不同區(qū)域的訪問關(guān)系，一些核心業(yè)務系統(tǒng)的前后臺結(jié)構(gòu)等等。還是那句話，少問多看。當你自己能夠自己畫出一整套“模糊”的拓撲圖的時候，你就可以開始干活了。

　　申請一個IP，用Nmap掃描一下看看，去了解以后你需要保護的那些可愛資產(chǎn)的具體情況。

　　沉下來，一遍遍的豐富自己的拓撲圖，服務器的excal列表，了解各業(yè)務之間的關(guān)系，訪問控制的控制粒度等等?；蛟S這時候，已經(jīng)有一些敏感數(shù)據(jù)來到你的面前了，比如：AD在哪，445端口開放情況，3389和22端口情況，80和443端口多不多，甚至Tomcat、Apache、Struts2、Oracle、MySQL等都讓你撈到了。

　　當然這些信息的獲取，沒什么沾沾自喜的，因為其實除了你不知道，運維人員、網(wǎng)絡人員，甚至你的領(lǐng)導都知道。這個過程只是我們快速需要彌補的內(nèi)容，說白了我們做安全的到此時還沒啥價值體現(xiàn)呢。

　　3）賬號安全與業(yè)務結(jié)構(gòu)圖。

　　有了上面一些積累，實際上你會發(fā)現(xiàn)，業(yè)務離不開系統(tǒng)，更離不開賬號，先弄明白哪些賬號是我們自己公司內(nèi)部的，哪些是對外提供服務的。而這些賬號又是如何管理和使用的。

　　以我為例，還記得剛?cè)牍緯r，我的工號在5000左右，剛好賬號管理的工作也放到信息安全這里，于是乎查了一下AD信息，看了看賬號管理的情況。這一看，一身冷汗來了。居然隨便試了幾個離職人員賬號：有弱口令的，有未及時關(guān)閉還能VPN進來的，甚至有還可以登錄一些業(yè)務系統(tǒng)的。

　　發(fā)現(xiàn)問題，快速解決。經(jīng)過半個月的努力，消滅僵尸賬號1000多個，也算走出了第一步，收獲了領(lǐng)導的第一次信任。當然后面的路還很長。

　　帶著興趣，在獲取了一些基礎(chǔ)業(yè)務系統(tǒng)信息的同時，就可以開始嘗試手工測試一下我們相關(guān)業(yè)務系統(tǒng)的強壯程度了。比如：一些系統(tǒng)沒有密碼嘗試次數(shù)鎖定機制、一些沒有進行HTTPS加密、一些甚至沒有對錯誤密碼或者錯誤收入進行日志記錄……等等。

　　總之，在最小傷害業(yè)務系統(tǒng)的嘗試過程中，你可以逐步了解每個業(yè)務系統(tǒng)的安全現(xiàn)狀，也可以問問相關(guān)開發(fā)人員在某些代碼方面的安全防護邏輯。

　　4）了解公司安全類管理制度情況。

　　其實很多企業(yè)，雖然沒有信息安全專項的管理類制度，但也已經(jīng)有了很多類似的制度，比如人力發(fā)布的獎懲類制度、行政發(fā)布的電腦管理辦法等等。

　　所以，不要盲目的把自己手里的“干貨”拿出來實行，或許在你閱讀了許多制度之后，你會發(fā)現(xiàn)，其實企業(yè)很多地方的要求，比某些標準還嚴格的多。

　　啟動制度類工作時，最好依照發(fā)現(xiàn)的問題展開，于是乎我們先后編寫了機房安全管理辦法、安全開發(fā)標準及評估方法、中間件或補丁更新升級方案，以及操作系統(tǒng)安全基線等落地的標準，并及時推廣。

　　二、基礎(chǔ)安全工作，你的細節(jié)決定成敗

　　基礎(chǔ)工作非?，嵥椋踔涟艘恍┊a(chǎn)品測試、上線等工作，而許多互聯(lián)網(wǎng)公司更是結(jié)合自己的情況自研安全產(chǎn)品，比如WAF、堡壘機、甚至防火墻等。

　　這里我會從幾個基礎(chǔ)層面展開來談：

　　1）做好訪問控制和策略控制。

　　相信大家經(jīng)歷過“一墻在手，天下我有”的感覺，任何一個訪問關(guān)系的轉(zhuǎn)變都需要員工提流程，再經(jīng)由安全部門根據(jù)安全原則審批開發(fā)后方可實施。但是這里，也是要循序漸進的，因為剛開始你既不熟悉業(yè)務，而業(yè)務也不一定就適應你的要求。所以，可以先放寬條件，等熟悉業(yè)務邏輯或系統(tǒng)改造后再逐步收緊，是很有必要的。但是不要讓領(lǐng)導或者同事，認為你是一個沒有原則的人，所以放開策略是需要說明潛在風險并且得到了領(lǐng)導甚至業(yè)務部門認可后，方可執(zhí)行的，不然你就成了鍋底。

　　為了更好的說明我是個技術(shù)型直男，在這里我先聊聊關(guān)于訪問控制產(chǎn)品的選擇之一——防火墻/UTM，因為一扇好門，可以讓你以后事倍功半。甚至可以保住你的飯碗（引用某同行的話）。

　　本人用過幾個廠家的防火墻，說實話差距還是比較明顯的，需求總結(jié)如下（自行研發(fā)的可跳過）：

　　不管你是硬件還是軟件，防火墻自身安全很重要。比如最近就有某墻VPN漏洞、某墻系統(tǒng)操作系統(tǒng)漏洞等。

　　能買7層的就別用4層的。弄個DVWA實打?qū)嵉臏y一測，你會知道什么叫做不一樣。一些大品牌的防火墻，是可以防SQL注入、文件上傳漏洞、病毒、反序列化漏洞、永恒之藍漏洞等的。

　　VPN，日志要清晰準確?？刹皇嵌加修D(zhuǎn)換前、轉(zhuǎn)換后IP地址的哦。另外，最好能提供相關(guān)開發(fā)接口進行自動封堵。總不能大半夜爬爬起來登陸防火墻踢VPN吧，等一上班再看？對不起，黃花菜都涼了。

　　用戶身份識別必須有?，F(xiàn)在網(wǎng)絡基本上都是DHCP或者全無線了。防火墻必須能進行用戶身份識別，要不然后面做大數(shù)據(jù)分析，我真不知道如何下手了。

　　日志要能拿的出來分析，而且是全日志。不管是流量日志，還是登陸日志，還是威脅日志，還是VPN日志，統(tǒng)統(tǒng)都能發(fā)出來，如果廠商能提供分析模型更好，如某些品牌提供SPLUNK相關(guān)APP，為以后的關(guān)聯(lián)分析鋪路。如果玩不轉(zhuǎn)，那就只能每天跟著事件跑了，要是10000條以上呢？

　　必須提供標準的全接口開發(fā)文檔，以便后續(xù)實現(xiàn)自動化策略發(fā)布。自動化策略發(fā)布是個必然趨勢。超過4臺以上防火墻后，總不能一條條碼策略，先來個1000條嘗嘗？不燙么？不但降低效率，而且很容易讓安全防守處于被動，是睡不好覺地。

　　總之，經(jīng)過這幾年的不斷探索，我們已結(jié)合大數(shù)據(jù)分析平臺模型，已經(jīng)建立了FW的：IP自動封堵、策略流程化部署、高危策略自動drop同步等功能。大大降低了人員成本，且讓安全操作員真正成為了安全審計員。

　　好鞋還需底子硬，要不安全建設跑不快的。