初到公司,，參加信息安全工作大會(huì)時(shí)領(lǐng)導(dǎo)說的話：“目前,，集團(tuán)的信息安全剛剛起步,，各項(xiàng)工作還是要靠大家。前面的池子很大,，魚很多,，挑戰(zhàn)也很大。還望各位做好準(zhǔn)備,，拿好網(wǎng)子,，開始撈魚。這個(gè)過程沒有人能夠幫助你們,，都需要自己一步一步走出來,。”

　　“撈魚”——是一個(gè)需要技巧的過程

　　相信,，很多同仁曾與我有同樣的經(jīng)歷,，陌生的環(huán)境，一切從零開始,。除了知道自己工作的工位與廁所的距離外,，其他事情一時(shí)間還不知道從何入手，但是很快領(lǐng)導(dǎo)就關(guān)切的慰問：“最近你都在忙啥,？！” “……”

　　OK,，閑言少敘,，先說說我走過的一些彎路：

　　急于了解公司網(wǎng)絡(luò)和服務(wù)器情況。第一步,，找網(wǎng)絡(luò)負(fù)責(zé)人要個(gè)拓?fù)鋱D,；第二步，再找服務(wù)器管理員,，要一下服務(wù)器相關(guān)資料,，順便Nmap一下。第三步,，再找業(yè)務(wù)部門要一些資料,，來個(gè)WEB掃描，交差指日可待,！

　　然而,，得到的確是異口同聲的：“你說的資料我們沒有！”?，F(xiàn)在回想,，其實(shí)也很簡(jiǎn)單，這個(gè)世界沒有免費(fèi)的午餐,，我們不能一上來像個(gè)巨嬰一樣的要這要那,，要切身處地的想清楚,，我們能給哪些部門及同事提供必要的支持與幫助，而不是索取,。

　　所以,，正確的方法如下：

　　1）先了解組織結(jié)構(gòu)。

　　了解企業(yè)的組織結(jié)構(gòu)是很有必要的,，就拿IT部門來說,，一定會(huì)有做網(wǎng)絡(luò)管理的、數(shù)據(jù)管理的DBA,、應(yīng)用開發(fā)的同事,，甚至還有業(yè)務(wù)分析的、做PMP項(xiàng)目管理的等等,。先了解哪些部門跟自己的工作緊密度高,，而其他一些部門的工作又都是如何開展的，相關(guān)的安全信息應(yīng)該從哪里收集,，又應(yīng)該流向哪里,；各個(gè)崗位對(duì)于信息安全的理解程度如何。通過訪談,，了解對(duì)方的工作內(nèi)容,、工作方法和所面臨的的問題，都是最最重要的環(huán)節(jié),。當(dāng)然,，如果有人帶著你那一定會(huì)事半功倍！

　　因此,，從我多年的工作經(jīng)驗(yàn)發(fā)現(xiàn),，其實(shí)大家對(duì)于信息安全的理解能力和認(rèn)識(shí)真的大大出乎當(dāng)時(shí)我的想象，這也是我所學(xué)的第一課,，就是“土辦法”其實(shí)是最具有企業(yè)特色的安全管理辦法,。

　　比如，這個(gè)過程中我發(fā)現(xiàn)了,，即使沒有一些安全管理制度,，但是大家還是可以按照規(guī)定的動(dòng)作，低風(fēng)險(xiǎn)的處理數(shù)據(jù)和匯報(bào)工作,。即使門禁簡(jiǎn)陋,，機(jī)房進(jìn)出依然會(huì)有相關(guān)記錄和問題說明本本。開發(fā)雖然沒有受過安全的專業(yè)訓(xùn)練,，但也知道一些基礎(chǔ)的符號(hào)檢驗(yàn)機(jī)制和數(shù)據(jù)應(yīng)該傳輸加密,。

　　所以，沉下來少說多做，先了解對(duì)方的實(shí)際情況,，再結(jié)合相關(guān)的安全場(chǎng)景,，基于我們能夠提供的技術(shù)或者制度予以幫助，這也是獲取彼此信任的最好方法,。

　　2）獲取網(wǎng)絡(luò)結(jié)構(gòu),。

　　先了解機(jī)房在哪里，我們用的哪些服務(wù)器,，都是什么樣的操作系統(tǒng),，是Windows多，還是Linux多,，有哪些網(wǎng)絡(luò)甚至安全設(shè)備,，是如何分布的。如果已經(jīng)有防火墻了,，看看里面的配置情況,，你能了解到很多現(xiàn)狀，比如：網(wǎng)絡(luò)區(qū)域劃分情況,、網(wǎng)絡(luò)IP地址分配情況,、是否開啟了7層安全防護(hù)，不同區(qū)域的訪問關(guān)系,，一些核心業(yè)務(wù)系統(tǒng)的前后臺(tái)結(jié)構(gòu)等等,。還是那句話，少問多看,。當(dāng)你自己能夠自己畫出一整套“模糊”的拓?fù)鋱D的時(shí)候,，你就可以開始干活了。

　　申請(qǐng)一個(gè)IP,，用Nmap掃描一下看看，去了解以后你需要保護(hù)的那些可愛資產(chǎn)的具體情況,。

　　沉下來,，一遍遍的豐富自己的拓?fù)鋱D，服務(wù)器的excal列表,，了解各業(yè)務(wù)之間的關(guān)系,，訪問控制的控制粒度等等?；蛟S這時(shí)候,，已經(jīng)有一些敏感數(shù)據(jù)來到你的面前了，比如：AD在哪,，445端口開放情況,，3389和22端口情況，80和443端口多不多，甚至Tomcat,、Apache,、Struts2、Oracle,、MySQL等都讓你撈到了,。

　　當(dāng)然這些信息的獲取，沒什么沾沾自喜的,，因?yàn)槠鋵?shí)除了你不知道,，運(yùn)維人員、網(wǎng)絡(luò)人員,，甚至你的領(lǐng)導(dǎo)都知道,。這個(gè)過程只是我們快速需要彌補(bǔ)的內(nèi)容，說白了我們做安全的到此時(shí)還沒啥價(jià)值體現(xiàn)呢,。

　　3）賬號(hào)安全與業(yè)務(wù)結(jié)構(gòu)圖,。

　　有了上面一些積累，實(shí)際上你會(huì)發(fā)現(xiàn),，業(yè)務(wù)離不開系統(tǒng),，更離不開賬號(hào)，先弄明白哪些賬號(hào)是我們自己公司內(nèi)部的,，哪些是對(duì)外提供服務(wù)的,。而這些賬號(hào)又是如何管理和使用的。

　　以我為例,，還記得剛?cè)牍緯r(shí),，我的工號(hào)在5000左右，剛好賬號(hào)管理的工作也放到信息安全這里,，于是乎查了一下AD信息,，看了看賬號(hào)管理的情況。這一看,，一身冷汗來了,。居然隨便試了幾個(gè)離職人員賬號(hào)：有弱口令的，有未及時(shí)關(guān)閉還能VPN進(jìn)來的,，甚至有還可以登錄一些業(yè)務(wù)系統(tǒng)的,。

　　發(fā)現(xiàn)問題，快速解決,。經(jīng)過半個(gè)月的努力,，消滅僵尸賬號(hào)1000多個(gè)，也算走出了第一步,，收獲了領(lǐng)導(dǎo)的第一次信任,。當(dāng)然后面的路還很長(zhǎng),。

　　帶著興趣，在獲取了一些基礎(chǔ)業(yè)務(wù)系統(tǒng)信息的同時(shí),，就可以開始嘗試手工測(cè)試一下我們相關(guān)業(yè)務(wù)系統(tǒng)的強(qiáng)壯程度了,。比如：一些系統(tǒng)沒有密碼嘗試次數(shù)鎖定機(jī)制、一些沒有進(jìn)行HTTPS加密,、一些甚至沒有對(duì)錯(cuò)誤密碼或者錯(cuò)誤收入進(jìn)行日志記錄……等等,。

　　總之，在最小傷害業(yè)務(wù)系統(tǒng)的嘗試過程中,，你可以逐步了解每個(gè)業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀,，也可以問問相關(guān)開發(fā)人員在某些代碼方面的安全防護(hù)邏輯。

　　4）了解公司安全類管理制度情況,。

　　其實(shí)很多企業(yè),，雖然沒有信息安全專項(xiàng)的管理類制度，但也已經(jīng)有了很多類似的制度,，比如人力發(fā)布的獎(jiǎng)懲類制度,、行政發(fā)布的電腦管理辦法等等。

　　所以,，不要盲目的把自己手里的“干貨”拿出來實(shí)行,，或許在你閱讀了許多制度之后，你會(huì)發(fā)現(xiàn),，其實(shí)企業(yè)很多地方的要求,，比某些標(biāo)準(zhǔn)還嚴(yán)格的多。

　　啟動(dòng)制度類工作時(shí),，最好依照發(fā)現(xiàn)的問題展開,，于是乎我們先后編寫了機(jī)房安全管理辦法、安全開發(fā)標(biāo)準(zhǔn)及評(píng)估方法,、中間件或補(bǔ)丁更新升級(jí)方案,，以及操作系統(tǒng)安全基線等落地的標(biāo)準(zhǔn)，并及時(shí)推廣,。

　　二,、基礎(chǔ)安全工作，你的細(xì)節(jié)決定成敗

　　基礎(chǔ)工作非?，嵥椋踔涟艘恍┊a(chǎn)品測(cè)試,、上線等工作,，而許多互聯(lián)網(wǎng)公司更是結(jié)合自己的情況自研安全產(chǎn)品，比如WAF,、堡壘機(jī),、甚至防火墻等,。

　　這里我會(huì)從幾個(gè)基礎(chǔ)層面展開來談：

　　1）做好訪問控制和策略控制。

　　相信大家經(jīng)歷過“一墻在手,，天下我有”的感覺,，任何一個(gè)訪問關(guān)系的轉(zhuǎn)變都需要員工提流程，再經(jīng)由安全部門根據(jù)安全原則審批開發(fā)后方可實(shí)施,。但是這里,，也是要循序漸進(jìn)的，因?yàn)閯傞_始你既不熟悉業(yè)務(wù),，而業(yè)務(wù)也不一定就適應(yīng)你的要求,。所以，可以先放寬條件,，等熟悉業(yè)務(wù)邏輯或系統(tǒng)改造后再逐步收緊,，是很有必要的。但是不要讓領(lǐng)導(dǎo)或者同事,，認(rèn)為你是一個(gè)沒有原則的人,，所以放開策略是需要說明潛在風(fēng)險(xiǎn)并且得到了領(lǐng)導(dǎo)甚至業(yè)務(wù)部門認(rèn)可后，方可執(zhí)行的,，不然你就成了鍋底,。

　　為了更好的說明我是個(gè)技術(shù)型直男，在這里我先聊聊關(guān)于訪問控制產(chǎn)品的選擇之一——防火墻/UTM,，因?yàn)橐簧群瞄T,，可以讓你以后事倍功半。甚至可以保住你的飯碗（引用某同行的話）,。

　　本人用過幾個(gè)廠家的防火墻,，說實(shí)話差距還是比較明顯的，需求總結(jié)如下（自行研發(fā)的可跳過）：

　　不管你是硬件還是軟件,，防火墻自身安全很重要,。比如最近就有某墻VPN漏洞、某墻系統(tǒng)操作系統(tǒng)漏洞等,。

　　能買7層的就別用4層的,。弄個(gè)DVWA實(shí)打?qū)嵉臏y(cè)一測(cè)，你會(huì)知道什么叫做不一樣,。一些大品牌的防火墻,，是可以防SQL注入、文件上傳漏洞,、病毒,、反序列化漏洞、永恒之藍(lán)漏洞等的,。

　　VPN,，日志要清晰準(zhǔn)確,。可不是都有轉(zhuǎn)換前,、轉(zhuǎn)換后IP地址的哦,。另外，最好能提供相關(guān)開發(fā)接口進(jìn)行自動(dòng)封堵,?？偛荒艽蟀胍古琅榔饋淼顷懛阑饓μ遃PN吧，等一上班再看,？對(duì)不起,，黃花菜都涼了。

　　用戶身份識(shí)別必須有?，F(xiàn)在網(wǎng)絡(luò)基本上都是DHCP或者全無線了,。防火墻必須能進(jìn)行用戶身份識(shí)別，要不然后面做大數(shù)據(jù)分析,，我真不知道如何下手了,。

　　日志要能拿的出來分析，而且是全日志,。不管是流量日志,，還是登陸日志，還是威脅日志,，還是VPN日志,，統(tǒng)統(tǒng)都能發(fā)出來，如果廠商能提供分析模型更好,，如某些品牌提供SPLUNK相關(guān)APP,，為以后的關(guān)聯(lián)分析鋪路。如果玩不轉(zhuǎn),，那就只能每天跟著事件跑了,，要是10000條以上呢？

　　必須提供標(biāo)準(zhǔn)的全接口開發(fā)文檔,，以便后續(xù)實(shí)現(xiàn)自動(dòng)化策略發(fā)布,。自動(dòng)化策略發(fā)布是個(gè)必然趨勢(shì)。超過4臺(tái)以上防火墻后,，總不能一條條碼策略,，先來個(gè)1000條嘗嘗？不燙么,？不但降低效率,，而且很容易讓安全防守處于被動(dòng)，是睡不好覺地,。

　　總之,，經(jīng)過這幾年的不斷探索，我們已結(jié)合大數(shù)據(jù)分析平臺(tái)模型,，已經(jīng)建立了FW的：IP自動(dòng)封堵,、策略流程化部署、高危策略自動(dòng)drop同步等功能,。大大降低了人員成本,，且讓安全操作員真正成為了安全審計(jì)員。

　　好鞋還需底子硬,，要不安全建設(shè)跑不快的,。