初到公司，參加信息安全工作大會時領導說的話：“目前，集團的信息安全剛剛起步，各項工作還是要靠大家。前面的池子很大，魚很多，挑戰也很大。還望各位做好準備，拿好網子，開始撈魚。這個過程沒有人能夠幫助你們，都需要自己一步一步走出來。”

　　“撈魚”——是一個需要技巧的過程

　　相信，很多同仁曾與我有同樣的經歷，陌生的環境，一切從零開始。除了知道自己工作的工位與廁所的距離外，其他事情一時間還不知道從何入手，但是很快領導就關切的慰問：“最近你都在忙啥？！” “……”

　　OK，閑言少敘，先說說我走過的一些彎路：

　　急于了解公司網絡和服務器情況。第一步，找網絡負責人要個拓撲圖；第二步，再找服務器管理員，要一下服務器相關資料，順便Nmap一下。第三步，再找業務部門要一些資料，來個WEB掃描，交差指日可待！

　　然而，得到的確是異口同聲的：“你說的資料我們沒有！”。現在回想，其實也很簡單，這個世界沒有免費的午餐，我們不能一上來像個巨嬰一樣的要這要那，要切身處地的想清楚，我們能給哪些部門及同事提供必要的支持與幫助，而不是索取。

　　所以，正確的方法如下：

　　1）先了解組織結構。

　　了解企業的組織結構是很有必要的，就拿IT部門來說，一定會有做網絡管理的、數據管理的DBA、應用開發的同事，甚至還有業務分析的、做PMP項目管理的等等。先了解哪些部門跟自己的工作緊密度高，而其他一些部門的工作又都是如何開展的，相關的安全信息應該從哪里收集，又應該流向哪里；各個崗位對于信息安全的理解程度如何。通過訪談，了解對方的工作內容、工作方法和所面臨的的問題，都是最最重要的環節。當然，如果有人帶著你那一定會事半功倍！

　　因此，從我多年的工作經驗發現，其實大家對于信息安全的理解能力和認識真的大大出乎當時我的想象，這也是我所學的第一課，就是“土辦法”其實是最具有企業特色的安全管理辦法。

　　比如，這個過程中我發現了，即使沒有一些安全管理制度，但是大家還是可以按照規定的動作，低風險的處理數據和匯報工作。即使門禁簡陋，機房進出依然會有相關記錄和問題說明本本。開發雖然沒有受過安全的專業訓練，但也知道一些基礎的符號檢驗機制和數據應該傳輸加密。

　　所以，沉下來少說多做，先了解對方的實際情況，再結合相關的安全場景，基于我們能夠提供的技術或者制度予以幫助，這也是獲取彼此信任的最好方法。

　　2）獲取網絡結構。

　　先了解機房在哪里，我們用的哪些服務器，都是什么樣的操作系統，是Windows多，還是Linux多，有哪些網絡甚至安全設備，是如何分布的。如果已經有防火墻了，看看里面的配置情況，你能了解到很多現狀，比如：網絡區域劃分情況、網絡IP地址分配情況、是否開啟了7層安全防護，不同區域的訪問關系，一些核心業務系統的前后臺結構等等。還是那句話，少問多看。當你自己能夠自己畫出一整套“模糊”的拓撲圖的時候，你就可以開始干活了。

　　申請一個IP，用Nmap掃描一下看看，去了解以后你需要保護的那些可愛資產的具體情況。

　　沉下來，一遍遍的豐富自己的拓撲圖，服務器的excal列表，了解各業務之間的關系，訪問控制的控制粒度等等。或許這時候，已經有一些敏感數據來到你的面前了，比如：AD在哪，445端口開放情況，3389和22端口情況，80和443端口多不多，甚至Tomcat、Apache、Struts2、Oracle、MySQL等都讓你撈到了。

　　當然這些信息的獲取，沒什么沾沾自喜的，因為其實除了你不知道，運維人員、網絡人員，甚至你的領導都知道。這個過程只是我們快速需要彌補的內容，說白了我們做安全的到此時還沒啥價值體現呢。

　　3）賬號安全與業務結構圖。

　　有了上面一些積累，實際上你會發現，業務離不開系統，更離不開賬號，先弄明白哪些賬號是我們自己公司內部的，哪些是對外提供服務的。而這些賬號又是如何管理和使用的。

　　以我為例，還記得剛入公司時，我的工號在5000左右，剛好賬號管理的工作也放到信息安全這里，于是乎查了一下AD信息，看了看賬號管理的情況。這一看，一身冷汗來了。居然隨便試了幾個離職人員賬號：有弱口令的，有未及時關閉還能VPN進來的，甚至有還可以登錄一些業務系統的。

　　發現問題，快速解決。經過半個月的努力，消滅僵尸賬號1000多個，也算走出了第一步，收獲了領導的第一次信任。當然后面的路還很長。

　　帶著興趣，在獲取了一些基礎業務系統信息的同時，就可以開始嘗試手工測試一下我們相關業務系統的強壯程度了。比如：一些系統沒有密碼嘗試次數鎖定機制、一些沒有進行HTTPS加密、一些甚至沒有對錯誤密碼或者錯誤收入進行日志記錄……等等。

　　總之，在最小傷害業務系統的嘗試過程中，你可以逐步了解每個業務系統的安全現狀，也可以問問相關開發人員在某些代碼方面的安全防護邏輯。

　　4）了解公司安全類管理制度情況。

　　其實很多企業，雖然沒有信息安全專項的管理類制度，但也已經有了很多類似的制度，比如人力發布的獎懲類制度、行政發布的電腦管理辦法等等。

　　所以，不要盲目的把自己手里的“干貨”拿出來實行，或許在你閱讀了許多制度之后，你會發現，其實企業很多地方的要求，比某些標準還嚴格的多。

　　啟動制度類工作時，最好依照發現的問題展開，于是乎我們先后編寫了機房安全管理辦法、安全開發標準及評估方法、中間件或補丁更新升級方案，以及操作系統安全基線等落地的標準，并及時推廣。

　　二、基礎安全工作，你的細節決定成敗

　　基礎工作非常瑣碎，甚至包括了一些產品測試、上線等工作，而許多互聯網公司更是結合自己的情況自研安全產品，比如WAF、堡壘機、甚至防火墻等。

　　這里我會從幾個基礎層面展開來談：

　　1）做好訪問控制和策略控制。

　　相信大家經歷過“一墻在手，天下我有”的感覺，任何一個訪問關系的轉變都需要員工提流程，再經由安全部門根據安全原則審批開發后方可實施。但是這里，也是要循序漸進的，因為剛開始你既不熟悉業務，而業務也不一定就適應你的要求。所以，可以先放寬條件，等熟悉業務邏輯或系統改造后再逐步收緊，是很有必要的。但是不要讓領導或者同事，認為你是一個沒有原則的人，所以放開策略是需要說明潛在風險并且得到了領導甚至業務部門認可后，方可執行的，不然你就成了鍋底。

　　為了更好的說明我是個技術型直男，在這里我先聊聊關于訪問控制產品的選擇之一——防火墻/UTM，因為一扇好門，可以讓你以后事倍功半。甚至可以保住你的飯碗（引用某同行的話）。

　　本人用過幾個廠家的防火墻，說實話差距還是比較明顯的，需求總結如下（自行研發的可跳過）：

　　不管你是硬件還是軟件，防火墻自身安全很重要。比如最近就有某墻VPN漏洞、某墻系統操作系統漏洞等。

　　能買7層的就別用4層的。弄個DVWA實打實的測一測，你會知道什么叫做不一樣。一些大品牌的防火墻，是可以防SQL注入、文件上傳漏洞、病毒、反序列化漏洞、永恒之藍漏洞等的。

　　VPN，日志要清晰準確。可不是都有轉換前、轉換后IP地址的哦。另外，最好能提供相關開發接口進行自動封堵。總不能大半夜爬爬起來登陸防火墻踢VPN吧，等一上班再看？對不起，黃花菜都涼了。

　　用戶身份識別必須有。現在網絡基本上都是DHCP或者全無線了。防火墻必須能進行用戶身份識別，要不然后面做大數據分析，我真不知道如何下手了。

　　日志要能拿的出來分析，而且是全日志。不管是流量日志，還是登陸日志，還是威脅日志，還是VPN日志，統統都能發出來，如果廠商能提供分析模型更好，如某些品牌提供SPLUNK相關APP，為以后的關聯分析鋪路。如果玩不轉，那就只能每天跟著事件跑了，要是10000條以上呢？

　　必須提供標準的全接口開發文檔，以便后續實現自動化策略發布。自動化策略發布是個必然趨勢。超過4臺以上防火墻后，總不能一條條碼策略，先來個1000條嘗嘗？不燙么？不但降低效率，而且很容易讓安全防守處于被動，是睡不好覺地。

　　總之，經過這幾年的不斷探索，我們已結合大數據分析平臺模型，已經建立了FW的：IP自動封堵、策略流程化部署、高危策略自動drop同步等功能。大大降低了人員成本，且讓安全操作員真正成為了安全審計員。

　　好鞋還需底子硬，要不安全建設跑不快的。