初到公司，参加信息安全工作大会时领导说的话：“目前，集团的信息安全刚刚起步，各项工作还是要靠大家。前面的池子很大，鱼很多，挑战也很大。还望各位做好准备，拿好网子，开始捞鱼。这个过程没有人能够帮助你们，都需要自己一步一步走出来。”

　　“捞鱼”——是一个需要技巧的过程

　　相信，很多同仁曾与我有同样的经历，陌生的环境，一切从零开始。除了知道自己工作的工位与厕所的距离外，其他事情一时间还不知道从何入手，但是很快领导就关切的慰问：“最近你都在忙啥？！” “……”

　　OK，闲言少叙，先说说我走过的一些弯路：

　　急于了解公司网络和服务器情况。第一步，找网络负责人要个拓扑图；第二步，再找服务器管理员，要一下服务器相关资料，顺便Nmap一下。第三步，再找业务部门要一些资料，来个WEB扫描，交差指日可待！

　　然而，得到的确是异口同声的：“你说的资料我们没有！”。现在回想，其实也很简单，这个世界没有免费的午餐，我们不能一上来像个巨婴一样的要这要那，要切身处地的想清楚，我们能给哪些部门及同事提供必要的支持与帮助，而不是索取。

　　所以，正确的方法如下：

　　1）先了解组织结构。

　　了解企业的组织结构是很有必要的，就拿IT部门来说，一定会有做网络管理的、数据管理的DBA、应用开发的同事，甚至还有业务分析的、做PMP项目管理的等等。先了解哪些部门跟自己的工作紧密度高，而其他一些部门的工作又都是如何开展的，相关的安全信息应该从哪里收集，又应该流向哪里；各个岗位对于信息安全的理解程度如何。通过访谈，了解对方的工作内容、工作方法和所面临的的问题，都是最最重要的环节。当然，如果有人带着你那一定会事半功倍！

　　因此，从我多年的工作经验发现，其实大家对于信息安全的理解能力和认识真的大大出乎当时我的想象，这也是我所学的第一课，就是“土办法”其实是最具有企业特色的安全管理办法。

　　比如，这个过程中我发现了，即使没有一些安全管理制度，但是大家还是可以按照规定的动作，低风险的处理数据和汇报工作。即使门禁简陋，机房进出依然会有相关记录和问题说明本本。开发虽然没有受过安全的专业训练，但也知道一些基础的符号检验机制和数据应该传输加密。

　　所以，沉下来少说多做，先了解对方的实际情况，再结合相关的安全场景，基于我们能够提供的技术或者制度予以帮助，这也是获取彼此信任的最好方法。

　　2）获取网络结构。

　　先了解机房在哪里，我们用的哪些服务器，都是什么样的操作系统，是Windows多，还是Linux多，有哪些网络甚至安全设备，是如何分布的。如果已经有防火墙了，看看里面的配置情况，你能了解到很多现状，比如：网络区域划分情况、网络IP地址分配情况、是否开启了7层安全防护，不同区域的访问关系，一些核心业务系统的前后台结构等等。还是那句话，少问多看。当你自己能够自己画出一整套“模糊”的拓扑图的时候，你就可以开始干活了。

　　申请一个IP，用Nmap扫描一下看看，去了解以后你需要保护的那些可爱资产的具体情况。

　　沉下来，一遍遍的丰富自己的拓扑图，服务器的excal列表，了解各业务之间的关系，访问控制的控制粒度等等。或许这时候，已经有一些敏感数据来到你的面前了，比如：AD在哪，445端口开放情况，3389和22端口情况，80和443端口多不多，甚至Tomcat、Apache、Struts2、Oracle、MySQL等都让你捞到了。

　　当然这些信息的获取，没什么沾沾自喜的，因为其实除了你不知道，运维人员、网络人员，甚至你的领导都知道。这个过程只是我们快速需要弥补的内容，说白了我们做安全的到此时还没啥价值体现呢。

　　3）账号安全与业务结构图。

　　有了上面一些积累，实际上你会发现，业务离不开系统，更离不开账号，先弄明白哪些账号是我们自己公司内部的，哪些是对外提供服务的。而这些账号又是如何管理和使用的。

　　以我为例，还记得刚入公司时，我的工号在5000左右，刚好账号管理的工作也放到信息安全这里，于是乎查了一下AD信息，看了看账号管理的情况。这一看，一身冷汗来了。居然随便试了几个离职人员账号：有弱口令的，有未及时关闭还能VPN进来的，甚至有还可以登录一些业务系统的。

　　发现问题，快速解决。经过半个月的努力，消灭僵尸账号1000多个，也算走出了第一步，收获了领导的第一次信任。当然后面的路还很长。

　　带着兴趣，在获取了一些基础业务系统信息的同时，就可以开始尝试手工测试一下我们相关业务系统的强壮程度了。比如：一些系统没有密码尝试次数锁定机制、一些没有进行HTTPS加密、一些甚至没有对错误密码或者错误收入进行日志记录……等等。

　　总之，在最小伤害业务系统的尝试过程中，你可以逐步了解每个业务系统的安全现状，也可以问问相关开发人员在某些代码方面的安全防护逻辑。

　　4）了解公司安全类管理制度情况。

　　其实很多企业，虽然没有信息安全专项的管理类制度，但也已经有了很多类似的制度，比如人力发布的奖惩类制度、行政发布的电脑管理办法等等。

　　所以，不要盲目的把自己手里的“干货”拿出来实行，或许在你阅读了许多制度之后，你会发现，其实企业很多地方的要求，比某些标准还严格的多。

　　启动制度类工作时，最好依照发现的问题展开，于是乎我们先后编写了机房安全管理办法、安全开发标准及评估方法、中间件或补丁更新升级方案，以及操作系统安全基线等落地的标准，并及时推广。

　　二、基础安全工作，你的细节决定成败

　　基础工作非常琐碎，甚至包括了一些产品测试、上线等工作，而许多互联网公司更是结合自己的情况自研安全产品，比如WAF、堡垒机、甚至防火墙等。

　　这里我会从几个基础层面展开来谈：

　　1）做好访问控制和策略控制。

　　相信大家经历过“一墙在手，天下我有”的感觉，任何一个访问关系的转变都需要员工提流程，再经由安全部门根据安全原则审批开发后方可实施。但是这里，也是要循序渐进的，因为刚开始你既不熟悉业务，而业务也不一定就适应你的要求。所以，可以先放宽条件，等熟悉业务逻辑或系统改造后再逐步收紧，是很有必要的。但是不要让领导或者同事，认为你是一个没有原则的人，所以放开策略是需要说明潜在风险并且得到了领导甚至业务部门认可后，方可执行的，不然你就成了锅底。

　　为了更好的说明我是个技术型直男，在这里我先聊聊关于访问控制产品的选择之一——防火墙/UTM，因为一扇好门，可以让你以后事倍功半。甚至可以保住你的饭碗（引用某同行的话）。

　　本人用过几个厂家的防火墙，说实话差距还是比较明显的，需求总结如下（自行研发的可跳过）：

　　不管你是硬件还是软件，防火墙自身安全很重要。比如最近就有某墙VPN漏洞、某墙系统操作系统漏洞等。

　　能买7层的就别用4层的。弄个DVWA实打实的测一测，你会知道什么叫做不一样。一些大品牌的防火墙，是可以防SQL注入、文件上传漏洞、病毒、反序列化漏洞、永恒之蓝漏洞等的。

　　VPN，日志要清晰准确。可不是都有转换前、转换后IP地址的哦。另外，最好能提供相关开发接口进行自动封堵。总不能大半夜爬爬起来登陆防火墙踢VPN吧，等一上班再看？对不起，黄花菜都凉了。

　　用户身份识别必须有。现在网络基本上都是DHCP或者全无线了。防火墙必须能进行用户身份识别，要不然后面做大数据分析，我真不知道如何下手了。

　　日志要能拿的出来分析，而且是全日志。不管是流量日志，还是登陆日志，还是威胁日志，还是VPN日志，统统都能发出来，如果厂商能提供分析模型更好，如某些品牌提供SPLUNK相关APP，为以后的关联分析铺路。如果玩不转，那就只能每天跟着事件跑了，要是10000条以上呢？

　　必须提供标准的全接口开发文档，以便后续实现自动化策略发布。自动化策略发布是个必然趋势。超过4台以上防火墙后，总不能一条条码策略，先来个1000条尝尝？不烫么？不但降低效率，而且很容易让安全防守处于被动，是睡不好觉地。

　　总之，经过这几年的不断探索，我们已结合大数据分析平台模型，已经建立了FW的：IP自动封堵、策略流程化部署、高危策略自动drop同步等功能。大大降低了人员成本，且让安全操作员真正成为了安全审计员。

　　好鞋还需底子硬，要不安全建设跑不快的。