浅谈创新企业安全初期建设｜科技创新型企业专刊·安全村

1、概述

信息安全建设大方面大家基本都差不多，只是每个行业或者每个企业在不同阶段的细节方面会有一些不同，最终效果也会有一些差距。而创新企业的安全建设基本都是从0到1，基本上是企业运行了几年时间，在基本业务稳定的情况下，因为有数据被竞争对手掌握、人员被定向挖墙脚、被监管部门通报安全事件等事件，开始重视信息安全防护，需要着手组建专业安全团队来解决对应问题。

2、救火与摸底

我将救火和摸底划分到同一个阶段，因为根据企业的业务特点、企业规模和个人经验来判断，在摸底和救火中不断去完善、了解企业的现状会更实际一些。预期1个月时间内完成，并且每周形成书面的进展周报，摘要信息同步给CTO，获取后续的支持和及时给出建议进行调整。

2.1 短期救火

一般没有体系化进行过安全建设的，基本就是有问题就处理问题，没有太多的复盘和深入解决。

救火的目标:

1. 快速止损，发现高风险隐患，解决掉

2. 借助开源工具平台提升效率

3. 与其他团队建立初期合作模式

例如:了解到创新企业的核心是算法、数据时，并且有一些研究人员是高校的大学生，肯定会有比较大幅度的人员流动，对于核心代码和数据的管控就是一个比较关键的点；这时搭建开源的github检测平台(ESD)，设定关键字，每天搜索出对应的代码信息，确认对应人员和团队后，邮件、钉钉方式通知进行处理。

创新企业现在基本线上业务都是跑在云上的，借助阿里云、腾讯云的安全能力，如安骑士，查看历史出现的告警信息，联系业务和IT负责人确认是否都已处理完成，了解处理过程，然后使用开源的漏洞扫描器进行漏洞修复验证，确认漏洞是否已修复完成，木马等是否清除完成。

2.2 快速摸底

初期安全负责人需要有几个表格来协助你更快速的梳理出高风险的问题，并结合企业业务、信息化基础水平等维度进行摸底了解情况：

1. 历史安全事件记录表

2. 信息化基础架构信息表

3. 组织架构基本信息和业务特点表

摸底的作用一个是了解历史发生的安全事件、各方对于安全的期望有哪些，然后结合实际情况划分优先级来进行解决，建立业务对于安全的依赖和信任，便于后续规范化建设工作的开展。

摸底一般从以下几个维度展开:

• 找安全团队的上级领导如CTO、CIO来了解公司管理层对于安全的期望和公司之前遇到的重大事件

• 找业务方的负责人来了解业务侧遇到的安全困难点都有哪些，是否有遇到监管部门的安全要求，招投标中有哪些强安全要求等情况

• 找IT团队的负责人来了解公司整体的IT基础设施的建设情况，包括网络、系统、云服务、办公网建设的现状，是否出现过大规模的病毒、勒索等事件，之前IT是如何处理的

• 找HR团队了解公司的组织架构，让HR给介绍一下公司各个业务线的基本情况，比如业务是TOB还是TOC，业务的核心是什么等基础信息

2.2.1 历史安全事件记录表

2.2.2 信息化基础架构信息表

通过对现有信息化建设情况的摸底，来了解基本的网络、系统、桌面的管理情况，来了解可能因基础服务的问题导致发生大规模安全事件的可能性，来协助后续制定安全规划作为依据。

摸底不要大而全，只关注核心的即可，后续再按照项目方式来开展整体的安全评估服务。

2.2.3 组织架构基本信息和业务特点表

3、整体规划

有了上面的结果和输入后，整体了解到公司的整体状况和安全防护重点在哪里。下一步就是制定整体的计划来推进落实。这里需要注意不要上来就按照ISMS等很大的体系框架来套用，因为大部分都是空白，没有实际意义，先打好基础为主。

3.1 第一部分:现状和职责是什么

概述目前的情况，简单介绍即可，管理层心里基本上都清楚现在的情况大体是什么样的，只需要专业角度来分析和对比同业的情况即可。

重点是引导和告知领导层为什么要加大安全方面的投入，目前面临哪些安全问题

• 整体安全形势分析

• 安全现状分析

• 安全防护重点分析

• 安全职责定义和分工

3.2 第二部分:规划的内容依据是什么

重点说清楚为什么要这样来做，因为企业核心是数据和代码，所以单独将数据安全划分为一块重点工作。

除了现状以外，还有哪些外部的监管要求、国际标准等作为输入参考

• 整体规划的原则

• 监管要求重点解读

• 信息安全全景图

• 信息安全框架

框架中需要包含安全管理规范要求、安全技术、安全合规管理、数据安全防护四个大的方面。

3.3 第三部分:怎么去落地执行

如何来落实这些规划的内容，分几个阶段，需要公司提供哪些方面的支持来实现。

第一次安全整体规划建议只针对最近1年的工作内容进行重点规划和分解，剩余的部分在最后简单介绍一下还有哪些差距，通过哪些方式来进行完善即可，重点在第一年的内容，建议按照3个月为一个周期进行划分来讲解。

1. 安全管理方面

2. 安全技术方面

3. 安全合规方面

4. 数据安全方面

安全管理只聚焦在关键安全流程方面，目的是规范化部分高风险操作行为和事件处理，如《应急响应处理流程》、《安全奖惩制度》、《安全评估管理规范》这些短期内需要使用和可以作为辅佐的流程和制度。不要贪大，重点解释清楚为什么管理是需要和技术手段配合落地执行会效果更佳。

安全技术方面，以开源为主、商业为辅的原则进行基础建设，快速解决从无到有的问题，然后再慢慢进行精细化的运营和未来商业化替换，短期内不要考虑全部商业化了。但是云平台上的商业安全能力，建议有资金预算的情况下，直接选择商业的，这块自研的ROI比较低。重点经历集中在漏洞覆盖和监控建设，不要想什么SOC、SIEM这些大的平台，没有基础的防护这些大平台也是没有太大的价值发挥。

根据企业自身安全防护重点，采用部分成熟的开源的产品进行快速上手使用，解决问题。

可使用的商业和开源产品如下:

• 源代码泄漏检测使用开源的github检测工具ESD

• 内网资产发现和漏洞检测使用xunfeng

• 外网开放端口和服务基础漏洞检测使用portscan

• 边界网络流量检测内网的威胁的使用安全洋葱 security onion

• 日志平台使用开源的ELK+filebeat+x-pack，进行日志存储和监控告警配置

• AD域控异常监控可以使用微软的ATA或者开源的watchAD

• 堡垒机可以使用开源的jumpserver

利用开源工具和平台快速搭建基础安全防护和检测能力，工具和平台只是手段，不要将主要精力花费在这些工具平台方面，利用工具和平台快速去发现问题，解决问题是关键。

一点小经验分享:

1. 终端的防病毒和DLP检测采用商业化产品进行部署使用，DLP推荐采用国内的思睿嘉得或天空卫士，产品的思维更符合国内用户的习惯，厂商支持也更优一些

2. 商业产品选型时建议先调研了解一下国内互联网大厂和同行业都在使用哪些商业产品，从用户角度了解一下产品的适用性和了解一下厂商的售后服务支持情况，然后在横向对比选择

3. 在做的过程中需要定期回顾自己做的事情和最初的目标是否一致，避免干着干着偏离了初衷的情况。

4. 安全合规这块重点是需要和业务进行沟通协调，划分清楚对应的职责，为了一个共同的目标一起协作，采用项目管理的方式、定期沟通，最好有项目管理方面经验的人来进行统一管理，不一定非的是安全团队的，可以借助公司的PMO团队的资源来帮助此类事情更好的开展。

5. 数据安全是创新企业的命脉，但是目前人手短缺，技术能力又不足，不要想什么数据血缘关系、数据资产地图这些高大上的东西，先定义出数据分类分级标准，然后规范数据在企业内和对外的流转中需要哪些卡点审批和处理，以保障数据的基础流转安全。

6. 关键系统的日志要留存好。

7. 可采用类似黑客的手段去渗透公司的互联网系统和接口，来看是否有存在数据泄漏的case，钓鱼方式去从黑产处购买新的企业泄漏数据进行验证，判断是哪里出现的问题。

8. 数据安全前期主要以事件调查为主，根据日志数据进行溯源定位，然后终端侧主要借助商业DLP产品进行配合检测，后续有经历在将网络流量侧的监控做起来。数据安全防护建设很多需要依赖基础安全的建设能力，优先补足基础安全的能力后在进行体系化的建设。

4、建立关键制度和流程卡点

有了关键的制度和流程，有了基础的安全安全防护能力后，需要结合公司的现有管理流程进行卡点审核，避免安全做成纯“外挂式”的服务，在系统上线、对外开放服务、对外合作等业务场景下，经过安全的评估确认后上线使用，保证低级的安全配置错误和漏洞不出现，要不永远处于不断救火状态。

5、向上管理

初建阶段需要内部磨合、与业务团队磨合，最重要的是和管理层磨合，这里的磨合不是只报喜不报忧，而是要客观的给管理层呈现现在公司整体的安全状况、安全已解决问题、还有哪些待解决的问题需要哪些资源配合来完成，外部有哪些新的风险趋势对我们未来会有影响，提前做预警和准备。

前期双周会方式向上进行简短汇报和沟通，相比月度、季度会议相比会更有效一些。同时因为创新企业业务调整会很迅速，也可以通过管理层获知最新的动向，评估是否需要和需要投入多少安全资源来进行协助。

6.安全团队建设

6.1 如何吸引人才

了解了问题，有了目标和计划，后面就是如何有效的落实执行了，核心还是人，在整体规划事项中最后会给出团队规模和预算的规划。

因为非大厂，招聘吸引人才加入还是很困难的，但是这里我总结了一些创新企业的优势，在招聘时得到了很多候选人的认可，吸引点就是“从0到1”，可以让大家在短期内积累更多的经验。

6.2 团队沟通与效率管理

团队内部建议弱化组织架构、并且不建议固化什么周报、月报和周会，多采用站立会方式来讨论，安全负责人要以第三者的视角和主要owner两个视角来分别审视进度情况，对于存在的问题及时提出进行修正。过程中允许成员继续执着去尝试其他方案，但是有一定的期限，如果没有找到更优解的话，短期内沟通确认采用经验积累出的最佳方案来执行。避免“一言堂”，聚集人心比任何事情都重要，不能让团队丧失了主动性。

7、参考信息

• github检测ESD https://github.com/FeeiCN/ESD

• 内网资产发现和漏洞xunfeng https://github.com/ysrc/xunfeng

• 外网开放端口和服务基础漏洞检测portscan https://github.com/webvul/portMonitor

• 边界网络流量检测安全洋葱 security onion https://securityonionsolutions.com/

• 日志平台ELK+filebeat+x-pack https://www.elastic.co/cn/

• AD域控防护微软的ATA https://docs.Microsoft.com/en-us/advanced-threat-analytics/ata-architecture

• 堡垒机jumpserver:https://github.com/jumpserver/jumpserver

以上只是创新企业安全建设初期的一点经验，还有很多不足之处，欢迎大家一起交流讨论，互相学习进步。

作者介绍

Gyreg，前旷视科技安全总监 现字节高级安全架构师。

RECOMMEND

往期回顾

数据安全风险与系统化、数字化安全合规治理｜证券行业专刊·安全村

某制造业企业的信息安全工作实践｜科技创新型企业专刊·安全村

网络攻防实战的战术思考｜证券行业专刊·安全村

关于 安全村文集·科技创新型企业专刊

科技强大的根本在于企业创新，创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案，希望搭建一个创新型企业信息安全交流的平台，推动行业的信息安全工作交流、共享、提升。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（SecUN安全村）：浅谈创新企业安全初期建设｜科技创新型企业专刊·安全村