凌云：信息安全建设的从1到10

君哥有话说

凌云，2001 年开始关注信息安全，大学时代活跃于各类黑客论坛和黑客杂志。毕业后加入国内乙方安全公司绿盟科技，随后在中国平安、携程等公司工作，曾担任携程高级安全总监。目前在阿里巴巴和中国兵器集团合资的千寻位置负责信息安全及运维保障，有着 10 余年信息安全从业经验。曾经在xkungfoo等多个安全峰会，全球软件开发者大会上发表演讲。Gitc 2015年优秀讲师，Qcon 2016年优秀讲师，Qcon2017年优秀出品人 ，Qcon2019安全出品人。对运维安全、开发安全流程、业务安全风控、合规审计有多年实战经验。获得 CISA、ISO27001LA 认证。

近期，我们邀请资深安全专家在“金融业企业安全建设实践”微信群，进行在线直播分享。本期，我们邀请到的嘉宾是千寻位置负责信息安全及运维保障的凌云。

大家好，我是凌云，我在信息安全这块，也做了有15年时间，最初是在乙方绿盟科技，后来到了甲方，好几次组建安全团队，也就是传说中的从0到1 。

我相信群里大多都是甲方工作一段时间了，也就是过了0到1 的过程。

肯定渴望知道如何从1到10。

凌云

体、用、术

学问之道,分为“体、用、术”。

体-- 体系 ，用--做事的方法，术--手段或者技巧

凌云

体的方面，大家可以看聂君的书。

术的方面，大家平时在群里讨论了很多。

“用”我会在这里简单介绍一下一些。希望给大家与启发。

新到一家首先做了什么

1、信息安全摸底

我先说一下，新到一家首先做了什么。我首先对某公司的整个信息安全进行了摸底。这个我相信无论是从0到1 还是 1到10.这个是必须经历的过程。否则很多东西没法下手。那怎么摸底。一般是先动嘴 ，再动手。摸底目的：一方面知道怎么做，另外一方面可以知道平时要打接触的这些人的秉性是什么样子。

我入职后，首先和所有的公司总监聊了一圈，这是一个体力活。了解目前他们眼里的信息安全情况。这个其实蛮重要，你可以从中获得很多信息，包括他们是否重视信息安全，他们目前觉得最大的安全问题是什么。

然后呢，对办公网 、IDC，网站、APP等做一次摸底扫描，当然你也需要看看SRC、众测的结果，看看历史漏洞有哪些。这样可以对公司的薄弱环节 有个比较清楚的认识。有乌云的时候还可以看看乌云的记录，那现在没有了，可以看看各种众测记录，内部测试记录。能够看到很多边缘的应用，也能够看出不同的部门对安全的重视程度，或者说是开发能力的不同。一般按照经验的话，大厂出来的开发能力会强一点，中台的开发能力会比一些前线的业务部门会强一点。

2、工作分类

了解现状以后，我们就要对工作做分类，把职责做分类。把相同责任明确到一个组。

当时携程大概有20多人的安全Team吧。如果大家部门人少的话，可以责任到人。安全这个东西，其实很考验人的责任心，一旦明确了各个战线的责任人，我就可以比较明确的定义安全的kpi。带动团队积极性、奖罚分明。团队分组这块，其实又各家情况都很特殊。

最初我是按照 运维安全、应用安全、安全合规、安全开发这种方式进行分组。试图将各类安全责任进行分解。去年又开始按照 基础安全（差不多就是把应用安全和运维安全和在一起，把里面一些比较基础的内容在剥离到运营）、安全运营、安全合规、数据安全、安全开发这种方式进行分组。

这块应该没什么对错。看最适合的是什么。

 

3、定够得着的目标

团队有了。再接着 ，我们就需要定目标了。

那这个目标不能定的太高，否则好高骛远，也不能定的太低，低于了行业平均水准也不行。那这就需要负责人和同行交流。我那时候把几个大的互联网公司都跑了一次或者和他们的负责人微信沟通。包括北京的小米，美团，去哪儿等等。这时候我就可以知道自己公司在什么位置，在同行里面是60分 还是70分还是 80分水平。这个时候你就可以定一个 ，你跳一跳可以够到的目标了。跟规模差不多的公司做横向比较，如果是上市公司，可以看市值。

 

4、跟业界同行沟通学习

看同级公司之间如何处理自己关心的痛点的，例如：关心SDL。我可能已经有了一些作SDL的想法。但是这是不是一个最佳实践，和其他互联网同行比是落后的，还是领先的？那这个要去沟通才知道。

我当时在沟通的时候，想了解大家怎么做被动式扫描的。被动扫描有两条路可以走，一个是流量方式，一个是浏览器代理，哪个是最合适的？有没有坑？这个如果不是一家家跑下来，和其他公司沟通，自己闭门造车，会有很多问题。前面群友也说了，我去年把胖胖派出去差不多，国内很多互联网公司也都兜了一圈。这目标是为了调研HIDS。那其实可能也有两种声音，那这边不方便透露，但大家走了一圈后，都表示对HIDS如何做产品，如何设计思考的更全面，更深入了。所以有时候你要做一件事情，或者你安排你的下属去做一件事情，发现他们的想法和你不一样的时候，你不一定要强迫他们安排安着你的想法去做，你可以帮他攒一些局，让他去和同行沟通。这样从下而上的效果可能会更好。

4、安全规划长短期结合

长期计划，中期埋点，短期多出业绩。

凌云

对于安全规划，分阶段落地，前一阶段为下一阶段埋下伏笔，不断进阶。也可以把一个大项目拆成很多小项目来做，但要有一个整体的规划。

然后你要准备好你的短期工作目标和长期工作目标。短期的话，你要在几个点，半年左右的时间做出业绩，让你的领导对你有信心。但很多项目不是半年就能出结果的。那这种1年以上的长期大项目，也要有伏笔。你不能都短期项目，也不能都长期项目。长短结合。全是短的项目的话，那就没大项目出来。如果全是长时间的项目的话，那就会很长时间出不了成绩。所以都要考虑到。当然也可以把一个大项目拆成很多小项目来做，但要有一个整体的规划。

规划初期

如果是一个互联网公司，我理解初期目标，很大一块应该会放在防止黑客攻击上。这块的内容可以做1-2年。包括SDL、日志平台搭建、日志分析等等。在落地层面肯定各家不同，有的可以买，有的可以自研。这些都是术层面的东西。大家平时可以沟通，而且互联网和金融和传统可能没有很强的参考性。因此具体落地我就不多说了。具体可见：

陈莹-实时攻击检测的智能化之路.pdf     

凌霄-打造自适应攻击验证系统.pdf   

江榕-互联网运维安全建设与运营经验分享.pdf。

（下载地址见文末百度云盘地址）

规划中期

 

到了中期 ，可以把一些合规内容拿起来看。无论是 ISO27001，还是等保，还是目前比较火的数据安全，以及数据安全的相关标准DSMM。将这些政策和一些内部管控流程结合。做DLP、做权限管控、UEBA等等，都会起到不错的推动效果。

我在携程通过推动DLP建设，发现不少安全隐患，引起管理层对安全的重视，还拿过公司项目奖

凌云

具体可见 ：

徐楷-企业数据防泄漏分享.pdf 

议题分享PPT.pdf

原因有几个：一个是安全越来越被重视，二是因为有些法律规范，或者说是条例上面有要求，新项目上线需要做安全审核，第三是一些大厂其实已经做了很好的人员的一个培训，所以那边离职出来的人，它本身会有很强的安全意识。

规划后期

到了后期 ，伴随对公司业务的了解。安全部可以参与做一些贴近业务的工作。无论是风控、业务安全、反爬、UGC、验证码都是很好的切入点。这个需要安全人员有业务敏锐性。发现以后马上就切入进去。具体可见：

携程验证码架构变迁之路.pdf  

业务安全前生今世.pdf

所以有些东西其实还是挺好推的，比如数据安全，大家可能刚开始觉得很难推。数据分类分级啊，业务敏感信息啊，大家不一定会陪着你玩。但是你可以先做DLP，和管理层汇报，抓了多少泄密的。说清楚DLP只是暂时的。根本解决方案是数据安全。这时候，自上而下反而好做了。

 

Tips

1. 通过事件驱动做风险评估、渗透，合规检查，快速挖掘风险现状，拿着红头文件，法律法规的尚方宝剑， 借机上整个安全体系和安全流程。

2. 由点及面，突出重点，长短期结合。 

3. 学会向上管理，有些严重的安全问题要找机会告诉董事会。特别是DLP这种技术，技术层不重视的，只有业务层才会重视。

4. 主机的，大家都知道很麻烦。就可以先测网络的，而且大家的邮件服务器都有转发功能吧，你们可以看看有没有人把邮件设置成收到就转发的。

5. DLP也好，UEBA也好，本质上是采集数据，发现风险，进一步向上汇报申请资源。DLP属于一种相对成熟的工具，可以快速采集数据发现风险。

正文提到的文件下载地址：

链接:https://pan.baidu.com/s/1sq2yElUP97Q50j2jwEA0nA  密码:f7tr

----------------------------------------------

企业安全建设，离不开“守望相助”。金融业企业安全建设微信群。

入群方式：请加以下微信为好友，备注：姓名-公司-负责领域。销售从业人员暂时不邀请入群，不保证每位申请者入群，敬请谅解。

扫一扫，加入企业安全建设实践群

未能加入“企业安全建设实践群”的朋友，可以加入知识星球，查阅每周实践群讨论话题和发言记录。

知识星球：金融企业安全建设实践

 

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。