0xA1: 新官上任三把火

作为一个新上任的信息安全负责人来说，最重要的事情莫过于是开会。假设现在信息安全部门负责人=信息安全部门的话，这样就需要一个人承担起包围信息安全部门的责任。笔者在这一章节中不想讨论过多的技术细节，这里希望讨论的更多的是跨部门合作。

信息安全负责人(假设是CSO，但是有些公司的信息安全部是直接由CIO管辖的)，上任的第一件事情应该是先和管理层碰个头，一般情况是公司CEO牵头，参加会议的包括CTO、CIO、COO、人力总监、财务总监。作为信息安全的负责人来说，需要向以下的人了解如下的情况：

CEO：作为一个企业的领头羊，CEO往往带有最高指挥官的意思，往往会有着一个清晰的长期规划，这个规划可能是未来用户量需要发展到xxx人，也可能是做到全国topX，首先对于信息安全负责人来说，信息安全工作的发展需要结合公司的长线计划进行发展和迭代，这里作为安全负责人，我们需要从CEO处获得公司未来发展的长线计划，尤其是和自己的相关的。

CIO：CIO其实是企业中负责信息技术架构的最高负责人，和CTO一样，CIO相当于是负责为产品提供后台的支援和解决方案的，从CIO处我们可以获得公司现在的信息系统架构以及IT资产容量，并且还可以获得IT资产对应负责人的信息，方便于我们后期维护资产和做应急响应类的工作。

CTO：CTO负责的是产品的开发、测试、发布等一系列符合公司产品生命周期的指挥官，从CTO处我们需要获得整个铲平生命周期对应的负责人，要完成对其的映射工作。

COO：COO是负责公司运营的指挥官，从COO处我们可以获得各个部门和各个人员的组织架构图，收集这些信息的目的是为了方便之后的应急响应工作责任到人。

人力总监（或者HRBP）：与TA们沟通主要是为了了解你可以招多少个人，也就是你有多少HC，这样的话你可以根据人数来确定你需要什么人，多少人等人力方面的问题。

财务总监：其实就是去问一下你这个部门有多少预算。

如果以上描述你没有听明白的话，笔者这里在总结一下，其实你需要的是以下的东西：

1. 公司整体的组织架构图（COO处）
   
2. 产品团队/业务线和交付团队负责人的映射关系（COO处）
   
3. 全网拓扑、各系统的逻辑拓扑、物理部署图、各系统调用关系、服务治理结构、数据流关系等（CTO处）
   
4. 信息安全部门的HC数量（人力总监处）
   
5. 部门经费（财务总监处）
   

到此的话，我们的信息收集工作基本上也就完成了，接下来我们要做的就是，客套客套和各部门打好关系，方便以后的合作，逃）

作为安全负责人来说，我们明白企业安全到底是个什么概念，其实在笔者看来，企业安全的概念就是以下几点：

• 信息安全管理：这里包括整体的信息安全设计流程和整体策略等，这一部分的工作难点在于跨度大，但是比较容易完成
  
• 基础架构与网络安全：机房、生产终端、IDC、各种服务程序、中间件、数据库等，这一部分如果之前资产收集做的相当OK的话，这一部分应该是很轻松的做就完了，但是不代表这一部分就不重要，这一部分关乎到以后应急响应、安全检测等安全日常工作的推进难度和工作量，信息安全工作时间很宝贵，基本上都是跟攻击者在抢时间，避免不必要的浪费时间也是工作的一个重点
  
• 应用和交付安全：对于企业来说，核心往往是产品，一个产品的生命周期包括需求调研、原型设计、实际开发、测试、灰度发布、反馈等环节，每一个关系都需要承担一些信息安全的风险，这一部分最科学的解决方案是SDL，但是鉴于产品可能上线一段时间后才会组建信息安全团队，所以往往SDL是不会先于产品第一版上线的，所以这部分前期的工作会着重放在对现有产品进行安全评估
  
• 业务安全：这一部分往往是和业务相关的，往往是根据业务的特殊性来决定的，比如说反钓鱼、反Botnet、舆情监控、反外挂、反爬虫、征信等，这些往往都是在信息安全建设到一定阶段，并且已经引起了黑产大哥们的注意的时候才开始去关注的，但是这一部分后期会越来越重要，而且还需要考虑成本，如果不差钱的话可以引入外部安全服务来解决这个问题。

我们假设你应聘的公司规模不大，那么在刚刚开始的业务起步期，你需要做的内容其实具体下来也没多少：

• 漏扫和补丁集管理（消灭已知漏洞和威胁）
  
• 链路层以上（不包括链路层）的访问控制（用来防止越权操作）
  
• 常见威胁检测（诸如弱口令、服务器的安全配置）（还是防止配置不合规导致的安全问题）
  
• 端口扫描（防止开放了不合理的端口导致被入侵）
  
• 操作系统加固（确保合适程序跑到合适的权限上）
  
• 安全编码（找几个ppt给开发对一下就行了）
  
• 不定期渗透测试（可以自己来也可以服务）
  
• 划分安全区域，要把办公网和服务器集群分配到不同的网段

我们现在也基本上有了企业信息安全工作的方向和关注点，接下来我们肯定需要人去做这件事，也就是招人，但是投简历的人你懂的，在信息安全建设的初期需要大牛的同时也需要有潜力的新人，一般招人的话有这么几种套路：

• 买团队：看着不错的安全团队直接招安，给一个难以拒绝的条件（前提是财务部允许的情况下）
  
• 攻防老油条：找一些干了很多年攻防的的大师们过来每天对集团进行巡检，这样的话暴露出来的问题就会少很多
  
• 开发老司机：这里的开发需要懂一些安全的套路，主要是用来开发安全运营类平台，提高安全运行的效率
  
• 超长待机运维狗：这里需要一些运维的人员配合攻防人员来进行安全巡检，同时一旦出现了安全事件的话，运维们要第一时间来进行应急响应。
  

这样的话我们也就有了团队了，工作相对容易开展很多，这时候我们在等待这些兄弟入职的时候，我们可以去下基层干以下的事情：

• 去机房走一走，确认一下相关的环境是不是真实的，同时与管理员聊一下平时的管理制度实际落地是怎么样的。
  
• 制定一份信息安全管理制度提交给公司管理层进行审阅，让管理层知晓你要干的事情，需要哪些部门的配合，并且解释一下原因。
  
• 去产品部门转转，了解一下开发们的习惯和平时写代码的风格，和开发聊聊他们对于安全的看法。
  
• 制定一份培训的方案，定期对公司的员工进行安全上的培训。
  

这些做完的话，可能需要一段时间了，等人员到齐了，制度落实了，我们可以进行第二阶段了。

理想的SDL：笔者心目中也是很多人心目中比较理想的SDL图其实是这样的：