当一家公司开始招聘专业安全人员的时候,意味着安全对这家公司已经比较重要了,比如曾发生一些入侵或者信息泄漏等安全事件,或者是监管需求,举我进入公司的情形:首先是安全漏洞满天飞,由于没有专业安全人员,很多漏洞未及时关注或处理,被公开在互联网上(当然目前国家已明确要求不能将漏洞和利用过程公开在互联网);此外也发生多起入侵事件,主管领导很忧伤。
接下来我们来说说怎么开始从0开展安全工作:
1.清楚的知道安全部门在公司的位置
安全部门的地位主要取决于信息安全对于公司的重要性,也就是出安全问题后对公司业务影响的大小,特别是大公司/电商/金融,如果出了安全问题,很可能会影响公司的声誉,甚至造成用户的大量流失。
此外安全部门的地位还和部门的组织架构有关系:
第一种是独立的部门,和研发部门平行,汇报对象是技术副总裁或 CTO,这种情况下安全部门地位就比较高,各项工作相对能顺利开展;
第二种是挂在运维部下面,你的汇报对象是运维总监,这时候就看运维总监在公司地位和影响力。
对安全部门在公司地位有清晰认识后(一般在面试或入职前就要很清楚的了解),接下来就要真正开展工作了。
2.指定安全接口人,确立安全应急联动机制
安全工作涉及方方面面,比如安全漏洞和安全事件处理,这时候就需要找到问题的负责人,首先指定安全接口人,可以有几种方式:
以产品线为单位(互联网公司会有很多条产品线,安全接口人可指定为产品线的技术Leader)
以部门为单位(比如财务/行政/企业IT/数据平台等,部门负责人即为接口人)
有了安全接口人列表,接下来就要确立安全应急联动机制,明确安全接口人即为所有安全漏洞/安全事件处理的对接人,并明确高危漏洞的处理时间和要求,并已邮件方式发出来确认。
好了,安全部门已经和相关兄弟部门建立了合作机制,接下来了解公司的信息系统和相关资产了。
3.信息系统和相关资产收集
公司的信息系统资产主要包括,服务器IP/域名/web网站/APP等,这些可以找运维部门和测试部门了解,运维部门手上有完整的IP域名等信息,测试部门比较了解公司的业务。
注意千万不要放过企业IT部门的资产,包括OA/邮箱/财务系统等等,由于采用商用产品,漏洞很多,加之没有什么安全意识,往往更容易出问题。
4.信息安全状况梳理
有了资产信息,就可以对公司信息安全状况做一次全面梳理,主要包括:
网络安全状况(公司办公网/IDC网络),重点了解ACL、端口开放、VPN、WIFI接入等安全问题
对过往安全漏洞做一次汇总,了解公司安全漏洞的特点和主要问题
主要网站和APP产品做一次安全测试,大体了解系统的安全状况,有条件的话,开展一次安全众测,可以比较全面了解系统的安全情况
对过往安全事件做分析,了解安全防护状况和薄弱点
做完全面梳理后,我们已经对公司的安全状况有了一个较为初步的了解,知道安全工作的重点和方向。
5.信息安全工作规划
接下来我们要指定安全工作的阶段目标和计划,在第一年,建议可以考虑几个方向:
高危安全漏洞治理,这个是初期最重要的安全工作,记得当时公司存在大量SQL注入漏洞/敏感信息泄漏问题,我们开展了专项整治
安全评估例行化,虽然遗留很多安全问题未处理,但是业务的迭代还在进行,要开展上线前的安全评估工作;
抗DDOS系统的建设,这是互联网企业刚需和最重要的安全基础设施;
弱口令整治,刚开始各种地方都会存在弱口令,导致所有安全设施都形同虚设,包括各业务系统/邮箱/VPN都存在,需要一步步推进和整改。
涉及资金投入的,我们要建设的必要性Report给技术一把手,取得支持。
当然,每个公司的安全状况和存在的问题都会不一样,开展工作的方法都是类似的:了解自己--->确立合作机制--->识别资产--->梳理安全状况--->制定安全规划。
希望对大家有所启发和帮助。
