技术干货：企业信息安全建设实践之路(一)

技术干货：企业信息安全建设实践之路（一）

还记得初到公司，参加信息安全工作大会时领导说的话：“目前，集团的信息安全刚刚起步，各项工作还是要靠大家。你们前面的池子很大，鱼很多，挑战也很大。还望各位做好准备，拿好网子，开始捞鱼。这个过程没有人能够帮助你们，都需要你们自己一步一步走出来。”

国内企业在信息安全领域还刚刚起步，让我们且行且珍惜。

一、“捞鱼”——是一个需要技巧的过程

相信，很多同仁曾与我有同样的经历，陌生的环境，一切从零开始。除了知道自己工作的工位与厕所的距离外，其他事情一时间还不知道从何入手，但是很快领导就关切的慰问：“最近你都在忙啥？！” “…………”

OK，闲言少叙，先说说我走过的一些弯路：

急于了解公司网络和服务器情况。

第一步，找网络负责人要个拓扑图；

第二步，再找服务器管理员，要一下服务器相关资料，顺便Nmap一下。

第三步，再找业务部门要一些资料，来个WEB扫描，交差指日可待！

然而，得到的确是异口同声的：“你说的资料我们没有！”。现在回想，其实也很简单，这个世界没有免费的午餐，我们不能一上来像个巨婴一样的要这要那，要切身处地的想清楚，我们能给哪些部门及同事提供必要的支持与帮助，而不是索取。

所以，正确的方法如下：

1、先了解组织结构

了解企业的组织结构是很有必要的，就拿IT部门来说，一定会有做网络管理的、数据管理的DBA、应用开发的同事，甚至还有业务分析的、做PMP项目管理的等等。先了解哪些部门跟自己的工作紧密度高，而其他一些部门的工作又都是如何开展的，相关的安全信息应该从哪里收集，又应该流向哪里；各个岗位对于信息安全的理解程度如何。通过访谈，了解对方的工作内容、工作方法和所面临的的问题，都是最最重要的环节。当然，如果有人带着你那一定会事半功倍！

因此，从我多年的工作经验发现，其实大家对于信息安全的理解能力和认识真的大大出乎当时我的想象，这也是我所学的第一课，就是“土办法”其实是最具有企业特色的安全管理办法。

比如，这个过程中我发现了，即使没有一些安全管理制度，但是大家还是可以按照规定的动作，低风险的处理数据和汇报工作。即使门禁简陋，机房进

出依然会有相关记录和问题说明本本。开发虽然没有受过安全的专业训练，但也知道一些基础的符号检验机制和数据应该传输加密。

所以，沉下来少说多做，先了解对方的实际情况，再结合相关的安全场景，基于我们能够提供的技术或者制度予以帮助，这也是获取彼此信任的最好方法。

2、获取网络结构

先了解机房在哪里，我们用的哪些服务器，都是什么样的操作系统，是Windows多，还是Linux多，有哪些网络甚至安全设备，是如何分布的。如果已经有防火墙了，看看里面的配置情况，你能了解到很多现状，比如：网络区域划分情况、网络IP地址分配情况、是否开启了7层安全防护，不同区域的访问关系，一些核心业务系统的前后台结构等等。还是那句话，少问多看。当你自己能够自己画出一整套“模糊”的拓扑图的时候，你就可以开始干活了。

申请一个IP，用Nmap扫描一下看看，去了解以后你需要保护的那些可爱资产的具体情况。

沉下来，一遍遍的丰富自己的拓扑图，服务器的excal列表，了解各业务之间的关系，访问控制的控制粒度等等。或许这时候，已经有一些敏感数据来到你的面前了，比如：AD在哪，445端口开放情况，3389和22端口情况，80和443端口多不多，甚至Tomcat、Apache、Struts2、Oracle、MySQL 等都让你捞到了。

当然这些信息的获取，没什么沾沾自喜的，因为其实除了你不知道，运维人员、网络人员，甚至你的领导都知道。这个过程只是我们快速需要弥补的内容，说白了我们做安全的到此时还没啥价值体现呢。