當(dāng)一家公司開始招聘專業(yè)安全人員的時候，意味著安全對這家公司已經(jīng)比較重要了，比如曾發(fā)生一些入侵或者信息泄漏等安全事件，或者是監(jiān)管需求，舉我進入公司的情形：首先是安全漏洞滿天飛，由于沒有專業(yè)安全人員，很多漏洞未及時關(guān)注或處理，被公開在互聯(lián)網(wǎng)上（當(dāng)然目前國家已明確要求不能將漏洞和利用過程公開在互聯(lián)網(wǎng)）；此外也發(fā)生多起入侵事件，主管領(lǐng)導(dǎo)很憂傷。

接下來我們來說說怎么開始從0開展安全工作：

1.清楚的知道安全部門在公司的位置

安全部門的地位主要取決于信息安全對于公司的重要性，也就是出安全問題后對公司業(yè)務(wù)影響的大小，特別是大公司/電商/金融，如果出了安全問題，很可能會影響公司的聲譽，甚至造成用戶的大量流失。

此外安全部門的地位還和部門的組織架構(gòu)有關(guān)系：

第一種是獨立的部門，和研發(fā)部門平行，匯報對象是技術(shù)副總裁或 CTO，這種情況下安全部門地位就比較高，各項工作相對能順利開展；

第二種是掛在運維部下面，你的匯報對象是運維總監(jiān)，這時候就看運維總監(jiān)在公司地位和影響力。

對安全部門在公司地位有清晰認(rèn)識后（一般在面試或入職前就要很清楚的了解），接下來就要真正開展工作了。

2.指定安全接口人，確立安全應(yīng)急聯(lián)動機制

安全工作涉及方方面面，比如安全漏洞和安全事件處理，這時候就需要找到問題的負(fù)責(zé)人，首先指定安全接口人，可以有幾種方式：

以產(chǎn)品線為單位（互聯(lián)網(wǎng)公司會有很多條產(chǎn)品線，安全接口人可指定為產(chǎn)品線的技術(shù)Leader）

以部門為單位（比如財務(wù)/行政/企業(yè)IT/數(shù)據(jù)平臺等，部門負(fù)責(zé)人即為接口人）

有了安全接口人列表，接下來就要確立安全應(yīng)急聯(lián)動機制，明確安全接口人即為所有安全漏洞/安全事件處理的對接人，并明確高危漏洞的處理時間和要求，并已郵件方式發(fā)出來確認(rèn)。

好了，安全部門已經(jīng)和相關(guān)兄弟部門建立了合作機制，接下來了解公司的信息系統(tǒng)和相關(guān)資產(chǎn)了。

3.信息系統(tǒng)和相關(guān)資產(chǎn)收集

公司的信息系統(tǒng)資產(chǎn)主要包括，服務(wù)器IP/域名/web網(wǎng)站/APP等，這些可以找運維部門和測試部門了解，運維部門手上有完整的IP域名等信息，測試部門比較了解公司的業(yè)務(wù)。

注意千萬不要放過企業(yè)IT部門的資產(chǎn)，包括OA/郵箱/財務(wù)系統(tǒng)等等，由于采用商用產(chǎn)品，漏洞很多，加之沒有什么安全意識，往往更容易出問題。

4.信息安全狀況梳理

有了資產(chǎn)信息，就可以對公司信息安全狀況做一次全面梳理，主要包括：

網(wǎng)絡(luò)安全狀況（公司辦公網(wǎng)/IDC網(wǎng)絡(luò)），重點了解ACL、端口開放、VPN、WIFI接入等安全問題

對過往安全漏洞做一次匯總，了解公司安全漏洞的特點和主要問題

主要網(wǎng)站和APP產(chǎn)品做一次安全測試，大體了解系統(tǒng)的安全狀況，有條件的話，開展一次安全眾測，可以比較全面了解系統(tǒng)的安全情況

對過往安全事件做分析，了解安全防護狀況和薄弱點

做完全面梳理后，我們已經(jīng)對公司的安全狀況有了一個較為初步的了解，知道安全工作的重點和方向。

5.信息安全工作規(guī)劃

接下來我們要指定安全工作的階段目標(biāo)和計劃，在第一年，建議可以考慮幾個方向：

高危安全漏洞治理，這個是初期最重要的安全工作，記得當(dāng)時公司存在大量SQL注入漏洞/敏感信息泄漏問題，我們開展了專項整治

安全評估例行化，雖然遺留很多安全問題未處理，但是業(yè)務(wù)的迭代還在進行，要開展上線前的安全評估工作；

抗DDOS系統(tǒng)的建設(shè)，這是互聯(lián)網(wǎng)企業(yè)剛需和最重要的安全基礎(chǔ)設(shè)施；

弱口令整治，剛開始各種地方都會存在弱口令，導(dǎo)致所有安全設(shè)施都形同虛設(shè)，包括各業(yè)務(wù)系統(tǒng)/郵箱/VPN都存在，需要一步步推進和整改。

涉及資金投入的，我們要建設(shè)的必要性Report給技術(shù)一把手，取得支持。

當(dāng)然，每個公司的安全狀況和存在的問題都會不一樣，開展工作的方法都是類似的：了解自己--->確立合作機制--->識別資產(chǎn)--->梳理安全狀況--->制定安全規(guī)劃。

希望對大家有所啟發(fā)和幫助。