前言

随着安全法的落地推行，企业安全建设的研讨也随之火热，“安全”也逐渐进入了各公司中高层领导的视野范围，但苦于中小企业对安全投入不足，从而很多实践止于思考，真正可实践落地的内容少之又少，所以更多的人在寻求企业安全建设方案，但是大公司有大公司的优势，小公司有小公司的便利，要合理运用能达到意想不到的效果，借此分享一下自己的实践内容并分享自己所构建的安全体系内容，希望为大家提供一些参考，有可优化的地方还请大牛指正。目前公司大概300多人，业务平台20余项，服务器千余台（不根据企业背景及业务场景聊安全都是耍流氓，与许多企业安全负责人沟通后各种奇葩场景皆有），目前整体安全工作思路及内容如下：

一、资产梳理

资产梳理毋庸置疑作为所有安全工作的初始环节，但与很多朋友讨论后发现这貌似最简单的工作确是最艰难的实践，在此希望给各位梳理一条思路，如图：

1、 架构图：首先是公司组织架构图，需要对各业务平台，不同团队如研发、业务、运维、网络等部门及其负责人有一个清晰的了解，方便日后各项安全工作的开展与推进；
2、 拓扑图：第二部是拓扑图，在这个过程中需要对生产环境所在（云）机房，（安全）设备、域划分、映射表及部署方式有一定的了解，这对于后期的安全测试及故障排查都会有帮助；
3、 业务图：第三部是熟悉业务，这也是最困难的，一个企业可能有多个业务，每个业务分部在不同的机房与服务器上，最初采用Excel进行统计，包含业务线名称、系统名称、域名及URL、访问方式、负责人及部门、内外网IP；
而目前公司CMDB伊始，对以上信息的获取与定位可谓是雪中送炭。

二、基础工作铺垫

基础性的工作如：周期性安全测试、设备运维、弱口令审计、外网端口监控、等保测评以及安全策略审批管控等，如何优化高效的做好这部分工作十分重要，在人员匮乏阶段先做到及格标准：

1、 策略管控：如防火墙、账户申请、端口映射等策略管控太松容易引发安全事件，太严格又影响业务进行，甚至得罪某个业务部门，一个适中的方案是十分必要的，如若真的存在风险点可提出风险并在日后做策略锁紧，以免成为背锅侠（甩锅是一种艺术）；
2、 安全测试：安全测试目前分为上线前迭代安全测试及周期性安全测试，周期性安全测试周期一般为季度性完成，迭代性安全测试建议以软介入的方式进行，在非特殊项目时尽量不影响业务正常上线，不要让安全成为瓶颈；
3、 设备运维：对已有的安全设备及其部署方式、策略配置、证书时间有一个大致的了解，在出现问题及需求时可以做到灵活应对，初期建议制定少而精确的规则，暂时不开启阻断，作为告警发出即可，同时也要注意设备自身可能出现的各类故障问题对生产环境的影响；
4、 账号审计：弱口令是一个极其简单而威胁程度又特别高的安全隐患，性价比极高，所以关键系统的弱口令一定要排除，必然是放在基础工作之中的，在地毯式轰炸后建议从制度上消除弱口令风险如密码的初始化及修改环节做把控，避免后期过多的重复审计工作；
5、 外网端口监控：端口监控经历了手工Nmap扫描，到自己写脚本邮件告警，到目前借助巡风系统对测试环境、生产环境及办公网进行端口扫描，由于环境隔离因素目前搭建了三套巡风系统；
6、 等级保护：安全法推行后的等保变得没有那么形式化，虽然其中仍有很多技术及管理环节落地起来比较困难，但目前强制实施的等保对后续公司制度的推进及对领导工作汇报有一定帮助，建议可以把等保内容仔细揣摩一下或许会有帮助；

三、重点工作划分与实施

在救火阶段安全建设与应急响应同等重要，在资源有限的条件下兼容救火与建设工作，寻找交集并以事件推动安全工作是一个比较好的做法。
目前根据业务特点（安全事件重灾区、核心业务平台）对工作优先级进行简单排序分类：

1、重灾区救火：重灾区业务平台虽然未必核心，但经常出现问题是十分耗费时间成本的事情，目前加强对该部分业务互联网边界防护及安全基线（OS、Tomcat、Nginx），数据异地备份等措施来防止SSH爆破、Redis未授权访问、勒索软件等攻击；
2、核心业务安全建设：对于核心业务来说周期性的安全测试、安全的上线流程都是十分必要的，要掌控每个核心业务的迭代速度及业务风险，其次要加强对该部分研发及测试人员的安全培训，这也是为SDL打下一定的基础，如果想尝试“阉割版的SDL”时可以选择一个迭代周期规律，并不特别频繁的项目进行尝试，最后有精力的话可以加强这部分业务的日志分析工作，目前已着手开始搭建ELK。

四、制度的建立与推动

安全制度该何时建立，如何推动？曾经一度认为应该先有制度，然后按照制度执行就可以了，后来发现自己太单纯，一个无法落地的制度形同虚设，总结下来分三步走：

1、具备可执行力：无论是迭代性安全测试、应急响应甚至SDL等各类安全制度，在建立前先明确自身具备可执行能力，具备充足的时间及人力成本；
2、圈重点：普遍撒网、重点培养，需要根据业务特点及制度的适应状况选择可落地的业务范围；
3、逐个击破：任何事情不要想着一蹴而就，圈重点后与项目负责人一次深情的探讨是十分必要的，讲述该制度流程对该业务的安全性提供如何的保障，重点的是付出与回报至少成正比甚至让对方在无感知状态提高业务的安全性（这是我一直在追求的）；

五、救火阶段的灭亡

很多大型互联网公司都在建设自己的SOC平台，实现安全扫描、端口探测、主机防护、应急响应等一体化，但中小企业投入不足时不妨采用半自动化方案，目前已在公司内部搭建了“信息安全中心”，包含：攻防演练平台、Github监控平台、巡风系统、ELK日志分析平台等，作为企业信息安全窗口面向全公司，以下做简单介绍：

1、攻防演练平台：其中结合了多个开源系统ZVulDrill、DVWA、WeBug、tea_news、XSS挑战等，主要用于安全培训及后期可能存在的安全考核使用；
2、Github监控系统：目前使用0xbug开源的一套Github监控系统，搭建及使用方法都非常简单，效果也非常不错；
3、ELK安全日志分析：前期搭建参考唯品会分享的经验，中后期还需要自己去分析具体适合自己环境的方案，其中坑点比较多，在这不一一介绍；
整体思路：在前期工作属于救火阶段，被动挨打的状态，目前已具备一定“抗击打能力”后搭建自己的大数据日志分析平台，将NG、System日志导入进行综合分析，达到监测入侵的能力，后期采用更多方案在入侵过程中阻断行为，达到主动防御能力，路漫漫其修远兮，愿与诸君共同前进。

六、结束语

目前中小企业（包含企业大，安全投入少）安全团队压力较大，企业安全建设经验匮乏，投入不足，所以希望组建一个“中小型企业安全联盟”，我们为了保密不分享数据，因为资源不足无法技术支持，但我们可以分享经验，实施方案，第三方产品（服务）测试效果等，如有兴趣愿意加入，可以在社区留言，下一步可进行内部分享，同时也欢迎吐槽、讨论交流。
目前信息安全平台搭建使用源码来源（开源大法好），为尊重作者已尽量使用原链接：
安全平台框架：https://github.com/martinzhou2015/SRCMS（已有更新）
XSS跨站平台：https://github.com/imlrhui/xssplatform/tree/master/xssplatform
搭建教程：https://www.2cto.com/article/201308/239961.html
攻防演练平台：
1、https://github.com/710leo/ZVulDrill（已有更新）
2、http://www.webug.org/
3、tea_news（自己开发）、xss挑战、webug见云盘
（链接：http://pan.baidu.com/s/1sla8GXJ 密码：ud4f）
Github监控平台：https://github.com/0xbug/Hawkeye
巡风系统：https://github.com/ysrc/xunfeng
另外企业内部安全培训体系的建设也正在进行，大体思路如下，其中部分尚未完成，仅对完成部分分享：链接：http://pan.baidu.com/s/1sla8GXJ 密码：ud4f

最后，感谢所有以上提供源码分享的朋友，感谢在整个安全建设过程中提供安全建议、思路、方案及技术分享的朋友如宜人贷、农信互联、阳光保险、易宝支付、58同城、链家、瓜子二手车、货拉拉、阿里云、青藤云、绿盟科技、斗象科技、360企业安全、知道创宇、爱奇艺等（排名不分先后）。