走在安全管理的路上【转】

ruanyongjie

四年前，我去面试国内的一家著名的由中科院和一些风险投资公司合股成立的“网络安全整体解决方案供应商”的深圳分公司一个技术支持职位时，我被问了一个举出国内外防火墙厂家和产品的问题，依稀记得当初的回答是“天网”（天网防火墙是当时比较火的桌面防火墙软件），可见当时的信息安全知识是何等贫乏。

呆在这家公司的将近一年的时间是国内信息安全的黄金年代，信息安全业可谓是红红火火，涉入较早的安全公司如果在策略、管理和运作上只要不出现大的问题基本上都取得了飞速的发展；同时由于市场繁荣，吸引了不少眼光，新的安全公司不断涌现。在这期间，我从一个网络安全的门外汉，拼命的学习各种网络的、系统和应用的、安全的知识，努力的提升自己，在对信息安全行业一知半解却自认为是个很牛的技术专家的时候，离开了管理有些混乱的“网络安全整体解决方案供应商”。不过虽说混乱，今天我仍然很感激有这家公司，毕竟，她是我进入信息安全领域启蒙老师，从这里出来的时候，我已经自认为是个很牛的技术专家了，因为此时的我已经了解了基础的信息安全理论了；因为公司本身就开发和提供了常见的信息安全产品如防病毒、防火墙、入侵检测系统、安全扫描及网站保护系统等产品，加上平时常会弄到一些同业的产品“玩一玩儿”，所以此时可谓对业界的各类安全产品也比较熟悉了；另外，最难得的是在这一年里，公司还做了两三个比较小的安全评估和加固服务的项目，在当时，这些可是新玩艺儿，记得最清楚的是公司几个同事一起讨论这些业务的时候，大部分人认为这种事情费时费力不赚钱，做了也不见得有什么效果。谁知，Redcode和Nimda爆发了，当深圳最大的IDC服务商通过我们做过主机安全加固服务的客户联系到我们的时候，我们了解到在网络安全领域中由安全产品的堆积就算加上产品的服务、相关的培训等得出来的方案是不够的，做评估和安全加固更重要，所以我此时的兴趣转向了各类操作系统、网络设备、数据库和应用软件等的配置加固上。

此时公司刚拿到了深圳市一个税局的相当大的网络安全集成单子，可是我并没有等到去上手去练一把就被竞争对手挖墙角而匆匆地离开了公司。之后没多久，尽管拿了大单，我的老东家还是因为一些管理层方面的问题散了伙儿，部分人出去成立了新公司，剩下一部分人坚持一段时间便彻底的将公司给关了门儿。之后和原来的同事还有些间断的联系，听说还不断都有人分出去自立门户自己创业，或许深圳真是个很适合创业的地方，这些后话不提了。

新的公司也是国内一家著名的信息安全公司，公司总裁曾被党和国家的两代中央最高领导人接见过。由政府关系好，公司在政策上得到了很好的扶持，再加上在此大好背景下公司在管理和主要的产品的研发和市场上投入巨大，所以生意一直很兴隆，公司获得了丰厚的回报。

我进入这家新公司时我所属的深圳分公司正在积极的筹备，所以我经历了一家新公司从成立到发展壮大的全过程，体验和学习了不少东西。新公司的第一年是个多事之年，不过这是在情理之中的。不经历风雨，如何见彩虹？经过第一年的混乱重整之后，第二年，是公司丰收的一年。这一年，我觉得自己学习了不少黑客攻防的知识，不过我觉得更多的是乌七八糟的社会知识和企业管理运作方面的知识，尽管因为我常常自认为我在管理一流的日本公司呆过，国内的公司管理都是一团糟。

在这家公司的第一年，忙得我快疯；第二年，工作熟路了，我就很轻松了。可是人人都想进步，有了时间，就要抓紧时间提升自己，给自己找个目标吧，业界认为CISSP认证在信息安全领域里含金量最高，不过听说也很难。我狠心地给自己一把压力，看了看CISSP的10个Domain，有好几个都是比较陌生的，我有些不自信了，正好这时深圳比较流行CIW Security Analyst，我碰到几个过了CIW认证的安全界的同仁们向我吹牛过这玩艺儿，于是上网找些相关的资料，心想先过个简单的CIW，简单的过去了之后再准备过CISSP吧。比我想像中的要简单的多的通过了CIW Security Analyst，我便开始准备CISSP，但是据我以前的经验，没付考试款前的学习压力往往不够大，因为还有退路，所以半年时间，我只是间断的学习和关注着。考前一个月的时候，得到了广州一家考试中心提供的准确的考试时间，我不想再拖拉着浪费生命了，长痛不如短痛，便一咬牙，热血冲动的交了款报了名；由于知道CISSP考试没有Bible可依靠，知识点的理解甚是重要，所以接下来的一个月真是痛苦的日子我牺牲自己的休息和娱乐简直到了疯狂的地步。经过一番努力，终于功夫不负有心人，在公司工作的第三年，我一次性通过了CISSP考试。

就像学了历史之后才知道为什么要学习历史一样，真正在学习和通过CISSP考试之后才真正知道为什么要学习信息安全管理。学而不用非学也,学了就要瞎想一气,想想看为什么虽然众多政府部门、金融部门甚至电信行业每年都在信息安全领域投入了巨资，但是总还会不断的有很多信息安全方面的问题呢？排除一些常见的在信息安全上投入较少的公司不讲,为什么国内一些著名的积极努力地做着或至少吹嘘着可以给别的客户做安全服务的安全公司的网站常被拒绝服务、机密信息如客户资源、产品甚至源代码常丢失呢？我认为是管理的问题。

怎样做信息安全的管理又怎样才能做得很好呢？人们往往会讲BS7799，认为遵守安全管理体系的标准去做就可以了。我也相信答案应该差不远，不过我知道，我的CISSP认证并不能代表我就会做出个很好的安全管理。实际上，虽满腹经纶但最多只能和纸上谈兵而已，原因很简单，我了解最多的也就是些安全产品和安全技术，最多在加上在人少的公司做网管的经验，老实讲涉足到的安全管理很少，没有多少实战经验。

不过还好，由于公司的主打产品在广东市场上卖的很好，经常去干活儿，见了很多客户不同的网络安全状况，做为原厂商，我们常常会给客户一些安全方面的建议。建议提得很多，不过多数也只能站在为公司赢单的立场上卖公司的产品和服务，当然这样做也自己的利益和公司的利益是统一的。而我在私下想的更多的却是换成客户的角色，如果我是客户，我会不会做得更好？

面对客户不能完全实施安全管理的构想，最重要原因的是那边并不是一个很好的舞台。在本公司内部做呢？公司小，人不多，不过我想安全管理的道理不会差太远吧？所以我想就拿公司来做个最好的试验场吧。到始前，我好好思考了一下，百忙之中的管理层会支持吗？管理成本的支出会有多少？安全和便利是一个矛盾，如果在安全管理措施方面搞得太严格，昔日的同事感觉受限太多会不会很不爽进而和我过不去？更深入的想了想，在我们这个小公司，如何设定一个合适的安全策略？如何找一个很好的安全平衡点儿？如何将高层次的安全策略变为最日常的操作明细并要大家执行呢？又如何才能真正地操作起来呢？我想到了太多的问题，想到头大。最终我的网络安全管理试验实施的情况不佳，上述的一些困难都有碰到过，看来理想和现实总有一些差距的。

网络安全市场一日三变，到了安全产品向一体化集成化的方向发展的时代，公司深知靠各个孤立的单一的安全产品是没办法永久生存下去的，便投入相当多的精力在研发新产品上。我的兴趣却转向安全新兴市场的另些一方面，以前的安全集成、扫描评估和安全加固服务慢慢地转向安全操作中心SOC、安全管理。SOC是个新的概念，这段时间比较火，深入了解国外大的IT安全公司目前的运作就知道。不过即使到目前我还是固执地认为这对国内的小厂商和小客户来讲，还太早，现在卖SOC给客户就比如投资商要投钱给街头卖烤红薯的，因为无论是厂商还是用户，目前安全管理的地基还没打好，靠SOC来提升安全无疑就是空中楼阁似的想法。说来说去，我觉得真正有意义的仍是安全管理，我相信安全管理的提升不仅可以给客户带来价值，还可以带来整个信息安全产业的提升。

为了这个信念，我决定换一家有条件学习和练手的舞台，公司老总是个IT界的资深人士，在我刚进公司时他曾讲过一句话“宣称要给做传统产业客户做ERP的公司，往往自己不上ERP或自己的ERP管理很混乱”，这话更坚定了我去变动一下的决心。

我到了一个中外合资的制造业企业，珠三角到处可见的典型的出口加工型企业，合资公司列在全国出口大户前十名。根据我目前的了解，其在安全管理方面基本上完全是Follow其大股东Big Blue的管理规范，而这是个完全遵守ISO17799的管理规范。真正使我吃惊的是policy，standard，guideline和procedure在这里竟然结合的如此美妙，且有这么强的执行力。看来我需要深入学习和思考的还很多，学习和思考都是积累的过程，我正在一点一点详细地整理着每天的收获和想法，我也很希望和业界先知们多交流，经验共同分享。