华安信达-六年如逆旅我亦是行人：一个顾问六年安全从业经历.pdf

六年如逆旅，我亦是行人 一个顾问的六年安全从业经历 前言 在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说 是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决 定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就 不再是沉 的大多数中的 员了。用电影行话来说，走出这道门，那从此就是江湖中 人了，生死由命、富贵在天。 为什么还是要写这篇东西呢？仔细想来，倒不是自觉道行够了，可以开口说话 恰恰 相反，正是认为自己一个人在路上摸索久了，才希望能有伙伴能交流 下，这是其一。 其二来源于前段时间 件小事，有个朋友毕业要找工作，是信息安全专业的研究生， 他就对安全这个行当（对于从业者而言，安全是个“行当”profession，我 直是这么觉 得的；说是“行业”industry，明显不妥，电信、金融才是行业）不甚了然，希望能得到 过来人的指导。我那时就觉得有必要把自己的心得 出来分享一下。想当年，2001 年 的我新入行时，也是倍感迷茫。 既然决定开口了，那到底说什么呢？安全行业的过去现在和未来？本人 直是干活的， 没机会高屋建瓴来俯视、剖析，恐怕写不来；信息安全的前世今生？无数的专家学者 及业内大牛已经阐述过，已经细致到了某个标准、某项技术、某类产品、某个行业， 一个顾问甚至都不敢谈上自己“懂”这些标准技术产品行业，更加写不来。那最后只剩 下个人的从业经历了，这个好！既不涉及精深的领域，又俨然业内人士；藏着可以说 是敝帚自珍， 出来可以说是个人“愚见”、“所得”，真是居家旅游两相宜。正所谓， “演员圈里说相声，相声界里做演员”。 三家公司，一个六年 2001 年，又站在职业选择的十字路口。那时候，我已经毕业两年多了，做过开发、 售、技术支持， 直在 IT 圈里打转。当真的决定要选择一个行当准备深入下去的时候， 感到的除了迷惘，更多是惶恐：不知道自己能做什么、这个世界需要什么，甚至不清 楚自己喜欢什么。七场面试，甲乙丙丁，结果鬼使神差进了我的第 家安全公司。 公司创建于1999 年，是国内最早 批进入安全行业的公司，当时挺知名的。挂靠在科 研机构下面，有院士的名头，长长的产品线也完全是自己的知识产权，包括 FW、VPN、 IDS、Scanner、IAM 等。我做的是技术支持，当然售前、售后不分。最常见的工作是在 powerpoint 上画拓扑图，在适当的位置放进公司的主要产品……各种产品……所有产品， 第二天去给客户比较产品技术参数、兼介绍我们的方案 （之所以说“兼”，的确是因为 防火墙的部署方式就那么几种，再挖空心思也没法创新，也就谈不上什么方案了）， 最后插上网线将FW/IDS 采用透明方式部署，项目就做完了。偶尔也帮客户用sniffer 抓包、分析FW/IDS 日志或进入操作系统检查服务或安全配置，出份看起来有一定技术 含量的分析报告。 我不知道别人的安全行业初始经历如何，反正那时候这些对我意味着安全的全部：网 络、操作系统、黑客攻防。我们常挂在口头的是网络要过 CCNP、操作系统要会 Unix、 产品要熟悉checkpoint、攻防要……后来才知道，正在当时，国内第 批安全界大牛们 已经在摸索着实施企业级的BS7799 咨询项目，而我直到四年后才有机会这么做 （ 直 有个先入之见：只有完整做过或维护过企业级的7799 项目，才算对一个组织的安全管 理有较深的认识），追忆前辈风采，真是遥遥不及。 02 年已经开始热安全服务了，那时我尽管读过7799，看过13335，但还远没学会用资 产、价值、风险、弱点、威胁、影响和可能性这些好的字眼去出proposal 和报告。正 如上文所言，我最希望做的是让客户明白我们团队里有几个会AIX/Solaris、有几个黑 客高手。至于在安全评估方案书中学会引入体系与方法论，那已是2002 底03 年初的 事了。到那时，作为后知后觉者，我才知道有这么一种不用深入学习网络安全技术和 操作系统，也可以让客户觉得你很专业的方法，真是大喜若惊。也就在那时抬头 看， 才发现业界 （各种会议上、论坛里、客户处）安全标准、法规、体系的讨论已经非常 热闹了，如果不能说出几个，完全算不上安全行当里的人。于是有 阵子，没日没夜 到网上去搜资料，直到把所有听说过的名词全在硬盘中建立了folder、所有英文的中 文的网站收藏进favorites 才松了口气。这份名单很长，大家耳熟目详就包括 7799/CC/Cobit/ITILITSM/NIST-SP800/4360/Octave/13335/7498- 2/IATF/BCP/DRP……在这整个狂热的