一篇好文，值得大家多读几遍--1

roby_mp

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历
前言
在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。
为什么还是要写这篇东西呢？仔细想来，倒不是自觉道行够了，可以开口说话——恰恰相反，正是认为自己一个人在路上摸索久了，才希望能有伙伴能交流一下，这是其一。其二来源于前段时间一件小事，有个朋友毕业要找工作，是信息安全专业的研究生，他就对安全这个行当（对于从业者而言，安全是个“行当”profession，我一直是这么觉得的；说是“行业”industry，明显不妥，电信、金融才是行业）不甚了然，希望能得到过来人的指导。我那时就觉得有必要把自己的心得拿出来分享一下。想当年，2001年的我新入行时，也是倍感迷茫。
既然决定开口了，那到底说什么呢？安全行业的过去现在和未来？本人一直是干活的，没机会高屋建瓴来俯视、剖析，恐怕写不来；信息安全的前世今生？无数的专家学者及业内大牛已经阐述过，已经细致到了某个标准、某项技术、某类产品、某个行业，一个顾问甚至都不敢谈上自己“懂”这些标准技术产品行业，更加写不来。那最后只剩下个人的从业经历了，这个好！既不涉及精深的领域，又俨然业内人士；藏着可以说是敝帚自珍，拿出来可以说是个人“愚见”、“所得”，真是居家旅游两相宜。正所谓，“演员圈里说相声，相声界里做演员”。
三家公司，一个六年
2001年，又站在职业选择的十字路口。那时候，我已经毕业两年多了，做过开发、销售、技术支持，一直在IT圈里打转。当真的决定要选择一个行当准备深入下去的时候，感到的除了迷惘，更多是惶恐：不知道自己能做什么、这个世界需要什么，甚至不清楚自己喜欢什么。七场面试，甲乙丙丁，结果鬼使神差进了我的第一家安全公司。
公司创建于1999年，是国内最早一批进入安全行业的公司，当时挺知名的。挂靠在科研机构下面，有院士的名头，长长的产品线也完全是自己的知识产权，包括FW、VPN、IDS、Scanner、IAM等。我做的是技术支持，当然售前、售后不分。最常见的工作是在powerpoint上画拓扑图，在适当的位置放进公司的主要产品……各种产品……所有产品，第二天去给客户比较产品技术参数、兼介绍我们的方案（之所以说“兼”，的确是因为防火墙的部署方式就那么几种，再挖空心思也没法创新，也就谈不上什么方案了），最后插上网线将FW/IDS采用透明方式部署，项目就做完了。偶尔也帮客户用sniffer抓包、分析FW/IDS日志或进入操作系统检查服务或安全配置，出份看起来有一定技术含量的分析报告。
我不知道别人的安全行业初始经历如何，反正那时候这些对我意味着安全的全部：网络、操作系统、黑客攻防。我们常挂在口头的是网络要过CCNP、操作系统要会Unix、产品要熟悉checkpoint、攻防要……后来才知道，正在当时，国内第一批安全界大牛们已经在摸索着实施企业级的BS7799咨询项目，而我直到四年后才有机会这么做（一直有个先入之见：只有完整做过或维护过企业级的7799项目，才算对一个组织的安全管理有较深的认识），追忆前辈风采，真是遥遥不及。
02年已经开始热安全服务了，那时我尽管读过7799，看过13335，但还远没学会用资产、价值、风险、弱点、威胁、影响和可能性这些好的字眼去出proposal和报告。正如上文所言，我最希望做的是让客户明白我们团队里有几个会AIX/Solaris、有几个黑客高手。至于在安全评估方案书中学会引入体系与方法论，那已是2002底03年初的事了。到那时，作为后知后觉者，我才知道有这么一种不用深入学习网络安全技术和操作系统，也可以让客户觉得你很专业的方法，真是大喜若惊。也就在那时抬头一看，才发现业界（各种会议上、论坛里、客户处）安全标准、法规、体系的讨论已经非常热闹了，如果不能说出几个，完全算不上安全行当里的人。于是有一阵子，没日没夜到网上去搜资料，直到把所有听说过的名词全在硬盘中建立了folder、所有英文的中文的网站收藏进favorites才松了口气。这份名单很长，大家耳熟目详就包括7799/CC/Cobit/ITIL&ITSM/NIST-SP800/4360/Octave/13335/7498-2/IATF/BCP/DRP……在这整个狂热的氛围中，英文阅读是必须的，去坛子里看别人讨论也是必须的，如果有某个大牛能从自己项目经验出发谈点体会，那绝对是论坛上追贴无数、被人顶礼膜拜……至于我的亲身实践，直到第二家安全公司才有机会，具体情况后文再说。
作为标准热的后遗症，一直有件小事让我印象深刻。一次和业内某个大牛（国内最早一批黑客之一）说到一个什么问题，我就提到了上述大家都应该（我以为）很“溜”的标准中的一个，他马上停下来，很认真的问了一下，你刚才提到的xx是什么？这件事再次偏执化了我的一个念头：可能真的只有无法在某个领域（安全作为新的行业，这样的领域数不胜数）深入下去的人，才会这样拿标准里的名词装饰自己，就像帽子底下实在没有什么可以拿出来的人，才会去和别人比帽子的漂亮程度。卿本佳人，奈何作贼？到底有多少象我这样当年也曾经真正喜欢安全里的某个领域的从业者，最后茫然四顾，只好去做顾问？所谓七分自作，三分天定，估计就是这样吧。正因为如此，我一直对业界那些默默深入做某件事的前辈或同仁保持尊敬，而自己选择的顾问并不在此列（当然，能成为一个好的顾问，也是件令人愉悦的事）。
也正是差不多时候，安全集成开始成为热点。对于安全厂商而言，初期的安全集成与安全产品方案的唯一区别是拓扑图上图标更密集些：自己的再加上别人的（当然后期的安全集成已经是安全产品+安全服务+安全体系的混合体了，不仅国内公司做，IBM、HP也做）。那时我们的口号是“只要最全”——考虑得全面总是不会错的，起码显得专业啊（如果你能在一个普通的企业网络安全方案中分析出四层架构安全、百兆与千兆防火墙配合起来共有八种部署方式并分别比较优劣、一个广域网应用服务器前考虑负载均衡产品再加上加速器、数据库服务器安全考虑部署tripwire再加网络审计，怎么说也不算不懂安全吧），毕竟，最终选择权还在用户嘛。
04年是国内安全企业风生水起的一年，或强者恒强或后来居上。我在第一家公司已经呆了差不多三年时间，在我睁眼看向业界后（更早一些时候已经开始），终于决定离开，去了我的第二家安全公司，正是后来赵粮博士称之为“战国七雄”中的一个。
如果把1999年以大量安全企业出现为标志称作安全元年（这是我的个人看法，计世报把27号文件发布的2003年称作信息安全元年），经过5年筚路蓝缕的开拓（还有这之前国家几十年的积累），在04年，国内业界精英（尤其是安全企业内的精英）已经成长起来，战国七雄的确在某些方面能代表国内安全企业，除了安全产品方面的市场占有率、安全技术的深入外，其中一个很重要的方面就是这些公司基本都已经发展、总结出了自己的信息安全管理方法论或称之为安全体系，在业界中的具体表现就是这些公司在电信、金融、政府行业都成功实施了多个较大的安全咨询项目（在更早一些的时候他们已经开始在这些行业试验）。
我进的正是公司安全服务部门，主要业务是安全咨询与安全评估，真正开始我的顾问生涯。
2004年业界的安全评估（我所看到的）毫无疑问已经和我在02年或更前一些时候做的技术扫描进步多了——甚至完全不在一个层次，不仅横向更广（各大公司都有了自己较成熟的风险评估方法论）、纵向也更深（人工安全审计有更完善的工具、渗透更有针对性、技术评估已经有团队在开始原创而不是总从国外论坛copy漏洞及解决方案、应用安全评估也有更好的解决方案）。但这些还不是我要说的重点，安全咨询才是我投入更多注意力的地方。
由于国内市场（客户）的天然特点（且待后文再分析），安全解决方案必然是针对信息系统(IS)或IT的，安全咨询的主要成果安全管理体系也无法例外。具体是什么样子呢？我所看到的通常做法是，基于13335（或其它标准）再经各个公司逐步完善的风险分析方法、强调设备/软件/系统/应用/数据等资产并进行风险分析、利用IATF（或其它标准）框架落实IT方面的技术解决方案、通过专业安全服务实现运作层面的安全、最后按照7799安全策略体系编写策略文档以落实安全管理。先不谈具体项目结果客户满意度如何（这个问题个人觉得责任不全在咨询方，容后分析），也不谈因为脱不开IT范畴体系运行效果如何，应该说，这样的解决方案还是比较完善的，尤其是针对国内各行业或企业当时的公司治理环境和管理现状。
在第二家公司呆了一年多，去了Big 5（一般咨询称为big 5，审计称为big 4），主要涉及7799咨询、SOx驱动的内部控制、SAS70项目等，还是做顾问。记得当时面试的经理对我的信息安全经验全部focus在IT方面颇有微辞，那时我已经对7799有一定理解，虽然不至于觉得他的想法不对，但更多的是在肚子里笑他对国内安全行业不了解：国内企业除了有限的几个（十几个？）大牛外，完整、深入地实施过企业级的7799项目的又有多少?（我那时还想不到，企业级的安全相关项目除了ISMS、或者基于7799裁剪的ISMS，还有很多其它的内容）当时出现这个想法自然而然，就象在这块土壤上自然就会长出这种颜色的花一样。那时，真的完全想不到，他有这样的concern更是自然而然，五大们对信息安全的理解和我们国内公司完全不是一回事……