六年如逆旅，我亦是行人
一个顾问的六年安全从业经历


前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

为什么还是要写这篇东西呢？仔细想来，倒不是自觉道行够了，可以开口说话——恰恰相反，正是认为自己一个人在路上摸索久了，才希望能有伙伴能交流一下，这是其一。其二来源于前段时间一件小事，有个朋友毕业要找工作，是信息安全专业的研究生，他就对安全这个行当（对于从业者而言，安全是个“行当”profession，我一直是这么觉得的；说是“行业”industry，明显不妥，电信、金融才是行业）不甚了然，希望能得到过来人的指导。我那时就觉得有必要把自己的心得拿出来分享一下。想当年，2001年的我新入行时，也是倍感迷茫。

既然决定开口了，那到底说什么呢？安全行业的过去现在和未来？本人一直是干活的，没机会高屋建瓴来俯视、剖析，恐怕写不来；信息安全的前世今生？无数的专家学者及业内大牛已经阐述过，已经细致到了某个标准、某项技术、某类产品、某个行业，一个顾问甚至都不敢谈上自己“懂”这些标准技术产品行业，更加写不来。那最后只剩下个人的从业经历了，这个好！既不涉及精深的领域，又俨然业内人士；藏着可以说是敝帚自珍，拿出来可以说是个人“愚见”、“所得”，真是居家旅游两相宜。正所谓，“演员圈里说相声，相声界里做演员”。


三家公司，一个六年

2001年，又站在职业选择的十字路口。那时候，我已经毕业两年多了，做过开发、销售、技术支持，一直在IT圈里打转。当真的决定要选择一个行当准备深入下去的时候，感到的除了迷惘，更多是惶恐：不知道自己能做什么、这个世界需要什么，甚至不清楚自己喜欢什么。七场面试，甲乙丙丁，结果鬼使神差进了我的第一家安全公司。

公司创建于1999年，是国内最早一批进入安全行业的公司，当时挺知名的。挂靠在科研机构下面，有院士的名头，长长的产品线也完全是自己的知识产权，包括FW、VPN、IDS、Scanner、IAM等。我做的是技术支持，当然售前、售后不分。最常见的工作是在powerpoint上画拓扑图，在适当的位置放进公司的主要产品……各种产品……所有产品，第二天去给客户比较产品技术参数、兼介绍我们的方案（之所以说“兼”，的确是因为防火墙的部署方式就那么几种，再挖空心思也没法创新，也就谈不上什么方案了），最后插上网线将FW/IDS采用透明方式部署，项目就做完了。偶尔也帮客户用sniffer抓包、分析FW/IDS日志或进入操作系统检查服务或安全配置，出份看起来有一定技术含量的分析报告。

我不知道别人的安全行业初始经历如何，反正那时候这些对我意味着安全的全部：网络、操作系统、黑客攻防。我们常挂在口头的是网络要过CCNP、操作系统要会Unix、产品要熟悉checkpoint、攻防要……后来才知道，正在当时，国内第一批安全界大牛们已经在摸索着实施企业级的BS7799咨询项目，而我直到四年后才有机会这么做（一直有个先入之见：只有完整做过或维护过企业级的7799项目，才算对一个组织的安全管理有较深的认识），追忆前辈风采，真是遥遥不及。

02年已经开始热安全服务了，那时我尽管读过7799，看过13335，但还远没学会用资产、价值、风险、弱点、威胁、影响和可能性这些好的字眼去出proposal和报告。正如上文所言，我最希望做的是让客户明白我们团队里有几个会AIX/Solaris、有几个黑客高手。至于在安全评估方案书中学会引入体系与方法论，那已是2002底03年初的事了。到那时，作为后知后觉者，我才知道有这么一种不用深入学习网络安全技术和操作系统，也可以让客户觉得你很专业的方法，真是大喜若惊。也就在那时抬头一看，才发现业界（各种会议上、ITIL培训基地里、客户处）安全标准、法规、体系的讨论已经非常热闹了，如果不能说出几个，完全算不上安全行当里的人。于是有一阵子，没日没夜到网上去搜资料，直到把所有听说过的名词全在硬盘中建立了folder、所有英文的中文的网站收藏进favorites才松了口气。这份名单很长，大家耳熟目详就包括7799/CC/Cobit/ITIL&ITSM/NIST-SP800/4360/Octave/13335/7498-2/IATF/BCP/DRP……在这整个狂热的氛围中，英文阅读是必须的，去坛子里看别人讨论也是必须的，如果有某个大牛能从自己项目经验出发谈点体会，那绝对是ITIL培训基地上追贴无数、被人顶礼膜拜……至于我的亲身实践，直到第二家安全公司才有机会，具体情况后文再说。

作为标准热的后遗症，一直有件小事让我印象深刻。一次和业内某个大牛（国内最早一批黑客之一）说到一个什么问题，我就提到了上述大家都应该（我以为）很“溜”的标准中的一个，他马上停下来，很认真的问了一下，你刚才提到的xx是什么？这件事再次偏执化了我的一个念头：可能真的只有无法在某个领域（安全作为新的行业，这样的领域数不胜数）深入下去的人，才会这样拿标准里的名词装饰自己，就像帽子底下实在没有什么可以拿出来的人，才会去和别人比帽子的漂亮程度。卿本佳人，奈何作贼？到底有多少象我这样当年也曾经真正喜欢安全里的某个领域的从业者，最后茫然四顾，只好去做顾问？所谓七分自作，三分天定，估计就是这样吧。正因为如此，我一直对业界那些默默深入做某件事的前辈或同仁保持尊敬，而自己选择的顾问并不在此列（当然，能成为一个好的顾问，也是件令人愉悦的事）。

也正是差不多时候，安全集成开始成为热点。对于安全厂商而言，初期的安全集成与安全产品方案的唯一区别是拓扑图上图标更密集些：自己的再加上别人的（当然后期的安全集成已经是安全产品+安全服务+安全体系的混合体了，不仅国内公司做，IBM、HP也做）。那时我们的口号是“只要最全”——考虑得全面总是不会错的，起码显得专业啊（如果你能在一个普通的企业网络安全方案中分析出四层架构安全、百兆与千兆防火墙配合起来共有八种部署方式并分别比较优劣、一个广域网应用服务器前考虑负载均衡产品再加上 、数据库服务器安全考虑部署tripwire再加网络审计，怎么说也不算不懂安全吧），毕竟，最终选择权还在用户嘛。

04年是国内安全企业风生水起的一年，或强者恒强或后来居上。我在第一家公司已经呆了差不多三年时间，在我睁眼看向业界后（更早一些时候已经开始），终于决定离开，去了我的第二家安全公司，正是后来赵粮博士称之为“战国七雄”中的一个。

如果把1999年以大量安全企业出现为标志称作安全元年（这是我的个人看法，计世报把27号文件发布的2003年称作信息安全元年），经过5年筚路蓝缕的开拓（还有这之前国家几十年的积累），在04年，国内业界精英（尤其是安全企业内的精英）已经成长起来，战国七雄的确在某些方面能代表国内安全企业，除了安全产品方面的市场占有率、安全技术的深入外，其中一个很重要的方面就是这些公司基本都已经发展、总结出了自己的信息安全管理方法论或称之为安全体系，在业界中的具体表现就是这些公司在电信、金融、政府行业都成功实施了多个较大的安全咨询项目（在更早一些的时候他们已经开始在这些行业试验）。

我进的正是公司安全服务部门，主要业务是安全咨询与安全评估，真正开始我的顾问生涯。

2004年业界的安全评估（我所看到的）毫无疑问已经和我在02年或更前一些时候做的技术扫描进步多了——甚至完全不在一个层次，不仅横向更广（各大公司都有了自己较成熟的风险评估方法论）、纵向也更深（人工安全审计有更完善的工具、渗透更有针对性、技术评估已经有团队在开始原创而不是总从国外ITIL培训基地copy漏洞及解决方案、应用安全评估也有更好的解决方案）。但这些还不是我要说的重点，安全咨询才是我投入更多注意力的地方。

由于国内市场（客户）的天然特点（且待后文再分析），安全解决方案必然是针对信息系统(IS)或IT的，安全咨询的主要成果安全管理体系也无法例外。具体是什么样子呢？我所看到的通常做法是，基于13335（或其它标准）再经各个公司逐步完善的风险分析方法、强调设备/软件/系统/应用/数据等资产并进行风险分析、利用IATF（或其它标准）框架落实IT方面的技术解决方案、通过专业安全服务实现运作层面的安全、最后按照7799安全策略体系编写策略文档以落实安全管理。先不谈具体项目结果客户满意度如何（这个问题个人觉得责任不全在咨询方，容后分析），也不谈因为脱不开IT范畴体系运行效果如何，应该说，这样的解决方案还是比较完善的，尤其是针对国内各行业或企业当时的公司治理环境和管理现状。

在第二家公司呆了一年多，去了Big 5（一般咨询称为big 5，审计称为big 4），主要涉及7799咨询、SOx驱动的内部控制、SAS70项目等，还是做顾问。记得当时面试的经理对我的信息安全经验全部focus在IT方面颇有微辞，那时我已经对7799有一定理解，虽然不至于觉得他的想法不对，但更多的是在肚子里笑他对国内安全行业不了解：国内企业除了有限的几个（十几个？）大牛外，完整、深入地实施过企业级的7799项目的又有多少?（我那时还想不到，企业级的安全相关项目除了ISMS、或者基于7799裁剪的ISMS，还有很多其它的内容）当时出现这个想法自然而然，就象在这块土壤上自然就会长出这种颜色的花一样。那时，真的完全想不到，他有这样的concern更是自然而然，五大们对信息安全的理解和我们国内公司完全不是一回事……


国内安全咨询与五大们

说到五大们眼中的“信息安全”——实际上他们已经不是信息安全的概念了（解释一下，因为信息安全咨询、IT控制、内部审计等业务各咨询公司和审计公司都会做，所以不再细分big 5,big 4，统一以五大名之；除了统称的五大外，IBM、Capgemini、AtosOrigin、Protiviti等等咨询公司也有对应的业务，所以称为五大们；另外，我自己仅在五大的一家呆过这么短时间、五大中的其它公司也只是通过朋友了解，还远远称不上熟悉。所以，这点看法完全只是个人的一点心得，请大家不吝指教），我觉得应该先给大家拿两张简图出来。






图一 top-down 与down-top

首先要说明一点，这两张图只是我想到这些方面顺手画下来便于自己理解的，逻辑或架构上很可能不够严谨，大家看个意思，方家请勿较真。

如上所示，图一自下向上(down-top)描述的刚好是我从进入安全行当从业以来所从事的安全工作经历。首先在最下端，focus在安全产品/ 安全技术/安全服务方面，内容基本上是传统的狭义“安全”，这个时候的视野只局限在IT的一部分；再往上一步，帮客户实施从IATF框架/13335标准/等级化保护等引领出来的本土化安全管理体系，就属于IT安全范畴了，视野开始开阔到整个组织的IT ；再往上一步，帮助客户在整个组织内实施7799项目，这个时候的视野无疑已经到企业业务这个层面了；再往上，客户需要我们做的已不仅仅是解决与业务紧密相关的信息安全问题，而是企业层面的技术风险（相比较于企业的商业风险而名之）；最后，技术风险与商业风险整体构成了企业的风险管理框架（ERM, Enterprise Risk Management）。（注：整体看起来，这就是我初步理解的风险管理的概念，或许Deloitte将对应的业务部门称为ERS（Enterprise Risk Service），就是这个原因吧。另外，从ERM出发的另一个分支：商业风险，就涉及到商业环境，本文不涉及。图中COSO出发的另外一个分支，就是内部控制了，IT只是其中个内容而已，GCC/PLC/CLC是五大们的业务之一。）

这个down-top的过程，在我个人的体会中，就完全是从信息安全实践中最小的一块地方逐渐向周边摸索，一步步看到更大的范围，最终看到top view——或许，这可能也是我们国内安全咨询所走过的路。

如果说国内安全咨询与五大们的区别，或许不应该谈区别——说他们做的根本就不是一件事情更合适——回想起来，这也是为什么当时我的面试经理很自然对我产生concern的原因吧。

1） top-down高于down-top

作为方法本身，两者没有优劣，但应用于信息安全管理这一领域，有高下之分。（当然，这完全是从安全咨询的角度来看，至于安全产品、安全技术等等其它安全专业领域中的重要分支，国内同仁一直在令人尊敬地奋力前行，与国外有多大区别，是我不了解的）。

五大们从一开始，他们就是top-down 的，他们的解决方案出发点就在于企业风险管理，因为企业的风险（不是信息系统的风险），所以内部控制，所以IT控制，所以信息安全，自然而然，顺理成章。国内的安全咨询方法论，是一步步从安全产品实施、通过一路拾缺补遗发展总结出来的，从业的人员也大多有过从防火墙实施到安全服务到安全集成到安全咨询的经历，可惜由于客户环境（客户需求?)的限制，至今也没到企业风险分析这个层面。

2） 好的客户决定好的解决方案

好的客户决定好的解决方案，很多人或许会觉得这个命题很别扭：通常应该是有了好的解决方案才会有好的客户，要求客户去适合自己的解决方案，无疑缘木求鱼。实际上，我关注的是另外一个方面，或许换个比喻比较容易理解：好的土壤开出好的花，客户就是市场，就是环境与土壤，解决方案就是花。

正如上文提到，国内的安全咨询发展正是扎根于国内客户与市场，吸收国外先进的管理思想并进行裁剪、创新而来，7799、Cobit、ITIL、IATF、COSO无一不是国外土壤开出来的鲜花，为什么同样的东西国内公司实施起来就没有五大们有信心呢？我觉得最大的问题在于五大们有很好的客户，而国内咨询业没有。

或许很多人认为我这种事后聪明式的说法毫无建设意义，最后甚至可能陷于“鸡生蛋、蛋生鸡” 的死循环中。但根据我的个人经历，的确有这个体会，五大们的客户都是适合他们解决方案的好客户，要么是外企、要么是SOx驱动的各行业内大公司，公司的治理环境、管理文化及控制要求与产生7799/Cobit/ITIL/IATF/COSO这些“最佳实践”的环境大体一致或者被之浸墨已久（国内的大行业是不一致，但你一旦想要去美国上市，在他们的SOx制高点要求下，反而最容易compliance），相同环境下结出的花籽自然在类似环境下开出美丽的鲜花。（另外，客户好也不仅仅体现在这些方面。对于咨询实施人员而言，在这样的环境做deliver，心里踏实，觉得自己的确是在为客户创造value：无论是帮客户维护7799证书、提高组织安全管理水平，还是建设安全管理体系、帮助企业遵守SOx合规性。）对国内安全咨询来说，到广大的国内市场去实施解决方案，总是自觉不自觉忘了所有这些最佳实践，那只是别人的最佳实践。

比如，实施7799或COSO内部控制框架，国内的政府、金融、电信行业可能拿“人”这个要素进行风险评估吗？与人相关的一些流程实施得下去吗？ “财经“杂志有篇报道《中国在美上市企业朝向萨班斯法案达标冲刺的目标与现实》有这么一个有趣内容：一位在某国企负责萨班斯法案合规的人士，就是否需要设立反舞弊职能部门提出异议：“我们已经有纪委了。”

如果从这方面出发，换个角度，国内安全咨询在五大们更加水土不服的国内市场应该拥有更大的空间，的确如此——只要他们能将所有这些最佳实践真正变成我们自己的最佳实践。根据我个人呆过的安全公司经历及与朋友们的交流所得，国内公司在这些方面一直有做得很扎实深入的团队和个人，包括这两年国家频频发布的一些标准、指南，也是安全企业与国家专家队伍共同努力的结果，其中等级化保护实施指南就是其一。对这部分，我对标准本身倒没有什么评论，不过从实施角度（我有两个试点项目经验）来说，还是有两处不甚明了，顺便提出来和大家探讨。第一，信息系统的安全保护要求与安全实现要求还是“两张皮”，想要完全match，尚需时日。简单说，某个信息系统被评为四级，对应的安全保护要求也就是四级（达到四级系统保护目标），落实下来的安全实现要求（安全措施）也应该是四级。先不说，这两个要求的等级指标级差如何定义、指标又什么时候出来？即使作为国家标准发布了，不同地方的政府组织差异巨大，安全实现要求又如何裁剪？第二，对象是信息系统。标准及指南所涵盖的资产不包括人员、文件（这种状况的确比较适合政府，或垂直管理行业这种“全国可看成一个组织、各级政府是整个组织的一个部门”单位，人员的风险通过政府组织另行解决，文件风险通过政府保密制度解决），从资产风险分析角度，这种状况不大适合企业这种组织，总不成让企业做了等级化后，再另设一套去管人与文件的安全吧？一旦这个由国信办发起的适合政府机构的标准(包括指南)由公安部作为国家标准发布，将会如何，值得保持关注。


所谓职业规划

到现在我还记得刚来公司时，老板对我说的一句话。所谓职业规划，不是规划出来的，而是做出来的。回头来体会这句话，真是让人感慨良多，起码我自己这几年的路就不算是规划出来的，真是走一步做一步，溯水而行，尤感吃力。有时候也不免在想，如果我当年毕业就能去五大（可惜过去不容假设，人生也没有如果……），那走的又会是什么样的路呢？或者说，那些毕业就直接在五大熏陶的幸运儿，他们几年做下来，对安全又有怎样的认识呢？

从产品、集成、服务，做到咨询，先技术后顾问。不同的是咨询与技术比较起来，挑战更大、收获也更多（或许是因为一直没在技术中深入下去的原因，有些同仁可能感觉恰恰相反）。有古言道“自古美人如英雄，不许人间见白头”，而顾问恰恰是白头的好——可见，做顾问，是没办法成为英雄的，美女顾问，那更是传说中的存在了。

说到挑战，和任何管理咨询一样，安全顾问也需要先考虑自己的角色定位。在任何从企业风险层面出发的安全项目中，客户希望的理想顾问当然是在行业经验业务分析、安全管理两方面都能有深入理解并为他们带去最佳实践的人，但实际上由于安全行业的发展现状，个人认为能做好后者、在前者上掌握方法的顾问就是一个好的顾问。安全管理（不是仅focus在IT）方面有丰富经验与深入理解来不得半点机巧，必然要在多个领域积累实施经验；在业务分析、行业经验掌握方面由于对顾问的高要求实际上不可能（除非真的象台湾那样，让五十多岁的老头带队做咨询），反而强调方法更具可操作性。我的感受在于“一少，三多”，即多沟通、少说、多听、多归纳。无论是管理体系还是内部控制体系建设，在项目中多计划些和组织的各个层面人员沟通的活动永远不会错，沟通时少说多听；至于多归纳，我觉得要点是在缺乏行业经验的状况下，需要充分掌握安全管理在不同行业内的几个基本原则，将听到的任何收获或客户的challenge归纳入这几个基本原则中，结构化思考，这样无论在多高的level、对行业管理理解多深的客户面前总能巍然不动（我想应该不会碰到一个对在业务与安全管理两方面都有很深理解的人吧，真有这样的人，那你们应该更容易达成共识了）。

说到收获，个人觉得得源于顾问的超然角色。他能多层次、多角度地深入到组织的各个function，能汇聚最真实的需求（大部分的时候比客户自己更了解自己——错位理解——比如他可能比IT部门更了解整个公司的安全需求）、也能听到最精辟的见解（组织中问题的解决方案的最佳实践往往来源组织内部人员）。几个不同行业不同类型项目做下来，作为中心点，一个顾问那儿该集粹了多少真知灼见！如果他同时是一个善于总结、结构化思考的人，他的value的确会越来越大。说件真实的体会，做完项目后有段时间参与公司一些安全产品选型，十几家厂商轮流给我们做presentation，其中不乏象Symantec、MS这样的顶尖公司，换个角色坐在下面听别人讲，真是感触颇多。十几个演讲者竟然只有两个明白用户需要什么、坐在下面的人想听什么，大部分人表现平平，部分技术人员的讲解更是达到惨不卒听的地步……当时就想，几年前我在给别人讲密密麻麻的拓扑图时，估计就被听众归为最后一类吧。

最后还是回到职业规划中来。从角色中抽离出来，作为一个有些经验的从业者，我觉得对于新入者而言，顾问的世界还是很狭窄的，远远不是唯一的选择也可能不是最好的选择。在安全这个行当，虽然国内的确有个“圈子”在大声说话，但也还有众多的人没出声（或者说过一段后又重新选择了沉默），而在一些专门的领域深入进去了，甚至已经愈行愈远、愈行愈好。这样的人才是推动国内安全行业前进的力量，他们应该值得我们尊敬。

一位业界同仁在网上有句话，“有才而性缓定属大才，有智而气和斯为大智”，诚哉斯言！性缓者定，其心不扰，则能生天下万物也。安全界的一步步推陈出新，必然靠这些人。能不能性缓而定，把自己的才真正用起来，是决定自己职业方向的最重要准则。耐不住寂寞的，向左走；耐得住寂寞的，向右走。至于最终会走到哪里，那得看上帝的了。

实际上，据我了解，从1999年或之前开始从业的那批人（基本上都是网上著名的大牛）早已各安其身。或者深入到安全的某个领域在国内一些重要企业作为顶梁柱，或者重新回归学术化研究“入朝”成为国家级专家，或者“在野”创自己的公司。甚至更后一批，包括我的同事们，也开始在安全行业成为骨干，或者在五大们里默默前行，或者继续在国内咨询界内完善自己的方法论，或者在做真正的安全评估，或者去做了甲方力图改变我们的土壤，或者投入到新的安全领域中去开创新天地。无论具体做什么，因为他们曾经和现在的努力，对于后来者而言，他们总是榜样。






图二 殊途同归?

三年技术，三年顾问。下一站，又会到哪里？说实话，现在心里也没底，这个时候还真的庆幸有“职业不是规划出来”这么个道理，只能跟自己说：just do it。或许正如上图二（个人的闲来涂鸦），做安全咨询的人还真的很容易沿着将“安全的外延”扩大这条路走下去，先做IT的安全，再做企业安全，直至扩展到企业内部风险控制，无论在甲方还是乙方，或许最终将与IT管理殊途同归(另外一条路也可以从IT的安全出发，再涉及IT的其它方面，不断扩大IT的内涵，最终落实到全面的内部控制)。按照当前许多企业对CIO的定位，或许那些没法创业、也无法在某个领域深入下去创新的顾问们，不用别人来抢饭碗，几年之后，真的只能去做CIO了。


后记

终于写完，不管好坏，还是松了口气，就算全世界的黑客一同攻击，也无法将它化为无形了。刚开始时藉着一点冲动，思绪纷踏而至，一时还真以为自己有很多感受。写着写着，发现下笔越来越弱，几欲中断。最后撑着把它写完的动力，竟然来源于多年写report的习惯，真不知道该说什么好了。很多想法都是第一次拿出来，视野所限，肯定有错陋之处，希望大家能在交流中指正。

古诗有云，“人生天地间，或如远行客”；李白说，“夫天地者，万物之逆旅也；光阴者，百代之过客也”；到了苏轼这里更加洒脱：“人生如逆旅，我亦是行人”。逆旅是客舍的意思，对于顾问来说，宾馆是客舍，有时候公司何尝不是？——这话有点悲观，但“行”字，毕竟有昂扬之意。几年来在公司与客户之间奔走，是劳碌，也是前行，用“六年如逆旅，我亦是行人”作为本文名字，是希望能和大家共勉。



本文来自： 国际信息安全学习联盟

just do it.

读完受益匪浅！

马克一下

这个需要认真看