十年信息安全实践：从1到10的演进与挑战

《十年安全路——信息安全的从1到10》是一份由信息安全总监凌云于2016年4月制作的文档，旨在分享他在信息安全领域的十年实践经验。该文档分为五个主要部分：信息安全的全面概述、运维安全之路、应用安全之路、业务安全之路以及安全合规与团队建设。 在文档的第一部分，凌云将信息安全分为四个核心领域：运维安全、应用安全、业务安全以及安全合规。他强调了对现有安全状况的深入摸底，包括通过访谈、安全扫描和乌云平台来获取信息。此外，他还提出了明确的目标设定，如同行交流、自我定位和发展方向。 在运维安全章节中，凌云详细阐述了如何建立运维安全规范，进行安全域划分，以及执行常规的安全检查如检测弱口令、漏洞和定期主机扫描。他还提到了日志收集与分析、蜜罐技术（用于诱捕攻击者）以及使用OSSEC进行高级持续威胁（APT）防御等手段，以提升网络安全性并增加入侵难度，确保第一时间发现潜在威胁。 应用安全方面，讨论了web安全工程师和无线安全工程师的角色，以及在开发过程中的安全开发生命周期（SDL），包括微软的SDL框架。该框架涵盖了需求分析、产品设计、编码、测试等阶段，并强调了安全需求的嵌入、风险识别、威胁建模和渗透测试等关键步骤。 业务安全路径中，安全分析工程师和安全开发工程师的角色被着重介绍，以及安全运营人员和合规工作的实施。安全运营涉及日志审计、安全预警和制度建设，同时配合技术培训和意识提升，提倡纵深防御的军事学理念和娱乐化的塔防比喻，即事前预防和重点管控。 文档最后，凌云分享了携程公司在信息安全上的成长经历，从最初的20多人发展到40人，其中50%的技术人员具备Python和Java开发能力。此外，他还强调了在招聘、单点突破和预设防护措施等方面的战略部署，以支持携程3000多人的技术团队。 总体来说，《十年安全路——信息安全的从1到10》是一份实用且深入的指南，涵盖信息安全各个层面，对于企业和组织构建和提升安全管理体系具有很高的参考价值。