企业安全项目|测试环境内网化

经过长时间的风险发掘与分析，企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发，结合当前正在承受的危害和实施难易程度考虑，可以将前期所规划的安全项目排入实施计划周期并进行推动。按照优先级从左往右可以分为P0~P3，依次落地：

P0：正在遭受损失

P1：影响较大且容易做

P2：影响较大且难以做

P3：影响不大且比较难做

1 总体概况

为了减少企业对外资产暴露面，减少外部恶意攻击，首先应将不必要开放到互联网的测试环境进行内网化。在项目推动的过程中，再次证明安全工作的开展离不开各部门的协作支持。除了直接影响到的业务部门外，还有两个部门扮演着十分重要的角色–运维部&测试部，在本项目中将淋漓尽致的展现其重要性。

2 推动进程

在项目的推动进程中，由于没有太多甲方安全经验走了不少弯路（付出多产出小项目进度缓慢）。在部门leader的指点下重新进行微调，找准项目关键点并获得不错的效果。以下简要的将整个项目进行复盘：

<1>外部白帽子提交漏洞

当前公司没有成立SRC，但也鼓励外部白帽子提交相关漏洞，因此在漏洞盒子和补天（注：目前为止漏洞盒子上白帽子更加活跃一点）注册了企业账号，开始从外部接收漏洞。

<2>内部漏洞分析与风险调研

经过一段时间对漏洞进行分析时，发现测试环境占据大部分；且在挖掘公司内部安全问题时，发现测试环境管理不够上心、甚至杂乱等现象。

<3>组织安全接口人召开会议

正好以外部白帽提交漏洞为驱动力，召集安全接口人（一般由安全组成员、各业务部门leader组成）开会进行商议并立项。

<4>邮件搜集资产（效果不好）

这应该是进入甲方后负责的第一个全员推动性项目，理想化的认为先组织专题会议，再用邮件搜集各位业务leader所负责业务的测试环境及影响范围会比较容易，然而结果十分不理想。或许是因为新人的关系、没交情、各自忙业务、没有安全习惯等因素，仅少量的人反馈情况。 

<5>正确资产梳理

项目伊始，需要“完全”梳理公司的测试环境资产，这时候最可靠的方法便是找到运维部的应用组，请其协助提供测试环境清单，一般都是去查看nginx的配置文件，从而获取到相关资产。

<6>QQ群沟通（效果欠佳）

邮件沟通效率太慢，因此建立专门的qq群“测试环境内网化”，专项沟通测试环境内网化相关事宜。针对邮件中的内容及进展，及时到群里进行反馈与公布。

虽然更有针对性且提高了沟通效率，但是推进效果并不理想，反馈的人逐渐增多但还是低于意料与计划。

<7>优化推动思路

项目至此都是沿用“不理想”的方法：