安服大咖談：如何交付網絡安全建設類規劃項目？

01 什么是網絡安全建設類規劃？

作為安服搬磚人，眼見攻擊隊尖刀胡大神、唐大神、李大神們說“打不動了”、“打不動了”、“打不動了”、殿堂級的侯大神轉行研究哲學與佛學、“某市發文要求切實保障IT民工利益”等行業壁壘，突然感覺頭頂一片涼意。

作為一個“2021年上半年人才需求總量較去年增長高達39.87%”的從業人員，難道若干年后無以為計的我們只能戴著藍頭盔和黃頭盔去每個辦公樓體驗保安的鐵拳？

非也，非也。作為“智商高于情商，情商又總是受傷”的安服人，除了靠“銀手鐲”工種或某云那種吃里扒外來謀生計之外，還有另外一條賺錢路，那就是：“打人先打臉，擒賊先擒王”。

何為“打人先打臉，擒賊先擒王”？根據最近三年國內多個調研機構發布的報告來看，互聯網+和數字化轉型大行其道之時，愿意在IT投入中花10%以上資金投入網絡安全的，70%以上是金融、央企、國企、衛生醫療、電信運營商的龍頭，只要抓住了他們的心，還怕養不活我們的胃？

那么，他們的“臉”和“王”是什么呢？按照社會心理學來說，人腦的慣性思維非常強，只要大腦先認可的事物，大腦總會”挖空腦思”去證明先認可的事物是對的。所以，咱們就學著業務發展的模式，以安服特有的角度去講述他們的網絡安全的發展的“故事”。

首先，國家層面按照慣例“十四五網絡安全規劃”，會分拆為各行業十四五網絡安全規劃，再分拆到各企業十四五網絡安全規劃，從這個路徑來說，規劃二字如雷貫耳，其接受程度遠大于Log4j大雷，此乃“擒王”。

其次，由業務發展內生的網絡安全發展規劃，可以幫助企業去各種行業會上發聲，其效果遠大于幫客戶應急一個挖礦病毒，此乃”打臉“。

所以，解決了“擒王”和“打臉”的核心需求，安服搬磚人終于能找到一個認可自己的好“爹”，不用“35歲打三份工感覺到很幸福”。畢竟，宇宙的盡頭不是鐵嶺，而是編制。

02  什么是安服的網絡安全建設類規劃？

很多人看了第一段，會說，不就是交付幾個“什么都說了，又什么都沒說”的本子嗎？非也，非也。

網絡安全規劃也分了幾個層次，分別是：一、最頂層的頂層安全設計，一般是20頁doc，一般帶有”頂層設計“字樣。二、整體網絡安全規劃，一般在80-200頁doc，包含了各種IT應用場景的網絡安全建設方案、內容和實施路徑等。三、專項安全規劃，一般在60-150頁doc，例如云安全規劃、移動應用安全規劃等專門針對某個領域。

除網絡安全規劃外，還有業務安全規劃、數據安全安全規劃，是同屬于“大安全范疇”，但與網絡安全分屬不同學科，不在本章討論范疇。（凡事不懂就問，為什么分屬不同學科？如下圖。）

有人又要問了，這不是四大更擅長嗎，安服湊什么熱鬧？Come on！君不見Pwc最近幾年也招了很多安服嗎？因為再豐富的圖形、矩陣、問卷、表格，都不如幾天時間打穿花了上千萬建設的安全防御體系報告來得刺激。

有人又要問了，那直接上藍隊就行了，還要規劃來干嘛？前面說了，要一個人快速接受一件事物，需要“翻譯”成他熟悉、精通的事。所以，安服的網絡安全規劃就是藍隊大佬和客戶之間的翻譯。把藍隊的攻擊成果翻譯成安全防御體系優化建設實施路徑，也就是前面提到的豐富的圖形、矩陣、問卷、表格和PPT。

03  如何交付項目？

扯了1500字的淡才步入正題，各位看官想不想錘我？可以，等我打開“懂車帝”先。?言歸正傳，對于科普文，下面的各項工作內容僅限于普通項目，不屬于“錢多、人好、要求高”的特例項目。

普通的網絡安全建設類項目一般包括售前階段、制訂規劃方案、執行安全評估與藍隊評估、需求分析、安全規劃藍圖、安全規劃報告、項目匯報推廣七個階段。

售前階段：本階段的首要任務是區分客戶提出的是問題，還是需求。問題是銷售提供的菜單上有，但做得讓客戶不滿意的內容，使用標品解決。需求是銷售提供的菜單上沒有的，客戶不知道該怎么做的，用訂制化解決。只有客戶提出需求時，才需要安全規劃顧問到現場和客戶交流。

安服規劃顧問需要到現場收集對方的業務戰略和業務規劃、IT戰略和IT規劃、傳遞網絡安全規劃項目的交付內容、了解起安全規劃項目的部門、做安全規劃的真是需求是什么、投入費用是多少。

多聽少說，對著機器說錯了，機器會告訴你“command no found”，對著人說錯了，money會給你say goodbye。不要怕麻煩，因為每一個問題都直接關系著項目投入收益比，團隊小伙伴都要吃飯養家，不是搞慈善。

制訂規劃方案階段：本階段的文檔要包括項目目標、參考依據、項目總體認識、行業安全態勢、實施方法與步驟、驗收與交付材料等。

參考依據一般依據GB或GB/T的標準，除非客戶要求，非常盡量少用ISO標準體系。

項目總體認識來自上階段和客戶共同認定的方向與目標。行業安全態勢來源于國內各調研機構的調研報告結合客戶現狀綜合分析。

實施方法與步驟來源于同類項目經驗與客戶目標、規劃的判斷。驗收交付材料取決于客戶付多少錢，買奧迪和奧拓享受的待遇是截然不同的。

執行安全評估與藍隊評估階段：實施階段中，安全評估的方法和藍隊評估的授權最為重要。

首先，國內的安全評估基本是20984-2019、22239-2019、行業規范綜合制訂安全評估矩陣。

其次，藍隊評估一定要有客戶授權。誰也不想工作越干越有“判頭”，客戶也不想擔責，對吧？

需求分析階段： 需求提取階段是安服建設類規劃的核心。需要與客戶IT發展情況結合，參考藍隊發現可利用脆弱性的難易程度分級分類輸出真是的安全建設需求。

為什么是核心的，因為單純的評估出問題沒有經過驗證，沒有風險證據，通常會被開發部門或業務部門以各種接口推脫，不整改。真出問題，又說這是安全部門的事。

安服顧問需要通過各種證據，包括截圖、照片、代碼、威脅情報來證明，特別考驗安服顧問對安全知識、應用知識、開發知識、溝通能力和匯報能力。

安全規劃藍圖階段： 有了上階段的安全需求分析，需要以客戶最熟悉的方式“灌輸”給他，即安全建設藍圖。

純正的咨詢公司基本上先有規劃藍圖，再對比找差距，而咱們做到需求分析后面的原因是照顧客戶各種情緒。因為暴露了那么多問題，或是安全部門不被重視，或是前期投入資源過少等等原因造成，所以規劃藍圖上反應出的問題，一定是各方所認可的問題，懂吧？放心，不會有大家都認可后解決不了的技術問題，因為大家都舉手的問題整改投入的資源是最多的，整改阻力也是最小的。

安全規劃報告階段： 到這個階段，現場的技術工作基本結束了，整個團隊投入到總報告編寫階段。還是那句話，用客戶最熟悉的方式表達網絡安全問題，圖表要漂亮。比如，給央企寫報告，一定要參考客戶的行文思路、字號、分段、逗號、句號的用法，以及能用圖不用表，能用表不用排比的字等。

報告推廣階段： 最后就是報告推廣咯，萬里長征最后一公里。帶著自己和客戶一起生的“兒子”到各個二級三位、三級單位宣講，PPT邏輯完整，講解自信。

特別注意PPT配色，一定使用在線工具自動化，母版用客戶的。衣著得體，和客戶企業的衣著要求完全匹配。

04 寫在最后

如果大家認真讀完上面的內容，定覺得水。不是不愿意給出方法論、架構、框架、調研問卷、威脅庫、差距分析矩陣等干貨，而是不能干用團隊的成果當自己的臉的傻事。

啰里八嗦一大堆，只能將網絡安全規劃實施方法略有表達，離真正的網絡安全規劃尚差N個0day的距離。如架構、框架、方法論和威脅建模等網絡安全規劃的核心均未涉及，希望有機會做成連載，和各位大佬逐一討論。

最后，感謝自己所在團隊。雖然都是無名之輩，但希望通過項目之火灼燒之后，每個人都變成鳳凰。