【IT168 资讯】郭添森加入去哪儿网之时，去哪儿刚解决完生存的问题，而在安全的问题上完全处于“0”的状态。在这四年的时间里，郭添森带领去哪儿把安全变成从无到有的状态，从“0”做到了“1”。

　　建设安全团队的重要性

　　去哪儿网的安全工作与信息安全成熟度模型相契合，安全融入基础IT是第一阶段，第二阶段融入企业业务，第三阶段融入企业文化。郭添森认为：“安全团队在公司层面要建立一种威信，这其实是内部团队建设的一种方式。”从管理学的角度来说，专业技能、人格魅力、职权保障领导力这三方面是建立安全威信的三个来源。

　　从专业技能的角度来说，安全漏洞出现的时候，必须要给予一定的解决方案，并且这个解决方案在公司必须是专业的。运维团队不可能每天都去装补丁，在应用层面或者一些产品层面遇到一些安全问题的时候，给出一些合理的解决方案，这都是考验专业技能的。

　　从人格魅力的角度讲，其实就是做事的一些方法或方式。郭添森认为：“其实我们每个人可能都是一种服务，我们是为别人提供服务;同时我们也需要，别人也愿意你提供服务。安全也是一个服务，有时候我们在考虑一些东西的时候，必须得衡量一下投入产出比。”

　　第三个就是职权，拿组织架构来做例子，国内的互联网公司的组织架构比较常见的有几种：第一种是会有安全人员的组织架构在运维，安全这块就是在运维;另外一个比较常见的就是安全这块相对来说比较独立，尤其像CRO或者是COO，他就是来负责这块的;更高的级别可能是安全这块上升到VP这个级别。组织架构决定了部门有哪些职权，在一些关键的流程里要有插入流程，如果没有的话就相当于没有话语权。

　　三步走实现从“0”到“1”

　　●一阶段

　　4年前去哪儿网只有500人规模左右，刚刚起步，主要工作方向为组建团队，熟悉环境、灭火、设立技术制度流程和技术标准最终解决网络层面的问题。

　　去哪儿在这一阶段里针对网络的两个方面——办公网和生产网进行了调整。当时去哪儿网的在网络方面的主要问题是：办公网未进行隔离;生产网没有ACL;VPN的用户名或密码都缺乏认证。

　　去哪儿给出了具体的解决方案。办公网做VIAN隔离，只能出不能进;而针对生产网则是设置ACL，只开web的端口，web服务统一由nginx做反向代理，使nginx配置走变更流程;针对VPN则进行双因素认证。

　　●二阶段

　　第二阶段去哪儿花了两到三年时间去发展自身的安全业务。在这这一阶段，去哪儿人员规模扩大，服务器数量增多，业务也扩展得很快。在这一阶段去哪儿主要做了以下几件事：

　　持续完善制度流程和技术标准。去哪儿在第二阶段做的最重要的事是做了自动化的系统，保证安全标准可以得到执行，在这一块去哪儿主要针对操作系统的问题，数据库层面的问题还有一些系统应用还有Web应用层面的问题。

　　例如在操作系统层面的防护上，去哪儿首先指出操作系统存在的问题：需要用户名、密码认证;弱口令;离职人员账号没有及时清除;用户名和密码存在通用的问题。去哪儿采用双因素认证解决离职人员账号没有及时清除这个问题;用tcp wrapper来限制登陆的来源;运用公钥或私钥认证并定期清理通用的用户名或密码。

　　而对于常见的系统漏洞，Web应用层面的帐号、密码、复杂度要定期改。基本上去哪儿网的所有系统都是由双因素的QSSO来做的，比如密码复杂度这些问题都是比较高的投入产出比就解决了。接着去哪儿安全团队做了一个WAF，花了几个月的功夫把Web这块做得比较统一，外墙都是用Nginx做的反向代理，那么相应是WAF加载在Nginx的模块，所以每个上面都可以加载WAF，去哪儿接近百分百的应用都会在WAF的覆盖之下。

　　●三阶段

　　有了4年以上的积累，去哪儿在数据安全和业务安全进行了更多的投入。去哪儿主要采取了几个措施来保证数据安全，第一个是PCI认证，即支付卡行业数据安全标准，去哪儿主要是参考这个标准来保护他们最重要的数据，比如用户的信用卡第二个是对数据进行加密、清洗和打码，增加自动抽样的过程，授权管理也同样很重要。在业务安全上，首先得控制风险，主要保障账号安全和反欺诈异常行为分析。