7月17日的北京，一大早便烏云壓城，正值漏洞平臺烏云網(Wooyun.org)舉辦烏云第二屆“白帽子大會”。這一次，著名黑客大會HITCON也第一次走出臺灣，與烏云網聯手，組織分享信息安全領域的攻防最新趨勢和業務安全經驗。在大會上，去哪兒網安全總監郭添森分享了如何從0到1的打造企業信息安全的經驗。

眾所周知，在攜程“泄密門”事件中，大規模的攜程用戶信用卡信息面臨泄露風險，曾引發大批用戶的恐慌。據悉，做為同類型網站的去哪兒，其安全在國內能夠排到前幾名，安全部門在去哪兒內部也很有話語權。

做為老一輩的大黑客，郭添森曾是藝龍網最早的的安全人員，也是去哪兒網的第一個安全人員。

郭添森將去哪兒網的安全工作分成了三個階段。第一階段是安全融入基礎IT，第二階段是融入企業業務，第三階段是融入企業文化。

在第一階段，公司剛剛起步，因此安全主要的工作方向是組建團隊，熟悉環境、滅火、設立技術制度流程和技術標準最終解決網絡層面的問題。

在第二階段，隨著業務數量逐步升級，安全的工作則放在了完善制度流程和SOX404 PCI DSS標準等方面。其中，最重要的事情是建立自動化系統，確保安全規劃落地執行。主要解決操作系統、數據庫、系統應用、web應用層面的問題。

在第三階段，到了公司成立的第四年，安全工作的重點變化，更多的投入在數據安全、業務安全上。“尤其是數據安全，是行業內的公司都會面臨的問題，也是普遍消費者會遇到的問題。”郭添森說。

去哪兒網所采取的措施就是制定標準;申請PCI DSS認證，保護用戶信用卡相關數據;為保護用戶個人隱私數據，做加密、清洗、打碼;自動抽樣、授權、并人工巡查github等渠道。

郭添森還指出，面對業務和安全如何平衡的問題，安全的使命是消除風險還是控制風險，較好的方式可能是用恰當的手段和投入控制風險。基礎架構運維和安全的關系最緊密，必須與基礎架構部門合作共贏，與業務部門找到切入對合適時機和方式，過早優化和過度優化都不合適。有的時候沖突的解決要依靠妥協和升級。