7月17日的北京，一大早便乌云压城，正值漏洞平台乌云网(Wooyun.org)举办乌云第二届“白帽子大会”。这一次，著名黑客大会HITCON也第一次走出台湾，与乌云网联手，组织分享信息安全领域的攻防最新趋势和业务安全经验。在大会上，去哪儿网安全总监郭添森分享了如何从0到1的打造企业信息安全的经验。

众所周知，在携程“泄密门”事件中，大规模的携程用户信用卡信息面临泄露风险，曾引发大批用户的恐慌。据悉，做为同类型网站的去哪儿，其安全在国内能够排到前几名，安全部门在去哪儿内部也很有话语权。

做为老一辈的大黑客，郭添森曾是艺龙网最早的的安全人员，也是去哪儿网的第一个安全人员。

郭添森将去哪儿网的安全工作分成了三个阶段。第一阶段是安全融入基础IT，第二阶段是融入企业业务，第三阶段是融入企业文化。

在第一阶段，公司刚刚起步，因此安全主要的工作方向是组建团队，熟悉环境、灭火、设立技术制度流程和技术标准最终解决网络层面的问题。

在第二阶段，随着业务数量逐步升级，安全的工作则放在了完善制度流程和SOX404 PCI DSS标准等方面。其中，最重要的事情是建立自动化系统，确保安全规划落地执行。主要解决操作系统、数据库、系统应用、web应用层面的问题。

在第三阶段，到了公司成立的第四年，安全工作的重点变化，更多的投入在数据安全、业务安全上。“尤其是数据安全，是行业内的公司都会面临的问题，也是普遍消费者会遇到的问题。”郭添森说。

去哪儿网所采取的措施就是制定标准;申请PCI DSS认证，保护用户信用卡相关数据;为保护用户个人隐私数据，做加密、清洗、打码;自动抽样、授权、并人工巡查github等渠道。

郭添森还指出，面对业务和安全如何平衡的问题，安全的使命是消除风险还是控制风险，较好的方式可能是用恰当的手段和投入控制风险。基础架构运维和安全的关系最紧密，必须与基础架构部门合作共赢，与业务部门找到切入对合适时机和方式，过早优化和过度优化都不合适。有的时候冲突的解决要依靠妥协和升级。