網際網路企業安全進階指南1.3 網際網路企業和傳統企業在安全建設中的差別

<b>1.3　網際網路企業和傳統企業在安全建設中的差別</b>

<b></b>

總體來看，傳統企業偏重管理，有人說是“三分技術，七分管理”；而網際網路企業偏重技術，我認為前面那個三七開可以倒過來。其實這種說法也是不準确的，到底什麼算技術，什麼算管理，這些都沒有明确的定義。安全領域大部分所謂管理不過是組織技術性的活動而已，充其量叫技術管理。

先說一下傳統企業和網際網路企業在安全建設需求上的差異。

傳統企業安全問題的特征如下：

<b>1）it資産相對固定。</b>

<b>2）業務變更不頻繁。</b>

<b>3）網絡邊界比較固定。</b>

<b>4）idc規模不會很大，甚至沒有。</b>

<b>5）使用基于傳統的資産威脅脆弱性的風險管理方法論加上購買和部署商業安全産品（解決方案）通常可以搞定。</b>

大型網際網路企業需要應對如下問題：

海量idc和海量資料。

完全的分布式架構。

應對業務的頻繁釋出和變更。

同時架構層面需要關注：高性能、高可用性、（水準）擴充性、tco（roi）。

在規模不大的網際網路公司，傳統企業的風險管理方法論是可以沿用的。但在大型網際網路公司，傳統企業的方法論可能會失效，因為你可能連基礎架構上跑什麼業務都搞不清，想理清所有系統接口間的調用關系以及資料流去檢視設計風險以及設定細粒度的通路控制就是件不現實的事情。産品線極多時，業内沒有任何一個團隊敢說自己有能力支援全産品線，對于高速發展的業務，當你理清了你想要的時，說不定架構又發生變化了。隻有對占公司整體營收比較主要的以及培育性質的戰略級的核心業務，才有必要去深入調研并随之更新，其他的主要依靠自動化手段。

<b>1. 傳統企業的安全建設</b>

從安全建設上來看，傳統企業的安全建設是：在邊界部署硬體防火牆、ips/ids、waf、商業掃描器、堡壘機，在伺服器上安裝防病毒軟體，內建各種裝置、終端的安全日志建設soc，當然購買的安全硬體裝置可能遠不止這些。在管理手段上比較重視isms（資訊安全管理體系）的建設，重視制度流程、重視審計，有些行業也必須做等級保護以及滿足大量的合規性需求。

<b>2. 網際網路企業的安全建設</b>

網際網路可分為生産網絡和辦公網絡，即便最近google聲稱取消内網也是針對辦公網絡而非生産網絡。網際網路行業的大部分安全建設都圍繞生産網絡，而辦公網絡的安全通常隻占整體的較小比重。但是某些傳統企業可能完全沒有生産網絡而隻有辦公網絡，那麼網絡安全也就變成辦公網絡的網絡安全。但我推測，随着社會“網際網路+”程序的加速，很多傳統企業也會有自己的生産網絡，最終都變成和網際網路公司一樣的形态。是以對于那些在給傳統企業客戶提供咨詢和解決方案的乙方的工程師，如果不學習網際網路安全，也遲早會陷入困境。

網際網路企業的生産網絡中，安全解決方案基本上都是以攻防為驅動的，怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力。網際網路公司基本不太會考慮等保、合規這種形而上的需求，隻從最實際的角度出發，這一點是比傳統企業更務實的地方。曾遇到過一個例子，說要在伺服器上裝防病毒軟體，推測就知道是傳統企業的思路，不是沒有真正實踐過網際網路企業安全就是沒被業務線挑戰過。在大型網際網路企業，僅是性能損耗、運維成本和軟體成本這幾條就能分分鐘把這種需求幹掉，更不用進入對于伺服器防護這種更實際的話題了。很多标準說到底都是各廠商參與編寫，博弈并達成妥協，有利于自己産品銷售的代言白皮書，并不是完全站在建設性的角度的，作為乙方給政企客戶寫解決方案建議書無可厚非，但在網際網路公司做企業安全，生搬硬套某些标準就會鬧出笑話來。

<b>3. 從量變到質變</b>

對于超過一定規模的大型網際網路公司，其it建設開始進入自己發明輪子的時代，安全解決方案開始局部或進入全部自研的時代。例如不會購買硬體防火牆，而是用伺服器+netfilter的方式自建，不會部署硬體ids/ips，而是用其他方式來解決這個問題。其實不難了解，規模小的時候買台硬體防火牆放在最前面，省事。但是規模大了，難道去買1000台硬防放在idc機房？成本上就沒法通過準許。再說，基于分布式系統的cap理論和map-reduce衍生的一系列網際網路架構，本質上都具有“無限”的擴充能力，而對于傳統的硬體盒子式的解決方案，其設計大多源于對小型網絡體系架構的了解，基本不具備擴充能力，完全不能适應大規模的網際網路架構。在這種情況下甲方安全團隊自己動手去打造完全圍繞自身業務的解決方案也就成必然趨勢。 

<b>4. 大型網際網路企業安全建設的方法論</b>

自研或對開源軟體進行二次開發+無限水準擴充的軟體架構+建構于普通中低端硬體之上（pc伺服器甚至是白牌）+大資料機器學習的方式，是目前大型網際網路公司用來應對業務持續性增長的主流安全解決方案。是否真的到了機器學習階段這個有點難說，但是安全進入大資料時代則是肯定的。

與辦公網絡和雇員資訊安全管理相比，網際網路公司的文化比較開放，一般不太會維持激進的安全政策（對雇員做太多資訊安全方面的管制和限制），這點也是跟傳統企業差别比較大的地方。

也有一些灰色地帶，比如tco較高的安全方案，一開始沒感覺，但實質是吸毒，随着idc的規模擴張，安全的成本越來越大，最後被自己巨大的成本“毒死”。對于做慣傳統行業解決方案且客戶手裡都有大把預算的顧問來說，對這一點是沒感覺的，幾千萬元的安全整體方案信手拈來，但是放到網際網路中，一旦業務規模成倍增長，這些方案最終都會走入死胡同。不止是成本，如果不能做到兼顧宿主的性能，安全架構随整個業務架構水準擴充，保證高可用性，最終安全措施都會走進死胡同。

以安全內建為自身職業亮點的人如果不積極學習，會有很大貶值風險，因為以後不需要堆硬體盒子式的解決方案了，就算堆也不再是原來的堆法。