網際網路企業安全進階指南1.2 企業安全包括哪些事情

<b>1.2　企業安全包括哪些事情</b>

<b></b>

企業安全涵蓋7大領域，如下所示：

1）網絡安全：基礎、狹義但核心的部分，以計算機（pc、伺服器、小型機、byod……）和網絡為主體的網絡安全，主要聚焦在純技術層面

2）平台和業務安全：跟所在行業和主營業務相關的安全管理，例如反欺詐，不是純技術層面的内容，是對基礎安全的拓展，目的性比較強，屬于特定領域的安全，不算廣義安全。

3）廣義的資訊安全：以it為核心，包括廣義上的“information”載體：除了計算機資料庫以外，還有包括紙質文檔、機要，市場戰略規劃等經營管理資訊、客戶隐私、内部郵件、會議内容、營運資料、第三方的權益資訊等，但凡你想得到的都在其中，加上泛“technology”的大安全體系。

4）it風險管理、it審計&amp;内控：對于中大規模的海外上市公司而言，有諸如sox-404這樣的合規性需求，财務之外就是it，其中所要求的在流程和技術方面的限制性條款跟資訊安全管理重疊，屬于外圍和相關領域，而資訊安全管理本身從屬于it風險管理，是cio視角下的一個子領域。

5）業務持續性管理：bcm（business

continuity management）不屬于以上任何範疇，但又跟每一塊都有交集，如果你覺得3）和4）有點虛，那麼bcm絕對是面向實操的領域。最近，有網易、中有支付寶、後有攜程，因為各種各樣的原因業務中斷，損失巨大都屬于bcm的範疇。有人會問：這跟安全有什麼關系？安全是影響業務中斷的很大一部分可能因素，例如ddos，入侵導緻必須關閉服務自檢，資料丢失，使用者隐私洩露等。又會有人問：這些歸入安全管理即可，為什麼要跟bcm扯上關系，做安全的人可以不管這些嗎？答案自然是可以不管，就好像說：“我是個java程式員，jvm、dalvik（art）運作原理不知道又有什麼關系，完全不影響我寫代碼！”

事實上，bcm提供了另一種更高次元、更完整的視角來看待業務中斷的問題。對于安全事件，它的方法論也比單純的isms更具有可操作性，對業務團隊更有親和力，因為你知道任何以安全團隊自我為中心的安全建設都難以落地，最終都不會做得很好。

6）安全品牌營銷、管道維護：cso有時候要做一些務虛的事情，例如為品牌的安全形象出席一些市場宣介，presentation。籠統一點講，現在src的活動基本也屬于這一類。

7）cxo們的其他需求：俗稱打雜。這裡你不要了解為讓安全團隊去攻擊一下競争對手的企業這樣負面向的事情，而是有很多公司需要做，但運維開發都不幹，幹不了或者不适合幹的事情，安全團隊能力強大時可以承包下來的部分，事實上我的職業生涯裡就做了不少這樣的事情。

基礎的網絡安全是在甲方的絕大多數安全團隊能覆寫的事情，不管你的安全團隊能力如何，在公司裡有無影響力，這個是必須要做的，因為這是把你招過來的初衷。再往後的發展，是否止于此則看個人的想法。對于沉醉攻防技術的人，其實不需要往後發展了，這些足夠了。但如果你的安全團隊富有活力和想法，即便你想止于此他們也不幹，把部門做大做強是這些人的願望，隻有這樣才能給安全團隊更大的空間。這點跟乙方是不一樣的，對于乙方而言，你可以在某個單點領域上無限深挖，而不會遇到天花闆，因為你始終是在滿足主營業務的需求，即使你成為骨灰級的專家，公司也會對你在某方面創新有所期待而給你持續發展的可能性。但是在甲方，安全不是主營業務，歸根結底，安全是一個保值型的背景職能，不是一個明顯能創造收益的前台職能，是一個成本中心而非盈利中心。安全成本的大小跟業務規模以及公司盈利能力相關，公司發展時預算和人員編制都會增加，業務停滞時安全做得再好也不會追加投入，因為無此必要。反面的例子也有：做得不好反而追加投入的，那是一種政治技巧而非現實需要。在乙方，無論你的漏洞挖掘技能多厲害，公司都不會跳出來說“你已經超出我們需求了，你還是去更強大的公司吧”（通常情況下）。但是在甲方，假設是在一個國内排名大約top5以後的網際網路企業，養一個漏洞挖掘的大牛也會令人很奇怪，他是在給企業創造價值還是在自娛自樂是會受到質疑的，cso也會被質疑是否花了大價錢挖來的人不是出于業務需要而是用于擴大自己團隊在業内影響力這種務虛的事。假如公司到了google這種級别，有一大堆産品，儲備大牛則是順利成章的，業務上顯然是有這種需求的。不過還要看産出是否對主營業務有幫助，工作成果不能轉化為主營業務競争力的嘗試性活動在公司有錢的時候無所謂，在公司收緊腰帶時則其存在價值就有争議。

以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法，籌碼不在cso手中，甚至不在cto手中，而是看主營業務的晴雨表，甲方安全是要看“臉”的，這個臉還不是指跨部門溝通合作，而是在最原始的需求出發點上受限于他們。是以有想法的安全團隊在網絡安全方面做得比較成熟時會轉向平台和業務安全，平台和業務安全是一個很大的領域，發展得好，安全團隊的規模會擴大2倍，3倍，并且在企業價值鍊中的地位會逐漸前移，成為營運性質的職能，結合bcm真正成為一個和運維、開發并駕齊驅的大職能。

bcm在很多人眼裡就是dr（disaster

recovery，災難恢複），dr其實隻是bcm中的一個點，屬于下層分支。不過這對技術領域的人而言是最直覺的部分，dr在網際網路企業裡由基礎架構部門或運維主導。不過強勢的甲方安全團隊其實也是能參與其中的，而bcp（business continuity plan，業務持續性計劃）中的很大一部分跟安全相關，我之前也主導過bcp&amp;drp（disaster recovery plan，災難恢複計劃），受益于綠盟那個年代的教育不隻是攻防，而是完整的資訊安全和風險管理。有興趣的讀者可以看一下bs25999（bcm的一個标準）。

廣義的資訊安全，比較直覺的映射就是iso2700x系列，行業裡的絕大多數人都知道iso27001和bs7799，這裡就不展開了，對真正有安全基礎的人而言，都是很簡單的東西。在企業裡能否做到廣義的安全，主要看安全負責人和安全團隊在公司裡的影響力，對上沒有影響力，沒有诠釋利害關系和遊說的能力，自然也就做不到這些。另一方面，狹義安全主要對接運維開發等技術面公司同僚，但是廣義安全會對接整個公司的各個部門，對于溝通面的挑戰來說，又上了一個新的台階，在我看來這主要取決于安全的領隊人物自己擁有什麼樣的知識結構以及他的推動能力如何。

在企業完全涉及的7大領域中，對于第4）條，如果你所在的組織有這方面的需求，安全職能自然也會參與其中，是否刻意去發展他則看自己需求，對我朋友中某些做過it治理和風險咨詢的人，相信是有能力一并吃下的，如果是技術派，不建議去嘗試。

第6）條屬于水到渠成的事情，到了那一步你自然需要考慮，就算你不想，公司也會讓你去，就像我現在明明做技術活，卻也不知道為什麼會跟這一類事情挂上鈎。

第7）條有人看時自動過濾了，不過安全負責人自身是否有瓶頸，能否在企業裡發展起來跟這條有很大關系，甚至有很多從1）發展到2）、3）的人都需要借助7）這個管道，點到為止，不多說了。

對于網際網路公司，我建議做1）、2）、5）；對于傳統行業，我建議做1）、3）、4）、5）。

在網際網路行業，我覺得安全工作可以概括為以下幾個方面：

資訊安全管理（設計流程、整體政策等），這部分工作約占總量的10%，比較整體，跨度大，但工作量不多。

基礎架構與網絡安全：idc、生産網絡的各種鍊路和裝置、伺服器、大量的服務端程式和中間件，資料庫等，偏運維側，跟漏洞掃描、打更新檔、acl、安全配置、網絡和主機入侵檢測等這些事情相關性比較大，約占不到30%的工作量。

應用與傳遞安全：對各bg、事業部、業務線自研的産品進行應用層面的安全評估，代碼審計，滲透測試，代碼架構的安全功能，應用層的防火牆，應用層的入侵檢測等，屬于有點“繁瑣”的工程，“撇不掉、理還亂”，大部分甲方團隊都沒有足夠的人力去應付産品線傳遞的數量龐大的代碼，沒有能力去實踐完整的sdl，這部分是當下比較有挑戰的安全業務，整體比重大于30%，還在持續增長中。

業務安全：上面提到的2），包括賬号安全、交易風控、征信、反價格爬蟲、反作弊、反bot程式、反欺詐、反釣魚、反垃圾資訊、輿情監控（内容資訊安全）、防遊戲外挂、打擊黑色産業鍊、安全情報等，是在“吃飽飯”之後“思淫欲”的進階需求，在基礎安全問題解決之後，越來越受到重視的領域。整體約占30%左右的工作量，有的甚至大過50%。這裡也已經紛紛出現乙方的創業型公司試圖解決這些痛點。

對整體介紹的部分在前面的篇幅講得比較多，主要目的是希望“視野”部分不縮水，這些概念在後面篇幅都不打算再展開了。