網際網路企業安全進階指南1.5 生态級企業vs平台級企業安全建設的需求

<b>1.5　生态級企業vs平台級企業安全建設的需求</b>

生态級企業和平台級企業之間的安全建設需求不僅僅是量的差别而是質的差别。

<b></b>

<b>1. 差别的表象</b>

主要差别表現在是否大量地進入自己造輪子的時代，即安全建設需要依托于自研，而非采用商業解決方案或依賴于開源工具的實作。

那麼平台級公司和生态級公司的差別又在哪裡？從表象上看，生态級公司的大型基礎架構如果用傳統的安全方案幾乎都無法滿足，是以會大量的進入自研。而平台級公司則會依賴開源工具更多一些，不會對所有解決方案場景下的安全工具進行自研。如果有預算也會優先投在“業務安全”側，比如反欺詐平台等等，而不會自己去搞入侵檢測。當然，這有可能是個僞命題，有可能随着時間的推移，乙方公司也開始提供具有可擴充性、能應對分布式架構的方案，或者當時間尺度拉得長一點，平台級公司每年在自研上投入一點點，多年之後也具備了bat級别的安全能力也并非完全不可能。不過這些都是理想狀況，現實總是受到多方面因素制約的。

<b>2. 差别的成因</b>

第一個因素是技術驅動在底層還是在應用層驅動業務。表象上，平台級公司和生态級公司都是以pc端web服務為入口的平台應用和以移動端app入口的移動應用。有的依賴于一些pc用戶端或移動端偏底層的app，但在技術實作方式上，平台級公司更多地直接使用或少量修改開源軟體，而生态級公司的it基礎設施則會類似于google的三篇論文一樣，不僅僅停留在使用和少量修改，而是會進入自己造輪子的階段。其中所造的輪子是否對業界有意義這種問題暫時不去評價，但對應的安全建設則反映出平台級公司的安全主要圍繞應用層面，而生态級公司的安全會覆寫基礎架構和應用層面兩塊。直接使用開源工具的部分交給社群去處理，自己跟進打更新檔就行了，但如果是自己開發的，那麼就需要自己去解決一攬子的安全問題，比如google造了android這個輪子，那android一系列的安全問題google需要自己解決，比如阿裡自己去搞了一個odps，那阿裡的牛人也需要解決這個，再比如華為在物聯網領域造了liteos這個輪子，自然也要去處理對應的問題，而這些偏底層的問題顯然早已超出應用安全的範疇，也不是一般的甲方安全團隊有能力應對的。其實有些平台級公司也是發明了一些輪子的，比如自動化運維工具，比如一些nosql，不過idc規模兩者之間仍然差得比較遠，上層的業務複雜度也有差距，支援的研發團隊的規模也有差距，對安全工具的自動化能力和資料處理規模仍然存在階梯級的差别，這一點也決定了為什麼要自研。安全其實隻是it整體技術建設的一個子集，當整體技術架構和實作方式進入自産自銷階段時，安全建設也必然進入這個範疇。對于很多實際上依靠業務和線下資源驅動而非技術驅動的網際網路公司而言，安全建設去做太多高大上的事情顯然是沒有必要的。

第二個因素是錢，錢也分為兩個方面：1）成本；2）roi。假設安全投入按it總投入的固定10%算，又假設生态級公司的安全建設成本是平台級公司的5～10倍，這個成本除了帶寬、idc伺服器軟硬體之外，還有技術團隊，加起來才是總擁有成本tco。10個人的安全團隊和100個人的安全團隊能做的事情相差太大，具體可以參考我在知乎上的文章“為什麼從事資訊安全行業一定要去大公司？”。還有一方面則類似于“去ioe”，上面提到目前對于大型網際網路沒有合适的安全解決方案，即使有，這個成本可能也會無法接受，是以假如乙方公司能推出既能支撐業務規模，又具有成本效益的方案，我認為甲方安全團隊真的沒有必要再去造輪子了。

第三個因素是人。安全團隊的人員數量也隻是一個很表面的數字，安全團隊的構成才是實力，能囤到大牛的安全團隊和由初級工程師組成的安全團隊顯然是不一樣的，首先前者的成本不是所有的公司都能接受，其次，平台不夠大即使大牛來了也未必有用武之地。大多數平台級公司中安全團隊的知識和經驗集中在web/app、應用層協定、web容器、中間件和資料庫，生态級公司則擴充至系統底層、二進制、運作時環境和核心級别，能力積累也存在差别。這裡并無褒貶之意，僅在說明業務對技術的需求不一樣。

<b>3. 平台級公司的“止步”點</b>

那麼，平台級公司在安全建設上是不是就沒有樂趣呢？其實這類公司也玩一些小花樣，比如修改sshd、lvs，加入一些安全特性。可能也會自己定制一個waf，或者搞搞日志的大資料分析。但比如涉及dpi、全流量入侵檢測、sdn、核心級别的安全機制，基本上都不會介入，對于一個規模不是特别大的平台級公司的甲方安全團隊而言，這些門檻還是有點高。

<b>4. 生态級公司的競技場</b>

生态級公司是不是全領域進軍自己造輪子呢？也不是，主要工作還是在入侵檢測、waf、掃描器、抗ddos、日志分析等領域。在sdl環節上可能也會自己研發些工具，但很與比直接使用商業工具更短平快。阿裡錢盾、騰訊管家、百度殺毒這些都跟360用戶端一樣與生産網絡沒什麼關系，就不去講了。另外自研工具有一個原則：都限定在“民用”領域，不會自己去發明一個rsa算法這樣的東西。

國内的平台級公司裡也有一個例外：數字公司，因為其主營業務是資訊安全，是以就沒有安全投資固定占比理論的影響。