1.4 不同规模企业的安全管理
1. 创业型公司
对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已。安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情:
基本的补丁管理要做。
漏洞管理要做。
L3~L7的基本的访问控制。
没有弱密码,管好密码。
账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位。
办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了。
流程什么的就没必要去搞了,有什么需求,口头约束一下。
找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来。
系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误,当然有进一步需求,也可以参考后面的技术篇中的措施。
实惠一点的,找个靠谱的白帽子兼职做一下测试,或者众测也行。
是不是觉得简陋了一点?我估计很多乙方提供的服务除了卖产品之外也不会比这个效果更好了。不过,现在不少创业公司是拿了不小的风投的,也没那么寒酸。另外一个很重要的特征是,创业公司基本都上公有云了,不会自己再去折腾IDC那点事,所以相对而言以上措施中的一部分可以等价于:
1)使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等。
2)使用市场中第三方安全厂商提供的安全能力。
具体怎么选怎么用就不展开讲了,不过不要因为迷信云平台关于安全能力的广告而自己不再去设防,毕竟针对租户级的通用型的安全方案其覆盖面和防御的维度是有限的。
2. 大中型企业
这个层次对应市场上大多数公司的安全需求,它的典型特征是,业务营收的持续性需要安全来保障。公司愿意在IT安全上投入固定的成本,通常小于IT总投入的10%,不过这已经不错了。这时候开始有专职的安全人员或安全团队,建设上重视效果和ROI,会具备初步的纵深防御能力。对应技术上的需求为:
L2~L7中的每一层拥有完整的安全设计。
对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力。
应用层面细粒度控制。
全流量入侵检测能力。
无死角1天漏洞发现能力。
在安全等级较高的区域建立纵深防御和一定的0天发现能力。
初具规模的安全专职团队。
对应用交付有自主的评估和修补能力。
从IT服务层面建立必要的流程、业务持续性以及风控应急措施。
对业务安全形成自己的风控及安全管理方法论。
将难以自己实现的部分外包。
好像跟前面的描述比一下子抽象了?是的,这个层级的安全需求没办法很具体地量化。不同的业务模式对应的安全实现还是有很大的不同,加上这个区间里的公司营收规模可以差很大,对应的安全投入也可以差很多。那什么样的公司归入这个区间呢?比如四大行,国内TOP10甚至TOP5以后的互联网公司,大量的电信、金融、政府、能源等企业都属于这个区间,但我为什么不把BAT归入这个区间?这样的分类岂不是不科学?我之所以这样分类完全是从安全建设的复杂度上去考量的,而不是从安全建设的资金投入上去归类的。很多行业(比如金融)的安全投入很大,但这些解决方案大都是靠花钱就能买来的,而BAT的方案花钱不一定能买得到,很多都需要自己动手去打造,对安全团队的定位、能力和需求完全不一样。那BAT以外较大的互联网公司呢?我觉得他们会玩些各自特点的小花样,但是不会进入大范围的复杂的安全建设,这是由公司的整体面和业务决定的,不需要过分保障和超前业务的安全建设。
再往上一层是大型互联网企业。