互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别

1.3 互联网企业和传统企业在安全建设中的区别


总体来看,传统企业偏重管理,有人说是“三分技术,七分管理”;而互联网企业偏重技术,我认为前面那个三七开可以倒过来。其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义。安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理。

先说一下传统企业和互联网企业在安全建设需求上的差异。

传统企业安全问题的特征如下:

1)IT资产相对固定。

2)业务变更不频繁。

3)网络边界比较固定。

4)IDC规模不会很大,甚至没有。

5)使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。

大型互联网企业需要应对如下问题:

海量IDC和海量数据。

完全的分布式架构。

应对业务的频繁发布和变更。

同时架构层面需要关注:高性能、高可用性、(水平)扩展性、TCO(ROI)。

在规模不大的互联网公司,传统企业的风险管理方法论是可以沿用的。但在大型互联网公司,传统企业的方法论可能会失效,因为你可能连基础架构上跑什么业务都搞不清,想理清所有系统接口间的调用关系以及数据流去检视设计风险以及设置细粒度的访问控制就是件不现实的事情。产品线极多时,业内没有任何一个团队敢说自己有能力支持全产品线,对于高速发展的业务,当你理清了你想要的时,说不定架构又发生变化了。只有对占公司整体营收比较主要的以及培育性质的战略级的核心业务,才有必要去深入调研并随之更新,其他的主要依靠自动化手段。

1. 传统企业的安全建设

从安全建设上来看,传统企业的安全建设是:在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC,当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS(信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足大量的合规性需求。

2. 互联网企业的安全建设

互联网可分为生产网络和办公网络,即便最近Google声称取消内网也是针对办公网络而非生产网络。互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重。但是某些传统企业可能完全没有生产网络而只有办公网络,那么网络安全也就变成办公网络的网络安全。但我推测,随着社会“互联网+”进程的加速,很多传统企业也会有自己的生产网络,最终都变成和互联网公司一样的形态。所以对于那些在给传统企业客户提供咨询和解决方案的乙方的工程师,如果不学习互联网安全,也迟早会陷入困境。

互联网企业的生产网络中,安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖库、怕被劫持就是安全建设的最直接的驱动力。互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方。曾遇到过一个例子,说要在服务器上装防病毒软件,推测就知道是传统企业的思路,不是没有真正实践过互联网企业安全就是没被业务线挑战过。在大型互联网企业,仅是性能损耗、运维成本和软件成本这几条就能分分钟把这种需求干掉,更不用进入对于服务器防护这种更实际的话题了。很多标准说到底都是各厂商参与编写,博弈并达成妥协,有利于自己产品销售的代言白皮书,并不是完全站在建设性的角度的,作为乙方给政企客户写解决方案建议书无可厚非,但在互联网公司做企业安全,生搬硬套某些标准就会闹出笑话来。

3. 从量变到质变

对于超过一定规模的大型互联网公司,其IT建设开始进入自己发明轮子的时代,安全解决方案开始局部或进入全部自研的时代。例如不会购买硬件防火墙,而是用服务器+Netfilter的方式自建,不会部署硬件IDS/IPS,而是用其他方式来解决这个问题。其实不难理解,规模小的时候买台硬件防火墙放在最前面,省事。但是规模大了,难道去买1000台硬防放在IDC机房?成本上就没法通过批准。再说,基于分布式系统的CAP理论和Map-Reduce衍生的一系列互联网架构,本质上都具有“无限”的扩展能力,而对于传统的硬件盒子式的解决方案,其设计大多源于对小型网络体系架构的理解,基本不具备扩展能力,完全不能适应大规模的互联网架构。在这种情况下甲方安全团队自己动手去打造完全围绕自身业务的解决方案也就成必然趋势。 

4. 大型互联网企业安全建设的方法论

自研或对开源软件进行二次开发+无限水平扩展的软件架构+构建于普通中低端硬件之上(PC服务器甚至是白牌)+大数据机器学习的方式,是目前大型互联网公司用来应对业务持续性增长的主流安全解决方案。是否真的到了机器学习阶段这个有点难说,但是安全进入大数据时代则是肯定的。

与办公网络和雇员信息安全管理相比,互联网公司的文化比较开放,一般不太会维持激进的安全政策(对雇员做太多信息安全方面的管制和限制),这点也是跟传统企业差别比较大的地方。

也有一些灰色地带,比如TCO较高的安全方案,一开始没感觉,但实质是吸毒,随着IDC的规模扩张,安全的成本越来越大,最后被自己巨大的成本“毒死”。对于做惯传统行业解决方案且客户手里都有大把预算的顾问来说,对这一点是没感觉的,几千万元的安全整体方案信手拈来,但是放到互联网中,一旦业务规模成倍增长,这些方案最终都会走入死胡同。不止是成本,如果不能做到兼顾宿主的性能,安全架构随整个业务架构水平扩展,保证高可用性,最终安全措施都会走进死胡同。

以安全集成为自身职业亮点的人如果不积极学习,会有很大贬值风险,因为以后不需要堆硬件盒子式的解决方案了,就算堆也不再是原来的堆法。

时间: 2024-09-20 20:52:23

互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别的相关文章

互联网企业安全高级指南导读

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南2.2 如何建立一支安全团队

2.2 如何建立一支安全团队 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队.上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题. 在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司.平台级互联网公司.大型集团的互联网+,到千千万万的互联网创业型公司. 1. 极客团队 如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里

互联网企业安全高级指南3.6 需要自己发明安全机制吗

3.6 需要自己发明安全机制吗 1. 安全机制的含义 首先解释一下发明安全机制这句话的意思.安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfilter,Android的基于appid隔离的机制,kernel支持的DEP(数据段执行保护),以及各种ASLR(地址空间随机映射),各种安全函数.服务器软件的安全选项,这些都属于已经存在的安全机制,注意我用的词是"已经存在",而这个话题是针对是不是要在已有的安全机制上再去发明新的安全机制,

互联网企业安全高级指南1.6 云环境下的安全变迁

1.6 云环境下的安全变迁 云计算的本质是改变企业需求方通过传统的渠道获取IT资源的形式.传统的方式是一个企业假如要构建信息化的能力,必须要采购硬件,采购软件,维护一个较大的IT团队,TCO很高.但是,到了云计算时代,这一切你都不需要,你只要轻点鼠标就可以获取大量的计算.存储和网络资源,并且不再需要专门的人员去IDC机房维护服务器,不需要大量的运维人员,甚至某些通用的应用开发都省了,你可以将手头的IT预算用于最需要的部分-完全聚焦于自己的业务,而不用费大量的精力维护基础设施,甚至资源的获取变得弹

互联网企业安全高级指南1.1切入“企业安全”的视角

第1章 安全大环境与背景 如果从一个很微观的角度切入企业安全这个话题,那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向,所以本章从安全领域整体环境入手,以便于读者找到系统性的那种感觉.尽管笔者没有致力于提供关于企业安全的一个非常完整的"上帝视角",但也尽可能地兼顾了这方面的需求. 1.1 切入"企业安全"的视角 目前安全行业中"二进制"和"脚本"流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外,安全是一个很大的工程

互联网企业安全高级指南1.2 企业安全包括哪些事情

1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全. 3)广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算机数据库以外,还有包括纸质文档.机要,市场战略规划

互联网企业安全高级指南1.4 不同规模企业的安全管理

1.4 不同规模企业的安全管理 1. 创业型公司 对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已.安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情: 基本的补丁管理要做. 漏洞管理要做. L3-L7的基本的访问控制. 没有弱密码,管好密码. 账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位. 办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了.

互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求

1.5 生态级企业vs平台级企业安全建设的需求 生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别. 1. 差别的表象 主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现. 那么平台级公司和生态级公司的区别又在哪里?从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研.而平台级公司则会依赖开源工具更多一些,不会对所有解决方案场景下的安全工具进行自研.如果有预算也会优先投在"业