1.4 不同規模企業的安全管理

1．創業型公司

對于創業型公司而言，安全不是第一位的，我在唱反調嗎？應該只是大實話而已。安全建設的需求應該是：保障最基本的部分，追求最高性價比，不求大而全，映射到技術實現應該是做如下事情：

? 基本的補丁管理要做。

? 漏洞管理要做。

? L3～L7的基本的訪問控制。

? 沒有弱密碼，管好密碼。

? 賬號認證鑒權不求各種基于條件的高大上的實時風控，但求基本功能到位。

? 辦公網絡做到統一集中管理（100人以上規模）和企業防病毒，幾個人的話，就完全不用考慮了，APT什么的就聽一聽拉倒了。

? 流程什么的就沒必要去搞了，有什么需求，口頭約束一下。

? 找兩篇用到的開發語言的安全編程規范給程序員看看，安全專家們說的SDL就不要去追求了，那個東西沒有一堆安全“準”專家玩不起來。

? 系統加固什么的，網上找兩篇文章對一下，確保沒有root直接跑進程，chmod 777，管理后臺弱密碼對外這種低級錯誤，當然有進一步需求，也可以參考后面的技術篇中的措施。

? 實惠一點的，找個靠譜的白帽子兼職做一下測試，或者眾測也行。

是不是覺得簡陋了一點？我估計很多乙方提供的服務除了賣產品之外也不會比這個效果更好了。不過，現在不少創業公司是拿了不小的風投的，也沒那么寒酸。另外一個很重要的特征是，創業公司基本都上公有云了，不會自己再去折騰IDC那點事，所以相對而言以上措施中的一部分可以等價于：

1）使用云平臺提供的安全能力，包括各種抗DDoS、WAF、HIDS等。

2）使用市場中第三方安全廠商提供的安全能力。

具體怎么選怎么用就不展開講了，不過不要因為迷信云平臺關于安全能力的廣告而自己不再去設防，畢竟針對租戶級的通用型的安全方案其覆蓋面和防御的維度是有限的。

2．大中型企業

這個層次對應市場上大多數公司的安全需求，它的典型特征是，業務營收的持續性需要安全來保障。公司愿意在IT安全上投入固定的成本，通常小于IT總投入的10%，不過這已經不錯了。這時候開始有專職的安全人員或安全團隊，建設上重視效果和ROI，會具備初步的縱深防御能力。對應技術上的需求為：

? L2～L7中的每一層擁有完整的安全設計。

? 對所有的服務器、PC終端、移動設備，具有統一集中的狀態感知、安全檢測及防護能力。

? 應用層面細粒度控制。

? 全流量入侵檢測能力。

? 無死角1天漏洞發現能力。

? 在安全等級較高的區域建立縱深防御和一定的0天發現能力。

? 初具規模的安全專職團隊。

? 對應用交付有自主的評估和修補能力。

? 從IT服務層面建立必要的流程、業務持續性以及風控應急措施。

? 對業務安全形成自己的風控及安全管理方法論。

? 將難以自己實現的部分外包。

好像跟前面的描述比一下子抽象了？是的，這個層級的安全需求沒辦法很具體地量化。不同的業務模式對應的安全實現還是有很大的不同，加上這個區間里的公司營收規模可以差很大，對應的安全投入也可以差很多。那什么樣的公司歸入這個區間呢？比如四大行，國內TOP10甚至TOP5以后的互聯網公司，大量的電信、金融、政府、能源等企業都屬于這個區間，但我為什么不把BAT歸入這個區間？這樣的分類豈不是不科學？我之所以這樣分類完全是從安全建設的復雜度上去考量的，而不是從安全建設的資金投入上去歸類的。很多行業（比如金融）的安全投入很大，但這些解決方案大都是靠花錢就能買來的，而BAT的方案花錢不一定能買得到，很多都需要自己動手去打造，對安全團隊的定位、能力和需求完全不一樣。那BAT以外較大的互聯網公司呢？我覺得他們會玩些各自特點的小花樣，但是不會進入大范圍的復雜的安全建設，這是由公司的整體面和業務決定的，不需要過分保障和超前業務的安全建設。

再往上一層是大型互聯網企業。