1.5 生態級企業vs平臺級企業安全建設的需求

生態級企業和平臺級企業之間的安全建設需求不僅僅是量的差別而是質的差別。

1．差別的表象

主要差別表現在是否大量地進入自己造輪子的時代，即安全建設需要依托于自研，而非采用商業解決方案或依賴于開源工具的實現。

那么平臺級公司和生態級公司的區別又在哪里？從表象上看，生態級公司的大型基礎架構如果用傳統的安全方案幾乎都無法滿足，所以會大量的進入自研。而平臺級公司則會依賴開源工具更多一些，不會對所有解決方案場景下的安全工具進行自研。如果有預算也會優先投在“業務安全”側，比如反欺詐平臺等等，而不會自己去搞入侵檢測。當然，這有可能是個偽命題，有可能隨著時間的推移，乙方公司也開始提供具有可擴展性、能應對分布式架構的方案，或者當時間尺度拉得長一點，平臺級公司每年在自研上投入一點點，多年之后也具備了BAT級別的安全能力也并非完全不可能。不過這些都是理想狀況，現實總是受到多方面因素制約的。

2．差別的成因

第一個因素是技術驅動在底層還是在應用層驅動業務。表象上，平臺級公司和生態級公司都是以PC端Web服務為入口的平臺應用和以移動端APP入口的移動應用。有的依賴于一些PC客戶端或移動端偏底層的APP，但在技術實現方式上，平臺級公司更多地直接使用或少量修改開源軟件，而生態級公司的IT基礎設施則會類似于Google的三篇論文一樣，不僅僅停留在使用和少量修改，而是會進入自己造輪子的階段。其中所造的輪子是否對業界有意義這種問題暫時不去評價，但對應的安全建設則反映出平臺級公司的安全主要圍繞應用層面，而生態級公司的安全會覆蓋基礎架構和應用層面兩塊。直接使用開源工具的部分交給社區去處理，自己跟進打補丁就行了，但如果是自己開發的，那么就需要自己去解決一攬子的安全問題，比如Google造了Android這個輪子，那Android一系列的安全問題Google需要自己解決，比如阿里自己去搞了一個ODPS，那阿里的牛人也需要解決這個，再比如華為在物聯網領域造了LiteOS這個輪子，自然也要去處理對應的問題，而這些偏底層的問題顯然早已超出應用安全的范疇，也不是一般的甲方安全團隊有能力應對的。其實有些平臺級公司也是發明了一些輪子的，比如自動化運維工具，比如一些NOSQL，不過IDC規模兩者之間仍然差得比較遠，上層的業務復雜度也有差距，支持的研發團隊的規模也有差距，對安全工具的自動化能力和數據處理規模仍然存在階梯級的差別，這一點也決定了為什么要自研。安全其實只是IT整體技術建設的一個子集，當整體技術架構和實現方式進入自產自銷階段時，安全建設也必然進入這個范疇。對于很多實際上依靠業務和線下資源驅動而非技術驅動的互聯網公司而言，安全建設去做太多高大上的事情顯然是沒有必要的。

第二個因素是錢，錢也分為兩個方面：1）成本；2）ROI。假設安全投入按IT總投入的固定10%算，又假設生態級公司的安全建設成本是平臺級公司的5～10倍，這個成本除了帶寬、IDC服務器軟硬件之外，還有技術團隊，加起來才是總擁有成本TCO。10個人的安全團隊和100個人的安全團隊能做的事情相差太大，具體可以參考我在知乎上的帖子“為什么從事信息安全行業一定要去大公司？”。還有一方面則類似于“去IOE”，上面提到目前對于大型互聯網沒有合適的安全解決方案，即使有，這個成本可能也會無法接受，所以假如乙方公司能推出既能支撐業務規模，又具有性價比的方案，我認為甲方安全團隊真的沒有必要再去造輪子了。

第三個因素是人。安全團隊的人員數量也只是一個很表面的數字，安全團隊的構成才是實力，能囤到大牛的安全團隊和由初級工程師組成的安全團隊顯然是不一樣的，首先前者的成本不是所有的公司都能接受，其次，平臺不夠大即使大牛來了也未必有用武之地。大多數平臺級公司中安全團隊的知識和經驗集中在Web/App、應用層協議、Web容器、中間件和數據庫，生態級公司則擴展至系統底層、二進制、運行時環境和內核級別，能力積累也存在差別。這里并無褒貶之意，僅在說明業務對技術的需求不一樣。

3．平臺級公司的“止步”點

那么，平臺級公司在安全建設上是不是就沒有樂趣呢？其實這類公司也玩一些小花樣，比如修改SSHD、LVS，加入一些安全特性。可能也會自己定制一個WAF，或者搞搞日志的大數據分析。但比如涉及DPI、全流量入侵檢測、SDN、內核級別的安全機制，基本上都不會介入，對于一個規模不是特別大的平臺級公司的甲方安全團隊而言，這些門檻還是有點高。

4．生態級公司的競技場

生態級公司是不是全領域進軍自己造輪子呢？也不是，主要工作還是在入侵檢測、WAF、掃描器、抗DDoS、日志分析等領域。在SDL環節上可能也會自己研發些工具，但很與比直接使用商業工具更短平快。阿里錢盾、騰訊管家、百度殺毒這些都跟360客戶端一樣與生產網絡沒什么關系，就不去講了。另外自研工具有一個原則：都限定在“民用”領域，不會自己去發明一個RSA算法這樣的東西。

國內的平臺級公司里也有一個例外：數字公司，因為其主營業務是信息安全，所以就沒有安全投資固定占比理論的影響。