1.2 企業(yè)安全包括哪些事情

企業(yè)安全涵蓋7大領(lǐng)域，如下所示：

1）網(wǎng)絡(luò)安全：基礎(chǔ)、狹義但核心的部分，以計(jì)算機(jī)（PC、服務(wù)器、小型機(jī)、BYOD……）和網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)安全，主要聚焦在純技術(shù)層面。

2）平臺(tái)和業(yè)務(wù)安全：跟所在行業(yè)和主營(yíng)業(yè)務(wù)相關(guān)的安全管理，例如反欺詐，不是純技術(shù)層面的內(nèi)容，是對(duì)基礎(chǔ)安全的拓展，目的性比較強(qiáng)，屬于特定領(lǐng)域的安全，不算廣義安全。

3）廣義的信息安全：以IT為核心，包括廣義上的“Information”載體：除了計(jì)算機(jī)數(shù)據(jù)庫(kù)以外，還有包括紙質(zhì)文檔、機(jī)要，市場(chǎng)戰(zhàn)略規(guī)劃等經(jīng)營(yíng)管理信息、客戶隱私、內(nèi)部郵件、會(huì)議內(nèi)容、運(yùn)營(yíng)數(shù)據(jù)、第三方的權(quán)益信息等，但凡你想得到的都在其中，加上泛“Technology”的大安全體系。

4）IT風(fēng)險(xiǎn)管理、IT審計(jì)&內(nèi)控：對(duì)于中大規(guī)模的海外上市公司而言，有諸如SOX-404這樣的合規(guī)性需求，財(cái)務(wù)之外就是IT，其中所要求的在流程和技術(shù)方面的約束性條款跟信息安全管理重疊，屬于外圍和相關(guān)領(lǐng)域，而信息安全管理本身從屬于IT風(fēng)險(xiǎn)管理，是CIO視角下的一個(gè)子領(lǐng)域。

5）業(yè)務(wù)持續(xù)性管理：BCM（Business Continuity Management）不屬于以上任何范疇，但又跟每一塊都有交集，如果你覺(jué)得3）和4）有點(diǎn)虛，那么BCM絕對(duì)是面向?qū)嵅俚念I(lǐng)域。最近，有網(wǎng)易、中有支付寶、后有攜程，因?yàn)楦鞣N各樣的原因業(yè)務(wù)中斷，損失巨大都屬于BCM的范疇。有人會(huì)問(wèn)：這跟安全有什么關(guān)系？安全是影響業(yè)務(wù)中斷的很大一部分可能因素，例如DDoS，入侵導(dǎo)致必須關(guān)閉服務(wù)自檢，數(shù)據(jù)丟失，用戶隱私泄露等。又會(huì)有人問(wèn)：這些歸入安全管理即可，為什么要跟BCM扯上關(guān)系，做安全的人可以不管這些嗎？答案自然是可以不管，就好像說(shuō)：“我是個(gè)Java程序員，JVM、dalvik（ART）運(yùn)行原理不知道又有什么關(guān)系，完全不影響我寫(xiě)代碼！” 事實(shí)上，BCM提供了另一種更高維度、更完整的視角來(lái)看待業(yè)務(wù)中斷的問(wèn)題。對(duì)于安全事件，它的方法論也比單純的ISMS更具有可操作性，對(duì)業(yè)務(wù)團(tuán)隊(duì)更有親和力，因?yàn)槟阒廊魏我园踩珗F(tuán)隊(duì)自我為中心的安全建設(shè)都難以落地，最終都不會(huì)做得很好。

6）安全品牌營(yíng)銷、渠道維護(hù)：CSO有時(shí)候要做一些務(wù)虛的事情，例如為品牌的安全形象出席一些市場(chǎng)宣介，presentation。籠統(tǒng)一點(diǎn)講，現(xiàn)在SRC的活動(dòng)基本也屬于這一類。

7）CXO們的其他需求：俗稱打雜。這里你不要理解為讓安全團(tuán)隊(duì)去攻擊一下競(jìng)爭(zhēng)對(duì)手的企業(yè)這樣負(fù)面向的事情，而是有很多公司需要做，但運(yùn)維開(kāi)發(fā)都不干，干不了或者不適合干的事情，安全團(tuán)隊(duì)能力強(qiáng)大時(shí)可以承包下來(lái)的部分，事實(shí)上我的職業(yè)生涯里就做了不少這樣的事情。

基礎(chǔ)的網(wǎng)絡(luò)安全是在甲方的絕大多數(shù)安全團(tuán)隊(duì)能覆蓋的事情，不管你的安全團(tuán)隊(duì)能力如何，在公司里有無(wú)影響力，這個(gè)是必須要做的，因?yàn)檫@是把你招過(guò)來(lái)的初衷。再往后的發(fā)展，是否止于此則看個(gè)人的想法。對(duì)于沉醉攻防技術(shù)的人，其實(shí)不需要往后發(fā)展了，這些足夠了。但如果你的安全團(tuán)隊(duì)富有活力和想法，即便你想止于此他們也不干，把部門(mén)做大做強(qiáng)是這些人的愿望，只有這樣才能給安全團(tuán)隊(duì)更大的空間。這點(diǎn)跟乙方是不一樣的，對(duì)于乙方而言，你可以在某個(gè)單點(diǎn)領(lǐng)域上無(wú)限深挖，而不會(huì)遇到天花板，因?yàn)槟闶冀K是在滿足主營(yíng)業(yè)務(wù)的需求，即使你成為骨灰級(jí)的專家，公司也會(huì)對(duì)你在某方面創(chuàng)新有所期待而給你持續(xù)發(fā)展的可能性。但是在甲方，安全不是主營(yíng)業(yè)務(wù)，歸根結(jié)底，安全是一個(gè)保值型的后臺(tái)職能，不是一個(gè)明顯能創(chuàng)造收益的前臺(tái)職能，是一個(gè)成本中心而非盈利中心。安全成本的大小跟業(yè)務(wù)規(guī)模以及公司盈利能力相關(guān)，公司發(fā)展時(shí)預(yù)算和人員編制都會(huì)增加，業(yè)務(wù)停滯時(shí)安全做得再好也不會(huì)追加投入，因?yàn)闊o(wú)此必要。反面的例子也有：做得不好反而追加投入的，那是一種政治技巧而非現(xiàn)實(shí)需要。在乙方，無(wú)論你的漏洞挖掘技能多厲害，公司都不會(huì)跳出來(lái)說(shuō)“你已經(jīng)超出我們需求了，你還是去更強(qiáng)大的公司吧”（通常情況下）。但是在甲方，假設(shè)是在一個(gè)國(guó)內(nèi)排名大約TOP5以后的互聯(lián)網(wǎng)企業(yè)，養(yǎng)一個(gè)漏洞挖掘的大牛也會(huì)令人很奇怪，他是在給企業(yè)創(chuàng)造價(jià)值還是在自?shī)首詷?lè)是會(huì)受到質(zhì)疑的，CSO也會(huì)被質(zhì)疑是否花了大價(jià)錢(qián)挖來(lái)的人不是出于業(yè)務(wù)需要而是用于擴(kuò)大自己團(tuán)隊(duì)在業(yè)內(nèi)影響力這種務(wù)虛的事。假如公司到了Google這種級(jí)別，有一大堆產(chǎn)品，儲(chǔ)備大牛則是順利成章的，業(yè)務(wù)上顯然是有這種需求的。不過(guò)還要看產(chǎn)出是否對(duì)主營(yíng)業(yè)務(wù)有幫助，工作成果不能轉(zhuǎn)化為主營(yíng)業(yè)務(wù)競(jìng)爭(zhēng)力的嘗試性活動(dòng)在公司有錢(qián)的時(shí)候無(wú)所謂，在公司收緊腰帶時(shí)則其存在價(jià)值就有爭(zhēng)議。

以狹義的安全垂直拓展去發(fā)展甲方安全團(tuán)隊(duì)的思路本質(zhì)上是個(gè)不可控的想法，籌碼不在CSO手中，甚至不在CTO手中，而是看主營(yíng)業(yè)務(wù)的晴雨表，甲方安全是要看“臉”的，這個(gè)臉還不是指跨部門(mén)溝通合作，而是在最原始的需求出發(fā)點(diǎn)上受限于他們。因此有想法的安全團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面做得比較成熟時(shí)會(huì)轉(zhuǎn)向平臺(tái)和業(yè)務(wù)安全，平臺(tái)和業(yè)務(wù)安全是一個(gè)很大的領(lǐng)域，發(fā)展得好，安全團(tuán)隊(duì)的規(guī)模會(huì)擴(kuò)大2倍，3倍，并且在企業(yè)價(jià)值鏈中的地位會(huì)逐漸前移，成為運(yùn)營(yíng)性質(zhì)的職能，結(jié)合BCM真正成為一個(gè)和運(yùn)維、開(kāi)發(fā)并駕齊驅(qū)的大職能。

BCM在很多人眼里就是DR（Disaster Recovery，災(zāi)難恢復(fù)）, DR其實(shí)只是BCM中的一個(gè)點(diǎn)，屬于下層分支。不過(guò)這對(duì)技術(shù)領(lǐng)域的人而言是最直觀的部分，DR在互聯(lián)網(wǎng)企業(yè)里由基礎(chǔ)架構(gòu)部門(mén)或運(yùn)維主導(dǎo)。不過(guò)強(qiáng)勢(shì)的甲方安全團(tuán)隊(duì)其實(shí)也是能參與其中的，而B(niǎo)CP（Business Continuity Plan，業(yè)務(wù)持續(xù)性計(jì)劃）中的很大一部分跟安全相關(guān)，我之前也主導(dǎo)過(guò)BCP&DRP（Disaster Recovery Plan，災(zāi)難恢復(fù)計(jì)劃），受益于綠盟那個(gè)年代的教育不只是攻防，而是完整的信息安全和風(fēng)險(xiǎn)管理。有興趣的讀者可以看一下BS25999 （BCM的一個(gè)標(biāo)準(zhǔn)）。

廣義的信息安全，比較直觀的映射就是ISO2700x系列，行業(yè)里的絕大多數(shù)人都知道ISO27001和BS7799，這里就不展開(kāi)了，對(duì)真正有安全基礎(chǔ)的人而言，都是很簡(jiǎn)單的東西。在企業(yè)里能否做到廣義的安全，主要看安全負(fù)責(zé)人和安全團(tuán)隊(duì)在公司里的影響力，對(duì)上沒(méi)有影響力，沒(méi)有詮釋利害關(guān)系和游說(shuō)的能力，自然也就做不到這些。另一方面，狹義安全主要對(duì)接運(yùn)維開(kāi)發(fā)等技術(shù)面公司同僚，但是廣義安全會(huì)對(duì)接整個(gè)公司的各個(gè)部門(mén)，對(duì)于溝通面的挑戰(zhàn)來(lái)說(shuō)，又上了一個(gè)新的臺(tái)階，在我看來(lái)這主要取決于安全的領(lǐng)隊(duì)人物自己擁有什么樣的知識(shí)結(jié)構(gòu)以及他的推動(dòng)能力如何。

在企業(yè)完全涉及的7大領(lǐng)域中，對(duì)于第4）條，如果你所在的組織有這方面的需求，安全職能自然也會(huì)參與其中，是否刻意去發(fā)展他則看自己需求，對(duì)我朋友中某些做過(guò)IT治理和風(fēng)險(xiǎn)咨詢的人，相信是有能力一并吃下的，如果是技術(shù)派，不建議去嘗試。

第6）條屬于水到渠成的事情，到了那一步你自然需要考慮，就算你不想，公司也會(huì)讓你去，就像我現(xiàn)在明明做技術(shù)活，卻也不知道為什么會(huì)跟這一類事情掛上鉤。

第7）條有人看時(shí)自動(dòng)過(guò)濾了，不過(guò)安全負(fù)責(zé)人自身是否有瓶頸，能否在企業(yè)里發(fā)展起來(lái)跟這條有很大關(guān)系，甚至有很多從1）發(fā)展到2）、3）的人都需要借助7）這個(gè)渠道，點(diǎn)到為止，不多說(shuō)了。

對(duì)于互聯(lián)網(wǎng)公司，我建議做1）、2）、5）；對(duì)于傳統(tǒng)行業(yè)，我建議做1）、3）、4）、5）。

在互聯(lián)網(wǎng)行業(yè)，我覺(jué)得安全工作可以概括為以下幾個(gè)方面：

? 信息安全管理（設(shè)計(jì)流程、整體策略等），這部分工作約占總量的10%，比較整體，跨度大，但工作量不多。

? 基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)安全：IDC、生產(chǎn)網(wǎng)絡(luò)的各種鏈路和設(shè)備、服務(wù)器、大量的服務(wù)端程序和中間件，數(shù)據(jù)庫(kù)等，偏運(yùn)維側(cè)，跟漏洞掃描、打補(bǔ)丁、ACL、安全配置、網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)等這些事情相關(guān)性比較大，約占不到30%的工作量。

? 應(yīng)用與交付安全：對(duì)各BG、事業(yè)部、業(yè)務(wù)線自研的產(chǎn)品進(jìn)行應(yīng)用層面的安全評(píng)估，代碼審計(jì)，滲透測(cè)試，代碼框架的安全功能，應(yīng)用層的防火墻，應(yīng)用層的入侵檢測(cè)等，屬于有點(diǎn)“繁瑣”的工程，“撇不掉、理還亂”，大部分甲方團(tuán)隊(duì)都沒(méi)有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)量龐大的代碼，沒(méi)有能力去實(shí)踐完整的SDL，這部分是當(dāng)下比較有挑戰(zhàn)的安全業(yè)務(wù)，整體比重大于30%，還在持續(xù)增長(zhǎng)中。

? 業(yè)務(wù)安全：上面提到的2），包括賬號(hào)安全、交易風(fēng)控、征信、反價(jià)格爬蟲(chóng)、反作弊、反bot程序、反欺詐、反釣魚(yú)、反垃圾信息、輿情監(jiān)控（內(nèi)容信息安全）、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報(bào)等，是在“吃飽飯”之后“思淫欲”的進(jìn)階需求，在基礎(chǔ)安全問(wèn)題解決之后，越來(lái)越受到重視的領(lǐng)域。整體約占30%左右的工作量，有的甚至大過(guò)50%。這里也已經(jīng)紛紛出現(xiàn)乙方的創(chuàng)業(yè)型公司試圖解決這些痛點(diǎn)。

對(duì)整體介紹的部分在前面的篇幅講得比較多，主要目的是希望“視野”部分不縮水，這些概念在后面篇幅都不打算再展開(kāi)了。