1.3 互聯(lián)網(wǎng)企業(yè)和傳統(tǒng)企業(yè)在安全建設(shè)中的區(qū)別

總體來看，傳統(tǒng)企業(yè)偏重管理，有人說是“三分技術(shù)，七分管理”；而互聯(lián)網(wǎng)企業(yè)偏重技術(shù)，我認(rèn)為前面那個三七開可以倒過來。其實這種說法也是不準(zhǔn)確的，到底什么算技術(shù)，什么算管理，這些都沒有明確的定義。安全領(lǐng)域大部分所謂管理不過是組織技術(shù)性的活動而已，充其量叫技術(shù)管理。

先說一下傳統(tǒng)企業(yè)和互聯(lián)網(wǎng)企業(yè)在安全建設(shè)需求上的差異。

傳統(tǒng)企業(yè)安全問題的特征如下：

1）IT資產(chǎn)相對固定。

2）業(yè)務(wù)變更不頻繁。

3）網(wǎng)絡(luò)邊界比較固定。

4）IDC規(guī)模不會很大，甚至沒有。

5）使用基于傳統(tǒng)的資產(chǎn)威脅脆弱性的風(fēng)險管理方法論加上購買和部署商業(yè)安全產(chǎn)品（解決方案）通?？梢愿愣?。

大型互聯(lián)網(wǎng)企業(yè)需要應(yīng)對如下問題：

? 海量IDC和海量數(shù)據(jù)。

? 完全的分布式架構(gòu)。

? 應(yīng)對業(yè)務(wù)的頻繁發(fā)布和變更。

同時架構(gòu)層面需要關(guān)注：高性能、高可用性、（水平）擴展性、TCO（ROI）。

在規(guī)模不大的互聯(lián)網(wǎng)公司，傳統(tǒng)企業(yè)的風(fēng)險管理方法論是可以沿用的。但在大型互聯(lián)網(wǎng)公司，傳統(tǒng)企業(yè)的方法論可能會失效，因為你可能連基礎(chǔ)架構(gòu)上跑什么業(yè)務(wù)都搞不清，想理清所有系統(tǒng)接口間的調(diào)用關(guān)系以及數(shù)據(jù)流去檢視設(shè)計風(fēng)險以及設(shè)置細(xì)粒度的訪問控制就是件不現(xiàn)實的事情。產(chǎn)品線極多時，業(yè)內(nèi)沒有任何一個團隊敢說自己有能力支持全產(chǎn)品線，對于高速發(fā)展的業(yè)務(wù)，當(dāng)你理清了你想要的時，說不定架構(gòu)又發(fā)生變化了。只有對占公司整體營收比較主要的以及培育性質(zhì)的戰(zhàn)略級的核心業(yè)務(wù)，才有必要去深入調(diào)研并隨之更新，其他的主要依靠自動化手段。

1．傳統(tǒng)企業(yè)的安全建設(shè)

從安全建設(shè)上來看，傳統(tǒng)企業(yè)的安全建設(shè)是：在邊界部署硬件防火墻、IPS/IDS、WAF、商業(yè)掃描器、堡壘機，在服務(wù)器上安裝防病毒軟件，集成各種設(shè)備、終端的安全日志建設(shè)SOC，當(dāng)然購買的安全硬件設(shè)備可能遠不止這些。在管理手段上比較重視ISMS（信息安全管理體系）的建設(shè)，重視制度流程、重視審計，有些行業(yè)也必須做等級保護以及滿足大量的合規(guī)性需求。

2．互聯(lián)網(wǎng)企業(yè)的安全建設(shè)

互聯(lián)網(wǎng)可分為生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)，即便最近Google聲稱取消內(nèi)網(wǎng)也是針對辦公網(wǎng)絡(luò)而非生產(chǎn)網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)行業(yè)的大部分安全建設(shè)都圍繞生產(chǎn)網(wǎng)絡(luò)，而辦公網(wǎng)絡(luò)的安全通常只占整體的較小比重。但是某些傳統(tǒng)企業(yè)可能完全沒有生產(chǎn)網(wǎng)絡(luò)而只有辦公網(wǎng)絡(luò)，那么網(wǎng)絡(luò)安全也就變成辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。但我推測，隨著社會“互聯(lián)網(wǎng)+”進程的加速，很多傳統(tǒng)企業(yè)也會有自己的生產(chǎn)網(wǎng)絡(luò)，最終都變成和互聯(lián)網(wǎng)公司一樣的形態(tài)。所以對于那些在給傳統(tǒng)企業(yè)客戶提供咨詢和解決方案的乙方的工程師，如果不學(xué)習(xí)互聯(lián)網(wǎng)安全，也遲早會陷入困境。

互聯(lián)網(wǎng)企業(yè)的生產(chǎn)網(wǎng)絡(luò)中，安全解決方案基本上都是以攻防為驅(qū)動的，怕被黑、怕拖庫、怕被劫持就是安全建設(shè)的最直接的驅(qū)動力?；ヂ?lián)網(wǎng)公司基本不太會考慮等保、合規(guī)這種形而上的需求，只從最實際的角度出發(fā)，這一點是比傳統(tǒng)企業(yè)更務(wù)實的地方。曾遇到過一個例子，說要在服務(wù)器上裝防病毒軟件，推測就知道是傳統(tǒng)企業(yè)的思路，不是沒有真正實踐過互聯(lián)網(wǎng)企業(yè)安全就是沒被業(yè)務(wù)線挑戰(zhàn)過。在大型互聯(lián)網(wǎng)企業(yè)，僅是性能損耗、運維成本和軟件成本這幾條就能分分鐘把這種需求干掉，更不用進入對于服務(wù)器防護這種更實際的話題了。很多標(biāo)準(zhǔn)說到底都是各廠商參與編寫，博弈并達成妥協(xié)，有利于自己產(chǎn)品銷售的代言白皮書，并不是完全站在建設(shè)性的角度的，作為乙方給政企客戶寫解決方案建議書無可厚非，但在互聯(lián)網(wǎng)公司做企業(yè)安全，生搬硬套某些標(biāo)準(zhǔn)就會鬧出笑話來。

3．從量變到質(zhì)變

對于超過一定規(guī)模的大型互聯(lián)網(wǎng)公司，其IT建設(shè)開始進入自己發(fā)明輪子的時代，安全解決方案開始局部或進入全部自研的時代。例如不會購買硬件防火墻，而是用服務(wù)器+Netfilter的方式自建，不會部署硬件IDS/IPS，而是用其他方式來解決這個問題。其實不難理解，規(guī)模小的時候買臺硬件防火墻放在最前面，省事。但是規(guī)模大了，難道去買1000臺硬防放在IDC機房？成本上就沒法通過批準(zhǔn)。再說，基于分布式系統(tǒng)的CAP理論和Map-Reduce衍生的一系列互聯(lián)網(wǎng)架構(gòu)，本質(zhì)上都具有“無限”的擴展能力，而對于傳統(tǒng)的硬件盒子式的解決方案，其設(shè)計大多源于對小型網(wǎng)絡(luò)體系架構(gòu)的理解，基本不具備擴展能力，完全不能適應(yīng)大規(guī)模的互聯(lián)網(wǎng)架構(gòu)。在這種情況下甲方安全團隊自己動手去打造完全圍繞自身業(yè)務(wù)的解決方案也就成必然趨勢。

4．大型互聯(lián)網(wǎng)企業(yè)安全建設(shè)的方法論

自研或?qū)﹂_源軟件進行二次開發(fā)+無限水平擴展的軟件架構(gòu)+構(gòu)建于普通中低端硬件之上（PC服務(wù)器甚至是白牌）+大數(shù)據(jù)機器學(xué)習(xí)的方式，是目前大型互聯(lián)網(wǎng)公司用來應(yīng)對業(yè)務(wù)持續(xù)性增長的主流安全解決方案。是否真的到了機器學(xué)習(xí)階段這個有點難說，但是安全進入大數(shù)據(jù)時代則是肯定的。

與辦公網(wǎng)絡(luò)和雇員信息安全管理相比，互聯(lián)網(wǎng)公司的文化比較開放，一般不太會維持激進的安全政策（對雇員做太多信息安全方面的管制和限制），這點也是跟傳統(tǒng)企業(yè)差別比較大的地方。

也有一些灰色地帶，比如TCO較高的安全方案，一開始沒感覺，但實質(zhì)是吸毒，隨著IDC的規(guī)模擴張，安全的成本越來越大，最后被自己巨大的成本“毒死”。對于做慣傳統(tǒng)行業(yè)解決方案且客戶手里都有大把預(yù)算的顧問來說，對這一點是沒感覺的，幾千萬元的安全整體方案信手拈來，但是放到互聯(lián)網(wǎng)中，一旦業(yè)務(wù)規(guī)模成倍增長，這些方案最終都會走入死胡同。不止是成本，如果不能做到兼顧宿主的性能，安全架構(gòu)隨整個業(yè)務(wù)架構(gòu)水平擴展，保證高可用性，最終安全措施都會走進死胡同。

以安全集成為自身職業(yè)亮點的人如果不積極學(xué)習(xí)，會有很大貶值風(fēng)險，因為以后不需要堆硬件盒子式的解決方案了，就算堆也不再是原來的堆法。