曾遇到过一个例子,说要在服务器上装防病毒软件,推测就知道是传统企业的思路,不是没有真正实践过互联网企业安全就是没被业务线挑战过。在大型互联网企业,仅是性能损耗、运维成本和软件成本这几条就能分分钟把这种需求干掉,更不用进入对于服务器防护这种更实际的话题了。很多标准说到底都是各厂商参与编写,博弈并达成妥协,有利于自己产品销售的代言白皮书,并不是完全站在建设性的角度的。
1.传统企业的安全建设从安全建设上来看,传统企业的安全建设是:在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC,当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS(信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足大量的合规性需求。
2.互联网企业的安全建设互联网可分为生产网络和办公网络,即便最近Google声称取消内网也是针对办公网络而非生产网络。互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重。但是某些传统企业可能完全没有生产网络而只有办公网络,那么网络安全也就变成办公网络的网络安全。但我推测,随着社会“互联网+”进程的加速,很多传统企业也会有自己的生产网络,最终都变成和互联网公司一样的形态。
所以对于那些在给传统企业客户提供咨询和解决方案的乙方的工程师,如果不学习互联网安全,也迟早会陷入困境。互联网企业的生产网络中,安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖库、怕被劫持就是安全建设的最直接的驱动力。互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方。