1)網(wǎng)絡(luò)安全:基礎(chǔ)、狹義但核心的部分,以計(jì)算機(jī)(PC、服務(wù)器、小型機(jī)、BYOD……)和網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)安全,主要聚焦在純技術(shù)層面。
2)平臺(tái)和業(yè)務(wù)安全:跟所在行業(yè)和主營業(yè)務(wù)相關(guān)的安全管理,例如反欺詐,不是純技術(shù)層面的內(nèi)容,是對(duì)基礎(chǔ)安全的拓展,目的性比較強(qiáng),屬于特定領(lǐng)域的安全,不算廣義安全。
3)廣義的信息安全:以IT為核心,包括廣義上的“Information”載體:除了計(jì)算機(jī)數(shù)據(jù)庫以外,還有包括紙質(zhì)文檔、機(jī)要,市場戰(zhàn)略規(guī)劃等經(jīng)營管理信息、客戶隱私、內(nèi)部郵件、會(huì)議內(nèi)容、運(yùn)營數(shù)據(jù)、第三方的權(quán)益信息等,但凡你想得到的都在其中,加上泛“Technology”的大安全體系。
4)IT風(fēng)險(xiǎn)管理、IT審計(jì)&內(nèi)控:對(duì)于中大規(guī)模的海外上市公司而言,有諸如SOX-404這樣的合規(guī)性需求,財(cái)務(wù)之外就是IT,其中所要求的在流程和技術(shù)方面的約束性條款跟信息安全管理重疊,屬于外圍和相關(guān)領(lǐng)域,而信息安全管理本身從屬于IT風(fēng)險(xiǎn)管理,是CIO視角下的一個(gè)子領(lǐng)域。
5)業(yè)務(wù)持續(xù)性管理:BCM(Business Continuity Management)不屬于以上任何范疇,但又跟每一塊都有交集,如果你覺得3)和4)有點(diǎn)虛,那么BCM絕對(duì)是面向?qū)嵅俚念I(lǐng)域。最近,有網(wǎng)易、中有支付寶、后有攜程,因?yàn)楦鞣N各樣的原因業(yè)務(wù)中斷,損失巨大都屬于BCM的范疇。
狹義安全主要對(duì)接運(yùn)維開發(fā)等技術(shù)面公司同僚,但是廣義安全會(huì)對(duì)接整個(gè)公司的各個(gè)部門,對(duì)于溝通面的挑戰(zhàn)來說,又上了一個(gè)新的臺(tái)階,在我看來這主要取決于安全的領(lǐng)隊(duì)人物自己擁有什么樣的知識(shí)結(jié)構(gòu)以及他的推動(dòng)能力如何。
在互聯(lián)網(wǎng)行業(yè),安全工作可以概括為以下幾個(gè)方面:
? 信息安全管理(設(shè)計(jì)流程、整體策略等),這部分工作約占總量的10%,比較整體,跨度大,但工作量不多。
? 基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)安全:IDC、生產(chǎn)網(wǎng)絡(luò)的各種鏈路和設(shè)備、服務(wù)器、大量的服務(wù)端程序和中間件,數(shù)據(jù)庫等,偏運(yùn)維側(cè),跟漏洞掃描、打補(bǔ)丁、ACL、安全配置、網(wǎng)絡(luò)和主機(jī)入侵檢測等這些事情相關(guān)性比較大,約占不到30%的工作量。
? 應(yīng)用與交付安全:對(duì)各BG、事業(yè)部、業(yè)務(wù)線自研的產(chǎn)品進(jìn)行應(yīng)用層面的安全評(píng)估,代碼審計(jì),滲透測試,代碼框架的安全功能,應(yīng)用層的防火墻,應(yīng)用層的入侵檢測等,屬于有點(diǎn)“繁瑣”的工程,“撇不掉、理還亂”,大部分甲方團(tuán)隊(duì)都沒有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)量龐大的代碼,沒有能力去實(shí)踐完整的SDL,這部分是當(dāng)下比較有挑戰(zhàn)的安全業(yè)務(wù),整體比重大于30%,還在持續(xù)增長中。
? 業(yè)務(wù)安全:上面提到的2),包括賬號(hào)安全、交易風(fēng)控、征信、反價(jià)格爬蟲、反作弊、反bot程序、反欺詐、反釣魚、反垃圾信息、輿情監(jiān)控(內(nèi)容信息安全)、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報(bào)等,是在“吃飽飯”之后“思淫欲”的進(jìn)階需求,在基礎(chǔ)安全問題解決之后,越來越受到重視的領(lǐng)域。整體約占30%左右的工作量,有的甚至大過50%。這里也已經(jīng)紛紛出現(xiàn)乙方的創(chuàng)業(yè)型公司試圖解決這些痛點(diǎn)。