互联网企业安全

互联网企业安全现状

CSO：安全管理者

（1）现在安全行业里除了显得有些务虚的安全理论之外，就是一边倒的功防，要么就是过于超前，浮在表面没有落地方案的新概念，这些声音对企业安全实操都缺乏积极的意义

（2）很多概念过去就有，但是没能得到重视，或者缺少实践（纵深防御类的概念在ISS没被IBM收购之前就有了）

（3）很多安全公司的顾问或工程师都没有企业安全管理的真正经验

（4）很多安全企业不会自己去造轮子，或者去造一个比如WAF这样的工具，但你可能很少会像微软那样要自己去搞一个EMET这种涉及安全机制层面的东西

（5）互联网安全不应只关注入侵检测，漏洞扫描等，更应该从建设者/金字塔视角看待以及分析安全问题

（6）互联网企业的生产网络中，安全解决方案基本都是以攻防为驱动的，怕被黑，怕拖库，怕被劫持是安全建设最基本的动力

（7）小企业对于安全不够重视（就像你有100万的时候，让你花2万买个保险箱装它你觉得值；当你有2万的时候，让你买一个8000元的保险箱，大部分人都不会愿意）

（8）创业型公司不会把安全放在第一位，而是务实和简单

（9）安全的工程化以及体系化的安全架构设计能力是业内的普遍软肋

互联网企业安全发展

（1）云服务器的使用和普及

（2）IT建设开始进入自己造轮子的时代，安全解决方案开始局部进入自研的阶段

（3）企业安全不是发现漏洞后修补漏洞，再设置下防火墙之类的工作。

　　  整体解决方案： 组织 + 管理 + 技术

企业安全问题影响因素

（1）成本：硬件IDS/IPS  -->  服务器+Netfilter的方式自建

（2）办公网络与生产网络

（3）宿主性能：安全架构拓展性，高可用性

对于团队

组成： 对于较大型平台级公司而言，需要有 经验丰富的Leader，必须要有在 运维安全，Web应用安全，PC端安全，移动端App安全能独当一面的人才，如果业务安全仍有空白，还需要筹建业务安全团队

 

对于安全人员

（1）成为领导者/带队者：视野和思路开阔，沟通力，社会影响力

（2）积极学习：以后不再需要堆硬件盒子式的解决方案了，就算堆也不是原来的堆法了

　　

我的一些思考

集成化，自动化，智能化

全局化，统筹化，