Loading

互联网企业安全

互联网企业安全现状

CSO:安全管理者

(1)现在安全行业里除了显得有些务虚的安全理论之外,就是一边倒的功防,要么就是过于超前,浮在表面没有落地方案的新概念,这些声音对企业安全实操都缺乏积极的意义

(2)很多概念过去就有,但是没能得到重视,或者缺少实践(纵深防御类的概念在ISS没被IBM收购之前就有了)

(3)很多安全公司的顾问或工程师都没有企业安全管理的真正经验

(4)很多安全企业不会自己去造轮子,或者去造一个比如WAF这样的工具,但你可能很少会像微软那样要自己去搞一个EMET这种涉及安全机制层面的东西

(5)互联网安全不应只关注入侵检测,漏洞扫描等,更应该从建设者/金字塔视角看待以及分析安全问题

(6)互联网企业的生产网络中,安全解决方案基本都是以攻防为驱动的,怕被黑,怕拖库,怕被劫持是安全建设最基本的动力

(7)小企业对于安全不够重视(就像你有100万的时候,让你花2万买个保险箱装它你觉得值;当你有2万的时候,让你买一个8000元的保险箱,大部分人都不会愿意)

(8)创业型公司不会把安全放在第一位,而是务实和简单

(9)安全的工程化以及体系化的安全架构设计能力是业内的普遍软肋

互联网企业安全发展

(1)云服务器的使用和普及

(2)IT建设开始进入自己造轮子的时代,安全解决方案开始局部进入自研的阶段

(3)企业安全不是发现漏洞后修补漏洞,再设置下防火墙之类的工作。

    整体解决方案: 组织 + 管理 + 技术

企业安全问题影响因素

(1)成本:硬件IDS/IPS  -->  服务器+Netfilter的方式自建

(2)办公网络与生产网络

(3)宿主性能:安全架构拓展性,高可用性

对于团队

组成: 对于较大型平台级公司而言,需要有 经验丰富的Leader,必须要有在 运维安全Web应用安全PC端安全移动端App安全能独当一面的人才,如果业务安全仍有空白,还需要筹建业务安全团队

 

对于安全人员

(1)成为领导者/带队者:视野和思路开阔,沟通力,社会影响力

(2)积极学习:以后不再需要堆硬件盒子式的解决方案了,就算堆也不是原来的堆法了

  

我的一些思考

集成化,自动化,智能化

全局化,统筹化,

posted @ 2017-01-21 18:44  ssooking  阅读(311)  评论(0编辑  收藏  举报