----------benjurry----------
我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。
1、为什么互联网公司要有自己的安全团队。
a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障;
b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。
c、和业务结合紧密:互联网公司的安全工作的以公司业务为主要目标,并和公司的业务紧密结合,并要求能落地实施,同时考虑到一些内部机密,不适合外包;
因此大部分都会自己组建安全团队。
2、目前互联网公司安全团队的工作内容、组织架构和人员数量(按公司名字首字母排列)
a,阿里:
阿里是我很佩服的一个公司,非常欣赏他们的商业模式,而且最近几年的技术发展非常快。
目前阿里的安全架构分为阿里集团和各公司相结合的模式,即阿里集团的安全部门统一制定安全策略、安全框架和一些安全系统,各公司在此基础上进行推行,也会在此基础上根据业务的特点来做安全工作。
集团目前的安全组织是安全中心,主要工作是反黑客入侵,并且结合阿里的业务特性(以WEB业务为主),因此在系统、web安全方面的研究是国内互联网公司中最深入的,目前团队30来人左右。但是牛人很多,比如刺、云舒、hawk、wzt等等,交流学习氛围非常不错。
推荐:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html
b,百度
百度的工程师文化非常强,每次和他们的技术人员聊,他们都显示出了很强的自豪感:)
百度的安全建设相对晚一些,目前在组织架构上是放在系统部下,向系统部总监汇报,人员大概在10多个。基于百度的业务特性,百度的安全人员主要也是以WEB和网络安全为主,对反DDOS和web方面的研究自成一套,保障了百度业务的稳定和快速发展。聚集了晓栋、剑心、firefly等牛人,这次百度DNS的事件,我想应该会让Robin更关注安全方面的工作,因此后续的发展应该会更快。
c,盛大
盛大在安全点的方面建设较早(比如密宝),但体系方面的建设才刚起步,并设立了CSO的职位。
盛大的安全工作可以分为:网络安全、帐号安全为主,还包括支付安全、业务连续性、内控等工作。
网络安全主要以传统的反黑客入侵为主,包括网络安全、系统安全、WEB安全等方面;
帐号安全以保障用户帐号安全为主要目标,包括密宝建设、数据分析、帐号安全体系建设,人工干预等方面;
目前安全团队分散在盛大的各个公司,总共有40来人,包括San、段钢、neeao、召唤等人。
d、腾讯
腾讯是目前国内互联网公司中安全建设较早,投入较大的公司,2005年从运维支持部分离出来,成立了安全中心,目前安全中心人数超过120人。
腾讯公司安全中心的工作包括:
a、传统的网络安全;
b、帐号安全;
c、内容安全(反有害信息)
其他方面的安全如:
d、安全政策法规研究
e、内控
f、QQ医生
g、支付安全
则分散在其他相关部门。
由于腾讯的研发能力比较强,因此在安全体系和平台的建设上比较强,开发了自己的WEB扫描器,主机Agent 安全系统,反DDOS 系统,特别值得一提的是他们自己研究出来的网站挂马检测,依托SOSO的爬虫,实时检测互联网的网页,并和多个业务结合,取得了不错的效果。每年举办的安全峰会也取得了一定的成绩。
另外在帐号安全和内容安全方面也取得了较好的技术积累。
腾讯中的牛人包括Coolc、plan9,apollo、xenos、lake等等。
另外sina、sohu、巨人、迅雷、360等互联网公司在安全方面都取得了较好的成绩,由于时间较晚了,我以后再逐步补充。
3、总结
由于最近几年互联网公司发展较快,因此在安全方面的投入较大,同时由于国内法律相对不健全的情况,互联网公司遭遇的安全挑战很大,这也促成了互联网安全团队的快速成长。
但是毕竟术业有专攻,传统的安全公司如绿盟、启明,新型的安全公司如创宇和一些个人在技术方面的研究和积累都是非常深厚的,国际咨询公司在安全管理体系方面的积累也是很强大的。
希望能在大家的一起努力下,加强交流,共同保障互联网的安全。
----------benjurry----------
呵呵,作为论坛的新手,很高兴见到这么多老朋友:)
我现在盛大学习,毕竟在互联网公司待了5,6年,也得到了很多朋友的帮忙,所以略微知道一些互联网公司的情况,其中很多情况也不一定是正确的。
补充sina、sohu、巨人、迅雷、360几个公司的简单情况吧:
1、Sina:
Sina 一直以来都是很大的门户网站,受到的安全挑战也是蛮大的,因此他们成立安全团队也是比较早的,我记得shellcode,cy几个人好像都在sina,他们的脚本检测能力都是非常不错的:)
2、sohu:
Sohu 的安全按照我的理解可以分为3个阶段:
第一阶段好像并不是特别重视;第2阶段为了准备奥运,因此在这块投入了不少人力物力,积累也特别快,在整个奥运过程中,他们也是作出了非常不错的成绩的,蜘蛛(cu的负责人)、杨勇等好多人都在这个团队中;
第3阶段是搜狐的畅游,由于游戏增长很快,因此他们在游戏的安全方面也增强了不少。
原来运维和安全的负责人周总升到了VP,我想对安全和运维的投入也应该会更强。
3、迅雷
前几年迅雷的发展非常快,然而在2008年左右,一系列的客户端漏洞被公布出来。这个时候包子加入到迅雷成立了安全团队,并增加了小胖等学习能力非常不错的年轻人,取得了较好的成绩。
特别值得一提的是迅雷在内部推广SDL方面还是取得了非常好的成绩的,目前相对来说迅雷的客户端还是比较安全的。
4、360
360从业务来讲,是做安全行业的,因此他的安全团队和其他互联网安全团队有点不太一样,360的安全团队更多的是focus 在系统这一块,并且招揽了一大批国内在内核、杀毒方面非常强的人,像pjf、墨者团队和mj等,都是技术非常不错的人。
从以上的分析可以看出,每个互联网公司的安全团队都是比较有鲜明特点的,比如阿里和百度,由于他们公司的业务模式比较偏多于web,因此他们的安全积累比较多的在web方面;迅雷和腾讯则是以客户端起家的,因此安全团队在客户端方面就会比较关注,如软件的安全检测、fuzzing,漏洞报告机制以及软件漏洞自动补丁升级机制就会考虑的多一些;盛大以游戏起家,因此就会更多关注游戏的安全;而360是以反流氓和木马起家的,因此在内核的研究上就会有更多的积累。
另外有一点,我特别感受深刻的是:
安全毕竟是支持部门,因此必须要紧密结合业务,这样安全人员的发展空间才会更大,安全人员在公司的地位才会更高,安全人员为企业创造的价值也才会越大。
比如我在腾讯,刚开始以传统的网络安全为切入点,后续稳定下来后,公司对安全的重视就会降低;因此我们就趁机关注在反盗号上,为公司解决了最为头疼的盗号问题;再往后,发现内容安全越来越成为重点,因此又组建团队深入到内容安全方面的工作中。
只有这样,我们安全人员才能解决企业头疼的问题,发挥自身的价值,同时也获得公司的认可,我们的职业发展才能更好。
比如sina 目前以后可以发展的安全方向就是内容安全(用户评论、微博),云安全(sina推出了app engine);
阿里除了传统的网络安全外,很关心的就是支付风控(帐号被盗、欺诈)、云安全(阿里云是个很大的团队);
百度除了传统的安全外,点击欺诈是公司很关注的一点,如果能解决这里的问题,对百度的安全团队也是个很大的提升。
我们盛大的安全会在微支付、云计算、物联网方面遭遇很大的安全挑战,也真是因为这样的挑战,我们才能有更大的发展空间:)
----------likeboy----------
我来补充一下巨人的吧……
巨人前两年发展非常快,很多员工是由盛大跳到巨人。目前巨人的安全分成3块。
1.账号安全 2.运维安全 3.信息安全
由于之前巨人曾经遭遇 黑客入侵 和 员工泄密 导致游戏代码外泄
因此公司对安全方面较为重视
目前巨人负责安全的人数约在20人左右
其中有卫鹏飞领衔的安全实验室与巨盾安全实验室合作研发 面向所有游戏玩家的巨盾产品
公司运维中心通过ISO20000认证
集团公司通过ISO27001认证
应该是目前为数不多的通过两项认证的游戏公司
我自己就不自吹自擂了,目前专心读研,努力充电
期待后面 9you 网龙 等游戏公司 ^_^
----------职业欠钱----------
我介绍一下久游的安全团队吧。
照抄凌云总的一笔带过体:
久游前两年发展比较快,安全团队成立的时间比较短,前期主要是做运维和内部的安全,反黑客入侵方面花的心思比较多。
后期和典型的技术团队略有区别,
我们做了一些IT治理的事情,协助运维团队,在流程、IT风险控制方面从原始的管理方式向正规军靠拢,目前一阶段的流程梳理和制度建设已经完成。
另外一方面,我们努力扮演技术与管理方面的顾问角色,帮助其他团队解决一些问题,类似于内部的咨询服务。
目前一些常见的技能输出已经基本到位,大部分问题运维的底层人员已经熟练掌握。
团队人数在10人左右,下阶段可能会效仿腾讯,盛大,往技术开发方面继续深入核心业务。
补充一句:
安全团队除了要往核心业务靠拢之外,也受限于安全团队在整体架构中的位置和leader的技能、视野。
另外,公司也有一支反外挂的队伍,以游戏内容安全为中心,他们的工作也非常努力并且有明显的成效,在此不作详细点评。
----------ayazero----------
我补充一下吧,久游网的安全团队成立于06年下半年,相对于其他的互联网公司比较晚,起初只有我一个光杆司令,那时刚从绿盟出来,思路主要也是原来安全服务团队以及我所属的技术组织PST的一些思路
一开始在反黑客方面花了比较大的精力,在初步解决了IT基础设施和APP层面的安全之后,开始着手建立ISMS,将安全审计嵌入所有的生产环节。在ISMS完成之后,我们决定继续拓展“业务”并壮大队伍。
在公司的整个技术团队中以领导者的身份建立了运维管理体系,在核心运维团队中实现了ITIL本地化运作,同步进行了游戏核心业务流程的BPR
在技术方向上对公司内所有的IT系统分类分级,实施了DRP,尤其是核心billing&账户中心建立了异地多点灾备、切换方案以及培训和演练等
我们提倡顾问角色服务于“内部客户”(部门)的概念,日常为老板及其他团队提供各种支持,例如APP架构&性能优化、开发工具,流程和KPI,KM等
目前着手建立大规模集中管理&智能监控平台,后续还有一些保密项目
----------ayazero----------
通用型的产品,例如高端硬件FW,抗DDOS这些应该还是有市场的
漏洞管理,俗称scanner看甲方Team的偏好了,如果网络层和主机层面的访问控制和补丁管理做得好,估计也就只能扫出一些apache版本低之类的,意义不大,当然有钱烧可以买来当玩具玩玩
内网的终端管理例如SEP等应该是有市场的,无论如何其所属行业如何,互联网公司的办公网络也是一个正常的公司内部网络,研发体系可能有些特殊,不过至少在运营体系是适用的
至于IDS,有钱的话可以买来玩玩,自定义一些规则干脆把IDS当成一个大型抓包器。如果主机和网络层面的监控做的比较好的话,IDS这种也就可有可无了。主机层面的关键变更、安全入侵行为的监控相对而言比较重要,不过通用型的HIPS在这里不一定适用
NIPS估计没人会买
还有一些产品即使买了也要做二次开发,这就要从ROI的角度衡量到底是采购还是自己开发,如果甲方自身有比较周全的大平台建设规划或是对IT架构的主导性比较强,可能会更亲倾向于自己开发
甲方的大牛们之所以对乙方的解决方案兴趣不大我个人觉得是因为这些东西相对而言比较基础,属于甲方安全建设初级阶段的部署,还不够贴近应用和深入业务,凸显不了安全团队的价值和个人能力(通俗的讲这些根本就不是谈资)
相比之下也许甲方人员更愿意聊些深入Web产品,游戏内容安全,虚拟,云计算,或者是关乎本行业本公司内价值链上下(支付等)相关的安全
至于乙方的安全服务是否有价值应该是因人而异,我做乙方的时候也服务过一些知名的互联网公司,他们的特点往往是安全团队的力量不太强,主管领导希望寻找一家外部机构的审计结果作为互补,或是偏向于外包和责任转嫁的模式
如果我是甲方的安全管理者,选择乙方服务的概率可能比较低,SOX合规性,ISMS,风险评估,渗透测试,安全监控、加固,应急响应,代码审计,黑盒测试什么的感觉自己都能做,自己做更放心一些,呵呵
----------网路游侠----------
自我感觉在这么牛叉的帖子上,不写几句对不住各位大牛
特别是久违了的、一直敬仰的benjurry兄
1、互联网公司的业务必然是有侧重的。比如腾讯、迅雷以客户端安全为主;淘宝、百度以WEB安全为主。所有的都在围绕其核心业务。
2、腾讯、百度、阿里系,毫无疑问的在第一团队。也可以看出来这和他们的历史、盈利能力成正比。
3、网游公司关注点必然是账号安全、运维管理。和1说的一样,这是他们的核心业务
4、很多当年《黑客防线》还是双月刊的时候的人,现在都在这些公司挑大梁了 ,很高兴。同时也感觉压力很大,自己的路还很长!
5、慢慢的,很多人不再搞纯技术,而转向安全管理。身边越来越多的人如此,实际上如果能过上小康生活,那么搞纯技术的人要多的多,但是越来越多的兄弟开始换方向,毕竟,生存是第一目标。当然,这个扯远了。
甲方自己开发产品的侧重点必然是针对自己的核心业务,这个某些可以复制,但如果拿到市面上来卖,可能效果不好,因为技术,对本文提到的这些公司来说不是问题,但是对大众用户而言,很多用户ls都不知道什么意思,操作太难了。呵呵
----------帖子内容来自华安论坛,版权归原作者----------