关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


ayazero:互联网企业安全管理和传统行业的区别

2015-06-01 10:36 推荐: 浏览: 76字号:

摘要: 总体来看,传统安全偏重管理,“三分技术,七分管理”,互联网行业偏重技术,我认为应该倒过来。其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义,安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理,如果你较真这些理论那你就掉...

总体来看,传统安全偏重管理,“三分技术,七分管理”,互联网行业偏重技术,我认为应该倒过来。其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义,安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理,如果你较真这些理论那你就掉坑里了。

先说一下传统安全和互联网安全的建设需求上的差异:

传统安全:

  1. IT资产相对固定
  2. 业务变更不频繁
  3. 网络边界比较固定
  4. IDC规模不会很大甚至没有
  5. 使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。

互联网安全生态,对于大型互联网而言,需要应对:

  • 海量IDC和海量数据
  • 完全的分布式架构
  • 应对业务的频繁发布和变更

同时架构层面关注:

  • 高性能
  • 高可用性
  • 扩展性
  • TCO(ROI)

在规模不大的互联网公司,传统的风险管理方法论是可以沿用的,但在大型互联网公司传统的方法论可能会失效,因为你可能连基础架构上跑什么业务都搞不清,你想理清所有的系统接口间的调用关系以及数据流去检视设计风险以及设置细粒度的访问控制就是件不现实的事情,产品线极多时业内没有任何一个团队敢说自己有能力支持全产品线,对于高速发展的业务,当你理清了你想要的说不定架构又发生变化了,只有对占公司整体营收比较主要的以及培育性质的战略级的核心业务才有必要去深入调研并随之update,其他的还是要依靠自动化手段。

从安全建设上来看,传统安全建设:

在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器,堡垒机、在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC,当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS(信息安全管理体系)的建设,重视制度流程、重视审计、有些行业也必须“等保合规”。

其实这里还有一个很大的区别就是,互联网有生产网络和办公网络的概念,即便最近Google声称取消内网也是针对办公网络而非生产网络,互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重。但是对于某些传统公司,他可能完全没有生产网络而只有办公网络,他的网络安全也就变成了办公网络的网络安全。但我推测随着社会互联网+进程的加速,很多传统的公司也会有自己的生产网络,最终都变成和互联网公司一样的形态。所以对于那些在给传统企业客户提供咨询和解决方案的乙方的同学,如果你们不学习互联网安全,也会被淘汰。

互联网的生产网络的解决方案基本上都是以攻防为驱动的,怕被黑、怕拖库、怕被劫持就是安全建设的最直接的驱动力,互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统行业更务实的地方。最近也遇到一个例子,说要在服务器上装防病毒软件,一看就知道是传统行业来的思路,不是没有真正做过互联网企业安全就是没被业务线挑战过,在大型互联网,光是性能损耗、运维成本和软件成本这几条就能分分钟把这种需求干掉,更不用进入对于服务器防护这种更实际的话题了。很多标准说到底都是各厂商参与编写,博弈并达成妥协,有利于自己产品销售的代言白皮书,并不是完全站在建设性的角度的,作为乙方卖卖无脑客户赚点钱自然无可厚非,但在真正的甲方做企业安全生搬硬套是会受到质疑并逐渐失去影响力的。

对于超过一定规模的大型互联网公司,其IT建设开始进入自己发明轮子的时代,安全解决方案开始局部或进入全部自研的时代,例如不会购买硬件防火墙,而是用服务器+Netfilter的方式自建,不会部署硬件IDS/IPS,而是用其他方式来解决这个问题。其实不难理解,规模小的时候买台硬件防火墙放在最前面,省事。但是规模大了我去买1000台硬防放在IDC机房?光¥就受不了啊。其次,基于CAP理论和Map-reduce衍生的一系列互联网架构,本质上都具有“无限”水平扩展能力,而传统的硬件盒子式的解决方案其设计大多源于对过去体系架构的理解,基本不具备扩展能力,完全不能适应大规模的互联网架构,总体上属于相对封闭的单点式防护。在这种情况下甲方安全团队自己动手去打造完全围绕自身业务的解决方案也就成了必然趋势。

自研或对开源软件进行二次开发+无限水平扩展的软件架构+构建于普通中低端硬件之上(PC服务器甚至是白牌)+大数据机器学习的方式是目前大型互联网公司用来应对业务的持续性增长的主流安全解决方案。是否真的到了机器学习阶段这个有点难说,但是安全进入大数据时代则是很稀松平常的事了。

对办公网络和雇员信息安全管理而言,互联网公司的文化比较open,一般不太会维持激进的安全政策,这点也是跟传统行业差别比较大的地方

下一篇继续介绍不同规模企业下的安全管理

作者:

ayazero,华为高端专家,互联网安全、云计算安全首席架构师,前奇虎360技术总监、久游网安全总监、绿盟科技资深安全专家,曾任某webgame公司CTO,白帽子时代是Ph4nt0m的核心成员。国内屈指可数的拥有大型互联网整体安全架构和企业安全管理经验的总监级以上资深从业者。

联系站长租广告位!

中国首席信息安全官
Copy link