■黃閃

安全教育企業(yè)安全涵蓋哪些內(nèi)容？

■黃閃

安全教育大致分為以下幾方面：

（1）網(wǎng)絡(luò)安全：基礎(chǔ)、狹義但核心的部分，以計(jì)算機(jī)（PC、服務(wù)器、小型機(jī)、BYOD……）和網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)安全，主要聚焦在純技術(shù)層面。

（2）平臺(tái)和業(yè)務(wù)安全：跟所在行業(yè)和主營(yíng)業(yè)務(wù)相關(guān)的安全管理，例如反欺詐，不是純技術(shù)層面的內(nèi)容，是對(duì)基礎(chǔ)安全的拓展，目的性比較強(qiáng)，屬于特定領(lǐng)域的安全，不算廣義安全。

（3）廣義的信息安全：以IT兩個(gè)字為核心，包括廣義上的“Information”載體：計(jì)算機(jī)數(shù)據(jù)庫(kù)意外還有包括紙質(zhì)文檔、機(jī)要，市場(chǎng)戰(zhàn)略規(guī)劃等經(jīng)營(yíng)管理信息、客戶隱私、內(nèi)部郵件、會(huì)議內(nèi)容、運(yùn)營(yíng)數(shù)據(jù)、第三方的權(quán)益信息等但凡你想得到的都在其中，加上泛“Technology”的大安全體系。

（4）IT風(fēng)險(xiǎn)管理、IT審計(jì)&內(nèi)控：對(duì)于中大規(guī)模的海外上市公司而言，有諸如SOX-404這樣的合規(guī)性需求，財(cái)務(wù)之外就是IT，其中所要求的在流程和技術(shù)方面的約束性條款跟信息安全管理重疊，屬于外圍和相關(guān)領(lǐng)域，而信息安全管理本身從屬于IT風(fēng)險(xiǎn)管理，是CIO視角下的一個(gè)子領(lǐng)域。

（5）業(yè)務(wù)持續(xù)性管理：BCM（Business Continuity Management）不屬于以上任何范疇、但又跟每一塊都有交集，如果你覺(jué)得3和4有點(diǎn)虛，那么BCM絕對(duì)是面向?qū)嵅俚念I(lǐng)域。最近前有網(wǎng)易、中有支付寶、后又?jǐn)y程，因?yàn)楦鞣N各樣的原因業(yè)務(wù)中斷，損失巨大都屬于BCM的范疇。有人會(huì)問(wèn)這跟安全有什么關(guān)系？安全是影響業(yè)務(wù)中斷的很大一部分可能因素，例如DDOS，入侵導(dǎo)致必須關(guān)閉服務(wù)自檢，數(shù)據(jù)丟失隱私泄露等。又會(huì)有人問(wèn)這些歸入安全管理即可，為什么要跟BCM扯上關(guān)系，做安全的人可以不管這些嗎？答案自然是可以不管，就好像說(shuō)“我是個(gè)java程序員，JVM、dalvik（ART）運(yùn)行原理不知道又有什么關(guān)系，完全不影響我寫(xiě)代碼！”事實(shí)上BCM提供了另一種更高維度，更完整的視角來(lái)看待業(yè)務(wù)中斷的問(wèn)題，對(duì)于安全事件，他的方法論也比單純的ISMS更具有可操作性，對(duì)業(yè)務(wù)團(tuán)隊(duì)更有親和力，因?yàn)槟阒廊魏我园踩珗F(tuán)隊(duì)自我為中心的安全建設(shè)都難以落地，最終都不會(huì)做的很好。

（6）安全品牌營(yíng)銷(xiāo)、渠道維護(hù)：CSO有時(shí)候要做一些務(wù)虛的事情，例如為品牌的安全形象出席一些市場(chǎng)宣介，presentation?；\統(tǒng)一點(diǎn)講現(xiàn)在SRC的活動(dòng)基本也屬于這一類(lèi)。

（7）CXO們的其他需求：俗稱(chēng)打雜。這里你不要理解為讓安全團(tuán)隊(duì)去攻擊一下競(jìng)爭(zhēng)對(duì)手的企業(yè)這樣負(fù)面向的事情，而是有很多公司需要做，但運(yùn)維開(kāi)發(fā)都不干，干不了或者不適合干的事情，安全團(tuán)隊(duì)能力強(qiáng)大時(shí)可以承包下來(lái)的部分，事實(shí)上筆者的職業(yè)生涯里就做了不少這樣的事情。

網(wǎng)絡(luò)安全的甲方乙方

基礎(chǔ)的網(wǎng)絡(luò)安全是絕大多數(shù)在甲方的安全團(tuán)隊(duì)能cover的事情，不管你的安全團(tuán)隊(duì)能力如何，在公司里有無(wú)影響力，這個(gè)是必須要做的因?yàn)檫@是把你招過(guò)來(lái)的初衷。再往后的發(fā)展，是否止于此則看各人的想法，對(duì)于沉醉攻防技術(shù)的人其實(shí)這些足夠了，但如果你的安全團(tuán)隊(duì)富有活力和想法，即便你想止于此他們也不干，把部門(mén)做大做強(qiáng)是這些人的愿望，只有這樣才能給安全團(tuán)隊(duì)更大的空間，因?yàn)檫@點(diǎn)跟乙方是不一樣的：對(duì)于乙方而言你可以在某個(gè)單點(diǎn)領(lǐng)域上無(wú)限深挖，而不會(huì)遇到天花板，因?yàn)槟闶冀K是在滿足主營(yíng)業(yè)務(wù)的需求，即使你成為骨灰級(jí)的專(zhuān)家公司也會(huì)對(duì)你在某方面創(chuàng)新有所期待而給你持續(xù)發(fā)展的可能性，但是在甲方，安全不是主營(yíng)業(yè)務(wù)，歸根結(jié)底是一個(gè)保值型的后臺(tái)職能，不是一個(gè)能創(chuàng)造收益的前臺(tái)職能，他是一個(gè)成本中心而非盈利中心，他的成本的大小跟業(yè)務(wù)規(guī)模以及公司盈利能力相關(guān)，公司發(fā)展時(shí)他的budget和headcount會(huì)發(fā)展，業(yè)務(wù)停滯時(shí)安全做的再好也不會(huì)追加投入，因?yàn)闊o(wú)此必要。反面的例子也有：做的不好反而追加投入的，那是一種政治技巧而非現(xiàn)實(shí)需要。

如果你在乙方的研究部，無(wú)論你的漏洞挖掘技能多牛逼，公司都不會(huì)跳出來(lái)說(shuō)“你已經(jīng)超出我們需求了，你還是去更NB的公司吧”（通常情況）。但是在甲方，假設(shè)是在一個(gè)國(guó)內(nèi)排名大約TOP5-TOP10的互聯(lián)網(wǎng)公司，養(yǎng)一個(gè)漏洞挖掘的大牛也會(huì)覺(jué)得很奇怪，他是在給公司創(chuàng)造價(jià)值還是在自?shī)首詷?lè)是會(huì)受到質(zhì)疑的，CSO也會(huì)被質(zhì)疑是否花了大價(jià)錢(qián)挖來(lái)的人不是出于業(yè)務(wù)需要而是用于擴(kuò)大自己團(tuán)隊(duì)在業(yè)內(nèi)影響力這種務(wù)虛的事。假如公司到了google這種級(jí)別，有一大堆產(chǎn)品，儲(chǔ)備大牛則是順利成章的，業(yè)務(wù)上顯然是有這種需求的，不過(guò)還是要看產(chǎn)出是否對(duì)主營(yíng)業(yè)務(wù)有幫助，工作成果不能轉(zhuǎn)化為主營(yíng)業(yè)務(wù)競(jìng)爭(zhēng)力的嘗試性活動(dòng)在公司有錢(qián)的時(shí)候無(wú)所謂，在公司收緊腰帶時(shí)則其存在價(jià)值會(huì)受到質(zhì)疑。

以狹義的安全垂直拓展去發(fā)展甲方安全團(tuán)隊(duì)的思路本質(zhì)上是個(gè)不可控的想法，籌碼不在CSO手中，甚至不在CTO手中，而是看主營(yíng)業(yè)務(wù)的晴雨表，也就是我以前說(shuō)的，甲方安全是要看“臉”的，這個(gè)臉還不是指跨部門(mén)溝通合作，而是在最原始的需求出發(fā)點(diǎn)上受限于他們。因此有想法的安全團(tuán)隊(duì)在（1）做的比較成熟時(shí)會(huì)轉(zhuǎn)向（2），（2）是一個(gè)很大的領(lǐng)域，發(fā)展的好安全團(tuán)隊(duì)的規(guī)模會(huì)x2、x3，并且在企業(yè)價(jià)值鏈中的地位會(huì)逐漸前移，成為運(yùn)營(yíng)性質(zhì)的職能，結(jié)合BCM真正成為一個(gè)和運(yùn)維、開(kāi)發(fā)并駕齊驅(qū)的大職能。

BCM在很多人眼里就是DR（災(zāi)難恢復(fù)），DR其實(shí)只是BCM中的一個(gè)點(diǎn)，屬于下層分支。不過(guò)這對(duì)技術(shù)領(lǐng)域的人而言是最直觀的部分，DR在互聯(lián)網(wǎng)公司里由基礎(chǔ)架構(gòu)部門(mén)或運(yùn)維主導(dǎo)，不過(guò)對(duì)于強(qiáng)勢(shì)的甲方安全團(tuán)隊(duì)其實(shí)也是能參與其中一部分的，之前也主導(dǎo)過(guò)這些，當(dāng)然也是受到了我的“前輩們”的啟發(fā)。

企業(yè)信息安全建議

廣義的信息安全，比較直觀的映射就是ISO2700x系列，行業(yè)里的絕大多數(shù)人都知道ISO27001和BS7799.不展開(kāi)了，對(duì)真正有安全基礎(chǔ)的人而言都是很簡(jiǎn)單的東西。在企業(yè)里能否做到廣義的安全，主要看安全負(fù)責(zé)人和安全團(tuán)隊(duì)在公司里影響力，對(duì)上沒(méi)有影響力，沒(méi)有詮釋利害關(guān)系和游水的能力自然也就做不到這些，另一方面，狹義安全主要對(duì)接運(yùn)維開(kāi)發(fā)等技術(shù)面公司同僚，但是廣義安全會(huì)對(duì)接整個(gè)公司的各個(gè)部門(mén)，對(duì)于溝通面的挑戰(zhàn)來(lái)說(shuō)又上了一個(gè)新的臺(tái)階，似乎在我看來(lái)這主要取決于安全的領(lǐng)隊(duì)人物自己擁有什么樣的知識(shí)結(jié)構(gòu)以及他的推動(dòng)能力如何。

對(duì)于（4），如果你所在的組織有這方面的需求，安全職能自然也會(huì)參與其中，是否刻意去發(fā)展他則看自己需求，對(duì)我朋友中某些做過(guò)IT治理和風(fēng)險(xiǎn)咨詢(xún)的人相信是有能力一并吃下的，如果是技術(shù)派我就不建議你去搞了。

（6）屬于水到渠成的事情，到了那一步你自然需要考慮，就算你不想公司也會(huì)讓你去，就像筆者現(xiàn)在明明做技術(shù)活，卻也不知道為啥會(huì)跟這一類(lèi)事情掛上鉤。

（7）有人看時(shí)自動(dòng)過(guò)濾了，不過(guò)安全負(fù)責(zé)人自身是否有瓶頸，能否在企業(yè)里發(fā)展起來(lái)跟這條有很大關(guān)系，甚至有很多從（1）發(fā)展到（2）（3）的人都需要借助（7）這個(gè)渠道，點(diǎn)到為止不多說(shuō)了......

對(duì)于互聯(lián)網(wǎng)公司，我建議做（1）、（2）、（5）；對(duì)于傳統(tǒng)行業(yè)，我建議做：（1）、（3）、（4）、（5）。

互聯(lián)網(wǎng)安全內(nèi)容

在互聯(lián)網(wǎng)行業(yè)安全包括哪些內(nèi)容，我覺(jué)得可以概括為：

信息安全管理（設(shè)計(jì)流程、整體策略等）：這部分工作約占總量的10％，比較整體，跨度大，但工作量不多。

基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)安全：IDC、生產(chǎn)網(wǎng)絡(luò)的各種鏈路和設(shè)備、服務(wù)器、大量的服務(wù)端程序和中間件，數(shù)據(jù)庫(kù)等，偏運(yùn)維側(cè)，跟漏洞掃描，打補(bǔ)丁，ACL，安全配置，網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)等這些事情相關(guān)性比較大，約占不到30％的工作量。

應(yīng)用與交付安全：對(duì)各BG，事業(yè)部，業(yè)務(wù)線自研的產(chǎn)品進(jìn)行應(yīng)用層面的安全評(píng)估，代碼審計(jì)，滲透測(cè)試，代碼框架的安全功能，應(yīng)用層的防火墻，應(yīng)用層的入侵檢測(cè)等，屬于有點(diǎn)“繁瑣”的工程，“撇不掉、理還亂”，大部分甲方團(tuán)隊(duì)都沒(méi)有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)量龐大的代碼，沒(méi)有能力去實(shí)踐完整的SDL，這部分是當(dāng)下比較有挑戰(zhàn)的安全業(yè)務(wù)，整體比重30％+，還在持續(xù)增長(zhǎng)中。

業(yè)務(wù)安全：上面提到的（2），包括賬號(hào)安全、交易風(fēng)控、征信、反價(jià)格爬蟲(chóng)，反作弊反bot程序、反欺詐、反釣魚(yú)、反垃圾信息、輿情監(jiān)控（內(nèi)容信息安全）、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報(bào)等，是在“吃飽飯”之后“思淫欲”的進(jìn)階需求，在基礎(chǔ)安全問(wèn)題解決之后，越來(lái)越受到重視的領(lǐng)域。整體約占30％左右的工作量，有的甚至大過(guò)50％。這里也已經(jīng)紛紛出現(xiàn)乙方的創(chuàng)業(yè)型公司試圖解決這些痛點(diǎn)。