1)網絡安全:基礎、狹義但核心的部分,以計算機(PC、服務器、小型機、BYOD……)和網絡為主體的網絡安全,主要聚焦在純技術層面。
2)平臺和業(yè)務安全:跟所在行業(yè)和主營業(yè)務相關的安全管理,例如反欺詐,不是純技術層面的內容,是對基礎安全的拓展,目的性比較強,屬于特定領域的安全,不算廣義安全。
3)廣義的信息安全:以IT為核心,包括廣義上的“Information”載體:除了計算機數據庫以外,還有包括紙質文檔、機要,市場戰(zhàn)略規(guī)劃等經營管理信息、客戶隱私、內部郵件、會議內容、運營數據、第三方的權益信息等,但凡你想得到的都在其中,加上泛“Technology”的大安全體系。
4)IT風險管理、IT審計&內控:對于中大規(guī)模的海外上市公司而言,有諸如SOX-404這樣的合規(guī)性需求,財務之外就是IT,其中所要求的在流程和技術方面的約束性條款跟信息安全管理重疊,屬于外圍和相關領域,而信息安全管理本身從屬于IT風險管理,是CIO視角下的一個子領域。
5)業(yè)務持續(xù)性管理:BCM(Business Continuity Management)不屬于以上任何范疇,但又跟每一塊都有交集,如果你覺得3)和4)有點虛,那么BCM絕對是面向實操的領域。最近,有網易、中有支付寶、后有攜程,因為各種各樣的原因業(yè)務中斷,損失巨大都屬于BCM的范疇。
狹義安全主要對接運維開發(fā)等技術面公司同僚,但是廣義安全會對接整個公司的各個部門,對于溝通面的挑戰(zhàn)來說,又上了一個新的臺階,在我看來這主要取決于安全的領隊人物自己擁有什么樣的知識結構以及他的推動能力如何。
在互聯(lián)網行業(yè),安全工作可以概括為以下幾個方面:
? 信息安全管理(設計流程、整體策略等),這部分工作約占總量的10%,比較整體,跨度大,但工作量不多。
? 基礎架構與網絡安全:IDC、生產網絡的各種鏈路和設備、服務器、大量的服務端程序和中間件,數據庫等,偏運維側,跟漏洞掃描、打補丁、ACL、安全配置、網絡和主機入侵檢測等這些事情相關性比較大,約占不到30%的工作量。
? 應用與交付安全:對各BG、事業(yè)部、業(yè)務線自研的產品進行應用層面的安全評估,代碼審計,滲透測試,代碼框架的安全功能,應用層的防火墻,應用層的入侵檢測等,屬于有點“繁瑣”的工程,“撇不掉、理還亂”,大部分甲方團隊都沒有足夠的人力去應付產品線交付的數量龐大的代碼,沒有能力去實踐完整的SDL,這部分是當下比較有挑戰(zhàn)的安全業(yè)務,整體比重大于30%,還在持續(xù)增長中。
? 業(yè)務安全:上面提到的2),包括賬號安全、交易風控、征信、反價格爬蟲、反作弊、反bot程序、反欺詐、反釣魚、反垃圾信息、輿情監(jiān)控(內容信息安全)、防游戲外掛、打擊黑色產業(yè)鏈、安全情報等,是在“吃飽飯”之后“思淫欲”的進階需求,在基礎安全問題解決之后,越來越受到重視的領域。整體約占30%左右的工作量,有的甚至大過50%。這里也已經紛紛出現乙方的創(chuàng)業(yè)型公司試圖解決這些痛點。