我班門弄斧，拋磚引玉一下。我從迅雷網(wǎng)絡(luò)到美的集團(tuán)，同樣是負(fù)責(zé)信息安全，但兩者給我的感覺差距非常大，聊幾個(gè)點(diǎn)：

1、關(guān)注的重點(diǎn)不一樣。
這是由企業(yè)形態(tài)及其核心競(jìng)爭(zhēng)力所決定的。
互聯(lián)網(wǎng)企業(yè)的“快”和“廣”特性決定了其面對(duì)的威脅是多樣性的，安全領(lǐng)域的對(duì)抗范圍及力度都較大；其核心競(jìng)爭(zhēng)力是品牌及海量用戶。
傳統(tǒng)企業(yè)受其信息化程度的影響，對(duì)安全的重視程度差別很大；其核心競(jìng)爭(zhēng)力是品牌、產(chǎn)品和成本。
這決定了互聯(lián)網(wǎng)企業(yè)和傳統(tǒng)行業(yè)對(duì)信息安全的關(guān)注重點(diǎn)有重合的地方，也有不少差異。重合的大多是一些基礎(chǔ)架構(gòu)的安全，例如網(wǎng)絡(luò)安全，系統(tǒng)安全、應(yīng)用安全。在互聯(lián)網(wǎng)行業(yè)，大家更多關(guān)注自身業(yè)務(wù)線及其支撐系統(tǒng)的安全，比如帳號(hào)安全，產(chǎn)品安全，內(nèi)容安全等，另外在基礎(chǔ)架構(gòu)安全這塊也是高度細(xì)化和高度對(duì)抗的，比如防DDOS，WEB安全，DNS安全。而傳統(tǒng)行業(yè)關(guān)注數(shù)據(jù)防泄密、行為審計(jì)、數(shù)據(jù)備份及基礎(chǔ)架構(gòu)安全。

2、對(duì)信息安全的認(rèn)識(shí)面不一樣。
在互聯(lián)網(wǎng)行業(yè)里，安全是介于企業(yè)與其核心競(jìng)爭(zhēng)力之間的一個(gè)橋梁，安全做好了，有助于提高和保障其核心競(jìng)爭(zhēng)力，甚至是企業(yè)戰(zhàn)略的制高點(diǎn)；安全沒做好，也會(huì)很快的看到反面效應(yīng)，這由它的“快”和“廣”決定的。另外經(jīng)過各種催化，企業(yè)從上到下對(duì)信息安全都有一定的認(rèn)識(shí)和重視。舉個(gè)大家都知道的例子，看看360是如何從終端安全領(lǐng)域占領(lǐng)搜索、瀏覽器、社區(qū)、上網(wǎng)導(dǎo)航、手機(jī)、游戲等領(lǐng)域，通過這個(gè)制高點(diǎn)，把終端和互聯(lián)網(wǎng)的整合的非常好，這個(gè)制高點(diǎn)下游的企業(yè)都過的心驚膽戰(zhàn)，其中有些公司提前看到了360的威脅，想與之抗衡，不過由于無(wú)法占有這個(gè)制高點(diǎn)而不得不提心吊膽的活著。具體我就不說太多了。有興趣的朋友可以關(guān)注一下360及其競(jìng)品的占有率情況。

在傳統(tǒng)行業(yè)里，就現(xiàn)在來看，大家對(duì)安全的認(rèn)識(shí)相對(duì)比較保守，安全部門就是一個(gè)保障部門。說白了就是和業(yè)務(wù)沒太大的關(guān)系，***有聯(lián)系的就是“數(shù)據(jù)防泄密”。把這個(gè)事情做好了，傳統(tǒng)行業(yè)里的信息安全問題至少解決了一半，再把數(shù)據(jù)備份做好了，又解決了1/4。

但信息安全在傳統(tǒng)行業(yè)里并不是一文不值，除了防泄密、數(shù)據(jù)備份及基礎(chǔ)架構(gòu)之外，其實(shí)信息安全在傳統(tǒng)行業(yè)里還是大有所有的，這個(gè)需要大家自己去思索。

3、工作的思路不一樣
由于上面的兩個(gè)“不一樣”，就決定了我們工作的思路需要做轉(zhuǎn)換：以穩(wěn)為主。創(chuàng)新并不一定有利于安全工作的開展。切入點(diǎn)方面，也需要結(jié)合上面兩個(gè)不一樣進(jìn)行轉(zhuǎn)換。例如傳統(tǒng)行業(yè)“能感知”的威脅不多，能相對(duì)量化的風(fēng)險(xiǎn)就更少。如何很好的盤活這個(gè)盤子是個(gè)很有難度的事情，耐性非常重要。例如SDL（安全開發(fā)生命周期）我在迅雷和美的都花大力氣做過，在迅雷的切入點(diǎn)是產(chǎn)品安全，在美的的切入點(diǎn)是應(yīng)用系統(tǒng)安全（未來或許是物聯(lián)網(wǎng)安全），當(dāng)然兩者的偏向也很明顯，前者重效果，后者重流程。

4、對(duì)團(tuán)隊(duì)要求不一樣。
互聯(lián)網(wǎng)行業(yè)及傳統(tǒng)行業(yè)的安全人員都是精英骨干，但是他們所擅長(zhǎng)的領(lǐng)域不大一樣。互聯(lián)網(wǎng)行業(yè)大多自己做事情，講究的是速度、創(chuàng)新和DIY能力，偏I(xiàn)Q，隨著互聯(lián)網(wǎng)企業(yè)規(guī)模的發(fā)展，也對(duì)其安全人員提出了一定的EQ要求；傳統(tǒng)行業(yè)大多是把安全外包出去，磨練的是管人管事的能力，偏EQ，另外對(duì)文檔編寫也有較高的要求。

無(wú)論在互聯(lián)網(wǎng)企業(yè)還是傳統(tǒng)企業(yè)，團(tuán)隊(duì)在安全圈人脈都非常關(guān)鍵，它可以幫助我們事半功倍。

5、對(duì)傳統(tǒng)行業(yè)安全的展望：物聯(lián)網(wǎng)和電子商務(wù)

傳統(tǒng)行業(yè)做電子商務(wù)兩條路，一條是合作運(yùn)營(yíng)，一條是獨(dú)立運(yùn)營(yíng)。前者是與淘寶、支付寶、京東、新蛋等企業(yè)合作；后者是自己搭建電子商務(wù)平臺(tái)，自己聚集客戶。各有利弊，互不沖突。在企業(yè)要發(fā)展電子商務(wù)的情況下，信息安全的地位就有所提升，要求上會(huì)向互聯(lián)網(wǎng)公司靠攏。

如果說電子商務(wù)讓傳統(tǒng)企業(yè)的信息安全有所提升，那么物聯(lián)網(wǎng)就讓傳統(tǒng)企業(yè)信息安全產(chǎn)生了質(zhì)的變化。一旦傳統(tǒng)企業(yè)介入了物聯(lián)網(wǎng)，那么信息安全就成為了其核心競(jìng)爭(zhēng)力了，安全部門的角色及職能都可能發(fā)生巨大的轉(zhuǎn)變。原因很簡(jiǎn)單，當(dāng)我們家的微波爐可以被遠(yuǎn)程控制的時(shí)候，安全就是最關(guān)鍵的問題。想象一下，若干年后的某個(gè)夏天，物聯(lián)網(wǎng)上出現(xiàn)了一個(gè)名為”icebox worm”的蠕蟲，它讓全國(guó)范圍內(nèi)某品牌的冰箱集體統(tǒng)一關(guān)機(jī)，里面的事物集體變質(zhì)……嗯，想想就覺得可怕。如果我這個(gè)假設(shè)成為了實(shí)事，那時(shí)傳統(tǒng)行業(yè)會(huì)爆發(fā)對(duì)SDL人才的需求。

上面我談到的更多的是制造業(yè)的信息安全，希望我這個(gè)“磚”可以把金融行業(yè)及能源行業(yè)的“玉”給引出來，想必“玉”才是大家所期待的。
 

【編輯推薦】

1. 點(diǎn)評(píng)當(dāng)前互聯(lián)網(wǎng)企業(yè)安全團(tuán)隊(duì)現(xiàn)狀
2. 中小企業(yè)用戶的上網(wǎng)行為管理解決方案
3. “云安全”下企業(yè)終端安全防護(hù)