互联网企业安全高级指南1.4 不同规模企业的安全管理-阿里云开发者社区

开发者社区> 华章计算机> 正文

互联网企业安全高级指南1.4 不同规模企业的安全管理

简介:
+关注继续查看

1.4 不同规模企业的安全管理


1. 创业型公司

对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已。安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情:

基本的补丁管理要做。

漏洞管理要做。

L3~L7的基本的访问控制。

没有弱密码,管好密码。

账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位。

办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了。

流程什么的就没必要去搞了,有什么需求,口头约束一下。

找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来。

系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误,当然有进一步需求,也可以参考后面的技术篇中的措施。

实惠一点的,找个靠谱的白帽子兼职做一下测试,或者众测也行。

是不是觉得简陋了一点?我估计很多乙方提供的服务除了卖产品之外也不会比这个效果更好了。不过,现在不少创业公司是拿了不小的风投的,也没那么寒酸。另外一个很重要的特征是,创业公司基本都上公有云了,不会自己再去折腾IDC那点事,所以相对而言以上措施中的一部分可以等价于:

1)使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等。

2)使用市场中第三方安全厂商提供的安全能力。

具体怎么选怎么用就不展开讲了,不过不要因为迷信云平台关于安全能力的广告而自己不再去设防,毕竟针对租户级的通用型的安全方案其覆盖面和防御的维度是有限的。


2. 大中型企业

这个层次对应市场上大多数公司的安全需求,它的典型特征是,业务营收的持续性需要安全来保障。公司愿意在IT安全上投入固定的成本,通常小于IT总投入的10%,不过这已经不错了。这时候开始有专职的安全人员或安全团队,建设上重视效果和ROI,会具备初步的纵深防御能力。对应技术上的需求为:

L2~L7中的每一层拥有完整的安全设计。

对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力。

应用层面细粒度控制。

全流量入侵检测能力。

无死角1天漏洞发现能力。

在安全等级较高的区域建立纵深防御和一定的0天发现能力。

初具规模的安全专职团队。

对应用交付有自主的评估和修补能力。

从IT服务层面建立必要的流程、业务持续性以及风控应急措施。

对业务安全形成自己的风控及安全管理方法论。

将难以自己实现的部分外包。

好像跟前面的描述比一下子抽象了?是的,这个层级的安全需求没办法很具体地量化。不同的业务模式对应的安全实现还是有很大的不同,加上这个区间里的公司营收规模可以差很大,对应的安全投入也可以差很多。那什么样的公司归入这个区间呢?比如四大行,国内TOP10甚至TOP5以后的互联网公司,大量的电信、金融、政府、能源等企业都属于这个区间,但我为什么不把BAT归入这个区间?这样的分类岂不是不科学?我之所以这样分类完全是从安全建设的复杂度上去考量的,而不是从安全建设的资金投入上去归类的。很多行业(比如金融)的安全投入很大,但这些解决方案大都是靠花钱就能买来的,而BAT的方案花钱不一定能买得到,很多都需要自己动手去打造,对安全团队的定位、能力和需求完全不一样。那BAT以外较大的互联网公司呢?我觉得他们会玩些各自特点的小花样,但是不会进入大范围的复杂的安全建设,这是由公司的整体面和业务决定的,不需要过分保障和超前业务的安全建设。

再往上一层是大型互联网企业。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
非家用的监控摄像头都无复位功能
非家用的监控摄像头都无复位功能
4 0
云测数据:在AI商用之前,我们要先教会它们认知世界
屏前幕后,孜孜不倦的人们,用「数据标注」教会 AI 认识现实世界。而他们所处的数据采标行业本身,也正在从早期粗糙的「数据作坊」发展成为「数据工厂」的专业化运作。如今,这些流程已经发展出一条完整的产业链——采集、整理、清洗、标注,流水线似的过程恰恰是 AI 算法模型精确运行的根基所在。随着 AI 技术在应用场景下沉,AI 企业对算法落地性要求越来越高。此时,垂直精细和定制化数据显得尤为重要。2018 年,中国人工智能基础数据服务市场规模为 25.86 亿元,其中数据资源定制服务占比 86%。Testin云测旗下的 AI 数据服务品牌「云测数据」的出现,就是一个典型案例。
4 0
开工推迟,多国封锁边境,疫情期如何做好远程开发?
面对新冠病毒肺炎,我们人人都在家中难以出门,还是在家远程码代码吧。
6 0
互联网公司如何塑造一支有创业精神的技术团队?
践行这套理论,一个很大的感慨:创业文化的探索,就是和一群志同道合的伙伴去不断探索未知世界,并实现个人与集体成长的过程。所以也非常渴望和志同道合的同学一起探讨交流!
9 0
企业物联网平台新版公共实例升级企业实例教程
简介:2021年7月30日企业物联网平台重磅升级,发布的新版公共实例支持一键升级企业版实例,本文将为大家介绍一键升级教程
5 0
AI面试催生韩国新型补习班:200元一小时,面对摄像头练习用眼睛微笑
「微笑不要靠嘴唇,要从眼睛里透出来」,在 200 元一小时的补习班里,韩国培训老师这样传授面对「AI 面试官」的诀窍。对于那些待业已久的韩国年轻人来说,只要能通过大公司的 AI 面试,支付昂贵的补习费用根本算不上什么。
5 0
SpringBoot核心【基本配置】
基本配置 1.入口类和相关注解 2.定制Banner 2.1 修改banner图标 2.2 关闭banner 3.SpringBoot的配置文件 3.1 tomcat端口号修改 3.2 常规属性配置 3.3 类型安全的配置
6 0
SpringBoot【整合Thymeleaf】
SpringBoot中推荐使用的前端模板框架是Thymeleaf,所以本文来介绍下怎样整合Thymeleaf。
4 0
SAP S/4HANA CDS View的访问控制实现:DCL介绍
SAP S/4HANA CDS View的访问控制实现:DCL介绍
5 0
macOS下 Hive 2.x 的安装与配置
macOS下 Hive 2.x 的安装与配置
4 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载