互联网企业安全高级指南1.5　生态级企业vs平台级企业安全建设的需求

1.5　生态级企业vs平台级企业安全建设的需求

生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别。

1. 差别的表象

主要差别表现在是否大量地进入自己造轮子的时代，即安全建设需要依托于自研，而非采用商业解决方案或依赖于开源工具的实现。

那么平台级公司和生态级公司的区别又在哪里？从表象上看，生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足，所以会大量的进入自研。而平台级公司则会依赖开源工具更多一些，不会对所有解决方案场景下的安全工具进行自研。如果有预算也会优先投在“业务安全”侧，比如反欺诈平台等等，而不会自己去搞入侵检测。当然，这有可能是个伪命题，有可能随着时间的推移，乙方公司也开始提供具有可扩展性、能应对分布式架构的方案，或者当时间尺度拉得长一点，平台级公司每年在自研上投入一点点，多年之后也具备了BAT级别的安全能力也并非完全不可能。不过这些都是理想状况，现实总是受到多方面因素制约的。

2. 差别的成因

第一个因素是技术驱动在底层还是在应用层驱动业务。表象上，平台级公司和生态级公司都是以PC端Web服务为入口的平台应用和以移动端APP入口的移动应用。有的依赖于一些PC客户端或移动端偏底层的APP，但在技术实现方式上，平台级公司更多地直接使用或少量修改开源软件，而生态级公司的IT基础设施则会类似于Google的三篇论文一样，不仅仅停留在使用和少量修改，而是会进入自己造轮子的阶段。其中所造的轮子是否对业界有意义这种问题暂时不去评价，但对应的安全建设则反映出平台级公司的安全主要围绕应用层面，而生态级公司的安全会覆盖基础架构和应用层面两块。直接使用开源工具的部分交给社区去处理，自己跟进打补丁就行了，但如果是自己开发的，那么就需要自己去解决一揽子的安全问题，比如Google造了Android这个轮子，那Android一系列的安全问题Google需要自己解决，比如阿里自己去搞了一个ODPS，那阿里的牛人也需要解决这个，再比如华为在物联网领域造了LiteOS这个轮子，自然也要去处理对应的问题，而这些偏底层的问题显然早已超出应用安全的范畴，也不是一般的甲方安全团队有能力应对的。其实有些平台级公司也是发明了一些轮子的，比如自动化运维工具，比如一些NOSQL，不过IDC规模两者之间仍然差得比较远，上层的业务复杂度也有差距，支持的研发团队的规模也有差距，对安全工具的自动化能力和数据处理规模仍然存在阶梯级的差别，这一点也决定了为什么要自研。安全其实只是IT整体技术建设的一个子集，当整体技术架构和实现方式进入自产自销阶段时，安全建设也必然进入这个范畴。对于很多实际上依靠业务和线下资源驱动而非技术驱动的互联网公司而言，安全建设去做太多高大上的事情显然是没有必要的。

第二个因素是钱，钱也分为两个方面：1）成本；2）ROI。假设安全投入按IT总投入的固定10%算，又假设生态级公司的安全建设成本是平台级公司的5～10倍，这个成本除了带宽、IDC服务器软硬件之外，还有技术团队，加起来才是总拥有成本TCO。10个人的安全团队和100个人的安全团队能做的事情相差太大，具体可以参考我在知乎上的帖子“为什么从事信息安全行业一定要去大公司？”。还有一方面则类似于“去IOE”，上面提到目前对于大型互联网没有合适的安全解决方案，即使有，这个成本可能也会无法接受，所以假如乙方公司能推出既能支撑业务规模，又具有性价比的方案，我认为甲方安全团队真的没有必要再去造轮子了。

第三个因素是人。安全团队的人员数量也只是一个很表面的数字，安全团队的构成才是实力，能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的，首先前者的成本不是所有的公司都能接受，其次，平台不够大即使大牛来了也未必有用武之地。大多数平台级公司中安全团队的知识和经验集中在Web/App、应用层协议、Web容器、中间件和数据库，生态级公司则扩展至系统底层、二进制、运行时环境和内核级别，能力积累也存在差别。这里并无褒贬之意，仅在说明业务对技术的需求不一样。

3. 平台级公司的“止步”点

那么，平台级公司在安全建设上是不是就没有乐趣呢？其实这类公司也玩一些小花样，比如修改SSHD、LVS，加入一些安全特性。可能也会自己定制一个WAF，或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、内核级别的安全机制，基本上都不会介入，对于一个规模不是特别大的平台级公司的甲方安全团队而言，这些门槛还是有点高。

4. 生态级公司的竞技场

生态级公司是不是全领域进军自己造轮子呢？也不是，主要工作还是在入侵检测、WAF、扫描器、抗DDoS、日志分析等领域。在SDL环节上可能也会自己研发些工具，但很与比直接使用商业工具更短平快。阿里钱盾、腾讯管家、百度杀毒这些都跟360客户端一样与生产网络没什么关系，就不去讲了。另外自研工具有一个原则：都限定在“民用”领域，不会自己去发明一个RSA算法这样的东西。

国内的平台级公司里也有一个例外：数字公司，因为其主营业务是信息安全，所以就没有安全投资固定占比理论的影响。