3.13 安全建设的“马斯洛需求”层次
可按照“马斯洛需求”层次来描述安全建设的需求,如图3-7所示。
其实这张图里少了一个级别,就是LV0,即没有安全措施。
LV1通过一些较为基础的安全措施做到了基础的访问控制,并且交付的系统不含有明显的高危漏洞。但对于复杂的安全事件自身没有独立处理的能力,必须依赖于外部厂商。
LV2有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商。但在安全建设上缺乏思路,大多依赖商业产品或照搬已有的安全模式。
LV3安全建设呈现初步的系统化,覆盖全生命周期,开发和运维环节都有必要的控制流程,主要的系统在架构上都会考虑安全方案,检测和防护手段能因地制宜。
LV4除了基础架构,应用,数据等技术层面安全能做到全生命周期系统化建设,业务层面的安全问题也有系统化解决方案。安全此时不只关注技术层面的攻防对抗,也关注业务形式的安全以及黑产的对抗。
LV5安全建设进入最佳实践阶段,不依赖于现有的安全机制,也不依赖于厂商的安全产品,虽说自己造轮子不代表最佳实践,不过对于互联网公司攻防和业务层面的安全问题,如果想做的好一点,不自己发明轮子似乎不太可能,至少现在市场上缺少很多针对互联网的解决方案。在这个阶段,严重的安全事件几乎很少发生,大多数精力都会用于优化现有系统的检测和拦截率。
图3-7 安全建设的“马斯洛需求”层次
