我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。
1、为什么互联网公司要有自己的安全团队。
a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障;
b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。
c、和业务结合紧密:互联网公司的安全工作的以公司业务为主要目标,并和公司的业务紧密结合,并要求能落地实施,同时考虑到一些内部机密,不适合外包;
因此大部分都会自己组建安全团队。
2、目前互联网公司安全团队的工作内容、组织架构和人员数量(按公司名字首字母排列)
a,阿里:
阿里是我很佩服的一个公司,非常欣赏他们的商业模式,而且最近几年的技术发展非常快。
目前阿里的安全架构分为阿里集团和各公司相结合的模式,即阿里集团的安全部门统一制定安全策略、安全框架和一些安全系统,各公司在此基础上进行推行,也会在此基础上根据业务的特点来做安全工作。
集团目前的安全组织是安全中心,主要工作是反黑客入侵,并且结合阿里的业务特性(以WEB业务为主),因此在系统、web安全方面的研究是国内互联网公司中最深入的,目前团队30来人左右。但是牛人很多,比如刺、云舒、hawk、wzt等等,交流学习氛围非常不错。
推荐:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html
b,百度
百度的工程师文化非常强,每次和他们的技术人员聊,他们都显示出了很强的自豪感:)
百度的安全建设相对晚一些,目前在组织架构上是放在系统部下,向系统部总监汇报,人员大概在10多个。基于百度的业务特性,百度的安全人员主要也是以 WEB和网络安全为主,对反DDOS和web方面的研究自成一套,保障了百度业务的稳定和快速发展。聚集了晓栋、剑心、firefly等牛人,这次百度 DNS的事件,我想应该会让Robin更关注安全方面的工作,因此后续的发展应该会更快。
c,盛大
盛大在安全点的方面建设较早(比如密宝),但体系方面的建设才刚起步,并设立了CSO的职位。
盛大的安全工作可以分为:网络安全、帐号安全为主,还包括支付安全、业务连续性、内控等工作。
网络安全主要以传统的反黑客入侵为主,包括网络安全、系统安全、WEB安全等方面;
帐号安全以保障用户帐号安全为主要目标,包括密宝建设、数据分析、帐号安全体系建设,人工干预等方面;
目前安全团队分散在盛大的各个公司,总共有40来人,包括San、段钢、neeao、召唤等人。
d、腾讯
腾讯是目前国内互联网公司中安全建设较早,投入较大的公司,2005年从运维支持部分离出来,成立了安全中心,目前安全中心人数超过120人。
腾讯公司安全中心的工作包括:
a、传统的网络安全;
b、帐号安全;
c、内容安全(反有害信息)
其他方面的安全如:
d、安全政策法规研究
e、内控
f、QQ医生
g、支付安全
则分散在其他相关部门。
由于腾讯的研发能力比较强,因此在安全体系和平台的建设上比较强,开发了自己的WEB扫描器,主机Agent 安全系统,反DDOS 系统,特别值得一提的是他们自己研究出来的网站挂马检测,依托SOSO的爬虫,实时检测互联网的网页,并和多个业务结合,取得了不错的效果。每年举办的安全峰会也取得了一定的成绩。
另外在帐号安全和内容安全方面也取得了较好的技术积累。
腾讯中的牛人包括Coolc、plan9,apollo、xenos、lake等等。
另外sina、sohu、巨人、迅雷、360等互联网公司在安全方面都取得了较好的成绩,由于时间较晚了,我以后再逐步补充。
3、总结
由于最近几年互联网公司发展较快,因此在安全方面的投入较大,同时由于国内法律相对不健全的情况,互联网公司遭遇的安全挑战很大,这也促成了互联网安全团队的快速成长。
但是毕竟术业有专攻,传统的安全公司如绿盟、启明,新型的安全公司如创宇和一些个人在技术方面的研究和积累都是非常深厚的,国际咨询公司在安全管理体系方面的积累也是很强大的。
希望能在大家的一起努力下,加强交流,共同保障互联网的安全。