我班门弄斧,抛砖引玉一下。我从迅雷网络到美的集团,同样是负责信息安全,但两者给我的感觉差距非常大,聊几个点:
1、关注的重点不一样。
这是由企业形态及其核心竞争力所决定的。
互联网企业的“快”和“广”特性决定了其面对的威胁是多样性的,安全领域的对抗范围及力度都较大;其核心竞争力是品牌及海量用户。
传统企业受其信息化程度的影响,对安全的重视程度差别很大;其核心竞争力是品牌、产品和成本。
这决定了互联网企业和传统行业对信息安全的关注重点有重合的地方,也有不少差异。重合的大多是一些基础架构的安全,例如网络安全,系统安全、应用安全。在互联网行业,大家更多关注自身业务线及其支撑系统的安全,比如帐号安全,产品安全,内容安全等,另外在基础架构安全这块也是高度细化和高度对抗的,比如防DDOS,WEB安全,DNS安全。而传统行业关注数据防泄密、行为审计、数据备份及基础架构安全。
2、对信息安全的认识面不一样。
在互联网行业里,安全是介于企业与其核心竞争力之间的一个桥梁,安全做好了,有助于提高和保障其核心竞争力,甚至是企业战略的制高点;安全没做好,也会很快的看到反面效应,这由它的“快”和“广”决定的。另外经过各种催化,企业从上到下对信息安全都有一定的认识和重视。举个大家都知道的例子,看看360是如何从终端安全领域占领搜索、浏览器、社区、上网导航、手机、游戏等领域,通过这个制高点,把终端和互联网的整合的非常好,这个制高点下游的企业都过的心惊胆战,其中有些公司提前看到了360的威胁,想与之抗衡,不过由于无法占有这个制高点而不得不提心吊胆的活着。具体我就不说太多了。有兴趣的朋友可以关注一下360及其竞品的占有率情况。
在传统行业里,就现在来看,大家对安全的认识相对比较保守,安全部门就是一个保障部门。说白了就是和业务没太大的关系,***有联系的就是“数据防泄密”。把这个事情做好了,传统行业里的信息安全问题至少解决了一半,再把数据备份做好了,又解决了1/4。
但信息安全在传统行业里并不是一文不值,除了防泄密、数据备份及基础架构之外,其实信息安全在传统行业里还是大有所有的,这个需要大家自己去思索。
3、工作的思路不一样
由于上面的两个“不一样”,就决定了我们工作的思路需要做转换:以稳为主。创新并不一定有利于安全工作的开展。切入点方面,也需要结合上面两个不一样进行转换。例如传统行业“能感知”的威胁不多,能相对量化的风险就更少。如何很好的盘活这个盘子是个很有难度的事情,耐性非常重要。例如SDL(安全开发生命周期)我在迅雷和美的都花大力气做过,在迅雷的切入点是产品安全,在美的的切入点是应用系统安全(未来或许是物联网安全),当然两者的偏向也很明显,前者重效果,后者重流程。
4、对团队要求不一样。
互联网行业及传统行业的安全人员都是精英骨干,但是他们所擅长的领域不大一样。互联网行业大多自己做事情,讲究的是速度、创新和DIY能力,偏IQ,随着互联网企业规模的发展,也对其安全人员提出了一定的EQ要求;传统行业大多是把安全外包出去,磨练的是管人管事的能力,偏EQ,另外对文档编写也有较高的要求。
无论在互联网企业还是传统企业,团队在安全圈人脉都非常关键,它可以帮助我们事半功倍。
5、对传统行业安全的展望:物联网和电子商务
传统行业做电子商务两条路,一条是合作运营,一条是独立运营。前者是与淘宝、支付宝、京东、新蛋等企业合作;后者是自己搭建电子商务平台,自己聚集客户。各有利弊,互不冲突。在企业要发展电子商务的情况下,信息安全的地位就有所提升,要求上会向互联网公司靠拢。
如果说电子商务让传统企业的信息安全有所提升,那么物联网就让传统企业信息安全产生了质的变化。一旦传统企业介入了物联网,那么信息安全就成为了其核心竞争力了,安全部门的角色及职能都可能发生巨大的转变。原因很简单,当我们家的微波炉可以被远程控制的时候,安全就是最关键的问题。想象一下,若干年后的某个夏天,物联网上出现了一个名为”icebox worm”的蠕虫,它让全国范围内某品牌的冰箱集体统一关机,里面的事物集体变质……嗯,想想就觉得可怕。如果我这个假设成为了实事,那时传统行业会爆发对SDL人才的需求。
上面我谈到的更多的是制造业的信息安全,希望我这个“砖”可以把金融行业及能源行业的“玉”给引出来,想必“玉”才是大家所期待的。
【编辑推荐】
