数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、What:信息安全都在做些什么?
企业安全部的工作目前主要可以分为三大方向:
第一个方向是我目前负责的方向,叫做产品安全,工作的内容包括漏洞挖掘、漏洞研究等跟漏洞相关的安全防护,以及设计安全产品、自动化的安全工具、安全防护的软件等等。
举一些具体的例子,比方说最典型的薅羊毛,也就是利用系统漏洞骗取平台的补贴,这些漏洞我们必须从技术上去加以解决,否则其他部门的工作可能会受到影响。
再比如最近比较常见的一种黑产形式,是利用漏洞拿到系统的权限,再利用这些权限拿公司的算力去挖矿,这种黑产的成本和收益比真的是非常吓人的。为了保护公司利益,我们肯定是要重点打击这些黑产的。
第二个方向是数据安全方向,这个方向下面也分很多类,除了现在比较火的隐私安全,还包括数据保护、数据防泄漏、数据合规等等。
比如有人会直接用勒索病毒勒索比特币,这是典型的犯罪行为;再比如有人会偷取企业的数据,在黑市上售卖,或者是卖给竞争对手。这些都是数据安全要保护的。
同时,数据泄露经常由系统漏洞造成,防数据泄露往往离不开漏洞修复,因此数据安全跟产品安全也会有交叉。
第三个方向是隐私计算方向,运用密码学、联邦学习等技术保障数据在使用过程中不被泄露(关于隐私计算,可以参考《四大热门数据合规应用场景,讲明白什么是隐私计算》一文)。
这三大方向就是目前企业安全主要在做的事情。简单来说,作为企业的安全团队,其实可以简单地理解为就是一群专门管漏洞的人。因为这一点经常有人会觉得我们像风控,但其实风控和我们差别是很大的。
举个例子,比方说现在出现一个漏洞,风控的任务是马上顶上去暂时把漏洞堵住;如果堵不住,也会通过其他的非技术手段暂时稳住,减少损失。
那我们做安全的负责什么呢?安全部门不负责第一个顶上去堵住漏洞,而是在事后,从一种一劳永逸的角度出发,从技术上想办法把这个漏洞完全修复。
二、Why:企业为什么重视信息安全?
先举个最简单的例子,在电商领域,拼多多、京东、阿里三大巨头,前两年火拼得比较凶的时候,都非常重视安全问题。
这是因为当时的竞争特别激烈,三大巨头互相之间经常会有一些商品的爬虫,目的是爬取竞争对手某些特殊商品的价格或者其他的重要信息。
这些重要的数据对竞争的影响是非常大的,因此那段时间,他们的安全团队每天都会在这种业务安全上投入非常多的精力,去做反爬虫的安全工作。
除此之外,他们自身的安全防护工作也非常多,像反作弊、反薅羊毛等等。比如拼多多之前就有一次被薅了几千万的羊毛,这对安全部来说是很严重的问题。
举这个例子是想说明,在这种市场竞争非常激烈的环境下,企业对安全的需求是会非常强烈的。所以我觉得在市场竞争越激烈的领域,企业对安全的需求就越强,对安全部也就更加重视。
除了企业所在的领域,企业的规模和发展阶段也跟企业的安全需求有非常大的关系。
举个例子,研究一下字节的发展轨迹我们会发现,字节的安全部大约是在16、17、18年这个阶段迅速成长的,到现在已经达到了700人左右,是一个非常庞大的团队。它的高速发展,与字节的高速发展是相契合的。
另外,其实国内企业最早开始关注安全问题,是因为美国的塞班斯法案。那应该是零几年的时候,大概是百度上市过后那个时间,这个法案就出现了,以它作为起点,立法开始要求企业有独立的安全部。
但说到底,无论是塞班斯法案还是我们国内的《网络安全法》等立法,它的强制性要求基本上都源自企业自身内生的安全需要。也就是说,这些立法与其说是给企业增加负担,不如说是帮助企业把安全工作进行了流程化的安排。
当然,有时可能也会出现企业自身的需要和监管不太一致的时候,但这种不一致一般是等级上的差异,即某些领域监管要求的等级高于企业自身需要的等级。根据我的观察,总体来说,这些情况应该是会低于30%的。
三、How:企业如何设置安全部?
不同类型的企业会在其组织架构中将安全部门设置在不同的位置。
总体来说,可以分为两种模式。
第一种模式是集团安全模式。一些互联网大企业的安全是统一由集团负责的,可以理解为安全部是一个大部门,其中可能分为N多的小组,不同小组负责不同方向。
这种模式的例子很多,比如百度,还有一些游戏公司,例如腾讯游戏、网易游戏等,都可能更偏向于集团安全。
这种架构下,我觉得他们的安全部门相当于是一个隶属于整个集团的统一的基础服务部门和基础部分,跟所谓的“技术中台”这种存在有点类似。
另一种建构模式则是在集团安全的基础上,在产品线或者不同部门设置业务安全团队,典型的例子是腾讯公司。
这种模式下,集团安全和业务安全部门有着不同的分工。
集团安全管大多数通用的情况以及大的安全架构,包括一些大规模的合规项目和安全防护工作等等。
集团安全底下不同业务组各自的业务安全团队,则更多地负责业务安全的工作或者是定制化的安全服务,处理的是具体的安全问题。
目前主要是这两种模式。总体来说,无论是集团安全的模式,还是集团安全+业务安全的模式,安全部门都被设置在整个企业和各个部门的基础环节。
声明:本文来自DataWonder,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于DataWonder;编辑/翻译:数字化转型网萍水。
