我班門弄斧，拋磚引玉一下。我從迅雷網(wǎng)絡(luò)到美的集團(tuán)，同樣是負(fù)責(zé)信息安全，但兩者給我的感覺差距非常大，聊幾個點：

1、關(guān)注的重點不一樣。
這是由企業(yè)形態(tài)及其核心競爭力所決定的。
互聯(lián)網(wǎng)企業(yè)的“快”和“廣”特性決定了其面對的威脅是多樣性的，安全領(lǐng)域的對抗范圍及力度都較大；其核心競爭力是品牌及海量用戶。
傳統(tǒng)企業(yè)受其信息化程度的影響，對安全的重視程度差別很大；其核心競爭力是品牌、產(chǎn)品和成本。
這決定了互聯(lián)網(wǎng)企業(yè)和傳統(tǒng)行業(yè)對信息安全的關(guān)注重點有重合的地方，也有不少差異。重合的大多是一些基礎(chǔ)架構(gòu)的安全，例如網(wǎng)絡(luò)安全，系統(tǒng)安全、應(yīng)用安全。在互聯(lián)網(wǎng)行業(yè)，大家更多關(guān)注自身業(yè)務(wù)線及其支撐系統(tǒng)的安全，比如帳號安全，產(chǎn)品安全，內(nèi)容安全等，另外在基礎(chǔ)架構(gòu)安全這塊也是高度細(xì)化和高度對抗的，比如防DDOS，WEB安全，DNS安全。而傳統(tǒng)行業(yè)關(guān)注數(shù)據(jù)防泄密、行為審計、數(shù)據(jù)備份及基礎(chǔ)架構(gòu)安全。

2、對信息安全的認(rèn)識面不一樣。
在互聯(lián)網(wǎng)行業(yè)里，安全是介于企業(yè)與其核心競爭力之間的一個橋梁，安全做好了，有助于提高和保障其核心競爭力，甚至是企業(yè)戰(zhàn)略的制高點；安全沒做好，也會很快的看到反面效應(yīng)，這由它的“快”和“廣”決定的。另外經(jīng)過各種催化，企業(yè)從上到下對信息安全都有一定的認(rèn)識和重視。舉個大家都知道的例子，看看360是如何從終端安全領(lǐng)域占領(lǐng)搜索、瀏覽器、社區(qū)、上網(wǎng)導(dǎo)航、手機(jī)、游戲等領(lǐng)域，通過這個制高點，把終端和互聯(lián)網(wǎng)的整合的非常好，這個制高點下游的企業(yè)都過的心驚膽戰(zhàn)，其中有些公司提前看到了360的威脅，想與之抗衡，不過由于無法占有這個制高點而不得不提心吊膽的活著。具體我就不說太多了。有興趣的朋友可以關(guān)注一下360及其競品的占有率情況。

在傳統(tǒng)行業(yè)里，就現(xiàn)在來看，大家對安全的認(rèn)識相對比較保守，安全部門就是一個保障部門。說白了就是和業(yè)務(wù)沒太大的關(guān)系，***有聯(lián)系的就是“數(shù)據(jù)防泄密”。把這個事情做好了，傳統(tǒng)行業(yè)里的信息安全問題至少解決了一半，再把數(shù)據(jù)備份做好了，又解決了1/4。

但信息安全在傳統(tǒng)行業(yè)里并不是一文不值，除了防泄密、數(shù)據(jù)備份及基礎(chǔ)架構(gòu)之外，其實信息安全在傳統(tǒng)行業(yè)里還是大有所有的，這個需要大家自己去思索。

3、工作的思路不一樣
由于上面的兩個“不一樣”，就決定了我們工作的思路需要做轉(zhuǎn)換：以穩(wěn)為主。創(chuàng)新并不一定有利于安全工作的開展。切入點方面，也需要結(jié)合上面兩個不一樣進(jìn)行轉(zhuǎn)換。例如傳統(tǒng)行業(yè)“能感知”的威脅不多，能相對量化的風(fēng)險就更少。如何很好的盤活這個盤子是個很有難度的事情，耐性非常重要。例如SDL（安全開發(fā)生命周期）我在迅雷和美的都花大力氣做過，在迅雷的切入點是產(chǎn)品安全，在美的的切入點是應(yīng)用系統(tǒng)安全（未來或許是物聯(lián)網(wǎng)安全），當(dāng)然兩者的偏向也很明顯，前者重效果，后者重流程。

4、對團(tuán)隊要求不一樣。
互聯(lián)網(wǎng)行業(yè)及傳統(tǒng)行業(yè)的安全人員都是精英骨干，但是他們所擅長的領(lǐng)域不大一樣?；ヂ?lián)網(wǎng)行業(yè)大多自己做事情，講究的是速度、創(chuàng)新和DIY能力，偏I(xiàn)Q，隨著互聯(lián)網(wǎng)企業(yè)規(guī)模的發(fā)展，也對其安全人員提出了一定的EQ要求；傳統(tǒng)行業(yè)大多是把安全外包出去，磨練的是管人管事的能力，偏EQ，另外對文檔編寫也有較高的要求。

無論在互聯(lián)網(wǎng)企業(yè)還是傳統(tǒng)企業(yè)，團(tuán)隊在安全圈人脈都非常關(guān)鍵，它可以幫助我們事半功倍。

5、對傳統(tǒng)行業(yè)安全的展望：物聯(lián)網(wǎng)和電子商務(wù)

傳統(tǒng)行業(yè)做電子商務(wù)兩條路，一條是合作運營，一條是獨立運營。前者是與淘寶、支付寶、京東、新蛋等企業(yè)合作；后者是自己搭建電子商務(wù)平臺，自己聚集客戶。各有利弊，互不沖突。在企業(yè)要發(fā)展電子商務(wù)的情況下，信息安全的地位就有所提升，要求上會向互聯(lián)網(wǎng)公司靠攏。

如果說電子商務(wù)讓傳統(tǒng)企業(yè)的信息安全有所提升，那么物聯(lián)網(wǎng)就讓傳統(tǒng)企業(yè)信息安全產(chǎn)生了質(zhì)的變化。一旦傳統(tǒng)企業(yè)介入了物聯(lián)網(wǎng)，那么信息安全就成為了其核心競爭力了，安全部門的角色及職能都可能發(fā)生巨大的轉(zhuǎn)變。原因很簡單，當(dāng)我們家的微波爐可以被遠(yuǎn)程控制的時候，安全就是最關(guān)鍵的問題。想象一下，若干年后的某個夏天，物聯(lián)網(wǎng)上出現(xiàn)了一個名為”icebox worm”的蠕蟲，它讓全國范圍內(nèi)某品牌的冰箱集體統(tǒng)一關(guān)機(jī)，里面的事物集體變質(zhì)……嗯，想想就覺得可怕。如果我這個假設(shè)成為了實事，那時傳統(tǒng)行業(yè)會爆發(fā)對SDL人才的需求。

上面我談到的更多的是制造業(yè)的信息安全，希望我這個“磚”可以把金融行業(yè)及能源行業(yè)的“玉”給引出來，想必“玉”才是大家所期待的。
 

【編輯推薦】

1. 點評當(dāng)前互聯(lián)網(wǎng)企業(yè)安全團(tuán)隊現(xiàn)狀
2. 中小企業(yè)用戶的上網(wǎng)行為管理解決方案
3. “云安全”下企業(yè)終端安全防護(hù)