读后感·互联网企业安全高级指南
上一篇:如何寻找一家靠谱的公司
引子
第二份实习
由于想要毕业以后,做信息安全服务or渗透测试相关的工作,学校课程又比较少,我又去找了一份实习。实习还是有一些收获,虽然不是技术方面,但我不禁想要谈谈工作相关的话题。
公司名字具体叫什么,我就不说了。当初面试的时候,我问A先生(技术负责人),是否有大佬带实习生。公司的人敷衍塞责过去了,说这点东西都还要人带-。-…..顺便diss了我的技术水平。
我以为是因为大佬们工作太忙了,,所以没有多想。
该公司技术部有技术的人可以说是几乎没有,那么作为一家安全公司,他的盈利模式到底是怎样的呢?
该公司只有销售以及技术两大部门(财务/人力资源这里不提),通过销售人员,将安全硬件通过一些渠道卖给小客户;从专科院校招一些刚出学校的人,驻场在甲方公司(国企单位),做一些表面安全性工作,应付zf检查。
所以该公司(2014年注册成立),可以说是并没有什么加入的价值。在这种公司,销售人员>技术人员的模式,上蒙客户下应付员工,销售走了一波再招一波,我不做更多评价。
说来惭愧,因为二十出头,社会经验尚浅……而这种公司的存在,也是让我开了眼界。
正文
信息安全行业从业指南2.0
上一次在网上看到这篇文章后,觉得写的很清楚。看到这本书,赶紧买来看。
看书,当然是带着目的性去看。
以前一直知道有互联网企业、传统企业,甲方、乙方。
大体只知道,互联网企业就是业务基本上放在互联网上的,比如说电子商务之类的。
甲方是业务不以安全为主的公司,各行各业都需要和网络打交道,但主要业务可能是卖车、卖保险等等,像三巨头,bat,B百度-A阿里巴巴-T腾讯,主体业务不是网络安全。
乙方是以安全作为业务,为各种企业提供安全设备、安全服务等等。
企业安全的7大领域:
- 网络安全(pc/server/network .etc)纯技术方向
- 平台和业务安全(和甲方公司的具体业务相关)
- 广义信息安全(包括隐私、数据、纸质文档等信息的安全)
- IT风险管理、IT审计&内控(合规建设)
- 业务持续性管理(灾难恢复之类)
- 安全品牌营销、渠道维护
- 其他需求
互联网企业和传统企业对于安全性,有什么不同的要求?
互联网企业:信息安全管理、基础构架与网络安全、应用与交付安全(甲方没有足够的能力完成完整的SDL,将这方面外包给乙方安全公司去做)、业务安全。
互联网企业和传统企业在业务上的区别:前者业务主要放在互联网上,而传统企业主要放在线下,所以对于后者来说,安全性工作面临的挑战要更简单一些。
互联网企业对于安全解决方案是以攻防为驱动的,要在服务器上装防病毒软件,不可行的原因:性能损耗、运维成本、软件成本太高。
大型互联网公司,IT建设开始自己发明轮子,完全符合自身业务的解决方案,而不是使用一些标准化的合规、等级保护(太简单且达不到高等级安全要求)之类的东西。
生态级企业&平台级企业的区别
生态级公司安全建设是自己研发; 平台级别采用开源工具
平台级企业的安全团队的知识:web/app、应用层协议、web容器、中间件、数据库
生态级公司:系统底层、二进制、运行时环境和内核级别
大牛即使去小公司也无用武之地。
甲方、乙方做安全,工作内容有何不同?
对于甲方安全团队,安全是一个保值型部门,而不是盈利部门。安全成本和公司盈利能力相关。很好理解,如果说盈利部门负责赚钱,安全部门就是保险箱,负责钱不会变少或者突然不见。
而在乙方,可以对某一方向无限深挖(也属于业务要求),但同时也会杂而不精,和上一句不冲突。因为乙方服务的甲方公司不会是同一种,所以要求也不同。
乙方安全服务的不同方向?
什么是(乙方)合规体系化建设工程师?
ISO27001与等级保护:ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。
它的目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用。让类似某订票网发生过的员工误操作不再发生,让各类投诉处理得更快,让企业内部安全漏洞修补的效率更高,让混乱不再存在,让救火队卸甲归田,这就是ISO20000的职责所在。
中大规模的甲方企业都有SOX-404类似的合规性需求。
甲方公司可能会遇到什么安全性问题,当遇到问题时,要用什么方式解决,如何防范出现问题。这就是合规的目的。
为什么从事信息安全行业一定要去大公司?
大的公司才有更大更实际重视安全的可能性。“有钱”的公司往往比“没钱”的公司更重视安全,因为安全是一种奢侈品。
参考资料:
https://www.zhihu.com/question/27356955
http://www.360doc.com/content/16/0314/22/31115656_542242914.shtml