信息安全對互聯(lián)網(wǎng)企業(yè)的重要性有多大

（文章來源：環(huán)球網(wǎng)）

對于絕大多數(shù)的企業(yè)來說，安全是信息技術(shù)建設(shè)中薄弱而又很難提高的環(huán)節(jié)，而這個(gè)環(huán)節(jié)上發(fā)生的問題又會(huì)深刻地影響到整個(gè)企業(yè)，在互聯(lián)網(wǎng)+的進(jìn)程中，一方面互聯(lián)網(wǎng)企業(yè)越來越多，另一方面由外部環(huán)境推動(dòng)的或自發(fā)的安全意識越來越強(qiáng)，對安全建設(shè)的需求也越來越多，很多企業(yè)都開始招聘安全負(fù)責(zé)人，不乏年薪上百萬元和幾百萬元的安全負(fù)責(zé)人職位，但事實(shí)是很多公司常年用高薪，都招不到合適的安全負(fù)責(zé)人，其中的原因有很多，比較客觀的一條就是這個(gè)行業(yè)所培養(yǎng)的有互聯(lián)網(wǎng)整體安全視角的人實(shí)在寥寥無幾，而這些人大都不缺高薪，也不缺職位。

早年在乙方安全公司的人經(jīng)歷了給客戶從零開始建設(shè)安全體系的過程，而后來進(jìn)入乙方的畢業(yè)生，接觸客戶時(shí)大都已經(jīng)有安全體系，無法體驗(yàn)從0到1的過程并從中學(xué)到完整的方法論，很多方法論甚至已“失傳”，有些方法論原本就只集中在公司總部的一圈人手里，分支機(jī)構(gòu)除了文檔得不到“大象”。

BAT這類企業(yè)安全也早已經(jīng)過安全建設(shè)期，后來者分工很細(xì)，除了幾個(gè)早已身居總監(jiān)職位的老員工之外，大多數(shù)人無法得知安全體系的全貌，很多人離開了BAT也說不清自己責(zé)任之外的事情該怎么做。

二三線互聯(lián)網(wǎng)企業(yè)中，很多團(tuán)隊(duì)所持有的安全體系并不完整，也不是業(yè)內(nèi)最佳實(shí)踐，有些甚至就是救火型團(tuán)隊(duì)，更難有體系化的積累。 ·當(dāng)下的很多乙方安全公司，在互聯(lián)網(wǎng)大潮的沖擊下也面臨著轉(zhuǎn)型的挑戰(zhàn)，要提供符合時(shí)代趨勢的解決方案仍需努力。

在社區(qū)，目前大家都熱衷攻防，而不是企業(yè)安全建設(shè)。攻擊者、乙方、甲方之間仍然存在較大的鴻溝，彼此互相不屑，從社區(qū)里也多半只能挖掘到一些單點(diǎn)型的防御手法，即便好學(xué)的人訂閱了所有的安全站點(diǎn)和微信公眾號，恐怕也難以學(xué)會(huì)企業(yè)整體安全建設(shè)的方法。 基于以上種種原因，我明顯感覺到有一堵墻存在于業(yè)界、社區(qū)、甲方、乙方、想學(xué)習(xí)的人和信息的不對稱之間，我決定動(dòng)手推倒這堵墻。

如果從一個(gè)很微觀的角度切入企業(yè)安全這個(gè)話題，那么大多數(shù)人會(huì)像一葉孤舟跌進(jìn)大海茫茫然找不到方向，所以本章從安全領(lǐng)域整體環(huán)境入手，以便于讀者找到系統(tǒng)性的那種感覺。盡管筆者沒有致力于提供關(guān)于企業(yè)安全的一個(gè)非常完整的“上帝視角”，但也盡可能地兼顧了這方面的需求。

企業(yè)安全是什么？我認(rèn)為它可以概括為：從廣義的信息安全或狹義的網(wǎng)絡(luò)安全出發(fā)，根據(jù)企業(yè)自身所處的產(chǎn)業(yè)地位、IT總投入能力、商業(yè)模式和業(yè)務(wù)需求為目標(biāo)，而建立的安全解決方案以及為保證方案實(shí)踐的有效性而進(jìn)行的一系列系統(tǒng)化、工程化的日常安全活動(dòng)的集合。怎么感覺有點(diǎn)咬文嚼字？實(shí)際上，這里面的每一個(gè)項(xiàng)都會(huì)決定你的安全整體方案是什么，哪怕同是中國互聯(lián)網(wǎng)TOP10中的公司，安全需求也完全不一樣。

總體來看，傳統(tǒng)企業(yè)偏重管理，有人說是“三分技術(shù)，七分管理”；而互聯(lián)網(wǎng)企業(yè)偏重技術(shù)，我認(rèn)為前面那個(gè)三七開可以倒過來。其實(shí)這種說法也是不準(zhǔn)確的，到底什么算技術(shù)，什么算管理，這些都沒有明確的定義。安全領(lǐng)域大部分所謂管理不過是組織技術(shù)性的活動(dòng)而已，充其量叫技術(shù)管理。