赵彦Ayazero
华为高端专家,互联网安全、云计算安全首席架构师,前奇虎企业安全技术总监、久游网安全总监、绿盟科技资深安全专家,曾任某webgame公司CTO,白帽子时代是Ph4nt0m的核心成员。
总体来看,传统安全偏重管理,“三分技术,七分管理”,互联网行业偏重技术。其实这种说法是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义。安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理,如果你和这些理论较真,那你就算掉坑里了。
先说一下传统安全和互联网安全的建设需求上的差异:
传统安全特征
IT资产相对固定
业务变更不频繁
网络边界比较固定
IDC规模不会很大甚至没有
使用基于传统的资产脆弱性和威胁的风险管理方法论,加上购买和部署商业安全产品(解决方案),通常的安全问题就都可以搞定。
互联网安全生态
对于大型互联网而言,需要应对:
海量IDC和海量数据
完全的分布式架构
应对业务的频繁发布和变更
同时架构层面