注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

小小博客平台 大大职场空间

frank.wan@focu-search.com如果喜欢本博客欢迎收藏并分享!

 
 
 

日志

 
 

互联网公司及其安全团队  

2013-08-25 21:46:25|  分类: IT江湖 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
老文了 转载百度空间  2010-03-08 10:51 

互联网公司及其安全团队

    在某信息安全论坛上看到难得一见的好帖,这里是原帖。这个帖子里很多安全大牛现身说法,大致介绍了现今几大互联网公司的安全团队,真实可靠性八九不离十。看完后,基本上就能对中国互联网公司的安全运营有个总体了解。事实上,一直都很喜欢阅读这种指点评论式的帖子,置身文章中,颇有“指点江山”、“煮酒论英雄”的气概。当然,能写出这种文章的作者,肯定也必须在相关领域浸淫多年,内功和见识都修炼到一定高度才能有如此气概。把帖子的主要内容编辑一下,记录在此,过几年再来看看,应该会是另一番感觉。

--------------------------------------------------------------------
Kussa 发表于: 2010-01-28 17:51
腾讯、百度、阿里巴巴、盛大、网易、迅雷这些互联网公司越做越大,重合的地方也很多,比如腾讯/百度/阿里巴巴都分别从IM/搜索/电子商务出发,又都严重覆盖和依赖其他两种业务,大家对他们的发展和竞争的走向有什么看法呢?

关于上述互联网公司的安全团队中做安全,和在绿盟/天融信/启明星辰这样的专业安全公司做安全似乎也很不一样,大家也聊聊吧:)
--------------------------------------------------------------------

benjurry 发表于: 2010-03-01 00:53
我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。
1、为什么互联网公司要有自己的安全团队。
a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障;
b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。
c、和业务结合紧密:互联网公司的安全工作的以公司业务为主要目标,并和公司的业务紧密结合,并要求能落地实施,同时考虑到一些内部机密,不适合外包;

因此大部分都会自己组建安全团队。

2、目前互联网公司安全团队的工作内容、组织架构和人员数量(按公司名字首字母排列)
a,阿里:
阿里是我很佩服的一个公司,非常欣赏他们的商业模式,而且最近几年的技术发展非常快。

目前阿里的安全架构分为阿里集团和各公司相结合的模式,即阿里集团的安全部门统一制定安全策略、安全框架和一些安全系统,各公司在此基础上进行推行,也会在此基础上根据业务的特点来做安全工作。
集团目前的安全组织是安全中心,主要工作是反黑客入侵,并且结合阿里的业务特性(以WEB业务为主),因此在系统、web安全方面的研究是国内互联网公司中最深入的,目前团队30来人左右。但是牛人很多,比如刺、云舒、hawk、wzt等等,交流学习氛围非常不错。
推荐:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html

b,百度
百度的工程师文化非常强,每次和他们的技术人员聊,他们都显示出了很强的自豪感:)

百度的安全建设相对晚一些,目前在组织架构上是放在系统部下,向系统部总监汇报,人员大概在10多个。基于百度的业务特性,百度的安全人员主要也是以 WEB和网络安全为主,对反DDOS和web方面的研究自成一套,保障了百度业务的稳定和快速发展。聚集了晓栋、剑心、firefly等牛人,这次百度 DNS的事件,我想应该会让Robin更关注安全方面的工作,因此后续的发展应该会更快。

c,盛大
盛大在安全点的方面建设较早(比如密宝),但体系方面的建设才刚起步,并设立了CSO的职位。
盛大的安全工作可以分为:网络安全、帐号安全为主,还包括支付安全、业务连续性、内控等工作。
网络安全主要以传统的反黑客入侵为主,包括网络安全、系统安全、WEB安全等方面;
帐号安全以保障用户帐号安全为主要目标,包括密宝建设、数据分析、帐号安全体系建设,人工干预等方面;

目前安全团队分散在盛大的各个公司,总共有40来人,包括San、段钢、neeao、召唤等人。

d、腾讯
腾讯是目前国内互联网公司中安全建设较早,投入较大的公司,2005年从运维支持部分离出来,成立了安全中心,目前安全中心人数超过120人。
腾讯公司安全中心的工作包括:
a、传统的网络安全;
b、帐号安全;
c、内容安全(反有害信息)
其他方面的安全如:
d、安全政策法规研究
e、内控
f、QQ医生
g、支付安全

则分散在其他相关部门。

由于腾讯的研发能力比较强,因此在安全体系和平台的建设上比较强,开发了自己的WEB扫描器,主机Agent 安全系统,反DDOS 系统,特别值得一提的是他们自己研究出来的网站挂马检测,依托SOSO的爬虫,实时检测互联网的网页,并和多个业务结合,取得了不错的效果。每年举办的安全峰会也取得了一定的成绩。
另外在帐号安全和内容安全方面也取得了较好的技术积累。
腾讯中的牛人包括Coolc、plan9,apollo、xenos、lake等等。


另外sina、sohu、巨人、迅雷、360等互联网公司在安全方面都取得了较好的成绩,由于时间较晚了,我以后再逐步补充。

3、总结
由于最近几年互联网公司发展较快,因此在安全方面的投入较大,同时由于国内法律相对不健全的情况,互联网公司遭遇的安全挑战很大,这也促成了互联网安全团队的快速成长。
但是毕竟术业有专攻,传统的安全公司如绿盟、启明,新型的安全公司如创宇和一些个人在技术方面的研究和积累都是非常深厚的,国际咨询公司在安全管理体系方面的积累也是很强大的。
希望能在大家的一起努力下,加强交流,共同保障互联网的安全。
--------------------------------------------------------------------------

benjurry 发表于: 2010-03-04 01:18
呵呵,作为论坛的新手,很高兴见到这么多老朋友:)
我现在盛大学习,毕竟在互联网公司待了5,6年,也得到了很多朋友的帮忙,所以略微知道一些互联网公司的情况,其中很多情况也不一定是正确的。

补充sina、sohu、巨人、迅雷、360几个公司的简单情况吧:
1、Sina:
Sina 一直以来都是很大的门户网站,受到的安全挑战也是蛮大的,因此他们成立安全团队也是比较早的,我记得shellcode,cy几个人好像都在sina,他们的脚本检测能力都是非常不错的:)

2、sohu:
Sohu 的安全按照我的理解可以分为3个阶段:
第一阶段好像并不是特别重视;第2阶段为了准备奥运,因此在这块投入了不少人力物力,积累也特别快,在整个奥运过程中,他们也是作出了非常不错的成绩的,蜘蛛(cu的负责人)、杨勇等好多人都在这个团队中;
第3阶段是搜狐的畅游,由于游戏增长很快,因此他们在游戏的安全方面也增强了不少。

原来运维和安全的负责人周总升到了VP,我想对安全和运维的投入也应该会更强。

3、迅雷
前几年迅雷的发展非常快,然而在2008年左右,一系列的客户端漏洞被公布出来。这个时候包子加入到迅雷成立了安全团队,并增加了小胖等学习能力非常不错的年轻人,取得了较好的成绩。
特别值得一提的是迅雷在内部推广SDL方面还是取得了非常好的成绩的,目前相对来说迅雷的客户端还是比较安全的。

4、360
360从业务来讲,是做安全行业的,因此他的安全团队和其他互联网安全团队有点不太一样,360的安全团队更多的是focus 在系统这一块,并且招揽了一大批国内在内核、杀毒方面非常强的人,像pjf、墨者团队和mj等,都是技术非常不错的人。

从以上的分析可以看出,每个互联网公司的安全团队都是比较有鲜明特点的,比如阿里和百度,由于他们公司的业务模式比较偏多于web,因此他们的安全积累比较多的在web方面;迅雷和腾讯则是以客户端起家的,因此安全团队在客户端方面就会比较关注,如软件的安全检测、fuzzing,漏洞报告机制以及软件漏洞自动补丁升级机制就会考虑的多一些;盛大以游戏起家,因此就会更多关注游戏的安全;而360是以反流氓和木马起家的,因此在内核的研究上就会有更多的积累。

另外有一点,我特别感受深刻的是:
安全毕竟是支持部门,因此必须要紧密结合业务,这样安全人员的发展空间才会更大,安全人员在公司的地位才会更高,安全人员为企业创造的价值也才会越大。

比如我在腾讯,刚开始以传统的网络安全为切入点,后续稳定下来后,公司对安全的重视就会降低;因此我们就趁机关注在反盗号上,为公司解决了最为头疼的盗号问题;再往后,发现内容安全越来越成为重点,因此又组建团队深入到内容安全方面的工作中。
只有这样,我们安全人员才能解决企业头疼的问题,发挥自身的价值,同时也获得公司的认可,我们的职业发展才能更好。

比如sina 目前以后可以发展的安全方向就是内容安全(用户评论、微博),云安全(sina推出了app engine);
阿里除了传统的网络安全外,很关心的就是支付风控(帐号被盗、欺诈)、云安全(阿里云是个很大的团队);
百度除了传统的安全外,点击欺诈是公司很关注的一点,如果能解决这里的问题,对百度的安全团队也是个很大的提升。
我们盛大的安全会在微支付、云计算、物联网方面遭遇很大的安全挑战,也真是因为这样的挑战,我们才能有更大的发展空间:)
----------------------------------------------------------------------

linkboy 发表于: 2010-03-05 11:59
我来补充一下巨人的吧。。

巨人前两年发展非常快,很多员工是由盛大跳到巨人。目前巨人的安全分成3块。
1.账号安全 2.运维安全 3.信息安全

由于之前巨人曾经遭遇 黑客入侵 和 员工泄密 导致游戏代码外泄
因此公司对安全方面较为重视

目前巨人负责安全的人数约在20人左右

其中有卫鹏飞领衔的安全实验室与巨盾安全实验室合作研发 面向所有游戏玩家的巨盾产品

公司运维中心通过ISO20000认证

集团公司通过ISO27001认证

应该是目前为数不多的通过两项认证的游戏公司

我自己就不自吹自擂了,目前专心读研,努力充电
期待后面 9you 网龙 等游戏公司 ^_^
-----------------------------------------------------------------------

职业欠钱 发表于: 2010-03-05 12:29
我介绍一下久游的安全团队吧。
照抄凌云总的一笔带过体:

久游前两年发展比较快,安全团队成立的时间比较短,前期主要是做运维和内部的安全,反黑客入侵方面花的心思比较多。

后期和典型的技术团队略有区别,
我们做了一些IT治理的事情,协助运维团队,在流程、IT风险控制方面从原始的管理方式向正规军靠拢,目前一阶段的流程梳理和制度建设已经完成。

另外一方面,我们努力扮演技术与管理方面的顾问角色,帮助其他团队解决一些问题,类似于内部的咨询服务。
目前一些常见的技能输出已经基本到位,大部分问题运维的底层人员已经熟练掌握。

团队人数在10人左右,下阶段可能会效仿腾讯,盛大,往技术开发方面继续深入核心业务。

补充一句:
安全团队除了要往核心业务靠拢之外,也受限于安全团队在整体架构中的位置和leader的技能、视野。

另外,公司也有一支反外挂的队伍,以游戏内容安全为中心,他们的工作也非常努力并且有明显的成效,在此不作详细点评。
------------------------------------------------------------------------

cnhawk 发表于: 2010-03-05 14:03
公司安全的好坏依赖安全团队的好坏,而安全团队的好坏依赖团队内成员的水平和组成,以及梯队建设。
安全是一个长期持续演进的过程,没有团队成员的齐心协力,坚持不懈的积累和努力,是不可能做出长期安全。
同理公司发展好,能提供员工良好的发展,安全团队才能有能力培养人才,才能留住人才,这样才有足够资源将公司安全做的更好。
反之公司发展的不好,安全团队也无法留住人才,无法培养团队新人,自然没有足够资源把公司安全做好。
腾讯安全团队之所以强,是因为腾讯公司长期稳定的发展,安全团队能在稳定中快速成长。
如今很多互联网公司都已经是度过了10周年,看看安全团队的发展也可以反映出来公司的发展状态。
-------------------------------------------------------------------------

ayazero 发表于: 2010-03-07 12:25
我补充一下吧,久游网的安全团队成立于06年下半年,相对于其他的互联网公司比较晚,起初只有我一个光杆司令,那时刚从绿盟出来,思路主要也是原来安全服务团队以及我所属的技术组织PST的一些思路

一开始在反黑客方面花了比较大的精力,在初步解决了IT基础设施和APP层面的安全之后,开始着手建立ISMS,将安全审计嵌入所有的生产环节。在 ISMS完成之后,我们决定继续拓展“业务”并壮大队伍。

在公司的整个技术团队中以领导者的身份建立了运维管理体系,在核心运维团队中实现了ITIL本地化运作,同步进行了游戏核心业务流程的BPR

在技术方向上对公司内所有的IT系统分类分级,实施了DRP,尤其是核心billing&账户中心建立了异地多点灾备、切换方案以及培训和演练等

我们提倡顾问角色服务于“内部客户”(部门)的概念,日常为老板及其他团队提供各种支持,例如APP架构&性能优化、开发工具,流程和 KPI,KM等

目前着手建立大规模集中管理&智能监控平台,后续还有一些保密项目
---------------------------------------------------------------------------


  评论这张
 
阅读(76)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017